Explora todas las mesas y ponencias del evento jurídico de referencia en Derecho Digital en España. Una jornada intensa, con voces expertas y reflexiones de futuro sobre regulación, tecnología e impacto social. Todos los vídeos ya disponibles, organizados por bloques temáticos.
Acabábamos noviembre con un “provvedimento” del Garante al Grupo Editorial italiano Gedi indicándole que el acuerdo publicado con OpenAI en virtud del cual el primero compartirá los contenidos publicados “de forma prácticamente simultánea e inmediata” con el segundo, podría conculcar los arts. 9 (tratamiento de categorías especiales de datos), 10 (Tratamiento de datos personales relativos a condenas e infracciones penales), 13 (Información que deberá facilitarse cuando los datos personales se obtengan del interesado), 14 (Información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado) del RGPD.
Y esto es así a ojos de la autoridad de protección de datos italiana que, con motivo de la publicación del mencionado acuerdo, inició una investigación de oficio ya que:
Seguimos en diciembre y el día 17 el Comité europeo de protección de datos publicaba su dictamen sobre «ciertos aspectos de la protección de datos relacionados con el tratamiento de datos personales en el marco de los modelos de inteligencia artificial«), en particular sobre aspectos con motivo de la solicitud realizada por la autoridad de protección de irlandesa de un posicionamiento común (a la que cómo veremos, el Garante había transferido algunos asuntos de especial calado en el marco de su investigación sobre ChatGPT).
La opinión resulta interesante, aunque en varias cuestiones nos remite al ya conocido análisis «caso a caso». Sin perjuicio de ello, nos da detalle de i) cómo determinar si un modelo de IA debe estar sujeto al RGPD, cuándo y qué factores nos llevarían a ello, ii) el uso del IL como base de legitimación para el entrenamiento y el uso de los modelos de IA; y «concluye» abordando, para tres únicos supuestos, si la ilicitud del tratamiento de datos para el entrenamiento de modelos IA «contamina» o no los usos posteriores.
Para la primera cuestión, señala el Comité que no es posible considerar, como regla general, que todos los modelos de IA sean anónimos, sino que será necesario hacer esa evaluación caso por caso teniendo en cuenta, si los datos personales pueden ser extraídos o no, y si el resultado producido por el modelo podrá o no relacionarse de nuevo con los titulares cuyos
datos se utilizaron para el entrenamiento. Y después de leerlo, parece que esto va a ir de valorar si es posible o no a través del modelo la reidentificación y cuán difícil puede resultar. Facilita el Comité elementos para evaluar esa posibilidad e incluso nos da «pistas» sobre la documentación necesaria a mantener para acreditar tal aspecto.
Para la segunda y tercera cuestión, el interés legitimo y su utilización como base de legitimación para el entrenamiento de los modelos -teniendo en cuenta que los datos pueden haberse obtenido tanto del propio titular como a través de terceros-, y el posterior uso, se remite el comité a cuestiones generales que conocemos de informes y opiniones precedentes. Así nos recuerda los 3 requisitos de esta base de legitimación (identificación, evaluación de la necesidad del tratamiento y test de sopesamiento); señala y ejemplifica las afectaciones a derechos fundamentales de estos tratamientos; y finaliza este apartado haciendo, a nuestro juicio especial énfasis, en la información a los titulares de los datos y a su expectativa razonable.
Finaliza su opinión el Comité, como os decíamos, planteando tres escenarios que parten de un tratamiento ilegítimo de datos para el entrenamiento de un modelo que, no siendo anónimo, posteriormente, usa el mismo responsable del tratamiento u otro y un último caso en el que, si bien el responsable del tratamiento que desarrolla el modelo lo hace de manera ilícita desde el punto de vista del RGPD, lo anonimiza y es solo después de esa anominización, que se da el uso por parte de otro responsable del tratamiento.
Sin duda, esta opinión requerirá de varias lecturas pero en esta primera, nos quedamos con lo siguiente: i) recuerda el Comité a las autoridades de protección de datos sus poderes no solo sancionadores sino también correctivos; ii) señala que la valoración deberá hacerse caso a caso y iii) si bien para los dos primeros supuestos habrá que estar a la responsabilidad proactiva y la necesidad de que el responsable que esté tratando los datos pueda asegurar en todo caso la legitimidad del tratamiento, en el último, el segundo responsable no se contamina de la ilicitud del primero siempre que haya mediado esa anomización. A no olvidar que el tratamiento posterior en el que se incluya como medio del tratamiento el modelo anónimo, si incluye datos personales, deberá cumplir con el RGPD.
Y finalmente, solo tres días después de esta opinión, vuelve a publicar el Garante. En este caso, la sonadísima resolución sobre OpenAI y su servicio de ChatGPT. Este expediente se inició por parte del Garante de oficio con motivo de la noticia de prensa en la que se señalaba que ChatGPT había tenido problemas técnicos y que usuarios podían visualizar “la cronología de los títulos de los chats de otros usuarios”.
En el marco de tal procedimiento, recordamos todos la medida cautelar establecida por el Garante en marzo de limitación en territorio italiano del servicio, medida que se levantó en abril bajo la condición de adopción por parte de OpenAI de medidas idóneas para garantizar la adecuación del tratamiento con el RGPD. Pues bien, el pasado día 20, la autoridad italiana ha publicado su resolución en la que reprocha a OpenAI y su servicio de ChatPGT:
Resuelve el Garante con imposición de una sanción de 15 millones de euros y la obligación de realización de la campaña divulgativa.
Importantísimo, y a la espera quedamos de la resolución de las cuestiones que el Garante reenvía a la autoridad irlandesa en relación con el uso del interés legítimo como base de legitimación para el entrenamiento de modelo y el cumplimiento del principio de exactitud en el marco de estas tecnologías. Como veis, lectura asegurada para el 2025.
Esther García Encinas
Abogado senior en Privacidad, Inteligencia Artificial y Contratación Mercantil en CaixaBank
Cuando nos vamos acercando a los cuatro años de la fecha de 25 de mayo de 2018, en la que comenzó la aplicación del Reglamento General de Protección de Datos (RGPD), podríamos hacer diferentes valoraciones con relación a su puesta en marcha. Aprovecho este post del blog de ENATIC para reflexionar en relación a una de las novedades más relevantes que nos trajo nuestro querido Reglamento.
Profesionalmente me dedico desde el año 2002 a ser “protector de datos” y la percepción es que se había de poner al día la Directiva del 95, pero todos somos conocedores que ya teníamos un corpus jurídico de protección de datos con la LOPD del 1999. Por esto, creo que tenemos que evaluar las novedades que nos trajo el Reglamento y cuál ha sido el grado de acomodación y cumplimiento en estas novedades normativas.
Personalmente, y muchos de los lectores lo pueden confirmar, creo que uno de los puntos más innovadores fue la puesta en marcha del principio de “accountability” o rendición de cuentas o de “responsabilidad proactiva”. También considero que es uno de los aspectos que menos se está interiorizando y aplicando de manera rigurosa por los responsables de tratamiento (o encargados de tratamiento).
El RGPD lo establece con carácter de principio en el art. 5.2 de su articulado. He asistido a múltiples debates en los que se discutía: ¿es una obligación? ¿es un principio?… Por supuesto que es un principio, pero de cierta naturaleza especial ya que es un principio que nos debe ayudar a cumplir con los principios de tratamiento de datos del art. 5.1 RGPD.
No voy a definir el principio de responsabilidad proactiva, pero me gusta simplificarlo así: tengo que cumplir con el RGPD (vaya obviedad…) y tengo que poder demostrar que estoy cumpliendo. En relación a su estricto cumplimiento os planteo mis dudas sobre el grado de cumplimiento que, la mayoría de obligados a cumplir el RGPD, puedan acreditar debidamente este principio de “accountability”.
Probablemente sean diversos factores los causantes de este “necesita mejorar”: desde la novedad normativa, pasando por el entorno cultural del sur de Europa y acabando en la falta de adecuadas metodologías por parte de los expertos en protección de datos que dan soporte a los obligados. Tuve la oportunidad en 2019 de llevar a cabo una estancia de investigación en una Universidad de Londres y os puedo confirmar como la literatura científica, el conocimiento y la “impregnación” del “accountability” anglosajona era muy diferente al que se podía contrastar en nuestro territorio.
El marco que teníamos con la LOPD de 1999 y su Reglamento de Desarrollo no establecía un marco especialmente “accountability friendly”, y a pesar de disponer de algunas guías de referencia como por ej la opinión 3/2010 del GT del art. 29 sobre el referido principio, podría confirmar sin temor a equivocarme, que era la responsabilidad activa era un gran desconocido.
Tampoco voy a aportar ninguna “poción mágica” para dar cumplimiento a la “accountability”… y por supuesto la naturaleza, sector de la entidad, diversidad de tratamientos, etc. pueden determinar diversidad de formas de acreditación. No tenemos un conjunto de acciones o medidas estándares, sino que como expertos en protección de datos tenemos que ofrecer soluciones a nuestros clientes garantes con este principio.
Sensibilizar con este principio no es suficiente, sino que tenemos que ser capaces de poder “medir” con parámetros objetivos el grado de cumplimiento, documentar ese cumplimiento y verificar periódicamente su grado de adecuación.
Hemos de conectar necesariamente la “accountability” con el cumplimiento de la protección de datos desde el diseño y por defecto (tal vez otro gran desconocido y en que se puede hacer exacta reflexión). Probablemente nos encontramos con los puntos clave para poder establecer un grado de excelencia en relación al marco de adecuación al RGPD. En este sentido, os dejo la siguiente pregunta: ¿tenemos elementos objetivos medibles y concretos para verificar, por ejemplo, la protección de datos por defecto? Os invito a hacer un inventario de acciones auditables del 1 al 10 y ver el grado de cumplimiento en la mayoría de los obligados.
Este post sólo pretende reflexionar sobre la necesidad de mejorar y ofrecer soluciones adecuadas a los obligados y que la cultura “accountability” se establezca de forma natural en los empresas, organizaciones y administraciones obligadas a cumplir con el mismo.
Jordi Ferrer Guillén
Socio Director de Cyberlaw Consulting
Profesor Adjunto – Departamento Operaciones, Innovación & Data Sciences de la ESADE
Vocal de ENATIC
El CEPD (EDPB, en inglés) ha publicado recientemente las Directrices 07/2020 sobre los conceptos de responsable y encargado del tratamiento en el RGPD, versión 1.0, adoptada el 2 de septiembre de 2020. El texto completo se puede encontrar aquí.
Estas Directrices estuvieron abiertas a consulta pública de septiembre a octubre de 2020 y el CEPD recibió más de un centenar de documentos con comentarios. Los mismos están disponibles en línea en la web del CEPD. Es probable que se publique una nueva versión a corto plazo pero, mientras tanto, los profesionales de la privacidad a menudo recurrimos a estas relevantes Directrices en busca de orientación para resolver asuntos complejos de nuestros clientes relacionados, entre otras cosas, con las relaciones entre grupos de empresas.
Las Directrices son extraordinariamente largas y detalladas (48 páginas). Ofrecemos aquí nuestra selección de las pautas que ofrecen información relevante para entornos de grupos de empresas:
Por último, resulta muy útil la consulta del diagrama de flujo en el Anexo I (Diagrama de flujo para aplicar los conceptos de responsable, encargado y corresponsables en la práctica) pues puede ayudar a analizar un escenario complejo, por ejemplo, el caso de un grupo de empresas de estructura sofisticada y sus operaciones de tratamiento y flujos de datos.
Belén Arribas Sánchez
Vicepresidenta de ENATIC
El pasado 25 de mayo se cumplió el tercer aniversario de la entrada en aplicación del Reglamento General de Protección de Datos[1] (en adelante, RGPD), efeméride que se produjo por segundo año consecutivo en un contexto de pandemia global. No hubo muchos motivos para la celebración, sino más bien todo lo contrario, la emergencia sanitaria ha tensionado durante el último año a los fundamentos de los Estados democráticos y de derecho europeos hasta extremos impensables. El estándar europeo de protección de datos y privacidad, además, ha sido cuestionado y situado ante el espejo de sus modelos antagónicos asiáticos.
El filósofo y pensador alemán, de origen surcoreano, Binyung-Chul Han, es quien ha interpretado con mayor nitidez, y se podría añadir pesimismo, esta imagen distorsionada y desdibujada de una Europa que se sitúa ante el dilema de ganar mayor eficacia y eficiencia en la lucha sanitaria contra el virus en detrimento de las libertades y valores de las que ha sido estandarte mundial. En sus propias palabras:
«La covid-19 probablemente no sea un buen presagio para Europa y Estados Unidos. El virus es una prueba para el sistema. Los países asiáticos, que creen poco en el liberalismo, han asumido con bastante rapidez el control de la pandemia, especialmente en el aspecto de la vigilancia digital y biopolítica, inimaginables para Occidente. Europa y Estados Unidos están tropezando. Ante la pandemia, están perdiendo su brillo. Zizek ha afirmado que el virus derribará el régimen de China. Zizek está equivocado. Eso no va a pasar. El virus no detiene el avance de China. China venderá su estado de vigilancia autocrática como modelo de éxito contra la epidemia. Exhibirá por todo el mundo aún con más orgullo la superioridad de su sistema. La covid-19 hará que el poder mundial se desplace un poco más hacia Asia. Visto así, el virus marca un cambio de era.»[2]
A buen seguro es prematuro determinar si estamos en un cambio era, pero el régimen que Han denomina de «vigilancia biopolítica» con mayor o menor extensión ya ha llegado a la UE y a los Estados Unidos. Hasta ahora se podía observar gracias a las revelaciones del analista de la NSA, Edward Snowden, del caso del sargento Manning, o de las manipulaciones ideológicas de Cambridge Analytica. Estas y otras muchas vulneraciones han resquebrajado los principios de las democracias occidentales por motivos de seguridad nacional o por pura manipulación psicopolítica.
El paradigma de privacidad europeo materializado en el RGPD se había erigido como la reacción, en términos de derechos y libertades, contra esos abusos. Sin embargo, como señala el propio Han, la “virología” se superpone a la privacidad, y ya no solo interesan nuestras comunicaciones o nuestras opiniones en redes sociales, el objetivo es el control y disciplina de nuestro cuerpo, nuestro estado de salud, lo cual puede provocar una limitación de esos derechos y libertades, un abandono de la concepción liberal postrevolucionaria.
La paradoja está en que hasta el inicio de la pandemia Europa acusaba a Estados asiáticos democráticos como Japón, Corea del Sur, Taiwán o Singapur de tener una mentalidad autoritaria, a la vez que unas sociedades con muy poca conciencia crítica ante la vigilancia electrónica. Mientras que China, y el convulso Hong Kong, se entendían como sometidos a una “dictadura digital”, y se podría añadir real. Sin embargo, la digitalización, a través del Big Data, de la Inteligencia Artificial, el análisis de macrodatos, etc. permite salvar vidas. La falta del espíritu reivindicativo de las sociedades asiáticas se suple con un ahora admirado civismo.[3] Este es el gran dilema al que se enfrentan los europeos y los estadounidenses.
Alessandra Pierucci, presidenta del Comité de la Convención 108 y Jean-Philippe Walter, Comisionado de Protección de Datos del Consejo de Europa, haciéndose eco de la mencionada disyuntiva, afirman que la privacidad y la protección de datos no deben ser obstáculo para salvar vidas, pero recuerdan su carácter esencial y su vigencia:
«While it is crucial to make clear that data protection can in no way be an obstacle to save human lives, it is equally crucial to reaffirm that the exercise of human rights, and notably the rights to privacy and to data protection are still applicable. Data protection principles always allow for balancing the interests at stake. Convention 108 sets forth high standards for the protection of personal data which are compatible and reconcilable with other fundamental rights and relevant public interests. The principles enshrined in several international and national instruments cannot be suspended but only restricted in a lawful manner, and so for defined limited duration».[4]
Esta llamada a la ponderación de dos de los máximos garantes de la protección de datos en el ámbito continental europeo es sin duda un mal augurio. Las tentaciones de adoptar los modelos asiáticos, incluso los más «softs», sobrevuelan la tradicional cultura de derechos y libertades europea. El análisis de las aplicaciones de seguimiento de contactos COVID 19 en los países asiáticos nos conduce a diversas conclusiones.
En primer lugar, no sorprende que los sistemas digitales de seguimiento de contactos COVID, tales como «Alipay Health Code», de la República Popular China no sean adecuados a la normativa europea y a las recomendaciones de las instituciones europeas. La pandemia no ha hecho más que incrementar el control y la vigilancia de los usuarios chinos con información de carácter sanitario y con una mayor trazabilidad de sus movimientos. La no utilización de protocolos seguros, la ausencia de transparencia y la desviación de las finalidades, no son más que abusos a los derechos humanos, que no legitiman ni justifican, ni siquiera con un pragmatismo exacerbado, la grave injerencia en la privacidad y la protección de datos. La brecha en garantía de derechos y libertades entre la UE y el gigante asiático se agranda aún más tras esta crisis global.
El caso de Hong Kong, región especial de China, es muy particular por los condicionantes jurídicos, políticos e históricos. A pesar de contar con una de las primeras normativas de protección de datos de la región su aplicación «StayHomeSafe» no es adecuada al RGPD ya que se basa en la localización a través del geoperimetraje del afectado. Este aplicativo es altamente intrusivo y no cuenta con las salvaguardas exigidas por la normativa europea. En este sentido, cabría plantearse si se está produciendo un retroceso en los elevados estándares de privacidad y protección de datos de los que Hong Kong había disfrutado. El contexto actual apunta a un intento del gobierno chino de recortar los derechos y libertades, esta involución estaría en la línea de los acontecimientos.
El caso de la aplicación «Corona 100» de Corea del Sur presenta las mismas problemáticas, incluso superiores que «StayHomeSafe» de Hong Kong. Esta democracia asiática, que está siendo objeto de escrutinio en cuanto a privacidad y protección de datos por la UE, ha adoptado una solución que tensiona los derechos y libertades de sus ciudadanos y que no es conforme a los principios del RGPD. Ambos supuestos, el de Hong Kong y Corea del Sur conducen a un concepto muy amplio de interés público, el cual entendería que el derecho a la vida es preferente a la privacidad. Aunque es un falso debate, ya que se puede lograr una alta eficiencia en la gestión sanitaria cumpliendo con elevados estándares de privacidad. A estos dos países hay que sumar Taiwán que igualmente ha aplicado mecanismos de trazabilidad con la ausencia de anonimización, elementos a los que hay que añadir la obligatoriedad que estarían en contra del RGPD. Este país de especial estatus internacional, a pesar de contar con una normativa avanzada haría un uso desproporcionado de los datos personales de los usuarios de su aplicación «SafeEntry» no conforme con la legislación europea. La aplicación «PeduliLindungi» de Indonesia cuenta con mayores impedimentos, si cabe, que los anteriores aplicativos, pues el país, no cuenta con un contexto normativo de protección de datos homologable al de la UE, que pueda compensar las medidas invasivas y desproporcionadas como ocurre en Hong Kong o Corea del Sur.
En consecuencia, en los casos de China, Hong Kong, Taiwán, Corea del Sur e Indonesia se cumpliría la hipótesis de contar con aplicaciones de seguimiento de contacto COVID-19 no conforme con el RGPD. En el extremo contrario, es decir, que cuentan con aplicaciones que son adecuadas con la normativa de protección de datos de la UE, hallaríamos a Singapur y a Japón. El primero de estos países ha recibido tradicionalmente críticas de exceso de control y vigilancia digital, no obstante, su aplicación, «TraceTogether», cumpliría los requerimientos técnicos sustanciales que exigen las recomendaciones de las instituciones europeas. La misma afirmación es aplicable a COVID-19 Contact App, a un contexto homologado plenamente por la UE, se suma la utilización de la plataforma desarrollada por Apple y Google, API, que ha recibido la validación por la UE y EEUU.
Para finalizar, se puede concluir como la disminución de la privacidad y de la protección de datos personales no es lo que otorga una mayor eficiencia a la lucha contra la pandemia, sino un sistema sanitario lo suficientemente robusto para gestionar la información y efectuar las acciones que sean necesarias con la información que ofrecen las aplicaciones alineadas con el RGPD. Si atendemos a la finalidad principal de las aplicaciones, que es el seguimiento de contactos COVID-19 para prevenir la expansión de la pandemia, los exigentes requerimientos establecidos por la normativa europea no son ningún obstáculo o impedimentos para que se cumpla con la misma. Por tanto, es una falacia que el estado de vigilancia digital con deriva totalitaria asiático sea la clave del éxito, tal como señalaba Binyung-Chul Han. Por el contrario es la existencia sinérgica de sistemas de recopilación de la información preventivos y eficientes, que actúen de manera proporcional y con todas las garantías, con estrategias sanitarias públicas adecuadas a la situación de pandemia.
Josep Cañabate Pérez
Profesor de la Facultad de derecho – UAB, vocal ENATIC.
[1] El 25 de mayo 2018 se produjo la aplicación del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). Diario Oficial de la Unión Europea (en adelante, DOE), L-119/1, de 5 de mayo de 2016, pp. 1-88.
[2] Han, Byung-Chul. «El virus es un espejo, muestra en qué sociedad vivimos». El Tiempo, 16/05/2020. Consultado el 9 de julio de 2020 desde
[3] Han,Byung-Chul. Por qué a Asia le va mejor que a Europa en la pandemia: el secreto está en el civismo, El País, 25/10/2020. Consultado el 29 de octubre de 2020 desde https://elpais.com/ideas/2020-10-24/por-que-a-asia-le-va-mejor-que-a-europa-en-la-pandemia-el-secreto-esta-en-el-civismo.html?ssm=TW_CC.
[4] Comunicado conjunto emitido por parte de Alessandra Pierucci, Presidenta del Comité de la Convención 108 y Jean-Philippe Walter, Comisionado de Protección de Datos del Consejo de Europa respecto de derecho a la protección de datos en el contexto de la pandemia del COVID-19, de fecha, 30 de mayo de 2020. Consultado el 15 de mayo de 2020 desde https://www.coe.int/en/web/data-protection/statement-by-alessandra-pierucci-and-jean-philippe-walter.
Seguramente que durante el mes de mayo hayas sufrido una auténtica avalancha de correos pidiéndote el consentimiento para tratar tus datos personales o informándote de cambios en la política de privacidad de la empresa de turno. Lo más probable es que, harto de recibir correos parecidos o de que cada vez que entraras en una web se abriese un mensaje haciendo referencia a la nueva regulación de la protección de datos, hayas acabado borrando los correos sin siquiera leerlos. Por unos días, la cosa parecía habérsenos ido de las manos. El lado positivo de este fenómeno puede que haya sido que nos haya empezado a preocupar esto de la privacidad y la protección de nuestros datos personales.
Ahora ha pasado el chaparrón (Más bien el diluvio universal) y ya es de aplicación el Reglamento General de protección de Datos (Entró en vigor en el mes de mayo de 2016, por más que muchos, en sus correos, se empeñasen convencernos de que entraba en vigor el 25 de mayo de este año). Hemos sobrevivido al anunciado Apocalípsis y es el momento de reflexionar y no pasar página como si este asunto solo fuese con las grandes empresas o se tratase de una moda pasajera. Puede que no llegases a tiempo a tener tus cosas en orden antes de esa fecha, cosa comprensible si eres una microempresa o un autónomo, teniendo en cuenta que ni nuestro Legislador aún no ha logrado redactar el texto definitivo de una ley que desarrolle el RGPD en España. Si ese es tu caso, habrá que ponerse manos a la obra para cumplir.
Los datos personales son un activo importante para cualquier empresa. Pero su tratamiento tiene una repercusión y genera unos riesgos para los titulares de tales datos hasta el punto de que el acceso ilegítimo a los mismos, en los casos más graves, puede incluso ser constitutivo delito. Por ello, su control por parte de los interesados y su protección por parte de quien los trata, son cada vez más importantes y necesarios.
Voy a tratar de marcar un punto de partida para que un autónomo o una microempresa pueda dibujar un mapa mental que le ayude a hacer sus deberes en esto del cumplimiento en materia de protección de datos, sin obviar la complejidad técnica que ello conlleva y que hace imposible tratar más en profundidad el tema en este artículo.
Más del 80% del tejido empresarial en España son microempresas (De 1 a 9 trabajadores) y autónomos. Este sector es el que más dificultad está teniendo para adaptarse a la nueva legislación y sin embargo, no podemos obviar el hecho de que está tratando una importante cantidad de datos en su conjunto. Este hecho es preocupante porque, como ciudadanos, todos somos cada vez más conscientes de nuestros derechos, nos importa nuestra privacidad, empezamos a interesarnos por lo que se hace con nuestros datos y a exigir que se garanticen nuestros derechos.
Lo primero que debemos hacer es cambiar nuestra mentalidad, porque el nuevo reglamento pretende crear una cultura de cumplimiento y ya no valdrá con adoptar unas cuantas medidas que la ley nos marca, tener inscritos unos ficheros y contar con unos cuantos formularios para cubrirnos las espaladas frente a una posible reclamación. Seremos nosotros, los responsables del tratamiento, quienes tendremos que estudiar nuestra empresa, definir y diseñar las actividades que suponen un tratamiento de datos personales, analizar los riesgos, implementar las medidas que consideremos necesarias para garantizar la seguridad de los datos y el ejercicio de los derechos de los interesados, comprobar que funcionan y evaluar periódicamente que todo va bien.
Probablemente hayas consultado en Google la información publicada por la AEPD para orientarnos en la adaptación al RGPD, foros profesionales o blogs de expertos y puede que hasta hayas acabado teniendo más dudas que al principio de tu búsqueda. El RGPD, también conocido como GDPR, por sus siglas en inglés (General Datta Protection Regulation), es una norma extensa y compleja, no nos vamos a engañar, por lo que puede que aún te estés preguntando por dónde empezar.
Vamos a tratar de ir al grano y, pensando en una empresa pequeña, recorreremos el camino para cumplir con la GDPR en seis pasos fundamentales.
¿Y esto, qué es? Hay que empezar por echar un vistazo a nuestra actividad e identificar los tratamientos de datos personales que llevamos o pretendemos llevar a cabo. Si teníamos inscritos previamente ficheros en la AEPD, revisarlos puede ser un buen punto de partida.
¿Qué es dato personal?: “Toda la información sobre una persona física identificada o identificable” (art. 4.1 GDPR). Por tanto pueden ser datos personales el nombre, el domicilio, el número de teléfono, una dirección IP, la fotografía de una persona, su número de cuenta bancaria, etc. Mucho cuidado con el término identificable, porque son muchos los datos que pueden hacer identificable a una persona, y más si se relacionan con otros.
El artículo 25 de la RGDP obliga a que la privacidad se garantice desde el diseño (privacy by desing) y por defecto. Todo tratamiento, desde la recogida de los datos, hasta su destrucción, pasando por sus diversos tratamientos y la implantación de medidas técnicas,
jurídicas y administrativas, debe concebirse, a la luz de los principios del tratamiento que se indican en el artículo 5 de la norma: Licitud, lealtad y transparencia, limitación de la finalidad, minimización de datos, exactitud, limitación del plazo de conservación, integridad y confidencialidad.
Esto significa que tendremos que plantearnos cómo obtenemos los datos, cómo y dónde los clasificamos y almacenamos, el uso que hacemos de ellos, si los cedemos a terceros o los trasferimos fuera de la UE y cómo y cuándo los destruimos.
Es importante dedicar tiempo al primer paso porque podemos olvidar alguna actividad que suponga el tratamiento de datos personales y ese despiste puede tener graves consecuencias para los interesados y para nosotros.
Ya sabemos los tratamientos de datos personales que hace nuestra empresa. Ahora tenemos que confeccionar un registro de actividades de tratamiento. Se trata de un documento que puede tener el formato que se prefiera y en el que se deberá registrar cada una de las actividades de tratamiento que se llevan a cabo. Como ejemplo, se podría hacer una clasificación de los tratamientos de datos por categorías: Clientes, proveedores, trabajadores, colaboradores y gestión comercial.
Para los tratamientos de cada categoría debemos determinar su finalidad, indicar la base jurídica o legitimación para llevar a cabo el tratamiento y determinar las categorías de afectados.
Este registro no es un documento que podamos dejar guardado y olvidado en una carpeta. Es un documento que debe permanecer vivo y actualizado con cada cambio que sufran los tratamientos que haga la empresa.
Es muy importante, llegados a este punto, comprobar si tratamos datos de lo que la RGPD denomina categorías especiales, ya que estos datos deberemos protegerlos casi con nuestra vida. Estos datos serán los que revelen origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos que permitan la identificación unívoca de una persona, datos relativos a la salud, datos relativos a la vida y orientación sexuales, derivados de actos de violencia de género y sobre infracciones y condenas penales.
El tratamiento de este tipo de datos nos obligará a extremar las medidas de protección, condicionará en gran medida la base legal que nos faculta para su tratamiento y, en la mayoría de los casos, nos obligará a llevar a cabo una evaluación de impacto para calibrar las consecuencias que tendría cualquier incidencia referida a ellos. Además, si la base legal para el tratamiento de estos datos es el consentimiento, debe recabarse de forma específica para cada una de estas categorías.
No obstante, a pesar de tratar este tipo de datos, podemos llegar a la conclusión de no que no hay un riesgo importante y no necesitamos hacer esta evaluación. En tal caso debemos redactar un informe indicando porqué llegamos a esta conclusión y justificar no llevarla a cabo.
Es posible que a estas alturas del artículo haya empezado a hacérsete bola esto de la protección de datos. Tranquilo, el primer paso siempre cuesta pero una vez dado, tenemos que ir por los demás.
Es hora de identificar las amenazas que pueden poner en peligro la confidencialidad, la integridad y la disponibilidad de los datos que tratamos. Debe evitarse cualquier acceso a datos personales por parte de persona no autorizada. Debe garantizarse que los datos que tratamos permanecen completos e inmutables. Además, debemos tener siempre disponibles los datos que tratamos porque el interesado puede solicitarnos acceso a los mismos y además pedirnos copia documental de ellos.
Una amenaza puede ser, desde la pérdida de los datos a causa de un borrado o modificación accidental, a un acceso no autorizado de un empleado o de alguien de fuera de la empresa, pasando por la propia pérdida por extravío de un móvil o un ordenador portátil.
Identificadas las amenazas tendremos que valorar la probabilidad de que ocurra un incidente. Habrá amenazas que sea poco probable que se materialicen y otras cuya probabilidad de que nos afecten sea mayor. La probabilidad podemos clasificarla en máxima, significativa, limitada o despreciable. Las medidas de seguridad que adoptemos dependerán de este análisis. Aquí debemos tener de nuevo en cuenta si estamos tratando datos personales de categorías especiales.
Si nos hemos tomado el tiempo necesario para identificar los tratamientos que llevamos a cabo, nos será más fácil identificar las amenazas y valorar el riesgo de que produzca una incidencia.
Si teníamos un documento se seguridad, tendremos que revisarlo puesto que ahora ya no hablamos de niveles de seguridad ni de medidas concretas que la Ley nos obliga a adoptar. La nueva regulación nos considera mayores y responsables y nos encarga elegir los protocolos de actuación y las medidas que consideremos adecuadas y suficientes para garantizar los derechos de los interesados y poder probar que lo hacemos (Ahí es nada la cosa).
Evaluados los riesgos, podemos ponernos manos a la obra con el diseño e implantación de las medidas organizativas y de seguridad que resulten necesarias.
Las medidas pueden ser muy diversas y dependerán de la estructura y funcionamiento de cada empresa o negocio pero algunas pueden ser válidas para la mayoría. Por aquello de que para muestra basta un botón, vamos a indicar algunas de ellas:
– Protocolos para recabar el consentimiento de los interesados, cuando sea esta la base legal para el tratamiento. La GDPR entiende por consentimiento “la voluntad libre, específica informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”. (El origen del diluvio de correos que hemos recibido los días previos al 25 de mayo pidiendo nuestro consentimiento). Esto conlleva examinar cómo recabamos en el pasado el consentimiento para valorar si es necesario, o no, volver a solicitarlo en la forma que ahora se exige y hacer la correspondiente criba. Por favor, no sigas tratando datos cuyos interesados no te hayan dado su consentimiento según exige la GDPR.
Habrá que revisar nuestros contratos, los boletines de contacto y suscripción de nuestra web o blog y cualquier otro punto de recogida de datos personales para conseguir que el consentimiento no ofrezca duda y que los interesados estén correcta y completamente informados de la necesidad, finalidad y temporalidad del tratamiento así como de quien es el responsable del mismo.
Seguramente necesitarás la ayuda de profesionales en la implantación de este tipo de medidas, un jurista especialista en la materia y un informático que haga los cambios correspondientes en tu web.
Si tienes tu web en Word Press, hay varios plugins para adaptar su web a la GDPR que pueden ser de utilidad: GDPR, WP GDPR Compliance, GDPR V Check, etc. En cualquier caso, los textos nunca deben aplicarse a nuestro caso sin estudiarlos previamente y comprobar que se adaptan a los tratamientos que hemos diseñado en nuestra empresa o negocio. El prêt-à-porter en cumplimiento de la GDPR no sirve y compensa invertir en un trabajo profesional que nos evitará multas y reclamaciones de perjudicados.
– Control de acceso del personal a archivos y dispositivos que contienen archivos con datos personales, adjudicación de contraseñas, huella digital en teléfonos móviles, etc.
El cifrado será también necesario en nuestra web, que requerirá de un certificado SSL para que los datos que se recojan a través de boletines de contacto o suscripción, por ejemplo, circulen cifrados y de forma segura. La mayor parte de los hosting ofrecen certificados SSL muy económicos o gratuitos. Let´s Scrypt ofrece también de forma gratuita este certificado.
Contar con un antivirus, un firewall correctamente parametrizado, unas normas sobre uso de dispositivos electrónicos en la empresa o una configuración adecuada de las cuentas de usuario en redes sociales o aplicaciones, entre otras, son medidas básicas que tenderemos que adoptar si no lo hemos hecho hasta ahora.
En ese documento deberíamos prever un plan de actuación en caso de producirse una brecha de seguridad a fin de minimizar el impacto de la incidencia. Además el RGPD nos obliga a comunicar a comunicar a la AEPD dicha brecha “cuando la misma constituya un riesgo para los derechos y las libertades de las personas físicas” y tenemos 72 horas para hacerlo.
Todos los protocolos y medidas que implantemos en la empresa debemos recogerlos en un documento. Pero, sobre todo, las medidas deben ponerse en práctica y no relajarnos una vez llegados a este punto.
También estamos obligados a garantizar que quienes trabajan con nosotros y tienen de algún modo acceso a datos que tratamos, cumplan con la normativa de protección de datos. Para ello deberemos exigirles que adopten las medidas adecuadas para garantizar los derechos de los interesados mediante contratos o pactos de confidencialidad que firmemos con ellos.
Ejemplos: La asesoría que confecciona las nóminas de nuestros empleados, el compañero con el que colaboramos en un proyecto o la empresa encargada del mantenimiento de nuestros sistemas informáticos.
De nada sirve llegar hasta aquí si no se da la adecuada formación al personal de la empresa. Los trabajadores deben adquirir esa cultura de cumplimiento de la que hablábamos al principio y conocer las medidas implantadas. Muchos de ellos serán encargados del tratamiento, por lo que si no afianzamos este eslabón, la cadena puede romperse en cualquier momento. No solo se les debe explicar la política de la empresa a este respecto y sus concretas obligaciones, sino que se les debe facilitar esta información de la forma más gráfica y sencilla posible para que no se les haga bola.
El modelo de cumplimiento que adoptemos no es algo estático. No solo debe ir adaptándose a la transformación de nuestro negocio, sino que debe revisarse periódicamente para comprobar que funciona y, en su caso, modificar lo que sea necesario.
Es la consecuencia de esa responsabilidad que la normativa nos ha atribuido. Debemos cumplir y poder probar que lo hacemos, y ello requiere una constante revisión de nuestras medidas y procesos.
Como dije al principio, son muchos los aspectos que quedan fuera de este breve análisis. La figura del DPO o la evaluación de impacto, son parte de la regulación que me dejo en el tintero. Este artículo solo pretende orientar a autónomos y microempresas para llevar a cabo su adaptación a la nueva normativa y, en su mayor parte no estarán obligados a contar con un DPO ni a llevar a cabo la evaluación de impacto, aunque habrá quien si lo requiera. Hay despachos de abogados cuya principal actividad de tratamiento se refiere a datos personales relacionados con delitos o condenas. Atendiendo a la literalidad de la norma, necesitarían un DPO. En mi opinión, esta obligación para un despacho penalista unipersonal, supondría un coste probablemente difícil de asumir. Quizás la única opción que tenga el profesional sea poder acreditar ante la AEPD que él mismo tiene los conocimientos técnicos y la capacidad para actuar como DPO, lo que, en cualquier caso, le exigirá un trabajo y esfuerzo extraordinario.
Ya solo nos queda hacer el camino pensando que no sólo estamos protegiendo datos, sino derechos de personas que merecen como mínimo, el respeto que la GDPR les otorga.
María Inmaculada López González
BUFETE LÓPEZ GONZÁLEZ
Asociada de ENATIC
Con esta nota sobre el principio de transparencia y el derecho de información iniciamos este blog, que tiene por objetivo compartir y debatir sobre las nuevas (y viejas) obligaciones y derechos que introduce el RGPD. A partir de cada una de estas breves notas buscamos generar un entorno a partir del cual explorar las novedades del RGPD no sólo desde una perspectiva teórica sino también práctica.
Todas las opiniones y comentarios serán bienvenidos.
El principio de transparencia y el deber de información en el RGPD
¿Qué es el principio de transparencia?
El principio de transparencia no es nuevo en el ámbito de la protección de datos, sino que es un principio directamente ligado a los tradicionales principios de información, licitud y lealtad. El Grupo de Trabajo del Artículo 29[1], define al mencionado principio como: el requerimiento de que cualquier información y comunicación relacionadas con el procesamiento de datos personales sea de fácil acceso y de fácil entender, usando un lenguaje claro y sencillo. Refiriéndose, en particular, a la información sobre el responsable del tratamiento, los fines del tratamiento y la información necesaria para garantizar un trato justo hacia los interesados en los datos personales.
El RGPD introduce el principio de transparencia de forma expresa en el listado de principios de su art. 5 y, posteriormente, lo desarrolla en su art. 12. En este sentido, la transparencia es necesaria durante todo el ciclo de vida de los datos y durante todo el tratamiento de los mismos, desde la etapa de recopilación hasta la fase final, en donde los datos son eliminados. Es decir, el responsable del tratamiento tiene que comunicar al interesado sobre los cambios en los tratamientos de datos que realiza, las condiciones del tratamiento, o la existencia de alguna comunicación de datos, para garantizar que el interesado tenga pleno conocimiento del uso que se le brinda a los datos recopilados.
La transparencia está vinculada al principio de la accountability, por tanto, el responsable de tratamiento debe buscar el mecanismo idóneo para lograr que las personas sean informadas de forma efectiva de cómo van a ser tratados sus datos.
¿Cuáles son los requisitos de transparencia?
Como recuerda el Grupo de Trabajo del Artículo 29, el concepto de transparencia parte de una concepción user-centric más que de una legalista. Por tanto, toda actuación enmarcada en el cumplimiento de este principio debe pensarse desde la perspectiva de la “audiencia” a la que se dirige.
Los requisitos de transparencia que debe tener en cuenta el responsable del tratamiento se describen en el artículo 12 del RGPD. Se exige que la información cumpla con las siguientes reglas:
El Grupo de Trabajo del Artículo 29 entiende por “fácil acceso” que el acceso a la información por parte del interesado no debe implicar ninguna búsqueda o esfuerzo por parte de este. Debe ser evidente para los interesados donde pueden acceder a la información. Además, se recomienda que los párrafos y oraciones estén bien estructurados. Las oraciones deben estar formuladas en activo y no en pasivo y el exceso de sustantivos debe evitarse. La información proporcionada al interesado no debe contener un lenguaje o terminología excesivamente técnica o especializada.
La información se debe proporcionar sin que el interesado deba realizar aportación económica alguna. Cuando las solicitudes de los interesados sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, el responsable del tratamiento podrá cobrar un canon razonable en función de los costes administrativos afrontados para facilitar la información o la comunicación o realizar la actuación solicitada, o negarse a actuar respecto de la solicitud. El responsable del tratamiento es quien debe demostrar el carácter manifiestamente infundado o excesivo de la solicitud.
¿Cómo debe cumplirse con el principio de transparencia?
El principio de transparencia requiere que cualquier información y comunicación relacionada con el tratamiento de los datos personales sea fácilmente accesible (en un lugar visible y directamente accesible) y fácil de entender, que se use un lenguaje claro y sencillo, sin ambigüedades. El Grupo de Trabajo del Artículo 29 señala que el responsable debe analizar cuál es su “audiencia” para adaptar el mensaje. Las personas deben poder conocer, por adelantado, el alcance y las consecuencias del tratamiento de sus datos.
En este sentido, cuando la información vaya dirigida a niños debe hacerse de forma que se comprenda que va dirigida a ellos: el vocabulario, estilo y tono deben ser los adecuados atendiendo a la edad de los menores.
El RGPD no prevé una forma específica de cómo prestar la información solicitada, pero el Grupo de Trabajo del Artículo 29, señala la importancia de que la notificación que contiene la información proporcionada cuente con un aviso de protección de datos o declaración de privacidad, y un resumen de las finalidades del tratamiento. Asimismo, es necesario que el responsable del tratamiento tenga en cuenta la modalidad y el formato apropiado para suministrar la información.
La obligación de ser transparentes durante todo el tratamiento puede conseguirse, por ejemplo, con un claro aviso de protección de datos accesible en la página web con la información relativa a los tratamientos de datos realizados para que en cualquier momento pueda ser consultada y con los mecanismos para ejercer los derechos, así como cualquier otra información útil al respecto.
Una de las manifestaciones del principio de transparencia que probablemente tendrán mayor impacto en un futuro cercano, habida cuenta de los avances que estamos experimentando en materia de inteligencia artificial, es el de la necesidad de hacer transparentes las decisiones basadas en tratamientos automatizados que pueden tener un efecto jurídico sobre los ciudadanos o vaya a afectarles significativamente.
Se encuentran reguladas en el artículo 22 del RGPD, estableciéndose como principio el derecho de la persona a no ser objeto de este tipo de decisiones, salvo cuando se cuente, por ejemplo, con el consentimiento explícito. En cualquiera de los supuestos, las excepciones reguladas exigen el establecimiento de medidas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado. En este punto, la transparencia cobra especial importancia, ya no sólo en cuanto a dar a conocer la existencia de este tipo de tratamiento, sino por la necesidad de que las personas entiendan la importancia y las consecuencias que ese tratamiento va a tener para ellas. Así, se exige al responsable del tratamiento que informe de estas circunstancias, junto con la lógica aplicada, en el momento de la recogida de los datos, o con posterioridad si los datos no se recogen directamente del interesado.
¿Qué es el deber de información?
Los principios de tratamiento leal y transparente exigen que se informe al interesado de la existencia de operaciones de tratamiento y sus fines. El responsable del tratamiento debe facilitar al interesado cuanta información sea necesaria para garantizar un tratamiento leal y transparente, habida cuenta de las circunstancias y del contexto específicos en que se traten los datos personales.
El RGPD establece que se debe facilitar a los interesados la información sobre el tratamiento de sus datos personales en el momento en que se obtengan de ellos o, si se obtienen de otra fuente como máximo en el plazo de un mes, Esta información dirigida al público o al interesado podrá facilitarse también en forma electrónica.
Además, si los datos personales pueden ser comunicados legítimamente a otro destinatario, se debe informar al interesado en el momento en que se comunican al destinatario por primera vez. El responsable del tratamiento que proyecte tratar los datos para un fin que no sea aquel para el que se recogieron debe proporcionar al interesado, antes de dicho tratamiento ulterior, información sobre ese otro fin y otra información necesaria.
En los arts. 13 y 14 del RGPD se contempla la información que debe facilitarse en la recogida de los datos, tanto si se recogen directamente del interesado como si se recogen por otros medios, de modo que el interesado sea capaz de determinar de antemano cuál es el alcance y las consecuencias que implica el tratamiento de datos.
El Grupo de Trabajo del Artículo 29 indica que las categorías de información que deben proporcionarse al interesado de los datos que son materia de tratamiento ya se encuentran enumeradas y resumidas dentro de la norma. Sin embargo, los responsables del tratamiento no solo deben proporcionar la información prescrita en los artículos 13 y 14, sino que también se debe explicar cuáles serán las consecuencias más importantes del tratamiento.
¿Qué debe hacer el responsable del tratamiento si el interesado solicita información sobre el tratamiento de sus datos?
El responsable del tratamiento deberá facilitar al interesado información relativa a sus actuaciones sobre la base de una solicitud y, en cualquier caso, en el plazo de un mes a partir de la recepción de la solicitud. Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes. El responsable informará al interesado de cualquiera de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación. Cuando el interesado presente la solicitud por medios electrónicos, la información se facilitará por medios electrónicos cuando sea posible, a menos que el interesado solicite que se facilite de otro modo.
El responsable del tratamiento deberá de informar sin dilación al interesado en caso de no poder atender su solicitud, y a más tardar transcurrido un mes de la recepción de la solicitud, de las razones de su no actuación y de la posibilidad de presentar una reclamación ante una autoridad de control y de ejercitar acciones judiciales.
Cuando el responsable del tratamiento tenga dudas razonables en relación con la identidad del interesado que presenta una solicitud de ejercicio de derechos de habeas data, podrá solicitar que se facilite información adicional necesaria para confirmar la identidad del mismo.
El responsable del tratamiento podrá facilitar la información a través de una combinación con iconos normalizados que permitan proporcionar de forma fácilmente visible, inteligible y claramente legible una adecuada visión de conjunto del tratamiento previsto.
¿Cuáles son los puntos principales sobre los que se debe informar?
Cuando se obtengan los datos personales directamente del propio interesado, el responsable del tratamiento, en el momento en que los obtenga, debe informar de :
Cuando los datos personales no hayan sido obtenidos del propio interesado, el responsable del tratamiento, de manera adicional a todos los puntos anteriores, también deberá informar de la fuente de la que proceden los datos personales o si proceden de fuentes de acceso público. Esta información deberá ser facilitada:
¿Cómo se debe informar?
La forma en la que se provee la información es de vital importancia. La comunicación de la misma debe incluirse en un aviso de protección de datos o declaración de privacidad.
El Grupo de Trabajo del Artículo 29 precisa que es indispensable que el método empleado para proporcionar la información sea apropiado para la circunstancia en particular; por ejemplo, brindando la información de forma escrita en una página web o mediante un vídeo, así como también a través de un código QR.
Tanto el Grupo de Trabajo del Artículo 29 como las diferentes autoridades de control[2] recomiendan el uso de declaraciones o avisos de privacidad por capas, que permiten a los interesados consultar los aspectos de los textos legales de mayor interés para ellos con un enfoque multinivel; el cual ayuda al responsable del tratamiento a diseñar los procedimientos y formularios.
El Proyecto de Ley Orgánica de Protección de Datos recoge esta posibilidad para el caso de que los datos sean obtenidos del afectado a través de redes de comunicaciones electrónicas o en el marco de la prestación de un servicio de la sociedad de la información, y supuestos expresamente establecidos por la ley o autorizados por la Agencia Española de Protección de Datos.
Señala, en su art. 11, que se facilitará al afectado una información básica y se le indicará una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información. La información básica deberá referirse a:
Las declaraciones o avisos de privacidad por capas se apoyan en dos pilares fundamentales:
La forma de presentar la información adicional depende del medio empleado para hacer llegar la información solicitada por el interesado. El lenguaje para presentar la información debe ser claro, conciso y sencillo, aplicando una exposición estructurada en los epígrafes de la tabla de información básica, evitando jerga jurídica que tal vez no pueda ser correctamente comprendida por el interesado y empleando, en la medida de lo posible, un formato de preguntas y respuestas.
La extensión de la información contenida en este nivel dependerá de la complejidad de cada circunstancia en particular. Pudiendo incluir información que no necesariamente haya sido contemplada en el RGPD con el fin de contribuir a mejorar la protección de los datos personales y generar confianza con el interesado.
¿Cuándo no es necesario informar al interesado?
Cuando se obtengan los datos personales directamente del propio interesado, el RGPD indica que no será necesario informar al interesado cuando ya dispone de la información.
Cuando los datos personales no hayan sido obtenidos del propio interesado, el RGPD indica que no será necesario informar al interesado:
¿Cómo puede una organización saber si cumple con el principio de transparencia y el deber de información?
El Considerando 74 del RGPD establece que el responsable está obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento. Por ello, es muy importante asegurar una correcta identificación de las amenazas a los que está expuesta una actividad de tratamiento y los posibles riesgos asociados al cumplimiento de los requisitos regulatorios relacionados con los derechos y libertades de los interesados.
De este modo, la Agencia Española de Protección de Datos[3] ha elaborado un listado de cumplimiento normativo que incluye un punto específico para la valorar el grado de cumplimiento de la obligación de transparencia y del derecho de información que nos permite tener una primera aproximación.
Abel Loeches Márquez
AKELA
[1] Directrices sobre transparencia publicadas por el WP 29 el 29 de noviembre de 2017: (http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=622227)
[2] A titulo de ejemplo: https://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/modeloclausulainformativa.pdf
[3] https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/2018/LISTADO_DE_CUMPLIMIENTO_DEL_RGPD.pdf
Mucho se ha escrito, mucho se ha oído y mucho se ha podido ver, incluyéndose a las respectivas autoridades de control comentar respecto a cómo debería ser la adecuación y/o implementación del nuevo marco regulador de protección de datos. Este artículo no pretende ir más allá de mostrar mi humilde opinión jurídica en cuanto a lo que considero una correcta aplicación del GDPR, la cual la supedito a la integración o realización de los denominados modelos de compliance y, más concretamente, a la posibilidad de integrar el modelo COSO e ISO 19600 que no son más que modelos de control y gestión del riesgo, pudiendo partir, si se dispusiere, del Modelo de Prevención de Delitos Penales a los que hace referencia el artículo 31 bis del Código Penal.
Bajo mi interpretación del GDPR, el cual es configurado de forma transversal, y centrándome en la responsabilidad proactiva, dado que en virtud de la configuración enunciada, los responsables de tratamiento deberán prima facie (sustantivo) asegurar la correcta aplicación de los principios recogidos en el artículo 5 y desarrollados mediante los requisitos y obligaciones contenidos en los artículos 6 a 23, dando primacía al principio de transparencia, información, consentimiento y derecho de los afectados (garantizar el derecho de autodeterminación informativa). Sin embargo, dicho derecho sustantivo (hardlaw) es completado, dentro del principio de responsabilidad proactiva (Capítulo IV, especialmente, artículos 24 a 39) mediante normativa softlaw y, considero que dicho cumplimiento está configurado bajo los modelos de compliance.
La anterior afirmación la emito porque de una lectura exhaustiva del artículo 24 GDPR se desprende que dicha responsabilidad está basada en el principio de COMPLAIN & EXPLAIN: CUMPLE Y EXPLICA, base de todo programa de cumplimiento normativo. Dicho artículo hace mención expresa a términos como: riesgo, controles, políticas, etc. Por tanto y, en virtud, de la configuración transversal, el GDPR obliga con carácter general a establecer un modelo de compliance, el cual es desarrollado más pormenorizadamente, a través de los siguientes artículos, en los cuales se establecen especialidades en virtud del tipo de tratamiento de datos personales. Por ello, las obligaciones formales y/o documentales, tales como el Registro de Actividades de Tratamiento, no es el eje principal de una correcta aplicación y garantiza el cumplimiento, dado que dicho RAT no es más que lo que expresamente establece el propio GDPR (documento interno formal), pero no el requisito determinante para demostrar y garantizar el cumplimiento afecto, tal y como últimamente estoy cansado de escuchar a múltiples “consultoras.”
Comentado el precedente, qué pretende el GDPR con la responsabilidad proactiva. Dado que los estados ya no pueden garantizar el cumplimiento, no sólo en materia de protección de datos sino en otros ámbitos del derecho a través del referido hardlaw pretenden servirse de los distintos actores (empresas, administraciones públicas, servicios, etc.), por así decirlo, para controlar el cumplimiento, dándoles libertad para establecer un modelo o un proceso de cumplimiento (softlaw, el cual es aceptado por la sociedad), en este caso, relacionado con la privacidad, tomando como referencia cultura anglosajona (USA[1], Reino Unido[2]) pero también cultura europea (Alemania[3]) respecto a los denominados cumplimientos normativos. Dicho softlaw, principalmente y actualmente, toma como referencia marcos o normas estandarizadas reconocidos internacionalmente[4]. Entre dichos marcos y normas se encuentra el denominado marco COSO e ISO 19600 que, principalmente, recoge un proceso interno de gestión del riesgo y cómo contralar el mismo.
Si efectuamos una extrapolación de la finalidad del GDPR en cuanto a garantizar y acreditar la responsabilidad en referencia al modelo COSO e ISO 19600, las similitudes son extraordinarias. El GDPR, al igual que el modelo COSO (Coso I y III determinada el modelo, mientras que COSO II indica cómo gestionar el riesgo) el cual es tomado como base en ISO 196000 de la misma forma que en otro tipo de ISO (calidad, medio ambiente, prevención de riesgos, etc.), base su eficacia en los referidos modelos de cumplimiento. Analicemos el GDPR en base a dicho modelo de gestión del riesgo: El GDPR expresamente hace mención a las tres líneas de defensa de los modelos de compliance: Medición del riesgo (mapa) y establecimiento de políticas y controles a los riesgos; establecimiento y seguimiento de los controles; monitorización y/o supervisión del modelo de cumplimiento. Las tres líneas deben ser justificadas y documentadas, tanto en el supuesto de tratamientos que no precisen EIDP como aquellos tratamientos que precisen de EIDP por el carácter de alto riesgo en dicho tratamientos.
Ahora bien, como se pone lo comentado en tierra, a nivel práctico, es decir, dicha libertad basada en un modelo de compliance, cómo es operativo. Un modelo de cumplimiento GDPR se basa en tres pilares: diseño, implementación y eficacia operativa y, dicho modelo no se efectúa de la noche a la mañana y más, lamentándolo mucho, según está configurado el propio GDPR puesto que el mismo obliga a analizar el riesgo en virtud de operaciones, es decir, en virtud de la vida del dato (recogida, tipo de fuente de procedencia, operaciones internas, comunicaciones y/o transferencias, bloqueos, conservación, etc.) Relaciono el presente con las famosas EIDP, dado que pudiere suceder que en el análisis del riesgo la recogida no alcanzara un riesgo alto, pero la operación de comunicación a terceros sí y, en ese caso, sería necesario dicha EIPD.
Centrándonos en el GDPR y como base inicial, es obligatorio efectuar lo que se denomina mapeo de riesgos. Existen varias fórmulas, pero centraré el mismo, en dos extremos: riesgo en base a la actividad y el riesgo en base a los procesos. De dicho extremos, bajo mi impresión, es más fácil efectuar y/o medir el riesgo en base a la actividad, por lo tanto, en base a ella y a su afectación al responsable del tratamiento, habrá que determinar qué riesgos asociados a la actividad pudieren ser afectos en cuanto a la privacidad (tratamientos), dado que no es lo mismo una actividad de un centro sanitario que la actividad de una PYME más allá del servicio que presta, pero habrá que atender a las finalidades que se efectúan, puesto que pudiere suceder que se efectúe en una PYME profiling o análisis de perfiles que impliquen un aumento del riesgo y, por ende, un mayor seguimiento respecto a los controles a establecer.
Una vez efectuado el mapeo de riesgo y la matriz obtenida de dos coordenadas (riesgo y probabilidad), recomendando establecer o documentar el proceso a implementar, es decir, la denominada política de protección de datos; habrá que establecer los controles precisos a dichos riesgos, los cuales deberían, igualmente, establecer o contener los riesgos a las medidas técnicas y organizativas que se disponen (p.e. si disponemos de un riesgo asociado al acceso al sistema de información por falta de establecimiento de temporalidad de modificación de contraseñas, un control a establecer sería recordar o establecer la temporalidad; otro control es la revisión, cada cierto tiempo, respecto a la incorporación o testeo de las distintas cláusulas afectas o relacionar los encargados de tratamiento). Este segundo paso es la segunda línea de defensa, respecto a la cual ha de documentarse, por así decirlo, obtener la evidencia a dicho seguimiento y actuación. La tercera línea de defensa sería la verificación y/o supervisión, la cual, tal y como indica el propio GPDR la asumiría el DPO en caso que fuere preciso o la persona respecto a la cual el responsable del tratamiento haya designado. En este punto concreto, se ha de resaltar, como así se establece en los programas de compliance, que el mismo debe ser objeto principal de la dirección de la empresa, es decir, en el primer nivel y, ese nivel, sería por ejemplo el Consejo de Administración, al cual se habrá de reportar en relación al ámbito de privacidad y, sobre el cual, recaerá la asunción del nombramiento del respectivo DPO, puesto que el mismo, al igual que en otros ámbitos (PBCFT; Delitos Penales), aquel se sitúa, tal y como el propio GDPR establece en su artículo 38.3, en lo más alto jerárquicamente y bajo el principio de independencia y, dichos extremos deben ser garantizados: “El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.” Dicho DPO será el encargado de supervisar la Eficacia Operativa del modelo diseñado e implementado y el encargado de reportar a la alta dirección los informes relacionados, a través de las evidencias y documentos obtenidos a lo largo del tiempo.
La pregunta sería, se puede establecer dicho modelo de compliance con las herramientas y/o publicaciones que las autoridades de control han publicado. No tengo respuesta para ello, puesto que, si bien es cierto que tanto las guías sobre medición de riesgo y EIDP pudieren servir de base para establecer la primera línea de defensa, por el contrario, todo modelo de compliance ha de estar VIVO y, por ello, al contrario que sucedía con la LOPD (se efectuaba documento de seguridad y se quedaba en el cajón cogiendo polvo), ahora por el contrario, dicho modelo diseñado e implementado debe estar actualizado, puesto que será la defensa principal (atenuante o eximente) en caso de procedimientos sancionadores u otros análogos, más aún si lo extrapolamos con los principios rectores del ámbito penal y del artículo 31 bis referenciado al inicio del presente artículo, el cual indica que dicho programa debe estar VIVO, habiendo indicado la propia FISCALIA que disponer de certificación de ISO 19601 no es elemento atenuante sino que debe demostrarse que dicho modelo ha sido implantado eficazmente, de la misma forma que el GDPR se expresa al hablar de diligencia, supervisión y verificación. Por ello, mi primera reflexión acerca de que el modelo de cumplimiento del GDPR pudiere formar parte integrada del modelo de prevención de delitos penales, ampliando su alcance al establecimiento de controles y políticas asociadas a los delitos relacionados con la privacidad.
Terminando con el presente artículo, el cual precisaría de una mayor extensión, aunque la finalidad del mismo ha sido “intentar mostrar un poco de luz”, si bien habrá que dejar caminar al GDPR, sí me gustaría indicar dos cosas: primera, poco a poco se está produciendo una cambio cultural al respecto del presente ámbito, el cual ya empieza a tener su punto de partida tanto en la Ley de Contratos del Sector Público como en las relaciones con otras empresas e inversores, destacando la obligatoriedad y/o exigencia de acreditar o valorar el riesgo asociado a una actividad empresarial concreta; y segunda, para poder interpretar, entender y, especialmente, implementar el GDPR es necesario conocer y desenvolverse con procesos de cumplimiento basados en el riesgo y en la supervisión de los controles asociados a los mismos, por lo que, bajo mi apreciación, simplemente realizar un análisis a través, por ejemplo, de la herramienta FACILITA, descarga del RAT y check-list de verificación, no sería suficiente, porque como he comentado, el modelo de responsabilidad del GDPR ha de estar VIVO y las precedentes acciones son meras formalidades, amén de otros extremos afectos que no forman parte del presente artículo. Este artículo no es más que una simple opinión basada en la experiencia y en la interpretación del GDPR, pudiendo no ser compartida por otros actores o lectores.
Efrén Santos Pascual
Socio – Abogado TIC
ICEF Consultores
www.icefconsultores.com
@efrensantos_tic
[1] FCPA. Foreign Corrupt Practices Act
[2] Bribery Act
[3] IDWAssS 980
[4] BS 10012:2017: ISO 31000:2009; Directrices OCDE.
Con la entrada en vigor el próximo 25 de mayo del nuevo Reglamento Europeo de protección de datos personales (RGPD o GDPR), deberá revisarse que todos los tratamientos de datos personales en curso se adecuan al mismo, en sus múltiples facetas o nuevas obligaciones para los responsables o encargados del tratamiento.
El RGPD tiene como novedad significativa que va a ser de aplicación directa en todos los estados miembros de la UE y presenta numerosas novedades con respecto a la actual legislación, la Ley 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD) y su Reglamento de desarrollo, entre las cuales debemos analizar lo relativo a la legitimación para el tratamiento de los datos personales.
Encontramos los parámetros esenciales exigidos para la licitud del tratamiento en el art. 6, las condiciones para que consentimiento sea válido, art. 7 y una extensión especial para determinar las condiciones necesarias para la validez del consentimiento del niño, con relación a los servicios de la sociedad de la información en el art. 8.
El artículo 6 del RGPD nos indica los requisitos para que un tratamiento de datos personales pueda ser considerado lícito:
El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones: a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos; b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales; c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento; d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física; e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento; f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño. Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.
He resaltado los dos aspectos que, en mi opinión, van a ser más controvertidos en cuanto a su aplicación.
Las condiciones para el consentimiento. El consentimiento tácito.
Las características del consentimiento exigidas por el art. 7 se exponen a continuación:
El responsable deberá poder demostrar el consentimiento del interesado (art. 7.1).
Debe ser revocable fácilmente (art. 7.3).
El consentimiento debe recaer sobre todos los fines para los que vayan a tratarse los datos (Considerando 32).
El consentimiento debe ser informado, en un lenguaje claro y sencillo, como mínimo de la identidad del responsable del tratamiento y los fines del tratamiento a los cuales están destinados los datos personales y deberán evitarse cláusulas abusivas.
El consentimiento deberá ser consciente y libre (considerando 42).
Además, el Reglamento establece otros requisitos para que pueda considerarse que la manifestación de voluntad sea válida:
Consentimiento “explícito”, habilitador para el tratamiento de categorías especiales de datos personales (art. 9) o ser objeto de decisiones individuales automatizadas (art. 22).
Consentimiento “inequívoco”. En este sentido, para considerar que el consentimiento es inequívoco, debe existir una declaración de los interesados o una acción positiva que indique la conformidad del interesado (art. 4.11).
En el Considerando 32 del Reglamento se considera como acción positiva el hecho de marcar una casilla de un sitio web en internet, así como la realización de una conducta que indique claramente, en este contexto, que el interesado acepta la propuesta de tratamiento de sus datos personales.
Así pues, la conducta de un interesado puede llevar a comportar la prestación de un consentimiento inequívoco para el tratamiento de sus datos personales, pudiendo ser considerada esta conducta como una acción positiva a que hace referencia el art. 4.11.
En este sentido, la Audiencia Nacional ha validado diferentes conductas de interesados como acciones que validan el consentimiento en diferentes y variadas situaciones, por ejemplo, por uso del servicio de telefonía, por el abono de varias facturas del servicio, por los actos posteriores a un arrendamiento de vehículo, etc.
El simple consentimiento tácito que contemplaba el Reglamento de desarrollo de la LOPD, en su artículo 14, consistente en que, si el interesado nada oponía en 30 días desde su comunicación, deberá considerarse no válido. La Agencia Española de Protección de Datos ha manifestado su criterio de que el Reglamento deroga este artículo, puesto que no existe acción específica por parte del interesado, es decir, el Reglamento no admite la “inacción”, como causa de considerar otorgado el consentimiento para el tratamiento de los datos personales.
La habilitación del tratamiento para la satisfacción de intereses legítimos.
En el art. 6.1.f se establecen los intereses legítimos que deben considerarse y que pueden ser de los responsables o de terceros, haciendo especial referencia siempre a que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.1
En este sentido se plantea un conflicto entre lo que pueda representar intereses legítimos, no solo de los responsables, sino también de terceros versus los derechos y libertades fundamentales del interesado.
La Sentencia del Tribunal de Justicia de la UE de febrero de 2012, resolvió que la mera invocación de un interés legítimo no puede considerarse suficiente para legitimar el tratamiento de datos personales sin el consentimiento del afectado. En sus fundamentos, el propio Tribunal argumenta la necesidad de realizarse, en cada caso concreto, una ponderación entre el interés legítimo de quien va a tratar los datos y los derechos fundamentales de los interesados, para determinar cuál debe prevalecer.
La Audiencia Nacional ha considerado procedente, entre otros, un interés legítimo en diferentes supuestos en que la publicación de algunos datos se ha considerado amparada por la libertad de información, la existencia de un interés legítimo en el envío de correo electrónico a miembros de un colectivo profesional por parte de un candidato a elecciones en dicho colegio y la actividad de un motor de búsqueda en la actividad desarrollada.
También la Agencia Española de Protección de Datos ha considerado diferente casuística como legitimadora para tratar los datos, atendiendo en cada caso al contexto y la finalidad, ponderando los intereses en conflicto en cada caso.
En resumen, el nuevo Reglamento viene a clarificar y delimitar con más profundidad los requisitos exigibles para que un tratamiento de datos personales pueda tener legitimidad, lo que debe llevar a los responsables a la revisión de si es posible continuar con el tratamiento de los datos de que dispone o debe recabar algún tipo de consentimiento, teniendo en cuenta el Considerando 171 que permite la continuidad en el tratamiento, si el consentimiento obtenido se ajusta a las condiciones del presente Reglamento. En cualquier caso, deberán ser objeto de revisión los protocolos de los tratamientos para adecuarlos a los requisitos del nuevo Reglamento.
Pere Rius Alonso
Abogado
Asociado ENATIC
TICJURIS ADVOCATS, SLP
Vic
www.ticjuris.com
https://www.linkedin.com/in/pere-rius-alonso-6b6ba516/
@rius_pere
“Bienvenidos a la nave del misterio”, entradilla ya mítica de Iker Jiménez en el programa que sirve de título al presente artículo. Hoy nos adentraremos en los misterios y enigmas que, a poco más de un año para su aplicación, nos oculta el reglamento de protección de datos. Preguntas sin resolver o, al menos, para quien suscribe el presente, situaciones que se muestran semi-ocultas entres los artículos y considerando del GDPR.
El primero de los misterios acontece en el propio objeto y ámbito de aplicación, dado que la finalidad del GDPR es, según reconoce expresamente, “la protección de las personas físicas en lo que respecta al tratamiento de los datos personales.” Ahora bien, el propio GDPR parece que establece una supremacía o subsidiaridad de protección, en base a un elemento común, la identificación -reconocimiento de la persona física-, la cual pudiere disponerse -interesado- o pudiere obtenerse -directa o indirectamente a través de identificadores.- Si a dicho objeto material le agregamos la definición de dato personal, la cual dice: “toda información sobre una persona física identificada o identificable”, tal vez solamente esté protegiendo la información en base al elemento de reconocimiento, es decir, que si no existe elemento de identificación no podría aplicarse el GDPR. Imaginemos que un empresa suscribe contrato con un proveedor de servicios de acceso a Internet y que dicha entidad suministra el router a través del cual se recopila información con la finalidad de utilizar la data asociada y recabada a través del router para proporcionar información, contenidos y publicidad en base a múltiples criterios -conexión; terminales conectados; puertos abiertos; contenido y hora de visualización; etc.- Si la identificación no permite identificar a una persona física pero de la data obtenida pudiere parametrizarse resultados que permitiera conocer información asociada a una persona física, entonces, sería aplicable el Reglamento o, por el contrario, se consideraría que los elementos identificadores no permite obtener el reconocimiento de la persona física.
El segundo de los misterios es el que aparece de soslayo dentro de los considerandos del GDPR, concretamente, en el (78)[i] donde al interesado se le reconoce un derecho nuevo, el derecho de supervisión de las medidas técnicas y organizativas que tenga implantadas en el responsable del fichero o encargado de tratamiento respecto al tratamiento de datos personales. Ahora bien, esta supervisión, teóricamente está basada en el principio de transparencia, pero no específica de qué forma el responsable y encargado deberían hacer frente a esta potestad otorgada al interesado. ¿Dicha supervisión podría hacerse efectiva a través del principio de información o a través de códigos éticos o a través de organigramas visuales? En caso que dicho derecho pudiere ser ejercitado ¿Cómo sería el procedimiento para poder ejercitarlo? ¿A través de qué medios o canales se debería hacer efectivo dicho derecho: mediante enlace a Página Web disponible y sin limitación de acceso; con limitación en base a la identificación de interesado? ¿Podría ser ejercitado por cualquier interesado, estuviere o no identificado?
Otro de los misterios, nada baladí, hace referencia a la aplicación del Reglamento a aquellos responsables o encargados establecidos fuera de la Unión Europa, como así reconoce el propio GDPR en su Considerando (23) y (24)[ii]. Pero, ¿qué ocurrirá con aquellos servicios de suscripción basados en el análisis comportamental y utilización de dicha información para la puesta a disposición de publicidad dirigida a residentes en la Unión Europea desde fuera de la misma? Estoy pensando en servicios gratuitos dirigidos en base a la obtención de información mediante de APIS donde el responsable y encargado indistintamente utilizan la data desde fuera de las fronteras de la Unión Europea, no solamente mediante publicidad programática sino mediante la nueva modalidad publicitaria -header bidding.-
Llegamos a uno de las grandes incógnitas regulatorias, los denominados profiling de opiniones políticas en procesos electorales, que abre la puerta a los partidos políticos a efectuar un análisis de los interesados durante el proceso electoral, expresamente dispuesto en el Considerando (56)[iii].Ya no sólo van a poder utilizar el censo para remitir, sus ya clásicas correspondencia electoral, sino que, a partir de ahora, podrán efectuar un target, especialmente, a través de las redes sociales, con el fin de obtener una data que le permita dirigir a un público determinado dicha propaganda. Según el GDPR debe ofrecerse garantías, pero desconozco cuáles y de qué forma se procederá a regular dicha posibilidad y si la utilización de dicha target caducará o vencerá al finalizar el proceso electoral.
Otra incógnita, ésta en base a la interpretación del GDPR, es la que afecta al apartado 5 del artículo 30[iv] en cuanto a la obligación de registrar las actividades de tratamiento, dado que, bajo la perspectiva de quien suscribe, la apariencia de interpretación podría ser sencilla, considero que la redacción de la excepción contemplada en dicho apartado no es del todo clara. Según dicho apartado, las empresas u organizaciones de menos de 250 empleados no tendrán la obligación de llevar a cabo el registro de actividades de tratamiento, pero dicha excepción se basa en tres requisitos, no siendo éstos opcionales
más que en el último caso cuando utiliza expresamente la conjunción “o” separando claramente las denominadas categorías especiales de datos personales, es decir, estaríamos ante una excepción difícil de albergar, puesto que operaría solamente, si el tratamiento de datos no supone riesgo para los derechos y libertades fundamentales así como el requisito que dicho tratamiento no sea ocasional. Por lo que esta parte entiende nunca podrá darse la excepción en categorías especiales ni en tratamientos no ocasionales y, por la expresión ocasional, es clara la referencia contemplada en el RDLOPD cuando expresamente alude a ella en el artículo 81.5 b)[v].
Para concluir la nave del misterio, aunque no las incógnitas que plantea el GDPR, es interesante las tipologías de, llamémoslas auditorías o controles de cumplimiento. Hay que rascar un poco el GDPR para encontrarnos con cinco tipos: dos, tres o cuatro en virtud del tratamiento y las especialidades de los responsables y encargados, y una última la correspondiente a las que realizaran las autoridades de control. Por una parte, las empresas tendrán que efectuar como mínimo, la denominada privacidad por diseño y la auditoría de comprobación. A estas habrá que sumarles en caso de transferencias internacionales las adscritas a dicho tratamiento y, las EIPD´S o PIA´S como control preventivo. Un sinfín de controles preventivos y legales a través de múltiples metodologías a considerar por los responsables y encargados. Igualmente, significativo es cómo efectuarán las PYMES la adecuación a dichos controles y, si temporal o definitivamente, pueden ampararse en la metodología ya establecida en el Título VIII del RDLOPD.
Hasta aquí, la nave del misterio del GDPR, todo un sinfín de incógnitas y de situaciones complejas que dará lugar para múltiples opiniones, pero este breve artículo, equivocado o no, simplemente se ha redactado para, al menos, “adentrarse en variantes que, a fecha presente, considero que no se han puesto de manifiesto” y que, probablemente, la adecuación regulatorio tendrá sus complejidades a la hora de abordarlas. Hasta la próxima nave del misterio, sigan creyendo o al menos no renuncien a lo sobrenatural.
Efrén Santos Pascual
Socio – Abogado TIC
ICEF Consultores
www.icefconsultores.com
@efrensantos_tic
[i] (78) […] Dichas medidas podrían consistir, entre otras, en reducir al máximo el tratamiento de datos personales, seudonimizar lo antes posible los datos personales, dar transparencia a las funciones y el tratamiento de datos personales, permitiendo a los interesados supervisar el tratamiento de datos y al responsable del tratamiento crear y mejorar elementos de seguridad […]
[ii] (24) El tratamiento de datos personales de los interesados que residen en la Unión por un responsable o encargado no establecido en la Unión debe ser también objeto del presente Reglamento cuando esté relacionado con la observación del comportamiento de dichos interesados en la medida en que este comportamiento tenga lugar en la Unión. Para determinar si se puede considerar que una actividad de tratamiento controla el comportamiento de los interesados, debe evaluarse si las personas físicas son objeto de un seguimiento en internet, inclusive el potencial uso posterior de técnicas de tratamiento de datos personales que consistan en la elaboración de un perfil de una persona física con el fin, en particular, de adoptar decisiones sobre él o de analizar o predecir sus preferencias personales, comportamientos y actitudes.
[iii] (56) Si, en el marco de actividades electorales, el funcionamiento del sistema democrático exige en un Estado miembro que los partidos políticos recopilen datos personales sobre las opiniones políticas de las personas, puede autorizarse el tratamiento de estos datos por razones de interés público, siempre que se ofrezcan garantías adecuadas.
[iv] 5. Las obligaciones indicadas en los apartados 1 y 2 no se aplicarán a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10.
[v] En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual bastará la implantación de las medidas de seguridad de nivel básico cuando: b) Se trate de ficheros o tratamientos en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad.