Entradas

Cuarto milenio – misterios del GDPR

/0 Comentarios/en /por

“Bienvenidos a la nave del misterio”, entradilla ya mítica de Iker Jiménez en el programa que sirve de título al presente artículo. Hoy nos adentraremos en los misterios y enigmas que, a poco más de un año para su aplicación, nos oculta el reglamento de protección de datos. Preguntas sin resolver o, al menos, para quien suscribe el presente, situaciones que se muestran semi-ocultas entres los artículos y considerando del GDPR.

El primero de los misterios acontece en el propio objeto y ámbito de aplicación, dado que la finalidad del GDPR es, según reconoce expresamente, “la protección de las personas físicas en lo que respecta al tratamiento de los datos personales.” Ahora bien, el propio GDPR parece que establece una supremacía o subsidiaridad de protección, en base a un elemento común, la identificación -reconocimiento de la persona física-, la cual pudiere disponerse -interesado- o pudiere obtenerse -directa o indirectamente a través de identificadores.- Si a dicho objeto material le agregamos la definición de dato personal, la cual dice: “toda información sobre una persona física identificada o identificable”, tal vez solamente esté protegiendo la información en base al elemento de reconocimiento, es decir, que si no existe elemento de identificación no podría aplicarse el GDPR. Imaginemos que un empresa suscribe contrato con un proveedor de servicios de acceso a Internet y que dicha entidad suministra el router a través del cual se recopila información con la finalidad de utilizar la data asociada y recabada a través del router para proporcionar información, contenidos y publicidad en base a múltiples criterios -conexión; terminales conectados; puertos abiertos; contenido y hora de visualización; etc.- Si la identificación no permite identificar a una persona física pero de la data obtenida pudiere parametrizarse resultados que permitiera conocer información asociada a una persona física, entonces, sería aplicable el Reglamento o, por el contrario, se consideraría que los elementos identificadores no permite obtener el reconocimiento de la persona física.

El segundo de los misterios es el que aparece de soslayo dentro de los considerandos del GDPR, concretamente, en el (78)[i] donde al interesado se le reconoce un derecho nuevo, el derecho de supervisión de las medidas técnicas y organizativas que tenga implantadas en el responsable del fichero o encargado de tratamiento respecto al tratamiento de datos personales. Ahora bien, esta supervisión, teóricamente está basada en el principio de transparencia, pero no específica de qué forma el responsable y encargado deberían hacer frente a esta potestad otorgada al interesado. ¿Dicha supervisión podría hacerse efectiva a través del principio de información o a través de códigos éticos o a través de organigramas visuales? En caso que dicho derecho pudiere ser ejercitado ¿Cómo sería el procedimiento para poder ejercitarlo? ¿A través de qué medios o canales se debería hacer efectivo dicho derecho: mediante enlace a Página Web disponible y sin limitación de acceso; con limitación en base a la identificación de interesado? ¿Podría ser ejercitado por cualquier interesado, estuviere o no identificado?

Otro de los misterios, nada baladí, hace referencia a la aplicación del Reglamento a aquellos responsables o encargados establecidos fuera de la Unión Europa, como así reconoce el propio GDPR en su Considerando (23) y (24)[ii]. Pero, ¿qué ocurrirá con aquellos servicios de suscripción basados en el análisis comportamental y utilización de dicha información para la puesta a disposición de publicidad dirigida a residentes en la Unión Europea desde fuera de la misma? Estoy pensando en servicios gratuitos dirigidos en base a la obtención de información mediante de APIS donde el responsable y encargado indistintamente utilizan la data desde fuera de las fronteras de la Unión Europea, no solamente mediante publicidad programática sino mediante la nueva modalidad publicitaria -header bidding.-

Llegamos a uno de las grandes incógnitas regulatorias, los denominados profiling de opiniones políticas en procesos electorales, que abre la puerta a los partidos políticos a efectuar un análisis de los interesados durante el proceso electoral, expresamente dispuesto en el Considerando (56)[iii].Ya no sólo van a poder utilizar el censo para remitir, sus ya clásicas correspondencia electoral, sino que, a partir de ahora, podrán efectuar un target, especialmente, a través de las redes sociales, con el fin de obtener una data que le permita dirigir a un público determinado dicha propaganda. Según el GDPR debe ofrecerse garantías, pero desconozco cuáles y de qué forma se procederá a regular dicha posibilidad y si la utilización de dicha target caducará o vencerá al finalizar el proceso electoral.

Otra incógnita, ésta en base a la interpretación del GDPR, es la que afecta al apartado 5 del artículo 30[iv] en cuanto a la obligación de registrar las actividades de tratamiento, dado que, bajo la perspectiva de quien suscribe, la apariencia de interpretación podría ser sencilla, considero que la redacción de la excepción contemplada en dicho apartado no es del todo clara. Según dicho apartado, las empresas u organizaciones de menos de 250 empleados no tendrán la obligación de llevar a cabo el registro de actividades de tratamiento, pero dicha excepción se basa en tres requisitos, no siendo éstos opcionales

más que en el último caso cuando utiliza expresamente la conjunción “o” separando claramente las denominadas categorías especiales de datos personales, es decir, estaríamos ante una excepción difícil de albergar, puesto que operaría solamente, si el tratamiento de datos no supone riesgo para los derechos y libertades fundamentales así como el requisito que dicho tratamiento no sea ocasional. Por lo que esta parte entiende nunca podrá darse la excepción en categorías especiales ni en tratamientos no ocasionales y, por la expresión ocasional, es clara la referencia contemplada en el RDLOPD cuando expresamente alude a ella en el artículo 81.5 b)[v].

Para concluir la nave del misterio, aunque no las incógnitas que plantea el GDPR, es interesante las tipologías de, llamémoslas auditorías o controles de cumplimiento. Hay que rascar un poco el GDPR para encontrarnos con cinco tipos: dos, tres o cuatro en virtud del tratamiento y las especialidades de los responsables y encargados, y una última la correspondiente a las que realizaran las autoridades de control. Por una parte, las empresas tendrán que efectuar como mínimo, la denominada privacidad por diseño y la auditoría de comprobación. A estas habrá que sumarles en caso de transferencias internacionales las adscritas a dicho tratamiento y, las EIPD´S o PIA´S como control preventivo. Un sinfín de controles preventivos y legales a través de múltiples metodologías a considerar por los responsables y encargados. Igualmente, significativo es cómo efectuarán las PYMES la adecuación a dichos controles y, si temporal o definitivamente, pueden ampararse en la metodología ya establecida en el Título VIII del RDLOPD.

Hasta aquí, la nave del misterio del GDPR, todo un sinfín de incógnitas y de situaciones complejas que dará lugar para múltiples opiniones, pero este breve artículo, equivocado o no, simplemente se ha redactado para, al menos, “adentrarse en variantes que, a fecha presente, considero que no se han puesto de manifiesto” y que, probablemente, la adecuación regulatorio tendrá sus complejidades a la hora de abordarlas. Hasta la próxima nave del misterio, sigan creyendo o al menos no renuncien a lo sobrenatural.

 

Efrén Santos Pascual
Socio – Abogado TIC
ICEF Consultores
www.icefconsultores.com
@efrensantos_tic    

 

                                                                                

[i] (78) […] Dichas medidas podrían consistir, entre otras, en reducir al máximo el tratamiento de datos personales, seudonimizar lo antes posible los datos personales, dar transparencia a las funciones y el tratamiento de datos personales, permitiendo a los interesados supervisar el tratamiento de datos y al responsable del tratamiento crear y mejorar elementos de seguridad […]

[ii] (24) El tratamiento de datos personales de los interesados que residen en la Unión por un responsable o encargado no establecido en la Unión debe ser también objeto del presente Reglamento cuando esté relacionado con la observación del comportamiento de dichos interesados en la medida en que este comportamiento tenga lugar en la Unión. Para determinar si se puede considerar que una actividad de tratamiento controla el comportamiento de los interesados, debe evaluarse si las personas físicas son objeto de un seguimiento en internet, inclusive el potencial uso posterior de técnicas de tratamiento de datos personales que consistan en la elaboración de un perfil de una persona física con el fin, en particular, de adoptar decisiones sobre él o de analizar o predecir sus preferencias personales, comportamientos y actitudes.

[iii] (56) Si, en el marco de actividades electorales, el funcionamiento del sistema democrático exige en un Estado miembro que los partidos políticos recopilen datos personales sobre las opiniones políticas de las personas, puede autorizarse el tratamiento de estos datos por razones de interés público, siempre que se ofrezcan garantías adecuadas.

[iv] 5. Las obligaciones indicadas en los apartados 1 y 2 no se aplicarán a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10.

[v] En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual bastará la implantación de las medidas de seguridad de nivel básico cuando: b) Se trate de ficheros o tratamientos en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad.

¿Qué esperamos de la futura regulación de privacidad?

/0 Comentarios/en /por

Una de las preguntas más sonadas en los últimos tiempos es si necesitamos una ley mundial que proteja la privacidad en la red. La información de las personas que circula por Internet es más valiosa de lo que se puede pensar, por lo que no sería descabellado ver cómo en 2018 tenemos una regulación de la privacidad mundial.

La necesidad de una ley mundial que cuide nuestra privacidad en la red.

Redes sociales como Facebook, sin ir más lejos, han sido acusadas en muchas ocasiones de asaltar la privacidad de los usuarios. ¿Qué han hecho que se ha considerado tan grave? Compartir la información de algunos usuarios con empresas; es su modelo de negocio. Digamos que estas aplicaciones web nos ofrecen un servicio y se lo “pagamos” con nuestra información.

¿Preferirías pagar por usar Facebook o que sea gratis y a cambio la red social pueda hacer uso de tu información personal? En Internet, nuestra información es lo más valioso que tenemos y muchas personas se han cuestionado la posibilidad de pagar por conseguir esa protección legal de la información.

Estamos en un momento en el que la protección de la información es más importante que nunca y son muchas las compañías que guardan datos de los usuarios en Internet sin ningún control ni directrices.

Por tanto, necesitamos una legislación de Privacidad en la Red. Términos como privacy by desing and by default o el derecho al olvido se han hecho muy relevantes en los últimos años porque los usuarios queremos usar determinadas aplicaciones con total garantía de que no hay nadie detrás espiando o vendiendo nuestra información a terceros.

Es el momento de empezar a cambiar las cosas y regular expresamente la privacidad en Internet. Los usuarios tienen derecho a eliminar su información personal de cualquier página de Internet, no sólo si se considera intrusiva o molesta (derecho al olvido), sino también sin necesidad de alegar ningún motivo (un verdadero derecho de cancelación).

Los usuarios no son conscientes de la información que comparten.

Toda la información que compartimos en Internet queda registrada para siempre y será tratada, analizada, segmentada y utilizada por las grandes compañías (Big Data). Estas empresas trabajan con nuestra información para ofrecernos algo a cambio: anuncios en Facebook, productos que podrían interesarnos comprar en Amazon…

A nivel internacional, en los últimos años, se está haciendo hincapié en el hecho de crear nuevas normativas dirigidas a proteger nuestra información en la red. De esta manera, habría un control para las compañías que se hacen con la información de los usuarios.

Joseph Cannataci, primer relator especial de la ONU sobre derecho a la privacidad, considera que es el momento de proteger nuestra información por medio de una normativa, porque seguimos sin ser conscientes de todo lo que ciertas empresas pueden saber de nosotros. Entre sus declaraciones, compartía: “son necesarias nuevas reglas para asegurar nuestra privacidad. La mayor parte de las personas no es consciente de la cantidad de metadatos que genera cada día”.

Joseph Cannataci ya había criticado en muchas ocasiones la legislación de vigilancia de Reino Unido, y considera que es el momento de poner fin a esta situación y que no se vuelva a repetir, ya que es mucha la información personal que está en juego.

Incrementar la seguridad de los países no es vigilar constantemente.

Es importante tener claro que el hecho de incrementar la seguridad de los países, no tiene que ver con una vigilancia constante, lo suyo, es contar con distintos niveles de protección.

La seguridad es importante, pero no debe primar sobre la privacidad y, en todo caso, debe protegerse de manera acorde a la normativa vigente, que es la encargada de marcar los límites para estar protegidos ante cualquier tipo de situación.

Esta normativa internacional de privacidad es más que necesaria. Es la protección de un derecho que todas las personas tenemos y que las páginas web, herramientas online y aplicaciones web, deben aceptar, para cuidar nuestra información y no facilitarla de cualquier modo a terceros.

Es preciso por tanto, no solo una normativa más, sino una que otorgue una mayor protección y seguridad jurídica a los datos de los usuarios. Necesitamos sentirnos más seguros cuando navegamos por Internet, poder confiar y saber que nuestra información no está en manos de cualquiera.

¿Qué países están más avanzados en la regulación de la privacidad?

En estos momentos, dentro de la Unión Europea, tras la aprobación del Reglamento General de Protección de Datos, Alemania destaca como el país más avanzado hasta la fecha a la hora de implantar la nueva normativa. España, por su parte, le sigue de cerca.

Los cambios en la Ley Orgánica de Protección de Datos se llevarán a cabo pronto. Los últimos rumores ya hablan de una posible fecha para esto en marzo del próximo año para que se pudiera tramitar antes de mayo de 2018, fecha en la que entra en vigor el Reglamento europeo.

Abel Loeches Márquez
Abogado especializado en Derecho Digital
Twitter: @AbelLomar

RGPD e información: ¿más es menos?

/0 Comentarios/en /por

Si se hiciera una encuesta a pie de calle sobre a qué sugieren las expresiones “Privacidad” o “Protección de datos”, probablemente los interrogados harían referencia a “esas cláusulas tan largas que he visto en algunos contratos”, “un papel que me dieron a firmar en tal o cual sitio”, “eso que te ponen en las webs cuando rellenas un formulario”, “eso que decían que iban a hacer con mis datos en no sé qué app”….

Es cierto, esta afirmación no tiene una base estadística ni parte de ninguna investigación, pero creo que estaremos de acuerdo en que no voy desencaminado si digo que para el común de los mortales una de las principales, si no la principal, expresión tangible de la Privacidad y la Protección de datos son las innumerables cláusulas y políticas sobre la materia que (afortunadamente) pueblan contratos, documentos, webs, apps…

Ahora bien, la puesta en práctica del Principio de Información, pilar primigenio y permanente de la Protección de datos, siempre ha adolecido y aun adolece de una sensación más o menos habitual de que la comprensibilidad de dichas cláusulas y políticas a veces no es la que debiera.

En muchas ocasiones, se perciben las cláusulas y políticas de Protección de datos y Privacidad como un texto que oculta más de lo que dice, que utilizan el lenguaje (jurídico o no) como barrera, que carecen de empatía y no toman en consideración las diferentes audiencias a que se dirigen, cuya enorme extensión está más dirigida a evitar su lectura que a promover su fácil comprensión, etc.

Frente a esa sensación de la que hablaba debíamos esperar una reacción, y si hablamos de Privacidad y Protección de datos, deberíamos esperar que el Reglamento General de Protección de Datos (quien no sepa de su larga y tortuosa gestación, su publicación, su entrada en vigor y su futura aplicabilidad…, igual está leyendo el post equivocado), sea la luz, la guía y la claridad para todo y para todos (si alguien aprecia una sutil ironía…, no me he expresado bien porque no pretendía ser sutil…).

En este sentido, el bálsamo de Fierabrás, perdón, el Reglamento General de Protección de Datos, dice en su Considerando 39 de forma tan elocuente, como contundente que: “Para las personas físicas debe quedar totalmente claro que se están recogiendo, utilizando, consultando o tratando de otra manera datos personales que les conciernen, así como la medida en que dichos datos son o serán tratados. El principio de transparencia exige que toda información y comunicación relativa al tratamiento de dichos datos sea fácilmente accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro.”

En esta misma línea se expresa el Considerando 60, cuando dice que “Los principios de tratamiento leal y transparente exigen que se informe al interesado de la existencia de la operación de tratamiento y sus fines. El responsable del tratamiento debe facilitar al interesado cuanta información complementaria sea necesaria para garantizar un tratamiento leal y transparente, habida cuenta de las circunstancias y del contexto específicos en que se traten los datos personales.”

La traducción en regulación aplicable (en 2018, claro), de estos considerandos se contiene principalmente en los artículos 12, 13 y 14 del Reglamento. Y es ahí donde está el reto o quizá la paradoja. Una lectura de tales preceptos, sin entrar en interpretaciones sino con la mera literalidad, hace presumir que la regulación propuesta quiere alcanzar los objetivos de transparencia, inteligibilidad y fácil acceso, con cláusulas y políticas de privacidad y protección de datos realmente detallistas, profusas, precisas…., y por tanto presumiblemente largas.

 ¿Se quiere dar a entender que cuanto más se expliquen las cosas y cuanta más información se dé, mejor informado va a estar el titular de los datos? Si el problema es que los interesados no se leen las cláusulas y políticas por lo largas que son, si el problema es que los interesados no tienen la información de base para conocer de qué se les está hablando, ¿puede ser la solución “lanzarles” algo más grande? La aproximación de más es mejor tiene un riesgo cierto de que más sea menos y por tanto, el fin último del principio de información no se alcance.

Frente a unos requisitos sin duda detallistas (y sin entrar en la falta de empatía con el lector a la hora de elegir el lenguaje de cláusulas y políticas), propone el artículo 12 el uso de iconos: “7.La información que deberá facilitarse a los interesados en virtud de los artículos 13 y 14 podrá transmitirse en combinación con iconos normalizados que permitan proporcionar de forma fácilmente visible, inteligible y claramente legible una adecuada visión de conjunto del tratamiento previsto. Los iconos que se presenten en formato electrónico serán legibles mecánicamente. 8.La Comisión estará facultada para adoptar actos delegados de conformidad con el artículo 92 a fin de especificar la información que se ha de presentar a través de iconos y los procedimientos para proporcionar iconos normalizados.”

Desde luego que apoyo al 100%, y me quedo corto, la opción de los iconos, las realidades del mundo digital en que todos nos movemos apuntan a esta opción como una de las de mayor éxito. Pero son varios los aspectos que deben preocuparnos sobre la aproximación al tema de los iconos que hacen el Reglamento, al menos.

  • Han de usarse “en combinación”, con las cláusulas y políticas, ¿antes? ¿durante? ¿después? Y sobre todo, ¿para que poner iconos autoexplicativos si tenemos que acompañarlos de aquello a que se refieren?
  • Si están en formato electrónico deberán ser legibles mecánicamente. Perfecto, pero como hay que usarlos “en combinación”, con las cláusulas y políticas, ¿todo debe ser susceptible de ser legible mecánicamente?
  • Y la principal cuestión…, nada sabremos con certeza sin un acto delegado que diga “me gustan X iconos presentados de la manera Y”. ¿Se está imposibilitando que el mercado, los usuarios, los interesados…, elijan la opción que más les gusta de las que se les propongan? ¿Se está poniendo trabas a la autorregulación en un tema crítico?

Quedan muchas cosas sobre las que debatir y que interpretar en el Reglamento General de Protección de Datos. Pero creo que sin duda la relativa al Principio de información, a la transparencia de dicha información, debe ser tratada con especial anticipación e intensidad, porque afecta a aquellos elementos que conectan de manera directa a la Privacidad y Protección de datos con aquellos a quienes protege, aquellos cuyos datos son tratados y que deben ser informados de los tratamientos a través de la correspondientes cláusulas y políticas…, y sus iconos.

 

Francisco Javier Carbayo
Abogado
Socio de DELOYERS
javier@deloyers.com
deloyers.com
@fjcarbayo
es.linkedin.com/in/franciscojaviercarbayo/

Jornada ENATIC sobre el Reglamento de Protección de Datos

/2 Comentarios/en /por

Tras cuatro años de paciente espera, la pasada semana todos nos pudimos hacer eco de la aprobación del Reglamento de Parlamento Europeo y del Consejo relativo a la protección de de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, por el que además se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). Dada la especial trascendencia que esta norma de aplicación directa tiene en nuestro desempeño profesional y en el de nuestros clientes, así como la cantidad de novedades que introduce respecto de la normativa anterior y nacional, ENATIC ha diseñado una jornada monográfica sobre esta materia en la que tendremos ocasión de acercarnos a las novedades, previsiones, oportunidades, amenazas y nuevas perspectivas profesionales que esta norma supone para la Abogacía Digital.

Os invitamos acompañarnos el próximo viernes 29 de abril de 10 a 14 horas en el salón de Actos  CGAE. Pº Recoletos, 13 Madrid, con el siguiente programa que esperamos resulte de vuestro interés.

10h Inauguración a cargo de Rodolfo Tesone (Presidente de ENATIC).

10:15h Principales Novedades del Reglamento. Jose Luis Piñar (Director de la Cátedra Google y ex-Director de la Agencia Española de Protección de Datos).

10:45h Perspectiva y evolución de la protección de datos: Proyección de futuro. José López Calvo (Coordinador Area Jurídica CSIC y ex-subdirector General de Inspección de Datos) y Javier Puyol (Asociado de ENATIC y Socio de ECIX).

Modera: Leandro Núñez (Secretario de ENATIC y socio de Audens).

11:30h Pausa.

11:45h Oportunidades y Amenazas. Pablo García-Mexía (J.D. Ph.D. Letrado de las Cortes. Of Counsel Ashurst), Borja Adsuara (Profesor, Abogado y Consejero). Paula Ortiz (Directora Jurídica y de Relaciones Institucionales en IAB Spain), Ofelia Tejerina (Abogada, Asociación de Internautas) y Jesús Fernández Acevedo (Abogado de Code Abogados)

Modera: Ignacio Martínez San Macario (Socio de Despacho Martínez San Macario).

12:45h Perspectivas Profesionales. Carlos Sáiz (Director Data Privacy Institute y Socio de Écix), Marcos Judel (Vicepresidente de APEP y Socio de Audens), Carmen Pérez Andújar  (Socio en Evengreen Legal y Vicesecretaria de Medios Materiales y Tecnológicos de CGAE), Rodolfo Tesone (Presidente de ENATIC), Miguel Recio (Socio de Global Data Protection Consulting).

Modera Susana González (Vicepresidente de ENATIC y Directora de Hiberus Legal Tech).

13:45h Ruegos y preguntas y Clausura.

14:15h Clausura Carmen Pérez Andújar.

¡Os esperamos en Madrid el 29!