#DebateAbiertoCon Replicante Legal (@replicantelegal)

Replicante Legal: Según los últimos estudios, parece que la inteligencia de las máquinas hoy es equiparable a la de un niño de cuatro años. Ruth cuestiona en un tuit que la inteligencia emocional artificial sea posible y plantea si en ese caso estaríamos creando humanos, qué nos diferenciaría de ellos y si esas máquinas deberían tener derechos.  Allá va mi punto de vista sobre esos y otros temas que han surgido durante el debate.

¿Tienen inteligencia emocional los robots?

Estoy de acuerdo en que hoy no podemos considerar que los robots están dotados de inteligencia emocional. Lo más cercano que tenemos es Pepper.

Sin embargo creo que en pocos años la situación será distinta. El propio informe del MIT dice hemos necesitado 60 años para llegar hasta este nivel pero que en los siguientes 6 años se van a lograr unos avances espectaculares porque las tecnologías relacionadas con la inteligencia artificial están creciendo a un ritmo exponencial.

Uno de los mayores expertos mundiales en estos temas es Nick Bostrom. En esta genial charla de TED, nos expone muy claramente cómo ocurrirá ese desarrollo exponencial y también nos alerta de los peligros de las máquinas súper inteligentes.

Creo que con el tema de las emociones de los robots va a suceder algo parecido. Les costará un tiempo llegar a tener la capacidad emocional de un niño pequeño, pero de ahí a la de un adulto, no pasará mucho. A día de hoy sólo son capaces de reconocer unas cuantas emociones y copiarlas pero hay varias instituciones trabajando en algoritmos emocionales y creo que pronto veremos los resultados de esa labor. De hecho, algunos expertos hablan del 2030 como fecha en la que los robots tendrán una dimensión emocional y psicológica y para esa fecha solo faltan 15 años…

Por cierto ¿qué nivel de inteligencia emocional les vamos a pedir? Lo digo porque hay personas con menos empatía y sentimientos que una escoba, pero ese es otro debate.

Ruth Benito: Pero ¿qué entendemos por inteligencia emocional? 

En la Wikipedia se define inteligencia emocional como el “conjunto de habilidades psicológicas que permiten apreciar y expresar de manera equilibrada nuestras propias emociones, entender las de los demás, y utilizar esta información para guiar nuestra forma de pensar y nuestro comportamiento”.

Partiendo de esta definición, y aunque probablemente queda aún bastante por delante, creo que sí se están produciendo avances en la interpretación de las emociones humanas por los robots sociales así como en la capacidad de réplica o copia de tales emociones.

Sin embargo, como apuntaba en Twitter, queda pendiente la parte correspondiente a las propias emociones, pues el hecho de que los robots puedan imitar reacciones humanas está muy lejos de significar que puedan experimentar los sentimientos que provocan tales reacciones. En este sentido, coincido plenamente con la joven AJung Moon cuando dice que los ingenieros han de cuidar mucho el vocabulario a emplear en la presentación de sus trabajos.

En este punto es donde más escéptica me muestro, fundamentalmente por dos motivos: de un lado, porque requiere que los robots sean capaces de sentir, lo que a día de hoy no se da (supongo que ello implica transformar a lenguaje electrónico o digital los impulsos químicos y biológicos del cuerpo humano y aun así no sé si eso sería sentir del mismo modo que lo hacemos las personas o más bien algo parecido a “leer los sentimientos”), y de otro, porque para que lo anterior sea posible primero tendríamos que entendernos a nosotros mismos, o entender cómo funcionan esos procesos químicos y biológicos. Lo explica muy bien Elena García Armada,  investigadora en el Centro de Automática y Robótica (UPM-CSIC), en “Robots”, libro del que podemos leer al respecto un extracto en el blog del CSIC “Ciencia para llevar”.

No obstante, la ciencia es poderosa descubriéndose a sí misma, de modo que haremos bien el imaginarnos en un escenario donde todo es posible.

RL: Efectivamente. Seguro que sabes que Estados Unidos está trabajando en el proyecto denominado “Brain Iniciative” para comprender cómo el cerebro piensa, aprende y recuerda y la Unión Europea se ha embarcado en una aventura parecida (“Human Brain Project”), con la finalidad de desarrollar tecnologías de computación que simulen el funcionamiento del cerebro así como de crear nuevos tratamientos para las patologías mentales.

brain

Son proyectos con inversiones millonarias y es probable que, cuando terminen, hayamos recopilado una información muy valiosa que nos permita conocer en profundidad la única parte del ser humano que todavía es un misterio para la ciencia.  Creo que va a tener un efecto parecido al que tuvo para la genética el descifrar el genoma humano completo.

Además, las neurociencias han tenido un desarrollo espectacular en los últimos años y la aparición de aparatos de imagen por resonancia magnética, de escáneres electroencefalográficos y de técnicas de estimulación cerebral profunda, nos está permitiendo conocer cómo trabajan las neuronas y otras partes del cerebro con un nivel de detalle nunca visto hasta ahora. Michio Kaku lo explica muy bien en su reciente libro “El futuro de nuestra mente”.

En resumen, creo que en pocos años seremos capaces de entender el funcionamiento de la mente y replicarlo utilizando un ordenador. Cuando llegue ese momento también podremos entender mucho mejor la forma en la que cerebro procesa las emociones. Ten en cuenta que un bebé humano tarda muchos años en reconocer y expresar emociones. Este aprendizaje se produce por la interacción con sus padres y otras personas de su entorno. Si le dejáramos en una isla solo (sin otros seres vivos)  desde muy pequeño y durante muchos años, aventuro que su nivel de inteligencia emocional sería muy pobre.

A la inversa, cuando conozcamos mejor cómo maneja el cerebro las emociones, podremos afinar los algoritmos de los robots sociales para que aprendan de forma gradual a detectarlas y expresarlas en las interacciones con las personas. Sería un proceso parecido al de educar a un niño solo que más rápido y escalable.

RB: Pues no tenía ni idea de los dos proyectos que mencionas sobre el cerebro humano, pero últimamente me planteo con más frecuencia si no fue un error elegir letras puras ;P

Te veo demasiado optimista con eso de “en pocos años seremos capaces de entender el funcionamiento de la mente y replicarlo”, yo soy algo más escéptica. En todo caso, imaginemos la variedad de implantes o prótesis cerebrales o neuronales que podrían crearse y, en este punto, te propongo, y propongo a los lectores, un ejercicio: Imaginemos una persona cualquiera y vayamos sustituyendo partes de su cuerpo por prótesis (a lo Robocop), ¿en qué momento, o con la sustitución de qué órgano, dejaría, en su caso, de ser esa persona y pasaría a ser una máquina?

Es posible que un bebé humano tarde algún tiempo en identificar y reconocer emociones complejas, pero desde el primer momento expresa emociones (que se lo digan a los padres primerizos cuando cada dos horas les despiertan los berridos de la criaturita durante, al menos, el primer mes de vida), y las expresa porque las siente, no porque esté programado para replicarlas.

Habrá quien diga que el genoma humano ya contiene una cierta programación con la que venimos de serie las personas (genotipo, ¿un sistema operativo?). A ella además luego se van añadiendo otras fuentes de experiencia y aprendizaje en cada caso que ayudan al continuo desarrollo de cada uno de nosotros (aspectos sociales, culturales, familiares etc.). Del mismo modo un robot puede venir con una programación base que posteriormente desarrollaría con tecnología “machine learning”.

Pues bien, tomemos el ejemplo del bebé, que llora desde el primer momento que tiene hambre. Es, por tanto, algo que ha heredado genéticamente, no lo ha aprendido por verlo en otros, pero el llanto se activa como reacción que, de algún modo, se sabe que facilitará el remedio al hambre. En los robots se trataría de algo con lo que ya vendrían programados, pero, mientras en el ser humano lo que activa que el llanto se ponga en marcha es la sensación de hambre, ¿qué sería lo que lo activaría en el robot?

Preguntas si llegaremos a afinar los algoritmos de los robots sociales y, en relación con esto último a lo que apunto, tenemos los algoritmos genéticos y la programación genética, inspirados en la evolución biológica, que quizá pudieran ayudar mucho en ese terreno.

RL: ¿Esos robots serían humanos? ¿Qué nos distinguiría de ellos?

Hace unos días se publicaba un artículo con el siguiente titular “Ya es posible transferir la personalidad y actitud de una persona a un robot ciberconsciente”. En la entrevista nos cuentan que han creado un humanoide (Bina 48), que está inspirado en su versión humana, y que “pasa constantemente de su identidad como robot a la de la humana en la que está basada”.

replicanteOtro ejemplo reciente: ninguna máquina había sido capaz de superar el test de Turing hasta que -en junio del año pasado- un bot llamado Eugene Goostman logró convencer a un tercio del jurado que le examinaba de que era un joven adolescente ucraniano de 13 años de edad.

Creo que cada vez va a ser más difícil distinguir a las máquinas con inteligencia artificial de las personas, sobre todo si interactúas con esas de forma no presencial. Si esto sigue así, vamos a tener que pedir ayuda a Harrison Ford.

¿Qué dice el Código Civil a este respecto? El artículo 30 establece que “la personalidad se adquiere en el momento del nacimiento con vida, una vez producido el entero desprendimiento del seno materno”. En consecuencia un robot por muy sofisticado y humano que fuera, no puede tener personalidad según el texto actual de la norma civil.

En cualquier caso, tengo curiosidad por saber cómo van a reaccionar los jueces cuando empiecen a llegar casos en los que están implicados ciborgs.

RB: Pues sí, porque dudo mucho que asistamos a respuestas por parte de legisladores y jueces como las del cuento “El hombre bicentenario”.

Yo no negaría tan rotundamente la posibilidad de atribuir personalidad a un robot. La RAE define persona como “individuo de la especie humana”, la naturaleza humana como el “conjunto de todos los hombres” y hombre como “ser animado racional, varón o mujer”. Podemos seguir buscando términos, pero me temo que seguiríamos encontrando interpretaciones capaces de amparar la comprensión de los robots sociales como humanos.

Por otra parte, el propio Código Civil nos dice en su art. 3 que las normas se interpretarán, entre otros posibles criterios, atendiendo a “la realidad social del tiempo en que han de ser aplicadas” y en su art. 4 que “procederá la aplicación analógica de las normas cuando éstas no contemplen un supuesto específico, pero regulen otro semejante entre los que se aprecie identidad de razón”.

Si buscamos los significados de nacer (dicho de una cosa) y vida, conceptos contenidos en el citado art. 30 C.c., unido a las definiciones ya dadas de persona y hombre y a estos criterios de interpretación y aplicación de las normas, veremos que no parece tan descabellado encajar la personalidad, a efectos jurídicos, en los robots sociales. En cuanto al obstáculo del “desprendimiento del seno materno”, no creo que pueda ser elemento decisorio, pues ¿acaso no consideraríamos persona al semejante gestado en una especie de tanque sustitutivo de un vientre de mujer?

Sin embargo es evidente que hombres y robots no somos lo mismo, con independencia de que ambos fuéramos merecedores de iguales o distintos derechos. Se hace preciso, pues, averiguar qué es aquello que nos diferencia y esto implica concretar qué es el ser humano y qué es la personalidad o cualidad de persona. Tenemos así que el estudio de la robótica, en mi opinión, tendrá que dar lugar, o está dando lugar ya, a una nueva corriente de filósofos (ingenieros, abogados, científicos, sociólogos…) que tratarán de dar respuesta a todas estas cuestiones que se hace necesario abordar y que, entre otras cosas, pueden hacer surgir nuevas configuraciones legales.

RL: Un pequeño apunte respecto a esto último. Para algunos expertos, la magnitud de los cambios que provocarán estas nuevas tecnologías en nuestro sistema jurídico es tal, que conviene que empecemos a pensar y desarrollar una lex robótica especial.

El principal defensor de esa tesis es el profesor americano Ryan Calo, que considera  que la robótica tiene características especiales que la singularizan  y propone incluso crear un organismo regulador ad-hoc para que tutele todo lo que tiene que ver con este campo  puesto que, en su opinión, es la única manera de dar una respuesta satisfactoria a la problemática que van a generar.

El tema de la inmortalidad

Los nuevos desarrollos técnicos también cuestionan la necesidad de la muerte. En la misma entrevista que mencionábamos antes se dice que “gracias a la tecnología podremos conseguir que la mente viva para siempre. Si es cierto que podemos capturar información suficiente de tu mente y que sea transferida a un robot, entonces, literalmente, habrá cientos de versiones de ti y en algún momento esas versiones podrán abandonar el planeta”.

Es decir, algo muy parecido a lo que se cuenta en la película Transcendence de Johnny Depp. Puede parecer ciencia ficción pero lo están afirmando los defensores de la singularidad tecnológica así como científicos de la talla de Stephen Hawking  o Marvin Minsky.

¿Cómo va a reaccionar el derecho frente a estos desarrollos que cuestionan los pilares sobre los que se basa el concepto de persona?

RB: Entiendo que, del mismo modo que el hecho de que un robot pueda emular emociones o imitar comportamientos, no significa que los sienta realmente, el hecho de “copiar la mente” de una persona y meter esa copia en una máquina o hacerla parte de su sistema operativo, no significa que la consciencia de esa persona se encuentre en la máquina de modo tal que se perciba a sí misma en dicho nuevo entorno. Aquí radica, en mi opinión, en relación con la entrevista comentada, la enorme diferencia con Transcendence.

Pero, en todo caso, se plantean diversos interrogantes desde la perspectiva legal: ¿Tendrá el “replicado” algún derecho sobre las versiones de sí mismo? ¿Y sobre las creaciones que una de esas versiones pueda generar? (derechos de autor, patentes…) Por otra parte, ¿merecerán esas versiones algún tipo de protección o de limitación en cuanto a su uso? Pensemos, por ejemplo, que su adquirente diera un trato humillante u ofensivo (o lo que resultara tal tratándose de un humano) a la versión de una persona. Y en el orden de las responsabilidades, ¿podría atribuírsele alguna a la persona versionada en relación con los ilícitos cometidos por una máquina con capacidad de decidir basada en esa personalidad transferida?

RL: ¿Deben tener derechos los robots?

La abogada Kate Darling plantea abiertamente la conveniencia de otorgar ciertos derechos a los robots sociales, tomando como base la legislación para prevenir el maltrato animal.

Creo que Darling lleva el planteamiento un poco al extremo pero coincido con una de las afirmaciones que se hace al final de su estudio: atribuir derechos a entidades que no son humanas no es una práctica nueva. Ya lo hicimos con las personas jurídicas e incluso ahora le hemos dado una nueva vuelta de tuerca y asumimos que éstas pueden cometer delitos.

La otra cara de la moneda es ¿deben tener obligaciones esos robots inteligentes? La cuestión es relevante a los efectos de la atribución de responsabilidad por sus actuaciones. El tema daría para un largo debate jurídico pero, por ir al grano, creo que vamos a tener que repensar la noción de personalidad para crear una nueva categoría (en un artículo de Replicante me animo a llamarla “personalidad mecánica”).

RB: Darling apunta como posible causa para otorgar derechos o protección a algunos animales, al hecho de que los humanos rechazamos ciertos tratos hacia ciertos animales y en consecuencia, de igual modo, podríamos conceder algunos derechos a los robots sociales, con independencia de sus aptitudes.

Tal justificación respecto a los derechos de los animales, parece que trata de evitar nuestro sufrimiento, desagrado o malestar al saber que el animal sufre o ha sufrido, más que el sufrimiento en sí del animal (sin duda esto explicaría por qué no se aplican por igual a todas las especies animales). Pero ¿podemos hacer extensivo este razonamiento hacia los robots cuando sabemos que (a día de hoy) éstos no sienten?

En todo caso, los motivos señalados por Darling en realidad no generan derechos propios de los robots, ya que, en todos ellos, el bien jurídico objeto de protección no lo es el robot en sí (es como si dijéramos que las propiedades inmuebles tienen derecho a no ser allanadas).

Parece que, directa o indirectamente, en el reconocimiento de derechos juegan un importante papel factores tales como ser sensible, capacidad de sufrir, ser consciente… Y en la imposición de obligaciones pesa en gran medida la capacidad de decisión o control que uno tenga, la intencionalidad y la voluntariedad. 

En cuanto al reconocimiento de una personalidad, efectivamente no es algo nuevo extender dicho concepto a seres o entidades distintos a los hombres. Así, tenemos ciertamente las empresas, personas jurídicas sujetos de obligaciones y de derechos propios (derecho al honor), pero también las personas no humanas animales reconocidas, en Argentina la orangután Sandra y en Brasil la chimpancé Suiza (pdf), que fue finalmente envenenada. En este sentido Nonhuman Rights Project mantiene la lucha por el reconocimiento de derechos en favor de animales.

RL: Lo de atribuir algún tipo de personalidad legal a una cierta categoría de máquinas puede parecer exagerado pero no debemos olvidar que el derecho se adapta a la realidad y a veces incluso la manipula porque considera que así se beneficia un bien superior.

Respecto de lo primero, el derecho romano reconocía la esclavitud porque estaba socialmente aceptada en aquella época. Hoy está abolida en todos los países desarrollados porque nadie concibe que un ser humano pueda ser el propietario de otra persona. Algo parecido podemos decir de la segregación racial o del derecho al voto de las mujeres. Pero es que también existen ocasiones en las que las normas modifican la realidad. Es el caso por ejemplo de la adopción, que “borra” el pasado biológico de un menor y le atribuye una nueva filiación, ex artículo 178 del Código Civil.

No me quiero extender más porque es un tema que trato más en detalle en un artículo que se va a publicar en breve en el monográfico sobre robótica de la nueva revista de privacidad y derecho digital de RDU, que dirige mi querido amigo Pablo García Mexía y a la que os emplazo a suscribiros porque es magnífica.

RB: En relación con esta cuestión, y por dejar a un lado la teoría de la personalidad como elemento generador de derechos y obligaciones, vuelvo al punto de las emociones. Quizá el ser capaces de sentir emociones, incluso emociones muy complejas que nos cuesta verbalizar pero que tenemos aprehendidas e identificadas en algún nivel de nuestra consciencia (o genoma y cerebro), es lo que caracteriza a la inteligencia humana. Nuestro sentido del humor, la ironía, la creatividad, la ilusión, la imaginación… Se me hace muy difícil aceptar que todas estas capacidades puedan desarrollarse en máquinas que sí sepan interpretar, leer y copiar emociones pero que no puedan experimentarlas “en carnes propias”.

Quizá estas emociones y capacidades complejas, o en un nivel tal de complejidad que sólo se da en el ser humano, sean lo que haga necesario que tengamos unas normas de convivencia. Por no extenderme demasiado pondré sólo dos ejemplos: 1) el amor y la regulación del matrimonio y de los derechos y obligaciones entre familiares y 2) la creatividad y los derechos de propiedad intelectual.

derechos

Personalmente, llegado el caso de que los robots sociales pudieran efectivamente sentir y tener consciencia de sí mismos, creo (aún hay mucho por reflexionar) que sería partidaria de que fueran considerados personas no humanas artificiales o personas mecánicas y sujetos de derechos y obligaciones.

RL: Aspectos éticos

Es una de las cuestiones más relevantes de este debate desde mi punto de vista. Hay un proyecto muy interesante que ha financiado la Comisión Europea y que se ha publicado hace unos meses. Se llama Robolaw y el resultado es un informe que analiza las cuestiones éticas y legales que pueden plantear los robots, y ofrece principios y directrices que permitan orientar a los reguladores. El documento es extenso pero es de lo mejor que he leído últimamente.

Este tema de las cuestiones morales está ahora de moda por la problemática que plantean los coches sin conductor. Planteo dos preguntas para ilustrar la cuestión:

En caso de accidente inevitable ¿los algoritmos que controlarán a los futuros coches sin conductor deberían dar prioridad al número de vidas salvadas, a los individuos potencialmente involucrados o valorar quién cumplía las normas de circulación?

En el supuesto de que no haya otra opción ¿debería el coche sacrificar a su ocupante con un giro brusco que lo haga caer por un precipicio para evitar matar a los niños que llenan un autobús escolar?

Es una nueva derivada del debate filosófico que en inglés denominan “trolley paradox”. Obviamente también aparece aquí el debate jurídico relativo a la atribución de responsabilidad. Ambos son apasionantes pero creo que no deberían frenar la introducción de estas nuevas tecnologías. No debemos olvidar que cada mes mueren más de 100.000 personas en el mundo por accidentes de tráfico y que el 90% de dichos accidentes está causado por errores humanos.

RB: Fantástico análisis el de Robolaw, por el vistazo que he podido echarle, que dejo como objetivo para una lectura pormenorizada en cuanto me sea posible.

Desde luego, no creo que a nadie que se acerque un poco a la robótica le pase inadvertida la cantidad de implicaciones éticas que ésta supone. Como muchas de las tecnologías que en los últimos años se están desarrollando, y al igual que ya sucede con las evaluaciones de impacto en materia de protección de datos, hay autores, como David Wright y Michael Friedewald, que alertan de la necesidad de realizar, con carácter previo al desarrollo de nuevos proyectos de ICT, evaluaciones de impacto ético (EIA, en sus siglas en inglés Ethical Impact Assessment), e incluso sugieren ya alguna metodología para ello.

Sin duda, la robótica es una de las tecnologías sobre la que más se ha hablado y escrito desde la perspectiva ética. De hecho, existe el término “roboética” (roboethics), que se atribuye a Gianmarco Veruggio, del que animo a ver esta conferencia, y ya en 2004 se celebró el Primer Simposio Internacional sobre Roboética.

Podríamos hablar sobre todas estas cuestiones durante días y días, pero amigo Replicante, creo que con esto los lectores tienen una buena aproximación a la robótica y a la importancia de un enfoque ético y legal sobre la materia.

Terminaré con un par de reflexiones que planteo a los lectores:

1 – ¿Con qué fin queremos crear robots con inteligencia humana, que puedan tener emociones como los humanos y con capacidad de aprendizaje?

2 – ¿Estamos de acuerdo con la siguiente cita de Sydney J. Harris: “The real danger is not that computers will begin to think like men, but that men will begin to think like computers” (el verdadero peligro no es que las computadoras empiecen a pensar como los hombres, sino que los hombres empiecen a pensar como las computadoras)? ¿Seguro? ;)

 

Autores: Replicante Legal y Ruth Benito Martín.

Imágenes: La imagen destacada es de ankakay, el resto de imagenes han sido diseñadas por Freepik

Post publicado simultáneamente en el blog de Replicante Legal.

“Aprovecho para saludar a mi mamá” – #DebateAbiertoCon María González

Si en tu empresa disponéis de un sistema de videovigilancia, seguro estaréis familiarizados con los carteles que han de colocarse avisando de la existencia de aquél a efectos de la normativa sobre protección de datos personales. Sí, hombre, sí, este cartel:

cartel_AEPD

¿A que sí?

Pero igual no sabéis que no tiene por qué ajustarse exactamente a ese modelo, y que puede, digamos, “customizarse” o “tunearse”. Le he pedido a mi colega y amiga María González, que sabe mucho de esto, que comparta su opinión al respecto.

Hola Ruth. Un placer compartir contigo este nuevo #DebateAbiertoCon que surge (confesemos :P) tras una comida y esas ganas de debatir que nos caracteriza… En la búsqueda de temas se nos cruza un tuit de nuestra compañera Jeimy Poveda (@JeimyPove), en el que se plantea la licitud, o adecuación a la normativa, de “tunear” (o personalizar) los carteles de videovigilancia. Una materia donde sin duda no sólo hablaremos de LOPD, sino también de marketing, comunicación y marca.

Jeimi

En este sentido, también nuestro compañero Javier Sempere (@fjavier_sempere) , en septiembre del pasado año, realizó un experimento en búsqueda de carteles de videovigilancia.

Pero vamos a ello, por poner en contexto, creo que deberíamos comenzar por analizar, al menos a grandes rasgos, qué es lo que establece expresamente la normativa, no crees?

Comencemos por explicar que la imagen es un dato de carácter personal y, por tanto, la captación de imágenes por medio de sistemas de videovigilancia queda sujeta a la normativa sobre protección de datos personales (Directiva 95/46/CE, LOPD y Reglamento de la LOPD). Además, la Agencia Española de Protección de Datos (AEPD) dictó la Instrucción 1/2006 sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.

Es esta Instrucción 1/2006 la que regula concretamente el cartel del que hablamos en este post, como uno de los medios, obligatorio, para informar a los afectados en supuestos de videovigilancia, y en cuanto a su contenido y diseño dispone que “se ajustará a lo previsto en el Anexo” de dicha Instrucción.

El punto 1 del Anexo establece que debe contener:

1.- Una referencia a la “LEY ORGÁNICA 15/1999, DE PROTECCIÓN DE DATOS”.

2.- La finalidad del tratamiento: “ZONA VIDEOVIGILADA”.

3.- Identificación de la empresa responsable a la que el afectado puede dirigirse para consultar sobre el tratamiento de sus datos.

Y el punto 2 del Anexo,  recoge como modelo de cartel informativo el que puede descargarse en la propia página web de la AEPD (primera imagen de este post).

Efectivamente, es por todos conocidos el cartel amarillo de videovigilancia de la AEPD, aunque hemos de señalar que en muchos casos, dicho cartel aparece completamente vacío de información, siendo este aspecto no válido, pues falta entre la información requerida los datos del responsable del tratamiento.

Muchos son los que se preguntan a qué grado de “customización” se puede someter a los carteles de videovigilancia, a través de: la modificación de los colores (para que, por ejemplo, pueda adaptarse a la imagen corporativa de la empresa), la incorporación de elementos tecnológicos como Códigos QR, aspectos relativos al tamaño y disposición de los carteles, y en todos los casos, se dé cumplimiento a los requisitos normativos.

Desde mi punto de vista un cartel de videovigilancia puede “customizarse” o “personalizarse” siempre que se cumplan los requisitos formales establecidos por la normativa, que no son otros que los indicados en el citado Anexo I ya referenciados por Ruth, y por supuesto que los mismos cumplan la finalidad principal por la cual son exigibles, es decir, informar al usuario de que puede estar siendo grabado.

Así pues, debemos distinguir varios aspectos:

  • Customización / Personalización de colores para adaptarlo a imagen corporativa.
  • Incorporación nuevos elementos (códigos QR, ….)
  • Formatos y accesibilidad (audio, vídeo…)
  • Tamaño

Exacto María. Para una tienda de marcos, puede resultar tentador enmarcar su cartel de videovigilancia, y quedaría simpático, pero ¡ojo!, porque si ello hace que el aviso “se camufle” entre todos los marcos exhibidos en la pared, no se estará cumpliendo con el art. 5 LOPD, que exige que la información sea facilitada de modo “expreso, preciso e inequívoco”. Sería lo mismo si una tienda de electrodomésticos, reprodujera el cartel mediante vídeo, en una pantalla de televisión colocada junto al resto de modelos en venta retransmitiendo distintos canales.

En cambio, este último sistema puede ser perfectamente válido para una librería, y en una tienda de productos de señalización, y según tenga éstos distribuidos en el establecimiento, el uso de un marco llamativo puede ayudar a que a nadie le pase desapercibido.

señalizacion

En relación con el formato, y siendo el auditivo totalmente compatible con el resto de formatos, piénsese si no tendría mucho más sentido que el aviso de videovigilancia, para una tienda de productos para ciegos, fuera un mensaje sonoro, o en braille en la puerta de entrada al local. Y aquí voy a dejar el punto porque el tema de los discapacitados y la protección de datos, y otros muchos derechos, da para mucho, baste decir que tenemos una asignatura pendiente y que gracias a la tecnología podemos, y debemos, ir avanzando en este terreno.

En cuanto al tamaño del cartel, éste debe ser suficiente para que pueda ser visto, leído y entendido. Dependerá mucho del lugar donde el cartel se sitúe, siendo en ocasiones muy conveniente colocar varios, en función del área que es videovigilada. Claro que, por poner otro ejemplo, para un gran almacén de productos de pintura, podría ser adecuado pintar el cartel de videovigilancia en toda una pared de 3×4 metros.

En efecto, Ruth, en materia de videovigilancia es esencial tener en cuenta diversos aspectos que nos permitan garantizar que todos los afectados pueden acceder a la información sobre la misma; dimensiones, disposición, formato, colores, e incluso, y como bien apuntabas, que la información esté disponible en otros soportes como puede ser el audio.

Hemos de tener en cuenta además, que aunque en la mayoría de los casos la videovigilancia es realizada con motivos de seguridad, cada vez son más frecuentes la utilización de esta clase de sistemas para otras finalidades adicionales (control laboral, estudios de mercado, ….), que deberán ser expresamente informadas en el correspondiente cartel de videovigilancia y en las cláusulas de privacidad que deben acompañar al mismo, o al menos deben estar a disposición de los afectados, y es que, como bien apunta este artículo “Sonría! Nos vigilan!”.

Para finalizar, además de dar las gracias al karma ;) (que nos ha empujado a que este post no quedara en el trastero digital) queremos “premiar” con un bonus a los lectores que hayan llegado hasta aquí, así que os dejamos a continuación unos cartelitos que nos hemos encontrado por este mundo “lopediano” y que por sí solos no cumplirían con lo que exige la normativa:

atencion las24h

zona2

Y ni quiénes somos, ni de dónde venimos ni a dónde puedes ir a ejercitar tus derechos ARCO (¿pa qué?)

IMG_8252

Y encima pixelado :P

zona

presupuesto

Dónde ejercer los derechos ARCO, no, pero eh, siempre puedes solicitar presupuesto a los que le instalaron las cámaras ;P

Gasol

Y para terminar, uno especial para aquellos con casi superpoderes o al menos con vista de lince, mucha letra, pequeñita y a una altura que quizá Pau Gasol (porque yo os aseguro que no  :P)

Autoras: María González (@meryglezm) y Ruth Benito (@ruthbenitoabog)

¡Me añusgo con las cookies! #DebateAbiertoCon @HectorGuzmanMx

Ruth: Hola Héctor,  ¿te enteraste de que la AEPD ha iniciado un expediente sancionador contra una empresa porque, aunque informa a los usuarios a efectos de obtener su consentimiento para la instalación de cookies, éstas ya se encuentran instaladas con anterioridad? Puedes leer al respecto en el blog de Pablo Fernández Burgueño, que ha escrito sobre ello y sabe bien de lo que escribe.

meañusgo

Héctor: Sí, he leído el blog y de nuevo me vienen a la cabeza antiguas dudas, por no hablar de mi posición en relación con la interpretación sobre el “consentimiento previo” a la instalación de las cookies y la posibilidad efectiva de poder cumplir con esa obligación en lo general.

Porque, a día de hoy, se sigue sosteniendo que dicho consentimiento debe ser previo, ¿verdad?

Ruth: Tal y como yo lo entiendo, . Intentaré resumirte los motivos por los que así lo creo:

1.- Por la literalidad de la norma: Tanto la Directiva como la LSSI indican que este tipo de dispositivos podrán utilizarse “a condición de que” el usuario “haya dado su consentimiento”

Actual Art. 5.3 de la Directiva 2002/58/CE:

«3. Los Estados miembros velarán por que únicamente se permita el almacenamiento de información, o la obtención de acceso a la información ya almacenada, en el equipo terminal de un abonado o usuario, a condición de que dicho abonado o usuario haya dado su consentimiento después de que se le haya facilitado información clara y completa, en particular sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Directiva 95/46/CE. Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación a través de una red de comunicaciones electrónicas, o en la medida de lo estrictamente necesario a fin de que el proveedor de un servicio de la sociedad de la información preste un servicio expresamente solicitado por el abonado o el usuario».

Art. 22.2 1er párrafo de la LSSI:

Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal”.

Es decir, no se expresa que podrán utilizarse “a condición de que el usuario otorgue su consentimiento” o “a condición de que se le de la opción de que lo pueda dar”, sino de que ya lo haya dado al momento de instalarse las cookies.

2.-  Por el espíritu de la Ley: Entiendo que lo que se persigue es proteger al usuario frente a posibles técnicas intrusivas e instalación en sus dispositivos de elementos no deseados (algo así como tener que pedir permiso antes de instalar un sensor de movimiento en casa ajena y no meterlo a hurtadillas por la ventana), así como frente a un posible tratamiento de sus datos personales, y desde esta óptica es más que razonable que el consentimiento del usuario deba ser previo. De lo contrario la normativa no cumpliría su finalidad, carecería de efectividad, pues si se permitiera el consentimiento “a posteriori”, desde que una persona se accede a un sitio web en el que se utilizan cookies hasta que el usuario opta por dar o no su consentimiento, ya se le habría instalado una cookie y ésta, dependiendo de su función, podría haber transmitido cierta información (entre la que podrían llegar a encontrarse datos personales) desde el dispositivo del usuario.

Si nos vamos, además, al Considerando 66 de la Directiva 2009/136/CE por la que se modifica la Directiva 2002/58/CE sobre la Privacidad y las Comunicaciones Electrónicas, veremos que habla de que el usuario debe poder ejercer su derecho de negativa a que se le instalen este tipo de dispositivos y es claro que si, nada más acceder a un sitio web, ya se encuentran operativos, se le está impidiendo tal derecho, incluso aunque sólo sea por un breve lapso de tiempo.

3.- Así lo ha interpretado el Grupo de Trabajo del Art. 29 en su Dictamen 15/2011, donde entiende que aunque la norma no emplee la palabra “previamente”, así se deduce lógicamente del texto de la Directiva.

Es de sentido común que el consentimiento ha de obtenerse «previamente» al inicio del tratamiento de datos. De otra forma, el tratamiento que se realizara durante el tiempo comprendido entre el momento en que comienza el tratamiento y el momento en que se obtiene el consentimiento sería ilegal por falta de base jurídica”.

De modo que el esquema de tiempos sería el siguiente:

meañusgoesquema

Ahora bien, que esta sea mi conclusión, no significa que no sea consciente de lo kafkianas que pueden ser ciertas situaciones. Y es que estoy de acuerdo con Amedeo Maturo cuando dice que esto se debe a un ataque de “lopdismo”. Así, sólo por poner un ejemplo, me pregunto cómo pueden cumplir los propietarios de sitios web creados gracias a las plantillas de wordpress (como este blog), por ejemplo, que vienen con sus cookies ya instaladas. Hay quienes dicen que existen plugins para cumplir con la Ley de Cookies, pero, al parecer, no aportan plena garantía de cumplimiento. De hecho en el propio post enlazado se avisa al final de que la mayoría de los plugins enumerados no bloquean las cookies, y por tanto no se estaría cumpliendo estrictamente la ley. Y yo misma, a día de hoy, no estoy muy segura de cuál elegir.

En definitiva, hay multitud de posibles prestadores de servicios de la sociedad de la información (y digo posibles porque un debate previo necesariamente debe ser a quién se considera prestador de servicios con arreglo a la LSSI, que es otra cuestión muy divertida), que no obtiene un beneficio económico, o al menos no directo, a través de sus sitios web a quienes se está exigiendo, bien unos conocimientos técnicos muy elevados -para saber qué es una cookie, cómo funciona, cuáles emplea en su sitio web y cómo bloquearlas hasta que, en su caso, el usuario consienta su instalación-, bien un desembolso económico para que otros lo hagan por él, a quienes no saldrá rentable la cuenta. Todo ello con la posibilidad de que el día de mañana, si no se ha inventado ya, aparezcan posibles sistemas de rastreo, que instalen terceros, que pasen inadvertidos para los bloqueadores elegidos por el editor del sitio web.

¿Se han ponderado debidamente los intereses en juego?

Héctor: Pues te voy a decir algo, muy a título personal, sobre el mentado “consentimiento previo”: Creo que tanto la Directiva sobre privacidad y comunicaciones electrónicas como la LSSI, en relación con este tema, se han ido por donde no, se han pasado de proteccionistas y han establecido una obligación que raya en lo imposible de cumplir (con la inseguridad jurídica que ello conlleva, precisamente, en la sociedad de la información).

Y es que, en el estado actual de las cosas, ¿existe algún sitio web que, debiendo cumplir con la LSSI, recabe el consentimiento del usuario ANTES de que cualquier cookie no exenta del consentimiento le haya sido instalada en su equipo?

De verdad, para cumplir con “la letra” de la ley, que, ahora con todo lo que me has dicho la entiendo mejor, ¿debe un prestador de servicios detener, poner en pausa, la instalación de cookies, hasta no haber obtenido el consentimiento del usuario? ¡Pero si no estamos hablando de un formulario! Así entiendo por qué Amedeo habla de ataque de lopdismo.

Por comparar posiciones y disposiciones que conozco, me viene a la cabeza lo que la Information Comissioner’s Office del Reino Unido (ICO) ha dicho en relación con el consentimiento previo en su Guía sobre el uso de cookies (EN).

Palabras más, palabras menos, la ICO ha reconocido que es difícil esgrimir un buen argumento para sostener que el consentimiento para la realización de una acción pueda obtenerse válidamente después de que dicha acción ya ha ocurrido. Reconoce además que esa no es la forma generalmente aceptada para obtener el consentimiento en otras áreas, y que eso no es lo que los usuarios esperarían al respecto.

Un poco aventurado decir eso en estos tiempos, pues adivinar o anticipar lo que los usuarios esperan de su visita a un sitio web puede diferir mucho en función del tipo de usuario de que se trate, pero digamos que es verdad, que los usuarios en general esperan ser debida y anticipadamente advertidos de que la visita a un sitio web conlleva la instalación de cookies en sus equipos.

En todo caso, lo que quiero resaltar es que a renglón seguido se indica que el Comisionado de Información reconoce, SIN EMBARGO, que actualmente muchos sitios web instalan las cookies tan pronto como el usuario accede al sitio. Reconoce además que esta situación dificulta la obtención del consentimiento antes de que las cookies sean instaladas.

En este escenario, la Guía ICO sobre el uso de las cookies indica que siempre que sea posible, deberá retrasarse la instalación de las cookies hasta que el usuario haya tenido la oportunidad de entender qué cookies son las que están siendo utilizadas y haya podido realizar su elección.

Pero más aún, en la Guía se indica que cuando esto no sea posible (o sea, retrasar la instalación de las cookies), los “sitios web” deberán ser capaces de demostrar que están haciendo todo lo posible para reducir el plazo de tiempo anterior al momento en que los usuarios reciben la información sobre las cookies y se les ofrecen opciones al respecto. Y cierra estas consideraciones diciendo que un punto clave al respecto, es asegurar que la información que se proporciona no sólo es clara y comprensible, sino además fácilmente disponible.

Así que, aún sin comprometer demasiado su criterio, en esa Guía la ICO al menos reconoce cómo operan “muchos sitios web” y la dificultad que conlleva cumplir con el “consentimiento previo”.

Para mí está claro que la ICO trata de desenredar el nudo, haciendo malabares con lo que tiene a la mano, pues no puede quitarse de encima el hecho de que el consentimiento debe ser “previo”, aclarado sin lugar a dudas por el GT29, como ya lo has mencionado.

Por otro lado, (y como podrás imaginar) no puedo dejar de mencionar la forma en que se regula la instalación de cookies en México.

Para empezar, el tema no se aborda en relación con la prestación de servicios de la sociedad de la información, sino a través de la normativa sobre protección de datos personales y, de forma particular, en relación con la solicitud y obtención del consentimiento.

Por un lado, el Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (sí, así se llama, no me culpes a mí) estable en su artículo 14 (Solicitud del consentimiento tácito):

Cuando el responsable utilice mecanismos en medios remotos o locales de comunicación electrónica, óptica u otra tecnología, que le permitan recabar datos personales de manera automática y simultánea al tiempo que el titular hace contacto con los mismos, en ese momento se deberá informar al titular sobre el uso de esas tecnologías, que a través de las mismas se obtienen datos personales y la forma en que se podrán deshabilitar“.

Los Lineamientos del Aviso de Privacidad que entraron en vigor en México hace poco (abril de 2013) repiten lo anteriormente dicho, pero clarifican el cómo:

Uso de cookies, web beacons u otras tecnologías similares

Trigésimo primero. En términos del artículo 14, último párrafo del Reglamento de la Ley, cuando el responsable utilice mecanismos en medios remotos o locales de comunicación electrónica, óptica u otra tecnología, que le permitan recabar datos personales de manera automática y simultánea al tiempo que el titular hace contacto con los mismos, en ese momento deberá informar al titular, a través de una comunicación o advertencia colocada en un lugar visible, sobre el uso de esas tecnologías y sobre el hecho de que a través de las mismas se obtienen datos personales, así como la forma en que se podrán deshabilitar, esto último salvo que dichas tecnologías sean necesarias por motivos técnicos.

 Asimismo, el responsable deberá incluir en el aviso de privacidad la información a la que refiere el artículo 14 del Reglamento de la Ley y aquélla que deba ser informada en los términos de los presentes Lineamientos, entre ella, los datos personales que se recaban y las finalidades del tratamiento.

Pareciera poca cosa, pero creo que al menos podemos decir que estas disposiciones regulan la situación de forma un poco más acorde con la realidad. Vamos, que llevado a lo que estamos hablando, se reconoce que (algunas) cookies permiten recabar datos personales al tiempo que el titular hace contacto con un sitio web y que debe ser en ese momento cuando el responsable debe cumplir con el principio de información.

El consentimiento se obtendría si el usuario sigue usando el sitio después de haber recibido la información, no antes ni después de acceder al mismo, sino en el momento de hacerlo. Regularlo de otra forma te va a llevar a la situación (absurda) de la que estamos hablando, dará pie a “n” mil explicaciones sobre el estado actual de la tecnología y a concluir lo que el ala más radical sostiene —  Es lo que “dice” la ley  –, aunque después no haya prestador de servicios promedio que pueda cumplir con la exigencia legal.

Yo creo que el tema es mucho más amplio que el simple momento en el cual se obtiene el consentimiento, sino que abarca además los intereses jurídicos protegidos, las medidas adoptadas por los prestadores de servicios para informar a los usuarios, la tecnología utilizada en el sitio web, si éste está montado sobre una plataforma proporcionada a su vez por un prestador de servicios (típico caso de los blogs), quién instala o decide sobre el tipo de cookies a instalar, la finalidad que se persigue con la instalación de las cookies y demás aspectos teleológicos.

Luego, analizado lo anterior, ya podrá decirse si estamos frente a un “sucio infractor” o frente a una persona que ha hecho todo lo posible para cumplir con la letra y el espíritu de la normativa, dentro de todo aquello que “humana, técnicamente y de buena fe” le ha sido posible hacer.

Conclusión…

meañusgo01

Autores del post: Héctor E. Guzmán Rodríguez y Ruth Benito Martín.

Publicación de datos personales en tablones electrónicos – #DebateAbiertoCon Susana Macías

El tweet que provoca el debate:

El interrogante inicial:


(Inciso ——> En este momento nace #DebateAbiertoCon)

Ruth: Por lo que te leo, el supuesto podría encajar en el del art. 59.6.b) de la Ley 30/1992, de 26 de noviembre, del Régimen Jurídico de las Administraciones y del Procedimiento Administrativo común (Ley 30/92):

“6. La publicación, en los términos del artículo siguiente, sustituirá a la notificación surtiendo sus mismos efectos en los siguientes casos:

a) (…)

b) Cuando se trata de actos integrantes de un procedimiento selectivo o de concurrencia competitiva de cualquier tipo. En este caso, la convocatoria del procedimiento deberá indicar el tablón de anuncios o medios de comunicación donde se efectuarán las sucesivas publicaciones, careciendo de validez las que se lleven a cabo en lugares distintos”.

Entiendo que, si una normativa lo recogiera para el supuesto concreto, la Administración puede disponer en su convocatoria que la notificación se efectuará por medio de publicación en su tablón de anuncios y en su tablón electrónico, poniendo este artículo en relación con el 12 de la Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos (Ley 11/2007), que dispone:

La publicación de actos y comunicaciones que, por disposición legal o reglamentaria deban publicarse en tablón de anuncios o edictos podrá ser sustituida o complementada por su publicación en la sede electrónica del organismo correspondiente.

Deduzco, por lo de #LOLPD (¡qué hashtag tan grande, @NTAbogados!) que la sorna de tu tuit guarda relación con la protección de datos, (¿has visto que perspicaz soy? guiño-guiño-codazo), pero ¿me puedes explicar exactamente el motivo?

Susana: A raíz del “tweet de la discordia” veo que se suscitan, como mínimo, dos preguntas en relación con los tablones de anuncios electrónicos:

1. El contenido que pueden tener dichos tablones.

2. Las medidas en materia de protección de datos que hace falta adoptar en relación con los documentos que se publican en los tablones electrónicos.

En relación con la cuestión 1, hay que destacar que no está establecido de forma expresa qué contenidos deben (o pueden) ser publicados en el tablón de anuncios electrónico, y éstos se infieren de la Ley 30/1992 puesta en relación con la Ley 11/2007.

Los preceptos que se aportan al debate son totalmente correctos, y de hecho el tablón electrónico se puede considerar una versión 2.0, para entendernos, del tablón de anuncios presencial de toda la vida, con lo cual tienen cabida los mismos contenidos que en éste (art. 59.5 + 59.6.b) de la Ley 30/1992). El matiz (o importante diferencia) a tener en cuenta consiste en que el art. 12 de la Ley 11/2007 abre la posibilidad que la publicación en el tablón de anuncios electrónico pueda llegar a sustituir la publicación en los boletines y diarios oficiales, opción que no se contemplaba en relación con los tablones presenciales.

O sea que desde un punto de vista de contenido, es ajustado a Derecho que un tablón de anuncios electrónico pueda incorporar un listado de las personas físicas o jurídicas a las que se ha concedido una subvención, dado que se trata de un procedimiento de concurrencia competitiva que se subsume en el art. 59.6.b) de la Ley 30/1992.

La segunda cuestión es quizás la que más dudas puede suscitar: ¿cómo se protegen los datos personales de un documento colgado en un tablón de anuncios electrónico? De esta respuesta quiero excluir de entrada los mecanismo de no indexación, y centrarme en el contenido que deberían tener dichos actos (o el que NO deberían tener) para que cumplieran con la LOPD.

En este sentido, me remito a la Recomendación 1/2008 de la APDCAT, sobre la difusión de información que contenga datos de carácter personal a través de internet, aplicable a las instituciones públicas de Cataluña (entre ellas, la Administración de la Generalitat).

Para no complicar el asunto más de la cuenta, partamos de la suposición que los perceptores de la subvención han dado su consentimiento a la comunicación de sus datos, y que la finalidad de difusión es legítima (que creo yo que sí). Igualmente, creo que en el caso que yo apuntaba no se ha tenido en cuenta el principio de proporcionalidad que define en estos términos la misma Recomendación 1/2008:

Proporcionalidad: es necesaria la ponderación a fin de que la información facilitada sea la estrictamente adecuada y se mantenga sólo durante el tiempo adecuado para alcanzar la finalidad que legitima la difusión de los datos. Se considerará adecuada la información que sea idónea e imprescindible para alcanzar la finalidad perseguida, siempre que, cuando sea posible difundir electrónicamente la información de diferentes formas, o con diferentes grados de concreción, se opte por aquel sistema que, a la vez que permita alcanzar igualmente la finalidad perseguida, comporte una menor difusión de datos de carácter personal tanto desde un punto de vista cualitativo como cuantitativo”.

En el caso concreto de la publicación del resultado de los procedimientos selectivos o de concurrencia competitiva, en este documento se recomienda, salvo que la normativa específica reguladora de la materia establezca de lo contrario, limitar la publicación a la indicación de los participantes seleccionados, sin hacer mención de la valoración obtenida ni de los participantes que hayan sido descartados, sin perjuicio de la posibilidad de establecer sistemas de acceso restringido que permitan a cada aspirante acceder a la información completa que le afecte.

Es decir, la Recomendación no descarta que se puedan utilizar sistemas de identificación para el acceso que permitan verificar la legitimación de la persona que pretenda acceder a los datos de carácter personal, de manera que éstos se difundan sólo entre los interesados directos o aquellas personas o colectivos titulares de intereses legítimos. Esto implica que cada interesado en un procedimiento disponga de un espacio personal para poder consultar el estado o resultado de dicho procedimiento, y así los datos personales no trasciendan a sujetos ajenos al procedimiento.

R: No estoy tan segura de que deba requerirse necesariamente el consentimiento del interesado, pues entiendo que lo que la Administración hace es una comunicación o revelación de datos y el Art. 11 de la LOPD contempla, entre otras excepciones, que no será preciso el consentimiento cuando la cesión de los datos esté autorizada en virtud de una Ley. Como vemos, el supuesto del que hablamos se encuentra previsto en el Art. 59 de la Ley 30/1992, que autorizaría la publicación de los datos en el boletín oficial, y en el Art. 12 de la Ley 11/2007, que habilitaría la publicación en el tablón electrónico de la Administración.

Por otra parte, siendo prácticos, podemos preguntarnos qué importa que esos datos figuren en el tablón electrónico de la Administración si desde el momento en que han  accedido al boletín oficial en Internet, se encuentran en una fuente accesible al público de forma indefinida y a la que, en términos generales, se puede llegar a través de cualquier buscador.

Hay quien apuntará a un fichero robots.txt como solución, sin embargo a día de hoy, hasta donde yo sé, nada obliga a las administraciones a incluir tales ficheros, pero aunque así fuera, un robots.txt no es más que un archivo de texto que contiene recomendaciones para los indexadores de los buscadores, pero no tienen carácter vinculante, no son más que peticiones, no estando por tanto realmente éstos sujetos a su cumplimiento. Además, el robots.txt por un lado puede facilitar que determinada información no resulte accesible a través de buscadores externos, pero por otro puede provocar un efecto llamada, pues no hay más que introducir en nuestro navegador la url de la web que se quiera seguida de “/robots.txt” para acceder a dicho fichero y saber, por tanto, cuál es la información que no se desea indexar (aunque es cierto que hace falta ser muy curioso para ir mirando los robots.txt. Por cierto, para curioso el robots.txt de la web de la SGAE…)

Retomando el tema, también la Agencia de Protección de Datos de la Comunidad de Madrid (D.E.P.) se pronunció en su día sobre la publicación de datos personales en boletines oficiales, en su Recomendación 2/2008, y sobre el tratamiento de datos personales en servicios de administración electrónica, Recomendación 3/2008, si bien esta última, paradójicamente, no me ha parecido aplicable al supuesto que tratamos. Sí, en cambio la Recomendación 2/2008, en cuyo Art. 17 se refiere concretamente a la publicación de datos relativos a subvenciones y en el 31 a las notificaciones a través de boletines y diarios oficiales en Internet.

En definitiva, creo que, aunque se pueden arbitrar medios para que sólo el interesado acceda a su información en relación con la concesión o no de la subvención, entiendo que la Administración del tuit de la discordia no tiene por qué estar incumpliendo la normativa actual sobre protección de datos y tampoco las recomendaciones que venimos viendo. Otra cosa es que sea deseable que se regule en condiciones la incorporación de datos de carácter personal en boletines oficiales en Internet y en tablones electrónicos. Quizá vaya siendo hora de decidir si la amplificación y la enorme facilidad y rapidez en la obtención de información que se producen hoy en día en Internet justifican una regulación específica para dicho entorno en materia de protección de datos (ahora que tanto se habla del derecho al olvido…).

S: El debate se pone cada vez más interesante. Me explayaría durante horas, pero intentaré contenerme…

Brevemente, creo que sí que tiene relevancia la exposición de los datos en un tablón electrónico, a pesar de que éstos se hayan publicado ya en un boletín oficial en formato digital. Tengamos en cuenta que uno de los principios que rigen las publicaciones oficiales en formato digital es el de la integridad (v., por ej., art. 3.3 de la Ley 2/2007, del DOGC), motivo por el cual no se “descuelgan” o borran los eventuales datos personales que puedan contener sus documentos. Cosa que sí se puede (y de hecho, se debería) hacer con los documentos que se cuelguen de los tablones oficiales, que simplificando son más de usar y tirar, ya que no tienen que estar expuestos más allá del tiempo imprescindible para cumplir con su utilidad, lo cual se traduce en el plazo estipulado para interponer recurso contra él.

En cuanto al robots.txt, totalmente de acuerdo: ni es la solución, ni es la panacea. Más bien hay que considerarla una medida adicional de cara a la protección de datos de carácter personal, y con los efectos limitados que ya conocemos. Pero la medida realmente eficaz consiste ya a priori en la prevención, o en lo que es lo mismo, en no dar publicidad de datos que no son necesarios en virtud del principio de proporcionalidad que antes comentaba: ¿es necesario que todos (interesados o no el procedimiento) tengan acceso a datos personales de sujetos a los que se ha concedido una subvención? En el caso de los interesados se resuelve habilitando el espacio personal antes mencionado. Y en el caso de los no interesados en el procedimiento, se puede entender que esos resultados puedan ser públicos por tiempo indefinido con fines de investigación (más aún en los tiempos que corren, en los que queremos saber a qué se destina el dinero de nuestros impuestos). Pero una solución que satisfaga los intereses legítimos de ambas partes puede pasar, por ejemplo, por la anonimización parcial de los datos relativos a las personas físicas que perciban la subvención (por ejemplo, las iniciales del nombre más los cuatro últimos dígitos del DNI). Ésta es una medida que permite (al menos a priori) que sólo el interesado se reconozca en el listado, y que se ve amparada por la misma Recomendación 1/2008, la cual indica la oportunidad de limitar la publicación de números identificativos, como el número del documento nacional de identidad, el número de afiliación a la seguridad social u otros, de forma conjunta con la identificación completa de la persona a la cual se refieren, a aquellos supuestos en que la publicación de este dato concreto se desprenda de la normativa aplicable. 

Esta idea no es totalmente nueva, porque de hecho, en el ámbito de las notificaciones y publicaciones de actos, va en consonancia con el artículo 61 de la LRJPAC:

Si el órgano competente apreciase que la notificación por medio de anuncios o la publicación de un acto lesiona derechos o intereses legítimos, se limitará a publicar en el diario oficial que corresponda una somera indicación del contenido del acto y del lugar donde los interesados podrán comparecer, en el plazo que se establezca, para conocimiento del contenido íntegro del mencionado acto y constancia de tal conocimiento”.

(Y qué interés o derecho más legítimo que la protección de datos de carácter personal, ¿verdad? ;)).

En resumen, aunque no existan unos criterios meridianamente claros respecto a las medidas que hay que adoptar en materia de protección de datos en los tablones electrónicos, lo que sí que es seguro es que no deben diferir mucho de las que se adoptan en los boletines oficiales en formato digital. Y eso pasa, a mi modo de ver, por publicar exclusivamente la información imprescindible para que la difusión del acto administrativo cumpla su finalidad.

¿Qué es #DebateAbiertoCon?

En ocasiones leo tuits.

#DebateAbiertoCon

Y algunos de esos tuits que leo a colegas (o las noticias o posts a los que enlazan) hacen que me asalten dudas, o que discrepe, o que quiera saber más. Entonces pregunto a quien lo publicó. Soy muy preguntona, lo reconozco, avisadme cuando se cree la Asociación de Preguntones Anónimos (me nombrarán Presidenta, y oye, un cargo es un cargo).

El asunto es que, si el increpado se presta a ello, se inicia un “minidebate”, ya sea en abierto o en privado, y he pensado que esas pequeñas charlas, si la materia lo merece y el interlocutor acepta, pueden desarrollarse un poquito más en un post conjunto con formato de diálogo (aquí puedes ver algunos ejemplos de DebateAbiertoCon), lo que, en mi opinión, tiene las siguientes ventajas:

  • Podemos explicarnos sin el límite de los 140 caracteres (ojo, que a mí Twitter me gusta como al que más, ¡pero!).
  • Queda en los blogs, de modo que otros puedan leer y compartir el debate, y por supuesto participar a través de los comentarios. Ya sabéis, aunque siempre nos quedará la biblioteca del Congreso de los EEUU (o quizá no), a los tuits casi casi se los lleva el viento (salvo que seas famoso, claro).
  • Fomenta la relación entre los compañeros.
  • Y sobre todo, al menos para mí, supone una divertida manera de aprender.

De entrada, y aunque a mí la idea me gusta, no cuento con que vaya a haber muchos #DebateAbiertoCon, pues si ya cuesta ponerse de acuerdo con uno mismo para escribir, vete tú a conciliar tus circunstancias y tiempos con las circunstancias y tiempos de otro… Pero aquí queda la idea y la herramienta para poder aprovecharla si surge la oportunidad.

Eso sí, si se hace que se haga bien. Y para ello es bueno establecer un mínimo de reglas:

  1. Los debates tienen que versar sobre Derecho TIC (es sobre lo que trata predominantemente este blog).
  2. Excepcionalmente pueden intervenir más personas, pero lo ideal es que la charla se produzca entre dos participantes, ya que, por la forma en que se desarrolla, con más personas puede ser difícil seguir el hilo argumental de cada uno y las interacciones con los demás.
  3. El debate se llevará a cabo, según los participantes prefieran, por medio del correo electrónico, o de Google Docs u otra herramienta similar.
  4. Relax, no se trata de ver quién tiene razón o quién sabe más, sino sólo de una amigable charla, como la que puede surgir con un compañero que te encuentras tomando un café en torno a una noticia en el periódico.
  5. No hay un tiempo ni extensión límites establecidos para conseguir una redacción final. Todos tenemos muchas cosas que hacer, no es plan de estresarnos también con esto.
  6. El texto definitivo será consensuado por todos los intervinientes.
  7. Todos los participantes consienten que el texto definitivo consensuado se podrá publicar en los blogs de cuantos participen bajo licencia Creative Commons BY-NC-ND 3.0 (Atribución-NoComercial-SinDerivadas).

Por último, no esperes a que yo te proponga un #DebateAbiertoCon, también tú puedes proponérmelo a mí. Ah y si esta idea te gusta, siéntete totalmente libre de copiarla para tu blog ;)