EXAMEN DEL INTERÉS LEGÍTIMO COMO BASE DEL TRATAMIENTO DE DATOS

Por conversaciones con clientes y compañeros, detecto que el interés legítimo, como base jurídica del tratamiento de datos, suscita muchos interrogantes y en ocasiones provoca cierto nerviosismo. Es curioso porque, aunque en España lo estuvimos manejando de forma errónea (hasta que nos corrigió el TJUE con su sentencia de 24 de noviembre 2011 sobre el asunto ASNEF y FECEMD), no se trata de ninguna novedad del Reglamento General de Protección de Datos (RGPD). Éste contempla exactamente los mismos fundamentos que legitiman el tratamiento de datos que ya contenía la Directiva 95/46.

No obstante, es cierto que, al exigir el Reglamento que, en los tratamientos basados en el consentimiento de los interesados, éste sea inequívoco y en sentido positivo, se esté acudiendo, o al menos se pretenda, al interés legítimo como base alternativa que legitima aquellos tratamientos para los que no se cuenta con un consentimiento otorgado con tales características y en los que no cabe aplicar ninguna otra base jurídica.

Por este motivo se pone el foco ahora sobre el interés legítimo y la incertidumbre surge porque, al igual que sucede con la Directiva, el RGPD exige no sólo la existencia de un interés legítimo, sino que éste prevalezca sobre los intereses o los derechos y libertades de los interesados. En definitiva, hay que ponderar (¡chan chan!). Y en toda ponderación suele suceder que, antes o después hay que chuparse el dedo y ponerlo al viento. Pero mejor hacerlo lo más tarde posible y contar previamente con elementos lo más objetivos posibles que nos puedan guiar como pesas que se van poniendo en la balanza (aunque, como apunto, al final tengamos que recurrir a lo del dedo a la hora de dar un valor a cada una de esas pesas).

El Reglamento regula el interés legítimo principalmente en su artículo 6.1.f), así como en los Considerandos 47 a 50, que, entre otras cosas, indican algunos de los supuestos en los que puede entenderse que el interés del responsable o de un tercero puede considerarse como legítimo (sin perjuicio de tener que llevar a cabo la necesaria ponderación comentada).

Art. 6.1.f):

El tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.

Resulta oportuno transcribir igualmente los dos siguientes párrafos del Considerando 47, que aporta unas pinceladas muy genéricas, que he subrayado, de aspectos a tener en cuenta sobre la ponderación que hay que realizar:

El interés legítimo de un responsable del tratamiento, incluso el de un responsable al que se puedan comunicar datos personales, o de un tercero, puede constituir una base jurídica para el tratamiento, siempre que no prevalezcan los intereses o los derechos y libertades del interesado, teniendo en cuenta las expectativas razonables de los interesados basadas en su relación con el responsable.

(…)

En cualquier caso, la existencia de un interés legítimo requeriría una evaluación meticulosa, inclusive si un interesado puede prever de forma razonable, en el momento y en el contexto de la recogida de datos personales, que pueda producirse el tratamiento con tal fin. En particular, los intereses y los derechos fundamentales del interesado podrían prevalecer sobre los intereses del responsable del tratamiento cuando se proceda al tratamiento de los datos personales en circunstancias en las que el interesado no espere razonablemente que se realice un tratamiento ulterior.

No arroja, por tanto, mucha luz el Reglamento en cuanto al examen que debe llevarse a cabo para determinar cuándo un interés legítimo existente y necesario legitima un tratamiento de datos. Y entiendo que tampoco es función de esta norma llegar a tanto detalle e, incluso, podría ser contraproducente. En este punto, llamo la atención sobre el Anteproyecto de LOPD, donde quizá sí cabría desarrollar un poco más la cuestión[i], así como en un futuro Reglamento de desarrollo de esa nueva LOPD.

Las Administraciones Públicas lo tienen fácil con el interés legítimo respecto a los tratamientos de datos que deban realizar en ejercicio de sus funciones. Sencillamente no pueden basar ninguno de esos tratamientos en dicho supuesto, tal como dispone el propio art. 6 citado, al final del apartado f): …no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones. La razón, según se menciona en el Considerando 47 del propio RGPD, es que corresponde al legislador establecer por ley la base jurídica para el tratamiento de datos personales por parte de las autoridades públicas.

Ahora bien, para otros supuestos, y siempre que el responsable lo sea una entidad privada, conviene, llegados aquí, recurrir al GT29, concretamente a su Dictamen 06/2014, de 9 de abril de 2014, sobre el concepto de interés legítimo del responsable del tratamiento de los datos en virtud del artículo 7 de la Directiva 95/46/CE. Sí, es cierto, se refiere al interés legítimo previsto en la Directiva, no en el Reglamento, pero es que, como he apuntado anteriormente, la figura del Reglamento no es nueva, sino que se trata del mismo interés legítimo que se contempla en la Directiva; el mencionado dictamen, por tanto, resulta perfecta y plenamente aplicable.

En dicho dictamen el GT29 nos guía a la hora de realizar el pertinente examen sobre el interés legítimo para concluir si éste puede legitimar un determinado tratamiento de datos o no. Para ello deberemos dar los pasos que se resumen en el siguiente esquema:

EsquemaExamenInteresLegitimoPD

Vayamos por partes.

 

A) ¿SE TRATA DE UN INTERÉS LEGÍTIMO?

No todo interés del responsable o de un tercero tiene por qué ser legítimo y esta característica es requisito indispensable para que dicho interés pueda acabar legitimando un tratamiento de datos.

El GT29 exige que, para que pueda considerarse legítimo un interés, éste sea:

  • Lícito: que sea conforme a la legislación nacional y de la UE, es decir que no se trate de materia prohibida, ni atente contra el orden público, ni sea contraria a los principios generales del Derecho (cuáles son éstos es otro cantar).
  • Suficientemente concreto: Lo que requiere que quede claramente delimitado y definido, para poder ponerlo en contraposición a los intereses y los derechos fundamentales del interesado.
  • Representativo de un interés real y actual, es decir, que no sea especulativo.

No tiene sentido crear una lista cerrada de intereses legítimos, pues estos pueden ser infinitamente dispares y además variar en función del tiempo y de las circunstancias. No obstante, el RGPD, en sus Considerandos 47 a 50, nos marca ya algunos supuestos concretos de interés legítimo:

  • La prevención del fraude (Considerando 47).
  • La mercadotecnia directa (Considerando 47).
  • Garantizar la seguridad de la red y de la información, así como de los servicios proporcionados a través de esos sistemas o redes de información (Considerando 49).
  • Compartir datos personales dentro de un mismo grupo empresarial o entre entidades afiliadas a un mismo organismo central con fines administrativos internos (Considerando 48).
  • La indicación de posibles actos delictivos o amenazas para la seguridad pública, así como la transmisión a la autoridad competente de los datos relacionados con dichos actos delictivos o amenazas para la seguridad pública (Considerando 50).

A éstos habrá que añadir los que, en su caso, recoja finalmente la reforma definitiva de nuestra LOPD. Actualmente en el Anteproyecto se mencionan los dos siguientes:

  • El tratamiento de los datos de las personas físicas que presten servicios en una persona jurídica, siempre se trate de los datos mínimos imprescindibles para su localización profesional y se utilicen para mantener la relación con la persona jurídica en cuestión.
  • El tratamiento de los datos de empresarios individuales cuando se refieran a ellos en dicha condición y no se traten para entablar una relación con los mismos como personas físicas.

Además, en el propio dictamen del GT29 se aportan más supuestos que pueden considerarse como interés legítimo y en su Anexo 2 se describen algunos ejemplos prácticos que pueden ser muy útiles. Entre los primeros se exponen a continuación, por no ser repetitivos, sólo aquellos que difieren de los recogidos en los Considerandos del RGPD:

  • El ejercicio del derecho de libertad de expresión o información, incluidas las situaciones en las que se ejerza dicho derecho en los medios de comunicación y en las artes.
  • La prospección convencional y otras formas de comercialización o publicidad.
  • Los mensajes no comerciales que no hayan sido solicitados, incluidos los pertenecientes a campañas políticas o de recaudación de fondos para organizaciones caritativas.
  • La ejecución de derechos reconocidos en procedimientos judiciales, incluido el cobro de deudas mediante procedimientos extrajudiciales.
  • la prevención del uso indebido de servicios o del blanqueo de dinero.
  • La supervisión de los empleados con fines de seguridad o de gestión. En relación con este concreto tratamiento, el propio GT29 ha emitido recientemente otro dictamen que aborda, entre otras, directamente esta cuestión: Dictamen 2/2017 sobre tratamiento de datos en el trabajo, de fecha 8 de junio de 2017, disponible en inglés en pdf en http://ec.europa.eu/newsroom/document.cfm?doc_id=45631.[ii]
  • Los regímenes internos de denuncia de irregularidades.
  • La seguridad física.
  • El tratamiento con fines históricos, científicos o estadísticos.
  • El tratamiento con fines de investigación (incluida la investigación de mercado).

Insisto, no podemos tratar estos listados con la condición de “númerus clausus”, por lo tanto, aunque “nuestro” interés no figure entre los descritos, no significa que no pueda ser un interés legítimo. Lo será siempre que cumpla los requisitos iniciales: licitud, concreción, real y actual.

Si llegamos a la conclusión de que el interés no es legítimo, se paran las máquinas, no puede basarse el tratamiento de datos en dicho interés y habrá que ver si concurre alguna otra base jurídica que pueda legitimar dicho tratamiento.

No debemos confundir el interés del responsable o de un tercero con la finalidad del tratamiento. Ésta es la que se persigue como medio que permita la satisfacción del interés legítimo, pero pueden ser cosas totalmente distintas. También es importante que el interés legítimo quede lo mejor descrito o definido posible de cara al siguiente paso a dar: valorar si el tratamiento es necesario para poder conseguir el interés legítimo.

InteresLegitimoB) ¿EL TRATAMIENTO DE DATOS ES NECESARIO PARA CONSEGUIR EL INTERÉS LEGÍTIMO?

El GT29 en su dictamen nos exhorta a considerar que un tratamiento no será necesario si existen medios menos invasivos a través de los cuales se logra el mismo fin. Y ello sin que deba tenerse en cuenta si esos otros medios menos invasivos le resultan más o menos apropiados o eficaces para el responsable del tratamiento.

Por ello habrá que valorar la conveniencia de introducir, en la determinación del interés legítimo (paso previo), ciertas características propias del resultado que se pretende obtener, tales como el coste, el tiempo, esfuerzos y recursos a emplearse en la consecución del interés legítimo (“al menor coste posible”, “en un plazo no superior a”, “con una inversión ajustada de recursos o esfuerzos” …)

 

C) PONDERACIÓN ENTRE EL INTERÉS LEGÍTIMO Y LOS INTERESES O DERECHOS Y LIBERTADES DE LOS INTERESADOS.

Teniendo en cuenta que el RGPD marca que la ponderación debe hacerse teniendo en cuenta la expectativa razonable de los interesados en función de su relación con el responsable, así como las orientaciones que el GT29 aporta a lo largo de todo su dictamen, se detalla a continuación una batería de preguntas que el responsable del tratamiento puede plantearse para sopesar los intereses en juego y que convendrá que, junto con el resto de cuestiones, deje plasmado en un informe u otro documento que justifique su decisión:

  1. ¿Coincide el interés legítimo del responsable o de un tercero con un derecho fundamental, un interés público o un interés de la comunidad en general aun cuando éste no se encuentre legalmente estipulado?
  2. ¿Concurren en el tratamiento algún elemento característico de otras bases jurídicas que, aunque no pudiendo legitimar por sí solo el tratamiento, sí aporte refuerzo al interés legítimo? (Por ejemplo, si se obtuvo el consentimiento del interesado, aunque no en el modo que exige el RGPD para que dicho consentimiento pueda actuar como base jurídica).
  3. ¿Existe reconocimiento jurídico, cultural o social de la legitimidad del interés? Es decir, si se puede contar con directrices, políticas, recomendaciones, guías, declaraciones, manifiestos, demandas sociales, etc., que impulsen la consecución del interés legítimo. En realidad, este podría ser un subtipo de la primera cuestión o una forma de demostrar que aquella se da positivamente.
  4. ¿El análisis de riesgo del tratamiento o una evaluación de impacto en protección de datos sobre el mismo, arroja un resultado de riesgo alto para los derechos y libertades fundamentales de los interesados?
  5. ¿El tratamiento afecta negativamente a algún otro derecho fundamental de los interesados?
  6. ¿Se tratan datos de categorías especiales?
  7. ¿Se revelan los datos al público o a un gran número de personas?
  8. ¿Se combinan dichos datos con otros obtenidos por otras vías o de otras fuentes?
  9. ¿Les cabe esperar a los interesados que sus datos puedan ser objeto del tratamiento en cuestión o para la finalidad del mismo?
  10. ¿La/s categoría/s de interesados cuyos datos son objeto del tratamiento en cuestión pertenecen a un segmento más vulnerable de la población (menores, personas con discapacidad, solicitantes de asilo o refugio, víctimas de violencia de género, víctimas de terrorismo, etc.)?
  11. ¿Se deriva del tratamiento algún beneficio para los interesados?
  12. ¿Cuál es el grado de invasión en la privacidad de los interesados (bajo, medio o alto)?
  13. ¿Cuál es la duración del tratamiento (una semana o menos, 1 mes, 3 meses, 6 meses, 1 año, más de 1 año…)?
  14. ¿Cuál es la frecuencia del tratamiento (puntual, esporádica, continua)?
  15. Al margen del nivel de invasión en la privacidad de los interesados y del riesgo que conlleve el tratamiento para éstos, ¿cabe esperar que el tratamiento en sí mismo les ocasione algún perjuicio o consecuencia negativa?
  16. ¿Existe relación directa entre el responsable los interesados?
  17. ¿Mantiene el responsable una posición dominante respecto a los interesados?
  18. ¿Existe algún tipo de contraprestación o compensación a favor de los interesados por el tratamiento de sus datos?

Por supuesto éstos no son más que interrogantes que se proponen aquí con una función meramente orientadora. No se agrupan o clasifican en virtud de a quién beneficie la respuesta, en primer lugar, porque se parte de la idea de que los intereses del responsable y de los interesados no tiene por qué ser contrapuestos, aunque en muchos casos así pueda suceder, pero no como regla. También porque, dada la diversidad de intereses legítimos y de tratamientos de datos que pueden plantearse, no parece resultar apropiado determinar apriorísticamente las respuestas que juegan a favor del interés legítimo y las que lo hacen a favor de los intereses o derechos y libertades de los interesados. Es más, en determinados supuestos es posible tanto que algunas de las cuestiones planteadas resulten irrelevantes como que sea necesario incorporar otras distintas.

 

D) EL EQUILIBRIO PROVISIONAL.

Una vez realizada la ponderación anterior, el responsable puede estar ya en condiciones de determinar si prevalece su interés legítimo sobre los intereses o derechos y libertades de los interesados o no. Si claramente es así, se pueden concluir que el tratamiento de datos está legitimado y podrá llevarse a cabo, obviamente con cumplimiento del resto de exigencias que la normativa vigente impone.

Sin embargo, en caso contrario o si aún se tienen dudas, así como si sencillamente, a pesar de que claramente prevalezca el interés legítimo, se quiere reforzar éste (lo que siempre será una buena práctica), el responsable puede acudir a una serie de garantías adicionales, cuyo cumplimiento o concurrencia pueden acabar  inclinando la balanza a favor de unos intereses u otros, dependiendo de una ulterior evaluación de todas las circunstancias en conjunto.

 

E) GARANTÍAS ADICIONALES.

El GT29 en su dictamen recopila algunas herramientas o procedimientos que pueden ser considerados como garantías adicionales a los efectos aquí comprendidos. Sin embargo, considero que aquellas que pueden traducirse en obligaciones o exigencias legales (ya contenidas en su día en la Directiva o ahora en el Reglamento), no deben computar como tal, puesto que son de obligado cumplimiento independientemente de cualquier otra cuestión y no parece muy apropiado que puedan, por tanto, servir para reforzar ninguna base jurídica del tratamiento de datos.

Hecha esta salvedad, y teniendo en cuenta que tampoco en este caso podemos hablar de listas cerradas, se enumeran a continuación, con carácter igualmente orientativo, algunas posibles garantías adicionales:

  1. Facilitar, directamente a los interesados o, en caso de que ello resulte imposible o altamente costoso, al público en general (por ejemplo, mediante publicación en la propia web, difusión en redes sociales propias, anuncios especializados, etc.), información transparente y más amplia que la exigida legalmente sobre el tratamiento de datos y el interés legítimo.
  2. Enviar periódicamente recordatorios con la información anterior.
  3. Facilitar a los interesados uno o varios mecanismos viables y accesibles para garantizar la posibilidad incondicional de que se excluyan voluntariamente del tratamiento.
  4. Informar a los interesados de otros mecanismos que existan, aunque no los aplique o provea directamente en responsable, a través de los cuales aquellos puedan impedir o limitar, de forma sencilla y gratuita, el tratamiento de sus datos (bloqueadores de cookies, listas Robinson, configuraciones de privacidad, etc.)
  5. Aplicar en el tratamiento técnicas de anonimización o medidas que garanticen que los datos no pueden utilizarse para adoptar medidas o emprender otras acciones en relación con los interesados.
  6. Facilitar a los interesados mecanismos de empoderamiento, para que puedan de forma directa acceder, modificar, eliminar, transferir o reutilizar sus propios datos.

 

F) EQUILIBRIO FINAL.

Llegados a este punto, habrá que determinar finalmente si el interés legítimo del responsable o de un tercero prevalece sobre los intereses o derechos y libertades de los interesados, en cuyo caso podrá llevarse a cabo el tratamiento, o si por el contrario prevalecen éstos últimos y, por lo tanto el tratamiento no puede realizarse o deberá examinarse si concurre en él alguna otra base jurídica que pueda legitimarlo.

Es conveniente partir de la base de que cualquier tratamiento basado en el interés legítimo conlleva un riesgo para el responsable: el de que posteriormente la autoridad de control y/o, en su caso, los tribunales, consideren que el interés legítimo no existe, que el tratamiento de datos en cuestión no es necesario para conseguir dicho interés legítimo, o que deben prevalecer los intereses o derechos y libertades de los interesados frente a aquél. Esto supondría que el tratamiento de datos que se ha estado realizando es ilícito, salvo que pudiera basarse en otro supuesto que lo legitime de los contenidos en el art. 6 RGPD, y podría conllevar la pertinente sanción de hasta 20 millones de euros o hasta el 4% de volumen de negocio total anual global del ejercicio financiero anterior del responsable.

Por ello y porque en toda ponderación no se puede eliminar cierto grado, aunque sea mínimo, de subjetividad, conviene dejar documentado el proceso de determinación de la prevalencia del interés legítimo, donde queden reflejados, entre o tras cosas, los pasos que aquí se han comentado de la forma más objetiva posible, buscando un examen real y concienzudo y no un traje a medida para el tratamiento de datos en cuestión.

Por último, y por muy obviedad que nos pueda parecer, resulta oportuno recordar que, con independencia de que se den los requisitos necesarios para basar un tratamiento en el interés legítimo, hay que cumplir el resto de obligaciones que nos exige la normativa sobre protección de datos. Lo digo por aquellos que, dando por válido su interés legítimo y la prevalencia de éste, pudiendo perfectamente, no informan a los interesados sobre el tratamiento sus datos basado en aquél.

 

Imagen destacada: Designed by bearfotos in http://www.freepik.com

[i] En dicho Anteproyecto parece que sólo se hace referencia al interés legítimo para indicar, en su art. 9, que la ley podrá considerar fundado un determinado tratamiento en la existencia de un interés legítimo del responsable del tratamiento o de un tercero, así como para, tal cual se apunta en el mencionado artículo, considerar que el tratamiento de los datos de contacto de las personas físicas que presten servicios en una persona jurídica, así como de los datos de empresarios individuales podrían basarse en el interés legítimo (art. 12).

[ii] En relación con esta cuestión, recomiendo la lectura del artículo de Miguel Recio Gayo, “Nuevo dictamen del GT29 sobre tratamiento de datos en el trabajo: el interés legítimo”, publicado en Diario La Ley, Nº 8, Sección Ciberderecho, 19 de Julio de 2017, Editorial Wolters Kluwer, y disponible en línea en http://diariolaley.laley.es/home/DT0000251744/20170719/Nuevo-dictamen-del-GT29-sobre-tratamiento-de-datos-en-el-trabajo-el-interes-legi

 

No uses mi imagen

Hace unos días conocíamos una sentencia del Tribunal Supremo que condenaba a un medio de comunicación por haber utilizado la foto del perfil de Facebook de una persona para ilustrar una noticia. La indemnización fijada lo fue de 15.000 €, a pesar de que la persona que aparecía en la fotografía estaba directamente relacionado con la noticia.

En este enlace comento para IDGtv por qué el Supremo entiende que el medio de comunicación no debía haber utilizado esa imagen y explico someramente cómo funciona el derecho a la propia imagen en Internet.

PerfilFB

Imagen de cabecera: Por asier_relampagoestudio en Freepik

Memes y memeces

El PP propone en el Congreso que los ‘memes’ sean delito”, “El Partido Popular quiere que el uso de memes sea delito. Aunque no siempre”, “El Partido Popular quiere los memes sean delito en España”, éstos son algunos de los titulares que se pueden leer hoy en algunos medios de comunicación.

Decididamente se nos va la pinza. A unos o a otros. A unos porque proponer tal cosa, así, literalmente, sería una auténtica barbarie inconstitucional. A otros porque, de no ser lo anterior, parece que se están cargando titulares con pólvora fabricada por la crisis del periodismo y comentarios que reflejan muy bien la moda de lo superficial y lo inmediato que me huelo está enfermando a esta sociedad.

De verdad, cada vez cuesta más encontrar, y mantener uno mismo, la mesura en estos días (acepciones 1 y 4, que ya hay que precisar).

Veamos. El Grupo Parlamentario Popular ha presentado en el Congreso de los Diputados una Proposición no de Ley, la nº 161/000740, que podéis leer íntegra aquí y que, en resumen, viene a solicitar que se debata en la Comisión Constitucional la necesidad de reformar la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen.  Y justifica esta proposición, según se lee en la misma, en “la alta litigiosidad existente entre los “derechos fundamentales de la personalidad” del artículo 18 CE, con otros derechos constitucionalmente protegidos como son la libertad de información y la libertad de expresión” y en que “la indefinición, la falta de complitud y flexibilidad de esta norma da cabida a distintas interpretaciones jurisprudenciales sobre un mismo caso, algo que puede poner en peligro el principio de seguridad jurídica”.

Hace escasos días, en unas clases que impartía sobre derecho al honor, intimidad e imagen en Internet, precisamente comentaba a los alumnos el incremento de juicios en los que se encuentran en conflicto alguno de estos derechos:

hipfpieninternet_2016

Como se puede ver en la imagen superior (una de las diapositivas utilizada en las clases), realicé una búsqueda en la base de datos del CENDOJ, y el resultado fue que, entre los años 1980 a 2008, un período de 28 años, aparecen 4.182 sentencias del Tribunal Supremo, Audiencia Nacional, Tribunales Superiores de Justicia y Audiencias Provinciales, que hacen referencia al derecho al honor, a la intimidad y a la propia imagen y, en los siguientes casi 8 años (durante los que se ha producido el auge de las redes sociales y de las aplicaciones móviles de mensajería instantánea), son 4.578 las sentencias de dichos tribunales que se refieren a estos derechos, casi 400 sentencias más en un período de tiempo 3,5 veces menor.

Por lo tanto, no puedo si no compartir ese argumento del aumento de la litigiosidad. Sin embargo, no estoy tan segura de que sirva para justificar una modificación de la ley y menos aún para convertir en delito conductas que, pudiendo ser ilícitas, no conllevan una gravedad o un impacto tales que se vuelvan merecedoras de plasmarse en el Código Penal.

También es verdad que algunos memes pueden infringir algún derecho fundamental de quien aparece en la imagen. Ahora bien, me parece muy acertado, tal cual sucede hoy en día, que cuando el protagonista es un político (o cualquier otra persona con proyección o relevancia pública o social), se otorgue, como regla de partida, más fuerza a la libertad de expresión o al derecho a la información frente a sus derechos al honor, a la intimidad y a la imagen. De hecho, este último prácticamente decae, tal cual se recoge en el art. 8.2 de la Ley Orgánica 1/1982:

En particular, el derecho a la propia imagen no impedirá:

  1. a) Su captación, reproducción o publicación por cualquier medio cuando se trate de personas que ejerzan un cargo público o una profesión de notoriedad o proyección pública y la imagen se capte durante un acto público o en lugares abiertos al público.
  2. b) La utilización de la caricatura de dichas personas, de acuerdo con el uso social.
  3. c) La información gráfica sobre un suceso o acaecimiento público cuando la imagen de una persona determinada aparezca como meramente accesoria.

En las clases que comentaba, tuvimos oportunidad de debatir sobre la necesidad de que se delimiten con mayor precisión los casos que constituyen vulneración del derecho al honor, del derecho a la intimidad o del derecho a la imagen (tres derechos claramente diferenciados, dicho sea de paso, y no uno solo). Algunos alumnos percibían esa inseguridad jurídica a que se refiere el grupo parlamentario popular, ya que actualmente hay que ponderar los derechos en conflicto caso por caso y es un trabajo difícil de realizar, como tuvieron la oportunidad de comprobar con algunos ejemplos. No obstante, por regla general, soy reacia a que, como consecuencia de la tecnología que se emplee, deba legislarse de un modo u otro. Creo, además, que la ley y la jurisprudencia existentes ya nos proporcionan los criterios necesarios para enjuiciar estos supuestos de choque entre derechos fundamentales.

En todo caso, habrá que esperar a ver cómo evoluciona esta proposición no de ley y, si llega el momento, saber cuáles son exactamente las modificaciones que se pretenden introducir. Ahora bien, con independencia de ello soy de la creencia de que vale más destinar fuerza a dos líneas de actuación mucho más ambiciosas que una modificación legislativa:

  • La inclusión en las aulas de asignaturas donde, entre otras cuestiones, se inculque el conocimiento y el respeto a los derechos fundamentales (a todos).
  • La dotación a la administración de justicia de más personal, de especial formación en estos temas cuando interviene un componente TIC (me atrevo a decir que la excepción ahora es el caso en el que no encontramos un elemento tecnológico) y de mejores recursos técnicos y procesales que agilicen los litigios y posibiliten una justicia más rápida y efectiva.

 

Créditos: Imagen cabecera por usuario de Flickr Tina D

¿Qué saben de nosotros, quién y para qué?

– Nos vigilan. Y vigilamos. Y contribuimos a que vigilen a nuestros contactos.

– ¡Venga ya! ¿Quién va a tener interés en vigilarme a mí? Yo no soy “nadie”, ¿a quién le importa mi vida?

– Pues igual te sorprenderías. Quizá tú, tú solo, no eres importante para grandes empresas o para ningún gobierno ni ninguna agencia secreta de espionaje. Pero aun así siempre puede haber quien quiera “fisgar” en tus redes sociales, por cotillear, porque quieran contactar contigo para algo, incluirte en una lista de e-mailing, porque quieran saber si serás un “buen novio para mi hijita querida”, o si eres merecedor de crédito… Pero vale, te concedo que quizá el verbo vigilar no sea muy correcto. Y ni siquiera lo sustituiré por el de observar. Pero nos ven.

– ¡Toma! ¡Pues claro que nos ven! Y con lo que estamos engordando últimamente cada vez será más difícil que no nos vean.

– Muy gracioso Matías. Tómatelo a cachondeo, pero a mí me da yuyu. El otro día acompañé a mi prima Nines a unas charlas de ciberseguridad y hubo una abogada que nos habló de lo que es “surveillance assemblage”. El concepto en inglés tiene sentido, pero ¿cómo te lo traduciría? ¿Conjunto de vigilancia? ¿Montaje de vigilancia? ¿Ensamblaje de vig…?

– Sí, los Tranformers de la Vigilancia, ¡juas!

– ¡Matías!

– Ahí, surcando los cielos…

– ¡MATÍAS!

– Perdón, el ciberespacio.

– *$##%#***!!!!

– Vaaaaale, venga Esteban, va, cuéntame la cosa esa de la “servilleta ensamblá”. En serio, que ya me has picado la curiosidad.

– Mira, para que dejes el “cachondeito”, mejor te muestro el vídeo de la parte de que te hablo:

Créditos: Imagen destacada (puzzle) por Mike Seyfang.

“Aprovecho para saludar a mi mamá” – #DebateAbiertoCon María González

Si en tu empresa disponéis de un sistema de videovigilancia, seguro estaréis familiarizados con los carteles que han de colocarse avisando de la existencia de aquél a efectos de la normativa sobre protección de datos personales. Sí, hombre, sí, este cartel:

cartel_AEPD

¿A que sí?

Pero igual no sabéis que no tiene por qué ajustarse exactamente a ese modelo, y que puede, digamos, “customizarse” o “tunearse”. Le he pedido a mi colega y amiga María González, que sabe mucho de esto, que comparta su opinión al respecto.

Hola Ruth. Un placer compartir contigo este nuevo #DebateAbiertoCon que surge (confesemos :P) tras una comida y esas ganas de debatir que nos caracteriza… En la búsqueda de temas se nos cruza un tuit de nuestra compañera Jeimy Poveda (@JeimyPove), en el que se plantea la licitud, o adecuación a la normativa, de “tunear” (o personalizar) los carteles de videovigilancia. Una materia donde sin duda no sólo hablaremos de LOPD, sino también de marketing, comunicación y marca.

Jeimi

En este sentido, también nuestro compañero Javier Sempere (@fjavier_sempere) , en septiembre del pasado año, realizó un experimento en búsqueda de carteles de videovigilancia.

Pero vamos a ello, por poner en contexto, creo que deberíamos comenzar por analizar, al menos a grandes rasgos, qué es lo que establece expresamente la normativa, no crees?

Comencemos por explicar que la imagen es un dato de carácter personal y, por tanto, la captación de imágenes por medio de sistemas de videovigilancia queda sujeta a la normativa sobre protección de datos personales (Directiva 95/46/CE, LOPD y Reglamento de la LOPD). Además, la Agencia Española de Protección de Datos (AEPD) dictó la Instrucción 1/2006 sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.

Es esta Instrucción 1/2006 la que regula concretamente el cartel del que hablamos en este post, como uno de los medios, obligatorio, para informar a los afectados en supuestos de videovigilancia, y en cuanto a su contenido y diseño dispone que “se ajustará a lo previsto en el Anexo” de dicha Instrucción.

El punto 1 del Anexo establece que debe contener:

1.- Una referencia a la “LEY ORGÁNICA 15/1999, DE PROTECCIÓN DE DATOS”.

2.- La finalidad del tratamiento: “ZONA VIDEOVIGILADA”.

3.- Identificación de la empresa responsable a la que el afectado puede dirigirse para consultar sobre el tratamiento de sus datos.

Y el punto 2 del Anexo,  recoge como modelo de cartel informativo el que puede descargarse en la propia página web de la AEPD (primera imagen de este post).

Efectivamente, es por todos conocidos el cartel amarillo de videovigilancia de la AEPD, aunque hemos de señalar que en muchos casos, dicho cartel aparece completamente vacío de información, siendo este aspecto no válido, pues falta entre la información requerida los datos del responsable del tratamiento.

Muchos son los que se preguntan a qué grado de “customización” se puede someter a los carteles de videovigilancia, a través de: la modificación de los colores (para que, por ejemplo, pueda adaptarse a la imagen corporativa de la empresa), la incorporación de elementos tecnológicos como Códigos QR, aspectos relativos al tamaño y disposición de los carteles, y en todos los casos, se dé cumplimiento a los requisitos normativos.

Desde mi punto de vista un cartel de videovigilancia puede “customizarse” o “personalizarse” siempre que se cumplan los requisitos formales establecidos por la normativa, que no son otros que los indicados en el citado Anexo I ya referenciados por Ruth, y por supuesto que los mismos cumplan la finalidad principal por la cual son exigibles, es decir, informar al usuario de que puede estar siendo grabado.

Así pues, debemos distinguir varios aspectos:

  • Customización / Personalización de colores para adaptarlo a imagen corporativa.
  • Incorporación nuevos elementos (códigos QR, ….)
  • Formatos y accesibilidad (audio, vídeo…)
  • Tamaño

Exacto María. Para una tienda de marcos, puede resultar tentador enmarcar su cartel de videovigilancia, y quedaría simpático, pero ¡ojo!, porque si ello hace que el aviso “se camufle” entre todos los marcos exhibidos en la pared, no se estará cumpliendo con el art. 5 LOPD, que exige que la información sea facilitada de modo “expreso, preciso e inequívoco”. Sería lo mismo si una tienda de electrodomésticos, reprodujera el cartel mediante vídeo, en una pantalla de televisión colocada junto al resto de modelos en venta retransmitiendo distintos canales.

En cambio, este último sistema puede ser perfectamente válido para una librería, y en una tienda de productos de señalización, y según tenga éstos distribuidos en el establecimiento, el uso de un marco llamativo puede ayudar a que a nadie le pase desapercibido.

señalizacion

En relación con el formato, y siendo el auditivo totalmente compatible con el resto de formatos, piénsese si no tendría mucho más sentido que el aviso de videovigilancia, para una tienda de productos para ciegos, fuera un mensaje sonoro, o en braille en la puerta de entrada al local. Y aquí voy a dejar el punto porque el tema de los discapacitados y la protección de datos, y otros muchos derechos, da para mucho, baste decir que tenemos una asignatura pendiente y que gracias a la tecnología podemos, y debemos, ir avanzando en este terreno.

En cuanto al tamaño del cartel, éste debe ser suficiente para que pueda ser visto, leído y entendido. Dependerá mucho del lugar donde el cartel se sitúe, siendo en ocasiones muy conveniente colocar varios, en función del área que es videovigilada. Claro que, por poner otro ejemplo, para un gran almacén de productos de pintura, podría ser adecuado pintar el cartel de videovigilancia en toda una pared de 3×4 metros.

En efecto, Ruth, en materia de videovigilancia es esencial tener en cuenta diversos aspectos que nos permitan garantizar que todos los afectados pueden acceder a la información sobre la misma; dimensiones, disposición, formato, colores, e incluso, y como bien apuntabas, que la información esté disponible en otros soportes como puede ser el audio.

Hemos de tener en cuenta además, que aunque en la mayoría de los casos la videovigilancia es realizada con motivos de seguridad, cada vez son más frecuentes la utilización de esta clase de sistemas para otras finalidades adicionales (control laboral, estudios de mercado, ….), que deberán ser expresamente informadas en el correspondiente cartel de videovigilancia y en las cláusulas de privacidad que deben acompañar al mismo, o al menos deben estar a disposición de los afectados, y es que, como bien apunta este artículo “Sonría! Nos vigilan!”.

Para finalizar, además de dar las gracias al karma ;) (que nos ha empujado a que este post no quedara en el trastero digital) queremos “premiar” con un bonus a los lectores que hayan llegado hasta aquí, así que os dejamos a continuación unos cartelitos que nos hemos encontrado por este mundo “lopediano” y que por sí solos no cumplirían con lo que exige la normativa:

atencion las24h

zona2

Y ni quiénes somos, ni de dónde venimos ni a dónde puedes ir a ejercitar tus derechos ARCO (¿pa qué?)

IMG_8252

Y encima pixelado :P

zona

presupuesto

Dónde ejercer los derechos ARCO, no, pero eh, siempre puedes solicitar presupuesto a los que le instalaron las cámaras ;P

Gasol

Y para terminar, uno especial para aquellos con casi superpoderes o al menos con vista de lince, mucha letra, pequeñita y a una altura que quizá Pau Gasol (porque yo os aseguro que no  :P)

Autoras: María González (@meryglezm) y Ruth Benito (@ruthbenitoabog)

Suplantación de identidad en Internet – Colaboración en Radio Segovia

suplantacion_identidad

Ruth Benito Martín

El pasado 11 de marzo tuve el placer de colaborar en el programa “Hoy por hoy” de Radio Segovia (Cadena Ser) hablando sobre lo que se conoce como suplantación de identidad en Internet y sobre la conveniencia o no de modificar la Ley del derecho al honor, a la intimidad personal y familiar y a la propia imagen a fin de poder perseguir mejor ciertos delitos que se comenten en la red.

Avanzo que en mi opinión no se trata tanto de cambiar esa concreta norma, sino de dotar de más y mejores medios tanto a los Cuerpos y Fuerzas de Seguridad del Estado como a la Administración de Justicia, y de tener muy claro que sea más o menos grave una conducta ilícita cometida en Internet, es tan ilícita como la llevada a cabo en el mundo offline, y como tal debe procurarse su investigación, su persecución y su corrección.

Si queréis escuchar la entrevista (tranquilos, no dura más que unos 5 minutitos, de verdad de la buena) podéis acceder a ella aquí.

Como anécdota, y por si os lo preguntáis (y si no también), os diré que no lo he subido al blog hasta ahora pensando que, por algún fallo, no era posible escuchar los podcasts de Radio Segovia, ya que en ellos no se ve ningún botón de “play”. Hasta que lo he comentado con cierta persona, que por lo visto tiene más fe que yo, a fuerza ha querido encontrarlo y ha terminado demostrándome que efectivamente ahí está el botón de “play”, aunque no se vea, a la izquierda de la grabación. No se ve, pero existe.

Os dejo ya, que ahora nos vamos a dar un paseo sobre el Manzanares y multiplicar sus peces XD.

4 errores a evitar si quieres Cloud Computing en tu empresa

¿Aún no conocéis a Dave?  Dave es un personaje de John Klossner que todos los responsables de IT deberían tener en mente. Os lo presento aquí. Es, en definitiva, el error humano.

Ahora supongamos que Dave es una empresa que se dispone a implementar un servicio de Cloud Computing. Fijo que, tratándose de Dave, cometería muchos más errores, pero desde el punto de vista legal incurriría en los 4 siguientes, que a toda costa hemos de procurar evitar,

1 – No asesorarse con un abogado desde el inicio.

“Anda qué lista” pensaréis, “como ella es abogada…” Pues sí, como soy abogada sé de lo que hablo y conozco muy bien lo difícil o imposible que resulta reparar situaciones cuando el daño ya está hecho y que, sin embargo, se hubieran podido evitar o afrontar de mejor manera si desde el principio se cuenta con un buen asesoramiento.

Y si ese asesoramiento viene de la mano de un abogado con conocimiento en Derecho TIC muchísimo mejor, pues de lo contrario pueden pasar desapercibidos aspectos de suma importancia (p.e. en materia de seguridad de la información, propiedad intelectual, datos personales, responsabilidad de prestadores de servicios de la sociedad de la información…).

En serio, creednos a los abogados cuando os decimos eso tan manido de “más vale prevenir que curar”. No hay nada torticero en ello, por muy abogados que seamos. Nuestra minuta es más jugosa cuando lo que se espera de nosotros son “cuasimilagros” (no milagros, huye de quien te venda milagros), así que cada vez que hagáis negocios sin el debido asesoramiento jurídico, podéis imaginar a varios abogados detrás con dientes afilados, frotándose las manos. ¿De verdad queréis darnos ese gusto? };)

2 – No contar con todos los stakeholders.

Es más frecuente de lo que pensamos que al incorporar un servicio “cloud” en la empresa estemos afectando a terceras partes interesadas como, por ejemplo, filiales, franquiciados o “partners”, que operan en nuestro mismo país o en otros. A estos stakeholders les pueden resultar aplicables obligaciones, legales o contractuales, distintas que a nosotros pero que, en mayor o menor medida, atañen al servicio cloud en el que estamos interesados.

Pues bien, si no les damos, a ellos ni a nosotros mismos, la opción de estudiar las implicaciones que para ellos puede suponer el modelo Cloud Computing que pretendemos, muy probablemente nos pasarán desapercibidos ciertos impedimentos que más tarde aflorarán pudiendo, incluso, llegar a hacer inoperativo lo que tantos recursos nos ha supuesto.

3 – Pasar de la protección de datos de carácter personal.

En el contrato con nuestro proveedor habrá muchas cosas que podremos negociar, cuestiones que pueden quedar a la voluntad de las partes. Sin embargo otras no. Otras derivan de normas de obligado cumplimiento, como sucede con la protección de datos de carácter personal. Dave ni siquiera repararía en ello, pero esto es, sencillamente, innegociable.

Dos son las cuestiones básicas en que puede afectar nuestra normativa sobre protección de datos personales:

1. Si nuestro proveedor cloud va a tratar datos personales para o al prestarnos el servicio (y por tratar se puede entender cualquier uso, aunque sólo sea almacenarlos), se producirá una utilización de esos datos personales que puede implicar que haya:

a) Una cesión de esos datos (nuestra hacia el proveedor o viceversa) si ambas partes vamos a tratar esos datos para fines independientes que cada uno queremos, y con capacidad de decisión al respecto.

b) O un encargo del tratamiento de esos datos, si nuestro proveedor los va a tratar exclusivamente para poder prestarnos el servicio y siguiendo nuestras instrucciones.

Pues bien, tendremos que cumplir con las obligaciones que, para cada caso, nos impone la normativa vigente (y que han de quedar plasmadas en el contrato) si no queremos quedar expuestos a sanciones por su incumplimiento y la consiguiente crisis reputacional que ello nos pueda suponer.

2. Si los datos personales de los que somos responsables van a viajar fuera del Espacio Económico Europeo (p.e. si nuestro proveedor tiene fuera de dicho territorio los servidores donde almacenará nuestra información), hemos de cumplir con una serie de requisitos formales, que vienen exigidos por la ley, y debemos ofrecer las garantías suficientes de que los derechos de los afectados se van a respetar y sus datos personales van a estar adecuadamente protegidos.

Si quieres conocer con más detalle las implicaciones del Cloud Computing en materia de datos personales, puedes leer un artículo que publiqué hace unos meses en Business Value Exchange al respecto.

4 – No negociar bien el contrato.

Ya sé, ya sé. Es muy fácil decirlo, pero otra cosa es hacerlo. Puede ser. Es cierto que muchos de los proveedores cloud más competitivos del mercado imponen sus condiciones bajo el modelo “son lentejas, si quieres las comes y si no las dejas”. Pero Dave ni siquiera intentaría echarle un poco de guindilla a esas lentejas.

Nosotros sí debemos intentarlo, o al menos procurar que si no nos incluyen el chorizo en el mismo plato de las lentejas, nos lo pongan en plato aparte  (¡con lo rico que está el chorizo, hombre!).

Y en cualquier caso, no olvidemos que a veces el mejor negocio es no hacer negocios con un determinado proveedor si no está dispuesto a aceptar condiciones que para nosotros son o deben ser principales. En el Cloud Computing, como en casi todo en esta vida, hemos de reflexionar, con visión a futuro y previendo el mayor número de escenarios posibles, que probablemente nos compense un servicio algo más costoso pero a nuestro gusto y con mayores garantías.

Recuerda: Pregúntate si Dave lo haría, y si la respuesta es sí, no lo hagas tú.