Resumen: A veces remover mediante un artículo los conceptos que se consideran
inamovibles en protección de datos es positivo para que se libere la mente y puedan
surgir otras propuestas relevantes en línea con la evolución del individuo en
la sociedad. No olvidemos que el objetivo de esta regulación es proteger la
conjunción de derechos fundamentales incardinados en el concepto “privacidad” en la era digital (Derecho a
la protección de datos personales, derecho a la intimidad…). En consecuencia,
hemos de mantener una actitud in
vigilando para ir estudiando y no descartar otras estrategias, si apreciamos
que la materialización de los principios, aunque sean fundamentales, no
producen los resultados esperados.
Autor del artículo
|
Colaboración
|
|
José
Luis Colom Planas
|
||
Actualizado
|
24 de febrero de 2015
|
|
Índice
1. El principio de
consentimiento informado individual2. Trasladar el consentimiento fuera del individuo
3. El principio de limitación de finalidad
4. Epilogo
5. Derechos de autor
1. El
principio de consentimiento informado individual
La privacidad se ha venido planteando hasta nuestros
días como un derecho basado esencialmente en el principio de consentimiento, entendido
éste como el control y la libre disposición individual de los propios datos
personales.
No obstante,
como ya dijeron A. Daniel Oliver y José Félix Muñoz en el SICARM 2012,
se le atribuye al citado principio un poder conformador de la realidad que de
hecho no tiene.
Si analizamos el mecanismo de tutela, basado en el
consentimiento informado individual, vemos que:
- Ha dado buenos resultados en la anterior era, denominada “de la información”, basada en la informática tradicional en la que simplemente se trataba la información contenida en bases de datos clásicas de tipo estructurado.
- Es cuestionable en la actual era “del conocimiento” basada en la computación ubicua a través de Internet, los tratamientos analíticos masivos tipo Big Data sobre bases de datos desestructuradas con información procedente incluso de sensores (IoT) y las redes sociales…
Así las cosas, confiar en modelos basados en el
derecho de habeas data como
autodeterminación individual sobre la propia información personal, a día de hoy
y en un futuro parece poco realista, o al menos cuestionable, y se corre el
riesgo de que nos auto-engañemos como sociedad.
Si bien el propósito de que el interesado otorgue su
consentimiento previo al recabado y demás tratamientos de sus datos personales
se erige como mecanismo jurídico de defensa de sus derechos, en la práctica,
por desgracia, su función real es la de simplemente legitimar la renuncia a la
autodeterminación informativa a cambio de, por ejemplo, ganar acceso a nuevas
funcionalidades en el uso de Apps.
En otras palabras, el consentimiento puede llegar a
ser contrario al interesado sustentándose esta tesis en al menos dos motivos:
- Por un lado, en la dificultad por parte del responsable del tratamiento de aplicar el deber de informar, previo al recabado del consentimiento, para tratar los datos personales. La complejidad de los nuevos sistemas tendentes a dotarse de inteligencia artificial hace que ni los propios responsables estén muchas veces en condiciones de informar con precisión sobre todos los detalles del tratamiento. En consecuencia, a stricto sensu, no puede hablarse de consentimiento informado.
- Por otro, la vorágine de Apps, funcionalidades de conectividad ubicua, medios de comunicación social y enlaces de datos entre objetos, que emergen ya en nuestros días, han creado en muchos individuos una cultura, basada en el oversharing o la sobreexposición, que les lleva a compartirlo todo a cambio de popularidad o de mantener esas relaciones o contactos virtuales. La consecuencia es la no lectura de las cláusulas informativas y el otorgamiento del consentimiento “no informado de facto” mediante un irreflexivo “click”. Esta actitud basada en un acto reflejo, de aceptación de cualquier condición de uso en aras de acceder rápidamente y con avidez a la funcionalidad que le es ofrecida, igual que un boomerang, se convierte desafortunadamente en un sistema legitimador de tratamientos contrarios a los más básicos principios de privacidad y protección de datos, que no olvidemos son derechos fundamentales de todas las personas.
2. Trasladar
el consentimiento fuera del individuo
Una alternativa que empieza a oírse es la de trasladar
el consentimiento desde el propio individuo aislado, hasta la sociedad. La
principal crítica recibida ha sido la de anticonstitucionalidad.
El hecho de que los derechos de las personas partan
todos de otro derecho fundamental e imprescindible: el derecho a la vida, puede
dar a entender como necesario que el objeto de protección jurídica de éstos
derechos se encuentre situado en el ámbito de la persona misma. No obstante, no
debemos entender la vida solo como una cuestión biológica, sino hacerlo en
sentido amplio partiendo del reconocimiento del hombre como un ser libre que
necesita desarrollarse. Y este desarrollo solo puede lograrse en el individuo
por la pertenencia de éste a la sociedad.
En consecuencia, considero que no debería juzgarse
anticonstitucional el hecho de que pueda limitarse a un individuo su
disponibilidad a otorgar consentimiento, esté o no informado, en base a lo
dispuesto en nuevas normativas de interés general legisladas para regular
determinados aspectos en la sociedad donde éste se desenvuelve y desarrolla,
como una faceta imprescindible para alcanzar su vida plena. Protegiendo a la
sociedad, en lo sustantivo se estaría protegiendo al propio individuo.
Para fijar conceptos diré que el Derecho objetivo es
el conjunto de reglas que rigen las relaciones sociales cuyas normas pueden
imponerse coercitivamente, mientras que podemos definir el Derecho subjetivo
como el poder o facultad que una norma atribuye a un sujeto, en virtud del cual
puede realizar un acto o exigir que se realicen determinados actos.
El desarrollo tecnológico, y el desarrollo social
asociado, parece que nos obligan a desplazarnos desde una garantía de la
privacidad basada en el individuo y como derecho subjetivo, a la regulación
mediante garantías objetivas que afecten a la sociedad. En otras palabras, cabría
desplazar el centro de gravedad legislativo en materia de privacidad desde la
autodeterminación subjetiva del individuo titular de los datos hacia la tutela
objetiva del estado o la unión supranacional.
Conceptos como Privacidad por Defecto, que se disponen en
el artículo 23 “Protección de datos desde el diseño y por defecto” del borrador
del RGPD/UE, son un ejemplo de la tendencia en esa dirección ya que obligan a
los responsables de los tratamientos a implementar unos niveles mínimos de
seguridad de partida, basados en un análisis real de los riesgos para con la
privacidad.
La PbD (Privacy by Design – Privacidad desde el
Diseño) es un concepto que introdujo Ann Cavoukian (que hasta julio de 2014 fue
Comisionada de información y privacidad de Ontario) y parece el camino a seguir
en los nuevos proyectos que sean susceptibles de incorporar datos personales.
El borrador del Reglamento dispone en su art. 33 la obligación de que los
Responsables y Encargados del Tratamiento lleven a cabo un PIA (Privacy Impact
Assessment - Evaluación de Impacto en la Privacidad) en la fase de diseño de
cualquier iniciativa, cuando existan riesgos fundados para la privacidad de los
interesados y atendiendo a la naturaleza, alcance o finalidad de los datos y
tratamientos asociados. Recordaré que uno de los siete principios de la
Privacidad desde el Diseño es la Privacidad por Defecto.
3. El
principio de limitación de finalidad
En otro orden de cosas, existe un principio de la
privacidad denominado “limitación de la finalidad”. Es el único capaz de
limitar los tratamientos con independencia del consentimiento otorgado
inicialmente. Algunos no lo consideran un principio “básico” quizá porque lo entienden
como la consecuencia de aplicar los principios de transparencia y responsabilidad,
que sí lo son.
Pese a ser un principio incardinado en el modelo de
protección actual, su campo de aplicación más inmediato es el relacionado con Big
data y las técnicas analíticas asociadas que nos están adentrando en el futuro.
En consecuencia no es pretensioso llamarle el “principio de transición” hacia
el nuevo modelo que se vislumbra.
Ante la preponderancia que está obteniendo este
principio frente a los demás, es que las autoridades europeas de protección de
datos lo clarifican, reconociendo que protege a los interesados mediante el
establecimiento de límites en el recabado y posterior tratamiento de sus datos.
Cuando una persona proporciona sus datos personales a
una empresa u otra organización, usualmente tiene ciertas expectativas acerca
de la finalidad para la que sus datos serán utilizados. Hay un valor en honor a
estas expectativas que es la preservación de la confianza y la seguridad jurídica.
Por ello, según el GT29, el principio de limitación de la finalidad es una
piedra angular de la protección de datos.
Debemos considerar que los datos que ya han sido
recogidos pueden ser realmente útiles para otros propósitos, que no han sido previstos
inicialmente. Por lo tanto, también hay valor en permitir, dentro de límites
cuidadosamente equilibrados, un cierto grado de uso adicional.
El principio de limitación de la finalidad está
diseñado para ofrecer un enfoque equilibrado:
- Por un lado tiene como objetivo conciliar la necesidad de la previsibilidad y la seguridad jurídica en relación con los fines del tratamiento.
- Por otro lado, la necesidad pragmática de proporcionar flexibilidad.
En consecuencia el principio de limitación de la
finalidad tiene dos componentes fundamentales:
- Los datos de carácter personal deberán ser recogidos para ‘determinados, explícitos y legítimos’ fines (especificación del propósito).
- No ser 'Tratados posteriormente de manera incompatible con dichos fines (uso compatible).
El tratamiento adicional para un propósito diferente
no significa necesariamente que sea incompatible, (Artículo 4.2 LOPD y 8.3
RLOPD) pero la compatibilidad debe evaluarse caso por caso, teniendo en cuenta
todas las circunstancias, lo que no siempre es una tarea fácil y dificulta la
tutela efectiva del Derecho objetivo del que hablaba antes, por parte de las
Autoridades de Control en materia de privacidad y de los diferentes órganos
judiciales, desplazándolo al plano de lo subjetivo en función de las
circunstancias concretas.
Debe tenerse en cuenta que el resultado de la
evaluación a la que me refiero debe basarse en el artículo 10 “Supuestos que
legitiman el tratamiento o cesión de datos” del RD 1720/2007, de 21 de
diciembre, que es el reglamento de aplicación de la LOPD. Partiendo de la anulación
del artículo 10.2.b por no ser conforme al artículo 7.f de la Directiva
europea, el referido artículo de la
Directiva pasa a tener aplicación directa al ordenamiento jurídico español.
Dicho artículo 7.f de la Directiva establece dos
únicos requisitos acumulativos para legitimar un tratamiento:
- La necesidad de satisfacer un interés legítimo.
- Que no prevalezcan derechos y libertades fundamentales del interesado.
Como es conocido, la colisión entre derechos
fundamentales debe ponderarse caso por caso luego, si surgen dudas o un conflicto
abierto, deberemos resolverlo considerando de nuevo el Derecho subjetivo.
4. Epilogo
El análisis de dos principios fundamentales de la
protección de datos, el principio de consentimiento y el principio de
limitación de la finalidad, ha puesto de manifiesto las muchas dificultades para
su concreción.
Esto significa lo complejo que puede llegar a ser dar
cumplimiento a la célebre frase de Neelie Kroes (CE): “Los nuevos diseños deben
respetar la privacidad, sin que la Ley se convierta en una camisa de fuerza
para la innovación”. A futuro, tenemos
un largo y motivador camino por delante.
5. Derechos de
autor
Imágenes
bajo licencia 123RF internacional.
La
presente obra y su título están protegidos por el derecho de autor. Las
denominadas obras derivadas, es decir, aquellas que son el resultado de la
transformación de ésta para generar otras basadas en ella, también se ven
afectadas por dicho derecho.
Sobre el autor:
José Luis Colom Planas
Posee un doble perfil, jurídico y técnico, que le facilita el desempeño profesional en el ámbito de los diferentes marcos normativos, especialmente del Derecho de las nuevas tecnologías y las normas ISO de adscripción voluntaria. A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.
Posee un doble perfil, jurídico y técnico, que le facilita el desempeño profesional en el ámbito de los diferentes marcos normativos, especialmente del Derecho de las nuevas tecnologías y las normas ISO de adscripción voluntaria. A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.
A
nivel de especialización jurídica, ha realizado el postgrado
de Especialista Universitario en Protección de Datos y Privacidad en la
Facultad de Derecho de la Universidad de Murcia, disponiendo de la
certificación CDPP (Certified Data
Privacy Professional) del ISMS Fórum Spain. También ha cursado el programa
superior de Compliance Officer (Controller jurídico) en la Escuela Legal WKE y
se ha especializado respecto a los delitos de blanqueo de capitales en la UOC,
en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Es
experto externo en prevención de blanqueo de capitales, certificado por INBLAC.
A
nivel de especialización técnica, ha cursado Ingeniería
técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT
(Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación). Es
Auditor e Implantador de SGSI (Gestión de la Seguridad de la Información) por
AENOR (Asociación Española de Certificación y Normalización). Leader Auditor & Implanter ISO 27001 e ISO 22301
by BSI (British Standards Institution). Auditor del esquema de
certificación STAR para prestadores de servicios de Cloud Computing (BSI +
Cloud Security Alliance). Ha obtenido la certificación internacional CISA
(Certified Information Systems Auditor) by ISACA (Information Systems Audit and
Control Association). Dispone de las certificaciones ISO 20000 PMI (Process
Management Improvement) e ITIL Service Management by EXIN (Examination
Institute for Information Science).
Desempeña su labor
profesional en la entidad de certificación AUDERTIS como Director de
Auditoría y Cumplimiento Normativo. También colabora con la entidad
certificadora British Standards Institution (BSI) como auditor jefe de
certificación e impartiendo formación para la obtención de la acreditación como
lead auditor, en diferentes marcos normativos, incluidas las especificaciones
del IRCA. Ha trabajado en Govertis Advisory Services cómo Compliance, Management
& IT Advisor, incidiendo en Compliance Penal, PBC/FT, asesoramiento
respecto a cumplimiento normativo, privacidad y gestión de la seguridad
de la información. Ha participado como lead implementer y lead auditor de
diferentes sistemas de gestión basados en Normas ISO, individuales o
integrados, y en la optimización de sus procesos. Ha realizado diferentes
niveles de auditorías de cumplimiento legal ya sea para organizaciones sujetas
a Derecho público o privado. Anteriormente ha ostentado la posición de Director
de Consultoría en ANTARA, asesorando respecto a Privacidad, seguridad de la
información y PBC/FT.
Convencido del valor que aportan las organizaciones profesionales, es asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática), ENATIC (Asociación de expertos nacionales de la abogacía TIC), CUMPLEN (Asociación de Profesionales de Cumplimiento Normativo) y asociado de INBLAC (Instituto de expertos en prevención del Blanqueo de Capitales), habiendo sido ponente o colaborado en casi todas las referidas organizaciones. También lo es de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT) habiendo obtenido, junto a algunos colaboradores del mismo, un premio compartido otorgado por la AEPD.
Convencido del valor que aportan las organizaciones profesionales, es asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática), ENATIC (Asociación de expertos nacionales de la abogacía TIC), CUMPLEN (Asociación de Profesionales de Cumplimiento Normativo) y asociado de INBLAC (Instituto de expertos en prevención del Blanqueo de Capitales), habiendo sido ponente o colaborado en casi todas las referidas organizaciones. También lo es de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT) habiendo obtenido, junto a algunos colaboradores del mismo, un premio compartido otorgado por la AEPD.
La primera versión publicada de este artículo fue el 28 de enero
de 2015 en la página web de la Asociación Profesional Española de Privacidad
(APEP), con motivo del día europeo de la protección
de datos.
Twittear
No hay comentarios:
Publicar un comentario
Nota: solo los miembros de este blog pueden publicar comentarios.