viernes, 27 de marzo de 2015

III aniversario del blog “Aspectos profesionales”


Resumen: Aprovecho el tercer aniversario del blog “Aspectos profesionales” para hacer una reflexión sobre Derecho, sociedad y tecnología y, continuando la tradición, analizar la cronología de los últimos 365 días basada en los acontecimientos relacionados con la temática del blog, siempre desde mi punto de vista.


Autor del artículo
Colaboración
José Luis Colom Planas
Actualizado
27 de marzo de 2015

ÍNDICE
1. Reflexión sobre Derecho, sociedad y tecnología
2. La vida es cambio y debemos evolucionar con ella
3. Colaboración de terceros
4. Crónica de lo acaecido durante este tercer año
5. Epílogo
6. Aniversarios anteriores

1. Reflexión sobre Derecho, sociedad y tecnología

El 3 de Abril de 2015 se cumplen tres años desde que el blog “Aspectos profesionales” inició su andadura, en aquel entonces con un claro objetivo: conciliar Derecho y tecnología que, en el mundo actual, es casi sinónimo de conciliar Derecho y Sociedad.

Esta relación se justifica, siempre desde mi personal parecer, ya que la tecnología, más que poseer un valor intrínseco en sí misma, actúa como un catalizador de la evolución social y como tal debe ser entendida, aceptada, controlada y desmitificada.

Para refrendarlo, solo tenemos que ver cómo las nuevas tecnologías han cambiado la manera de trabajar, el modo de comunicarse, la forma de aprender e incluso de relacionarse.

Derecho y Sociedad es un binomio intrínsecamente indivisible, ya que el primero es necesario para preservar la convivencia de las personas en la sociedad. Ésta debemos entenderla como el espacio donde el individuo se desarrolla física e intelectualmente, como un ser completo que es, interactuando con los demás directamente o sirviéndose de la tecnología.

Así las cosas, es necesario que el Derecho esté permanentemente emparejado con la realidad social, lo que significa que debe acompañarla en su evolución para preservarla, pero nunca para ser un obstáculo a su evolución misma.

En otras palabras, las leyes deben ser coherentes con la realidad social a la cual regulan. Deben encauzar el uso de la tecnología preservando los derechos de las personas, sin que sea esta regulación un freno para la innovación. En esta línea se expresó ya en 2013 Neelie Kroes, comisaria de la Agenda Digital y Vicepresidenta de la Comisión Europea,  en su intervención en el IAPP Europe Data Protection Congress en Bruselas.

Esta tesitura encarna a la vez enormes dificultades y un gran reto motivador. Algunas de esas dificultades, que tienen como eje central a Internet, pueden ser:
  • Transnacionalidad de Internet: dada la facilidad con que éste medio ubicuo atraviesa las fronteras de los estados,  plantea problemas a las jurisdicciones nacionales.
  • Brecha digital: el avance imparable de la tecnología, lejos de alumbrar a todo el mundo, parece que mantiene sombras concretadas en el incremento de la brecha digital. Para mitigar este efecto incluso hay quienes han planteado, siguiendo la evolución natural de los derechos humanos (derechos fundamentales en los países amparados por una constitución), empezar a considerar a Internet como uno nuevo de estos derechos.
  • Ciberdelincuencia: los delitos que como medio de comisión utilizan la tecnología a través de internet, presentan una gran dificultad de resolución al poder encontrarse ubicado el ciberdelincuente que comete el acto antijurídico en cualquier punto del planeta, obligando a comisiones rogatorias, también llamadas  exhortos internacionales, que no son otra cosa que un medio de comunicación procesal entre autoridades de diferentes países en los que el juez, o quién esté instruyendo un caso, no tiene jurisdicción. Se sustenta en convenciones o tratados internacionales y, en algunos casos, a reciprocidad internacional basada en la buena voluntad. Precisamente este tipo de ilícitos “digitales” que requieren de gran rapidez y dinamismo para poder tener éxito en su resolución, están ralentizados por la falta de regulación internacional.
  • Privacidad en la era digital: los problemas referentes a la armonización de la privacidad, especialmente en la era digital, al no entenderse ésta de igual modo en los diferentes países. De ahí la importancia de disponer, para empezar, de un Reglamento General de Protección de Datos de la Unión Europea (RGPD/UE) que elimine cualquier necesidad de transposición interpretativa a los diferentes ordenamientos jurídicos nacionales, como está ocurriendo ahora,  y que avancen las conversaciones entre USA y la UE, sin olvidar a Latinoamérica y todos los demás países del mundo.
  • Apps: El acceso basado en aplicaciones (apps) descargadas en dispositivos móviles conlleva un aumento del riesgo para la privacidad, y la seguridad de los datos en general, habida cuenta de los muchos actores que intervienen: Desarrolladores de apps que no disponen muchas veces de los conocimientos ni la concienciación necesaria en seguridad de la información, los fabricantes de los dispositivos móviles, los desarrolladores de los sistemas operativos, las tiendas de distribución de apps desde Internet que en demasiadas ocasiones no han sabido detectar y apartar apps maliciosas, las redes de distribución publicitaria y, si me apuráis, los Internet Services Provider (ISP) y las “telco” o prestadores de servicios de telecomunicaciones.
  • Servicios de Cloud Computing: al concentrar en determinados CPD mundiales cantidades ingentes de información, junto a la analítica aplicada al Big Data, representan un gran potencial que debe gobernarse y controlarse para sacar únicamente lo mejor de él. Vale la pena el esfuerzo ya que, pese a los riesgos, serán el motor de la nueva economía digital.
  • Internet de las Cosas (IoT): tiende hacia una interacción global y universal de todos los dispositivos que nos rodean que, junto a muchas otras funcionalidades extremadamente útiles, se utilizará para nutrir de ingentes cantidades de datos a los repositorios de Big Data, ubicados en la Nube, con los riesgos que se ha visto pueden entrañar. Es un fenómeno imparable que también debe gobernarse y controlarse con inteligencia y visión de 365º, ya que estos objetos con sensores pueden llegar a  recopilar información sobre el usuario, incluido su estilo de vida, salud y hábitos, y transmitirlos como requisito para  provisionar atractivos servicios, basados en apps, tras tratar esos datos analíticamente a través de Internet. Un ejemplo de posibles ecosistemas de amplio alcance son las "Smart Cities". A pesar de los riesgos,  la IoT será un componente fundamental en el que se apoyará la nueva economía.

Los que trabajamos, en mayor o menor medida,  en aspectos jurídicos de la sociedad, quedémonos con el reto y olvidémonos de la dificultad.  Es una llamada a la acción para poder alcanzar los objetivos propuestos, que no son otros que colaborar y velar para que los avances tecnológicos estén siempre alineados con los avances sociales. Para ello cualquier iniciativa, pública, privada, o basada en el asociacionismo voluntario, será un buen aporte ya que la sociedad no se cambia exclusivamente desde fuera sino también, y especialmente,  desde dentro en base a la concienciación y el convencimiento.

Vivimos en una época en que, debido a la crisis económica global, la ciudadanía ha tomado conciencia del valor real de los recursos, de su escasez y del control exigible de los mismos bajo el concepto de sostenibilidad.

Pues bien, es esa misma línea no puede considerarse sostenible aquel uso de la tecnología que vaya en contra de los derechos fundamentales de las personas, entre ellos el derecho a la protección de datos personales y el derecho al honor, la intimidad y la propia imagen. Recuerdo que lo que no es sostenible, acaba desapareciendo.

2. La vida es cambio y debemos evolucionar con ella

La experiencia adquirida en estos tres primeros años de vida del blog, ha servido para ir evolucionando:

El primer año focalizaba en protección de datos y seguridad de la información.

El segundo año se ampliaba el alcance hasta abarcar todas las especialidades englobadas dentro del concepto de Derecho Digital (TIC).

El tercer año se amplía el círculo hasta compatibilizar innovación con el concepto de GRC (Gobierno, Riesgo y Cumplimiento), entendiendo por cumplimiento no solo el regulatorio en su sentido amplio o Hard Law (Compliance penal de la PJ, Privacidad, PBCyFT y toda la demás regulación que afecta a la empresa…), sino también la Soft law dentro del ámbito (responsabilidad social…). Especial atención a otras normas y estándares internacionales de adscripción voluntaria pero con un uso ampliamente extendido y reconocido, entre ellas diferentes Normas ISO,  que en muchos casos tienen su valor como elementos de ayuda y gestión para facilitar el cumplimiento de las Hard Law en el marco de las organizaciones. Incluso algún reconocido autor ha considerado que estas últimas pueden acabar derivando en Soft law. 

3. Colaboración de terceros

Este tercer año he publicado dos artículos escritos por profesionales de contrastada reputación, que relaciono a continuación por orden cronológico:

4. Crónica de lo acaecido durante este tercer año

Como ya es costumbre, me gusta aprovechar la ocasión para recordar todo aquello que, desde la perspectiva y la temática del blog, ha sido significativo entre el 3 de abril de 2014 y el 3 de abril de 2015. Este año he atravesado sutilmente el límite inferior, no por error sino para incluir un evento de la AEPD. Es una pequeña concesión que me tomo.

Como vengo haciendo cada año, pido disculpas por si me olvido, siempre desde mi subjetividad y limitación humana, de algún acontecimiento relevante. Si algún amable lector detecta alguna omisión especialmente significativa puede hacerme llegar un correo electrónico y, ésta es una de las ventajas de los blogs, lo añadiré si efectivamente es de interés conforme a la temática antes expresada.

Para completar los actos legislativos remarcables, he decidido incorporar a la cronología una breve referencia a aquellos congresos y eventos a los que he podido asistir y que, siempre a mi juicio, han tenido mayor trascendencia para el Derecho digital y el Compliance. Para distinguirlos a simple vista, marcaré:

Fecha del evento
Tipo de evento
Actos Legislativos
Aprobación de leyes sobre la temática del blog
Congresos y actos públicos
Relacionados con Derecho TIC, privacidad y Compliance
Ámbito / Área de práctica
[Privacidad], [Compliance]…

  • 14 DE MARZO DE 2014 [Privacidad] 6ª sesión anual abierta de la AEPD. En el Teatro Real de Madrid tiene lugar la 6ª sesión anual abierta de la Agencia Española de Protección de Datos. En ella destacaría la presentación de Emilio Aced Félez sobre la evaluación de impacto en la privacidad. Se abre un proceso de consulta pública para evaluar la propuesta de borrador de la Guía de cómo efectuar una evaluación de impacto en la protección de datos (EIPD), conocida internacionalmente como Privacy Impact Assessment (PIA), a partir de la cual se presentaría más adelante la Guía definitiva.
  • 4 DE ABRIL DE 2014 [Privacidad] Se promulga la Ley 5/2014, de 4 de abril, de Seguridad Privada. En lo que concierne a este blog, afecta directamente a diferentes consideraciones en el campo de la videovigilancia. Puede verse un estudio detallado sobre videovigilancia, actualizado con la nueva Ley, en este mismo blog.
  • 8 DE ABRIL DE 2014 [Privacidad] El Tribunal de Justicia de la Unión Europea (TJUE), en su comunicado de prensa nº 54/14 sobre la Sentencia en los asuntos acumulados C-293/12 y C-594/12, declara inválida la Directiva sobre la conservación de datos (Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE). El alto tribunal europeo considera que la Directiva constituye una injerencia de gran magnitud y especial gravedad en los derechos fundamentales al respeto de la vida privada y a la protección de datos de carácter personal, sin que esta injerencia se limite a lo estrictamente necesario.
  • 5 DE MAYO DE 2014 [Compliance] Entra en vigor el Real Decreto 304/2014, de 5 de mayo, por el que se aprueba el Reglamento de la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo.
  • 9 DE MAYO DE 2014 [Telecomunicaciones, Privacidad] Se aprueba la Ley 9/2014, de 9 de mayo, de Telecomunicaciones. El ámbito de aplicación de esta Ley es la regulación de las telecomunicaciones, que comprenden la explotación de las redes y la prestación de los servicios de comunicaciones electrónicas y los recursos asociados, de conformidad con el artículo 149.1.21.ª de la Constitución, quedando excluidos de su ámbito algunas excepciones como los servicios de comunicación audiovisual.
  • 13 DE MAYO DE 2014 [Privacidad] El Tribunal de Justicia de la Unión Europea (TJUE) dicta Sentencia en el asunto C-131/12, Google Spain, reconociendo el “derecho al olvido”, en contra de algunas consideraciones del Abogado General del Tribunal de Justicia de la UE.
  • 4 DE JULIO DE 2014 [Derecho Digital] Se promulga el Real Decreto-ley 8/2014, de 4 de julio, de aprobación de medidas urgentes para el crecimiento, la competitividad y la eficiencia. A efectos prácticos una de las medidas tiene que ver con los Drones. Para garantizar una transición progresiva y un alto nivel de seguridad de la aviación civil, es necesario establecer el régimen jurídico específico aplicable a estas aeronaves y a las actividades aéreas desarrolladas por ellas. Esta disposición establece las condiciones de explotación de estas aeronaves teniendo presente que el régimen específico de las operaciones de las aeronaves civiles pilotadas por control remoto se establecerá reglamentariamente, conforme al estado de la técnica. Un excelente artículo titulado “Uso y régimen jurídico aplicable a los drones” lo publicó Francisco Javier Sempere en el blog “Privacidad Lógica”, que además ha sido merecedor del premio al mejor post jurídico 2014 en el marco de la V edición del premio Derecho En Red.
  • 23 DE JULIO DE 2014 [Derecho Digital] Se publica el Reglamento (UE) Nº 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE.
  • 23 DE AGOSTO DE 2014 [Privacidad] Fue presentada por Dulcermaría Martínez Ruíz la Declaración de México D.F., hacia la implantación de garantías para la privacidad en los tratamientos de Big Data, elaborada desde la iniciativa del Observatorio Iberoamericano de Protección de Datos, en el transcurso de la Jornada académica de protección de datos personales en internet, dentro de la bienvenida para los alumnos de la cuarta generación de la Maestría en Derecho de las Tecnologías de la Información y Comunicación de INFOTEC, en la ciudad de México Distrito Federal. Fue un placer colaborar en el redactado de la iniciativa, coordinada por Daniel López, formando parte de un equipo de excelentes profesionales.
  • 24 DE SEPTIEMBRE DE 2014 [Privacidad] VI Foro de la Privacidad del DPI (ISMS Forum Spain). En el Aula Magna del IE Business School de Madrid se presentó, además de interesantes ponencias como la de Flora Egea sobre la figura del DPO,  la presentación del Director de la Agencia Española de Protección de Datos (AEPD), José Luís Rodriguez Álvarez que, entre otras cosas, habló del derecho al olvido. Un resumen de su intervención puede verse en este mismo blog, dentro del artículo titulado Derecho al olvido: un enfoque imparcial. Se aprovechó la sesión para presentar la Guía titulada la Responsabilidad Legal de las Empresas frente a un Ciberataque.
  • 1 DE OCTUBRE DE 2014 [Derecho Digital] Jornada TICLawyers ENATIC. En el salón de actos del Consejo General de la Abogacía Española, se presentó la apertura del año 2014/15 de la Abogacía Digital. La ponencia inaugural “La protección de datos en las sociedades tecnológicas” fue a cargo de José Luis Rodriguez Álvarez.
  • 23 DE OCTUBRE DE 2014 [Transparencia] jornada “Hacia la transparencia efectiva: datos abiertos, datos seguros”, en relación a la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno. Tuvo lugar en el Salón de Actos del Ilustre Colegio de Abogados de Valencia con la intervención de  Eduard Chaveli Donet, Director General de GESCONSULTOR, y representantes de la Generalitat Valenciana, de las Diputaciones de Alicante, Castellón y Valencia y de Ayuntamientos. Se habló sobre la Ley de transparencia y su relación con otras Normas: ENS, ENI y Protección de Datos.
  • 23 Y 24 DE OCTUBRE [Compliance] En el Real e Ilustre Colegio de Abogados de Zaragoza (ReICAZ), tuvieron lugar unas jornadas sobre Delincuencia Económica y Responsabilidad Penal en el ámbito de la empresa (Compliance), a las que tuve el privilegio de poder asistir. Destacaría la ponencia del fiscal  Juan Antonio Frago Amada, autor del blog en ocasiones veo reos que ya ha superado la cifra de las 500.000 visitas.
  • 5 DE NOVIEMBRE DE 2014 [Derecho Digital] No exenta de polémica, se aprueba la nueva LPI (Ley 21/2014, de 4 de noviembre, por la que se modifica el texto refundido de la Ley de Propiedad Intelectual, aprobado por Real Decreto Legislativo 1/1996, de 12 de abril, y la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil).
  • 13 Y 14 DE NOVIEMBRE DE 2014 [Gobierno y Gestión TIC] [Privacidad] IX Congreso Nacional itSMF (VISION14). itSMF (Information Technology Service Management Forum, por sus siglas en Inglés) es una gran comunidad mundial de conocimiento para compartir prácticas sobre el gobierno y la gestión del servicio de las Tecnologías de la Información (TI). En esta ocasión hubo entre las muchas y muy buenas ponencias, tres que están más relacionadas con la temática del blog: Próximos retos a los que se enfrentan las empresas para proteger sus activos y negocio presentada por Juan Miguel Pulpillo, abogado especializado en Derecho digital, Ingenio, Pasión y Tecnología, fórmula infalible para el inno-liderazgo digital presentada por Silvia Leal y Jorge Urrea, profesores del IE Business School, y La Privacy by Design (PbD) en el diseño del servicio que he tenido el honor de haber escrito y presentado.
  • 16 DE DICIEMBRE DE 2014 [Privacidad] Se cumple un año exacto de suscribirse el acuerdo de colaboración entre el capítulo de Barcelona de ISACA y la Sección de Derecho de las Tecnologías de la Información i la Comunicación, de la Comisión de Cultura del Ilustre Colegio de Abogados de Barcelona (ICAB). Fruto del acuerdo se han programado una serie de “píldoras tecnológicas” con el objetivo de aportar conocimiento para la formación de los abogados en el ámbito del Derecho Digital, focalizando en seguridad de la información, privacidad y auditoría de sistemas. En este caso me correspondió impartir la 6ª píldora bajo el título la evaluación de impacto en protección de datos que he desarrollado en este blog.
  • 15 DE ENERO DE 2015 [Privacidad] Segundos diálogos TIC – APEP. Un año más la Asociación Profesional Española de Privacidad (APEP) ha decidido llevar a cabo, en la sede del COETIC en Barcelona, una jornada donde se presentaron diversos escenarios en los que la privacidad juega un papel fundamental. La jornada fue inaugurada por M. Àngels Barbarà, directora de la Autoridad Catalana de Protección de Datos (APDCAT), contando también con la presencia del presidente de la asociación, Ricard Martinez. El objetivo de dicha jornada consistió en trasladar a los asistentes nociones técnicas y legales sobre tres tecnologías actuales y de gran interés: la videovigilancia, el Internet de las cosas (IoT) y el Big Data.
  • 21 DE ENERO DE 2015 [Compliance] El pleno del Congreso de los Diputados ha aprobado, en una primera fase, la reforma del Código Penal. La Cámara Baja ha dado luz verde a este proyecto legislativo para su remisión al Senado. En caso de introducirse enmiendas, el texto volverá al examen del Congreso. Desde el punto de vista de este blog nos interesa el desarrollo del artículo 31 bis y concordantes sobre Responsabilidad Penal de la Persona Jurídica (RPPJ) con afectación directa al Compliance Penal.
  • 28 DE ENERO DE 2015 [Privacidad] Día Europeo de la Protección de Datos. En la Asociación Profesional Española de Privacidad (APEP) se aprovechó para celebrarlo cediendo espacio en la propia página web de la asociación a aquellos socios que quisieran publicar algo al hilo de la jornada. Agradezco que se me permitiera participar con el artículo titulado el futuro de la privacidad: difícil equilibrio entre Derecho objetivo y subjetivo. Pueden verse aquí los demás artículos escritos por compañeros.
  • 28 DE ENERO DE 2015 [Privacidad] Aprovechando la festividad europea sobre protección de datos, la AEPD dio a conocer los premios protección de datos 2014. En la categoría de investigación sobre protección de datos en los países iberoamericanos, todos los galardones correspondieron a colaboradores del Observatorio Iberoamericano de Protección de Datos: el primer premio correspondió al jurista y profesor Nelson Remolina Angarita por su trabajo 'Tratamiento de información personal. Desde la transferencia transfronteriza hacia la recolección internacional de datos personales: un reto del mundo post-Internet'. Fue  reconocido con un accésit (segundo premio) el Estudio sobre las garantías en materia de protección de datos y habeas data: una visión desde Iberoamérica, investigación jurídica en base al Derecho Comparado también elaborada por varios colaboradores de la iniciativa del Observatorio, entre los que me incluyo, siendo la coordinación  del equipo internacional de juristas a cargo de Daniel López Carballo, ayudado por Francisco González-Calero Manzanares como coordinador adjunto.
  • 5 de febrero de 2015 [Compliance] [Blanqueo] Jornada sobre blanqueo y Compliance organizada por INBLAC  en las instalaciones del Círculo de Bellas Artes de Madrid. Francisco Bonatti habló de los problemas que surgen al pretender conciliar el Compliance Penal y el Reglamento de PBCyFT. También hablaron Joaquín Mena y Juan Miguel Cid, presidente de INBLAC. Acabó el acto con un debate al que se añadieron Pedro Morón y Fabián Zambrano.
  • 25 y 26 de febrero de 2015 [Compliance] [Blanqueo] IV Jornadas Nacionales de Compliance, organizadas por la Fundación General Universidad de Granada – Empresa, en Madrid, bajo la dirección de Juan Miguel del Cid. Se iniciaron con la intervención del magistrado Fernando Grande Marlaska, vocal del CGPJ, quién hizo un completo repaso de los delitos económicos recogidos en nuestro Código Penal, con especial hincapié en los relacionados con el artículo 31 bis y la RPPJ. Entre otros ponentes intervino el subdirector del Centro Nacional de Excelencia en Ciberseguridad, Enrique Ávila, con una ponencia sobre inteligencia económica como forma de mejorar la estrategia competitiva.
  • 26 de marzo de 2015 [Compliance] El Congreso de los Diputados ha aprobado el texto definitivo de la reforma del Código Penal que, desde la perspectiva de este blog, desarrolla la responsabilidad penal de la Persona Jurídica (PJ). Ha incorporado al texto aprobado en una primera fase por la cámara baja, las enmiendas presentadas por el Senado. Esta Ley Orgánica entrará en vigor el 1 de julio de 2015.

5. Agradecimientos y epílogo

Agradecer un año más a los editores de otros blogs que me han enseñado el camino en esta labor divulgativa de contenidos y que, con su elevado nivel de calidad, me motivan a mejorar. No los citaré aquí porqué son muchos, pero sí que enlazaré con el completo directorio temático de blogs jurídicos que ha compilado José Ramón Chaves y donde aparecen muchos compañeros y amigos. Es un esfuerzo que vale la pena divulgar.

Y, por supuesto, agradecer a los autores que han elegido este blog para publicar sus trabajos de forma desinteresada haciendo bueno aquel proverbio que reza: “si quieres ir rápido, ve solo; si quieres llegar lejos, ve acompañado”.

Y hablando de compañía, agradecer especialmente a quienes con su confianza son la razón de ser del blog: sus lectores. Gracias a todos de corazón.

Como vengo diciendo año tras año, la grandeza de los blogs en Internet es, gracias a la tecnología, que posibilitan estar siempre en contacto, 24 horas al día desde cualquier dispositivo y de forma ubicua, sin que importe la distancia ni el lugar.

Gracias a todos por compartir una misma ilusión.


(Editor del Blog)


6. Aniversarios anteriores
  • 2014 (II Aniversario)
  • 2013 (I Aniversario)



martes, 24 de febrero de 2015

Era del conocimiento y privacidad: Difícil equilibrio entre Derecho objetivo y subjetivo


Resumen: A veces remover mediante un artículo los conceptos que se consideran inamovibles en protección de datos es positivo para que se libere la mente y puedan surgir otras propuestas relevantes en línea con la evolución del individuo en la sociedad. No olvidemos que el objetivo de esta regulación es proteger la conjunción de derechos fundamentales incardinados en el concepto “privacidad” en la era digital (Derecho a la protección de datos personales, derecho a la intimidad…). En consecuencia, hemos de mantener una actitud in vigilando para ir estudiando y no descartar otras estrategias, si apreciamos que la materialización de los principios, aunque sean fundamentales, no producen los resultados esperados.

Autor del artículo
Colaboración
José Luis Colom Planas
Actualizado
24 de febrero de 2015

Índice
1. El principio de consentimiento informado individual
2. Trasladar el consentimiento fuera del individuo
3. El principio de limitación de finalidad
4. Epilogo
5. Derechos de autor


1. El principio de consentimiento informado individual

La privacidad se ha venido planteando hasta nuestros días como un derecho basado esencialmente en el principio de consentimiento, entendido éste como el control y la libre disposición individual de los propios datos personales. 

No obstante,  como ya dijeron A. Daniel Oliver y José Félix Muñoz en el SICARM 2012, se le atribuye al citado principio un poder conformador de la realidad que de hecho no tiene. 

Si analizamos el mecanismo de tutela, basado en el consentimiento informado individual, vemos que:
  • Ha dado buenos resultados en la anterior era, denominada “de la información”,  basada en la informática tradicional en la que  simplemente se trataba la información contenida en bases de datos clásicas de tipo estructurado.
  • Es cuestionable en la actual era “del conocimiento” basada en la computación ubicua a través de Internet, los tratamientos analíticos masivos tipo Big Data sobre bases de datos desestructuradas con información procedente incluso de sensores (IoT) y las redes sociales… 

Así las cosas, confiar en modelos basados en el derecho de habeas data  como autodeterminación individual sobre la propia información personal, a día de hoy y en un futuro parece poco realista, o al menos cuestionable, y se corre el riesgo de que nos auto-engañemos como sociedad. 

Si bien el propósito de que el interesado otorgue su consentimiento previo al recabado y demás tratamientos de sus datos personales se erige como mecanismo jurídico de defensa de sus derechos, en la práctica, por desgracia, su función real es la de simplemente legitimar la renuncia a la autodeterminación informativa a cambio de, por ejemplo, ganar acceso a nuevas funcionalidades en el uso de Apps. 

En otras palabras, el consentimiento puede llegar a ser contrario al interesado sustentándose esta tesis en al menos dos motivos:
  • Por un lado, en la dificultad por parte del responsable del tratamiento de aplicar el deber de informar, previo al recabado del consentimiento, para tratar los datos personales. La complejidad de los nuevos sistemas tendentes a dotarse de inteligencia artificial hace que ni los propios responsables estén muchas veces en condiciones de informar con precisión sobre todos los detalles del tratamiento. En consecuencia, a stricto sensu, no puede hablarse de consentimiento informado.
  • Por otro, la vorágine de Apps, funcionalidades de conectividad ubicua, medios de comunicación social y enlaces de datos entre objetos, que emergen ya en nuestros días, han creado en muchos individuos una cultura, basada en el oversharing o la sobreexposición, que les lleva a compartirlo todo a cambio de popularidad o de mantener esas relaciones o contactos virtuales. La consecuencia es la no lectura de las cláusulas informativas y el otorgamiento del consentimiento “no informado de facto” mediante un irreflexivo “click”. Esta actitud basada en un acto reflejo, de aceptación de cualquier condición de uso en aras de acceder rápidamente y con avidez a la funcionalidad que le es ofrecida, igual que un boomerang, se convierte desafortunadamente en un sistema legitimador de tratamientos contrarios a los más básicos principios de privacidad y protección de datos, que no olvidemos son derechos fundamentales de todas las personas.

2. Trasladar el consentimiento fuera del individuo

Una alternativa que empieza a oírse es la de trasladar el consentimiento desde el propio individuo aislado, hasta la sociedad. La principal crítica recibida ha sido la de anticonstitucionalidad. 

El hecho de que los derechos de las personas partan todos de otro derecho fundamental e imprescindible: el derecho a la vida, puede dar a entender como necesario que el objeto de protección jurídica de éstos derechos se encuentre situado en el ámbito de la persona misma. No obstante, no debemos entender la vida solo como una cuestión biológica, sino hacerlo en sentido amplio partiendo del reconocimiento del hombre como un ser libre que necesita desarrollarse. Y este desarrollo solo puede lograrse en el individuo por la pertenencia de éste a la sociedad. 

En consecuencia, considero que no debería juzgarse anticonstitucional el hecho de que pueda limitarse a un individuo su disponibilidad a otorgar consentimiento, esté o no informado, en base a lo dispuesto en nuevas normativas de interés general legisladas para regular determinados aspectos en la sociedad donde éste se desenvuelve y desarrolla, como una faceta imprescindible para alcanzar su vida plena. Protegiendo a la sociedad, en lo sustantivo se estaría protegiendo al propio individuo. 

Para fijar conceptos diré que el Derecho objetivo es el conjunto de reglas que rigen las relaciones sociales cuyas normas pueden imponerse coercitivamente, mientras que podemos definir el Derecho subjetivo como el poder o facultad que una norma atribuye a un sujeto, en virtud del cual puede realizar un acto o exigir que se realicen determinados actos. 

El desarrollo tecnológico, y el desarrollo social asociado, parece que nos obligan a desplazarnos desde una garantía de la privacidad basada en el individuo y como derecho subjetivo, a la regulación mediante garantías objetivas que afecten a la sociedad. En otras palabras, cabría desplazar el centro de gravedad legislativo en materia de privacidad desde la autodeterminación subjetiva del individuo titular de los datos hacia la tutela objetiva del estado o la unión supranacional. 

Conceptos como Privacidad por Defecto, que se disponen en el artículo 23 “Protección de datos desde el diseño y por defecto” del borrador del RGPD/UE,  son un ejemplo de la tendencia en esa dirección ya que obligan a los responsables de los tratamientos a implementar unos niveles mínimos de seguridad de partida, basados en un análisis real de los riesgos para con la privacidad. 

La PbD (Privacy by Design – Privacidad desde el Diseño) es un concepto que introdujo Ann Cavoukian (que hasta julio de 2014 fue Comisionada de información y privacidad de Ontario) y parece el camino a seguir en los nuevos proyectos que sean susceptibles de incorporar datos personales. El borrador del Reglamento dispone en su art. 33 la obligación de que los Responsables y Encargados del Tratamiento lleven a cabo un PIA (Privacy Impact Assessment - Evaluación de Impacto en la Privacidad) en la fase de diseño de cualquier iniciativa, cuando existan riesgos fundados para la privacidad de los interesados y atendiendo a la naturaleza, alcance o finalidad de los datos y tratamientos asociados. Recordaré que uno de los siete principios de la Privacidad desde el Diseño es la Privacidad por Defecto.

3. El principio de limitación de finalidad

En otro orden de cosas, existe un principio de la privacidad denominado “limitación de la finalidad”. Es el único capaz de limitar los tratamientos con independencia del consentimiento otorgado inicialmente. Algunos no lo consideran un principio “básico” quizá porque lo entienden como la consecuencia de aplicar los principios de transparencia y responsabilidad, que sí lo son. 

Pese a ser un principio incardinado en el modelo de protección actual, su campo de aplicación más inmediato es el relacionado con Big data y las técnicas analíticas asociadas que nos están adentrando en el futuro. En consecuencia no es pretensioso llamarle el “principio de transición” hacia el nuevo modelo que se vislumbra. 

Ante la preponderancia que está obteniendo este principio frente a los demás, es que las autoridades europeas de protección de datos lo clarifican, reconociendo que protege a los interesados mediante el establecimiento de límites en el recabado y posterior tratamiento de sus datos. 

Cuando una persona proporciona sus datos personales a una empresa u otra organización, usualmente tiene ciertas expectativas acerca de la finalidad para la que sus datos serán utilizados. Hay un valor en honor a estas expectativas que es la preservación de la confianza y la seguridad jurídica. Por ello, según el GT29, el principio de limitación de la finalidad es una piedra angular de la protección de datos. 

Debemos considerar que los datos que ya han sido recogidos pueden ser realmente útiles para otros propósitos, que no han sido previstos inicialmente. Por lo tanto, también hay valor en permitir, dentro de límites cuidadosamente equilibrados, un cierto grado de uso adicional. 

El principio de limitación de la finalidad está diseñado para ofrecer un enfoque equilibrado:
  • Por un lado tiene como objetivo conciliar la necesidad de la previsibilidad y la seguridad jurídica en relación con los fines del tratamiento.
  • Por otro lado, la necesidad pragmática de proporcionar flexibilidad.

En consecuencia el principio de limitación de la finalidad tiene dos componentes fundamentales:
  • Los datos de carácter personal deberán ser recogidos para ‘determinados, explícitos y legítimos’ fines (especificación del propósito).
  • No ser 'Tratados posteriormente de manera incompatible con dichos fines (uso compatible).

El tratamiento adicional para un propósito diferente no significa necesariamente que sea incompatible, (Artículo 4.2 LOPD y 8.3 RLOPD) pero la compatibilidad debe evaluarse caso por caso, teniendo en cuenta todas las circunstancias, lo que no siempre es una tarea fácil y dificulta la tutela efectiva del Derecho objetivo del que hablaba antes, por parte de las Autoridades de Control en materia de privacidad y de los diferentes órganos judiciales, desplazándolo al plano de lo subjetivo en función de las circunstancias concretas. 

Debe tenerse en cuenta que el resultado de la evaluación a la que me refiero debe basarse en el artículo 10 “Supuestos que legitiman el tratamiento o cesión de datos” del RD 1720/2007, de 21 de diciembre, que es el reglamento de aplicación de la LOPD. Partiendo de la anulación del artículo 10.2.b por no ser conforme al artículo 7.f de la Directiva europea,  el referido artículo de la Directiva pasa a tener aplicación directa al ordenamiento jurídico español. 

Dicho artículo 7.f de la Directiva establece dos únicos requisitos acumulativos para legitimar un tratamiento:
  • La necesidad de satisfacer un interés legítimo.
  • Que no prevalezcan derechos y libertades fundamentales del interesado. 

Como es conocido, la colisión entre derechos fundamentales debe ponderarse caso por caso luego, si surgen dudas o un conflicto abierto, deberemos resolverlo considerando de nuevo el Derecho subjetivo.

4. Epilogo

El análisis de dos principios fundamentales de la protección de datos, el principio de consentimiento y el principio de limitación de la finalidad, ha puesto de manifiesto las muchas dificultades para su concreción. 

Esto significa lo complejo que puede llegar a ser dar cumplimiento a la célebre frase de Neelie Kroes (CE): “Los nuevos diseños deben respetar la privacidad, sin que la Ley se convierta en una camisa de fuerza para la innovación”.  A futuro, tenemos un largo y motivador camino por delante.

5. Derechos de autor

Imágenes bajo licencia 123RF internacional.

La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.


Sobre el autor:


José Luis Colom Planas Posee un doble perfil, jurídico y tecnológico, que le facilita el desempeño profesional en el ámbito del Derecho de las nuevas tecnologías: Ha realizado el postgrado de Especialista Universitario en Protección de Datos y Privacidad en la Facultad de Derecho de la Universidad de Murcia y ha cursado Ingeniería técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT (Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación).
Ha superado el programa superior de especialización como Compliance Officer (Controller jurídico) en la Escuela Legal WKE y ha estudiado “El delito de blanqueo de capitales en nuestro Código Penal” en la UOC, en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Ha participado en la I Jornada internacional sobre blanqueo de capitales organizada por la Escuela de Postgrado; Facultad de Derecho de la UB.
Es consultor empresarial especializado en GRC (Governance, Risk and Compliance) en GESCONSULTOR, con incidencia en cumplimiento normativo y regulatorio, privacidad  y gestión de la seguridad de la información.  A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.
Dispone de la certificación CDPP (Certified Data Privacy Professional) del ISMS Fórum Spain. Es Auditor e Implantador SGSI (Gestión de la Seguridad de la Información) por AENOR (Asociación Española de Certificación y Normalización). Leader Auditor ISO 27001& implanter ISO 22301 by BSI (British Standards Institution). Auditor del esquema de certificación STAR para prestadores de servicios de Cloud Computing (BSI + Cloud Security Alliance). Ha obtenido la certificación internacional CISA (Certified Information Systems Auditor) by ISACA (Information Systems Audit and Control Association). Dispone de las certificaciones ISO 20000 PMI (Process Management Improvement) e ITIL Service Management by EXIN (Examination Institute for Information Science).
Es asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática), ENATIC Abogacía 2.0 (Asociación de expertos nacionales de la abogacía TIC) y CUMPLEN (Asociación de Profesionales de Cumplimiento Normativo),    habiendo sido ponente o colaborado en casi todas ellas. También es colaborador de la iniciativa del Observatorio Iberoamericano de Protección de Datos.


La primera versión publicada de este artículo fue el 28 de enero de 2015 en la página web de la Asociación Profesional Española de Privacidad (APEP), con motivo del día europeo de la protección de datos.