martes, 24 de febrero de 2015

Era del conocimiento y privacidad: Difícil equilibrio entre Derecho objetivo y subjetivo


Resumen: A veces remover mediante un artículo los conceptos que se consideran inamovibles en protección de datos es positivo para que se libere la mente y puedan surgir otras propuestas relevantes en línea con la evolución del individuo en la sociedad. No olvidemos que el objetivo de esta regulación es proteger la conjunción de derechos fundamentales incardinados en el concepto “privacidad” en la era digital (Derecho a la protección de datos personales, derecho a la intimidad…). En consecuencia, hemos de mantener una actitud in vigilando para ir estudiando y no descartar otras estrategias, si apreciamos que la materialización de los principios, aunque sean fundamentales, no producen los resultados esperados.

Autor del artículo
Colaboración
José Luis Colom Planas
Actualizado
24 de febrero de 2015

Índice
1. El principio de consentimiento informado individual
2. Trasladar el consentimiento fuera del individuo
3. El principio de limitación de finalidad
4. Epilogo
5. Derechos de autor


1. El principio de consentimiento informado individual

La privacidad se ha venido planteando hasta nuestros días como un derecho basado esencialmente en el principio de consentimiento, entendido éste como el control y la libre disposición individual de los propios datos personales. 

No obstante,  como ya dijeron A. Daniel Oliver y José Félix Muñoz en el SICARM 2012, se le atribuye al citado principio un poder conformador de la realidad que de hecho no tiene. 

Si analizamos el mecanismo de tutela, basado en el consentimiento informado individual, vemos que:
  • Ha dado buenos resultados en la anterior era, denominada “de la información”,  basada en la informática tradicional en la que  simplemente se trataba la información contenida en bases de datos clásicas de tipo estructurado.
  • Es cuestionable en la actual era “del conocimiento” basada en la computación ubicua a través de Internet, los tratamientos analíticos masivos tipo Big Data sobre bases de datos desestructuradas con información procedente incluso de sensores (IoT) y las redes sociales… 

Así las cosas, confiar en modelos basados en el derecho de habeas data  como autodeterminación individual sobre la propia información personal, a día de hoy y en un futuro parece poco realista, o al menos cuestionable, y se corre el riesgo de que nos auto-engañemos como sociedad. 

Si bien el propósito de que el interesado otorgue su consentimiento previo al recabado y demás tratamientos de sus datos personales se erige como mecanismo jurídico de defensa de sus derechos, en la práctica, por desgracia, su función real es la de simplemente legitimar la renuncia a la autodeterminación informativa a cambio de, por ejemplo, ganar acceso a nuevas funcionalidades en el uso de Apps. 

En otras palabras, el consentimiento puede llegar a ser contrario al interesado sustentándose esta tesis en al menos dos motivos:
  • Por un lado, en la dificultad por parte del responsable del tratamiento de aplicar el deber de informar, previo al recabado del consentimiento, para tratar los datos personales. La complejidad de los nuevos sistemas tendentes a dotarse de inteligencia artificial hace que ni los propios responsables estén muchas veces en condiciones de informar con precisión sobre todos los detalles del tratamiento. En consecuencia, a stricto sensu, no puede hablarse de consentimiento informado.
  • Por otro, la vorágine de Apps, funcionalidades de conectividad ubicua, medios de comunicación social y enlaces de datos entre objetos, que emergen ya en nuestros días, han creado en muchos individuos una cultura, basada en el oversharing o la sobreexposición, que les lleva a compartirlo todo a cambio de popularidad o de mantener esas relaciones o contactos virtuales. La consecuencia es la no lectura de las cláusulas informativas y el otorgamiento del consentimiento “no informado de facto” mediante un irreflexivo “click”. Esta actitud basada en un acto reflejo, de aceptación de cualquier condición de uso en aras de acceder rápidamente y con avidez a la funcionalidad que le es ofrecida, igual que un boomerang, se convierte desafortunadamente en un sistema legitimador de tratamientos contrarios a los más básicos principios de privacidad y protección de datos, que no olvidemos son derechos fundamentales de todas las personas.

2. Trasladar el consentimiento fuera del individuo

Una alternativa que empieza a oírse es la de trasladar el consentimiento desde el propio individuo aislado, hasta la sociedad. La principal crítica recibida ha sido la de anticonstitucionalidad. 

El hecho de que los derechos de las personas partan todos de otro derecho fundamental e imprescindible: el derecho a la vida, puede dar a entender como necesario que el objeto de protección jurídica de éstos derechos se encuentre situado en el ámbito de la persona misma. No obstante, no debemos entender la vida solo como una cuestión biológica, sino hacerlo en sentido amplio partiendo del reconocimiento del hombre como un ser libre que necesita desarrollarse. Y este desarrollo solo puede lograrse en el individuo por la pertenencia de éste a la sociedad. 

En consecuencia, considero que no debería juzgarse anticonstitucional el hecho de que pueda limitarse a un individuo su disponibilidad a otorgar consentimiento, esté o no informado, en base a lo dispuesto en nuevas normativas de interés general legisladas para regular determinados aspectos en la sociedad donde éste se desenvuelve y desarrolla, como una faceta imprescindible para alcanzar su vida plena. Protegiendo a la sociedad, en lo sustantivo se estaría protegiendo al propio individuo. 

Para fijar conceptos diré que el Derecho objetivo es el conjunto de reglas que rigen las relaciones sociales cuyas normas pueden imponerse coercitivamente, mientras que podemos definir el Derecho subjetivo como el poder o facultad que una norma atribuye a un sujeto, en virtud del cual puede realizar un acto o exigir que se realicen determinados actos. 

El desarrollo tecnológico, y el desarrollo social asociado, parece que nos obligan a desplazarnos desde una garantía de la privacidad basada en el individuo y como derecho subjetivo, a la regulación mediante garantías objetivas que afecten a la sociedad. En otras palabras, cabría desplazar el centro de gravedad legislativo en materia de privacidad desde la autodeterminación subjetiva del individuo titular de los datos hacia la tutela objetiva del estado o la unión supranacional. 

Conceptos como Privacidad por Defecto, que se disponen en el artículo 23 “Protección de datos desde el diseño y por defecto” del borrador del RGPD/UE,  son un ejemplo de la tendencia en esa dirección ya que obligan a los responsables de los tratamientos a implementar unos niveles mínimos de seguridad de partida, basados en un análisis real de los riesgos para con la privacidad. 

La PbD (Privacy by Design – Privacidad desde el Diseño) es un concepto que introdujo Ann Cavoukian (que hasta julio de 2014 fue Comisionada de información y privacidad de Ontario) y parece el camino a seguir en los nuevos proyectos que sean susceptibles de incorporar datos personales. El borrador del Reglamento dispone en su art. 33 la obligación de que los Responsables y Encargados del Tratamiento lleven a cabo un PIA (Privacy Impact Assessment - Evaluación de Impacto en la Privacidad) en la fase de diseño de cualquier iniciativa, cuando existan riesgos fundados para la privacidad de los interesados y atendiendo a la naturaleza, alcance o finalidad de los datos y tratamientos asociados. Recordaré que uno de los siete principios de la Privacidad desde el Diseño es la Privacidad por Defecto.

3. El principio de limitación de finalidad

En otro orden de cosas, existe un principio de la privacidad denominado “limitación de la finalidad”. Es el único capaz de limitar los tratamientos con independencia del consentimiento otorgado inicialmente. Algunos no lo consideran un principio “básico” quizá porque lo entienden como la consecuencia de aplicar los principios de transparencia y responsabilidad, que sí lo son. 

Pese a ser un principio incardinado en el modelo de protección actual, su campo de aplicación más inmediato es el relacionado con Big data y las técnicas analíticas asociadas que nos están adentrando en el futuro. En consecuencia no es pretensioso llamarle el “principio de transición” hacia el nuevo modelo que se vislumbra. 

Ante la preponderancia que está obteniendo este principio frente a los demás, es que las autoridades europeas de protección de datos lo clarifican, reconociendo que protege a los interesados mediante el establecimiento de límites en el recabado y posterior tratamiento de sus datos. 

Cuando una persona proporciona sus datos personales a una empresa u otra organización, usualmente tiene ciertas expectativas acerca de la finalidad para la que sus datos serán utilizados. Hay un valor en honor a estas expectativas que es la preservación de la confianza y la seguridad jurídica. Por ello, según el GT29, el principio de limitación de la finalidad es una piedra angular de la protección de datos. 

Debemos considerar que los datos que ya han sido recogidos pueden ser realmente útiles para otros propósitos, que no han sido previstos inicialmente. Por lo tanto, también hay valor en permitir, dentro de límites cuidadosamente equilibrados, un cierto grado de uso adicional. 

El principio de limitación de la finalidad está diseñado para ofrecer un enfoque equilibrado:
  • Por un lado tiene como objetivo conciliar la necesidad de la previsibilidad y la seguridad jurídica en relación con los fines del tratamiento.
  • Por otro lado, la necesidad pragmática de proporcionar flexibilidad.

En consecuencia el principio de limitación de la finalidad tiene dos componentes fundamentales:
  • Los datos de carácter personal deberán ser recogidos para ‘determinados, explícitos y legítimos’ fines (especificación del propósito).
  • No ser 'Tratados posteriormente de manera incompatible con dichos fines (uso compatible).

El tratamiento adicional para un propósito diferente no significa necesariamente que sea incompatible, (Artículo 4.2 LOPD y 8.3 RLOPD) pero la compatibilidad debe evaluarse caso por caso, teniendo en cuenta todas las circunstancias, lo que no siempre es una tarea fácil y dificulta la tutela efectiva del Derecho objetivo del que hablaba antes, por parte de las Autoridades de Control en materia de privacidad y de los diferentes órganos judiciales, desplazándolo al plano de lo subjetivo en función de las circunstancias concretas. 

Debe tenerse en cuenta que el resultado de la evaluación a la que me refiero debe basarse en el artículo 10 “Supuestos que legitiman el tratamiento o cesión de datos” del RD 1720/2007, de 21 de diciembre, que es el reglamento de aplicación de la LOPD. Partiendo de la anulación del artículo 10.2.b por no ser conforme al artículo 7.f de la Directiva europea,  el referido artículo de la Directiva pasa a tener aplicación directa al ordenamiento jurídico español. 

Dicho artículo 7.f de la Directiva establece dos únicos requisitos acumulativos para legitimar un tratamiento:
  • La necesidad de satisfacer un interés legítimo.
  • Que no prevalezcan derechos y libertades fundamentales del interesado. 

Como es conocido, la colisión entre derechos fundamentales debe ponderarse caso por caso luego, si surgen dudas o un conflicto abierto, deberemos resolverlo considerando de nuevo el Derecho subjetivo.

4. Epilogo

El análisis de dos principios fundamentales de la protección de datos, el principio de consentimiento y el principio de limitación de la finalidad, ha puesto de manifiesto las muchas dificultades para su concreción. 

Esto significa lo complejo que puede llegar a ser dar cumplimiento a la célebre frase de Neelie Kroes (CE): “Los nuevos diseños deben respetar la privacidad, sin que la Ley se convierta en una camisa de fuerza para la innovación”.  A futuro, tenemos un largo y motivador camino por delante.

5. Derechos de autor

Imágenes bajo licencia 123RF internacional.

La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.


Sobre el autor:


José Luis Colom Planas
Posee un doble perfil, jurídico y técnico, que le facilita el desempeño profesional en el ámbito de los diferentes marcos normativos, especialmente del Derecho de las nuevas tecnologías y las normas ISO de adscripción voluntaria. A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.

A nivel de especialización jurídica, ha realizado el postgrado de Especialista Universitario en Protección de Datos y Privacidad en la Facultad de Derecho de la Universidad de Murcia, disponiendo de la certificación  CDPP (Certified Data Privacy Professional) del ISMS Fórum Spain. También ha cursado el programa superior de Compliance Officer (Controller jurídico) en la Escuela Legal WKE y se ha especializado respecto a los delitos de blanqueo de capitales en la UOC, en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Es experto externo en prevención de blanqueo de capitales, certificado por INBLAC.

A nivel de especialización técnica, ha cursado Ingeniería técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT (Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación). Es Auditor e Implantador de SGSI (Gestión de la Seguridad de la Información) por AENOR (Asociación Española de Certificación y Normalización). Leader Auditor & Implanter ISO 27001 e ISO 22301 by BSI (British Standards Institution). Auditor del esquema de certificación STAR para prestadores de servicios de Cloud Computing (BSI + Cloud Security Alliance). Ha obtenido la certificación internacional CISA (Certified Information Systems Auditor) by ISACA (Information Systems Audit and Control Association). Dispone de las certificaciones ISO 20000 PMI (Process Management Improvement) e ITIL Service Management by EXIN (Examination Institute for Information Science).
Desempeña su labor profesional en la entidad de certificación AUDERTIS como Director de Auditoría y Cumplimiento Normativo. También colabora con la entidad certificadora British Standards Institution (BSI) como auditor jefe de certificación e impartiendo formación para la obtención de la acreditación como lead auditor, en diferentes marcos normativos, incluidas las especificaciones del IRCA. Ha trabajado en Govertis Advisory Services cómo Compliance, Management & IT Advisor, incidiendo en Compliance Penal, PBC/FT, asesoramiento respecto a cumplimiento normativo, privacidad  y gestión de la seguridad de la información.  Ha participado como lead implementer y lead auditor de diferentes sistemas de gestión basados en Normas ISO, individuales o integrados, y en la optimización de sus procesos. Ha realizado diferentes niveles de auditorías de cumplimiento legal ya sea para organizaciones sujetas a Derecho público o privado. Anteriormente ha ostentado la posición de Director de Consultoría en ANTARA, asesorando respecto a Privacidad, seguridad de la información y PBC/FT.

Convencido del valor que aportan las organizaciones profesionales, es asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática), ENATIC (Asociación de expertos nacionales de la abogacía TIC), CUMPLEN (Asociación de Profesionales de Cumplimiento Normativo) y   asociado de INBLAC (Instituto de expertos en prevención del Blanqueo de Capitales),  habiendo sido ponente o colaborado en casi todas las referidas organizaciones. También lo es de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT) habiendo obtenido, junto a algunos colaboradores del mismo, un premio compartido otorgado por la AEPD.

La primera versión publicada de este artículo fue el 28 de enero de 2015 en la página web de la Asociación Profesional Española de Privacidad (APEP), con motivo del día europeo de la protección de datos.




No hay comentarios:

Publicar un comentario

Nota: solo los miembros de este blog pueden publicar comentarios.