Privacidad – protección de datos

5.1. Privacidad en un entorno disruptivo: IoT, Big Data, Cloud, redes sociales…
5.2. Marco normativo de protección de datos: España, Unión Europea, Privacy Shield, BCR y un mundo global.
5.3. Reglamento Europeo de Protección de Datos: análisis sistemático. Principios, obligaciones y régimen aplicable.
5.4. El responsable de tratamiento y sus obligaciones: evaluaciones de impacto y un nuevo modelo de cumplimiento en protección de datos.
5.5. Data Protection Officer (DPO): análisis detallado de sus funciones y obligaciones. Formación específica y habilitadora para el perfil DPO.
5.6. La privacidad en modelos de compliance y de certificación de protección de datos.

Pasos en la buena dirección

por

La protección de datos es un tema de creciente importancia en la sociedad digital de hoy. Recientemente se han dado varios desarrollos significativos en este campo, al margen de la omnipresente Inteligencia Artificial de la que cada día se generan noticias cada vez más preocupantes. Es decir, pasas en la buena dirección.

Por ejemplo, La Agencia Española de Protección de Datos (AEPD) acaba de publicar una Guía sobre el uso de sistemas biométricos para el control de acceso, estableciendo criterios claros para uso tanto en entornos laborales como no laborales. Este avance destaca la necesidad de equilibrar la seguridad y la privacidad en el uso de tecnologías avanzadas. Recordemos, además, que los datos biométricos son, a criterio del RGPD, de categoría especial de alto riesgo, por lo que debemos tener un cuidado especial en su tratamiento.

Por otro lado, TikTok se ha unido al Canal Prioritario de la AEPD, una medida que subraya el compromiso de la plataforma con la protección de datos de los usuarios. Esta colaboración surge tras la orden de la AEPD de retirar unos 30 contenidos con material sexual y violento en 2023, lo que pone de manifiesto la responsabilidad de las plataformas digitales en el manejo y la moderación del contenido. La empresa ha establecido, incluso, una vía de comunicación para atender con urgencia los requerimientos que le traslade la AEPD en caso de contenidos que pongan en riesgo los derechos y libertades o la salud física o mental de las personas afectadas.

Además, la Unión Europea ha prohibido a Meta (Facebook) mostrar anuncios basados en el comportamiento de los usuarios en plataformas como Instagram y Facebook. Esta decisión es un claro ejemplo de cómo las regulaciones están evolucionando para proteger mejor la privacidad y los datos personales de los usuarios en un entorno digital cada vez más intrusivo. La Comisión de Protección de Datos (DPA) ha señalado que se debe imponer una prohibición del tratamiento de datos personales según el comportamiento de los usuarios, una decisión que tendrá efecto en todo el Espacio Económico Europeo (EEE).

Estos casos reflejan una tendencia global hacia una mayor supervisión y regulación en el ámbito de la protección de datos. Las empresas y las organizaciones son llamadas a adoptar prácticas más transparentes y responsables en el manejo de información personal. Este enfoque no sólo es crucial para salvaguardar la privacidad de los individuos, sino también para mantener la confianza en el ecosistema digital.

En resumen, la protección de datos personales se ha convertido en una prioridad en el mundo digital. Las regulaciones y guías recientes, como las emitidas por la AEPD y la UE, son pasos importantes para garantizar que los avances tecnológicos no comprometan la privacidad y seguridad de los usuarios. Las empresas y plataformas deben adaptarse a estos cambios, priorizando la protección de datos personales en las operaciones y estrategias de negocio. Estas medidas son fundamentales para construir un entorno digital más seguro y fiable para todos.

Así que ya lo sabéis, cuidad vuestra privacidad y ¡cuidaos!

¿Una idea muy tonta? No, directamente estúpida y poco ejemplar

por

Pues sí, tal y como ha reconocido en la revista Rolling Stone, el CEO de HBO confesó haber troleado a los críticos con tuits falsos tras publicarse un informe de la revista. Casey Bloys explicó que durante la pandemia pasó una «cantidad de tiempo poco saludable» en Twitter cuando habló de utilizar un «ejército secreto» para responder a los críticos. Y ya dijo que se le había ocurrido «una idea muy tonta para aplacar su frustración».

En resumen, una conducta, como mínimo, poco ejemplar, justificada con excusas inaceptables. Los hechos ocurrieron entre 2020 y 2021 cuando era presidente de programación y responsable de contenidos de la compañía. Ahora es el máximo responsable.

Hechos como estos ponen de manifiesto la importancia de la formación y de la comunicación para fomentar la cultura de cumplimiento en las organizaciones. Formación y Comunicación son piedras angulares para hacerlo.

Y sí, hablamos de protección de datos, pero también de más cosas. Esta cultura debe llegar a todos los rincones de las empresas, y de la Administración, y a todas las personas que están involucradas en ella. Y debe llevar a todas partes la ética y el cumplimiento en general.

Hacemos un repaso breve a los principales aspectos claves a tener en cuenta.

  1. Conciencia sobre la importancia de la protección de datos.
    La formación continua asegura que todos los empleados, desde la alta dirección hasta el personal operativo, entiendan la importancia crítica de proteger los datos personales y la información confidencial. Al estar informados sobre los riesgos y las consecuencias de una brecha de datos, los empleados pueden reconocer la relevancia de su comportamiento diario en la salvaguarda de la información.

  2. Comprensión de la legislación y normativas.
    Las leyes de protección de datos, como el RGPD en Europa, la CCPA en California y otras legislaciones similares en todo el mundo, son complejas y sujetas a cambios. La formación ayuda a mantener al personal actualizado sobre sus responsabilidades legales y sobre cómo la legislación afecta a sus roles específicos.

  3. Implementación de mejores prácticas.
    La capacitación proporciona a los empleados el conocimiento de las mejores prácticas en el manejo de datos, incluyendo la identificación de información sensible, el uso correcto de sistemas de TI y la aplicación de protocolos de seguridad. Esto reduce la posibilidad de errores humanos, que son una de las causas más comunes de las brechas de datos.

  4. Gestión de riesgos.
    La formación puede ayudar a los empleados a identificar y evaluar los riesgos relacionados con la protección de datos en las actividades cotidianas, así como a aplicar las medidas de mitigación adecuadas.

  5. Respuesta a incidentes.
    La comunicación efectiva asegura que, en caso de una violación de datos, todos los miembros de la organización sepan exactamente cómo se puede reaccionar, quién debe ser notificado y qué pasos deben seguir para contener y resolver la situación.

  6. Refuerzo del compromiso ético.
    Una cultura de cumplimiento también es una cuestión de ética empresarial. La formación ayuda a internalizar el valor de la privacidad y el respeto por la información personal, más allá del mero cumplimiento legal.

  7. Transparencia con las partes interesadas.
    La comunicación eficaz no solo es importante internamente sino también hacia fuera. Es vital que los clientes, socios y reguladores perciban la seriedad con la que una organización trata la protección de datos, lo que puede mejorar la reputación y la confianza en la marca.

  8. Adaptación a la evolución tecnológica.
    La tecnología y las amenazas de seguridad evolucionan rápidamente. La formación continua asegura que los empleados estén al día con los desarrollos tecnológicos y las amenazas emergentes.

  9. Fomento de una cultura de informes.
    Los empleados deben sentirse cómodos informando posibles problemas o brechas sin miedo a represalias. Una comunicación abierta y transparente fomenta una atmósfera donde los empleados se sienten seguros al reportar incidentes o conductas sospechosas (más allá del Canal de Denuncias).

  10. Mejora continua.
    La formación y comunicación son procesos continuos que ayudan a las organizaciones a adaptarse y mejorar sus prácticas de protección de datos de forma constante y alineada con los cambios en el entorno regulatorio y tecnológico.

Para que una cultura de cumplimiento sea efectiva y sostenible, es esencial que la formación y la comunicación sean vistas como inversiones continuas y no como requisito de una sola vez. Esto demuestra el compromiso de la organización con la protección de datos y refuerza la importancia de cada individuo en el proceso de proteger la información confidencial y de su compromiso con una conducta ética.

Como siempre, hagamos las cosas bien y ¡cuidaos!

EL DNI «y dos huevos duros»

por

Recordamos la célebre frase de Groucho Marx en la película “Una noche en la ópera”.  En un camarote abarrotado, Groucho hace el pedido de comida al camarero y cada vez añade un plato a la lista. Chico, otro hermano, dice: “Y también dos huevos duros”, y Harpo, el tercer hermano mudo, hace sonar la bocina para indicar que, en vez de dos, ponga tres huevos. Y así varias veces.

Me he acordado de esta frase en relación al Informe 48/2023 de la Agencia de Protección de Datos del pasado septiembre, en el que pone de manifiesto la decisión de poner freno a la práctica de que las empresas pidan copias del DNI para identificar a los ciudadanos por cualquier cuestión. Es una costumbre arraigada que empresas y Administración pidan toda suerte de documentación al ciudadano y además “también copia del DNI” (a ser posible por las dos caras).

Existe una tradición heredada de la derogada Ley Orgánica de 1999, que establecía como procedimiento oficial para el ejercicio de derechos la obligatoria entrega de una copia del DNI (o NIE o documento equivalente). Esta práctica sigue llevándose a cabo sin que nadie se la cuestione porque “siempre se ha hecho así” y porqué parece que ofrece más seguridad al tráfico jurídico.

En su Informe, la AEPD considera que el uso de DNI puede resultar excesivo o directamente innecesario para cumplir con la finalidad de identificación.

¿Qué problemas plantea?

El número del DNI no es un dato de categoría especial pero sí es un dato sensible, puesto que su mal uso o abuso puede generar efectos desfavorables para su titular.

La suplantación de identidad es un perjuicio muy habitual puesto que pueden realizarse muchas gestiones como dar de alta contratos o cuentas corrientes, registrarse en sitios web de pornografía o juego online, incluso, pedir un duplicado de la tarjeta SIM.

Y también supone un reto de seguridad de la información para las empresas que realizan los tratamientos porque tienen que almacenar los DNIs, en formato analógico o digital, y asegurar su transmisión a terceros. Para compañías que manejan cientos de miles de documentos, incluso de millones, al año, no es un problema menor. Una brecha de seguridad en estos casos puede ser devastadora para su reputación, sanciones al margen.

¿Qué es el principio de minimización?

Está consagrado en el artículo 5.1.c) “Los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»). Es decir, solo podemos tratar como responsable únicamente aquellos datos que son estrictamente necesarios para la finalidad perseguida.

¿Qué dice la Agencia?

La Agencia parte de recordar el principio de responsabilidad proactiva, que recoge el RGPD, de forma que cada responsable tendrá que valorar los casos de uso concretos que se le presenten, y hacer juicios de ponderación si fuera necesario, y ver si es procedente o no pedir el DNI o tratar el número o guardar una copia para sus registros. Y, si hay que pedirlo, qué medidas de protección especial se deben aplicar.

Y en el Informe, la Agencia expone unos criterios generales como que la solicitud del número o copia del DNI no puede instaurarse por defecto y que hay que analizar cada supuesto concreto.

Y tampoco puede solicitarse una copia del DNI para el ejercicio de derechos por parte del interesado.

Como en todo, existen excepciones. Por ejemplo, se puede pedir el DNI para cumplir con la normativa en las actividades de prevención del blanqueo de capitales y la financiación del terrorismo porque la ley lo ampara.

Sanciones

Las sanciones son cada vez más frecuentes y de importe más elevado. Mensajería (por fotografiar el DNI), hoteles y plataformas como AirBnb (por pedir copia para hacer la reserva), entidades bancarias por pedir el DNI para hacer un trámite e, incluso, una sanción de 300.000€ a una empresa de selección de personal por vulnerar el art. 5.1.c) del RGPD (minimización de datos) y una infracción del artículo 12 RGPD en el ámbito del ejercicio de los derechos del interesado.

Soluciones

No hay una solución única. Cada responsable tendrá que revisar sus casos de uso y ver qué datos necesita y recoger solo esos. O, si necesita la copia del DNI, justificarlo.

Y ver si hay alternativas menos gravosas para el usuario.

Hay en el mercado soluciones técnicas que permiten, por ejemplo, escanear un documento apantallando (ofuscando, excluyendo, pixelando la imagen, etc.) determinados campos lo que permite guardar solo aquellos estrictamente necesarios.

O enviar códigos alfanuméricos al teléfono móvil que permitirá la identificación del usuario.

Conclusiones

La práctica de pedir el DNI para todo tiene que decaer. Y debe hacerse un esfuerzo por parte de todos para que se acometa la reforma de los sistemas de las empresas lo antes posible. Y tomar medidas también para con los documentos guardados, de los que hablaremos otro día.

Como siempre, ¡cuidaos!  

Nuevas «smart glasses» de Meta y Ray-Ban: tecnología que asusta

por
Meta ha anunciado en su evento Meta Connect 2023 sus nuevas gafas inteligentes en colaboración con Ray-Ban. Es la segunda generación de las Ray-Ban Meta Smart Glasses, que han sido diseñadas por EssilorLuxottica y se pondrán a la venta en EEUU el próximo 17 de octubre con un precio inicial de 299 dólares (no se sabe aún cuánto costarán en España).
 
La combinación de la experiencia de un gran fabricante de gafas como Ray-Ban con una plataforma tecnológica puntera ha dado a luz un producto tremendamente avanzado, con posibilidades muy bien infinitas y a un precio asequible.
 
Las especificaciones técnicas son, sencillamente, brutales. Cámara mejorada de 12 MP, emisión en directo en Instagram y Facebook, audio mejorado, llamadas y mensajes, comandos de voz, touchpad y botón de captura, estuche de carga y, naturalmente no podía faltar, Meta AI para encontrar la información en el momento preciso desde tus gafas. Dispone también de una App dedicada.
 
Y el diseño es Ray-Ban. Con eso lo decimos todo. Desde el estuche casi convencional (pero que almacena 8 cargas) hasta dos diseños icónicos: Wayfarer y Headliner, en diferentes colores. Son ligeras, a la moda y con más de 150 combinaciones de monturas y cristales. Y, naturalmente, se pueden graduar a petición.
 
Y, hasta aquí, la parte brillante de la noticia. Pero, como las monedas, todo tiene dos caras. Y el reverso es, como casi siempre, la privacidad. No olvidemos que estamos hablando de Meta, una compañía que se ha destacado siempre por tener un absoluto desprecio por los datos personales de sus usuarios.
 
Sólo hay que recordar el escándalo de Cambridge Analytica que desveló que la empresa accedió indebidamente a datos de millones de usuarios de Facebook para influir en las elecciones.
 
Y, desde la entrada en aplicación del RGPD en 2018, Meta ha enfrentado multas récord y litigios relacionados con la privacidad de los datos en varios países, incluidos Estados Unidos y los países miembros de la Unión Europea, debido a su gestión de la información del usuario. Estos han incluido problemas con el consentimiento del usuario y el compartir datos con terceros sin permiso explícito.
 
Otro problema importante que tiene Meta es el uso de datos del usuario para hacer publicidad dirigida, mediante, algoritmos para mostrar contenido y anuncios personalizados. Esta práctica ha levantado críticas en relación con la privacidad y la autonomía del usuario.
 
Tantas han sido las críticas y tanto el debate en los medios o en las redes que, finalmente, Facebook tuvo que cambiar su nombre corporativo a Meta.
 
Y, ahora, tras la iniciativa del Metaverso (que de momento no arranca), presenta la segunda generación de gafas inteligentes. Y, claro, lo primero que pensamos es en el horror de millones de usuarios recopilando datos, en todo momento y lugar, en foto, vídeo audio y subiéndolas en directo a las redes sociales.
 
Tendremos que ver la Política de Privacidad de Meta por este supuesto pero, permitidme no ser muy optimista, vista su trayectoria hasta ahora. Eso sí, las gafas son una «pasada» y quién sabe si tendrán éxito y pronto todos llevaremos gafas inteligentes con la misma naturalidad que llevamos reloj.
 
De momento, pero, cuidaos!

España, un paso adelante en la supervisión de la Inteligencia Artificial

por
En efecto, la Agencia Española de Inteligencia Artificial (AESIA) comenzará a funcionar en un plazo máximo de tres meses. A finales de agosto, el Consejo de Ministros aprobó el Estatuto de este organismo, que se adscribe al Ministerio de Asuntos Económicos y Transformación Digital. España se convierte así en el primer país europeo en tener un órgano de estas características. Pero empiezan por el principio.
 

¿Qué es la inteligencia artificial?

La inteligencia artificial (IA) es un subcampo de la informática que busca crear sistemas capaces de realizar tareas que requieren inteligencia humana. Estas tareas pueden incluir, pero no se limitan a, la comprensión del lenguaje natural, la percepción visual, la toma de decisiones, la resolución de problemas y el aprendizaje a partir de datos o experiencias anteriores.
 
La IA se basa en diferentes técnicas y teorías, incluyendo los algoritmos de búsqueda, la lógica, el reconocimiento de patrones, el aprendizaje automático, las redes neuronales, la robótica, entre otros.
 

¿Qué es la inteligencia artificial generativa?

Y como todo avanza a toda velocidad, ahora ya disponemos de IA generativa. La inteligencia artificial generativa se refiere a sistemas de IA que pueden generar contenido nuevo que no ha sido previamente visto. En lugar de simplemente analizar datos y extraer información (como lo haría un sistema de IA «discriminativo»), los sistemas generativos pueden crear datos que parecen nuevos y originales.
Esto hace que los problemas que plantea la IA se multipliquen.
 

¿Por qué necesitamos regular la IA?

Las razones son múltiples. Podemos citar unas cuantas como conductas de ética dudosa que afecten a la privacidad de los individuos, razones de seguridad si la IA se utiliza para atacar sistemas de ciberseguridad, opacidad de los algoritmos que esconde como se toman las decisiones, sesgo en la toma de decisiones que afecte a la igualdad de las personas, responsabilidad en caso de decisiones erróneas tomadas por la IA, estimular la innovación hacia direcciones positivas para la sociedad, hacer aportaciones decisivas en el campo económico y laboral si la IA está bien orientada, proteger al consumidor o, por último, para coordinar nuestra regulación con la de otros países, a la manera, por ejemplo, como se ha hecho con la protección de datos en Europa.
La clave es encontrar un equilibrio entre proteger la sociedad y los derechos individuales sin frenar la innovación y el desarrollo tecnológico.
 

¿Qué paso ha dado España?

El Gobierno ha explicado que esta estrategia incluye diferentes planes estratégicos, entre ellos la Estrategia Nacional de Inteligencia Artificial (ENIA) , que tiene como objetivo dar un marco de referencia para el desarrollo de una inteligencia artificial «inclusiva, sostenible y centrada en la ciudadanía».

 

La Estrategia forma parte del Plan de Recuperación, Transformación y Resiliencia (PRTR) , que pretende situar a España como país puntero en inteligencia artificial (IA). La AESIA se adscribe al Ministerio de Asuntos Económicos y Transformación Digital mediante la Secretaría de Estado de Digitalización e Inteligencia Artificial.

Con la creación de esta agencia, España se convierte en el primer país europeo que tiene un órgano de estas características y se anticipa a la entrada en vigor del Reglamento europeo de inteligencia artificial.

 

La figura del DPD en la aplicación de la IA

El Delegado de Protección de Datos, profesional que revisa el cumplimiento de la normativa de privacidad a las empresas y organismos, es la figura idónea para supervisar la utilización de la IA. Como dice la AEPD, «el DPD, incluso en los casos que no sea obligatorio, puede ser de gran utilidad en aquellas entidades que emplean soluciones basadas en IA y que tratan datos personales, o que desarrollan soluciones de IA que hacen uso de datos personales para el entrenamiento de los modelos. A tenerlo presente.
 

Conclusiones

El mundo de la IA, tanto apasionante como lleno de peligros e incertidumbres, ha irrumpido con fuerza en nuestra sociedad. Y todavía sólo hemos visto el principio. Si somos capaces de hacerla nuestra, minimizando las desventajas y potenciando las ventajas para todos, no por unos cuantos, estoy convencido de que estamos ante lo que los americanos dicen un «game changer». Muy disruptivo, quizás, incluso, superando la eclosión de Internet. Veremos.
 
Mientras tanto, ¡cuidaos!

¿Cómo gestionar las redes sociales de una persona que nos ha dejado?

por

La vida pasa y cada día pasa más deprisa. Y a medida que va pasando, vamos dejando, con mejor o peor fortuna, nuestra huella. Hasta ahora, esta huella era analógica pero, desde hace unos años, se ha añadido la huella digital. De forma silenciosa pero constante, cada día añadimos más información nuestra a Internet.

Qué es una Huella Digital ya lo explicamos tiempo atrás cuando nos preguntábamos ¿Qué sabe Internet de ti? Podemos definir la Huella como el conjunto de datos y contenidos personales que compartimos en Internet, en particular en las redes sociales. Y la pregunta que nos hacemos hoy es qué pasa con esta información cuando una persona nos deja.

La muerte de un ser querido es siempre un momento difícil. Y gestionar su presencia digital puede parecer un detalle insignificante pero, es un paso importante para honrar su memoria. Escribimos estas notas a raíz de la petición del hijo de un cliente para que diéramos de baja la cuenta de su padre en Linkedin. ¿Por qué es importante eliminar una cuenta de Linkedin de una personal que nos ha dejado? ¿Y cómo lo hacemos? Continúa leyendo y encontrarás las respuestas.

¿Por qué eliminar la cuenta es importante?

Eliminar la cuenta de una persona muerta en Linkedin es importante porque puede ayudar a prevenir el robo de identidad y proteger la privacidad de la persona fallecida y de sus contactos. Además, puede ayudar a evitar que se envíen mensajes no deseados o se realicen publicaciones en nombre de la persona fallecida. Y, por supuesto, evitaremos que nos llegue un recordatorio anual de su cumpleaños, con el dolor adicional que puede suponer para familia y amigos.

Por último, es importante también desde el punto de vista de empresa para que puede provocar confusión si el finado no contesta a las solicitudes de otros miembros de Linkedin.

Pasos a seguir para eliminar la cuenta de Linkedin de una persona fallecida

  1. Visita la página de Ayuda de LinkedIn y busca «Cerrar la cuenta de un ser querido fallecido».
  2. Rellena el formulario de verificación de defunción, proporcionando toda la información necesaria, como tu relación con el finado (testamento, libro de familia, etc.) y una copia del obituario o certificado de defunción.
  3. Envía el formulario y espera que el equipo de LinkedIn revise tu solicitud. Esto puede tardar algunas semanas, pero una vez se aprueba, la cuenta se cerrará.

    Es posible que Linkedin nos pida información adicional y hay que tener en cuenta que el procedimiento es irreversible.

Alternativas

Linkedin ofrece también la posibilidad de convertir la cuenta estándar en una cuenta «in memoriam«. Este tipo de cuenta permite a los contactos del finado compartir recuerdos y homenajes en su perfil.

Conclusión

Cerrar la cuenta de Linkedin es importante pero es una de las cosas que hay que hacer cuando nos deja una persona estimada. Pero no es la única. Además de las redes sociales, hay muchos otros sitios en Internet donde puede haber contenidos que hagan referencia al finado. Quizá alguno indeseable pero también muchos interesantes y que habrá que preservar.

Nuestra recomendación es solicitar un Informe de Huella Digital, a partir del cual poder repasar todas las apariciones y actuar en consecuencia en cada caso.

¡Como siempre, cuidaos y cuidad de los vuestros, incluso de los que nos faltan!

¿Fin de las llamadas comerciales no deseadas?

por
Todos estamos cansados de recibir llamadas no deseadas, muchas a horas intempestivas, ofreciéndonos todo tipo de servicios, ofertas o propuestas de los más diverso. En efecto, a las ya conocidas llamadas de los operadores de telefonía que nos ofrecen la tarifa definitiva con toda clase de regalos y descuentos, hasta ONG’s que reclaman ayudas para sus propósitos, pasando por todo tipo de empresas haciendo una acción comercial desagradable para todos, con una más que discutida rentabilidad. Y ahora, en campaña, también si añaden los partidos políticos de forma más o menos disfrazada.
 
Pues bien, parece que esta práctica comercial puede estar en camino de desaparecer. En efecto, el pasado 30 de junio de 2022 entró en vigor la Ley 11/2022 General de Telecomunicaciones, excepto el artículo 66.1.b) por el que se estableció una moratoria de un año para su entrada en vigor. Y el año se cumplió ayer. Y la AEPD ha publicado una Circular que lo explica.

Consentimiento

El artículo se refiere, precisamente, al derecho de no recibir llamadas comerciales no deseadas. A partir de ahora, los usuarios tendremos derecho s no recibir este tipo de llamadas, salvo que exista consentimiento por nuestra parte o que la comunicación se pueda amparar en otra base de legitimación del artículo 6.1 del Reglamento (UE) 2016/679, es decir, el RGPD.
 
Y como es natural este consentimiento ah de cumplir todas las exigencias que recoge el Reglamento.
 

Interés legítimo

El caso más frecuente de utilización de esta base de legitimación por la empresa, es que haya una relación contractual previa, si el responsable obtuvo los datos de forma lícita y los utiliza por comunicaciones comerciales referentes a productos o servicios de su empresa que sean similares a los que inicialmente fueron objeto de contratación por parte del cliente.

Medidas previas

Será necesario que las empresas consulten previamente los sistemas de exclusión publicitaria, conforme al artículo 23 de la LOPDGDD. El más conocido es la inscripción en el Servicio Lista Robinson. Es gratuito y muy sencillo de usar. La AEPD ofrece en su web varias maneras de restringir la publicidad no deseada.
 
Las empresas también deberán adoptar garantías adicionales como son la información sobre la identidad del empresario, indicar la finalidad comercial de la llamada e informar sobre la posibilidad de revocar el consentimiento o ejercer el derecho de oposición a recibir llamadas.
 
Las llamadas deberán grabarse para demostrar el cumplimiento de la normativa sobre protección de datos.

Las sanciones

El encargado de hacer cumplir la norma es la AEPD que podrá imponer sanciones hasta 100.000€ por las faltas leves, y de hasta 20M€ en los casos de infracciones muy graves. Conclusiones Quizás estemos muy cerca de resolver una situación muy injusta para los usuarios y que hace masas años que dura. El abuso y la impunidad de que han hecho gala muchas empresas, tecnológicas, seguros, bancarios, etc, había llegado a un punto de hacerse, muchas veces, insoportable. Seguiremos de cerca la evolución de la aplicación de la norma y, en especial, en cuanto a las sanciones.
 
Desde hoy, la vida es un poco más fácil para los usuarios. ¡Recordad, cuidémonos!

El Espacio Europeo de Datos Sanitarios (EHDS): un inmenso reto para la privacidad

por

Introducción:

Dicen que el camino al infierno está empedrado de buenas intenciones. El pasado mayo de 2022, la Comisión Europea presentó una propuesta de regulación sobre el denominado Espacio Europeo de Datos Sanitarios. La propuesta fue motivada por el descubrimiento de un alto grado de fragmentación, disparidades y dificultades en el acceso y el uso de datos sanitarios electrónicos en los Estados miembros de la Unión Europea. De hecho, las acciones de los Estados miembros en este ámbito se han demostrado claramente insuficientes. La pandemia hizo saltar todas las costuras.

Los problemas

Ahora mismo, los usuarios tenemos dificultades para ejercer nuestros derechos sobre los datos electrónicos de salud, incluyendo el acceso y la transferencia, tanto a nivel nacional como transfronterizos. Por ejemplo, aunque tengamos los datos en digital, los usuarios no estamos en disposición de dar acceso o permitirle a nuestros datos a diferentes proveedores de salud.

Hoy en día, hay diferencias significativas en la aplicación de reglas a través de los Estados miembros por la falta de pautas y recomendaciones. Y eso es lo que pretende mejorar la Unión Europea.

Las buenas intenciones

Pues la Comisión Europea tiene intención de definir estándares y practicas comunes para crear la necesaria infraestructura y certificaciones para establecer un marco de gobernanza común por el uso compartido de datos electrónicos de salud.

Esto permitirá un mayor control de los individuos sobre sus datos, facilitando el acceso y la compartición con los profesionales sanitarios. Y por otro lado, facilitará el trabajo de estos profesionales permitiendo el acceso a la historia médica del paciente, incrementando la base de conocimiento para tomar más decisiones sobre el diagnóstico y el tratamiento de los pacientes.

Los retos (o peligros)

Millones de datos de salud, que recordemos son de categoría especial, gestionados por pacientes y profesionales de la sanidad suponen un reto gigantesco para una UE comprometida, unida y sin fisuras, con la protección de datos.

Y, ¿cuáles son estos retos? Repasemos los principales.

Requerir el consentimiento del paciente para compartir los datos de salud. Y como bien recoge el Reglamento, el consentimiento debe ser explícito, inequívoco, que refleje una manifestación libre, informada de aceptar el tratamiento de datos que le concierne. Y el derecho de retirar el consentimiento en cualquier momento. No parece que la UE lo tenga muy claro. Más bien lo contrario.

Limitar la definición de datos de salud. Ahora mismo, el texto define como «datos de salud» un amplio abanico de 15 categorías que van mucho más allá de lo que entendemos, estrictamente hablando, por información sobre la salud o la atención médica de los pacientes. Algunos ejemplos de datos propuestos como de «salud»: seguro, estatus profesional, educación, consumo de sustancias, bienestar, comportamiento, estilo de vida, … Claramente excesivo, a mi juicio.

Hacer que las finalidades permitidas para el uso de los datos sean precisas y legítimas

La lista de finalidades permitidas del tratamiento de datos de salud es demasiado larga y demasiado inconcreta: por ejemplo, los gobiernos pueden dar acceso a cualquier tercero que considere conveniente para garantizar «altos niveles de calidad y seguridad sanitaria y de medicamentos o dispositivos médicos». El redactado parece hecho por una empresa farmacéutica.

La seguridad de los datos debe ser la máxima prioridad

Una obviedad pero no por ello lo dejaremos de decirlo. Datos sensibles de más de 450 millones de europeos en centros de datos centralizados, es un pastel demasiado llamativo para los ciberdelincuentes. El valor en el mercado negro de estos datos en el mercado negro es incalculable. El daño que puede provocar un ciberataque, también. El reciente episodio del Clínic de Barcelona es un ejemplo de ello.

Conclusiones

Las ventajas de la iniciativa son evidentes. Los peligros, también. Si a este escenario le añadimos Inteligencia Artificial o Big Data, tenemos servido el cóctel explosivo. Y hablamos no sólo del primer uso de los datos (la asistencia sanitaria) sino también del uso secundario, aquel que permite transferir datos a organismos, industrias, investigadores, reguladores, etc. con el fin de mejorar la atención sanitaria, la investigación, la innovación y las políticas.

Veremos. De momento, cuidémonos porque si no lo hacemos nosotros, ¡no sé si lo hará nadie!

¿Privacidad sin límites?

por

La pregunta es, ¿Qué distingue a las violaciones de la privacidad de otros daños?  Eso es lo que plantea un papel americano, «Distinguishing privacy law: a critique of privacy as social taxonomy«.

La tesis que sostienen los autores es que durante el siglo XX los estudiosos de la privacidad intentaron definir el concepto ilusorio de la privacidad. No tuvieron éxito. Con el cambio de milenio, llegó un nuevo enfoque: una taxonomía de problemas de privacidad basada en el reconocimiento social. Hemos convertido el concepto con un catálogo de casos abandonando la definición de su objeto central. Y ya es hora de repensar el concepto de privacidad en un entorno de información complejo y por qué, dado un problema social –de la discriminación a la desinformación–, vale la pena estudiarlo en un marco de privacidad.

Privacidad

¿Y qué entendemos por Privacidad? Pues no tenemos una definición pacífica. Pero podemos definirla como el derecho que tenemos a preservar nuestra vida íntima (derecho al honor, la intimidad y a la propia imagen como recoge nuestra Constitución) y que no sea accesible a otros sin nuestro consentimiento. Y esta definición incluye el concepto Privacidad Digital que es el bien jurídico que la normativa de protección de datos quiere salvaguardar.

Y la Privacidad Digital es el derecho de los usuarios a proteger sus datos en Internet y decidir qué información personal pueden ver los demás. Y qué información pueden utilizar y por qué. Es una expectativa legítima que tenemos como personas de poder administrar nuestra «huella digital».  Ser, en definitiva, soberanos de nuestros datos. Nos jugamos nuestra reputación digital, nuestro patrimonio intangible más importante.

¿Privacidad sin límites?

La tecnología evoluciona cada día y plantea importantes problemas de privacidad. Necesitamos experiencia para comprender estos problemas y encontrar soluciones imaginativas. Pero la privacidad no debería prevalecer sobre cualquier otra cuestión, del mismo modo que las otras cuestiones no deberían prevalecer automáticamente sobre la privacidad. Ambos intereses deben hacer concesiones y encontrar un resultado equilibrado.

Nuevos retos, nuevas soluciones

Muchas tecnologías existentes y casi todas las nuevas plantean importantes problemas de privacidad. Sólo hay que ver, en este sentido, el impacto que ha supuesto ChatGPT y aplicaciones similares. Ya hemos visto respuestas de todo tipo, desde prohibir su utilización (por ejemplo, en Italia que ya han dado marcha atrás) hasta investigar a fondo como, por ejemplo, la AEPD que ya inició de oficio actuaciones de investigación de OpenAI, propietaria de ChatGPT.

Ante los nuevos retos, hay que articular nuevas soluciones. El RGPD promueve la «privacidad por diseño«, es decir, ante cualquier iniciativa considerar las implicaciones de privacidad desde el principio. Esto debe ser así sin convertirse en guardianes que impidan o menoscaben el desarrollo empresarial.

Por qué esto no ha hecho más que empezar. Hay que trabajar juntos para encontrar un equilibrio entre el derecho a la privacidad y la libertad necesaria para que el mundo que conocemos no se detenga con una censura desbordada.

¡Cuidaos, como siempre!

Revisión Textos Legales Web