Metaverso. Aspectos más relevantes para la privacidad

Tras el anuncio, el pasado mes de octubre, por parte de Facebook del cambio en su denominación por Meta y la presentación de su nuevo proyecto de “Metaverso”, este término se encuentra, sin duda, en auge.

Han sido muchas las compañías tecnológicas que ya se han aventurado a trabajar en proyectos muy similares al de Facebook. En España, son destacados los casos de empresas como Telefónica o Ferrovial. Pero ¿Sabemos en qué consiste realmente el término “metaverso”?

¿Qué es el “metaverso”?

El “metaverso” está concebido originariamente como un entorno multiusuario que fusiona realidad física y virtual permitiendo la interacción de los usuarios mediante el uso de diferentes avatares.

Dicho de otra forma, el metaverso es un espacio virtual en el que diferentes usuarios pueden interactuar, intercambiar experiencias y relacionarse entre sí.

El hecho de que el metaverso sea un tema de reciente actualidad no implica que constituya realmente una novedad ya que, desde hace varios años, existen experiencias similares, sobre todo en el sector de los videojuegos siendo la más exitosa Second Life. Second Life es una comunidad virtual que, en la actualidad, ya permite a sus usuarios interactuar mediante un avatar permitiéndoles, entre otras cosas, explorar el mundo virtual, establecer relaciones sociales, participar en diferentes actividades y comerciar con propiedades virtuales e intercambiar servicios entre ellos.

Ahora bien, los objetivos de los nuevos proyectos de metaverso no se quedan en lo anterior y pasan por combinar los modelos de entornos ya existentes con el uso de otras tecnológicas novedosas que ya se encuentran en el mercado como son las tecnologías wearables (gafas de realidad virtual, gafas de realidad aumentada, guantes y otras prendas o dispositivos hápticos, etc.) o los interfaces neuronales y con otros elementos, como los medios de pago virtuales.

El objetivo final es proporcionar una mejora de la experiencia de las redes sociales que vaya mucho más allá del aspecto visual o de la mejora en los gráficos.

¿Qué implicaciones tendrá el metaverso sobre la Privacidad?

Al margen de las ventajas que indudablemente tiene el metaverso, presentará una serie de riesgos asociados fundamentalmente al elevado volumen de los datos que serán recabados y tratados por medio de este entorno y a las tecnologías empleadas.

La combinación de entornos virtuales, el uso de tecnologías wearable e interfaces neuronales y medios de pago virtuales supondrán un tratamiento de datos que han estado prácticamente inéditos hasta el momento o que han sido tratados únicamente de forma aislada como, por ejemplo, variaciones del iris o análisis de la respuesta emocional. La combinación de todos los datos objeto de tratamiento permitirá una perfilación de niveles desconocidos hasta el momento.

Además de los riesgos derivados del tratamiento de los datos, como se ha indicado, también se deberán tener presente los riesgos propios de las tecnologías presentes en el entorno del metaverso. Estas tecnologías presentan sus propios riesgos, pero, además, la aplicación conjunta de todas ella supondrá la aparición de riesgos distintos para los derechos y libertades de una magnitud desconocida.

Todos estos riesgos deberán ser gestionados correctamente a fin de preservar, en su integridad, la privacidad de los usuarios.

¿Cómo se verá afectado el metaverso por la actual normativa?

El metaverso deberá ajustarse a las disposiciones del RGPD y, en este sentido, se deberá valorar, al menos, las siguientes cuestiones:

• Los dispositivos wearables y el propio metaverso deberán ajustarse el principio de minimización. En este sentido, se deberá velar porque los datos sujetos sometidos a tratamiento dentro del metaverso siempre sean los estrictamente necesarios para la finalidad que se persiga en cada momento.
• Los mecanismos de gobernanza del metaverso deberán quedar adecuadamente definidos. Estos mecanismos deberán contemplar, de forma clara, los roles de los intervinientes (Responsables, Corresponsables y Encargados del tratamiento) y las distintas obligaciones a asumir atendiendo al rol de cada una de las entidades, así como el sometimiento a las correspondientes autoridades de control.
• Los proyectos de metaverso deberán necesariamente ajustarse al cumplimiento de la legalidad vigente y, para ello, se deberán tener presentes tanto el RGPD como el resto de normativa de aplicación desde la fase de diseño y durante la ejecución de los mismos. En este sentido, las tecnologías empleadas y el carácter novedoso de algunas de ellas determinará además la necesidad de evaluar el impacto en protección de datos de carácter personal en las fases de diseño de los proyectos.
• Los distintos proyectos de metaverso deberán quedar sometidos a condiciones de transparencia y deberán ser auditados a fin de prevenir abusos, sesgos, perfilados y discriminaciones, siendo esencial, entre otros, prestar especial atención en el tratamiento de datos, en su caso, de los menores de edad.
• Las distintas tecnologías utilizadas, así como el propio metaverso, deberán quedar sujetos a medidas tendentes a proteger los datos transmitidos y almacenados. Estas medidas estarán orientadas, especialmente, a preservar la disponibilidad, resiliencia y confidencialidad de los datos personales que forman parte de los tratamientos realizados.
• Los derechos de los interesados, incluido el derecho a la cancelación y supresión, deberán quedar correctamente garantizados. En este sentido, los protocolos de atención de derechos personales deberán ser revisados.
• En caso de intervenir proveedores de servicios deberá controlarse que reúnan suficientes garantías y la relación con los mismos deberá quedar perfectamente regulada.
• Las posibles transferencias internacionales y transfronterizas de datos personales deberán ajustarse a las correspondientes bases legales.
• Los equipos de trabajo en contacto con estas herramientas, plataformas y nuevos canales de interactuación deberán ser formados sobre sus implicaciones legales,

Finalmente, el desarrollo de proyectos de metaverso deberá respetar, además del RGPD, otras propuestas de regulación de la UE que, en la actualidad, se encuentran en trámites y puedan resultar aprobadas. como la Digital Services Act, la Data Act, la Digital Markets Act, la Data Governance Act o la propuesta de Reglamento IA.

Equipo Govertis

Uso de WhatsApp con fines laborales. ¿Pueden incluirte sin tu consentimiento en un grupo de Whatsapp de la empresa para fines laborales?”

Hace unos días conocíamos la resolución de la Agencia Española de Protección de Datos (AEPD) que tanto revuelo ha ocasionado entre los expertos del sector. Se trata del expediente “EXP202105690” por el que la AEPD acordaba proceder al archivo de las actuaciones practicadas frente a una empresa de reparto. La trabajadora que interpuso la reclamación argumentaba que había sido incluida en dos grupos de WhatsApp sin haber dado su consentimiento para ello; manifestando la imposibilidad de salir de los mismos, por encontrarse en ellos toda la información necesaria para desarrollar su relación laboral como rutas de trabajo, ubicación de las furgonetas al finalizar la jornada laboral o turnos de trabajo.

El principal argumento de la AEPD, para proceder al archivo, es considerar que la empresa sí había informado, previamente, del uso de este canal de comunicación para asuntos relacionados con el ámbito laboral y tareas organizativas; a estos efectos, la empresa, además de salvaguardar la confidencialidad, dice que garantiza la sujeción al principio de minimización de datos, por compartirse únicamente los datos personales adecuados, pertinentes y limitados a lo necesario en relación con estos menesteres del ámbito laboral. Con esto, el tratamiento de datos personales de la persona trabajadora, de conformidad con el artículo 6.1.b) RGPD, se entiende amparado con base a la ejecución del contrato de trabajo, esto es, a las condiciones y términos reguladoras de la relación laboral entre la persona trabajadora y la empresa.

Ante esta breve resolución de la AEPD, en la que no se hacía alusión a si el teléfono móvil de la trabajadora era particular o si había sido proporcionado por la empresa, la polémica estaba servida. Así, se ha llegado a pensar que la AEPD podría haber cambiado de criterio frente a resoluciones previas, en las que defendía el consentimiento como base jurídica de licitud o legitimación para el tratamiento de los datos contacto del trabajador para estos fines.

Tras la consulta evacuada a la AEPD por un abogado experto en la materia, esta autoridad de control, en aras a la seguridad jurídica, ha podido matizar su decisión, dándonos respuesta a las siguientes cuestiones que se había suscitado en el sector:

1. ¿Se ha cambiado de criterio por parte de la autoridad de control?
No, esta resolución no supone un cambio de criterio. La AEPD nos dice que no se puede presumir como criterio, válido y general, el que ha aplicado, de manera concreta, al supuesto en cuestión. Por tanto, no es aplicable a otros supuestos, de manera generalizada, el decir que la base jurídica de legitimación del tratamiento es la ejecución del contrato de trabajo [artículo 6.1.b) RGPD].

2. ¿Qué bases de legitimación resultan de aplicación?
La AEPD recuerda que es importante diferenciar si se trata de medios propios de la persona trabajadora – donde entonces podría entrar en juego el consentimiento del trabajador, como base jurídica de licitud – y medios facilitados por la empresa. En este último caso, el tratamiento podría basarse en la relación contractual o en la aplicación de convenios, o incluso el interés legítimo. En todo caso, el análisis debe realizarse caso por caso.

3. ¿Puede conocer la empresa tu teléfono y correo electrónico personal?
El correo electrónico y teléfono particular del trabajador no tienen por qué ser conocidos por el empresario, dado que ninguna norma establece que el trabajador tenga que facilitar estos datos al mismo. Es decir, que la empresa utilizase el teléfono y correo electrónico personal de un trabajador, por el mero hecho de ser empleado suyo, excedería de los límites para poder basar el tratamiento con base a la ejecución del contrato de trabajo. Por tanto, podemos inferir que, en el supuesto de la resolución comentada, la trabajadora sí contaba con medios corporativos. En caso contrario, las actuaciones de la AEPD hubieran sido distintas.

4. ¿Qué pasa si el trabajador desempeña su trabajo fuera de su centro de trabajo?
Si la relación de servicios conlleva una disponibilidad personal del trabajador fuera de su centro u horario de trabajo “una medida moderada para conseguir la comunicación de la empresa con el trabajador sería la puesta a disposición de un instrumento de trabajo como sería un teléfono de empresa”.
En este contexto, es necesario recordar la sentencia del Tribunal Supremo (TS) N.º 163/2021, relativa al (“Proyecto tracker”) de Telepizza. Esta empresa obligaba a los trabajadores a aportar su número de teléfono personal para su geolocalización durante el reparto, considerándolo el TS abusivo, al no superar el juicio de necesidad “en el sentido de que el medio o instrumento al que ha acudido la empresa para obtener aquel objetivo no es adecuado por existir otros medios invasivos”. En palabras del Alto Tribunal “es cierto que empresa y trabajador pueden pactar las condiciones que estimen oportunas, que puedan afectar a las herramientas necesarias para el desarrollo de la actividad empresarial, pero aquí no se está analizando un pacto sino un proyecto implantado unilateralmente por la empresa”. Por tanto, lo más recomendable en estos casos será que el empresario facilite los dispositivos de comunicación (Ej. teléfonos) a las personas trabajadoras.

5. ¿Qué pasa si la empresa no ha facilitado un teléfono corporativo al empleado e incluye el teléfono particular de éste en un grupo de WhatsApp con fines laborales?

Según indica la AEPD, podría utilizarse el correo electrónico y/o teléfono particular del empleado, siempre que se hubiera facilitado, de manera voluntaria, y se hubiera obtenido el consentimiento, de manera previa, para estos fines del ámbito laboral.
Recordemos que el consentimiento debe ser libre, específico, informado e inequívoco y, por tanto, su aplicación en el ámbito laboral se antoja complicado de justificar en la mayoría de los casos, dado que podría considerarse que estamos ante un consentimiento no libre, esto es, viciado como consecuencia de la relación asimétrica entre trabajador y empresario. A tenor de lo anterior, deberá evaluarse si ese consentimiento se ha prestado de manera libre, debiendo valorar, por tanto, si este tratamiento es idóneo, necesario y proporcionado.

Conclusiones:

– Debe ponderarse caso a caso. No obstante, queda claro que la empresa no puede incluir a sus trabajadores en grupos de WhatsApp con fines laborales utilizando su teléfono y correo electrónico personal, solo por el mero hecho de mantener una relación contractual laboral. Es recomendable que las empresas pongan a disposición medios propios para facilitar la comunicación entre empresario y trabajador.

– Si se trata de medios personales de los trabajadores serán éstos quienes, voluntariamente, faciliten esos datos, debiendo la empresa contar con su consentimiento y, además, debiendo garantizar que ese consentimiento es libre y ha pasado el estricto test de proporcionalidad. En todo caso, parece complicado que actuando así se pueda cumplir con la normativa de protección de datos, al no poder garantizar la aplicación de medidas técnicas de seguridad en dispositivos personales.

Laura Domínguez.

Equipo Govertis

La anonimización; Conceptos y procesos

La Agencia Española de Protección de Datos (en adelante AEPD) elaboró una traducción de la “Guía básica de anonimización” elaborada por la Autoridad Nacional de Protección de Datos de Singapur (Personal Data Protection Commission – PDPC). Este documento nos proporciona orientaciones sobre cómo realizar de forma adecuada la anonimización básica y la desidentificación de conjuntos de datos estructurados, textuales y no complejos.

El Reglamento General de Protección de Datos (en adelante, “RGPD”) establece, en su art. 32, medidas para garantizar un nivel adecuado al riesgo; la seudonimización y el cifrado de datos personales.  Es por ello que la anonimización y seudonimización permiten la protección de los datos personales de los interesados si se realiza de forma adecuada, siendo constitutiva de infracción muy grave “la reversión deliberada de un procedimiento de anonimización a fin de permitir la reidentificación de los afectados” (art. 72 Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales)

Para abordar el documento, es necesario partir de algunos conceptos básicos:

• Anonimización: proceso que consiste en la conversión de datos personales en datos personales que no se pueden utilizar para identificar a ningún individuo. La anonimización incluye tanto la aplicación de medidas técnicas de anonimización como salvaguardas para evitar la reidentificación.
• Desidentificación: se basa en la eliminación de identificadores (como: nombre, dirección o número de DNI) que identifican directamente a un individuo. En la Guía se incide en que se suele equiparar erróneamente a la anonimización. Sin embargo, es necesario clarificar que la desidentificación es solo el primer paso de la anonimización. Un conjunto de datos desidentificado puede volver a identificarse fácilmente.
• Reidentificación se refiere a la identificación de los particulares a partir de un conjunto de datos que previamente fue desidentificado o anonimizado.

Los datos anonimizados no se consideran datos personales y, por lo tanto, no les resulta de aplicación la normativa de protección de datos. En este sentido se establece el Considerando 26 del RGPD.

En la Guía se presentan cinco pasos para anonimizar los conjuntos de datos cuando sea apropiado.

Un registro de datos personales se compone de atributos de datos que tienen diversos grados de identificabilidad y sensibilidad a un individuo. Por ejemplo: los “identificadores directos” son atributos que son exclusivos de un individuo y se pueden usar como atributos de datos clave para volver a identificar al individuo.

Para desidentificar los datos, es necesario eliminar todos los identificadores directos (por ejemplo, los nombres). Opcionalmente, se puede asignar un seudónimo a cada registro si es necesario vincular el registro a un individuo único.

En el siguiente paso, se aplicarán técnicas de anonimización de los identificadores indirectos para que no se puedan combinar fácilmente con otros conjuntos de datos que puedan contener información adicional para volver a identificar a las personas.

Al abordar el paso 4, en la Guía se menciona el método k-anonimidad para calcular el nivel de riesgo de reidentificación de un conjunto de datos.

El modelo k-anonimidad se utiliza como vía antes de que se hayan aplicado técnicas de anonimización (por ejemplo, generalización), y para la verificación posterior, para garantizar que los identificadores indirectos de cualquier registro sean compartidos por al menos k-1 otros registros. Por lo tanto, no es posible vincular o señalar el registro de un individuo, ya que siempre hay k atributos idénticos. La Guía añade la siguiente nota respecto a la k-anonimidad:

“Siempre que sea posible, debe establecer un valor de k-anonimidad más alto (por ejemplo, 5 o más) para el intercambio de datos externos, mientras que se puede establecer un valor más bajo (por ejemplo, 3) para el intercambio de datos internos o la retención de datos a largo plazo.

Sin embargo, si no puede anonimizar sus datos para lograrlo, debe implementar medidas de seguridad más estrictas para garantizar que los datos anonimizados no se divulguen a partes no autorizadas y se mitiguen los riesgos de reidentificación.

Alternativamente, puede contratar a expertos para que proporcionen métodos de evaluación alternativos para lograr riesgos de reidentificación equivalentes.”

Por último, la Guía cuenta con un Anexo donde se incluye un catálogo de técnicas básicas de anonimización de datos:

• Seudonimización (o “codificación”): consiste en la sustitución de datos de identificación por valores inventados. Los seudónimos pueden ser irreversibles cuando los valores originales se eliminan correctamente y la seudonimización se realiza de una manera no repetible. Esta técnica se utiliza cuando los valores de los datos deben distinguirse de forma única y no se conserva ningún carácter o cualquier otra información implícita sobre los identificadores directos del atributo original.
• Supresión de registros: eliminación de un registro completo en un conjunto de datos. Esta técnica afecta a múltiples atributos al mismo tiempo. La eliminación debe ser permanente y no solo una función de “ocultar fila”.
• Enmascaramiento de caracteres: se refiere al cambio de los caracteres de un valor de datos. Puede realizarse mediante el uso de un símbolo (por ejemplo “*” o “x”). Esta técnica se suele utilizar cuando el valor de los datos es una cadena de caracteres y ocultar parte de ella es suficiente para proporcionar el grado de anonimato requerido.
• Generalización: se basa en la reducción deliberada de la precisión de los datos. Un ejemplo de esta técnica consistiría en convertir la edad de una persona en un rango de edad. Normalmente se utiliza esta técnica para supuestos en los que la generalización permite que la información resultante siga siendo útil para el propósito previsto.
• Intercambio: esta técnica –también conocida como barajado y permutación – consiste en reorganizar los datos en el conjunto de información de forma que los valores de los atributos individuales sigan representados en el conjunto de datos, pero generalmente no responden a los registros originales.
• Perturbación de datos: mediante esta técnica los valores del conjunto de datos original se modifican para que sean ligeramente diferentes. Se suele utilizar para identificadores indirectos (normalmente números y fechas), que pueden ser potencialmente identificables cuando se combinan con otras fuentes de datos, pero los cambios leves en el valor son aceptables para el atributo. Esta técnica no debe utilizarse cuando la precisión de los datos sea crucial.
• Agregación de datos: consiste en la conversión de un conjunto de datos de una lista de registros a valores resumidos. Se suele utilizar cuando no se requieren registros individuales y los datos agregados son suficientes para la finalidad.

Igualmente,  la AEPD en su web ofrece una herramienta gratuita de anonimización de datos para los usuarios en el siguiente enlace. 

Neuroderechos en la nueva era digital

Una de las principales pretensiones de la neurociencia hoy en día es el ser capaces de descubrir el íntegro funcionamiento del órgano más complejo de nuestro cuerpo humano: el cerebro.

Los avances científicos realizados hasta ahora están logrando la lectura de una parte de la actividad cerebral, pero aún falta un largo camino para una lectura completa, teniendo como pretensión su cambio y manipulación, con la finalidad, entre otras, de ayudar a los pacientes con enfermedades mentales y neurológicas, las cuales, hoy en día, no tienen cura.

Es por ello por lo que, el objetivo primordial de los proyectos encaminados a la lectura y modificación de la actividad cerebral, como es el proyecto “BRAIN”, es el desarrollar técnicas para mapear la actividad cerebral leyendo, cambiando y alterando las neuronas del cerebro con el fin de ayudar a los pacientes con este tipo de enfermedades. Este proyecto norteamericano es quizás uno de los más importantes del mundo, apoyado con más de 6 mil millones de dólares y con más de 500 laboratorios y agencias de todo el mundo colaborando en él, entre los que podemos encontrar a DARPA (Agencia de Proyectos de Investigación Avanzados de Defensa, perteneciente al Departamento de Defensa de los EE.UU, responsable del desarrollo de nuevas tecnologías aplicadas en el ámbito militar) por lo que podemos inferir que este proyecto también tiene importancia en dicho ámbito.

Rafael Yuste, neurobiólogo español y uno de los impulsores de este ambicioso proyecto, enfatiza en que se trataría de la primera vez que se estaría logrando comprender al ser humano por dentro, lo que conduciría de manera inexorable a un nuevo renacimiento del ser humano; a un Renacimiento 2.0.

No cabe duda de que, para ciertas enfermedades como pudieran ser el Parkinson o el Alzheimer, entre otras, así como para personas con problemas o enfermedades de parálisis de extremidades o personas ciegas, puede suponer un hito sin precedentes en su vida, mejorando íntegramente su calidad de vida. Todo ello sería posible a través de la lectura completa de la actividad cerebral de los pacientes acoplada a algoritmos de inteligencia artificial que permitan conectar el cerebro a la red.

Por supuesto que todo ello no está exento de críticas, y como dice el propio Rafael, hay ciertas líneas rojas que no deben jamás ser cruzadas.

En este sentido, Rafael afirma que, de aquí a 10 años, a través de las interfaces cerebro-computadoras se podrá escribir a máquina en un ordenador a base de nuestros pensamientos. Todo ello también generará efectos revolucionarios en la medicina, pero el principal problema es que, si se puede llegar a escribir en una máquina a través de nuestros pensamientos, esa información que sale de nuestro cerebro y se plasma en la pantalla, podría llegar a ser utilizada con fines comerciales.

En una primera instancia, podría haber motivos más que suficientes para alarmarnos por el mal uso que se pudiera llegar a realizar derivado de esta tecnología, quedando nuestros datos mentales al servicio de compañías desconocidas para la mayoría de nosotros, y, por lo tanto, dejando nuestra esfera más privada y personal, como es la de nuestros pensamientos, totalmente desprotegida.

A nivel legislativo, nuestro país no se encuentra dotado de leyes que amparen estos nuevos derechos de la mente, ya denominados “neuroderechos”, pero en países como Chile ya cuentan con un Proyecto de ley sobre protección de los neuroderechos y la integridad mental. En este sentido, el Proyecto de ley reconoce los siguientes derechos:

1. Derecho a la privacidad mental (los datos cerebrales de las personas).
2. Derecho a la identidad y autonomía personal.
3. Derecho al libre albedrío y a la autodeterminación (ligado a la identidad. Si tomamos decisiones en base a algoritmos de inteligencia artificial: ¿quién habrá tomado tal decisión? Podemos observar, por lo tanto, que la identidad podría llegar a quedar diluida).
4. Derecho al acceso equitativo a la aumentación cognitiva (para evitar producir inequidades y que el aumento cognitivo no sea decidido por cuestiones económicas, sino únicamente por cuestiones médicas).
5. Derecho a la protección de sesgos de algoritmos o procesos automatizados de toma de decisiones (los algoritmos utilizados que utilizan tienen sesgos que pueden amplificar ciertos prejuicios contra parte de la población).

En lo relativo primer derecho mencionado, el derecho a la privacidad mental, lo que se pretende es dotar de protección y garantía al contenido que cada uno de nosotros podemos llegar a tener almacenado en nuestra mente, y que éste únicamente pueda ser utilizado por razones médicas, debiendo mediar en todo caso consentimiento del paciente, por lo tanto, es esencial el tener un marco legislativo que ampare este tipo de dato, así como los consentimientos necesarios para su ulterior tratamiento.

Una de las cuestiones importantes a plantearse, que ya se recoge en el propio Proyecto de ley, sería el ver si estos datos cerebrales pudieran integrarse dentro de la categoría de datos de salud o datos médicos, ante lo cual se indica textualmente (haciendo referencia previamente al proyecto “BRAIN”, que: “en su llamado, plantean que la información de los cerebros debe ser protegida como datos médicos, encontrándose libre de explotación con fines de lucro”).

Si consideramos dichos datos dentro de la categoría de datos médicos, éstos se deberán atener a las legislaciones de protección de datos que rijan en cada país. En nuestro caso, estos datos médicos estarían amparados legislativamente por el RGPD, donde, en su artículo 9, se dota de garantía a los datos de categoría especial, entre los cuales se encuentran los datos de salud, así como en nuestra legislación nacional, esto es, la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD), la cual remite la mayor parte del articulado relativo a datos de salud a lo establecido en el RGPD.

El problema que podemos ver en ello es que en el artículo 9.2 RGPD se establecen una serie de excepciones a la prohibición del tratamiento de estas categorías especiales de datos, por lo cual habría que reformular parte de dicha normativa para evitar que los datos cerebrales pudieran ser tratados sin mediar consentimiento del paciente.

A raíz de la elaboración del Proyecto de ley expuesto, uno de los propósitos actuales en Chile es modificar su Constitución para que todos estos neuroderechos queden recogidos y protegidos constitucionalmente.

Otro los propósitos a nivel legislativo es conseguir que estos 5 derechos expuestos queden incorporados dentro de la Declaración Universal de los Derechos Humanos, englobándose dentro de la categoría de Derechos de la mente de las personas o “neuroderechos”. Además, también pretenden implantar un juramento tecnocrático, con el fin de que las compañías eviten utilizar estos dispositivos y la información obtenida de todas las técnicas y procesos utilizados en contra de los derechos humanos de los pacientes.

Es muy importante la regulación ética que va a conllevar este nuevo cambio de paradigma, debiéndolo enfocar desde el punto de visto de los derechos humanos, con el fin de que estas tecnologías se canalicen correctamente y no puedan producir perjuicios a la sociedad.

El descifrar el código neuronal humano abre un amplio abanico de posibilidades médicas y tecnológicas que indudablemente pueden aportar numerosos beneficios, pero también podrían utilizarse para ejercer un control mental sobre los ciudadanos, pudiendo controlar nuestros pensamientos y emociones, eliminando así nuestro último reducto de privacidad.

Por último, debemos recalcar la importancia de ser conocedores de que toda esta tecnología, más allá de los beneficios expuestos que pudiera llegar a reportar a ciertos pacientes y a la ciencia en general, puede conllevar una notoria injerencia en nuestra esfera de la privacidad y la protección de nuestros datos, por lo que, ahora más que nunca, es esencial que conozcamos cuales son nuestros derechos en la materia, siendo informados en todo momento acerca del uso, la finalidad, la comunicación y el flujo de vida que el dato puede recorrer desde que pudiera ser “captado” de nuestra mente, y, sobre todo, saber cuáles son los límites que nunca deben sobrepasarse para no arrepentirnos de todos estos avances en un futuro no tan lejano.

Cristina Zato

Equipo Govertis

Alojamientos turísticos: registro de datos de ciudadanos

El pasado 23 de marzo, la Agencia Española de Protección de Datos (en adelante, AEPD) se pronunció sobre el registro de ciudadanos por parte de alojamientos turísticos, cuestión que ya había sido objeto de debate a raíz de la sanción económica impuesta a una empresa hotelera que solicitaba y escaneaba digitalmente, en el proceso de registro, los pasaportes de sus clientes, inclusive las fotografías de estos.

El supuesto de hecho descrito constituye un tratamiento de datos personales que requiere obligatoriamente, en virtud del principio de licitud que establece la normativa europea vigente (artículo 5.1 a del RGPD), de una base jurídica que lo legitime, no pudiendo el responsable del tratamiento (en este caso, el Hotel), realizar ninguna actividad de tratamiento sin estar habilitado a ello.

Entonces, ¿contaba la empresa reclamada con una base legitimadora que amparase la recogida de todos los datos personales que aparecen en el pasaporte del interesado? Pues bien, según las alegaciones planteadas, el Hotel defendía la licitud del tratamiento en el cumplimiento de lo dispuesto en la Ley de Protección de la Seguridad Ciudadana (LO 4/2015) que establece la obligación de contar con un registro documental en los establecimientos hoteleros, así como la comunicación de estos registros a las dependencias policiales – Fuerzas y Cuerpos de Seguridad del Estado (artículo 6.1 c del RGPD)-.

Si bien la obligación legal como base jurídica que legitima la recogida de los datos no parece plantear problema alguno, no parece ser así con el registro de las fotografías de los clientes. ¿Es el registro de estas imágenes estrictamente necesario para la correcta gestión hotelera y el cumplimiento de la obligación legal aplicable al responsable? Parece cuestionable.

En este punto, la empresa amparó el registro de dichas fotografías en la existencia de un interés legítimo para verificar la identidad de sus clientes en los consumos realizados durante su estancia, evitando así un uso fraudulento de la tarjeta por parte de terceros (artículo 6.1 f).

Recordemos que, en virtud de lo establecido en la normativa europea, solo cabrá valorar la aplicabilidad esta base de licitud del tratamiento cuando este se considere necesario para la satisfacción de intereses legítimos perseguidos por el responsable o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales.

Así, para invocar el interés legítimo como fundamento jurídico para el tratamiento de los datos personales, se necesitará realizar previamente, un triple juicio de ponderación que estudie la idoneidad, necesidad y proporcionalidad, en sentido estricto, del tratamiento analizado, así como interpretarlo de conformidad con el principio de minimización de los datos (artículo 5.1 c del RGPD). Dicho Juicio o prueba de ponderación entre el interés del responsable y los derechos del interesado no se llegó a justificar nunca por la empresa reclamada.

Sumado a esta falta de justificación de los intereses legítimos, que conlleva la desinformación del reclamante sobre la base legitimadora del tratamiento de sus datos, se constata que la cláusula informativa en materia de protección de datos facilitada a los clientes no incluía detalle alguno sobre la recogida y utilización de sus fotografías, ni figuraba dicho tratamiento en el Registro de Actividades de Tratamiento de la Entidad. Y, así mismo, no se llegó a aportar por parte de la empresa sancionada la información requerida en el procedimiento de instrucción: copia de la política de privacidad en todas sus versiones vigentes a partir de la entrada en vigor del Reglamento, así como cualquier aviso de privacidad y canal habilitado por la compañía para dar a conocer esta información a los interesados.

Por todo ello, y existiendo además medios menos invasivos para la consecución del fin alegado (verificar la identidad del usuario para evitar pagos fraudulentos) como, por ejemplo, solicitar al cliente su número de habitación, la recogida y utilización de la fotografía de los clientes por parte de la Entidad supone un tratamiento de datos personales excesivo que impide invocar el interés legítimo como base jurídica que lo legitime y que requiere, en consecuencia, de otra base legitimadora como es el consentimiento válido del interesado.

En definitiva, como futuros clientes de un alojamiento turístico, el Hotel solo podrá tratar aquella información personal contenida en su pasaporte amparándose en el cumplimiento de la obligación legal que le es aplicable, a excepción de su fotografía que no podrá ser registrada en los sistemas de información de la Entidad salvo que disponga de su consentimiento expreso.

Lucía Simón Marcos

Equipo Govertis

El Rol de la UTES en materia de Protección de Datos

Las empresas pueden constituirse a través de distintas formas jurídicas. Una de ellas es formalizando un acuerdo de constitución de Unión Temporal de Empresas (UTE), regulada en la Ley 18/1982, de 26 de mayo, sobre Régimen Fiscal de Agrupaciones y Uniones Temporales de Empresas y sociedades de Desarrollo Industrial Regional. Se trata de una modalidad contractual de colaboración empresarial en el que las sociedades que la componen se unen para conseguir beneficios fiscales, y sobre todo, concurrir a los procedimientos de adjudicación de contratos públicos de mayor relevancia.

¿Qué características reúnen las UTEs?

• Carecen de personalidad jurídica propia.
• No tienen capacidad para ser titulares de derechos y contraer obligaciones
• No tienen patrimonio propio sino bienes afectos a una finalidad concreta.
• Tienen una duración limitada que, normalmente, será la misma que la obra, servicio o proyecto para el que fueron constituidas, y con el límite máximo de 25 años.

Bajo estas premisas, vamos a ir respondiendo alguna de las preguntas que se nos plantean:

1. ¿Puede un ente sin personalidad jurídica ser responsable del tratamiento de datos de carácter personal?

La propia Agencia de Protección de Datos Catalana, comentaba en uno de sus dictámenes (dictamen 4/2018), lo siguiente relativo a una Consulta de un Ayuntamiento, respecto a la figura del “Pacto territorial”:

“Hemos dicho que el Pacto es un ente sin personalidad jurídica. Por lo tanto, de acuerdo con la LOPD, en la medida en que el Pacto decide sobre la finalidad, el contenido y el uso del tratamiento de los datos de carácter personal, parece que debe ser considerado responsable del fichero o tratamiento, aunque por carecer del requisito de tratarse de una persona física o jurídica, podrían plantearse algunas dudas”. 

Dudas, que se esfumaban tras acudir al art 5.1.q. del RLOPD, que recogía expresamente la mención a entes sin personalidad jurídica: “Podrán ser también responsables del fichero o del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados.”

¿Qué ocurre ahora?

No se menciona de forma expresa. Si echamos mano de jurisprudencia posterior a la entrada en vigor del RGPD, encontramos la sentencia de la Sala Tercera del TJUE de 9 de julio de 2020 (“VQ contra Land Hessen”), que considera que debe calificarse como responsable del tratamiento a la “Comisión de Peticiones del Parlamento”  a quien considera “Autoridad Pública”, pese a que la Comisión de Peticiones no goza de personalidad jurídica.

Por tanto, en línea con esta interpretación del TJUE y por seguir una línea continuista con la legislación anterior, podríamos entender que los entes sin personalidad jurídica sí que podrían ser considerados como responsables del tratamiento, o, al menos, sí, en algunos casos.

2. Entonces, ¿Podría una UTE ser directamente responsable de tratamiento?

Estudiemos las relaciones que tiene la UTE desde dos ópticas distintas:

• De cara a sus relaciones externas, y con el fin de identificarse en el tráfico como sujeto diferenciado, una UTE puede tener su propia web para promocionar sus servicios. En estos casos, será la propia UTE la que aparezca en la Política de Privacidad como Responsable de Tratamiento. De esta forma, los terceros pueden identificar a ese grupo de empresas que se han dado a conocer bajo el nombre de una UTE concreta.

En otras ocasiones, las sociedades integrantes de la UTE no tendrán una web específica como grupo (como ocurre con la UTE AEC-Govertis, por poner un ejemplo de esta casa), pero probablemente si acudimos a las webs de las sociedades que la integran, veremos que, con carácter general, cada una de ellas aparecerá como Responsable del Tratamiento en la Política de Privacidad.

De tal forma, que, para la UTE, entendida como un “ente en sí mismo”, no será necesario que exista un Registro de Actividad del Tratamiento, sino que serán las sociedades que integren la misma, las que, en su Registro de Actividades del Tratamiento, deban incluir los tratamientos que esa sociedad esté llevando a cabo, entre los cuales por supuesto se habrán de incluir los tratamientos con implicaciones en protección de datos en los que participe a través de esa UTE.

• De cara a sus relaciones internas, cada sociedad integrante de la UTE es responsable de los tratamientos de datos de carácter personal que realiza. En este sentido (y, aunque habla de “ficheros”, por ser anterior a la nueva normativa), la Agencia Española de Protección de Datos vino a decir lo siguiente en el documento “Memoria 2000”:

“En los casos de Grupo de Empresas y de Unión Temporal de Empresas, habrá que tener en cuenta que el grupo como tal carece de personalidad jurídica y que las sociedades integradas en el Grupo conservan su personalidad jurídica propia, por lo que cada una de éstas seguirá siendo responsable de sus ficheros. Las Agrupaciones de Interés Económico al tener personalidad jurídica podrán ser responsables de ficheros.”

3. ¿Qué roles puede tener la UTE?

En cuanto a sus relaciones externas, lo habitual es que varias empresas decidan unirse para poder resultar adjudicatarias de licitaciones públicas, y prestar un servicio concreto. Por tanto, si prestan un servicio en el que hay un tratamiento de datos de carácter personal sobre el que la empresa licitante haya decidido sobre los fines y medios del tratamiento, la UTE tendrá el rol de encargada del tratamiento, para ese tratamiento en concreto.

También podríamos plantearnos que la UTE actuase como subencargado de tratamiento, si el encargado inicial decide recurrir a la UTE para la prestación del servicio.

En cuanto a sus relaciones internas, ya vimos que cada sociedad integrante de la UTE es responsable de los tratamientos de datos de carácter personal que lleva a cabo.

El punto de partida es determinar quien toma las decisiones sobre los fines y los medios empleados, que, en definitiva, es la definición del art.2 del RGPD del concepto Responsable de tratamiento:

Persona física o jurídica, autoridad pública, servicio u otro organismo, que solo junto con otros, determine los fines y medios del tratamiento.

Por tanto, tenemos dos opciones en relación al rol de las sociedades que integran la UTE:

• Responsables del tratamiento: si cada sociedad que integra la UTE determina los fines y los medios del tratamiento, se considerará responsable.
• Corresponsables del tratamiento: Si todas las sociedades que componen la UTE han determinado conjuntamente los fines y los medios del tratamiento, podemos estar ante corresponsables del tratamiento. Por tanto, las sociedades tendrán que haber suscrito un contrato de corresponsabilidad en el que hayan delimitado el alcance y la responsabilidad de cada sociedad, así como determinar qué sociedades se va a encargar de dar información y atender los ejercicios de derechos del interesado, establecer qué sociedad va a actuar como punto de contacto con la AEPD, cuál de ellas va a comunicar las posibles brechas de seguridad, quien va a gestionar el registro de actividades del tratamiento, etc.

4. ¿Puede la UTE ser parte demandada en un procedimiento judicial y, por tanto, ser sancionada por la AEPD?

Sí. Precisamente, debido a la falta de personalidad jurídica que hemos comentado a lo largo del artículo, es muy común alegar esta falta de capacidad en los procesos judiciales. No obstante, la jurisprudencia ha venido asimilando las UTEs a las uniones sin personalidad, a las que se le reconoce esta capacidad en la LEC. La AEPD podría sancionar a una UTE en caso de vulnerar la normativa. Los miembros de la UTE responden solidaria e ilimitadamente frente a terceros.

Laura Domínguez Vega

Equipo Govertis

Gestión de la privacidad: conociendo la norma UNE-EN ISO/IEC 27701:2021

El pasado 3 de diciembre de 2021, la Asociación Española de Normalización (UNE) publicó la Norma UNE-EN ISO/IEC 27701:2021 Técnicas de seguridad. Extensión de las normas ISO/IEC 27001 e ISO/IEC 27002 para la gestión de privacidad de la información. Requisitos y directrices. (ISO/IEC 27701:2019).  Esta Norma es la versión oficial de la norma ISO/IEC 27701:2019 en español. Es una traducción muy esperada a nivel nacional y por los especialistas en privacidad de Hispanoamérica.

La Norma surge de la necesidad de las empresas de poder certificar la gestión de las obligaciones de protección de datos. Debemos de hacer referencia a las principales características de la misma:

• El Estándar incorpora los requisitos para garantizar la adecuada gestión de los datos de carácter personal a través de la implantación de un sistema de gestión. El Sistema de Gestión de Privacidad de la Información (SGPI) se configura bajo los criterios de mejora continua. La Norma alude en todo momento a Información Personal Identificable (IIP) como fundamental a proteger.
• Es una norma certificable.
• Es una extensión de las normas ISO/EC 27001 e ISO/IEC 27002. Ello implica que para su interpretación debe partirse de estos dos estándares de seguridad de la información. Además, para obtener la certificación es necesario contar con la certificación ISO/IEC 27001. De hecho, el alcance certificable en ISO/IEC 27701 estará delimitado por el obtenido bajo la norma ISO/IEC 27001. No obstante, para aquellas entidades que no hayan obtenido la norma ISO/IEC 27001 todavía, resultaría recomendable implementar las dos normas de forma conjunta, estableciendo así tanto el Sistema de Gestión de Seguridad de la Información (SGSI) bajo la norma ISO/IEC 27001 y el Sistema de Gestión de Privacidad de la Información bajo la norma ISO/IEC 27701.
• La norma se estructura en ocho apartados y seis anexos. Los cuatro primeros apartados del estándar son de carácter general. Son de máxima importancia los apartados del quinto al octavo y los anexos A y B.
  • En el apartado 5, se detallan los Requisitos específicos del SGPI relacionados con la Norma ISO/IEC 27001. En este apartado se detallan las apreciaciones relacionadas con privacidad que deben tenerse en cuenta en los controles del estándar ISO/IEC 27001. Con la misma sistemática que en el apartado 5, en el apartado 6, encontramos la “Guía específica del SGPI relacionadas con la Norma ISO/IEC 27002”.
  • En el apartado 7 se incorpora la Guía adicional de la Norma ISO/IEC 27002 para el responsable del tratamiento de IIP y en el apartado 8 la Guía adicional de la Norma ISO/IEC 27002 para el encargado del tratamiento de IIP. Estas dos normas se complementan con lo dispuesto en los Anexos A y B. En estos dos apartados se especifican los controles específicos que han de tener en cuenta las entidades que actúan como responsables del tratamiento y aquellas que lo hacen como encargadas del tratamiento.

El Reglamento 679/2016 General de Protección de Datos (RGPD) establece la obligación de cualquier entidad que actúe como responsable del tratamiento de cumplir con lo dispuesto en los principios de protección de datos y además ser “capaz de demostrarlo”. La obtención de la certificación de este estándar internacional podrá ser muy útil para demostrar la necesaria diligencia debida que exige la normativa de protección de datos. La principal ventaja de establecer el Sistema de Gestión de Privacidad de la Información conforme a la Norma UNE-EN ISO/IEC 27701 es precisamente, reforzar frente a clientes, proveedores y, en definitiva, cualquier interesado, el compromiso de la organización con la seguridad de la información y el cumplimiento normativo en protección de datos. Para cualquier entidad, su implantación aporta un alto valor diferencial frente a sus competidores.

 Santiago Cruz Roldán

Equipo Govertis

Invocar el interés legítimo para tratar datos personales

El Reglamento Europeo de Protección de Datos. Reglamento 679/2016, RGPD, en su artículo 6 establece que todo tratamiento deberá basase una de las 6 bases legitimadoras que en él se establece, siendo una de ellas el Interés Legítimo.

Pero, ¿qué es el Interés Legítimo?

Según lo que indica el RGPD en su artículo 6.f., el tratamiento de los datos personales podrá basarse en esta base legitimadora cuando “es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.”

Como en el propio artículo se indica, el tratamiento debe de suponer un beneficio o un interés para el Responsable del tratamiento o un tercero, siempre y cuando este beneficio o interés prevalezca sobre los derechos y libertades fundamentales del interesado.

¿Qué requisitos debe tener el interés legítimo para poder utilizarlo como base legitimadora?

El interés legítimo deberá ser:

• Lícito, es decir, que no se trata de un tratamiento ilegal o ilícito.
• Real y actual, no pudiendo tratarse de un interés hipotético o futuro.
• Necesario, lo que supondrá que, si el interés perseguido no fuera imprescindible o pudiera alcanzarse llevando a cabo un tratamiento menos intrusivo desde el punto de vista de la privacidad (ej. Conseguir el mismo objetivo sin tratar datos personales), se tendría que optar por esa opción.
• Que no prevalezcan los derechos y libertades de los interesados sobre el interés legítimo perseguido.

Por ello, se recomienda llevar a cabo un Análisis del Interés Legítimo de manera muy detallada, que permita analizar todos estos factores y que ayude a determinar si esta base legitimadora es apta para llevar a cabo este tratamiento o se debe de optar por otra base alternativa (como el consentimiento del interesado) o por no llevar a cabo el tratamiento. Este análisis no está tasado por la normativa y, por tanto, puedes utilizar o elaborar aquél que te permita analizar correctamente estos aspectos. Eso sí, trata de ser lo más exhaustivo y riguroso posible, y argumentar mucho las conclusiones obtenidas, ya que esa será la prueba de probar que efectivamente el Interés Legítimo era una base legitimadora adecuada.

Ahora bien, este análisis no está libre de subjetividad, puesto que está realizado por el propio Responsable del Tratamiento o tercero que va a beneficiarse de llevar a cabo el tratamiento, por tanto, y a fin de tratar de mitigar esa subjetividad lo máximo posible, recomendamos que acuda a terceros ajenos para consultar su criterio (como un despacho de abogados o consultores externos), o a asociaciones de consumidores y usuarios, que permitan ofrecer esa visión más objetiva sobre el análisis realizado y el tratamiento a llevar a cabo.

Tras el análisis realizado, y una vez llegada a la conclusión de que el Interés Legítimo es la base legitimadora adecuada, ¿Qué otros aspectos se deben tener en cuenta?

• El deber de información: Cuando se base un tratamiento en el interés legítimo, se deberá informar de ello a los interesados de manera clara y concisa. Utilizando un lenguaje que les permita comprender la información que se les está trasladando. En cuanto a sobre qué informar, se deberá indicar el tratamiento que se basa en esta base legitimadora, los datos que se van a utilizar para realizarlo, y el beneficio o interés perseguido por el Responsable o por el tercero. 

• El derecho de oposición: cuando un tratamiento se base en el interés legítimo, se deberá facilitar a los interesados oponerse a este tratamiento de manera sencilla. Para ello, se recomienda utilizar técnicas de opt -out, o casillas sin pre-marcar para indicar la oposición, o alguna dirección de correo electrónico al que dirigirse para ejercer este derecho.

Para finalizar, recordar que esta base legitimadora es tan válida como el resto de bases legales establecidas en el RGPD, únicamente se deberá de contar con las garantías adecuadas para poder aplicarlo.

Cristina Giménez Vivancos

Equipo Govertis

Las novedades que trae la instrucción de la AEPD 1/2021

Desde su entrada en vigor en 2016, y más adelante, desde el comienzo de su aplicación directa en mayo de 2018, el RGPD ha incorporado al ordenamiento jurídico europeo en materia de protección de datos el principio de “orientación al riesgo”. Esto significa que las entidades que manejen datos de carácter personal, ya sea como responsables, corresponsables o encargados de tratamiento, tienen la obligación de identificar, analizar y evaluar los riesgos que para los derechos y libertades de los interesados conllevan los distintos tratamientos de datos que realizan y, en consecuencia, aplicar medidas de mitigación o eliminación de dichos riesgos.

En aquellos casos en los que se proyecte un nuevo tratamiento de datos este análisis de riesgos va a tener que ser cualificado en función precisamente del nivel de riesgos que a priori dicho tratamiento implique. Así se consagra la figura de la Evaluación de Impacto relativa a la Protección de Datos (en adelante EIPD), que, con base en el art. 35 del RGPD, deberá llevarse a cabo cuando el tratamiento, servicio o producto proyectado presente a priori un “alto riesgo” para los derechos y libertades de los interesados.

A estas alturas del artículo, el lector ya habrá advertido el entorno de “términos jurídicos indeterminados” en el que se mueven las entidades que desean cumplir con la normativa. Es por ello, que el RGPD incorpora un sistema de consulta previa a la autoridad de control para aquellos supuestos en los que, tras la EIPD, se determina que, a pesar de las medidas identificadas para eliminar, mitigar o trasladar el riesgo no son suficientes.

El art. 36 del RGPD regula la consulta previa entorno a la EIPD. estableciendo que la consulta previa procederá antes del tratamiento de datos cuando una evaluación de impacto, realizada conforme al art. 35 del RGPD, indique que el tratamiento sometido a evaluación puede entrañar un alto riesgo a pesar de las medidas identificadas en función del análisis de riesgos realizado en el seno de la EIPD. Por tanto, cuando la conclusión de la EIPD no es favorable y el tratamiento no fuese posible, existe la vía de la consulta previa a la autoridad de control.

Cabe destacar el límite temporal de la misma ya que debe realizarse antes de poner en práctica el tratamiento sometido a evaluación.

La AEPD ha precisado que »no es un trámite dirigido a ciudadanos ni a responsables que no requieran completar una EIPD. Tampoco va dirigido a responsables que hayan conseguido mitigar el riesgo tras la aplicación de las medidas oportunas. Para estos casos, la AEPD pone a su disposición medios de consulta y petición de información a través del canal del ciudadano y el del responsable, respectivamente».

Asimismo, concreta el apartado 2 del artículo 36 del RGPD que:

»Cuando la autoridad de control considere que el tratamiento previsto a que se refiere el apartado 1 podría infringir el presente Reglamento, en particular cuando el responsable no haya identificado o mitigado suficientemente el riesgo, la autoridad de control deberá, en un plazo de ocho semanas desde la solicitud de la consulta, asesorar por escrito al responsable, y en su caso al encargado, y podrá utilizar cualquiera de sus poderes mencionados en el artículo 58. Dicho plazo podrá prorrogarse seis semanas, en función de la complejidad del tratamiento previsto. La autoridad de control informará al responsable y, en su caso, al encargado de tal prórroga en el plazo de un mes a partir de la recepción de la solicitud de consulta, indicando los motivos de la dilación. Estos plazos podrán suspenderse hasta que la autoridad de control haya obtenido la información solicitada a los fines de la consulta».

El art. 36, apartado 3, del RGPD, establece la información que el tratamiento debe facilitar la siguiente información en la consulta a la autoridad de control:

• En su caso, las responsabilidades respectivas del responsable, los corresponsables y los encargados implicados en el tratamiento, en particular en caso de tratamiento dentro de un grupo empresarial.
• Los fines y medios del tratamiento.
• Las medidas y garantías establecidas para proteger los derechos y libertades de los interesados.
• Si lo hubiera, los datos de contacto del Delegado de Protección de Datos. Indicar al respecto que el art. 39, apartado 1, letra e), del RGPD, que el DPD tiene como función, entre otras, actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, entre las que se incluye la consulta previa o realizar consultas sobre otros asuntos.
• La EIPD completada.
• Cualquier otra información que solicite la autoridad de control.

Debe señalarse, que la LOPDGDD dispone en su artículo 73, letra u) que el incumplimiento de la consulta previa, en los casos previstos a tal efecto, se considera infracción grave, con un plazo de prescripción de dos años.

Pues bien, recientemente, la AEPD ha publicado la Instrucción 1/2021, de 2 de noviembre, por la que se establecen directrices respecto de la función consultiva de la Agencia, de conformidad con el RGPD, y la LOPDGDD, y el Estatuto de la Agencia Española de Protección de Datos, aprobado por el Real Decreto 389/2021, de 1 de junio.

En el capítulo IV se regula la función consultiva específica, contemplada en el art. 36 del RGPD, cuando las conclusiones de una EIPD muestren que el tratamiento al que se refiere entrañaría un alto riesgo si el responsable no toma medidas para mitigarlo, lo cual supone una ampliación de información respecto a aquella exigida en el art. 36.3 del RGPD. La información requerida para realizar la consulta incluye:

• Identificación del tratamiento y, en su caso, de la versión del mismo a la que corresponde la EIPD.
• Fecha, firma y datos de contacto del responsable del tratamiento, de quien ha elaborado la documentación de la EIPD y, en caso de que exista o deba existir DPD, fecha, firma y datos de contacto del DPD.
• En el caso de que se haya presentado previamente una consulta previa sobre el mismo tratamiento, sumario de las modificaciones introducidas en la naturaleza, contexto, ámbito, fines, riesgos y garantías del tratamiento.
• Descripción del contexto interno y externo de la organización en la que se desenvuelve el tratamiento y la EIPD.
• Identificación inequívoca y datos de contacto de todos los intervinientes en el tratamiento con sus roles.
• Demostración del cumplimiento en el tratamiento de los principios y derechos establecidos en el RGPD, en particular, de una base jurídica.
• Descripción sistemática del tratamiento.
• Factores que determinan la realización de la EIPD y de la consulta previa.
• Descripción del proceso de gestión formal de los riesgos para los derechos
• Descripción del proceso de gestión formal de los riesgos para los derechos y libertades de los interesados, en particular, la identificación de los factores de riego, su análisis, la evaluación del nivel de riesgo del tratamiento y los mecanismos y garantías introducidos para minimizarlos incluyendo:
• Las medidas establecidas sobre el concepto y diseño del tratamiento,
• Las medidas de gobernanza y políticas de protección de datos,
• Las medidas de protección de datos desde el diseño,
• Las medidas de protección de datos por defecto,
• La relación de activos y las medidas de seguridad para la protección de los derechos y libertades de los interesados.
• En su caso, el análisis de la opinión de los interesados o de sus representantes en relación con el tratamiento previsto.
• La evaluación objetiva y positiva de la necesidad y proporcionalidad del tratamiento.
• Criterios para reevaluar la EIPD y, en su caso, de caducidad del tratamiento.
• Cualquier otra documentación adicional necesaria para proporcionar a la autoridad de control la información completa y exacta sobre el tratamiento.

Por último, se señala que el desarrollo de la documentación de la EIPD deberá contemplar lo señalado por la AEPD en sus guías y recomendaciones, en particular, lo señalado en la guía «Gestión del riesgo y evaluación de impacto en tratamientos de datos personales» publicada en junio de 2021.

Daniel Murcia

Equipo Govertis

Me han nombrado Servicio Esencial ¿y ahora qué hago?

Este es un tema de Compliance; es decir, que tenemos que cumplir la ley.  ¿Qué ley? En este caso es la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas”, así como el Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de protección de las infraestructuras críticas. Hay más normas relacionadas que luego iremos comentando, pero por ahora nos centramos en estas dos.

• Servicio Esencial, Ley de infraestructuras Críticas, ¿qué es esto?
• Ley 8/2011, art. 2. Definiciones.

“A los efectos de la presente Ley, se entenderá por:

1. a) Servicio esencial: el servicio necesario para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las Instituciones del Estado y las Administraciones Públicas; (…)
2. e) Infraestructuras críticas: las infraestructuras estratégicas cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales.”

Resumiendo, que las Infraestructuras Críticas son los activos o elementos que dan soporte al Servicio Esencial.

Vale, pero yo sigo igual. ¿Qué son las Infraestructuras Críticas?

Las Infraestructuras Críticas son el conjunto de activos esenciales para el funcionamiento de una sociedad y de su economía y que son:

• Necesarias para suministro de servicios esenciales.
• Indispensables. No hay solución alternativa.
• De carácter públicos y/o privados.
• Con grave impacto sobre la sociedad.

Una vez entrados en materia, destacar un detallito, esta información es secreta:

• Ley 8/2011, Art. 3:

“El Catálogo Nacional de Infraestructuras Estratégicas tiene, conforme a lo dispuesto en la legislación vigente en materia de secretos oficiales, la calificación de SECRETO, conferida por Acuerdo de Consejo de Ministros de 2 de noviembre de 2007”

Por lo tanto, olvidaros de iros a las Redes Sociales a pregonar que el Servicio X, de la empresa Y, ha sido nombrado Servicio Esencial. Un poquito de mesura.

Continuamos con la Ley 8/2011. Vamos a destacar uno de los pilares fundamentales, los roles.

En cuanto a los roles, se deben crear los siguientes:

• Artículo 16. El Responsable de Seguridad y Enlace.
• 1. Los operadores críticos nombrarán y comunicarán al Ministerio del Interior un Responsable de Seguridad y Enlace con la Administración en el plazo que reglamentariamente se establezca.
• 2.En todo caso, el Responsable de Seguridad y Enlace designado deberá contar con la habilitación de Director de Seguridad expedida por el Ministerio del Interior según lo previsto en la normativa de seguridad privada o con la habilitación equivalente, según su normativa específica.”

• Artículo 17. El Delegado de Seguridad de la Infraestructura Crítica.

“1. Los operadores con Infraestructuras consideradas Críticas o Críticas Europeas por el Ministerio del Interior comunicarán a las Delegaciones del Gobierno o, en su caso, al órgano competente de la Comunidad Autónoma con competencias estatutariamente reconocidas para la protección de personas y bienes y para el mantenimiento del orden público donde aquéllas se ubiquen, la existencia de un Delegado de Seguridad para dicha infraestructura.”

Otro de los pilares son los planes, estos se encuentran en el RD 704/2011.

De los planes que se mencionan en este RD:

1. 1. CAPÍTULO I. El Plan Nacional de Protección de las Infraestructuras Críticas
   2. CAPÍTULO II. Los Planes Estratégicos Sectoriales

• CAPÍTULO III. Los Planes de Seguridad del Operador

• CAPÍTULO IV. Los Planes de Protección Específicos

1. CAPÍTULO V. Los Planes de Apoyo Operativo

Solo están bajo nuestra responsabilidad el tres y el cuatro, que es donde vamos a poner el foco.

• ¿Qué es un Plan de Seguridad del Operador (PSO)?
• Art. 22. 1:

“1. Los Planes de Seguridad del Operador son los documentos estratégicos definidores de las políticas generales de los operadores críticos para garantizar la seguridad del conjunto de instalaciones o sistemas de su propiedad o gestión.”

• ¿Qué debe contener dicho Plan?
• Política general y marco de gobierno.
• Relación de servicios esenciales.
• Metodología de AARR (amenazas físicas y lógicas).
• Criterios de aplicación de medidas de seguridad integral.
• Documentación complementaria.

• ¿Cuánto tiempo tenemos para presentarlo?

• Art. 22. 2:

“2. En el plazo de seis meses a partir de la notificación de la resolución de su designación, cada operador crítico deberá haber elaborado un Plan de Seguridad del Operador y presentarlo al CNPIC, que lo evaluará y lo informará para su aprobación, si procede, por el Secretario de Estado de Seguridad u órgano en el que éste delegue.”

• ¿Cada cuánto tiempo se revisa
• Artículo 24:

“1. Los Planes de Seguridad del Operador deberán ser revisados cada dos años por los operadores críticos y aprobados por el CNPIC. Éste podrá requerir en cualquier momento información concreta sobre el estado de implantación del Plan de Seguridad del Operador.”

• ¿Y un Plan de Protección Específico (PPE)?
• Art. 25:

“Los Planes de Protección Específicos son los documentos operativos donde se deben definir las medidas concretas ya adoptadas y las que se vayan a adoptar por los operadores críticos para garantizar la seguridad integral (física y lógica) de sus infraestructuras críticas.”

Deben estar alineados con el PSO y contener:

• Organización de la seguridad.
• Descripción de la infraestructura.
• Resultado del AARR: medidas de seguridad (existentes y por implementar) permanentes, temporales y graduales, para las diferentes tipologías de activos a proteger y según los diferentes niveles de amenaza declarados a nivel nacional.
• Plan de acción propuesto (por cada activo evaluado en el AARR).
• Art. 25:

“En el plazo de cuatro meses a partir de la aprobación del Plan de Seguridad del Operador, cada operador crítico deberá haber elaborado un Plan de Protección Específico por cada una de sus infraestructuras críticas así consideradas por la Secretaría de Estado de Seguridad y presentarlo al CNPIC. Igual procedimiento y plazos se establecerán cuando se identifique una nueva infraestructura crítica.”

• Art. 27:

“1. Los Planes de Protección Específicos deberán ser revisados cada dos años por los operadores críticos”

Mencionar, que para ambos planes existen unas guías de buenas prácticas donde se desarrollan todas las actividades necesarias.

Y para finalizar con este RD, destacar nuestro punto de contacto:

• Art. 7. El Centro Nacional para la Protección de las Infraestructuras Críticas.

“El CNPIC del Ministerio del Interior, orgánicamente dependiente de la Secretaría de Estado de Seguridad, tendrá el nivel orgánico que se determine en la correspondiente relación de puestos de trabajo, y desempeñará las siguientes funciones:

1. a) Asistir al Secretario de Estado de Seguridad en la ejecución de sus funciones en materia de protección de infraestructuras críticas, actuando como órgano de contacto y coordinación con los agentes del Sistema.»

Como hemos mencionado al principio, existen otras dos leyes que hay que tener en cuenta. 

El 6 de julio del 2016, el Parlamento Europeo aprobó la Directiva 2016/1148, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, conocida como la Directiva NIS (Security of Network and Information Systems).

Este Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, es la transposición de la citada Directiva NIS al ordenamiento jurídico español.

• ¿Y qué tiene que ver con la Ley 8/2011 de Infraestructuras Críticas?
• Lo vemos en su Art. 1:

“1. El presente real decreto-ley tiene por objeto regular la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y de los servicios digitales, y establecer un sistema de notificación de incidentes.”

De esta ley destacamos dos puntos cruciales:

• Art.16.3:

“Responsable de Seguridad de la Información: Persona, unidad u órgano colegiado responsable de la seguridad de la información»

Este rol es diferente de los dos anteriores.

• Título VII, Régimen Sancionador. Art. 37:

Infracción Grave o Muy Grave (hasta 1.000.000 €)»

Este régimen sancionador se suma a los ya aplicables, como son:

• L.O. DE SEGURIDAD CIUDADANA: Art. 35 – Infracción Grave (hasta 600.000 €)
• LEY DE SEGURIDAD PRIVADA: Art. 59 – Infracción Grave o Muy Grave (Hasta 100.00 €)

Y no solo sanciones administrabas, también podemos tener sanciones penales:

• Hasta 3 años de Cárcel (CP). Art. 264: Daños informáticos en Infraestructuras Críticas. Arts. 263-267: Daños por negligencia, falta de diligencia u omisión
• Hasta 5 años de Cárcel (CP). Art 325: Contra el medio ambiente y el entorno

Y, por último, tenemos el Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.

Este Real Decreto profundiza en un punto primordial de la gestión de la seguridad, como es la Gestión de Incidentes. 

Ya no se habla de si habrá o no habrá un incidente. Hoy en día, de lo que se habla es de cuándo se producirá un incidente y de cómo responderemos a dicho incidente.

Espero que este breve resumen os ayude a afrontar el reto de ser nombrado Servicio Esencia.

Tomás González

Equipo Govertis