915 752 750
aec@aec.es
915 752 750
aec@aec.es
En el presente artículo expondremos las nuevas actualizaciones en materia de cookies, las cuales revisten de una especial importancia, ya que reflejan la continua evolución de las regulaciones y prácticas relacionadas con el tratamiento de cookies en el entorno digital.
En primer lugar, destacamos la actualización de la Guía sobre el uso de las cookies del pasado mes de julio, cuya finalidad era adaptarla a las Directrices 03/2022 sobre patrones engañosos del Comité Europeo de Protección de Datos (CEPD).
Si bien el objetivo principal de las Directrices era la regulación de las interfaces de las redes sociales, también se afirma que los patrones de diseño engañosos no son exclusivos de tales plataformas, pudiendo incluir sitios web, tiendas en línea, videojuegos, aplicaciones móviles…
No obstante, con la incorporación de tales Directrices a la Guía de cookies, estas exigencias se vieron ampliadas a todos aquellos prestadores de servicio de la sociedad de la información, quienes tuvieron que cumplirlas estableciéndose, como plazo para ello, el pasado 11 de enero de 2024.
Por lo tanto, los prestadores de servicios de la sociedad de la información tendrán la obligación de evitar los patrones engañosos cuando informen acerca del uso de cookies a sus usuarios, en concreto, en lo relativo a las acciones de aceptar o rechazar las cookies. Los patrones que deberán evitar, según lo señalado en las Directrices, serán: la sobrecarga de opciones, omisión de información, señales visuales contradictorias, bloqueo de gestión de datos, así como los diseños inconsistentes, poco claros y oscuros.
Cabe destacar que el principio de licitud del tratamiento (artículo 5 RGPD) es el punto de partida para evaluar la presencia de patrones de diseño engañosos.
En la siguiente imagen que recoge el CEPD en las Directrices, se detallan las categorías de patrones de diseño engañosos y sus subcategorías. De igual modo, se enumeran las disposiciones del RGPD más afectadas por estos tipos de patrones, incluyendo también ejemplos y casos de uso (UC) correspondientes para ayudar a encontrar los diferentes patrones de manera más ágil.
Por otro lado, no debemos olvidar los requisitos de transparencia de la información relativo al uso de cookies, que exigen que la información facilitada en dicha política sea concisa, transparente e inteligible. Además, se deberá utilizar un lenguaje claro y sencillo, evitando frases o palabras que pudieran inducir a error al usuario. Asimismo, la información deberá resultar de fácil acceso y evidente para el usuario en todo momento, tanto a la hora de prestar el consentimiento, como una vez prestado.
Estos requisitos de transparencia serán exigibles tanto en la información facilitada al usuario en las capas 1 y 2, tal y como detallábamos en el anterior artículo “Cookies en el horno: última llamada para su cumplimiento”, del Blog de la Asociación Española para la Calidad (AEC).
Respecto a la información facilitada en la primera capa, la Guía de la AEPD exige que las acciones de aceptar o rechazar cookies se presenten en un lugar y formato destacados, debiendo encontrarse tales acciones en el mismo nivel, sin que resulte más complicado rechazarlas que aceptarlas. Además, se incluyen nuevos ejemplos sobre cómo deben mostrarse estas opciones, ofreciendo indicaciones relativas al color, tamaño y lugar en el que aparecen, entre otros. A modo de ejemplo, el CEPD indica que un tamaño pequeño o un color que no contraste lo suficiente como para ofrecer una clara legibilidad pudiera tener un impacto negativo y resultar engañoso para los usuarios, al igual que modificar los colores de los interruptores de consentimiento.
Otro punto importante de la Guía es la relativa a los llamados “muros de cookies”. Con la nueva actualización se permite que la alternativa a la no aceptación de cookies a la hora de navegación en un sitio web, pueda ser de pago, lo que se traduce en que el usuario puede verse obligado a pagar un precio por acceder a dicha información si no desea la implementación de determinadas cookies que no se encuentran exentas de consentimiento, como las cookies de análisis o medición o de publicidad comportamental. Como se ha podido observar con mayor frecuencia en las últimas semanas, ya son muchas las webs que incluyen el llamado “Pay or OK”, teniendo el usuario, por lo tanto, la opción de aceptar seguir navegando de manera gratuita, a cambio de la instalación de cookies no exentas de consentimiento en su dispositivo, o bien pagar una cuota, lo que le permitirá seguir navegando sin publicidad y, por tanto, sin la instalación de cookies no exentas en sus dispositivos.
El pasado mes de noviembre, la organización austriaca sin ánimo de lucro NOYB (Centro Europeo de Derechos Digitales) planteó una reclamación contra el “Pay or OK” instaurado por META, al ascender la cantidad solicitada por la entidad a cada usuario a un total de 251’88€ al año por “conservar su derecho fundamental a la protección de datos en Instagram y Facebook», tal y como señala la propia organización en su nota de prensa. La organización considera que dicho consentimiento no se trataría de un consentimiento libre, además de ser accesible solamente para personas pudientes económicamente. Quedaremos a la espera de la resolución de la autoridad austriaca de protección de datos al respecto.
Por último, en este mes de enero, la AEPD ha publicado una nueva guía sobre el uso de cookies para herramientas de medición de audiencia. Dicha información se ha incorporado mediante la creación de un Anexo II, lo que implica una nueva actualización de la Guía sobre el uso de cookies.
En esta guía se aborda el uso de herramientas de medición de audiencia y cookies en la gestión de sitios web o aplicaciones móviles por parte de los editores, cuestión esencial para recopilar estadísticas de tráfico o rendimiento necesarias para la prestación del servicio. Asimismo, la guía detalla las condiciones que permiten que determinadas cookies de medición puedan estar exentas de requerir consentimiento, siempre que su propósito sea limitado a la medición exclusiva de la audiencia y se utilicen para producir datos estadísticos anónimos.
A tal efecto, la AEPD considera estrictamente necesario el tratamiento de los siguientes datos, por lo que no será necesario obtener el consentimiento de los usuarios:
De igual modo, se establecen garantías mínimas para el uso de cookies exentas que deben ser implementadas por el editor, como informar a los usuarios del uso de las cookies a través de políticas de privacidad; limitar la vida útil de las cookies, y conservar la información recopilada por un período específico que no debe superar los 25 meses, debiendo realizarse revisiones periódicas.
Cuando se recurre a un proveedor de servicios de medición de audiencia, se exige un compromiso contractual que prohíba la reutilización de datos y que garantice un tratamiento independiente de datos en caso de servir a más editores. También se requiere que el proveedor restrinja el tratamiento de datos a propósitos específicos y a cumplir con las condiciones para la transferencia de datos fuera de la Unión Europea. Finalmente, será necesaria una evaluación para asegurar que las herramientas del proveedor cumplen con los requisitos establecidos.
En resumen, resulta evidente que el “mundo cookie” ha experimentado numerosas modificaciones en los últimos meses. No obstante, aún estamos a la espera de conocer las acciones que tomarán las autoridades de control, así como la respuesta de los usuarios frente a tales cambios significativos.
Cristina Zato, CdC Privacidad de Govertis part of Telefonica Tech
La protección del menor en Internet, desde la perspectiva del derecho fundamental a la protección de datos de carácter personal, ha estado presente en la legislación española (artículo 13 del RDLOPD) y así continúa considerándose (artículo 7 y artículo 84 LOPDGDD); estando, de este modo, en sintonía con el sentir del legislador europeo (artículo 8 RGPD).
Actualmente, es cada vez mayor la preocupación por resguardar a los menores de contenidos para adultos, que puedan perjudicar a su desarrollo físico, mental o moral. Es por esto que, la Agencia Española de Protección de Datos (AEPD), a los efectos de restringir el acceso a este tipo de contenidos, presentó un sistema de verificación de edad para proteger a los menores de edad. Este sistema de verificación no busca que los proveedores de Internet puedan conocer la edad exacta del usuario, o incluso su identidad, o someterlo a vigilancia y seguimiento, sino que se trata de un primer paso que avanza en el interés común de proteger a los menores del acceso incontrolado a contenidos inadecuados.
Los sistemas y soluciones actuales de verificación de edad -véase, por ejemplo, cualquiera de los modelos de autodeclaración de mayoría de edad, habilitadores de acceso sin restricciones a contenidos para adultos- presentan grandes deficiencias, no siendo conformes, en absoluto, a las citadas disposiciones de la normativa en protección de datos personales.
Este tipo de acceso incontrolado a dichos contenido supone, en la mayoría de las ocasiones, una infracción de los principios generales en protección de datos y, por ende, deben considerarse de carácter muy grave. Entre otros, se efectúa una recogida de datos personales innecesario (incluso, perfilado de usuarios, con observación de hábitos de navegación y localización) con una total falta de transparencia y sin estar legitimados, obviamente, por los titulares de la patria potestad o tutela.
Esto, por supuesto, supone un alto riesgo para los derechos y libertades fundamentales de los menores. En aras a proteger el interés superior de los menores, la AEPD ha publicado un Decálogo de Principios. Este decálogo se configura como exigencias mínimas que deben cumplir los sistemas de verificación de edad y del que se desprenden las siguientes ideas:
• No se persigue que el proveedor conozca que la persona que accede a Internet es menor, sino que tengan la garantía de que la persona puede hacerlo, acreditando su condición de “persona autorizada a acceder”.
• El sistema debe garantizar que no es posible la identificación, el seguimiento o la localización de menores a través de Internet.
• El sistema debe garantizar que las personas no pueden ser perfiladas en función de su navegación.
• Todo sistema debe tener definido un marco de gobernanza.
• La estrategia más adecuada para la gestión del sistema es aquella que vela por preservar el anonimato del usuario, debido al alto riesgo de estos sistemas.
• Para el diseño y la implementación del sistema, se tomará como base el interés superior del menor y el derecho a la privacidad y la intimidad.
• Los sistemas, en la medida que supongan un tratamiento de datos personales, han de estar legitimados, ser idóneos, necesarios y proporcionales.
• Se obliga a implementar todas las medidas de privacidad necesarias que resulten de la realización de una evaluación de impacto para la protección de datos y superar un análisis de idoneidad, necesidad y proporcionalidad.
A partir de este Decálogo, la AEPD, con la colaboración de un equipo del Consejo General de Colegios Profesionales de Ingeniería Informática, realizó una serie de pruebas para demostrar que la protección del menor se puede materializar de forma práctica y concreta. Así, estas pruebas se han desarrollado sobre distintos tipos de sistemas y empleando varios proveedores de identidad accesibles a la ciudadanía, demostrando la viabilidad de su aplicación y diversas formas prácticas de llevarlo a escenarios reales.
No obstante, la AEPD nos aclara que este sistema de verificación de edad no pretenden ser una solución final única (con esto, preserva la neutralidad tecnológica y el libre mercado de opciones) sino demostrar que es posible la puesta en marcha de un sistema efectivo y animar, así, a los distintos intervinientes en el ecosistema de Internet a encontrar sus propias soluciones respetuosas con los derechos fundamentales. En esta línea, la Fábrica Nacional de Moneda y Timbre (FNMT) se ha comprometido a desarrollar una app, que servirá para ayudar a proteger a este colectivo tan vulnerable.
En fin, desde aquí queremos continuar haciendo eco de esta iniciativa de nuestra autoridad de control española e instar a que los distintos proveedores de contenido e intervinientes de Internet, (en particular, páginas de pornografía, sitios de juego, redes sociales con contenidos de todo tipo, páginas de venta de tabaco o alcohol, etc.) adopten sistemas de verificación de la edad de sus usuarios, con arreglo al citado Decálogo, y cumplir con los requisitos necesarios para proteger los datos personales de todos éstos, adultos y menores, a la vez que se protege el interés superior de estos últimos.
Eva Mª Simón, CdC Privacidad de Govertis part of Telefonica Tech.
El pasado mes de diciembre tuvo lugar en Madrid el VI Congreso de Privacidad «Diálogos de DPDs» organizado por la Asociación Española para la Calidad, con la colaboración de GOVERTIS, parte de Telefónica Tech.
En la ponencia inaugural, Ofelia Tejerino, presidenta de la Asociación de Internautas, destacó la necesidad de abordar la ciberseguridad de manera integral, mediante el establecimiento de estándares técnicos, legales y éticos en los procesos que implementen sistemas de IA para mitigar riesgos inherentes. Además, subrayó la importancia de asumir una responsabilidad proactiva, así como la necesidad de inversión en I+D en talento y formación, generando así un impacto positivo en el capital reputacional de las empresas.
La primera mesa redonda, moderada por María Loza, responsable del Centro de Competencia de Tecnologías Emergentes de Govertis, en la que participaron Antonio Muñoz, Director de la oficina global del DPD de Telefónica; Estrella Gutiérrez, Profesora en la Universidad Complutense y Doctora en Derecho; Santiago Ferrís, Jefe del Servicio de Telecomunicaciones de la Generalitat Valenciana y Manuel González, Jefe del Gabinete de Cumplimiento, Consejo de Transparencia y Protección de Datos de Andalucía, versó sobre los retos ante la propuesta de regulación de la IA en el nuevo Reglamento Europeo. Las ponencias abordaron las siguientes cuestiones:
1. La propuesta de reglamento de IA no es la primera, ni la única norma.
Antonio Muñoz indicó que existe un cierto consenso en los principios, riesgos y la forma de mitigarlos, a pesar de que las aproximaciones sean diferentes. También describió diferentes modelos normativos que existen a nivel mundial (Brasil, China, EE.UU.) y sus principales rasgos, pero, sobre todo, destacó la importancia de generar preocupación y, a partir de ahí, convergencia en las soluciones.
2. Concepto de IA. Explicabilidad y Transparencia. Desafíos en la implementación de sistemas prohibidos en el ámbito del Sector Público.
Es importante delimitar el concepto de IA y, de hecho, la definición se ha ido modificando en las diferentes versiones de la propuesta de Reglamento, incluyendo, por ejemplo, sistemas estadísticos.
Estrella Gutiérrez destacaba que Interpretabilidad, transparencia y explicabilidad son términos diferentes, interrelacionados, pero distintos.
Actualmente, las licitaciones pocas veces incluyen requisitos de transparencia o métricas de error y se han licitado sistemas de IA definidos como sistemas prohibidos.
Surge la cuestión de cómo se determina el impacto o cuáles son los criterios para determinar dicho impacto, en la seguridad, derechos fundamentales y la salud.
Para la Administración Pública será un desafío ya que, como apuntaba Santiago Ferrís, deberán realizarse evaluaciones de riesgo de todos los casos de uso aplicables a los procedimientos administrativos y servicios públicos, indicando con certeza, que se acabarán utilizando precisamente sistemas de IA.
Previamente, también deberán establecerse procedimientos mediante los que se decida y apruebe la implementación de un sistema de IA en la Administración Pública.
3. Cuestiones técnicas del Reglamento de IA
Santiago Ferrís enfatizó la necesidad de supervisión humana en sistemas de IA basados en correlaciones y también la dificultad de garantizar el anonimato. También aboga por un enfoque integral que aborde conjuntamente protección de datos e Inteligencia artificial y no diferentes sistemas de gobernanza.
Respecto a los riesgos técnicos, no hay un criterio único para todas las situaciones, por lo que debe analizarse cada caso.
En relación con la normalización, Santiago Ferrís entiende que es una solución a medio plazo y que deben desarrollarse estándares, métricas de error, etc. Manuel González puntualizó que serán organismos de naturaleza técnica, los que confeccionen los estándares técnicos normalizados que se deban implementar, lo cual tiene relevancia en lo que a derechos fundamentales se refiere.
4. Comparación entre el concepto de transparencia en el Reglamento de IA y el RGPD. Diferencias en las evaluaciones de impacto en protección de datos y derechos fundamentales.
Manuel González indicó que mientras que en el RGPD la transparencia, como se indica en el Considerando 39, radica en el conocimiento que el interesado tiene de qué, para qué y cuándo se tratan sus datos personales en la propuesta de reglamento de IA se habla de una definición explícita que apunta a que el usuario pueda comprender las capacidad, límites y riesgos y sea capaz de entender la información de salida.
La transparencia en la propuesta de reglamento de IA, aplica en tres niveles: sistemas de alto riesgo, sistemas de propósito general y a determinados sistemas de IA, frente al RGPD que aplica a todos los responsables de tratamiento en todos los casos.
Los sistemas de alto riesgo deberán cumplir con obligaciones de transparencia y registro de cierta información en bases de datos de acceso público, incluyendo el derecho a una explicación para las personas afectadas por decisiones automatizadas.
En lo relativo a la evaluación de impacto de derechos fundamentales que deberán realizar los usuarios, esta deberá coordinarse con la evaluación de protección de datos correspondiente.
5. Rol del DPD sobre la gobernanza de IA y coordinación con las diferentes autoridades de control en protección de datos y la Agencia Estatal de Inteligencia Artificial (AESIA).
Se coincidió por varios ponentes en que el rol del DPD es fundamental en el modelo de gobierno de la IA. El rol del DPD y todas las funciones de coordinación interna no deben replicarse, sino deben incorporar los mecanismos de aseguramiento de IA.
La AESIA y las autoridades de protección de datos deberán coordinarse, dada la interrelación de competencias, y deberán coordinarse, no solo con la AEPD, sino también con las autoridades de control autonómicas.
La segunda mesa redonda, moderada por Patrick Monreal, responsable del Centro de Privacidad de Govertis, contó con los expertos Pablo Garrote, abogado, profesor y DPD del Grupo IMQ; Eusebio Moya, Jefe de Protección de Datos y Seguridad de la Información de la Diputación de Valencia y DPD de la Institución y Francesc Xavier Urios, profesor y Jefe de la Asesoría Jurídica de la Autoridad Catalana de Protección de Datos. En ella se abordaron los nuevos frentes del DPD: AARR, EIPD en tecnologías disruptivas, destacando los problemas y riesgos de la contratación de proveedores relativos a las transferencias internacionales de datos, derivados de la falta de información y transparencia, así como la reticencia de los encargados de tratamiento de cara a la protección de los secretos industriales.
Por otro lado, se enfatizó en focalizar los esfuerzos de supervisar la tecnología que controla al dato, más que en el propio dato. También se recordó la importancia del consentimiento –que no lo puede todo-, que ha ser libre, aunque dicha condición no suele cumplirse cuando nos encontramos ante relaciones jerárquicas.
Otra cuestión fundamental que se destaca es el principio de atender al estado de la tecnología, debiendo implementarse medios para constatar la mayor fiabilidad de la misma, pero se resalta la preocupación de la posibilidad de habilitar paraísos tecnológicos, lo que conllevaría una gran inseguridad jurídica, al no haber, hasta la fecha, garantías para el control del fraude derivado de su uso.
Por último, David Rubio compartió su perspectiva sobre la situación actual de las transferencias internacionales de datos y el nuevo marco de privacidad de datos entre la UE y EE.UU., abordando cuestiones relativas al sistemático cuestionamiento ante el TJUE de los mecanismos establecidos en la UE para facilitar las exportaciones de datos personales de europeos, resultando cada vez más habitual que las jurisdicciones establezcan limitaciones a las exportaciones de datos personales desde sus territorios. Además, destaca la importancia del principio de responsabilidad proactiva en lo relativo a la necesidad de documentar todas las evaluaciones y decisiones relacionadas con las TID, manteniendo así una transparencia y trazabilidad constantes.
Cristina Zato. Equipo Govertis- Telefónica Tech.
El pasado mes de julio la Agencia Española de Protección de Datos actualizó su Guía sobre el uso de las cookies, para alinearse con las Directrices europeas 03/2022 del Comité Europeo de Protección de Datos (CEPB) sobre patrones engañosos en plataformas de redes sociales.
Estas Directrices brindan recomendaciones prácticas a proveedores, responsables y usuarios de plataformas de redes sociales sobre cómo evaluar y evitar los “patrones de diseño engañosos” que infringen los requisitos del Reglamento General de Protección de Datos (RGPD).
Entonces, ¿cómo impactarán estos cambios en la forma en que mi organización proporciona información sobre cookies a los usuarios?
Tras la incorporación de las consideraciones del CEPB en la Guía de Cookies, aplicables a todos los prestadores de servicio de la sociedad de la información, se ha señalado un plazo máximo de adecuación hasta el 11 de enero del 2024, como ha señalado la propia AEPD.
Los prestadores de servicios de la sociedad de la información deberán evitar los patrones engañosos al informar sobre cookies a los usuarios, como la sobrecarga de opciones, omisión de información, señales visuales contradictorias, bloqueo de gestión de datos, diseños poco claros y oscuros.
La información facilitada deberá ser concisa, transparente, inteligible, en un lenguaje claro y sencillo y de fácil acceso.
Para ello, se proporcionará información por capas:
1ª CAPA:
No resultará válida la aceptación automática de cookies al continuar navegando, ni se sugerirá que no aceptar impide la navegación.
Además, no se permitirán colores o contrastes que generan confusión al usuario y que induzcan a consentir involuntariamente.
2º CAPA:
En resumen, es esencial para las organizaciones adaptarse a estas Directrices para garantizar el cumplimiento y la transparencia relativa a las cookies, evitando patrones engañosos y proporcionando información clara y accesible a los usuarios.
Cristina Zato, Elías Vallejo
Equipo Govertis
El artículo 28 del RGPD establece que la vinculación entre responsable y encargado del tratamiento de datos debe reflejarse mediante un acto jurídico o contrato escrito. En este acto o contrato, además de definir el objeto, la duración, naturaleza, tipología y finalidad del tratamiento de datos, se establece la obligación por parte del encargado de seguir las instrucciones del responsable a lo largo de todo el tratamiento de datos, así como la necesidad de regular el régimen de subcontratación En relación a esto último, el encargado del tratamiento no recurrirá a otro encargado sin la autorización previa por escrito, específica o general, del responsable. En este último caso, el encargado informará al responsable de cualquier cambio previsto en la incorporación o sustitución de otros encargados, dando así al responsable la oportunidad de oponerse a dichos cambios (artículo 28.2 RGPD).
Pues bien, la AEPD nos ha recordado la importancia de esto último, desestimando el recurso de reposición interpuesto por el reclamado contra la resolución de la AEPD dictada con fecha 4 de abril de 2023, en el expediente EXP202105473. (reposicion-ps-00668-2022.pdf (aepd.es).
En este supuesto, se formuló la reclamación por la realización de una llamada comercial, a la línea de telefonía móvil de la reclamante, que la cual tenía por objeto ofrecer los servicios del responsable del tratamiento. A este respecto, el responsable del tratamiento indicó, inicialmente, que la llamada comercial se había realizado por un encargado del tratamiento, quien prestaba servicios de asesoría y apoyo comercial y técnico para la captación de clientes en nombre del responsable del tratamiento, incluyendo la realización de acciones de venta telefónica.
No obstante lo anterior, tras las averiguaciones oportunas por el responsable a través de la información facilitada por su encargado, este último reconoció que la llamada telefónica en cuestión había sido realizada por una entidad subcontratada para tal fin. El responsable manifestó al respecto que no conocía esta subcontratación y que la misma se realizó sin su consentimiento, a pesar de que el Contrato de Servicios y el Contrato de Encargo del Tratamiento, celebrados entre responsable y encargado, prohibían expresamente la subcontratación de trabajos sin la aprobación previa y por escrito del responsable.
En consecuencia, la #AEPD considera que los hechos expuestos vulneran lo dispuesto en el artículo 28 del #RGPD por parte del encargado del tratamiento, que da lugar a la aplicación de los poderes correctivos que se indican en el artículo 58 del citado Reglamento.
Tras el análisis del caso, podemos extraer dos conclusiones fundamentales. La primera, la obligación por parte del encargado de respetar lo establecido en el contrato de encargo y no recurrir a otro encargado, sin la autorización previa por escrito, específica o general, del responsable; a quien deberá informar de cualquier cambio previsto en la incorporación o sustitución de otros encargados, dándole la oportunidad de oponerse a dichos cambios, según se establezca. Es por esto que, es aconsejable que entre las instrucciones, que transmita el responsable del tratamiento, a través del contrato de encargo, se recoja perfectamente estos extremos. La segunda, de igual importancia y exigida explícitamente (artículo 28.1 RGPD), la diligencia que debe tener el responsable del tratamiento, al momento de elegir (diligencia in eligiendo) únicamente a aquellos encargados, que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del Reglamento y garantice la protección de los derechos del interesado, así como supervisar el cumplimiento del contrato por parte del encargado (diligencia in vigilando).
Víctor Bermejo Sánchez GRC Consultant
Equipo Govertis
De manera sucinta, señalaremos los motivos por los que la figura del Delegado de Protección de Datos (DPD) tiene un papel ineludible y relevante en el modelo de organización y gestión del cumplimiento normativo del ámbito penal. Para ver este nexo de unión, partimos de ver quién es el DPD y qué contempla nuestro Código Penal. No abordaremos, en este breve artículo, la equiparación del modelo de organización y gestión del cumplimiento normativo del ámbito penal y de protección de datos personales; en cuanto a la responsabilidad proactiva o accountability.
Por un lado, el Delegado de Protección de Datos (DPD) es una figura, cuyo nombramiento y designación en una entidad, pública o privada, que efectúa actividades de tratamientos de datos de carácter personal, es obligatoria o, en su caso, de nombramiento y designación voluntaria, conforme al REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD).
El DPD se ocupa, principalmente, de asesorar y supervisar el cumplimiento de la normativa en materia de protección de datos, por parte de la entidad, responsable o encargada del tratamiento de los datos personales.
De acuerdo con el artículo 39.2 RGPD “El delegado de protección de datos desempeñará sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento”.
Por otro lado, nuestro Código Penal contempla determinados delitos, como puede ser el delito de descubrimiento y revelación de secretos. Así, cuando los hechos descritos en los apartados anteriores afecten a datos de carácter personal que revelen la ideología, religión, creencias, salud, origen racial o vida sexual, o la víctima fuere un menor de edad o una persona con discapacidad necesitada de especial protección, se impondrán las penas previstas en su mitad superior (artículo 197.5 Código Penal).
Además, cabe decir que, el Código Penal, en el artículo 31.bis. 5, 1º y 4º, determina que, los elementos básicos del modelo de prevención de delitos, cuya responsabilidad penal pueda atribuirse a una persona jurídica, son, tanto la “identificación de las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos” como “la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención.”
Es por esto que, en el modelo de organización y gestión del cumplimiento normativo del ámbito penal [que incluyen las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión], la figura del Delegado de Protección de Datos debiera estar presente.
De este modo, analizando una parte de las funciones del DPD, se puede apreciar que:
• A fin de evitar la comisión de delitos, en el que el bien jurídico afectado fuera, por ejemplo, datos de categoría especial de la persona física, con el descubrimiento o revelación de secretos, la adopción medidas de seguridad, a nivel organizativo o técnico, conforme al artículo 32 del RGPD, es pertinente. Si no se aplica de forma adecuada la seguridad, además de la comisión de infracción de la normativa en protección de datos, puede dar lugar también a la comisión de delito; así a la persona jurídica, responsable del tratamiento de los datos personales o información, podría atribuirse responsabilidad penal.
• En todo caso, cabe recordar que, para que un hecho suponga responsabilidad penal de la persona jurídica, debe ser necesario que las medidas que han sido adoptadas estén directamente relacionadas o sean de la misma naturaleza que el delito que se trató de evitar; es decir, si la entidad, por ejemplo, no dispone de un control de accesos a la información para los distintos perfiles, no dispone de una política de seguridad o no puede evidenciarse que el personal tiene conocimiento de los controles implementados en la entidad, puede suponerse que no se han adoptado las medidas necesarias para minimizar el riesgo o “evitar” la comisión del delito. De modo que, la persona jurídica podría tener que responder de la comisión de aquellos hechos cometidos por el personal de su organización y que han supuesto una lesión del bien jurídico a proteger, en este caso, la intimidad de las personas físicas.
• Por otro lado, el DPD, dentro de un modelo de prevención de delitos, puede configurarse como una de las líneas de defensa dentro de la organización, pudiendo estar vinculado tanto con la 1ª como con la 2ª línea de defensa.
En este caso, el DPD debe contribuir a la adecuada implantación de aquellos controles que vengan directamente vinculados a la normativa de protección de datos, como la asignación de responsabilidades dentro de los departamentos de la entidad, la concienciación y formación del personal que participa en las operaciones de tratamiento de los datos, la adopción de las medidas de seguridad técnicas relacionadas con el artículo 32 del RGGPD y, por último, la realización de las correspondientes auditorías de aplicación de esos controles.
La aplicación de determinados controles puede contribuir a minimizar el riesgo de que pueda cometerse alguno de los tipos delictivos, que están directamente relacionados con la protección de datos y, por tanto, reducir la posibilidad de que la organización deba responder jurídicamente de los hechos derivados del incumplimiento de estos controles.
Ahora bien, en relación con esto, el DPD no debiera auditar las medidas de seguridad que él mismo hubiera indicado a la entidad responsable. De modo que, la auditoria debiera realizarse por persona externa; con esto, se acudiría a la llamada 4ª línea de defensa, la auditoría externa.
En definitiva, el papel del DPD, en el modelo de organización y gestión del cumplimiento normativo del ámbito penal, es pertinente, debiendo estar cuantas instrucciones emita, a la entidad responsable o encargada del tratamiento de los datos personales, contempladas en el el programa de cumplimiento normativo adoptar para la prevención de la comisión de delitos imputables a la persona jurídica.
Carolina Tella. GRC Consultant.
Equipo Govertis
Es posible que sí. Así se desprende del Informe Jurídico 2022/0098 de la Agencia Española de Protección de Datos (AEPD), en el que advierte de un posible cambio de criterio con respecto a la diferenciación de la finalidad de autenticación/verificación versus identificación de los tratamientos de datos biométricos en la que, hasta el momento, ha basado su interpretación de que solo en el segundo caso (identificación) nos encontramos ante tratamientos de categorías especiales de datos.
El Reglamento General de Protección de Datos (RGPD) define en el artículo 4.19 los datos biométricos como “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos. Partiendo de esta definición, el artículo 9.1 incorpora como categoría especial los datos biométricos dirigidos a identificar de manera unívoca a una persona física”.
Para aclarar conceptos y concretar supuestos, la AEPD ha venido interpretando en diferentes informes (entre ellos, 2020/0036 y 2021/0047) y resoluciones de procedimientos sancionadores (como el PS 00218/2021), que los términos “permitan” y “confirmen” la identificación única de una persona física contenidos en la definición de datos biométricos del RGPD pueden entenderse, respectivamente, como “identificación” y “verificación” (o autenticación). Esta diferencia es la que precisamente le ha servido de base, hasta ahora, para interpretar cuándo un dato biométrico, según la definición del artículo 4.19 RGPD, se considera categoría especial de datos, conforme al artículo 9.1 RGPD.
Esta distinción entre identificación y verificación/autenticación biométrica ya se recogía en el Dictamen 3/2012 sobre la evolución de las tecnologías biométricas del Grupo del Artículo 29, que distinguía ambos supuestos en función del modo de búsqueda en los registros almacenados y el ingreso previo del registro.
Así, dicho Dictamen considera identificación biométrica el proceso de comparar los datos de un individuo, adquiridos en el momento de la identificación, con una serie de plantillas biométricas almacenadas en una base datos, dando lugar a un “proceso de búsqueda de correspondencias uno-a-varios”.
Por el contrario, se entiende por verificación/autenticación biométrica de un individuo el proceso de comparación entre sus datos biométricos, adquiridos en el momento de la verificación, con una única plantilla biométrica almacenada en un dispositivo. Es por tanto un “proceso de búsqueda de correspondencias uno-a-uno”.
Esta distinción se incorporó también en el Libro Blanco sobre Inteligencia Artificial de la Comisión Europea, de 19 de febrero de 2020, donde se distinguía entre identificación biométrica remota y autenticación biométrica. Esta última constituye “un procedimiento de seguridad basado en las características biológicas exclusivas de una persona que permite comprobar que es quien dice ser (comparación uno-a-uno)”, mientras que la identificación biométrica remota consiste en determinar la identidad de varias personas con ayuda de identificadores biométricos (huellas dactilares, imágenes faciales, iris, patrones vasculares, etc.) a distancia, en un espacio público y de manera continuada o sostenida, “comparándolos con datos almacenados en una base de datos”.
Sobre la base de esta distinción, la AEPD interpreta en el Informe 2020/0036 que el concepto de dato biométrico contenido en el artículo 4 del RGPD incluye tanto la identificación como la verificación/autenticación. Pero también señala en dicho informe que, con carácter general, “solo se consideran categoría especial de datos en los supuestos en que se sometan a tratamiento técnico dirigido a la identificación biométrica (uno-a-varios) y no en el caso de verificación/autenticación biométrica (uno-a-uno)”.
Esta misma interpretación lleva a la AEPD a afirmar en la resolución recaída en el PS 00218/2021 antes citado que la inclusión en el artículo 9.1 del RGPD los datos biométricos dirigidos a identificar de manera unívoca a una persona física como categoría especial de datos indica que “los datos biométricos, por naturaleza, no son sensibles, sino que dependerá del uso o contexto en que se utilicen, las técnicas empleadas para su tratamiento, y la consiguiente injerencia en el derecho a la protección de datos”.
Como no podía ser de otra manera, tratándose de una materia tan compleja como la protección de datos, la AEPD matiza su interpretación sobre la consideración de la categoría de los datos biométricos como datos sensibles, apelando a la necesaria valoración de las circunstancias de cada caso concreto y huyendo de conclusiones generales que permitan avalar su inclusión dentro de una u otra categoría. Y concluye que, en caso de duda, deberá adoptarse la interpretación más favorable para la protección de los derechos de los afectados “en tanto en cuanto no se pronuncie al respecto el Comité Europeo de Protección de Datos (CEPD) o los órganos jurisdiccionales”.
Este pronunciamiento ha sido recogido por el CEPD en las Directrices 5/2022 (Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement), que están pendientes de adopción definitiva, una vez finalizada su consulta pública el 27 de junio de 2022, y en las que, como es sabido, se aparta de la distinción entre identificación y verificación/autenticación a la hora de determinar si el tratamiento de datos biométricos es una categoría especial de datos. Concluye en el apartado 12 que ambos supuestos suponen un tratamiento de categorías especiales de datos.
¿Y cuál es la situación ahora?
Por un lado, el criterio mantenido hasta el momento por la AEPD ha permitido considerar, aun con carácter restrictivo y basado en el análisis de cada caso concreto, determinados tratamientos de datos biométricos como tratamientos no incluidos en las categorías especiales.
En este escenario, empresas desarrolladoras de aplicaciones y responsables del tratamiento han desarrollado e implementado soluciones y tratamientos que implican el uso de datos biométricos, tomando como base de legitimación alguna de las causas del artículo 6 del RGPD y sin tomar en consideración las excepciones y las medidas que el artículo 9 del RGPD establece para levantar la prohibición del tratamiento de categorías especiales de datos, por no considerarlo aplicable.
Por otro lado, nos encontramos con que la conclusión del CEPD recogida en las Directrices 5/2022 ya ha sido tomada en consideración por la AEPD en el Informe 2022/0098 al que hemos hecho referencia al inicio del artículo, donde advierte que “si dicho criterio se mantiene en el momento en que se proceda a su adopción definitiva, resultará necesario revisar nuestro criterio para adecuarlo al mantenido por el Comité Europeo de Protección de Datos, entendiendo que el tratamiento de datos biométricos, tanto en los supuestos de autenticación/verificación como de identificación implica un tratamiento de categorías especiales de datos, sometido al régimen de prohibición general y excepciones del artículo 9 del RGPD”.
Este aviso implica que, si finalmente el CEPD adopta las Directrices sin modificar su último criterio sobre la naturaleza de los datos biométricos (lo cual constituye una de las demandas de las entidades que han presentado comentarios en la fase de consulta pública), todo tratamiento que incluya este tipo de datos deberá no solo estar basado en, al menos, una de las causas de legitimación del artículo 6 del RGPD y en alguna de las excepciones previstas en el artículo 9, sino también haber realizado previamente una evaluación de impacto conforme al artículo 35 del RGPD, cuya ausencia en este tipo de tratamientos ya está siendo sancionada por la AEPD (PS 002108/2021, PS 00441/2021).
Por tanto, de confirmarse este criterio, cuando se pretenda, por ejemplo, basar la legitimidad del tratamiento de datos biométricos con fines de autenticación/verificación en el consentimiento del interesado o en el cumplimiento de una misión realizada en interés público conforme a los apartados a) y e) del artículo 6 RGPD, deberán concurrir además los requisitos del artículo 9.2.a) y g) que cualifican estas bases. Consecuentemente, el consentimiento deberá ser “explícito” y el interés público “esencial”, estar basado en el Derecho de la Unión o de los Estados miembros, ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.
Adicionalmente, habrá que tener en cuenta las características y finalidad específica de cada tratamiento. Pensemos, por ejemplo, en un registro de jornada laboral basado en el uso de datos biométricos para autenticar a los empleados y respecto del que la AEPD ya ha considerado descartadas como aplicables las excepciones previstas en los apartados (b) [pues si bien el registro de jornada es obligatorio para el responsable del tratamiento, no resulta sin embargo obligatorio ni necesario a estos fines el tratamiento de datos biométricos] y (g) del artículo 9.2 RGPD [excepción que no será aplicable en tanto no medie una norma de rango legal que establezca el tratamiento de datos biométricos].
En este caso, únicamente cabrá considerar el consentimiento explícito del apartado 9.2.a) del RGPD, que, dada la propia naturaleza de la relación laboral y el desequilibrio inherente a la posición de las partes, solo podrá entenderse libremente prestado si el empleador ofrece al trabajador un sistema alternativo de registro que no implique el tratamiento de sus datos biométricos.
Así las cosas, y en espera de la adopción definitiva de las Directrices, se hace necesario empezar a revisar el estado actual de todos los tratamientos que incorporen este tipo de datos para adaptarlos a una previsible consideración de los mismos como tratamientos de categorías especiales de datos.
Coral Pelegrín Martínez-Canales
Equipo Govertis
Tras el anuncio, el pasado mes de octubre, por parte de Facebook del cambio en su denominación por Meta y la presentación de su nuevo proyecto de “Metaverso”, este término se encuentra, sin duda, en auge.
Han sido muchas las compañías tecnológicas que ya se han aventurado a trabajar en proyectos muy similares al de Facebook. En España, son destacados los casos de empresas como Telefónica o Ferrovial. Pero ¿Sabemos en qué consiste realmente el término “metaverso”?
¿Qué es el “metaverso”?
El “metaverso” está concebido originariamente como un entorno multiusuario que fusiona realidad física y virtual permitiendo la interacción de los usuarios mediante el uso de diferentes avatares.
Dicho de otra forma, el metaverso es un espacio virtual en el que diferentes usuarios pueden interactuar, intercambiar experiencias y relacionarse entre sí.
El hecho de que el metaverso sea un tema de reciente actualidad no implica que constituya realmente una novedad ya que, desde hace varios años, existen experiencias similares, sobre todo en el sector de los videojuegos siendo la más exitosa Second Life. Second Life es una comunidad virtual que, en la actualidad, ya permite a sus usuarios interactuar mediante un avatar permitiéndoles, entre otras cosas, explorar el mundo virtual, establecer relaciones sociales, participar en diferentes actividades y comerciar con propiedades virtuales e intercambiar servicios entre ellos.
Ahora bien, los objetivos de los nuevos proyectos de metaverso no se quedan en lo anterior y pasan por combinar los modelos de entornos ya existentes con el uso de otras tecnológicas novedosas que ya se encuentran en el mercado como son las tecnologías wearables (gafas de realidad virtual, gafas de realidad aumentada, guantes y otras prendas o dispositivos hápticos, etc.) o los interfaces neuronales y con otros elementos, como los medios de pago virtuales.
El objetivo final es proporcionar una mejora de la experiencia de las redes sociales que vaya mucho más allá del aspecto visual o de la mejora en los gráficos.
¿Qué implicaciones tendrá el metaverso sobre la Privacidad?
Al margen de las ventajas que indudablemente tiene el metaverso, presentará una serie de riesgos asociados fundamentalmente al elevado volumen de los datos que serán recabados y tratados por medio de este entorno y a las tecnologías empleadas.
La combinación de entornos virtuales, el uso de tecnologías wearable e interfaces neuronales y medios de pago virtuales supondrán un tratamiento de datos que han estado prácticamente inéditos hasta el momento o que han sido tratados únicamente de forma aislada como, por ejemplo, variaciones del iris o análisis de la respuesta emocional. La combinación de todos los datos objeto de tratamiento permitirá una perfilación de niveles desconocidos hasta el momento.
Además de los riesgos derivados del tratamiento de los datos, como se ha indicado, también se deberán tener presente los riesgos propios de las tecnologías presentes en el entorno del metaverso. Estas tecnologías presentan sus propios riesgos, pero, además, la aplicación conjunta de todas ella supondrá la aparición de riesgos distintos para los derechos y libertades de una magnitud desconocida.
Todos estos riesgos deberán ser gestionados correctamente a fin de preservar, en su integridad, la privacidad de los usuarios.
¿Cómo se verá afectado el metaverso por la actual normativa?
El metaverso deberá ajustarse a las disposiciones del RGPD y, en este sentido, se deberá valorar, al menos, las siguientes cuestiones:
Finalmente, el desarrollo de proyectos de metaverso deberá respetar, además del RGPD, otras propuestas de regulación de la UE que, en la actualidad, se encuentran en trámites y puedan resultar aprobadas. como la Digital Services Act, la Data Act, la Digital Markets Act, la Data Governance Act o la propuesta de Reglamento IA.
Equipo Govertis
Hace unos días conocíamos la resolución de la Agencia Española de Protección de Datos (AEPD) que tanto revuelo ha ocasionado entre los expertos del sector. Se trata del expediente “EXP202105690” por el que la AEPD acordaba proceder al archivo de las actuaciones practicadas frente a una empresa de reparto. La trabajadora que interpuso la reclamación argumentaba que había sido incluida en dos grupos de WhatsApp sin haber dado su consentimiento para ello; manifestando la imposibilidad de salir de los mismos, por encontrarse en ellos toda la información necesaria para desarrollar su relación laboral como rutas de trabajo, ubicación de las furgonetas al finalizar la jornada laboral o turnos de trabajo.
El principal argumento de la AEPD, para proceder al archivo, es considerar que la empresa sí había informado, previamente, del uso de este canal de comunicación para asuntos relacionados con el ámbito laboral y tareas organizativas; a estos efectos, la empresa, además de salvaguardar la confidencialidad, dice que garantiza la sujeción al principio de minimización de datos, por compartirse únicamente los datos personales adecuados, pertinentes y limitados a lo necesario en relación con estos menesteres del ámbito laboral. Con esto, el tratamiento de datos personales de la persona trabajadora, de conformidad con el artículo 6.1.b) RGPD, se entiende amparado con base a la ejecución del contrato de trabajo, esto es, a las condiciones y términos reguladoras de la relación laboral entre la persona trabajadora y la empresa.
Ante esta breve resolución de la AEPD, en la que no se hacía alusión a si el teléfono móvil de la trabajadora era particular o si había sido proporcionado por la empresa, la polémica estaba servida. Así, se ha llegado a pensar que la AEPD podría haber cambiado de criterio frente a resoluciones previas, en las que defendía el consentimiento como base jurídica de licitud o legitimación para el tratamiento de los datos contacto del trabajador para estos fines.
Tras la consulta evacuada a la AEPD por un abogado experto en la materia, esta autoridad de control, en aras a la seguridad jurídica, ha podido matizar su decisión, dándonos respuesta a las siguientes cuestiones que se había suscitado en el sector:
1. ¿Se ha cambiado de criterio por parte de la autoridad de control?
No, esta resolución no supone un cambio de criterio. La AEPD nos dice que no se puede presumir como criterio, válido y general, el que ha aplicado, de manera concreta, al supuesto en cuestión. Por tanto, no es aplicable a otros supuestos, de manera generalizada, el decir que la base jurídica de legitimación del tratamiento es la ejecución del contrato de trabajo [artículo 6.1.b) RGPD].
2. ¿Qué bases de legitimación resultan de aplicación?
La AEPD recuerda que es importante diferenciar si se trata de medios propios de la persona trabajadora – donde entonces podría entrar en juego el consentimiento del trabajador, como base jurídica de licitud – y medios facilitados por la empresa. En este último caso, el tratamiento podría basarse en la relación contractual o en la aplicación de convenios, o incluso el interés legítimo. En todo caso, el análisis debe realizarse caso por caso.
3. ¿Puede conocer la empresa tu teléfono y correo electrónico personal?
El correo electrónico y teléfono particular del trabajador no tienen por qué ser conocidos por el empresario, dado que ninguna norma establece que el trabajador tenga que facilitar estos datos al mismo. Es decir, que la empresa utilizase el teléfono y correo electrónico personal de un trabajador, por el mero hecho de ser empleado suyo, excedería de los límites para poder basar el tratamiento con base a la ejecución del contrato de trabajo. Por tanto, podemos inferir que, en el supuesto de la resolución comentada, la trabajadora sí contaba con medios corporativos. En caso contrario, las actuaciones de la AEPD hubieran sido distintas.
4. ¿Qué pasa si el trabajador desempeña su trabajo fuera de su centro de trabajo?
Si la relación de servicios conlleva una disponibilidad personal del trabajador fuera de su centro u horario de trabajo “una medida moderada para conseguir la comunicación de la empresa con el trabajador sería la puesta a disposición de un instrumento de trabajo como sería un teléfono de empresa”.
En este contexto, es necesario recordar la sentencia del Tribunal Supremo (TS) N.º 163/2021, relativa al (“Proyecto tracker”) de Telepizza. Esta empresa obligaba a los trabajadores a aportar su número de teléfono personal para su geolocalización durante el reparto, considerándolo el TS abusivo, al no superar el juicio de necesidad “en el sentido de que el medio o instrumento al que ha acudido la empresa para obtener aquel objetivo no es adecuado por existir otros medios invasivos”. En palabras del Alto Tribunal “es cierto que empresa y trabajador pueden pactar las condiciones que estimen oportunas, que puedan afectar a las herramientas necesarias para el desarrollo de la actividad empresarial, pero aquí no se está analizando un pacto sino un proyecto implantado unilateralmente por la empresa”. Por tanto, lo más recomendable en estos casos será que el empresario facilite los dispositivos de comunicación (Ej. teléfonos) a las personas trabajadoras.
5. ¿Qué pasa si la empresa no ha facilitado un teléfono corporativo al empleado e incluye el teléfono particular de éste en un grupo de WhatsApp con fines laborales?
Según indica la AEPD, podría utilizarse el correo electrónico y/o teléfono particular del empleado, siempre que se hubiera facilitado, de manera voluntaria, y se hubiera obtenido el consentimiento, de manera previa, para estos fines del ámbito laboral.
Recordemos que el consentimiento debe ser libre, específico, informado e inequívoco y, por tanto, su aplicación en el ámbito laboral se antoja complicado de justificar en la mayoría de los casos, dado que podría considerarse que estamos ante un consentimiento no libre, esto es, viciado como consecuencia de la relación asimétrica entre trabajador y empresario. A tenor de lo anterior, deberá evaluarse si ese consentimiento se ha prestado de manera libre, debiendo valorar, por tanto, si este tratamiento es idóneo, necesario y proporcionado.
Conclusiones:
– Debe ponderarse caso a caso. No obstante, queda claro que la empresa no puede incluir a sus trabajadores en grupos de WhatsApp con fines laborales utilizando su teléfono y correo electrónico personal, solo por el mero hecho de mantener una relación contractual laboral. Es recomendable que las empresas pongan a disposición medios propios para facilitar la comunicación entre empresario y trabajador.
– Si se trata de medios personales de los trabajadores serán éstos quienes, voluntariamente, faciliten esos datos, debiendo la empresa contar con su consentimiento y, además, debiendo garantizar que ese consentimiento es libre y ha pasado el estricto test de proporcionalidad. En todo caso, parece complicado que actuando así se pueda cumplir con la normativa de protección de datos, al no poder garantizar la aplicación de medidas técnicas de seguridad en dispositivos personales.
Equipo Govertis
La Agencia Española de Protección de Datos (en adelante AEPD) elaboró una traducción de la “Guía básica de anonimización” elaborada por la Autoridad Nacional de Protección de Datos de Singapur (Personal Data Protection Commission – PDPC). Este documento nos proporciona orientaciones sobre cómo realizar de forma adecuada la anonimización básica y la desidentificación de conjuntos de datos estructurados, textuales y no complejos.
El Reglamento General de Protección de Datos (en adelante, “RGPD”) establece, en su art. 32, medidas para garantizar un nivel adecuado al riesgo; la seudonimización y el cifrado de datos personales. Es por ello que la anonimización y seudonimización permiten la protección de los datos personales de los interesados si se realiza de forma adecuada, siendo constitutiva de infracción muy grave “la reversión deliberada de un procedimiento de anonimización a fin de permitir la reidentificación de los afectados” (art. 72 Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales)
Para abordar el documento, es necesario partir de algunos conceptos básicos:
Los datos anonimizados no se consideran datos personales y, por lo tanto, no les resulta de aplicación la normativa de protección de datos. En este sentido se establece el Considerando 26 del RGPD.
En la Guía se presentan cinco pasos para anonimizar los conjuntos de datos cuando sea apropiado.
Un registro de datos personales se compone de atributos de datos que tienen diversos grados de identificabilidad y sensibilidad a un individuo. Por ejemplo: los “identificadores directos” son atributos que son exclusivos de un individuo y se pueden usar como atributos de datos clave para volver a identificar al individuo.
Para desidentificar los datos, es necesario eliminar todos los identificadores directos (por ejemplo, los nombres). Opcionalmente, se puede asignar un seudónimo a cada registro si es necesario vincular el registro a un individuo único.
En el siguiente paso, se aplicarán técnicas de anonimización de los identificadores indirectos para que no se puedan combinar fácilmente con otros conjuntos de datos que puedan contener información adicional para volver a identificar a las personas.
Al abordar el paso 4, en la Guía se menciona el método k-anonimidad para calcular el nivel de riesgo de reidentificación de un conjunto de datos.
El modelo k-anonimidad se utiliza como vía antes de que se hayan aplicado técnicas de anonimización (por ejemplo, generalización), y para la verificación posterior, para garantizar que los identificadores indirectos de cualquier registro sean compartidos por al menos k-1 otros registros. Por lo tanto, no es posible vincular o señalar el registro de un individuo, ya que siempre hay k atributos idénticos. La Guía añade la siguiente nota respecto a la k-anonimidad:
“Siempre que sea posible, debe establecer un valor de k-anonimidad más alto (por ejemplo, 5 o más) para el intercambio de datos externos, mientras que se puede establecer un valor más bajo (por ejemplo, 3) para el intercambio de datos internos o la retención de datos a largo plazo.
Sin embargo, si no puede anonimizar sus datos para lograrlo, debe implementar medidas de seguridad más estrictas para garantizar que los datos anonimizados no se divulguen a partes no autorizadas y se mitiguen los riesgos de reidentificación.
Alternativamente, puede contratar a expertos para que proporcionen métodos de evaluación alternativos para lograr riesgos de reidentificación equivalentes.”
Por último, la Guía cuenta con un Anexo donde se incluye un catálogo de técnicas básicas de anonimización de datos:
Igualmente, la AEPD en su web ofrece una herramienta gratuita de anonimización de datos para los usuarios en el siguiente enlace.