Los metadatos en la privacidad

Delegado de protección de datos > El Blog del DPD/DPO > GDPR Legal > Los metadatos en la privacidad

Los metadatos en la privacidad

4 noviembre, 2020 | GDPR Legal

El RGPD define Dato personal como toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona Por lo tanto, nos encontramos con una definición clara de lo que podemos entender como dato.

En la práctica estamos constantemente intercambiando información personal. Este flujo de datos personales puede realizarse de forma analógica o digital.  Cuando ese intercambio lo hacemos en el mundo analógico, sabemos perfectamente que información estamos facilitando, Ej: dar una copia en papel de nuestra fotografía de carnet,pero la cosa se complica cuando entramos en el mundo digital, en el entorno 2.0.

¿Sabías que cuando enviamos un email, estamos enviando más datos que los que hayamos incorporado en el texto del correo o cómo anexo al mismo? Y cuándo compartes una foto por WhatsApp ¿Crees que solo envías esa imagen? Efectivamente cuando enviamos un email o compartimos una fotografía realizada digitalmente ignoramos los metadatos que enviamos junto a ellos. Pero ¿qué son los metadatos? ¿son o pueden llegar a ser datos personales?

Los metadatos (del griego μετα, meta, ‘después de, más allá de’ y latín datum, ‘lo que se da’, «dato») son datos que describen otros datos, un ejemplo: en una biblioteca, los metadatos serían las fichas donde se almacena información sobre autores, títulos, editoriales para buscar libros. Los metadatos permiten identificar más datos.

En el mundo digital podría ser información que aislada no aporte ninguna información sobre quién es el interesado o pudiera ser que sí. Ni el RGPD ni la LOPDyGDD hace referencia alguna a los metadatos, pero, en  la propuesta del Reglamento Europeo y del Consejo sobre el respeto de la vida privada y la protección de datos personales en el sector de las comunicaciones electrónicas y por el que se deroga la Directiva 2002/58/CE del Parlamento Europeo y del Consejo de 12 de julio de 2002 (Reglamento de E-Privacy), sí que se regulan subsumiéndolos en el concepto de “Datos de comunicación electrónica”.

En el considerando 3 de  este  Reglamento de E-Privacy, que todavía no está vigente, dice que “ Entre esos metadatos figuran los números a los que se ha llamado, los sitios web visitados, la localización geográfica o la hora, la fecha y la duración de una llamada, información que permite extraer conclusiones precisas sobre la vida privada de las personas participantes en la comunicación electrónica tales como sus relaciones sociales, sus costumbres y actividades de la vida cotidiana, sus intereses, sus preferencias, etc.”  Es decir, que podrían ser considerados “datos” a los efectos del RGPD

De hecho, el considerando 17 se establece la obligación de requerir el consentimiento para tratar estos metadatos por parte de los proveedores de servicios, aunque en el Artículo 6.2 establecen tres tipos de bases de legitimación diferentes para tratar metadatos por parte de los proveedores de servicios:

  • obligación derivada de calidad de servicio,
  • facturación o
  • impedir fraudes
  • y por supuesto, el siempre presente consentimiento.

Además, este reglamento obliga a la supresión o anonimización de los mismos cuando ya no los use.

Sin querer profundizar más en la propuesta  del Reglamento e-privacy,  hemos de plantearnos qué situación o qué lugar tienen los metadatos en tanto que con uno de ellos o varios puedan identificar a una persona.

Como hemos referido arriba un metadato puede ser identificatorio o no en función de qué tipo sea o de si se junta con otro metadato que otorguen información suficiente como para identificar o hacer identificable a una persona. En esta hipótesis ¿podríamos estar hablando de un “dato” a los efectos del RGPD y por lo tanto ésta normativa desplegar todas sus obligaciones?

Parece ser que es un planteamiento posible en tanto que cumple con los requisitos que ha de tener un dato para que sea amparado por la normativa de privacidad, pero no es un dato, es un “metadato” y como hemos dicho, ni el RGPD y la actual LOPD hace referencia alguna al “metadato” ¿podría aplicarse el RGPD a un elemento que no regula estricto sensu?

Por otro lado, los metadatos circulan, en muchos casos, sin que Responsable de Tratamiento ni Interesado lo sepan, por ejemplo, datos de ubicación y fecha de una fotografía realizada por un teléfono móvil. Que estos datos sean “ocultos” dificulta enormemente que puedan desplegarse todas las obligaciones y derechos de uno y otro.

¿Qué pasará cuando, de forma expresa, se declare que se van a tratar metadatos por los operadores? ¿qué normativa se tendrá que aplicar?

El Reglamento e-privacy nos lo contesta en su exposición de motivos dejando claro que, mientras el RGPD garantiza la protección de datos personales el Reglamento e-privacy  amparará como lex specialis al tratamiento de datos de comunicaciones electrónicas llevado a cabo en relación con la prestación y utilización de servicios de comunicaciones electrónica.

El metadato, pues, es contemplado por la normativa como relevante jurídicamente en tanto que se encuentre en el ámbito normativo del futuro Reglamento, pero, per se, aunque pudiera identificar a una persona, como tal metadato, parece quedar fuera de la regulación. Pero, bajo mi punto de vista, lo realmente relevante es que seguimos aportando legislación de un ámbito territorial parcial cuando el tráfico de datos y sobre todo de metadatos, es global ya que se realiza a través de la red y esta es mundial.

Hoy en día los negocios en internet son enteramente globales, y esta realidad no sólo afecta a grandes empresas sino también a pequeños empresarios e incluso, al profesional o emprendedor que, en solitario, se lanza al mundo digital disponiendo de los medios para desarrollar su trabajo en un país, la empresa de Hosting que le provee en otro, los servidores en un tercero y el cliente ser de un cuarto país. Exigir cumplimientos normativos tan estrictos como el europeo en un supuesto de hecho tan complejo como el que se describe, frena el crecimiento y el emprendimiento por ello, es necesario ya disponer de una visión política y legislativa más global.

Francisco José Adán Castaño

Equipo Govertis

Tags: