El Margen de la Ley :: El Blog de Audens
Audens >
Blog

Mucho RGPD y muchos datos

Si nos visitan con asiduidad, habrán notado que nuestro ritmo de publicación ha decrecido sustancialmente de un tiempo a esta parte. El motivo tiene cuatro letras: RGPD (o GDPR, como ustedes prefieran), el nuevo Reglamento de protección de datos de la Unión Europea que comenzará a aplicarse en unas semanas. Llevamos meses asesorando a empresas sobre cómo amoldar esta normativa a su negocio, y podemos confirmarles que el proceso es trabajoso (de ahí la desatención que sufre este blog) y no está exento de complejidades.

Como ya les contamos en otras ocasiones, para cumplir con este Reglamento es necesario adoptar un enfoque muy diferente al que nos tenía acostumbrados la LOPD, la Ley que todavía regula esta materia en nuestro país. Expresiones como “registrar los ficheros”, “pasar la auditoría obligatoria” o “cumplir las medidas de seguridad de nivel básico” acabarán desapareciendo de nuestro vocabulario, y serán sustuidas por figuras como el “análisis de riesgos”, la “protección de datos desde el diseño” o la “responsabilidad activa” en los tratamientos. Y no son cambios meramente terminológicos: el marco anterior, tan formalista y burocrático, ha evolucionado hacia un modelo dinámico, basado en procesos y que requiere de una permanente actualización.

La consecuencia más evidente de esta evolución se aprecia a la hora de implementar la normativa. Un consejo: si alguien les ofrece una adecuación rápida, sencilla y sin esfuerzo al RGPD, desconfíen (y mucho), porque cumplir con sus requerimientos es laborioso, exige implicación y puede conllevar cambios relevantes en el negocio, tanto operativos como estratégicos. Entre las muchas novedades que introduce, permítanme destacar tres, por su relevancia:

  • La responsabilidad de los prestadores de servicios (los llamados “encargados del tratamiento”) es mucho más acusada. Con la LOPD, para evitar una sanción les bastaba con ceñirse a las instrucciones recibidas e implantar ciertas medidas de seguridad. Ahora, además han de poder demostrar en todo momento que su labor es conforme a la nueva normativa: en caso contrario, se exponen a una sanción tanto ellos como quienes les elijan como proveedores.
  • El concepto de dato personal se ha expandido: hasta ahora, abarcaba cualquier información referida a una persona concreta, que pudiésemos identificar sin esfuerzos desproporcionados. A partir de mayo, los IDs únicos que se utilizan en marketing digital para inferir los gustos y preferencias de los usuarios pasan a ser considerados datos personales, aunque no desvelen la identidad concreta del sujeto en cuestión; lo que afecta de lleno a las herramientas de marketing digital y publicidad online, y a quienes las utilizan (apps, sitios web…).
  • Se difuminan los niveles de seguridad que fijaba nuestra normativa, basados en la tipología de datos y en la identidad del responsable de su tratamiento. Las medidas a adoptar pasan a ser discrecionales, en función del riesgo que el tratamiento pueda causar a los derechos y libertades de las personas; y su intensidad dependerá de criterios adicionales, como el volumen de información manejado, el período de conservación previsto o el número de personas con acceso a los datos, por poner tres ejemplos.

Si destacamos estas tres novedades es porque sus consecuencias estratégicas son más que notables: obligan a tomar decisiones que pueden abarcar desde el cambio de proveedores hasta la modificación de los procesos de recogida y utilización de datos, y que tienen implicaciones económicas y tecnológicas, además de jurídicas. No se trata, como ven, de rellenar unos documentos y dejarlos en una estantería, acumulando polvo.

Si se animan a implementar la norma por sí mismos en su organización, les mandamos mucho ánimo y les recomendamos visitar la web de la Agencia Española de Protección de Datos, donde pueden encontrar guías y recursos gratuitos para abordar algunos de los aspectos críticos del RGPD. Y si optan por buscar asesoramiento externo, sea el nuestro o el de otra empresa especializada, asegúrense de que la oferta que les presentan aporte soluciones realistas, que introduzcan la norma en los procedimientos habituales de la empresa de forma efectiva. En caso contrario, la labor realizada acabará, con suerte, en una carpeta perdida en un ordenador, sin proteger ni los datos ni a su empresa. Y para eso, mejor no gastar su dinero, ¿no creen?

TEMAS

Blockchain hasta en la sopa

¿Has oído hablar de bitcoin y las criptomonedas? Seguro que sí, y todo ello gracias a periódicos, blogs o incluso por aquel amigo/a que por invertir en criptoactivos se cree mejor broker que el protagonista de El lobo de Wall Street (y que ahora estará un poco preocupado). Pero, ¿y de la tecnología blockchain? Seguro que también: es el cimiento principal de las criptomonedas, y está en boca de todo el mundo. No hay más que leer los principales periódicos para comprobar cómo se vaticina un uso y porvenir favorable de esta tecnología que se vende como el paradigma de la privacidad y la transparencia. De hecho, cada vez tratamos más proyectos de todo tipo basados en blockchain.

Esta tecnología, básicamente consiste en una base de datos alfanuméricos distribuida e inalterable a priori que, siempre que hablemos de redes blockchain de acceso público, permitiría crear un registro de transacciones e interacciones de la red sin que exista una entidad central que controle y guarde toda la información relativa a la misma. Pero que su novedad no nos lleve a confusión: ¡también está sujeta a responsabilidades y deberes legales! Ahora bien, obviando los debates que puedan surgir respecto a la aplicación y necesidad de un mayor desarrollo de esta tecnología, todo valiente que quiera adentrarse en su uso debe tener en cuenta una serie de cuestiones jurídicas.

Existen muchos tipos de plataformas, desde aquellas que actúan como una simple base de datos a aquellas que basan su actividad en transacciones de criptomonedas (que derivan en otro tipo de funciones y de las que trataré en un próximo post), y entre medias, un sin fin de opciones y modalidades: smart contracts, Apps, o sistemas de gestión o procesos. Aunque todas las plataformas blockchain sean distintas, todas tendrán ciertas cuestiones legales básicas que cubrir.

Para explicar un poco ese denominador común, sirva de ejemplo una aplicación distribuida (DApp por sus siglas en inglés), construida en base a una red de acceso público como puede ser Ethereum (muy común para este tipo de aplicaciones), cuya función consista por ejemplo en un servicio de transacciones entre usuarios mediante la designación de contratos inteligentes. Pues bien, dejando al margen la conveniencia de utilizar una sociedad para llevar a cabo el negocio (aspecto sumamente importante, fundamentalmente ante las responsabilidades que puedan llegar a surgir), he aquí algunas de las cuestiones principales a las que prestar atención a la hora de crear una plataforma de estas características.

En primer lugar se ha de identificar al titular de la plataforma blockchain, pues al operar como un servicio basado en Internet se le aplica la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico, que viene a imponer obligaciones en materia de información, desde la identificación del titular hasta datos específicos sobre procesos o transacciones, en su caso; algo que, bien definido en los términos y condiciones, permitirá no sólo cumplir con la norma sino establecer también las obligaciones para los usuarios y excluir responsabilidades en ciertos casos.

Además, cuando la plataforma esté destinada a consumidores y usuarios, las obligaciones legales se verán intensificadas, dada la aplicabilidad de la Ley de Consumidores y Usuarios, que implica más deberes de información y condiciones específicas en la relación titular – consumidor o usuario.

También se debe de tener en cuenta otro elemento fundamental: las condiciones de uso y operatividad que las redes blockchain (como Ethereum, en nuestro caso) imponen a aquellos que quieran construir plataformas a partir de su código infórmatico. Se trata de un aspecto importante, ya que nuestra responsabilidad puede variar en función de dónde y cómo construyamos el sistema, pero además, podría haber causas de prohibición del uso de las redes que podrían provocar problemas para nuestra plataforma. No conviene adherirse a una red sin conocer sus condiciones y límites.

Por último, no podemos olvidarnos de la normativa de protección de datos. Y es que a pesar del mantra del anonimato que ronda al blockchain,  suele ser habitual que estas plataformas recaben en el momento inicial datos personales sobre los usuarios a fin de permitirles el acceso al servicio. Esta recogida de datos inicial suele exceder los límites del mero funcionamiento del servicio: tratarlos para otras finalidades, como el envío de publicidad, está al orden del día. Así, en este caso y por muy escasos datos que se recojan, será de aplicación la legislación en materia de protección de datos, con las numerosas cuestiones legales que de ello se derivan, y más aún con la llegada del nuevo Reglamento General de Protección de Datos (aprovechamos para recordar que comenzará a aplicarse el 25 de mayo de 2018, como ya venimos recordando en otros artículos de este blog), que viene a ampliar los derechos de los usuarios y a imponer nuevas obligaciones a aquellos que traten datos de carácter personal.

En resumen, a la hora de crear plataformas basadas en esta tecnología hay que tener en cuenta una gran cantidad de aspectos y cuestiones legales que le pueden ser de aplicación. El hecho de que las plataformas basadas en blockchain sean nuevas y disruptivas, y que en una parte de la cadena exista un sistema descentralizado y no controlado, no quiere decir que queden “al margen de la ley” (no confundir con el título de este blog). Quien piense eso de verdad, puede terminar como Jordan Belfort en El Lobo de Wall Street (alerta spoiler): quedándose sin nada.

Anteproyecto LOPD (volumen 1)

En el marco del V Congreso Nacional de Privacidad APEP organizado por la Asociación Profesional Española de Privacidad, presenté y moderé una mesa redonda que titulamos la “Implementación del Reglamento Europeo de Protección de Datos en España“. Los ponentes (José Amérigo Alonso, Leonardo Cervera-Navas, Artemi Rallo, José Luis Piñar y Ricard Martínez), plasmaron diversos escenarios sobre la situación de la confección y desarrollo del anteproyecto de aprobación de una nueva ley orgánica para reemplazar a la LOPD, aunque no dieron muchas pistas por estar limitados por la confidencialidad, unos, y el desconocimiento por no tener acceso al texto, otros.

Pero no fue una mesa redonda exenta de polémica. José Amérigo Alonso, Secretario General Técnico del Ministerio de Justicia, adelantaba que tendríamos un borrador del anteproyecto de la nueva LOPD antes de terminar junio (“en las próximas semanas“) y que se cumplirían los trámites para que fuera aprobado por las Cortes en mayo de 2018. Por su parte Artemi Rallo, Diputado por Castellón del Grupo Parlamentario Socialista y exdirector de la Agencia Española de Protección de Datos, puso en duda que Ley Orgánica pudiera ser aprobada en plazo, lo que provocaría una importante inseguridad jurídica.

Al margen de temas políticos, plazos administrativos y demás retórica parlamentaria, lo cierto es que ya tenemos el primer borrador del Anteproyecto de Ley Orgánica de Protección de Datos de Carácter Personal (al que llamaré ALOPD, por aquello de no perder la costumbre de hacer acrónimos con todo). Por supuesto no es el texto definitivo, debe superar diversos informes preceptivos, ha de pasar por las Cortes con sus consiguientes enmiendas… y de hecho ya está abierto el trámite de audiencia e información pública, que termina el día 19 de julio; pero bueno, nos sirve para conocer el cauce que el gobierno pretende dar a la nueva normativa, ¡que no es poco!

Sin ánimo de ser muy exhaustivo (por el momento), aporto unas cuantas impresiones sobre la lectura que le he podido dar hasta ahora. Eso sí, prometo ir desgranando un poco más el ALOPD los próximos días.

Para empezar, ¡tiene exposición de motivos! Lo remarco porque la LOPD (sin la A delante) a pesar de ser una ley orgánica y de regular derechos fundamentales, no la tenía. No nos engañemos: ni pasará a los anales de la prosa ni aporta unos criterios novedosos, desconocidos de antemano, pero ahí está: que en España la protección de datos deriva del art. 18.4 de la Constitución y que fuimos pioneros, que el Tribunal Constitucional en su Sentencia 94/1998 señaló que existía el derecho fundamental a la protección de datos, y su Sentencia 292/2000 lo reconoció como derecho fundamental autónomo

Sí es interesante, eso sí, la justificación (a mi modo de ver, un poco cogida con pinzas) de por qué un Reglamento europeo necesita de una norma nacional que lo “desarrolle” en muchas cuestiones. Como sabemos, el RGPD contiene un buen número de habilitaciones a los Estados para que regulen ciertas materias y puedan especificar o interpretar su contenido; y así, el ALOPD justifica su existencia como un texto que “trata de clarificar sus disposiciones“. Algo que indudablemente me lleva a pensar que seguiremos teniendo que poner un ojo en las demás normativas internas de los países de la U.E., sus interpretaciones y criterios sobre el RGPD, para poder ofrecer seguridad jurídica a los responsables y encargados de tratamientos de datos con alcance europeo. O en otras palabras, que la armonización que se buscaba con el RGPD no será completa.

Entrando en el articulado, se conjugan criterios que nos resultan familiares, como que se presumirán exactos y actualizados los datos que el propio interesado aporte, con otros más novedosos: un catálogo de garantías sobre el principio de minimización de datos, una mayor concreción de las bases de legitimación, un refuerzo del deber de información (especificada para cada finalidad y plasmada “por capas”) o la confirmación del adiós al consentimiento tácito, que se ve desplazado por una declaración o una clara acción afirmativa del interesado, y por casillas no premarcadas. Otra novedad la encontramos en los menores de edad: se reduce de 14 a 13 la edad en la que un menor puede prestar su consentimiento; y sorprende enormemente el artículo dedicado… ¡a datos de personas fallecidas! El ALOPD tampoco es parco al abordar el equilibrio de intereses en la ponderación del interés legítimo como base jurídica para el tratamiento: otro nuevo reto por delante; y también regula con detalle ciertos tratamientos específicos que nos resultan familiares, como son los ficheros de morosos, las listas robinson o la videovigilancia.

Y si algo estábamos esperando los profesionales, era la regulación del delegado de protección de datos. Recordemos que el RGPD lo establece como obligatorio en aquellas organizaciones que realicen tratamientos de datos a gran escala… Pues bien, parece que la norma pretende aclarar este concepto, mediante un listado (desde la A hasta la Ñ) sobre qué tipo de responsables y encargados del tratamiento deberán designar un DPD. Algunos ejemplos: los prestadores de servicios de la sociedad de la información que recaben información de los usuarios de sus servicios (sea o no exigible el registro previo para su obtención), las entidades que desarrollen actividades de publicidad y prospección comercial… Menos mal que el Reglamento permite que el DPD sea externo, porque si no, cumplir esta obligación en los términos que exige la norma europea sería imposible para muchas PYMES.

He de reconocer, por lo demás, que el articulado se esfuerza en ofrecer unas pautas detalladas sobre cómo cumplir sus obligaciones… hasta el punto de pasarse un poco. No sólo deja claro lo que está prohibido, sino que también pretende listar lo que está permitido… algo que casa mal con el principio de libertad que nos enseñaron en la facultad. Pero al margen de esto, el ALOPD sí aclara definitivamente algunas dudas importantes: por ejemplo, los plazos de prescripción de las sanciones o de los procedimientos ante la Agencia Española de Protección de Datos.

No puedo terminar este breve resumen sin hablar del régimen sancionador previsto en el anteproyecto. Como sabemos, el RGPD trae dos tipos de multas: las muy graves (hasta 10 millones de euros o el 2% del volumen global de facturación) y las terribles (lo mismo multiplicado por dos). Pero no concretaba nada más. A nosotros, acostumbrados a un ordenamiento jurídico que ofrece detallados catálogos de sanciones, nos sonaba extraño y nos generaba dudas; y el ALOPD dedica un título entero (el VIII, sin naturaleza de ley orgánica) a desarrollar el régimen sancionador y propone infracciones consideradas leves, graves y muy graves. Como este artículo ya se alarga, prometo abordarlo en otro post… pero esto me lleva de nuevo a pensar sobre la armonización europea. Para un responsable o encargado de tratamientos español, cuya actividad esté restringida al mercado nacional, parece sencillo, pero… ¿y las empresas con mercados y tratamientos más amplios? 

No obstante, ¡ojo! Queda menos de un año para el 25 de mayo de 2018. Las empresas y organizaciones deben ir revisando sus tratamientos para determinar en qué medida el cambio normativo les afecta. Aunque sea un borrador, parece que pronto contaremos con una herramienta más para avanzar en ello. ¡Pero no lo olviden, tempus fugit!

Apps, publicidad y alcohol

Probablemente no les sorprenda saber que uno de los sectores sometidos a un mayor control publicitario es el de las bebidas alcohólicas, en especial cuando superan los 20º de graduación. De entrada, la emisión de anuncios de este tipo de productos por medio de la televisión está completamente vetada; y lo mismo sucede en aquellos lugares donde esté prohibida su venta o consumo (vía pública incluida, en multitud de autonomías y municipios). Con este panorama, no es raro que las empresas del sector hayan optado por volcar gran parte de sus esfuerzos promocionales en Internet, donde ya concentran en torno a un tercio de su inversión… y subiendo.

Para supervisar el cumplimiento de estas limitaciones en el ámbito televisivo, la autoridad competente es el “súper regulador”: la Comisión Nacional de los Mercados y la Competencia (CNMC); y la pasada semana, este organismo público aprovechó su blog para preguntarse: ¿Se puede hacer publicidad en apps de bebidas alcohólicas de más de 20º? Tanto su respuesta como, sobre todo, la interpretación de su contenido por varios medios de comunicación, nos han tenido ocupados en los últimos días. ¿Quiere saber cuáles han sido nuestras conclusiones?

Según la Organización Mundial de la Salud, el consumo abusivo de alcohol ocupa el tercer lugar entre los principales factores de riesgo de muerte prematura y discapacidad a nivel mundial, y provoca efectos perjudiciales en el consumidor, en quienes lo rodean y en toda la sociedad. Al mismo tiempo, su consumo responsable está plenamente normalizado, y la industria que lo produce, embotella y distribuye genera empleo, riqueza e importantes ingresos fiscales para los Estados. El legislador, consciente de ello, ha tratado de encontrar un equilibrio entre ambas realidades, endureciendo la normativa a partir de ciertos márgenes y en determinados entornos particularmente vulnerables.

La prohibición de la publicidad televisiva es un buen ejemplo de esta estrategia, avalado además por los tribunales. Figura en nuestra Ley General de Publicidad y, sobre todo, en la Ley General de Comunicación Audiovisual, dirigida principalmente a regular la actividad de las plataformas mediáticas de radio y televisión. Se trata de una norma relativamente reciente (2010), redactada a sabiendas del potencial de Internet y que incluye realidades como el “vídeo bajo demanda” o el disfrute de este tipo de contenidos a través de dispositivos móviles.

La CNMC, como organismo competente para aplicar esta norma, recibió una consulta en la que se le preguntaba, precisamente, por estos últimos dispositivos. Y su respuesta fue tan clara como lógica, y poco sorprendente, me atrevería a añadir:

“…si la prohibición de emitir comunicaciones comerciales de bebidas alcohólicas de más de veinte grados se predica de la televisión tradicional no se alcanza una razón que justifique la exclusión de esta prohibición en la televisión en movilidad, más aún en el contexto actual en el que los dispositivos móviles son cada vez más usados por la población para ver contenidos televisivos, y especialmente por los más jóvenes…”

Ahora bien, ¿quiere decir esto que la publicidad de estas bebidas espirituosas está prohibida en todo tipo de aplicaciones móviles?  Mi interpretación, en contraste con los titulares de gran parte de la prensa convencional, es que la respuesta a esta pregunta debe de ser negativa.

Si acudimos a la LGCA, veremos que la norma se aplica a los “prestadores de servicios de comunicación audiovisual” establecidos en España, que son las empresas que controlan la selección de contenidos que se ponen a disposición de los usuarios a través de un canal o de un catálogo de programas. Para que nos entendamos, está dirigida a las emisoras de radio, a las cadenas de televisión y a las plataformas que, como Netflix o HBO, permiten acceder “a la carta” a una oferta cerrada de contenidos (series, películas, eventos culturales o deportivos…). Y como dice la CNMC, sería absurdo limitar la publicidad de bebidas alcohólicas de estas plataformas cuando disfrutamos de su programación a través de la tele del salón, y no hacerlo cuando accedemos a esos mismos contenidos desde nuestra tableta o teléfono móvil.

Dicho lo anterior, la Ley no se aplica a aquellas personas que no presten servicios de comunicación audiovisual. Y para dejárnoslo más claro, incluso nos facilita un listado de ejemplos de empresas y particulares que no tienen que cumplir con sus limitaciones. Veamos algunos:

  • Todos aquellos que no sean un “medio de comunicación de masas”;
  • Todos aquellos sin “carácter económico”;
  • Los sitios web privados; o
  • Las plataformas que publican contenido audiovisual generado por sus propios usuarios.

Conociendo estas exclusiones, mi asombro fue mayúsculo ante titulares que afirmaban categóricamente que “no se puede hacer publicidad de bebidas alcohólicas de más de 20 grados en aplicaciones móviles”. Así ocurre, sin lugar a dudas, con las apps de las cadenas tradicionales, o de las plataformas digitales de contenidos a la carta; pero creo firmemente que la inmensa mayoría de las aplicaciones para móviles no se ven afectadas por esta prohibición.

Dicho esto, que la LGCA no se aplique a todas las apps no implica que exista un vacío legal, o que estén desreguladas: hay multitud de normas nacionales y autonómicas que limitan la publicidad de las bebidas alcohólicas (este informe de la AUC las resume estupendamente), en especial en relación con menores; y también existe un código de autorregulación publicitaria aprobado por la FEBE (y aplicado por Autocontrol), de obligado cumplimiento para las grandes empresas del sector. Por tanto, sean prudentes al emplear estas plataformas para anunciar espirituosos… y, en caso de duda, asesórense.

La formación, clave para el DPD