El Margen de la Ley :: El Blog de Audens
Audens
  1. Audens
  2. >
  3. Blog

RGPD: transparencia por capas

El mundo [de la Protección de Datos] ha cambiado. Lo siento en el agua, lo siento en la tierra, lo huelo en el aire. El RGPD se acerca, el 25 de mayo está a la vuelta de la esquina y las autoridades de protección de datos están ultimando su llegada con pinceladas interpretativas que nos ayudan a conocer un poquito más lo que viene. Sin ir más lejos, el pasado día 13 de abril el Grupo de Trabajo del artículo 29 (GT29) actualizaba su Guía sobre transparencia.

¿En qué consiste este principio de transparencia, introducido por el RGPD? Pues en pocas palabras, es una nueva forma de referirnos al antiguo deber de información en la recogida de datos personales, evolucionado y adaptado a la realidad de Internet: el legislador es consciente de que nadie lee las políticas de privacidad, entre otros motivos porque son larguísimas e incomprensibles. Y exige un cambio de costumbres.

El artículo 12 del RGPD prevé que el responsable del tratamiento debe tomar las medidas oportunas para informar al interesado sobre cómo va a utilizar sus datos personales y del modo en que puede ejercitar sus derechos, de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. Está previsión, a priori, parece completamente incompatible con la información mínima a proporcionar a un usuario, relacionada en los artículos 13 y 14 del RGPD. En resumen, se le debe informar acerca de la identidad del responsable, de los fines del tratamiento, de los destinatarios de los datos, de si existen transferencias internacionales, del plazo de conservación, de cómo ejercitar los derechos, del derecho a presentar una reclamación ante una autoridad de control y la base jurídica de las comunicaciones de datos… a lo que hay que añadir la preceptiva información en caso de existencia de decisiones automatizadas, y algunos aspectos más que no menciono aquí por falta de espacio. ¡Casi nada!

Como decíamos, así planteado, el principio de transparencia parece incompatible con el chorro de información que hay que proporcionar al interesado, de modo que tanto el GT29 como las autoridades nacionales de protección de datos, incluyendo nuestra Agencia Española de Protección de Datos (AEPD) o el Information Comissioner Office del Reino Unido (ICO), proponen un sistema de información por capas.

Este método de informar a los usuarios no es novedoso: ya se utiliza en relación con las cookies, y de hecho nos hemos acostumbrado a ver la información de la primera capa en la mayoría de páginas web. Pero sí es novedosa la lógica subyacente en este nuevo principio de transparencia: acompañado de la necesidad de recabar el consentimiento expreso y específico para todos los tratamientos de datos que realicemos, pretende acabar con una de las mentiras más extendidas del mundo digital. El “he leído y acepto la política de privacidad”.

La próxima aplicación del RGPD provocará que esta fórmula de aceptar el tratamiento de nuestros datos resulte insuficiente, especialmente cuando nuestra política de privacidad contemple varias finalidades. A esto hay que añadir las recomendaciones de la AEPD y del GT29, conforme a las cuales esta mentira piadosa debería ser sustituida por un texto más completo. ¿En que consistiría? Pues bien, la primera capa debe contener información básica sobre el tratamiento de datos personales del usuario, para permitirle evaluar las consecuencias de pulsar el botón «enviar». En la Guía para el cumplimiento del deber de Informar de la AEPD, se propone que la primera capa consista en una tabla en la que se especifique: información del responsable, finalidad, base de legitimación, destinatarios, forma de ejecitar los derechos y fuente de los datos.

Sin embargo, tanto el proyecto de LOPD (actualmente en trámite parlamentario) como el GT29 prevén una alternativa más breve, indicando que la primera capa debería contener, al menos, información sobre la identidad del responsable del tratamiento y de su representante, la finalidad de cada tratamiento y el modo de ejercitar los derechos reconocidos por el RGPD a los ciudadanos. Algo que, afortunadamente, se puede resumir en unas pocas palabras.

Sin duda alguna, la aprobación de la futura LOPD debe ser la puntilla definitiva a la aceptación a ciegas de las políticas de privacidad. La pregunta ahora es, ¿logrará este objetivo? ¿Podremos olerlo en el aire de Internet?

Para ser legal, no basta con citar

Hace ya siete años opinaba, en mi antiguo blog personal, que un simple tuit podía bastar para violar los derechos de autor de alguien. Por entonces, la plataforma admitía únicamente texto y mantenía el límite de los 140 caracteres. Hoy podemos adjuntar contenido audiovisual, nuestros mensajes son el doble de largos e, incluso, podemos hilar mensajes en largas cadenas. Y es, precisamente, uno de estos hilos el que nos ha dado pie a publicar este artículo. Comenzó con la publicación de una fotografía por un usuario, y la inmediata reivindicación de su autoría por otro; y derivó en una animada discusión sobre el derecho de cita. En cierto momento, una usuaria pidió nuestra opinión… y como no cabía en 280 caracteres, ¡aquí la tienen!

Partamos de una base: cualquier fotografía está protegida, en mayor o menor medida, por derechos de autor. Sea más o menos original, artística o agraciada, basta con que una persona enfoque y dispare para que la imagen goce, al menos, de 25 años de protección. Es un proceso automático e instantáneo: no es preciso registrarla, ni publicarla acompañada de una © o de una marca de agua. Pulsamos un botón… et voilá, ya somos los legítimos titulares de una foto. Aparentemente, facílisimo; aunque comprender sus consecuencias sea algo más complicado.

En los tiempos de la Revolución Francesa, Isaac Le Chapelier se refería a los derechos de autor como «la más sagrada, la más legítima, la más personal de las propiedades», pues provenía del talento de un creador. Mucho ha evolucionado la normativa desde entonces, pero todavía conserva el aura filosófica de la Ilustración, que toma forma en los llamados «derechos morales»: un conjunto de facultades irrenunciables e instransmisibles que, en palabras de nuestro legislador, «constituyen la más clara manifestación de la soberanía del autor». Entre estas facultades se encuentra la de reclamar la autoría: la llamada «paternidad de la obra», que subsiste indefinidamente aun cuando el creador haya fallecido.

Es curioso que, en una época en la que el respeto a los derechos de propiedad intelectual brilla por su ausencia, se mantenga la costumbre de mencionar al autor de una canción, un libro o un cuadro. Pero, si se fijan, con las fotografías no siempre ocurre lo mismo. ¿Por qué? Quizás porque no valoramos tanto el esfuerzo de los fotógrafos como el de otros artistas, o porque se encuentran al alcance de un simple clic en Google; o quizás porque algunas de ellas, las más sencillas y espontáneas (conocidas como «meras fotografías«), no gozan de este derecho, que sí ampara a las más creativas y originales. Personalmente, tengo la costumbre de referenciar siempre las fotos ajenas que utilizo (cuestión de prudencia y cortesía); pero, para su información, hacerlo no es siempre obligatorio, desde una perspectiva legal.

Dicho lo anterior, es obvio que la propiedad intelectual no se basa solo en aspectos «morales». También genera derechos patrimoniales en favor del autor, con la intención de que su esfuerzo creativo le pueda reportar algún beneficio económico en el futuro. Entre ellos se encuentra la capacidad de permitir la reproducción de la obra, o de ponerla a disposición de los usuarios de Internet; y también la posibilidad de ceder o licenciar sus creaciones (gratis o cobrando), o la de reaccionar frente a su uso no consentido. Así, cuando compramos una entrada de cine o nos suscribimos a Spotify, estamos adquiriendo algunos de estos derechos. Y como los fotógrafos también se benefician de esta realidad, pueden decidir cómo se explotan sus imágenes, y a qué precio. De ahí que el simple reconocimiento de su autoría no baste para utilizar una imagen en Twitter, o en cualquier otro soporte: necesitamos autorización.

Tras contarles todo esto, permítanme regresar sobre el derecho de cita: deben saber que en España está muy limitado. Mientras territorios como los Estados Unidos reconocen el llamado “fair use”, que permite usar obras protegidas cuando no exista de ánimo de lucro, no se causen efectos negativos al titular de los derechos y el uso no sea sustancial (por ejemplo, una foto en baja resolución); en nuestro país, la normativa es mucho más restrictiva. La cita se limita a usos docentes y de investigación, y resulta, por tanto, de poca utilidad en redes sociales.

Si les interesa el tema, les dejo enlace a un vídeo donde explico algunas formas de utilizar legalmente contenidos protegidos por terceros, entre otros temas. Y si tienen alguna duda más, anímense a preguntar: con un poco de suerte, nos dan la excusa para escribir un nuevo post.

RGPD… en teoría

Por si viven en un mundo paralelo y no se habían enterado todavía, el 25 de mayo de 2018 será de aplicación el Reglamento General de Protección de Datos (RGPD), una norma que cambia por completo el cumplimiento normativo en privacidad y seguridad en el seno de los responsables y encargados de tratar datos. El llamado principio de responsabilidad activa (accountability), exigido a quienes tratan datos personales, hace que la protección de los derechos de las personas pase a estar en el centro de la toma de decisiones, y les obliga a velar de forma diligente por su respeto en todos los planos de actuación. Esa diligencia será la que, en teoría, pueda salvarles de situaciones incómodas.

También este mayo, la Directiva 95/46/CE quedará derogada, y dejarán de ser aplicables gran parte de nuestra actual LOPD y su reglamento de desarrollo, con los que nos sentíamos tan cómodos al contar con listados de medidas de seguridad categorizados por niveles (ya saben: básico, medio y alto) que nos hacían la vida más fácil. Ahora, en su lugar, tendremos una nueva Ley Orgánica de Protección de Datos (actualmente en tramitación parlamentaria) que vendrá a matizar algunos puntos de la norma europea; pero olvídense de registrar ficheros en la AEPD y de tener documentos de seguridad estáticos cogiendo polvo en una estantería. Este año, eso también se acaba… al menos en teoría, porque de esto último no estoy tan seguro.

La nueva normativa es sustancialmente más compleja que la anterior, quizás no tanto por su contenido (muchas de sus novedades ya las conocíamos por el Grupo del Artículo 29, futuro Comité Europeo de Protección de Datos) como por la forma en que debe aplicarse. Como ya veníamos advirtiendo, sus implicaciones legales y operativas son abundantes: por ejemplo, en la recogida de datos, en cuanto a información y legitimidad para su posterior tratamiento. Cambian también aspectos relativos a la atención de derechos de las personas (que se ven ampliados); se añaden nuevos requisitos a las relaciones entre responsables, encargados y subencargados; se crea la obligación implícita de contar con procedimientos sobre análisis de riesgos, evaluaciones de impacto, privacidad desde el diseño y por defecto o gestión de brechas de seguridad… y ya, si se debe nombrar un Delegado de Protección de Datos, ¡no digo nada! Y todo ello sin olvidar su impresionante régimen sancionador, con multas de hasta 20 millones de euros o el 4% del volumen de negocio total anual global del ejercicio financiero anterior (algo que suena más a responsabilidad pasiva o liability). Eso sí, las autoridades de control contarán con un amplio margen para ponderar las sanciones.

Quedan solo unas semanas para la aplicación del RGPD, y se presentan frenéticas. Sobre todo, en aquellas empresas que basan en el consentimiento tácito o implícito la recogida de datos: otro de los aspectos que desaparecen con la nueva norma. A partir de ahora, la legitimidad para usar datos basados en el consentimiento del usuario debe responder, como mínimo, a una clara acción afirmativa por parte del usuario; y además, los formularios con casillas premarcadas (por si todavía había alguna duda) y las políticas de privacidad escondidas e ininteligibles, en teoría, también habrán de pasar a mejor vida.

Si bien es cierto que nos han dado dos años de margen para ir adaptándonos, aunque no los hayamos aprovechado, el 25 de mayo tampoco se acaba el mundo… cuando menos, en teoría: por un lado, todavía queda tiempo para abordar las cuestiones más urgentes e importantes, y por otro, un proceso de cambio tan profundo como este no puede afrontarse de la noche a la mañana. Hay aspectos que requieren algo más de tiempo, especialmente cuando las modificaciones afectan a la organización interna; pero siempre que se vaya actuando con diligencia mientras se realiza la transformación, no debería haber problemas… en teoría. ¿Y si se hace después de mayo? Pues como buen gallego responderé que «depende» (del tratamiento de datos que haga, del grado de cumplimiento previo… del riesgo, al fin y al cabo).

Pero, en teoría, hasta el comunismo funciona; y a pesar de que este año, sobre el papel, todo cambia, muchas cosas no lo harán (al menos en el corto plazo). En la práctica, este  proceso de adaptación al cambio regulatorio se tendrá que hacer: con mayor o menor alcance, pero se hará. Unos, por convicción, al haber comprendido que, más que una carga, es una oportunidad de generar valor añadido; y otros, lamentablemente, llevados por el miedo a ser sancionados. En cualquier caso, este año ya está cambiando todo… en teoría.

Mucho RGPD y muchos datos

Si nos visitan con asiduidad, habrán notado que nuestro ritmo de publicación ha decrecido sustancialmente de un tiempo a esta parte. El motivo tiene cuatro letras: RGPD (o GDPR, como ustedes prefieran), el nuevo Reglamento de protección de datos de la Unión Europea que comenzará a aplicarse en unas semanas. Llevamos meses asesorando a empresas sobre cómo amoldar esta normativa a su negocio, y podemos confirmarles que el proceso es trabajoso (de ahí la desatención que sufre este blog) y no está exento de complejidades.

Como ya les contamos en otras ocasiones, para cumplir con este Reglamento es necesario adoptar un enfoque muy diferente al que nos tenía acostumbrados la LOPD, la Ley que todavía regula esta materia en nuestro país. Expresiones como «registrar los ficheros», «pasar la auditoría obligatoria» o «cumplir las medidas de seguridad de nivel básico» acabarán desapareciendo de nuestro vocabulario, y serán sustuidas por figuras como el «análisis de riesgos», la «protección de datos desde el diseño» o la «responsabilidad activa» en los tratamientos. Y no son cambios meramente terminológicos: el marco anterior, tan formalista y burocrático, ha evolucionado hacia un modelo dinámico, basado en procesos y que requiere de una permanente actualización.

La consecuencia más evidente de esta evolución se aprecia a la hora de implementar la normativa. Un consejo: si alguien les ofrece una adecuación rápida, sencilla y sin esfuerzo al RGPD, desconfíen (y mucho), porque cumplir con sus requerimientos es laborioso, exige implicación y puede conllevar cambios relevantes en el negocio, tanto operativos como estratégicos. Entre las muchas novedades que introduce, permítanme destacar tres, por su relevancia:

  • La responsabilidad de los prestadores de servicios (los llamados «encargados del tratamiento») es mucho más acusada. Con la LOPD, para evitar una sanción les bastaba con ceñirse a las instrucciones recibidas e implantar ciertas medidas de seguridad. Ahora, además han de poder demostrar en todo momento que su labor es conforme a la nueva normativa: en caso contrario, se exponen a una sanción tanto ellos como quienes les elijan como proveedores.
  • El concepto de dato personal se ha expandido: hasta ahora, abarcaba cualquier información referida a una persona concreta, que pudiésemos identificar sin esfuerzos desproporcionados. A partir de mayo, los IDs únicos que se utilizan en marketing digital para inferir los gustos y preferencias de los usuarios pasan a ser considerados datos personales, aunque no desvelen la identidad concreta del sujeto en cuestión; lo que afecta de lleno a las herramientas de marketing digital y publicidad online, y a quienes las utilizan (apps, sitios web…).
  • Se difuminan los niveles de seguridad que fijaba nuestra normativa, basados en la tipología de datos y en la identidad del responsable de su tratamiento. Las medidas a adoptar pasan a ser discrecionales, en función del riesgo que el tratamiento pueda causar a los derechos y libertades de las personas; y su intensidad dependerá de criterios adicionales, como el volumen de información manejado, el período de conservación previsto o el número de personas con acceso a los datos, por poner tres ejemplos.

Si destacamos estas tres novedades es porque sus consecuencias estratégicas son más que notables: obligan a tomar decisiones que pueden abarcar desde el cambio de proveedores hasta la modificación de los procesos de recogida y utilización de datos, y que tienen implicaciones económicas y tecnológicas, además de jurídicas. No se trata, como ven, de rellenar unos documentos y dejarlos en una estantería, acumulando polvo.

Si se animan a implementar la norma por sí mismos en su organización, les mandamos mucho ánimo y les recomendamos visitar la web de la Agencia Española de Protección de Datos, donde pueden encontrar guías y recursos gratuitos para abordar algunos de los aspectos críticos del RGPD. Y si optan por buscar asesoramiento externo, sea el nuestro o el de otra empresa especializada, asegúrense de que la oferta que les presentan aporte soluciones realistas, que introduzcan la norma en los procedimientos habituales de la empresa de forma efectiva. En caso contrario, la labor realizada acabará, con suerte, en una carpeta perdida en un ordenador, sin proteger ni los datos ni a su empresa. Y para eso, mejor no gastar su dinero, ¿no creen?

TEMAS

Blockchain hasta en la sopa

¿Has oído hablar de bitcoin y las criptomonedas? Seguro que sí, y todo ello gracias a periódicos, blogs o incluso por aquel amigo/a que por invertir en criptoactivos se cree mejor broker que el protagonista de El lobo de Wall Street (y que ahora estará un poco preocupado). Pero, ¿y de la tecnología blockchain? Seguro que también: es el cimiento principal de las criptomonedas, y está en boca de todo el mundo. No hay más que leer los principales periódicos para comprobar cómo se vaticina un uso y porvenir favorable de esta tecnología que se vende como el paradigma de la privacidad y la transparencia. De hecho, cada vez tratamos más proyectos de todo tipo basados en blockchain.

Esta tecnología, básicamente consiste en una base de datos alfanuméricos distribuida e inalterable a priori que, siempre que hablemos de redes blockchain de acceso público, permitiría crear un registro de transacciones e interacciones de la red sin que exista una entidad central que controle y guarde toda la información relativa a la misma. Pero que su novedad no nos lleve a confusión: ¡también está sujeta a responsabilidades y deberes legales! Ahora bien, obviando los debates que puedan surgir respecto a la aplicación y necesidad de un mayor desarrollo de esta tecnología, todo valiente que quiera adentrarse en su uso debe tener en cuenta una serie de cuestiones jurídicas.

Existen muchos tipos de plataformas, desde aquellas que actúan como una simple base de datos a aquellas que basan su actividad en transacciones de criptomonedas (que derivan en otro tipo de funciones y de las que trataré en un próximo post), y entre medias, un sin fin de opciones y modalidades: smart contracts, Apps, o sistemas de gestión o procesos. Aunque todas las plataformas blockchain sean distintas, todas tendrán ciertas cuestiones legales básicas que cubrir.

Para explicar un poco ese denominador común, sirva de ejemplo una aplicación distribuida (DApp por sus siglas en inglés), construida en base a una red de acceso público como puede ser Ethereum (muy común para este tipo de aplicaciones), cuya función consista por ejemplo en un servicio de transacciones entre usuarios mediante la designación de contratos inteligentes. Pues bien, dejando al margen la conveniencia de utilizar una sociedad para llevar a cabo el negocio (aspecto sumamente importante, fundamentalmente ante las responsabilidades que puedan llegar a surgir), he aquí algunas de las cuestiones principales a las que prestar atención a la hora de crear una plataforma de estas características.

En primer lugar se ha de identificar al titular de la plataforma blockchain, pues al operar como un servicio basado en Internet se le aplica la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico, que viene a imponer obligaciones en materia de información, desde la identificación del titular hasta datos específicos sobre procesos o transacciones, en su caso; algo que, bien definido en los términos y condiciones, permitirá no sólo cumplir con la norma sino establecer también las obligaciones para los usuarios y excluir responsabilidades en ciertos casos.

Además, cuando la plataforma esté destinada a consumidores y usuarios, las obligaciones legales se verán intensificadas, dada la aplicabilidad de la Ley de Consumidores y Usuarios, que implica más deberes de información y condiciones específicas en la relación titular – consumidor o usuario.

También se debe de tener en cuenta otro elemento fundamental: las condiciones de uso y operatividad que las redes blockchain (como Ethereum, en nuestro caso) imponen a aquellos que quieran construir plataformas a partir de su código infórmatico. Se trata de un aspecto importante, ya que nuestra responsabilidad puede variar en función de dónde y cómo construyamos el sistema, pero además, podría haber causas de prohibición del uso de las redes que podrían provocar problemas para nuestra plataforma. No conviene adherirse a una red sin conocer sus condiciones y límites.

Por último, no podemos olvidarnos de la normativa de protección de datos. Y es que a pesar del mantra del anonimato que ronda al blockchain,  suele ser habitual que estas plataformas recaben en el momento inicial datos personales sobre los usuarios a fin de permitirles el acceso al servicio. Esta recogida de datos inicial suele exceder los límites del mero funcionamiento del servicio: tratarlos para otras finalidades, como el envío de publicidad, está al orden del día. Así, en este caso y por muy escasos datos que se recojan, será de aplicación la legislación en materia de protección de datos, con las numerosas cuestiones legales que de ello se derivan, y más aún con la llegada del nuevo Reglamento General de Protección de Datos (aprovechamos para recordar que comenzará a aplicarse el 25 de mayo de 2018, como ya venimos recordando en otros artículos de este blog), que viene a ampliar los derechos de los usuarios y a imponer nuevas obligaciones a aquellos que traten datos de carácter personal.

En resumen, a la hora de crear plataformas basadas en esta tecnología hay que tener en cuenta una gran cantidad de aspectos y cuestiones legales que le pueden ser de aplicación. El hecho de que las plataformas basadas en blockchain sean nuevas y disruptivas, y que en una parte de la cadena exista un sistema descentralizado y no controlado, no quiere decir que queden «al margen de la ley» (no confundir con el título de este blog). Quien piense eso de verdad, puede terminar como Jordan Belfort en El Lobo de Wall Street (alerta spoiler): quedándose sin nada.