El Margen de la Ley :: El Blog de Audens
Audens
  1. Audens
  2. >
  3. Blog

La revolución de las cookies

Aunque suene a tópico, la importancia económica de la publicidad en Internet es innegable: según IAB, el pasado año se convirtió en el canal con una mayor inversión, superando por vez primera a la televisión; y la tendencia, al menos hasta el impacto de la crisis sanitaria en la que estamos inmersos, no es sino ascendente. El motivo de este éxito no se debe únicamente al uso masivo de la Red por parte de los ciudadanos, sino especialmente a la capacidad de impactarles con contenidos publicitarios personalizados, basados en sus patrones de navegación. Y en este escenario, las cookies (y tecnologías similares) juegan un papel esencial.

Consciente de esta creciente importancia, la Agencia Española de Protección de Datos (AEPD) publicó a principios de noviembre del pasado año una nueva edición de su «Guía sobre el uso de las cookies». Sin embargo, fuimos muchos quienes le auguramos un corto recorrido, por un motivo sencillo: se apartaba de las interpretaciones (más restrictivas) realizadas por otras agencias europeas, como la francesa o la holandesa, por poner dos ejemplos.

Ante las discrepancias entre las autoridades de control, el Comité Europeo de Protección de Datos (CEPD) publicó este mayo una revisión de sus directrices sobre consentimiento, con el objeto de aclarar, especialmente, su interpretación en relación a las cookies… y a la vista de su contenido, era evidente que la Guía de la AEPD tenía que ser corregida. Pues bien, esa actualización ha llegado hoy.

La principal novedad, como era previsible, tiene que ver con la autorización para la utilización de estas tecnologías por parte de los usuarios: mientras que la versión anterior afirmaba que «continuar navegando» podría entenderse como una vía suficiente para aceptar su uso, el nuevo documento introduce un cambio de enfoque radical, y establece, negro sobre blanco, que seguir navegando no es una forma válida de prestar el consentimiento. Todo ello, en línea con las directices del CEPD, que decían lo siguiente (la traducción es mía):

«Conforme al considerando 32, acciones como hacer scroll o deslizar el dedo por una página web, u otras similares, no satisfarán bajo ninguna circunstancia el requisito de una acción clara y afirmativa: tales acciones pueden ser difíciles de diferenciar de otras actividades o interacciones realizadas por el usuario y, por tanto, no bastarán para determinar que se ha obtenido un consentimiento inequívoco».

La consecuencia natural de este cambio de criterio es que la mayor parte de los sitios web transitarán hacia un modelo de aceptación expresa, mediante un botón que el usuario habrá de clicar para consentir el uso de estas tecnologías. Ciertamente, el documento no descarta que otras acciones puedan ser igualmente válidas, pero exige que «las condiciones en que se produzca la conducta ofrezcan suficiente certeza de que se presta un consentimiento informado e inequívoco y pueda probarse que dicha conducta se ha realizado»; por lo que, en nuestra opinión, el botón «Aceptar» va a convertirse en la opción favorita para la mayor parte del mercado.

Otro de los cambios de criterio incluidos en la guía tiene que ver con los llamados «muros de cookies», o «cookie walls», que deniegan el acceso a un sitio web si no se aceptan las cookies. Mientras que el anterior documento los admitía en determinados supuestos, ahora no podrán ser utilizados, a no ser que «se ofrezca una alternativa de acceso al servicio sin necesidad de aceptar el uso de cookies». El motivo, nuevamente, son las directrices del CEPD, que recordó que en tales casos «no se permite al interesado una verdadera elección, por lo que el consentimiento no se otorga libremente».

Por lo demás, la nueva versión de la Guía incluye determinadas aclaraciones y puntualizaciones con respecto a la versión anterior, como por ejemplo, que ofrecer al usuario información sobre cómo desactivar las cookies a través de la configuración del navegador no basta para cumplir con la normativa:

«El editor debe ofrecer al usuario, en todo caso, una fórmula para que pueda denegar o revocar el consentimiento prestado para el uso de cookies, a través de su propia página web o, en su caso, facilitar información sobre las herramientas proporcionadas, para la retirada del consentimiento, por los terceros que utilizan las cookies, para que el usuario pueda ejercer su derecho a retirar el consentimiento tan fácilmente como lo otorgó».

Sin embargo, el calado de estas modificaciones no es, ni de lejos, tan relevante como el relativo al consentimiento, que se aleja diametralmente de la interpretación que tradicionalmente venía realizando la AEPD. ¿Que era previsible, a la vista de los criterios de las autoridades europeas? Sin duda; pero aquellas empresas que confiaron en la anterior redacción e invirtieron en modificar sus sitios web para adaptarse a sus directrices estarán, con toda probabilidad (y con razón), indignadas. Por lo pronto, el plazo para adaptarse a esta nueva realidad finaliza el 31 de octubre. ¡Mucho ánimo!

Se rompe el escudo de privacidad

¿Puede tu negocio funcionar sin alojar los datos en un servidor? ¿Acudes a un proveedor para comunicarte con tus clientes? ¿Usas un software personalizado para desarrollar la actividad de tu empresa? Es incuestionable que hoy día la tecnología es un elemento transversal para cualquier negocio. En un mundo globalizado, el concepto de fronteras territoriales es cada vez más difuso y las compañías vuelcan cada vez más su actividad en la vertiente “2.0”, incluso en su rama de negocio tradicional y presencial. Servicios de hosting, software en la nube, mailing, call center, pagos online o contratación electrónica son ya una parte esencial de la actividad económica y, si pensamos en un proveedor tecnológico para proporcionar estos servicios, probablemente se tratará de una empresa de los Estados Unidos.

No obstante, parece que esta relación es cada vez más difícil en lo que a intercambio de datos se refiere. ¡Y no será por falta de voluntad! Pero para cada nuevo intento, los “padres” de la pareja ponen una nueva traba para que el vínculo no termine de afianzarse. El último capítulo se vivió ayer, con la sentencia del Tribunal de Justicia de la Unión Europea (TJUE) que tumbaba la Decisión 2016/1250, de la Comisión, que permitía las trasferencias de datos entre EE.UU. y la U.E. a través del «Privacy Shield».

En esencia, el llamado «Escudo de Privacidad» se configuró como un acuerdo marco entre EE.UU. y la U.E. para permitir que aquellas empresas estadounidenses que se adscribiesen voluntariamente al mismo pudiesen recibir transferencias internacionales sin necesidad de aplicar garantías adicionales. Este ha sido el penúltimo movimiento a través del cual se llegaba a un acuerdo de adecuación para que los States y el Viejo Continente pudiesen regularizar sus transferencias de datos pero, como pasó con el anterior pretendiente, Safe Harbor, la relación no ha resistido el escrutinio judicial.

Los motivos han sido los mismos: querer “ser bueno” a la hora de tratar los datos de los europeos no es sinónimo de poder ser bueno. El TJUE entiende que el compromiso contractual que adquieren las empresas al unirse a Privacy Shield, para asumir obligaciones y medidas de tratamiento de datos acordes a las exigencias del RGPD, queda muy debilitado cuando esas mismas empresas operan en un país cuya administración puede requerirles cualquier información que sus autoridades consideren conveniente; en pro de, por ejemplo, la seguridad nacional.

Al final, esta situación se antoja complicada de resolver, ya que las partes arrastran un problema de base que es muy difícil de superar: la U.E. y EE.UU. entienden la privacidad y la protección de datos de manera muy distinta, y esas diferencias dificultan que la relación entre ambos pueda regularizarse a través de acuerdos marco como Privacy Shield o Safe Harbor, pues no dejan de ser mecanismos bienintencionados, pero cuyo cumplimiento escapa a la capacidad de las empresas que se adhieren a ellos, que deben responder ante todo frente a su normativa local.

Además, parece que Europa está cada vez más decidida a que los datos “circulen en casa”. La vigilancia de los Estados miembros a nivel fiscal, mercantil y societario sobre los grandes proveedores extranjeros es cada vez mayor, y se pretende siga aumentando. ¿Se arriesgarán estos proveedores a perder el trozo de pastel que suponen los países de la Zona Euro?

Por lo pronto, nos toca esperar a conocer la opinión de las autoridades de control y el Comité Europeo de Protección de Datos sobre esta cuestión, pero parece claro que a las empresas con proveedores americanos les tocará, previo período de gracia, revisar su relación con sus proveedores, bien buscando la posibilidad de traer los datos a servidores europeos o bien abordando alguna de las vías de regularización de las transferencias internacionales de datos contempladas por el RGPD.

Y hablando de otras vías de regularización de transferencias internacionales de datos… La propia resolución del TJUE complica otra vía de escape muy utilizada por los proveedores extranjeros de la U.E.: las cláusulas contractuales tipo. Por un lado, el alto tribunal europeo lanza una salvavidas al indicar que las mismas siguen siendo un medio válido de regularización, pues contemplan su invalidez en caso de que el proveedor no tenga garantías de poder cumplir su clausulado y, por lo tanto, se auto-limitan en caso de que haya riesgos palpables de incumplimiento por parte del proveedor. Pero, intencionadamente o no, el TJUE abre un melón que trasciende de la mera relación U.E. – EE.UU., porque… ¿qué posibilidades tiene un proveedor de cumplir con las cláusulas contractuales tipo cuando está sometido a la normativa de países con una marcada política proteccionista y de control, como pueden ser China, Rusia o ciertos países de Oriente Medio?

Parece que Europa pretende cada vez más convertirse en un búnker para la seguridad de los datos de sus ciudadanos, y que los flujos internacionales de datos deberán sustentarse en condiciones y garantías muy marcadas, con poco margen para que los países extranjeros tengan vías de escape a la aplicación integral de nuestra normativa de protección de datos. El pulso lleva produciéndose desde hace años, y este ha sido el penúltimo capítulo.

¿Puede el Gobierno rastrear mi móvil?

Entre otras muchas consecuencias, esta crisis del coronavirus nos está sometiendo a una enorme sobreexposición a la información. Se consumen más artículos periodísticos que nunca, se comparten y se colectiviza el miedo y la preocupación, lo que hace que noticias como que el gobierno va a rastrear más de 40 millones de móviles para controlar el coronavirus en toda España causen indignación y molestia a una ciudadanía ya privada de muchos derechos. ¡Como para que aún encima se les toque su privacidad!

Seguro que recordarán que a finales de 2019 se viralizó una noticia similar, según la cual el Instituto Nacional de Estadística (INE) seguiría el rastro de nuestros móviles para conocer nuestro desplazamientos habituales y hacer un estudio de movilidad. En su momento explicamos que este tipo de tratamientos no tienen por qué suponer un riesgo para nuestros datos personales, y en esta situación, las conclusiones no son muy diferentes.

Para empezar, los datos de localización de nuestros teléfonos obran en poder de las compañías telefónicas, que los conocen por la conexión de los terminales a sus antenas. Con ellos se puede hacer una trazabilidad de un equipo, saber por qué zonas ha pasado y, además, asociar esta información al titular de la línea concreto. Pero, ojo, eso no quiere decir que puedan usar esa información para lo que quieran, y mucho menos compartir con el gobierno nuestra trazabilidad concreta con nombres y apellidos. En lo que respecta a estos operadores de telefonía, no hay porqué generar alarma: se les aplican la Ley de Conservación de Datos relativos a las comunicaciones electrónicas, la Ley General de Telecomunicaciones y el Reglamento General de Protección de Datos, que establecen importantes limitaciones para que no puedan utilizar esta información para cualquier finalidad. Por ejemplo, no pueden conservarla durante todo el tiempo que quieran, precisan de nuestro consentimiento para utilizarla para diversas finalidades e, incluso, algunos usos están sometidos a autorización judicial. Además la Agencia Española de Protección de Datos cuenta con herramientas para imponer sanciones millonarias en caso de incumplimiento, y los afectados podrían acudir a los tribunales para solicitar compensaciones económicas.

Pero la cuestión es si las operadoras pueden facilitar al gobierno nuestros datos de movilidad, y si ello vulneraría nuestro derecho a la protección de datos.

En resumen, la respuesta es que pueden facilitar cuanta información estimen oportuna… siempre que no incluya datos personales. En otras palabras, las operadoras deben aplicar técnicas de anonimización a sus repositorios para convertir nuestra información de movilidad en datos agregados, en información meramente estadística. Si esta operación de anonimización se realiza de forma correcta (esto es, si resulta imposible conocer quién está detrás de cada dato, de forma irreversible), esta operación no supondría riesgo alguno para nuestras libertades. Es algo lógico, pues a una información que no guarda relación con persona alguna no se le debe aplicar la norma que protege los datos personales. Pero insisto, esto solo es posible si la anonimización se hace bien y de forma irreversible. Para más información, invito a leer este Dictamen del Grupo del Artículo 29 sobre técnicas de anonimización.

Así, una vez eliminados los datos personales de la ecuación y dejando únicamente esa información agregada, las compañías pueden facilitar el dataset resultante al gobierno para que lleve a cabo los estudios necesarios para luchar contra la pandemia. Y ello porque el Gobierno no recibirá nuestros datos personales y nuestra geolocalización «para espiarnos», sino meros datos estadísticos. Por ejemplo: que el 8,34% de las personas que viven en el barrio de Atocha de Madrid se desplazan todas las mañanas, de las cuales el 3,24% va hacia el norte a Alcobendas, y el 5,1% va hacia el sur a Villaverde. Algo parecido a este tipo de información.

Por suerte, en nuestro país, la privacidad es un derecho fundamental y contamos con una normativa contundente, que obliga a tomar este proceso de anonimización muy en serio. Sin embargo, a pesar de la dureza de la norma, también es lo suficientemente flexible como para permitir al estado dotarse de medios para luchar contra una pandemia sin vulnerar nuestra privacidad… y, por supuesto, sin convertirnos en una sociedad vigilada o, como ya ha dicho algún agorero, en una suerte de estado orwelliano.

Como ya he dicho en alguna ocasión anterior, personalmente me parece estupendo que el Estado haga uso del big data para prevenir fallecimientos, mejorar nuestra calidad de vida y hacer que el estado de alarma termine cuanto antes. Siempre, por supuesto, que lo haga con responsabilidad.

Emergencias sanitarias y protección de datos

La emergencia sanitaria auspiciada por la virulenta irrupción del coronavirus SARS-CoV-2 se está convirtiendo en una crisis de salud pública sin precedentes. La aprobación del Real Decreto 463/2020, que declara el estado de alarma, permite vislumbrar la verdadera entidad de la situación y tomar conciencia de la multitud de sectores afectados por las medidas y restricciones. Y, como no podría ser de otra forma, el mundo jurídico y el de la abogacía, en todas sus esferas, también se encuentra sumido en la excepcionalidad.

Y no es para menos. Se ha decretado la suspensión de los plazos procesales, de los plazos administrativos y de los plazos de prescripción y caducidad; pero, además, la urgencia de la situación ha obligado a «desempolvar» figuras olvidadas y o poco extendidas como los ERTEs por fuerza mayor o el trabajo a distancia (en relación con esto último, hemos elaborado un modelo de contrato de teletrabajo que puede descargarse y utilizarse gratuitamente).

En esta ocasión, no obstante, nos centraremos en discernir qué ocurre con el tratamiento de datos personales relativos a la salud (que son datos sensibles o especialmente protegidos) en situaciones de emergencia sanitaria, protección de salud pública y vigilancia epidemiológica como la que nos atañe.

En este sentido, lo primero que hay que aclarar, tal y como sostiene la Agencia Española de Protección de Datos en un reciente informe, es que la declaración del estado de alarma no afecta al derecho fundamental a la intimidad ni a la protección de datos. Por tanto, tales derechos siguen plenamente vigentes. Sin embargo, esta vigencia no implica prevalencia, por lo que será preciso ponderarlos con los demás derechos o intereses que se encuentran en liza en la situación actual (derecho a la salud, integridad física y moral, interés público, tutela de la salud pública…).

Así pues, para realizar esta ponderación basta acudir a los criterios y preceptos previstos por la propia normativa de protección de datos (principalmente, RGPD y LOPDyGDD) junto con la normativa sectorial aplicable en materia sanitaria. Esto significa que, en principio, la licitud de un tratamiento de datos personales deberá valorarse caso por caso, atendiendo a las finalidades, la magnitud o las diversas vicisitudes o características que pueda entrañar. No obstante, como bien sostiene la AEPD, la normativa de protección de datos no debe ser contemplada como una rémora a la efectividad de las medidas de vigilancia y control epidemiológico ni como una merma de las facultades de tutela de la salud pública.

Consecuentemente, cabe realizar unas consideraciones generalmente aplicables a los tratamientos de datos personales, sin perjuicio de que, como hemos aseverado, deba valorarse en última instancia las características particulares del tratamiento en cuestión:

Si nos encontramos ante datos personales «no sensibles» podremos tratarlos, incluso sin consentimiento del interesado:

  • Cuando el tratamiento de los datos sea necesario para cumplir con una obligación legal. Por ejemplo, cuando un Responsable del Tratamiento (empresario) trate los datos para cumplir deberes y obligaciones legales inherentes a la prevención de riesgos laborales de sus empleados (protección de la seguridad y salud del personal a su servicio).
  • Cuando el tratamiento sea necesario para cumplir una misión realizada en interés público o en el ejercicio de poderes públicos. Esto es, cuando el Responsable trate los datos, por ejemplo, en el ejercicio de sus competencias o poderes de vigilancia y control de epidemias, salud pública o emergencias humanitarias (siempre que haya una norma que le confiera tales facultades).
  • Cuando el tratamiento de los datos sea necesario para proteger intereses vitales del interesado o de otra persona física. Incluso aunque no haya una norma u obligación legal, podremos tratar los datos personales cuando sea imprescindible para proteger la vida o integridad física del propio interesado o incluso de otras personas físicas. Por ejemplo, para prevenir que un trabajador ya contagiado pueda transmitir el virus al resto de la plantilla.

No obstante, por la propia naturaleza que implican los tratamientos en tiempos de crisis sanitarias o epidemias, en la mayoría de casos nos encontraremos ante datos «sensibles» (v.g. datos genéticos o datos relativos a la salud). Por ejemplo, una información que identifica a un determinado empleado como contagiado es un dato, a todas luces, relativo a su estado de salud y, por ende, merece una especial protección. Así pues, en estos supuestos necesitamos una legitimación reforzada, que se producirá en casos como los siguientes:

  • Cuando sea necesario tratar los datos para cumplir con las obligaciones legales de derecho laboral, seguridad y protección social. Por tanto, el empresario, en el ejercicio de sus obligaciones de prevención de riesgos laborales también podrá tratar datos de salud de sus trabajadores. Esto incluye también la obligación del trabajador de informar, motu proprio, al empleador de circunstancias que pudieran afectar a su salud y a las de sus compañeros y compañeras (por ejemplo, síntomas, sospechas o contacto con otros infectados).
  • Cuando sea necesario tratar los datos para fines de medicina preventiva o laboral o evaluación de la capacidad laboral del trabajador o diagnóstico médico. Por ejemplo, cuando el médico o personal de seguridad de la empresa o externos realizan una evaluación o chequeo de un trabajador o toma su temperatura para comprobar su estado de salud y de dicha prueba se derivan tratamientos de datos personales.
  • Cuando sea necesario tratar los datos por razones de interés público esencial o por razones de interés público en el ámbito de la salud pública. Por ejemplo, cuando las autoridades sanitarias o laborales traten datos personales de salud para proteger a la población frente amenazas transfronterizas graves para la salud (por ejemplo, una epidemia).
  • Por último, cuando sea necesario tratar los datos de salud para proteger los intereses vitales del interesado o de otra persona física. Sin embargo, en este caso, será preciso que el interesado no esté física o jurídicamente capacitado para otorgar su consentimiento. Podríamos pues, acudir a esta legitimación como ultima ratio en caso de que no procedieran las anteriores. Por ejemplo, podríamos trasladar los datos sobre el contagio de una persona que se encontrase en estado crítico a los familiares o a personas que hubieran tenido contacto con la misma; pero únicamente para advertirles sobre la posibilidad de que también hubieran podido contraer la enfermedad y los riesgos para su salud e integridad.

En síntesis, la normativa de protección de datos ha previsto numerosos cauces para que podamos tratar datos personales en situaciones de emergencia sanitaria como la presente. Sin embargo, la habilitación legal para tratar los datos (sean sensibles o no sensibles) no implica una «carta blanca» para los Responsables, que deberán utilizar exclusivamente los datos estrictamente necesarios (minimización) y con la rigurosa finalidad de proteger la salud pública y la de los trabajadores con motivo de la epidemia (limitación de finalidad). De igual forma, será imprescindible controlar que no se realicen usos ulteriores de esos datos con finalidades incompatibles; sin perjuicio de que podrían llegar a utilizarse posteriormente con fines de investigación científica y de salud para, precisamente, evitar y prevenir nuevas situaciones como la que, desgraciadamente, hoy en día nos concierne.

Publicidad por WhatsApp

Seguramente no les esté descubriendo nada si les digo que WhatsApp es una de las aplicaciones de mensajería más utilizadas en nuestro país, con unos 30,5 millones de usuarios en España y 1.500 millones en todo el mundo. ¿Pero nunca se han preguntado por qué no recibimos (tanto) spam a través de esta app como por otros canales, como por ejemplo, el correo electrónico o el SMS? ¿Se han olvidado los publicistas de WhatsApp?

Como es lógico, los expertos en marketing digital tienen en su radar a las aplicaciones de mensajería instantánea; pero las consecuencias prácticas de utilizarlas para enviar publicidad masiva son tales, que pocos se atreven a utilizar este tipo de canales con esa finalidad.

En España, el envío de comunicaciones comerciales por medios electrónicos se encuentra regulado en la Ley de Servicios de la Sociedad de la Información, o «LSSI». Esta norma prohíbe el envío de publicidad «por correo electrónico u otras vías de comunicación electrónica equivalente» si no ha sido solicitada o expresamente consentida por sus destinatarios. He aquí el primer escollo: de entrada, es necesario contar con el consentimiento expreso de los potenciales receptores.

Como alternativa, la LSSI también permite el envío de comunicaciones comerciales por medios electrónicos, sin necesidad del consentimiento que mencionábamos en el párrafo anterior, siempre que se den las siguientes condiciones:

  • Que exista una relación contractual previa con el destinatario (es decir que sea o haya sido cliente del anunciante);
  • Que la publicidad verse sobre productos o servicios propios, similares a los que fueron objeto de contratación; y
  • Que hubiera dado al destinatario la posibilidad de oponerse a recibir esas comunicaciones.

El envío de comunicaciones comerciales no solicitadas, o remitidas sin cumplir con estos requisitos, es lo que conocemos como spam, y su realización puede constituir una infracción grave de la LSSI, sancionable con multas de hasta 150.000 euros.

Ahora bien, a pesar de las multas y de que la LSSI es aplicable a todo tipo de comunicaciones electrónicas (incluida la publicidad que recibimos por correo electrónico y por SMS), es obvio que no ha logrado su objetivo de evitar que nuestras bandejas de entrada se llenen de spam. ¿Por qué, entonces, se libra WhatsApp de esta molesta plaga? Tal vez, parte del secreto de la plataforma radica en sus propios términos y condiciones.

De entrada, WhatsApp manifiesta reiteradamente su voluntad de ofrecer una experiencia a sus usuarios en la que no reciban spam; y, en concreto, exige que las empresas usuarias de su modalidad Business garanticen que cuentan con las autorizaciones, consentimientos y permisos necesarios para comunicarse con sus clientes y usuarios por medio de la aplicación. También especifica que los las empresas usuarias no deberán enviar, distribuir o publicar spam, comunicaciones por correo electrónico no solicitadas, correspondencia en cadena o esquemas piramidales, entre otras comunicaciones ilegales o inadmisibles.

A partir de aquí, la plataforma se ha dotado de multitud de herramientas para combatir estos molestos envíos, basadas tanto en la tecnología (machine learning, big data, monitorización de tráfico…) como en las denuncias de sus propios usuarios. Así, combinando los esfuerzos de ingenieros y abogados han logrado dotarse de una fórmula eficaz para luchar contra los spammers, hasta el punto de convertir su actividad en residual.

A partir de aquí, el incumplimiento de estas u otras condiciones de Whatsapp podría llevar a la suspensión o cancelación de los servicios a la empresa incumplidora… algo que no parece particularmente grave, pero que puede tener serias consecuencias en el día a día de determinados negocios. ¡Y eso no es todo! La red social ha advertido a sus usuarios de su intención de adoptar medidas legales contra quienes vulneren sus términos y condiciones, realizando envíos automáticos o masivos.

Por el momento, no tenemos noticias de que esta intención se haya traducido en demandas formales pero, teniendo en cuenta el riesgo de sanción y las declaraciones de la propia compañía, ¿alguien se atreve?