El Margen de la Ley :: El Blog de Audens
Audens
  1. Audens
  2. >
  3. Blog

¿Puede el Gobierno rastrear mi móvil?

Entre otras muchas consecuencias, esta crisis del coronavirus nos está sometiendo a una enorme sobreexposición a la información. Se consumen más artículos periodísticos que nunca, se comparten y se colectiviza el miedo y la preocupación, lo que hace que noticias como que el gobierno va a rastrear más de 40 millones de móviles para controlar el coronavirus en toda España causen indignación y molestia a una ciudadanía ya privada de muchos derechos. ¡Como para que aún encima se les toque su privacidad!

Seguro que recordarán que a finales de 2019 se viralizó una noticia similar, según la cual el Instituto Nacional de Estadística (INE) seguiría el rastro de nuestros móviles para conocer nuestro desplazamientos habituales y hacer un estudio de movilidad. En su momento explicamos que este tipo de tratamientos no tienen por qué suponer un riesgo para nuestros datos personales, y en esta situación, las conclusiones no son muy diferentes.

Para empezar, los datos de localización de nuestros teléfonos obran en poder de las compañías telefónicas, que los conocen por la conexión de los terminales a sus antenas. Con ellos se puede hacer una trazabilidad de un equipo, saber por qué zonas ha pasado y, además, asociar esta información al titular de la línea concreto. Pero, ojo, eso no quiere decir que puedan usar esa información para lo que quieran, y mucho menos compartir con el gobierno nuestra trazabilidad concreta con nombres y apellidos. En lo que respecta a estos operadores de telefonía, no hay porqué generar alarma: se les aplican la Ley de Conservación de Datos relativos a las comunicaciones electrónicas, la Ley General de Telecomunicaciones y el Reglamento General de Protección de Datos, que establecen importantes limitaciones para que no puedan utilizar esta información para cualquier finalidad. Por ejemplo, no pueden conservarla durante todo el tiempo que quieran, precisan de nuestro consentimiento para utilizarla para diversas finalidades e, incluso, algunos usos están sometidos a autorización judicial. Además la Agencia Española de Protección de Datos cuenta con herramientas para imponer sanciones millonarias en caso de incumplimiento, y los afectados podrían acudir a los tribunales para solicitar compensaciones económicas.

Pero la cuestión es si las operadoras pueden facilitar al gobierno nuestros datos de movilidad, y si ello vulneraría nuestro derecho a la protección de datos.

En resumen, la respuesta es que pueden facilitar cuanta información estimen oportuna… siempre que no incluya datos personales. En otras palabras, las operadoras deben aplicar técnicas de anonimización a sus repositorios para convertir nuestra información de movilidad en datos agregados, en información meramente estadística. Si esta operación de anonimización se realiza de forma correcta (esto es, si resulta imposible conocer quién está detrás de cada dato, de forma irreversible), esta operación no supondría riesgo alguno para nuestras libertades. Es algo lógico, pues a una información que no guarda relación con persona alguna no se le debe aplicar la norma que protege los datos personales. Pero insisto, esto solo es posible si la anonimización se hace bien y de forma irreversible. Para más información, invito a leer este Dictamen del Grupo del Artículo 29 sobre técnicas de anonimización.

Así, una vez eliminados los datos personales de la ecuación y dejando únicamente esa información agregada, las compañías pueden facilitar el dataset resultante al gobierno para que lleve a cabo los estudios necesarios para luchar contra la pandemia. Y ello porque el Gobierno no recibirá nuestros datos personales y nuestra geolocalización «para espiarnos», sino meros datos estadísticos. Por ejemplo: que el 8,34% de las personas que viven en el barrio de Atocha de Madrid se desplazan todas las mañanas, de las cuales el 3,24% va hacia el norte a Alcobendas, y el 5,1% va hacia el sur a Villaverde. Algo parecido a este tipo de información.

Por suerte, en nuestro país, la privacidad es un derecho fundamental y contamos con una normativa contundente, que obliga a tomar este proceso de anonimización muy en serio. Sin embargo, a pesar de la dureza de la norma, también es lo suficientemente flexible como para permitir al estado dotarse de medios para luchar contra una pandemia sin vulnerar nuestra privacidad… y, por supuesto, sin convertirnos en una sociedad vigilada o, como ya ha dicho algún agorero, en una suerte de estado orwelliano.

Como ya he dicho en alguna ocasión anterior, personalmente me parece estupendo que el Estado haga uso del big data para prevenir fallecimientos, mejorar nuestra calidad de vida y hacer que el estado de alarma termine cuanto antes. Siempre, por supuesto, que lo haga con responsabilidad.

Emergencias sanitarias y protección de datos

La emergencia sanitaria auspiciada por la virulenta irrupción del coronavirus SARS-CoV-2 se está convirtiendo en una crisis de salud pública sin precedentes. La aprobación del Real Decreto 463/2020, que declara el estado de alarma, permite vislumbrar la verdadera entidad de la situación y tomar conciencia de la multitud de sectores afectados por las medidas y restricciones. Y, como no podría ser de otra forma, el mundo jurídico y el de la abogacía, en todas sus esferas, también se encuentra sumido en la excepcionalidad.

Y no es para menos. Se ha decretado la suspensión de los plazos procesales, de los plazos administrativos y de los plazos de prescripción y caducidad; pero, además, la urgencia de la situación ha obligado a «desempolvar» figuras olvidadas y o poco extendidas como los ERTEs por fuerza mayor o el trabajo a distancia (en relación con esto último, hemos elaborado un modelo de contrato de teletrabajo que puede descargarse y utilizarse gratuitamente).

En esta ocasión, no obstante, nos centraremos en discernir qué ocurre con el tratamiento de datos personales relativos a la salud (que son datos sensibles o especialmente protegidos) en situaciones de emergencia sanitaria, protección de salud pública y vigilancia epidemiológica como la que nos atañe.

En este sentido, lo primero que hay que aclarar, tal y como sostiene la Agencia Española de Protección de Datos en un reciente informe, es que la declaración del estado de alarma no afecta al derecho fundamental a la intimidad ni a la protección de datos. Por tanto, tales derechos siguen plenamente vigentes. Sin embargo, esta vigencia no implica prevalencia, por lo que será preciso ponderarlos con los demás derechos o intereses que se encuentran en liza en la situación actual (derecho a la salud, integridad física y moral, interés público, tutela de la salud pública…).

Así pues, para realizar esta ponderación basta acudir a los criterios y preceptos previstos por la propia normativa de protección de datos (principalmente, RGPD y LOPDyGDD) junto con la normativa sectorial aplicable en materia sanitaria. Esto significa que, en principio, la licitud de un tratamiento de datos personales deberá valorarse caso por caso, atendiendo a las finalidades, la magnitud o las diversas vicisitudes o características que pueda entrañar. No obstante, como bien sostiene la AEPD, la normativa de protección de datos no debe ser contemplada como una rémora a la efectividad de las medidas de vigilancia y control epidemiológico ni como una merma de las facultades de tutela de la salud pública.

Consecuentemente, cabe realizar unas consideraciones generalmente aplicables a los tratamientos de datos personales, sin perjuicio de que, como hemos aseverado, deba valorarse en última instancia las características particulares del tratamiento en cuestión:

Si nos encontramos ante datos personales «no sensibles» podremos tratarlos, incluso sin consentimiento del interesado:

  • Cuando el tratamiento de los datos sea necesario para cumplir con una obligación legal. Por ejemplo, cuando un Responsable del Tratamiento (empresario) trate los datos para cumplir deberes y obligaciones legales inherentes a la prevención de riesgos laborales de sus empleados (protección de la seguridad y salud del personal a su servicio).
  • Cuando el tratamiento sea necesario para cumplir una misión realizada en interés público o en el ejercicio de poderes públicos. Esto es, cuando el Responsable trate los datos, por ejemplo, en el ejercicio de sus competencias o poderes de vigilancia y control de epidemias, salud pública o emergencias humanitarias (siempre que haya una norma que le confiera tales facultades).
  • Cuando el tratamiento de los datos sea necesario para proteger intereses vitales del interesado o de otra persona física. Incluso aunque no haya una norma u obligación legal, podremos tratar los datos personales cuando sea imprescindible para proteger la vida o integridad física del propio interesado o incluso de otras personas físicas. Por ejemplo, para prevenir que un trabajador ya contagiado pueda transmitir el virus al resto de la plantilla.

No obstante, por la propia naturaleza que implican los tratamientos en tiempos de crisis sanitarias o epidemias, en la mayoría de casos nos encontraremos ante datos «sensibles» (v.g. datos genéticos o datos relativos a la salud). Por ejemplo, una información que identifica a un determinado empleado como contagiado es un dato, a todas luces, relativo a su estado de salud y, por ende, merece una especial protección. Así pues, en estos supuestos necesitamos una legitimación reforzada, que se producirá en casos como los siguientes:

  • Cuando sea necesario tratar los datos para cumplir con las obligaciones legales de derecho laboral, seguridad y protección social. Por tanto, el empresario, en el ejercicio de sus obligaciones de prevención de riesgos laborales también podrá tratar datos de salud de sus trabajadores. Esto incluye también la obligación del trabajador de informar, motu proprio, al empleador de circunstancias que pudieran afectar a su salud y a las de sus compañeros y compañeras (por ejemplo, síntomas, sospechas o contacto con otros infectados).
  • Cuando sea necesario tratar los datos para fines de medicina preventiva o laboral o evaluación de la capacidad laboral del trabajador o diagnóstico médico. Por ejemplo, cuando el médico o personal de seguridad de la empresa o externos realizan una evaluación o chequeo de un trabajador o toma su temperatura para comprobar su estado de salud y de dicha prueba se derivan tratamientos de datos personales.
  • Cuando sea necesario tratar los datos por razones de interés público esencial o por razones de interés público en el ámbito de la salud pública. Por ejemplo, cuando las autoridades sanitarias o laborales traten datos personales de salud para proteger a la población frente amenazas transfronterizas graves para la salud (por ejemplo, una epidemia).
  • Por último, cuando sea necesario tratar los datos de salud para proteger los intereses vitales del interesado o de otra persona física. Sin embargo, en este caso, será preciso que el interesado no esté física o jurídicamente capacitado para otorgar su consentimiento. Podríamos pues, acudir a esta legitimación como ultima ratio en caso de que no procedieran las anteriores. Por ejemplo, podríamos trasladar los datos sobre el contagio de una persona que se encontrase en estado crítico a los familiares o a personas que hubieran tenido contacto con la misma; pero únicamente para advertirles sobre la posibilidad de que también hubieran podido contraer la enfermedad y los riesgos para su salud e integridad.

En síntesis, la normativa de protección de datos ha previsto numerosos cauces para que podamos tratar datos personales en situaciones de emergencia sanitaria como la presente. Sin embargo, la habilitación legal para tratar los datos (sean sensibles o no sensibles) no implica una «carta blanca» para los Responsables, que deberán utilizar exclusivamente los datos estrictamente necesarios (minimización) y con la rigurosa finalidad de proteger la salud pública y la de los trabajadores con motivo de la epidemia (limitación de finalidad). De igual forma, será imprescindible controlar que no se realicen usos ulteriores de esos datos con finalidades incompatibles; sin perjuicio de que podrían llegar a utilizarse posteriormente con fines de investigación científica y de salud para, precisamente, evitar y prevenir nuevas situaciones como la que, desgraciadamente, hoy en día nos concierne.

Publicidad por WhatsApp

Seguramente no les esté descubriendo nada si les digo que WhatsApp es una de las aplicaciones de mensajería más utilizadas en nuestro país, con unos 30,5 millones de usuarios en España y 1.500 millones en todo el mundo. ¿Pero nunca se han preguntado por qué no recibimos (tanto) spam a través de esta app como por otros canales, como por ejemplo, el correo electrónico o el SMS? ¿Se han olvidado los publicistas de WhatsApp?

Como es lógico, los expertos en marketing digital tienen en su radar a las aplicaciones de mensajería instantánea; pero las consecuencias prácticas de utilizarlas para enviar publicidad masiva son tales, que pocos se atreven a utilizar este tipo de canales con esa finalidad.

En España, el envío de comunicaciones comerciales por medios electrónicos se encuentra regulado en la Ley de Servicios de la Sociedad de la Información, o «LSSI». Esta norma prohíbe el envío de publicidad «por correo electrónico u otras vías de comunicación electrónica equivalente» si no ha sido solicitada o expresamente consentida por sus destinatarios. He aquí el primer escollo: de entrada, es necesario contar con el consentimiento expreso de los potenciales receptores.

Como alternativa, la LSSI también permite el envío de comunicaciones comerciales por medios electrónicos, sin necesidad del consentimiento que mencionábamos en el párrafo anterior, siempre que se den las siguientes condiciones:

  • Que exista una relación contractual previa con el destinatario (es decir que sea o haya sido cliente del anunciante);
  • Que la publicidad verse sobre productos o servicios propios, similares a los que fueron objeto de contratación; y
  • Que hubiera dado al destinatario la posibilidad de oponerse a recibir esas comunicaciones.

El envío de comunicaciones comerciales no solicitadas, o remitidas sin cumplir con estos requisitos, es lo que conocemos como spam, y su realización puede constituir una infracción grave de la LSSI, sancionable con multas de hasta 150.000 euros.

Ahora bien, a pesar de las multas y de que la LSSI es aplicable a todo tipo de comunicaciones electrónicas (incluida la publicidad que recibimos por correo electrónico y por SMS), es obvio que no ha logrado su objetivo de evitar que nuestras bandejas de entrada se llenen de spam. ¿Por qué, entonces, se libra WhatsApp de esta molesta plaga? Tal vez, parte del secreto de la plataforma radica en sus propios términos y condiciones.

De entrada, WhatsApp manifiesta reiteradamente su voluntad de ofrecer una experiencia a sus usuarios en la que no reciban spam; y, en concreto, exige que las empresas usuarias de su modalidad Business garanticen que cuentan con las autorizaciones, consentimientos y permisos necesarios para comunicarse con sus clientes y usuarios por medio de la aplicación. También especifica que los las empresas usuarias no deberán enviar, distribuir o publicar spam, comunicaciones por correo electrónico no solicitadas, correspondencia en cadena o esquemas piramidales, entre otras comunicaciones ilegales o inadmisibles.

A partir de aquí, la plataforma se ha dotado de multitud de herramientas para combatir estos molestos envíos, basadas tanto en la tecnología (machine learning, big data, monitorización de tráfico…) como en las denuncias de sus propios usuarios. Así, combinando los esfuerzos de ingenieros y abogados han logrado dotarse de una fórmula eficaz para luchar contra los spammers, hasta el punto de convertir su actividad en residual.

A partir de aquí, el incumplimiento de estas u otras condiciones de Whatsapp podría llevar a la suspensión o cancelación de los servicios a la empresa incumplidora… algo que no parece particularmente grave, pero que puede tener serias consecuencias en el día a día de determinados negocios. ¡Y eso no es todo! La red social ha advertido a sus usuarios de su intención de adoptar medidas legales contra quienes vulneren sus términos y condiciones, realizando envíos automáticos o masivos.

Por el momento, no tenemos noticias de que esta intención se haya traducido en demandas formales pero, teniendo en cuenta el riesgo de sanción y las declaraciones de la propia compañía, ¿alguien se atreve?

Buscamos abogado/a

Estamos creciendo y buscamos fortalecer nuestro equipo de Madrid con la incorporación de un/a abogado/a semi-senior con experiencia en derecho de las nuevas tecnologías.

Como boutique legal especializada en el asesoramiento a negocios tecnológicos y publicitarios, buscamos candidatos/as a los que les apasionen las nuevas tecnologías y los entornos digitales, el asesoramiento preventivo y proactivo y los retos jurídicos que ello conlleva.

Si tienes un buen nivel de inglés y ganas de aprender y desarrollar tu carrera profesional en un despacho joven, dinámico y en crecimiento, te puede interesar esta oportunidad. Déjanos conocer tu talento, escribiéndonos a través de nuestro formulario.

Funciones

Buscamos un candidato con conocimientos demostrables, preferiblemente, en varias de las siguientes áreas:

  • Redacción y revisión de contratos tecnológicos y publicitarios
  • Propiedad intelectual
  • Derecho de patentes y marcas
  • Defensa jurídica y litigación
  • Protección de datos y privacidad
  • Comercio electrónico y nombres de domino
  • Asesoramiento y consultoría para empresas

Requisitos

  • Titulación universitaria: grado o licenciatura en derecho.
  • Indispensable realización de cursos de postgrado en materias de nuevas tecnologías y colegiación como abogado.
  • Experiencia: entre 4 y 6 años en equipos jurídicos.
  • Se valorará especialmente la experiencia específica en áreas de derecho de nuevas tecnologías, no limitadas a protección de datos personales.
  • Habilidades de gestión de equipos.
  • Idiomas: nivel muy alto de inglés.

Características del puesto

  • Lugar de trabajo: Madrid;
  • Tipo de contrato: laboral a tiempo completo;
  • Remuneración: fija + variable, a convenir;
  • Plan de Carrera Profesional;

Si te interesa, envíanos tu CV y nos pondremos en contacto contigo a la mayor brevedad.

Sobrevivir al Black Friday

¡Queda inaugurada la temporada de compras navideñas! En pleno Black Friday, y a las puertas del CiberMonday, los compradores se frotan las manos con el aluvión de descuentos ofertados por las tiendas. El Black Friday de 2018 movió en España 1.560 millones de euros en compras a través de Internet, y parece que este año el éxito será aún mayor: según asociaciones como Adigital, el impacto en las ventas electrónicas es muy positivo, ¡y subiendo!

Dicho lo anterior, un mayor número de ventas aumenta igualmente la exposición a recibir quejas o reclamaciones de los consumidores. Para ayudarles a evitarlo, o a salir airosos en caso de que se produzcan, resumimos a continuación algunos aspectos relevantes que los comerciantes deben tener en cuenta a la hora de vender productos en el mundo online.

Es muy importante que el vendedor facilite a los consumidores información clara y comprensible sobre los productos que oferta. Cualquier error en el precio, etiquetado o falta de información tiende ser interpretado a favor del consumidor; y con el auge de las redes sociales, este tipo de errores pueden costarnos muy caros. Existen plataformas con nombres como «chollometro», «cazachollos» y similares, que se dedican a localizar artículos por debajo de su precio habitual y compartirlos con el resto del mundo, por lo que, a la hora de publicar una oferta, es fundamental asegurarse de que toda la información ha sido transcrita de forma adecuada.

Como ya hemos comentado en otras ocasiones en este mismo blog, expresiones del estilo «salvo error tipográfico» o «existencias limitadas» pueden ser consideradas abusivas por las autoridades de consumo. Cuando se trate de un error de diseño en la publicidad, el comerciante debe aclarar que se trata de un fallo en la impresión e indicar cuál es el precio exacto del producto, apelando siempre al sentido común del comprador. Por ejemplo, si una lavadora se oferta a un precio de 6,90 euros, cuando realmente vale 690 euros, está claro que se trata de un error de diseño en la impresión. Además, en cuanto a la famosa coletilla «hasta fin de existencias», el establecimiento debe indicar el número concreto de productos en oferta, que siempre deben guardar proporción a las expectativas que se pretendan generar con esa publicidad, teniendo en cuenta la demanda que puede conllevar dicha oferta.

El comerciante ha de tener presente que las ofertas y promociones son vinculantes y que, por lo general, las excusas no valen ante fallos relacionados con el producto y el precio, ofertas o falta de información. Además, los folletos publicitarios también tienen carácter vinculante. Por tanto, si no queremos recibir una avalancha de consumidores enfurecidos reivindicando sus derechos, más vale hacer las cosas bien.

La información debe quedarle clara al consumidor, por lo que, a la hora de mostrar el precio de los productos y siempre que se oferten artículos con un importe rebajado, el vendedor deberá mostrar con claridad, el precio anterior junto con el precio reducido. Además, se ha de informar la usuario sobre la posibilidad de desistir del contrato y dejar sin efecto el contrato celebrado. A este efecto, la ley le otorga al consumidor que compra o contrata un bien o servicio online, un plazo de 14 días naturales para desistir del contrato sin tener que justificar su decisión. ¡Tengan en cuenta que el plazo puede verse ampliado a 12 meses en el caso de que el establecimiento no informe al consumidor de este derecho!

Ahora bien, el derecho de desistimiento no es absoluto y, por tanto, no todo vale. Existen algunas excepciones que permiten rechazar la devolución de un producto o servicio por el consumidor, aunque lo pretenda realizar en el plazo antes descrito. Por tanto, facilitar la información y documentación al consumidor resulta básico para que el vendedor pueda defenderse en caso de conflicto o denuncia por cualquier comprador indignado.

Para evitar problemas, las plataformas de venta online deben proporcionar al consumidor todo tipo de información requerida por la Ley General para la Defensa de Consumidores y Usuarios, la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico y el famoso Reglamento General de Protección de Datos, junto con Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales.

Por consiguiente, en plena oleada masiva de compradores online atraídos por el poder de atracción de las «gangas» y empeñados en buscar cualquier «chollo» o «despiste» por parte de los establecimientos, qué menos que vender sobre seguro y establecer un contexto de seguridad jurídica online que transmita confianza al comprador. ¡Motivo de más para tener la web al día y no sufrir sorpresas desagradables!