Noemí Brito Miembro del Comité Operativo del Data Privacy Institute (ISMS Forum), y Directora del Área de Derecho TIC en Legistel.

Mucho se habla y discurre a diario a nivel global acerca de los paradigmas y de los retos que plantea la protección de este derecho fundamental de las personas en un entorno cada vez más tecnológico, hiperconectado e interrelacionado. La innovación es imparable y, por regla general, positiva para el avance y el desarrollo general, pero del mismo modo en que estos procesos no pueden dar la espalda a los derechos de los ciudadanos, tampoco éstos pueden usarse como excusa para justificar una suerte de parálisis empresarial. En este punto, la correcta aplicación práctica de los principios de privacidad desde el diseño y por defecto que propugna en próximo Reglamento europeo de Protección de Datos (en lo que sigue, el Reglamento) es clave.

De forma adicional, la privacidad no debería abordarse como un “elemento técnico” más a considerar en la proyección de las distintas iniciativas empresariales que se pretendan activar, en realidad, debería ser una forma de trabajar, parte de una cultura corporativa de integración natural de los derechos básicos en el funcionamiento y gobierno ordinario de las organizaciones. Y para que ello concurra de forma generalizada en nuestro país se debe seguir trabajando aún.

Por otra parte, hoy en día nos encontramos con ciudadanos más informados y conocedores de sus derechos, por lo que es lógico que éstos, cada vez más, consideren si los productos o servicios que se plantean adquirir o utilizar respetan realmente su información personal, o la tratan correctamente y, por ende, si pueden sentirse razonablemente “seguros” con aquéllos.

Por este motivo, el enfoque de la privacidad como un elemento de diferenciación y competitividad empresarial está cada vez es más patente a la hora de idear nuevos modelos de negocio, no sólo para evitar sanciones, sino para resultar bienes más confiables de cara a la ciudadanía, sirviendo esto como una palanca de crecimiento exponencial de las ventas programadas por la compañía.

Como se observa, son diversos los parámetros que, bien engranados, tanto del lado del empresariado, como del de la ciudadanía permitirían mejorar la protección a la privacidad, sin merma a la innovación. Además, el texto del Reglamento apoya esta idea al destacar como principio inspirador de la normativa protectora de datos personales que se atienda al progreso económico y social y el fortalecimiento y la convergencia del mercado interior, facilitando el libre movimiento de los datos personales en este marco.

En relación a esta nueva regulación europea que llega, varios son los aspectos reseñables en cuanto al reforzamiento general de los derechos de los interesados y, desde el punto de vista procedimental, destacan cuestiones tales como el impulso de los principios de transparencia, accountability, etc., pero creo importante reseñar, en esta ocasión, los siguientes aspectos de la misma pues serán claves en los próximos años:

1. Desarrollo de Proyectos o Iniciativas “Big Data”: La posibilidad de trazar perfiles y modelos o patrones de conducta de los ciudadanos, así como la preocupación por garantizar la pseudoanonimización y la disociación de la información personal que fluye en este tipo de proyectos han determinado, por ejemplo, la reciente introducción en el Reglamento de nuevos conceptos. Entre otros, destacan los de “elaboración o trazado de perfiles” referido a cualquier forma de tratamiento automatizado de datos de carácter personal que consista en el uso de éstos para evaluar determinados aspectos de la personalidad de una persona física, en particular, para analizar o predecir los aspectos relativos a su actuación en el trabajo, situación económica, salud, preferencias, comportamientos, intereses personales, ubicación o movimientos, etc.). También el de “pseudoanonimización” entendido como el tratamiento de los datos personales de tal forma que los datos ya no pueden ser atribuidos a un concreto usuario de datos sin el uso de información adicional, siempre y cuando dicha información se mantenga de forma separada, y sujeta a medidas técnicas y organizativas necesarias para garantizar su no atribución a una concreta persona física.

Asimismo, evaluar el impacto en privacidad de este tipo de proyectos es fundamental para minimizar los posibles riesgos jurídicos asociados, así como para detectar las medidas de seguridad más adecuadas a adoptar en cada caso. La Guía para una Evaluación de Impacto en la Protección de Datos Personales (EIPD) publicada en el año 2014 por la AEPD representa un buen punto de partida.

Desde luego, también sería deseable y recomendable la existencia de ciertas orientaciones o pautas prácticas dirigidas a las empresas o promotores que pretendan lanzar proyectos “Big Data” desde la perspectiva de la correcta protección de los datos personales, sobre todo, cuando éstos aluden a ciertos tipos de datos más sensibles como son los de salud, o a ciertos colectivos especialmente vulnerables como son el de los menores de edad.

2. Privacidad en la era del “connecting everything”: Según un reciente estudio de Juniper Research, el crecimiento del número de dispositivos conectados alcanzará en 2020 los 38.500 millones, es decir, un incremento del 285 por ciento respecto a los que se contabilizaron en el ejercicio 2015. En términos de privacidad, ello supone un auténtico reto e incide en la idea del control del trazado de perfiles, con el consiguiente efecto en lo que concierne a la huella o rastro digital global de las personas y cómo ello les afecta a diferente nivel.

Cada vez más se discute sobre un derecho que ya esbozó la Eurocámara en el año 2010 en torno al despliegue de Internet de las Cosas, al que bautizó como el “derecho al silencio de los chips” y que no deja de ser reflejo de otro más general como es el “derecho de los usuarios al pleno control de sus datos personales”.

3. Proyectos dirigidos a menores: Sí, pero con plenas garantías: En la última versión del Reglamento se produjo un giro importante en la medida en que, tal y como queda configurado el artículo 8 del mismo, con carácter general, se establece que, salvo que la legislación de los Estados miembros establezcan otra cosa, la edad mínima a los efectos de la libre disposición de la información personal se situará en los 16 años de edad. Además, la legislación nacional no podrá determinar una edad inferior a los 13 años de edad. Esta modificación jurídica tiene un importante impacto en todos los proyectos tecnológicos que se dirigen a este grupo poblacional y que van “in crescendo” referidos a su actividad en línea dentro y fuera del aula.

La obligación de recabar por el responsable de tratamiento, según los casos, el consentimiento de los respectivos representantes legales de menor para el tratamiento de su información personal, así como la de establecer por aquél las mejores medidas para verificar que tal autorización paterna ha acontecido realmente sigue siendo un “enigma” para la industria y una importante causa de preocupación. Mientras en EEUU existe un modelo o método escalable asociado a la “Children's Online Privacy Protection Act” (COPA), sin embargo en la UE se establece (y mantiene en el próximo Reglamento) el principio de libertad de elección para el citado responsable que, en la práctica, carece de orientaciones claras para el cumplimiento de dichas obligaciones. Resulta necesario nuevamente dotar a las empresas de pautas en la determinación de los mejores criterios a implementar en este tipo de proyectos en la medida en que, de otra forma, quedan expuestas al libre criterio y a la evaluación puntual que la autoridad de control realice en cada caso.

4. Procedimientos de notificación de brechas de información: Es un proceso que, tradicionalmente, ha resultado delicado e, incluso, dramático, según los casos, para las empresas que deban hacerlo por sus posibles consecuencias reputacionales y económicas. El desafío está, precisamente, en transformar este momento en una auténtica oportunidad para reforzar su reputación.

Con la entrada en vigor del nuevo reglamento, la obligación de realizar este tipo de procesos se generalizará para todas las empresas en nuestro país de forma que, cuando se produzca esta brecha, la empresa deberá sin mayor demora, y a más tardar 72 horas después de haber tomar conciencia de ello, comunicar con carácter básico la situación, los datos y el número de usuarios comprometidos, posibles consecuencias y medidas correctoras adoptadas a la autoridad de control.

También deberá informar al usuario afectado cuando exista un alto riesgo de afección a sus derechos en los términos dispuestos por el artículo 32 del Reglamento, salvo lo dispuesto en este mismo precepto. Por ejemplo, no será necesario notificar al usuario esta brecha si el la empresa hubiera cifrado la información de forma que resulte ininteligible frente a terceros habiendo minimizando al máximo el riesgo asociado a un posible acceso o tratamiento no autorizado por terceros a esta información personal.

5. Robótica, una industria al alza: Nos encontramos inmersos en la plena eclosión e impulso de la industria robótica, lo que no se asocia únicamente a “drones”, también a humanoides y, en general, a sistemas robóticos capaces de interactuar con terceros, predecir y analizar al detalle el comportamiento humano. Entre las principales implicaciones legales de esta tecnología se encuentran las relativas a la protección de los datos personales. De ahí que existan diversas corrientes e iniciativas mundiales centradas en esta nueva tendencia legal (robótica legal). En Europa destacan los resultados del proyecto RoboLaw a los que se puede acceder desde esta URL.

Sin lugar a dudas, este será, de nuevo, un año apasionante para el mundo de la privacidad, un derecho que bien merece celebrarlo cada día, aunque se recuerde de forma especial cada 28 de Enero.