– Socio fundador de Ribas y Asociados.
– Abogado dedicado al Derecho de las Tecnologías de la Información desde 1987
– Experto en Compliance.
– Director del Curso de Compliance Officer de Thomson Reuters Aranzadi.
– Director del Curso de DPO – RGPD de Thomson Reuters Aranzadi.
– Director del Practicum de Compliance de Thomson Reuters Aranzadi.
– Profesor de Compliance Tecnológico de ESADE.
– Designado por Expansión como uno de los 25 abogados referentes de España (2013)
– Designado por Best Lawyers como el mejor abogado de los años 2013 y 2015 en materia de protección de datos
– Designado por Best Lawyers como el mejor abogado del año 2014 en materia de IT Law
– Premio 2012 al mejor abogado en Derecho Digital (ICAB – Digital Law World Congress)
– Seleccionado por Chambers y Best Lawyers como uno de los mejores abogados en:
– Privacy & Data Protection
– Information Technology
– Intellectual Property
– Media
– Communications
– Director del Máster en Derecho de las TIC, Redes Sociales y Propiedad Intelectual (IT+IP) de ESADE
– Socio de PwC (1998-2012)
– Responsable de la red internacional de Derecho de las TIC de PwC (2000 – 2004)
– Auditor informático CISA (ISACA)
– Certified in Risk and Information Systems Control CRISC (ISACA)
– Vicepresidente 1º de ENATIC (2012 – 2015)
– Autor del libro Aspectos juridicos del comercio electronico en internet
– (Editorial Aranzadi 1999).
– Asesor Jurídico de BSA (Business Software Alliance) (1988 – 2011)
– Miembro de la Comisión de Regulación de la AECE (Asociación Española de Comercio Electrónico)
– Miembro de la Junta Directiva de la AUI (1996 – 2003)
– Presidente de ARBITEC Asociación Española de Arbitraje Tecnológico (1989 – 2015)
– Miembro del Legal Working Group de UNECE – CEFACT en materia de comercio electrónico (ONU)
– Autor del Manual Práctico de Contratación Informática CONTRACT-SOFT (1987-2003) 11ª Edición.
– Participante en el proyecto LATHE GAMBIT del Mando Aliado de la OTAN, relativo al análisis del entorno legal y la seguridad de Internet en materia de ciberdelitos.
– Autor de los paneles de control LOPD – RMS – LSSI – Contratos tecnológicos y Activos inmateriales
– Miembro de ISACA – Information Services Audit and Control Association
– Colegiado 12.968 del Colegio de Abogados de Barcelona
Este año se cumplen 30 años de nuestra especialización en protección de datos, ya que en 1992 iniciamos nuestros servicios de adecuación a la LORTAD, y también se cumplen 35 años de especialización en derecho de las TIC.
En línea con nuestra estrategia de crecimiento del despacho en los próximos años, y con efectos 1 de enero de 2022 han sido nombrados socios del despacho Rebeca Velasco y Marc Rius.
Rebeca es especialista en Protección de Datos y Derecho de las Tecnologías de la Información desde 2004, y en Compliance desde 2010 y ha desarrollado su experiencia principalmente en clientes del sector farmacéutico en los que también colabora en el Compliance del Código de Buenas Prácticas de la Industria Farmacéutica, así como en la revisión y redacción de procedimientos.
Marc es especialista en Protección de Datos y Derecho de las Tecnologías de la Información desde 2009 y en Compliance desde 2010. Además, por sus estudios previos a la licenciatura en derecho y por curiosidad e inquietud personales, ha desarrollado amplios conocimientos en el ámbito tecnológico, diseño y publicidad, especializándose específicamente en estas áreas para sectores tecnológico, de gran consumo y retail.
Tanto Rebeca como Marc son colaboradores académicos de diversos másters entre los que destacan el Máster IT+IP de ESADE Law School y del Máster en Derecho Digital y Sociedad de la Información UB- IL3, así como coordinadores del Curso de Auditoría de Compliance de Thomson Reuters y del Curso de Protección de Datos Personales de Thomson Reuters. También son responsables de diversos cursos dentro del propio Campus formativo de Ribas, www.campus-ribas.com.
Conjuntamente liderarán las prácticas de Protección de Datos y Compliance, focalizándose Marc en la práctica de Protección de datos y Publicidad y Rebeca en Protección de datos y Compliance.
Sus aportaciones como socios contribuirán al crecimiento de la firma, y a hacer frente al incremento que se está produciendo en los servicios de Protección de Datos, Compliance y ESG, áreas en las que seguimos desarrollado y ampliando servicios.
Quiero compartir mi agradecimiento y admiración por el esfuerzo que está realizando el magnífico equipo que forma el despacho en la elaboración de todos los documentos y materiales formativos que componen el widget jurídico relativo al PRTR de Campus Ribas.
Obligaciones a cumplir por la Administración Central, Autonómica y Local y por los agentes implicados en la ejecución del PRTR como perceptores de fondos, antes del 31 de diciembre de 2021
Las Administraciones Públicas y los agentes implicados en la ejecución tienen hasta el 31 de diciembre de 2021 para cumplir las obligaciones establecidas en el Plan de Recuperación, Transformación y Resiliencia (PRTR), realizar las acciones descritas en él y cumplir con el estándar mínimo en cada uno de los principios establecidos y elaborar los documentos relacionados.
ACCIONESMÁS DESTACADAS
Evaluar los procedimientos a través de los correspondientes cuestionarios de autoevaluación.
Adaptar los procedimientos.
Aplicar los criterios para el seguimiento y la acreditación de los hitos y objetivos alcanzados, de acuerdo con lo establecido en el PRTR.
Cumplir el compromiso de etiquetado verde en relación a los objetivos de transición ecológica.
Cumplir el compromiso de etiquetado digital en relación con los objetivos de transformación digital.
Analizar el riesgo de impacto negativo significativo en el medioambiente, realizar un seguimiento y una verificación del resultado en relación a la evaluación inicial.
Evaluar el riesgo de fraude.
Reforzar de los mecanismos para la prevención, detección y corrección del fraude, la corrupción y los conflictos de intereses.
Establecer un plan de medidas antifraude.
Definir y aplicar un procedimiento de evaluación del riesgo de fraude.
Establecer un protocolo de actuación en caso de detección de un posible fraude.
Compatibilizar el régimen de ayudas del Estado y prevenir la doble financiación.
Identificar al perceptor final de fondos o beneficiarios de las ayudas.
Identificar a los contratistas y a los subcontratistas.
Cumplimentar la Declaración de Ausencia de Conflicto de Intereses (DACI).
Asegurar el cumplimiento de las normas de uso del logo del PRTR.
Asegurar el cumplimiento de las normas en materia de comunicación e información.
Establecer un sistema de seguimiento del cumplimiento de los principios y de actualización de las medidas aplicadas.
Establecer un sistema de información para la gestión y el seguimiento de los planes y los objetivos establecidos en el PRTR.
Realizar el informe de gestión y la declaración de gestión.
DOCUMENTOS MÁS DESTACADOS
Política de aplicación de los principios del PRTR.
Política de protección del medioambiente.
Política de prevención de la corrupción, el fraude y los conflictos de intereses.
Política de prevención de la doble financiación.
Procedimiento de análisis de riesgos medioambientales.
Protocolo de toma de decisiones basado en los principios del PRTR.
Procedimiento de análisis sistemático de la gestión basado en indicadores operativos.
Lista de indicadores operativos.
Plan de medidas antifraude.
Procedimiento de evaluación del riesgo de fraude.
Mapa de relaciones.
Mapa de riesgos inherentes.
Mapa de riesgos residuales.
Lista de medidas preventivas del fraude, la corrupción y el conflicto de intereses.
Lista de medidas de detección del fraude, la corrupción y el conflicto de intereses.
Lista de medidas correctivas del fraude, la corrupción y el conflicto de intereses.
Protocolo de actuación en caso de detección de un posible fraude.
Procedimiento de identificación del beneficiario final y de los contratistas y subcontratistas.
Procedimiento de seguimiento de casos sospechosos.
Procedimiento de recuperación de los fondos de la UE gastados fraudulentamente.
Procedimiento relativo a la prevención y la corrección de situaciones de conflicto de intereses.
Procedimiento de comunicación y de aplicación de los logos del PRTR.
Informe de gestión.
Restantes documentos descritos en los anexos de la Orden Ministerial.
PAQUETE URGENTE DE MEDIDAS Y DOCUMENTOS
Dada la falta de tiempo para convocar un concurso público que permita contratar los servicios jurídicos necesarios para el cumplimiento de estas obligaciones y la elaboración de estos documentos, nuestro despacho ha desarrollado un paquete que incluye los documentos más destacados relacionados en el apartado anterior.
Este paquete de documentos está disponible de forma permanente en nuestro campus con el fin de que pueda actualizarse con los cambios y mejoras que se vayan introduciendo a raíz de su aplicación en la práctica y con los criterios manifestados por las autoridades de la UE y del Ministerio de Hacienda. De esta manera, los documentos podrán incorporar también la formación y el asesoramiento necesarios para su aplicación.
Si desea más información sobre este paquete, puede enviar un mensaje a xavier.ribas@ribastic.com y le remitiremos las condiciones de contratación.
De la misma manera que en el caso del Curso de Auditoría de Compliance, se trata de una idea que teníamos desde hace años porque desde 2016 hemos identificado y actualizado una gran cantidad de factores de riesgo, riesgos, controles, evidencias y acciones recomendadas y esperábamos que llegase el día para poder compartir estos activos y conocimientos tan valiosos para los profesionales dedicados a esta materia.
El curso es el resultado del esfuerzo conjunto de todo el despacho y de muchas horas de trabajo. Por ello tengo que mostrar mi agradecimiento al gran claustro de profesores que ha permitido entregaros tanto valor en un curso de auditoría.
Contenido
El curso incluye más de 4.000 elementos de soporte para la auditoría, distribuidos en:
45 materias o temas a auditar.
270 preguntas relativas a factores de riesgo.
Más de 700 preguntas relativas a riesgos.
Más de 700 preguntas relativas a controles.
Más de 600 riesgos.
Más de 500 controles.
Más de 500 evidencias.
Más de 500 acciones recomendadas.
Esquema de un tema de auditoría
En este diagrama se puede ver el esquema de cada uno de los 45 temas de auditoría.
Contenido detallado del curso
MÓDULO 1 – Metodología de la auditoría
Planificación de la auditoría
Identificación de las fuentes de información
Identificación de interlocutores
Alcance de la auditoría
Preguntas a realizar
Entrevistas
Verificación de la existencia del control
Verificación de la eficacia del control
Valoración del riesgo de incumplimiento
Proceso de obtención de evidencias
Repositorio de evidencias
Informe de auditoría
Presentación de los resultados
Indicadores de cumplimiento (KCI)
Plan de acción
MÓDULO 2. Auditoría de RGPD
TEMA 1. Modelo de prevención y control TEMA 2. Estructura de control TEMA 3. Delegado de Protección de Datos TEMA 4. Estructura normativa TEMA 5. Registro de actividades del tratamiento TEMA 6. Categorías especiales de datos TEMA 7. Auditoría de evaluaciones de impacto TEMA 8. Auditoría de los principios del tratamiento TEMA 9. Auditoria bases de legitimación TEMA 9A. Auditoria bases de legitimación- Consentimiento TEMA 10. Auditoría de cookies TEMA 11. Perfilado y Decisiones Automatizadas TEMA 12. Ejercicio de derechos TEMA 13. Limitación del plazo de conservación TEMA 14. Transferencias a terceros países TEMA 15. Comunicaciones de datos y destinatarios TEMA 16. Encargados y sub-encargados del tratamiento TEMA 17. La empresa como encargado del tratamiento TEMA 18. Corresponsables del tratamiento TEMA 19. Formación y concienciación TEMA 20. Repositorio de Evidencias
MÓDULO 3. Auditoría de LOPDGDD
TEMA 1. Datos de menores de edad TEMA 2. Datos de personas fallecidas TEMA 3. Tratamiento en operaciones mercantiles TEMA 4. Sistemas de videovigilancia TEMA 5. Sistemas de información de denuncias internas TEMA 6. Sistemas de exclusión publicitarías TEMA 7. Bloqueo de datos TEMA 8. Uso de dispositivos digitales en el ámbito laboral TEMA 9. Derecho a la desconexión digital TEMA 10. Control laboral TEMA 11. Sistemas de geolocalización en el ámbito laboral
MÓDULO 4. Auditoría de medidas técnicas y organizativas
TEMA 1. Política de seguridad TEMA 2. Medidas destinadas a garantizar la confidencialidad TEMA 3. Medidas destinadas a garantizar la integridad TEMA 4. Medidas destinadas a garantizar la disponibilidad TEMA 5. Registro de aplicaciones TEMA 6. Controles ISO TEMA 7. Cifrado de datos TEMA 8. Seudonimización TEMA 9. Anonimización TEMA 10. Procedimiento de gestión de incidentes de seguridad TEMA 11. Auditoría de criterios de la AEPD en relación a las medidas implantadas antes del incidente TEMA 12. Auditoría de criterios de la AEPD en relación a las medidas implantadas para el momento del incidente TEMA 13. Auditoría de criterios de la AEPD en relación a las medidas implantadas para después del incidente
Director del curso
Xavier Ribas
Profesores
Rebeca Velasco Marc Rius Paula Gómez Sandra Tintoré Miquel Vidal Juan Pablo Tornos Joan Xifra Paula Ribas Ramon Baradat Xavier Julve
Razones para hacer este curso
Desde la entrada en vigor del RGPD y de la LOPD se han producido muchos cambios en las empresas y se han publicado numerosas guías, recomendaciones y resoluciones de la AEPD.
Existen recursos y aplicaciones para realizar una auditoría de protección de datos (RGPD y LOPDGDD) desde el punto de vista metodológico, pero el mayor reto de la función de supervisión y control reside en la identificación de los riesgos, los criterios de las autoridades de control, las medidas concretas a aplicar para mitigarlos y las evidencias específicas a obtener para acreditar el cumplimiento.
Este curso tiene el objetivo de ofrecer al Delegado de Protección de Datos, a los auditores y a los responsables de verificar el cumplimiento la mayor recopilación posible de preguntas, factores de riesgo, riesgos, controles, evidencias y acciones recomendadas para acompañarlos en esta labor de supervisión y control.
Esperamos que este curso sea muy útil para toda la comunidad de profesionales dedicados a la protección de datos, tanto a los que se inician en el campo de la auditoría como a los más expertos.
Era una idea que teníamos desde hace años porque desde 2010 hemos identificado y actualizado una gran cantidad de factores de riesgo, riesgos, controles, evidencias y acciones recomendadas y esperábamos el día de poder compartir estos activos tan valiosos.
Es el resultado del esfuerzo conjunto de todo el despacho y de muchas horas de trabajo. Por ello tengo que mostrar mi agradecimiento al gran claustro de profesores que han permitido entregaros tanto valor en un curso de auditoría.
Contenido
El curso incluye más de 4.000 elementos de soporte para la auditoría, distribuidos en:
45 materias o temas a auditar.
270 preguntas relativas a factores de riesgo.
Más de 700 preguntas relativas a riesgos.
Más de 700 preguntas relativas a controles.
Más de 600 riesgos.
Más de 500 controles.
Más de 500 evidencias.
Más de 500 acciones recomendadas.
Esquema de un tema de auditoría
En este diagrama se puede ver el esquema de cada uno de los 45 temas de auditoría.
Contenido detallado del curso
M1 – Metodología de la auditoría
Planificación de la auditoría
Identificación de las fuentes de información
Identificación de interlocutores
Alcance de la auditoría
Preguntas a realizar
Entrevistas
Verificación de la existencia del control
Verificación de la eficacia del control
Valoración del riesgo de incumplimiento
Proceso de obtención de evidencias
Repositorio de evidencias
Informe de auditoría
Presentación de los resultados
Indicadores de cumplimiento (KCI)
Plan de acción
M2 – Auditoría del modelo de compliance
Modelo de prevención y control
Estructura de control
Compliance Officer
Estructura normativa
Código ético
Mapa de riesgos general
Mapa de riesgos sectorial
Protocolo de toma de decisiones
Modelo de gestión de los recursos financieros
Canal ético
Sistema disciplinario y sanciones
Formación y sensibilización
Control de proveedores y clientes críticos
Control de socios y filiales
Verificación periódica y mejora continua del modelo
Repositorio de evidencias
M3 – Auditoría de riesgos comunes a todos los sectores
Corrupción pública
Corrupción privada
Daños informáticos
Propiedad intelectual e industrial
Hacienda Pública y Seguridad Social
Mercado y consumidores
Blanqueo de capitales y financiación del terrorismo
Derechos de los trabajadores
Medio ambiente
Ordenación del territorio y urbanismo
Falsificación de tarjetas, medios de pago y moneda
Intimidad
Estafa
Insolvencias punibles y frustración en la ejecución
Delitos de odio
Seguridad Colectiva
Salud pública y manipulación genética
Delitos contra ciudadanos extranjeros
M4 – Auditoría de riesgos sectoriales
Sector farmacéutico
Sector financiero
Sector inmobiliario
Sector retail
Sector gran consumo
Sector tecnológico
M5 – Riesgos de negocio que generan riesgos de cumplimiento
Riesgos financieros
Riesgos de mercado
Riesgos de suministro
Riesgos tecnológicos y derivados de la transformación digital
Riesgos relacionados con la sostenibilidad
Riesgos relacionados con la continuidad del negocio
Riesgos relacionados con las burbujas económicas
Riesgos relacionados con la disrupción
Riesgos derivados de iniciativas activistas – Fondos, accionistas y grupos de interés activistas
Destinatarios de este curso
Compliance Officers.
Profesionales interesados en prepararse para ser auditores de compliance.
Directivos y técnicos responsables de sistemas de gestión de calidad, medio ambiente y sistemas integrados.
Profesionales con responsabilidades en cumplimiento y/o control interno (auditores, gestión de riesgos, control de gestión, asesoría jurídica…).
Gerentes y directivos sensibilizados con el cumplimiento normativo y su gestión.
Director del curso
Xavier Ribas
Cordinadora del curso
Rebeca Velasco
Profesores
Marc Rius Paula Gómez Sandra Tintoré Miquel Vidal Juan Pablo Tornos Joan Xifra Paula Ribas Ramon Baradat Xavier Julve
Razones para hacer este curso
Las crisis económicas ponen a prueba los modelos de prevención y control de delitos. Los controles ineficaces quedan al descubierto y muestran las debilidades de la cultura de cumplimiento de las organizaciones.
Existen recursos y aplicaciones para realizar una auditoría de compliance desde el punto de vista metodológico, pero el mayor reto de la función de supervisión y control reside en la identificación de los riesgos, los criterios de las autoridades de control, las medidas concretas a aplicar para mitigarlos y las evidencias específicas a obtener para acreditar el cumplimiento.
Este curso que nace en una época en la que los mapas de riesgos deben adaptarse a un nuevo escenario y la estructura de control debe redimensionarse para conocer y estar más cerca del riesgo, tiene el objetivo de ofrecer al Compliance Officer y a los responsables de verificar el cumplimiento la mayor recopilación posible de preguntas, factores de riesgo, riesgos, controles, evidencias y acciones recomendadas para acompañarlos en esta labor de supervisión y control.
Esperamos que este curso sea muy útil para toda la comunidad de profesionales dedicados al compliance, tanto a los que se inician en el campo de la auditoría como a los más expertos.
En septiembre de 1996 abrimos nuestra intranet a los clientes y la convertimos en una extranet.
Las carpetas se comportaban de una manera muy parecida a los actuales Equipos de Teams, pero con una diferencia de 25 años.
Esta era la primera página del contrato (en papel).
Su antecedente fue una BBS que creamos en 1987, a la que sólo accedieron dos clientes. Estaba operativa unas horas al día debido a los elevados costes de conexión.
Las acciones en las que no recomiendo el uso de herramientas informáticas, aplicaciones o plataformas para el envío automatizado de cuestionarios son las siguientes:
Auditorías de compliance.
Auditorías de protección de datos.
Análisis de riesgos.
Evaluaciones de impacto.
Investigaciones internas.
Otras acciones similares.
Las razones por las que no lo recomiendo son las siguientes:
Reconocimiento explícito de infracciones administrativas.
Reconocimiento explícito de delitos.
Reconocimiento explícito de prácticas anticompetitivas.
Creación involuntaria de evidencias de incumplimientos.
Dificultad para explicar o entender el sentido de la pregunta.
Dificultad para explicar o entender el contexto de la pregunta.
Dificultad para añadir la capa formativa que se añade a las entrevistas presenciales.
Alto porcentaje de respuestas erróneas debido a estas dificultades.
Dificultad para conseguir un clima de confianza.
Dificultad para demostrar que somos aliados del entrevistado.
Respuestas evasivas.
Respuestas N/A improcedentes.
Imposibilidad de valorar el lenguaje no verbal al responder.
Retrasos en la respuesta.
Pérdida de tiempo en recordatorios y persecuciones.
Necesidad de acciones disciplinarias ante la falta de respuesta.
Dificultad para modificar un cuestionario ya enviado. En el caso de precisar modificarlo hay que enviar un nuevo cuestionario, con el riesgo de que ya se hayan recibido respuestas del anterior.
Esta es una lista rápida de razones, derivada de la acumulación de experiencias negativas en clientes que todavía consideran que estas acciones se pueden automatizar. Hay muchas más razones para no hacerlo.
Hasta el momento no he encontrado nada mejor que una entrevista presencial o por videoconferencia.
Otra tarea que genera riesgos cuando se automatiza es la de los configuradores de cookies. La mayoría de ellos comparan las cookies halladas con una librería de cookies identificadas. Si una cookie específica de la empresa no es identificada, el configurador la coloca en la sección de cookies pendientes de categorizar, y si la empresa no las categoriza, puede estar suministrando información incompleta del tratamiento al interesado, lo cual constituye una infracción muy grave del RGPD.
La existencia de un tratamiento a gran escala es uno de los elementos determinantes de la necesidad de nombrar un DPO, de realizar una evaluación de impacto o de agravar una sanción. Es, por lo tanto, uno de los conceptos clave del RGPD.
Sin embargo, el concepto gran escala no está definido ni cuantificado en el RGPD ni tampoco en la LOPDGDD, con la consiguiente inseguridad jurídica que ello supone. Algún autor ha sugerido que las autoridades de control han dejado intencionadamente este concepto sin determinar con el fin de dar cabida en él al mayor número posible de tratamientos. Pero lo cierto es que el RGPD no establece claramente los parámetros cuantitativos para determinarlo, por lo que el resultado final es que la inseguridad jurídica no desaparece.
El considerando 91 del RGPD acota parcialmente el concepto al decir que las operaciones de tratamiento a gran escala persiguen tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional que podrían afectar a un gran número de interesados.
Seguimos con conceptos indeterminados como “cantidad considerable de datos” y “gran número de interesados”.
El Grupo de Trabajo del Artículo 29 (GT29) establece unos criterios orientativos basados en este considerando en las Directrices sobre los delegados de protección de datos (WP 243) adoptadas el 13 de diciembre de 2016 y revisadas por última vez y adoptadas el 5 de abril de 2017.
El GT29 reconoce que el RGPD no define qué se entiende por tratamiento a gran escala y añade que no es posible dar una cifra exacta, ya sea con relación a la cantidad de datos procesados o al número de personas afectadas, que pudiera aplicarse en todas las situaciones.
No obstante, el GT29 considera que esto no excluye la posibilidad de que, con el tiempo, se desarrolle un método estándar para identificar en términos más específicos o cuantitativos qué constituye “a gran escala” con respecto a determinados tipos de actividades de tratamiento comunes.
Esto no se ha hecho.
Por el contrario, los Estados miembro han ido aplicando criterios dispares en sus opiniones y resoluciones.
El GT29 recomienda que se tengan en cuenta los siguientes factores a la hora de determinar si el tratamiento se realiza a gran escala:
El número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente.
El volumen de datos o la variedad de elementos de datos que son objeto de tratamiento.
La duración, o permanencia, de la actividad de tratamiento de datos.
El alcance geográfico de la actividad de tratamiento.
Estos criterios no son suficientes para determinar lo que es un tratamiento a gran escala, y han sido objeto de aplicación incoherente en los distintos países en los que el RGPD es de aplicación, incumpliéndose el objetivo uniformador de este reglamento.
Tal como indica la International Association of Privacy Professional (IAPP) en este artículo: https://iapp.org/news/a/on-large-scale-data-processing-and-gdpr-compliance/, la interpretación del concepto gran escala en el Espacio Único Europeo ha oscilado entre los 50.000 interesados exigidos en Estonia para realizar una evaluación de impacto hasta los 5.000.000 de interesados, o el 40 por ciento de la población relevante para el tratamiento, establecido en 2018 por la autoridad de control alemana.
Como prueba de la dispar y poco uniforme interpretación del concepto gran escala en el EEE, vamos a ver a continuación los datos de los países que hemos podido analizar hasta el momento, directamente o a través de colaboradores locales. Cualquier información adicional que permita actualizar y completar este análisis será bienvenida.
España
El artículo 34 de la LOPDGDD contiene una lista de actividades o sectores que deben nombrar un DPO y de ello se deduce que todos estos sectores realizan tratamientos a gran escala y también efectúan una observación sistemática de los interesados.
Una referencia temprana, y no exenta de polémica por su falta de rigor jurídico, fue la de un alto cargo de la AEPD en una jornada de puertas abiertas, en la que indicó literalmente que un tratamiento a gran escala consistía en un tratamiento de “muchos, muchos datos de muchos, muchos interesados”.
En la resolución del procedimiento sancionador PS/00417/2019 la AEPD consideró que había un tratamiento a gran escala de clientes, pero no aportó ningún dato cuantitativo sobre el número de clientes, ni los criterios aplicados para concluir que había un tratamiento a gran escala. Tampoco indicó si se refería a clientes activos durante un determinado ejercicio o si incluía también a los clientes históricos que habían quedado excluidos del tratamiento principal.
Aplicando el criterio del alto cargo de la AEPD, en este caso no habría un tratamiento de muchos, muchos datos, ni de muchos, muchos interesados. Aplicando los criterios del considerando 91 del RGPD, tampoco habría una “cantidad considerable de datos” de un “gran número de interesados”.Y aplicando el criterio del porcentaje de población relevante para el tratamiento, cualquier cantidad de clientes que pueda tratar una startup en sus primeros años queda diluida en la inmensidad del océano de los clientes potenciales.
Por otro lado, el considerando 75 del RGPD indica claramente que los riesgos para los derechos y libertades de las personas físicas, de gravedad y probabilidad variables, pueden deberse al tratamiento de datos que pudieran provocar daños y perjuicios físicos, materiales o inmateriales, en particular en los casos en los que el tratamiento implique una gran cantidad de datos personales y afecte a un gran número de interesados. Deben darse, por lo tanto, los dos requisitos al mismo tiempo.
Alemania
El 23 de mayo de 2018 la autoridad de control alemana publicó un documento en el que estableció que se producía un tratamiento de datos a gran escala en términos cuantitativos en el caso de superar los 5.000.000 de interesados, o al menos el 40 por ciento del grupo de personas afectadas. Se entiende que se refiere al 40% de la población relevante para el tratamiento.
En el caso de Alemania, el criterio establecido en mayo de 2018 fue exclusivamente cuantitativo, pero las cifras establecidas fueron muy altas.
Italia
La autoridad de control italiana ha dado prioridad a la valoración del riesgo para los interesados. Ello ha hecho que en una resolución de 26 de marzo de 2020 haya dictaminado que el tratamiento de los datos de los estudiantes por un centro de enseñanza a distancia no constituye un tratamiento a gran escala y, en cambio, en una resolución previa del 7 de marzo de 2019 había considerado que un hospital público realizaba un tratamiento a gran escala de los datos de sus pacientes.
Portugal
No hemos encontrado ningún documento, guía o resolución en la que la autoridad portuguesa se pronuncie al respecto, limitándose a enlazar a la posición del GT29.
Polonia
La autoridad de control polaca estableció en una resolución de 2019 que una cifra de 2.200.000 clientes era suficiente para considerar que existía un tratamiento a gran escala. Es la única resolución en la que la autoridad de control parece estar 100% segura de que existe un tratamiento a gran escala. La autoridad polaca indica que: “La compañía, al tratar los datos personales de más de 2.200.000 usuarios, que deben considerarse como un tratamiento de datos personales a gran escala, y teniendo en cuenta el alcance de los datos y el contexto del tratamiento, estaba obligada a evaluar y monitorizar de manera más efectiva los riesgos para los derechos y libertades de las personas cuyos datos se trataban.”
Vemos que se tiene en cuenta la cantidad de los datos, pero también la tipología de los datos y el contexto del tratamiento.
El fracaso del RGPD en materia de coherencia entre autoridades de control.
Cabe destacar la crítica realizada por Johannes Caspar, responsable de la oficina de protección de datos de Hamburgo (Alemania) durante 12 años sobre la aplicación del RGPD, el mecanismo de ventanilla única, los sistemas de colaboración entre autoridades de control y los conflictos que han surgido entre ellas, dificultando la función uniformadora del RGPD.
El criterio que parece predominar es el del riesgo para el interesado, es decir, el riesgo potencial que un tratamiento a gran escala genera para los derechos y libertades de los interesados.
Es evidente que un tratamiento tiene un mayor impacto si afecta un gran número de interesados. Pero este único dato no es relevante si al final sólo se trata la dirección de correo electrónico del interesado. De hecho, muchas resoluciones de archivo de actuaciones se basan en la inexistencia de riesgo para los interesados cuando una brecha de seguridad sólo ha afectado a la dirección de correo electrónico, a pesar de haber un gran número de afectados.
En términos de riesgo para sus derechos y libertades, a un interesado tiene que preocuparle más estar en un tratamiento de 500 usuarios que en uno de varios millones, ya que en este último se convierte en una aguja en un pajar.
Lo que realmente genera el riesgo para el usuario es el nivel de sensibilidad de los datos. Tiene mucho más impacto en los derechos y libertades de los interesados una brecha de seguridad que afecte a 500 historias clínicas que una brecha que afecte a 500 millones de direcciones de correo electrónico.
Lo que nunca debería ocurrir es que un responsable del tratamiento fuese sancionado basándose únicamente en el número de interesados.
Primero, porque el legislador europeo estableció un vínculo claro entre la cantidad de interesados y la cantidad o tipología de los datos.
Segundo, porque la cantidad de interesados es irrelevante si el tratamiento y la tipología de los datos no generan riesgos para los derechos y libertades de los interesados.
Y tercero, porque no existe un criterio uniforme en el EEE que permita determinar a partir de qué cifra o porcentaje de la población relevante para el tratamiento se debe considerar que existe un tratamiento a gran escala.
Reitero mi agradecimiento por cualquier aportación que ayude a actualizar y completar este análisis comparativo y a acreditar la inexistencia de un criterio unificado en relación al tratamiento a gran escala.
Acabo de leer un artículo de Xavier Ferrás en La Vanguardia sobre la paradoja de Polanyi, que me ha gustado mucho. Esta paradoja muestra la dificultad de automatizar una tarea que al ser humano le resulta fácil realizar, pero difícil de explicar. El autor pone el ejemplo del reconocimiento facial. Un ser humano es capaz de reconocer a un amigo que se cruza por la calle a pesar de que hayan pasado 20 años sin verse y su rostro haya cambiado totalmente. Equipara la dificultad de trasladar ese conocimiento a un sistema informático a la dificultad de intentar explicar el color azul a una persona ciega que nunca lo ha visto.
Cuando identificamos a un conocido en la calle extraemos un conocimiento que se encuentra oculto detrás de un rostro. El conocimiento oculto es su identidad. Y lo hacemos comparando su cara, su mirada y la expresión de su rostro en su conjunto con los recuerdos almacenados de las personas a las que conocemos. El factor diferencial de la identificación es que extraemos a una persona del anonimato. Convertimos a una persona anónima en una persona identificada.
Cuando este proceso lo realiza un sistema informático, se produce una fase de registro de la imagen y otra de medición de los rasgos faciales. Muchas personas caen en el error de pensar que la invasión de la intimidad se produce en el acto de medir el cuerpo humano, de obtener métricas de un ser humano. Pero ello no es así.
La invasión de la intimidad se produce cuando esos datos biométricos nos permiten singularizar a una persona de entre otras muchas. Asociar un rostro que podría pertenecer a miles o millones de personas a una identidad concreta, después de haber valorado el conjunto de la muestra disponible.
La clave, por lo tanto, reside en el carácter oculto de la identidad.
Si aplicamos el habitual ejemplo de la cebolla para explicar las distintas capas de un objeto o de un conocimiento, la fotografía de una cara sería la primera capa exterior, las métricas de la cara serían la segunda capa y la identidad de la persona sería la tercera capa.
Lo que el derecho a la intimidad protege es esta tercera capa interior porque está oculta para todos aquellos que no conocen a la persona o porque no tienen los medios para identificarla. Y cuando una persona quiere que, ni las personas que la conocen, ni las personas que tienen los medios para identificarla, puedan conocer su identidad, debe recurrir a modificar la primera capa, alterando los rasgos faciales para que ni los primeros ni los segundos puedan acceder a la tercera capa de su identidad.
¿Por qué los datos sobre nuestras opiniones políticas son datos sensibles? Porque residen en esa tercera capa y el derecho a la intimidad nos ofrece la posibilidad de mantenerlos ocultos. Si los divulgamos, los trasladamos de la tercera capa a la primera con sus correspondientes consecuencias jurídicas.
¿Por qué los datos sobre nuestra salud son datos sensibles? Porque residen en esa tercera capa y el derecho a la intimidad nos ofrece la posibilidad de mantenerlos ocultos. Si los divulgamos, los trasladamos de la tercera capa a la primera con sus correspondientes consecuencias jurídicas.
¿Por qué los datos sobre nuestras convicciones religiosas son datos sensibles? Porque residen en esa tercera capa y el derecho a la intimidad nos ofrece la posibilidad de mantenerlos ocultos. Si los divulgamos, los trasladamos de la tercera capa a la primera con sus correspondientes consecuencias jurídicas.
¿Por qué los datos sobre nuestra vida sexual o nuestra orientación sexual son datos sensibles? Porque residen en esa tercera capa y el derecho a la intimidad nos ofrece la posibilidad de mantenerlos ocultos. Si los divulgamos, los trasladamos de la tercera capa a la primera con sus correspondientes consecuencias jurídicas.
En cambio, con los datos biométricos no sucede lo mismo.
Para que un dato biométrico sea un dato sensible, para que pertenezca a una categoría especial de datos, tiene que permitirnos acceder a la identidad oculta de una persona con el fin de sacarla a la superficie, incluso en contra de su voluntad.
Por eso ha querido el legislador proteger al interesado de esa intromisión en su intimidad.
La identificación basada en datos biométricos nos va a permitir extraer el conocimiento oculto de la identidad de una persona gracias a la existencia de patrones obtenidos previamente y almacenados en una base de datos. Un ejemplo muy claro es la identificación de un terrorista en un aeropuerto, por las consecuencias jurídicas que identificarlo va a tener para él y por las terribles consecuencias que no identificarlo va a tener para los demás.
Pero la autenticación es algo absolutamente diferente.
En la autenticación sólo se actúa en la primera y en la segunda capa.
Cuando utilizo mi rostro para autenticarme y acceder a un sistema informático, utilizo un nombre de usuario para decirle que soy un usuario registrado y que debe darme acceso. El sistema está configurado para no creer a cualquiera que diga que soy yo, y por lo tanto, realiza una verificación de mi identidad.
Esta verificación consiste en captar mis rasgos faciales, medirlos y comparar las métricas obtenidas con las que están asociadas a mi nombre de usuario.
El sistema no compara mi patrón facial con el de otros usuarios registrados para acceder a mi identidad. Mi identidad ya la tiene, y está asociada a mi nombre de usuario gracias al trabajo previo de registro. En conclusión, el sistema tiene las tres capas de conocimiento porque el día del registro se las facilité. Pero en el momento de la autenticación sólo utiliza las dos primeras.
Cada vez que intento acceder a mi cuenta, el sistema realiza las siguientes acciones:
Capta mi rostro (primera capa de información).
Mide mis rasgos y obtiene los datos biométricos de mi cara (segunda capa de información).
Compara estos datos con los que tiene guardados y que están asociados a mi nombre de usuario (seguimos en la segunda capa de información).
Verifica que hay correspondencia entre los datos obtenidos ahora y los datos obtenidos en el momento del registro y me permite el acceso.
En ninguna parte de este proceso el sistema ha tenido que singularizar a la persona comparándola con otras porque el usuario ya se ha identificado a sí mismo con su nombre de usuario y el sistema se ha limitado a verificar que decía la verdad.
La gran diferencia de la autenticación es que el usuario ya está identificado y el sistema se limita a verificar que no hay una suplantación.
La autenticación no necesita acceder a la tercera capa para conseguir su eficacia. La identidad puede estar incluso fuera del sistema y no ser relevante para el proceso de autenticación, que sólo verifica si el usuario con esos datos biométricos tiene autorización para entrar en el sistema.
Los medios que estos días afirman en sus titulares que la AEPD ha prohibido el uso del reconocimiento facial en los exámenes online están publicando una noticia falsa. Lo que ha dicho la AEPD en su resolución de advertencia es que el planteamiento propuesto por la UNIR no estaba ajustado a la normativa de protección de datos, pero no ha prohibido de forma generalizada el uso del reconocimiento facial en los exámenes online. La advertencia es únicamente para la UNIR y para el modelo de reconocimiento facial planteado.
La UNIR se cerró ella misma las puertas que la AEPD había dejado abiertas.
En sus informes y resoluciones la AEPD y otros organismos europeos se han manifestado en relación a la categoría a la que pertenecen los datos tratados con los sistemas de reconocimiento facial, la base jurídica del tratamiento, la obligación de informar y el impacto en los derechos y libertades de los interesados.
El camino estaba bien trazado, pero en este caso no se ha seguido, como veremos a continuación.
Categoría a la que pertenecen los datos tratados con los sistemas de reconocimiento facial
La primera puerta que la AEPD había dejado abierta era la de la autenticación. La AEPD y otros organismos europeos defienden la tesis de que el RGPD distingue entre la finalidad de identificar a una persona partiendo de múltiples patrones faciales y la finalidad de autenticar a una persona a partir de su propio patrón facial.
En el caso de la identificación, los datos biométricos tratados son datos sensibles (categorías especiales de datos), porque permiten sacar a una persona del anonimato, o asociar unos datos a una persona concreta.
En el caso de la autenticación, los datos biométricos son datos ordinarios que quedan fuera del ámbito del artículo 9 del RGPD.
La primera confusión es por lo tanto entender que todos los datos biométricos son datos sensibles. Sólo son datos sensibles cuando la finalidad es la identificación unívoca de una persona.
Lo dice textualmente la AEPD en la resolución de advertencia: “los datos biométricos sólo constituirían una categoría especial de datos en el caso de que se sometan a un tratamiento específico dirigido a identificar de manera unívoca a una persona física”.
La identificación busca a una persona anónima, no identificada o desconocida en una base de datos de posibles personas identificadas, mientras que la autenticación verifica si la persona que se presenta como conocida es la que efectivamente quien dice ser, porque previamente ha proporcionado los datos necesarios para hacer esta autenticación o verificación.
En este requisito de la finalidad los datos biométricos se diferencian de los datos genéticos, que siempre son sensibles.
En el siguiente artículo y en la infografía explico gráficamente la diferencia entre la finalidad de identificar y la de autenticar.
La UNIR reconoció expresamente que los datos biométricos eran una categoría especial de datos. Con ello se cerró la primera puerta y no dejó otra opción a la AEPD.
Base jurídica del tratamiento
La UNIR aplicó el consentimiento como única base jurídica del tratamiento. El consentimiento puede dejar de ser libre en el momento en el que existe un desequilibrio entre el responsable del tratamiento y el interesado, como se produce en el caso de una universidad y un alumno.
Sin descartar totalmente la base jurídica del consentimiento, la AEPD y otros organismos europeos indican que puede haber bases más adecuadas.
Por ejemplo, la base jurídica de la autenticación puede ser la ejecución del contrato, ya que la finalidad de este tratamiento es asegurar que en el momento del examen está presente una persona que es parte en el contrato, y no otra.
La base jurídica de la prevención del fraude sería el interés legítimo, pero no sólo el de la universidad, sino también el del alumno, que tiene derecho a que el título que obtenga con ese examen no pierda valor en el mercado laboral y profesional a causa del fraude.
Es evidente que en las empresas y los despachos profesionales contrataremos primero a un graduado en una universidad con bajo nivel de fraude que a un graduado en una universidad con alto nivel de fraude.
Sólo hay que ver el puesto que ocupan en el ranking mundial o nacional las universidades implicadas en escándalos de venta de títulos.
En cualquier caso, el alumno puede escoger entre el reconocimiento facial y el título basura.
Al centrarse únicamente en la base jurídica del consentimiento la UNIR se cerró otra puerta que estaba abierta.
Necesidad del tratamiento
La UNIR alegó que el tratamiento automatizado del reconocimiento facial era necesario, pero después demostró que podía aplicar la alternativa del tratamiento manual. Con ello se cerró la puerta del juicio de necesidad, que exige que el tratamiento sea necesario en el sentido de que no haya otras opciones menos intrusivas.
Está demostrado que el tratamiento manual no consigue reducir las altas cifras de fraude y suplantación de identidad que existen en los exámenes online.
Si el reconocimiento facial y los patrones de tecleo son las únicas vías para reducir el fraude en los exámenes online y evitar los títulos basura y la salida al mercado laboral de profesionales más preparados en el arte del engaño que en los contenidos que debían aprender, parece clara la necesidad del tratamiento.
Información previa
La UNIR se cerró otra puerta al no informar a los alumnos en el momento oportuno.
El momento de informar sobre el uso de técnicas de reconocimiento facial y patrones de tecleo es antes de formalizar la matrícula.
El alumno debe conocer las técnicas de prevención del fraude que utiliza cada universidad y escoger aquélla que considere más adecuada para sus intereses.
En el caso de la universidades 100% online la elección es clara cuando los exámenes también son 100% online. El alumno tiene la ventaja de que no tendrá que realizar ningún desplazamiento, pero a cambio, asumirá el uso de unas medidas de seguridad superiores.
La capacidad de escoger las distintas alternativas que ofrece el sector de la enseñanza aparece en el momento de seleccionar el centro en el que vas a cursar los estudios. Esos centros son los caladeros en los que las empresas y los despachos profesionales van a buscar el talento. Por lo tanto, hay que encontrar el equilibrio entre el prestigio del centro y el nivel de fraude que permite, porque estos parámetros son los acabarán marcando el valor la titulación ofrecida.
Impacto en los derechos y libertades
La UNIR se cerró la última puerta al no acreditar la inexistencia de perjuicios para los alumnos y tampoco la existencia de beneficios.
Lo que realmente se ha considerado invasivo y con alto riesgo para los interesados es el uso del reconocimiento facial para la finalidad de la identificación unívoca, no para la finalidad de la autenticación.
En la identificación unívoca mediante reconocimiento facial se pueden utilizar varios niveles:
El reconocimiento facial manual sin expertos.
El reconocimiento facial manual con expertos.
El reconocimiento facial automatizado sin datos biométricos.
El reconocimiento facial automatizado con datos biométricos.
El reconocimiento facial automatizado con datos biométricos y con inteligencia artificial.
Todos estamos de acuerdo en los riesgos asociados al último nivel, por ser el más invasivo y sobre el que se está promoviendo una regulación que garantice los derechos y libertades de los interesados.
Pero en los exámenes online no estamos hablando de identificación sino de autenticación, y ello supone comparar el patrón facial de la persona que acude al examen con el obtenido de su DNI o el que facilitó en el momento del registro.
Este tratamiento no utiliza datos sensibles.
Por otra parte hay que valorar los derechos de las restantes partes implicadas.
Por ejemplo:
El derecho a contratar a un profesional que realmente haya superado el nivel establecido para valorar sus conocimientos.
El derecho a una titulación válida y no a un título basura por parte de los alumnos que no han cometido fraude.
El derecho del mercado laboral y profesional a poder confiar en el valor de una titulación.
El derecho del propio alumno a que se valoren sus conocimientos y no su habilidad para cometer fraudes. Y a iniciar su carrera profesional limpiamente y sin basar su acreditación académica en un fraude.
En estos puntos hay otros factores como la calidad de la enseñanza o vivir en un país en el que hacer chuletas tiene un elevado grado de aceptación, pero hoy tocaba hablar de protección de datos.
ACTUALIZACIÓN 20/08/2021
En el debate suscitado por este artículo en LinkedIn, Ignacio San Martín comenta la interpretación de la AEPD en su informe 2021/0047 de 19 de julio, relativo al tratamiento de datos de reconocimiento facial en el momento del alta de clientes en la oficina o a través de un canal online con el objetivo de verificar su identidad y así realizar las verificaciones oportunas previstas en la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo (PBC/FT), así como del control del fraude.
En la página 3 del informe la AEPD distingue entre identificación y autenticación y considera que en el caso analizado se realiza un de tratamiento de datos biométricos con la finalidad de cumplir con el deber de identificación establecido en la normativa de PBC. Por lo tanto se decanta por la identificación.
En la página 15 justifica esta interpretación en el hecho de que el artículo 3 de la Ley 10/2010 de PBC y FT establece una obligación de identificación.
Considero que la AEPD ha cometido un error al ceñirse a la literalidad del texto, ya que la acción que describe este artículo 3 no es de identificación, sino de comprobación de la identidad, tal como indica claramente en el párrafo 2: “Con carácter previo al establecimiento de la relación de negocios o a la ejecución de cualesquiera operaciones, los sujetos obligados comprobarán la identidad de los intervinientes mediante documentos fehacientes.”
Lo que debe hacer el sujeto obligado no es comparar el patrón facial del interesado con el de múltiples interesados, sino con un documento fehaciente, como un DNI, que incorpora una foto que permite obtener un patrón facial del interesado.
Esta actividad de comprobación o verificación es una autenticación, por lo que los datos biométricos tratados no serían categorías especiales de datos.