Los medios que estos días afirman en sus titulares que la AEPD ha prohibido el uso del reconocimiento facial en los exámenes online están publicando una noticia falsa. Lo que ha dicho la AEPD en su resolución de advertencia es que el planteamiento propuesto por la UNIR no estaba ajustado a la normativa de protección de datos, pero no ha prohibido de forma generalizada el uso del reconocimiento facial en los exámenes online. La advertencia es únicamente para la UNIR y para el modelo de reconocimiento facial planteado.

La UNIR se cerró ella misma las puertas que la AEPD había dejado abiertas.

En sus informes y resoluciones la AEPD y otros organismos europeos se han manifestado en relación a la categoría a la que pertenecen los datos tratados con los sistemas de reconocimiento facial, la base jurídica del tratamiento, la obligación de informar y el impacto en los derechos y libertades de los interesados.

El camino estaba bien trazado, pero en este caso no se ha seguido, como veremos a continuación.

Categoría a la que pertenecen los datos tratados con los sistemas de reconocimiento facial

La primera puerta que la AEPD había dejado abierta era la de la autenticación. La AEPD y otros organismos europeos defienden la tesis de que el RGPD distingue entre la finalidad de identificar a una persona partiendo de múltiples patrones faciales y la finalidad de autenticar a una persona a partir de su propio patrón facial.

En el caso de la identificación, los datos biométricos tratados son datos sensibles (categorías especiales de datos), porque permiten sacar a una persona del anonimato, o asociar unos datos a una persona concreta.

En el caso de la autenticación, los datos biométricos son datos ordinarios que quedan fuera del ámbito del artículo 9 del RGPD.

La primera confusión es por lo tanto entender que todos los datos biométricos son datos sensibles. Sólo son datos sensibles cuando la finalidad es la identificación unívoca de una persona. 

Lo dice textualmente la AEPD en la resolución de advertencia: “los datos biométricos sólo constituirían una categoría especial de datos en el caso de que se sometan a un tratamiento específico dirigido a identificar de manera unívoca a una persona física”.

La identificación busca a una persona anónima, no identificada o desconocida en una base de datos de posibles personas identificadas, mientras que la autenticación verifica si la persona que se presenta como conocida es la que efectivamente quien dice ser, porque previamente ha proporcionado los datos necesarios para hacer esta autenticación o verificación.

En este requisito de la finalidad los datos biométricos se diferencian de los datos genéticos, que siempre son sensibles.

En el siguiente artículo y en la infografía explico gráficamente la diferencia entre la finalidad de identificar y la de autenticar.

Opinión sobre el criterio de la AEPD sobre el reconocimiento facial

Infografía sobre las dos finalidades de los datos biométricos

Casos en los que el patrón facial no es un datos sensible

La UNIR reconoció expresamente que los datos biométricos eran una categoría especial de datos. Con ello se cerró la primera puerta y no dejó otra opción a la AEPD.

Base jurídica del tratamiento

La UNIR aplicó el consentimiento como única base jurídica del tratamiento. El consentimiento puede dejar de ser libre en el momento en el que existe un desequilibrio entre el responsable del tratamiento y el interesado, como se produce en el caso de una universidad y un alumno.

Sin descartar totalmente la base jurídica del consentimiento, la AEPD y otros organismos europeos indican que puede haber bases más adecuadas.

Por ejemplo, la base jurídica de la autenticación puede ser la ejecución del contrato, ya que la finalidad de este tratamiento es asegurar que en el momento del examen está presente una persona que es parte en el contrato, y no otra.

La base jurídica de la prevención del fraude sería el interés legítimo, pero no sólo el de la universidad, sino también el del alumno, que tiene derecho a que el título que obtenga con ese examen no pierda valor en el mercado laboral y profesional a causa del fraude.

Es evidente que en las empresas y los despachos profesionales contrataremos primero a un graduado en una universidad con bajo nivel de fraude que a un graduado en una universidad con alto nivel de fraude.

Sólo hay que ver el puesto que ocupan en el ranking mundial o nacional las universidades implicadas en escándalos de venta de títulos.

En cualquier caso, el alumno puede escoger entre el reconocimiento facial y el título basura.

Al centrarse únicamente en la base jurídica del consentimiento la UNIR se cerró otra puerta que estaba abierta.

Necesidad del tratamiento

La UNIR alegó que el tratamiento automatizado del reconocimiento facial era necesario, pero después demostró que podía aplicar la alternativa del tratamiento manual. Con ello se cerró la puerta del juicio de necesidad, que exige que el tratamiento sea necesario en el sentido de que no haya otras opciones menos intrusivas.

Está demostrado que el tratamiento manual no consigue reducir las altas cifras de fraude y suplantación de identidad que existen en los exámenes online.

Si el reconocimiento facial y los patrones de tecleo son las únicas vías para reducir el fraude en los exámenes online y evitar los títulos basura y la salida al mercado laboral de profesionales más preparados en el arte del engaño que en los contenidos que debían aprender, parece clara la necesidad del tratamiento.

Información previa

La UNIR se cerró otra puerta al no informar a los alumnos en el momento oportuno.

El momento de informar sobre el uso de técnicas de reconocimiento facial y patrones de tecleo es antes de formalizar la matrícula.

El alumno debe conocer las técnicas de prevención del fraude que utiliza cada universidad y escoger aquélla que considere más adecuada para sus intereses.

En el caso de la universidades 100% online la elección es clara cuando los exámenes también son 100% online. El alumno tiene la ventaja de que no tendrá que realizar ningún desplazamiento, pero a cambio, asumirá el uso de unas medidas de seguridad superiores.

La capacidad de escoger las distintas alternativas que ofrece el sector de la enseñanza aparece en el momento de seleccionar el centro en el que vas a cursar los estudios. Esos centros son los caladeros en los que las empresas y los despachos profesionales van a buscar el talento. Por lo tanto, hay que encontrar el equilibrio entre el prestigio del centro y el nivel de fraude que permite, porque estos parámetros son los acabarán marcando el valor la titulación ofrecida.

Impacto en los derechos y libertades

La UNIR se cerró la última puerta al no acreditar la inexistencia de perjuicios para los alumnos y tampoco la existencia de beneficios.

Lo que realmente se ha considerado invasivo y con alto riesgo para los interesados es el uso del reconocimiento facial para la finalidad de la identificación unívoca, no para la finalidad de la autenticación.

En la identificación unívoca mediante reconocimiento facial se pueden utilizar varios niveles:

1. El reconocimiento facial manual sin expertos.
2. El reconocimiento facial manual con expertos.
3. El reconocimiento facial automatizado sin datos biométricos.
4. El reconocimiento facial automatizado con datos biométricos.
5. El reconocimiento facial automatizado con datos biométricos y con inteligencia artificial.

Todos estamos de acuerdo en los riesgos asociados al último nivel, por ser el más invasivo y sobre el que se está promoviendo una regulación que garantice los derechos y libertades de los interesados.

Pero en los exámenes online no estamos hablando de identificación sino de autenticación, y ello supone comparar el patrón facial de la persona que acude al examen con el obtenido de su DNI o el que facilitó en el momento del registro.

Este tratamiento no utiliza datos sensibles.

Por otra parte hay que valorar los derechos de las restantes partes implicadas. 

Por ejemplo:

• El derecho a contratar a un profesional que realmente haya superado el nivel establecido para valorar sus conocimientos.
• El derecho a una titulación válida y no a un título basura por parte de los alumnos que no han cometido fraude.
• El derecho del mercado laboral y profesional a poder confiar en el valor de una titulación.
• El derecho del propio alumno a que se valoren sus conocimientos y no su habilidad para cometer fraudes. Y a iniciar su carrera profesional limpiamente y sin basar su acreditación académica en un fraude.

En estos puntos hay otros factores como la calidad de la enseñanza o vivir en un país en el que hacer chuletas tiene un elevado grado de aceptación, pero hoy tocaba hablar de protección de datos.

ACTUALIZACIÓN 20/08/2021

En el debate suscitado por este artículo en LinkedIn, Ignacio San Martín comenta la interpretación de la AEPD en su informe 2021/0047 de 19 de julio, relativo al tratamiento de datos de reconocimiento facial en el momento del alta de clientes en la oficina o a través de un canal online con el objetivo de verificar su identidad y así realizar las verificaciones oportunas previstas en la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo (PBC/FT), así como del control del fraude.

En la página 3 del informe la AEPD distingue entre identificación y autenticación y considera que en el caso analizado se realiza un de tratamiento de datos biométricos con la finalidad de cumplir con el deber de identificación establecido en la normativa de PBC. Por lo tanto se decanta por la identificación.

En la página 15 justifica esta interpretación en el hecho de que el artículo 3 de la Ley 10/2010 de PBC y FT establece una obligación de identificación.

Considero que la AEPD ha cometido un error al ceñirse a la literalidad del texto, ya que la acción que describe este artículo 3 no es de identificación, sino de comprobación de la identidad, tal como indica claramente en el párrafo 2: “Con carácter previo al establecimiento de la relación de negocios o a la ejecución de cualesquiera operaciones, los sujetos obligados comprobarán la identidad de los intervinientes mediante documentos fehacientes.”

Lo que debe hacer el sujeto obligado no es comparar el patrón facial del interesado con el de múltiples interesados, sino con un documento fehaciente, como un DNI, que incorpora una foto que permite obtener un patrón facial del interesado.

Esta actividad de comprobación o verificación es una autenticación, por lo que los datos biométricos tratados no serían categorías especiales de datos.

Hoy lanzamos en Campus Ribas el Curso de Control Interno para Compliance Officers dirigido a Compliance Officers y a profesionales relacionados con el Compliance.

El curso está impartido por Valentín Pauner, reconocido directivo que acumula una gran experiencia en materia de control interno en una empresa internacional del sector de la alimentación.

Todo el curso se imparte mediante vídeos grabados por el propio director del curso, logrando una gran proximidad al ponente y a la materia.

El curso va dirigido a adquirir conocimientos en relación a los siguientes puntos:

1. Función del control interno en una compañía.
2. Fases de la implementación de Control Interno.
3. Puntos a tener en cuenta para realizar el análisis de los procesos.
4. Tipos de riesgos y ejemplos prácticos.
5. Definición de los controles.
6. Evaluación de los riesgos y los controles.
7. Relación entre control interno y el compliance.
8. Aportaciones del control interno a la prevención de delitos.
9. El control interno como evidencia a los efectos de responsabilidad penal corporativa.

Espero que sea interesante para vosotros. Podéis acceder a más información sobre el curso a través de este enlace:

Enlace a la página informativa del curso

La AEPD ha publicado una resolución en la que aparece como indicador de un uso no diligente de sus claves por parte del cliente su aparición en el sitio web haveibeenpwned.com, que ofrece un servicio gratuito que permite a cualquier usuario comprobar si su dirección de correo electrónico figura en estas listas, y por lo tanto, si sus claves han quedado comprometidas y debe cambiarlas de inmediato.

En la resolución se reproduce la alegación de que el reclamante es un exponente de escasa diligencia en la gestión y custodia de sus credenciales, ya que su historial de claves expuestas en brechas de seguridad se inicia en 2008 y llega hasta 2019, y el éxito de la suplantación de identidad confirma que durante todo este tiempo el reclamante no ha cambiado las claves de acceso reiteradamente comprometidas.

También se indica que los hechos ocurridos en relación con la cuenta del usuario reclamante coinciden plenamente con el patrón de actuación habitual de los ciberdelincuentes que utilizan los datos comercializados en el mercado negro de países de la Europa del Este como Ucrania para suplantar la identidad de sus víctimas y realizar compras fraudulentas. En este caso concreto, vemos que el ciberataque se realiza desde Ucrania y que aprovecha la actuación negligente del reclamante, al utilizar reiteradamente la misma clave en distintos servicios que fueron afectados por una brecha de seguridad que dejó expuestas sus credenciales.

Creo firmemente que si no desconectas es porque no quieres.

Si estuvieses en una zona sin cobertura estarías realmente desconectado, ¿no? En este post explico algo que debería incluirse en la formación prevista en el artículo 88 de la LOPDGDD, ya que no todos los usuarios conocen la existencia de estas funciones.

Considero que es mucho más fácil que yo me desconecte que obligar a mis compañeros a averiguar si tengo derecho a estar desconectado cuando quieran enviarme un mensaje. Porque mi tiempo de descanso puede coincidir con su tiempo de trabajo.

Estas instrucciones van dirigidas a los usuarios de iOS, pero me consta que Android cuenta con funciones parecidas.

Función “No molestar”

En esta pantalla de los ajustes del sistema se puede configurar un periodo de tiempo en el que se silenciarán las llamadas y las notificaciones.

Se pueden establecer excepciones para determinadas personas.

También se pueden establecer excepciones para llamadas repetidas. Si se trata de un asunto urgente y alguien llama dos veces en menos de tres minutos, podemos configurar el sistema para que la llamada entre y no se silencie.

Tiempo de inactividad o de descanso

También podemos programar nuestro tiempo de descanso y personalizarlo para cada día de la semana.

Durante este periodo de tiempo sólo estarán disponibles las aplicaciones seleccionadas, pudiendo bloquear las aplicaciones corporativas.

Otras restricciones

También se pueden configurar las siguientes restricciones:

1. Límite de uso por aplicación.
2. Límite de comunicación para los contactos corporativos.

De esta manera, si mañana fuese un día especial y decidiese tomármelo como día de vacaciones, no tengo que esperar ni exigir que mis compañeros lo sepan y dejen de enviarme mensajes. Simplemente me desconecto del trabajo con alguna de estas funciones y ya leeré al día siguiente lo que me hayan enviado.

Ayer publiqué en LinkedIn y en Twitter un ejemplo de pie de mensaje orientado a comunicar al destinatario de un mensaje que el remitente no esperaba respuesta del destinatario hasta el momento en que éste pudiese, dentro de su jornada laboral.

La idea era que el destinatario no se sintiese obligado a contestar si recibía el mensaje durante su tiempo de descanso.

En el debate que se generó tras la publicación, volvieron a plantearse las posiciones que hay sobre la materia, y que resumo a continuación:

1. Es el remitente el que debe preocuparse de que el remitente no reciba el mensaje en su periodo de descanso.
2. Es el destinatario el que tiene que desconectarse y no leer los mensajes que pueda recibir durante su periodo de descanso, ya que el remitente no está obligado a conocer los periodos de descanso de todos sus destinatarios.

En ningún momento se planteó la posibilidad de que sea la empresa la que desconecte al remitente y al destinatario, ya que eso es, sencillamente, una aberración.

Las conclusiones teóricas a las que llegué tras el debate, son las mismas que plasmé en el curso gratuito sobre teletrabajo que publicamos hace unos meses en Campus Ribas:

1. El texto del artículo 88 de la LOPDGDD no determina la forma en que se puede ejercitar este derecho.
2. Establece que las modalidades de ejercicio del derecho a la desconexión digital atenderán a la naturaleza y objeto de la relación laboral.
3. Estas modalidades se sujetarán a lo establecido en la negociación colectiva o, en su defecto, a lo acordado entre la empresa y los representantes de los trabajadores.
4. El empleador, previa audiencia de los representantes de los trabajadores, elaborará una política interna dirigida a trabajadores, incluidos los que ocupen puestos directivos.
5. En esta política se definirán las modalidades de ejercicio del derecho a la desconexión.
6. También se definirán las acciones de formación y de sensibilización del personal sobre un uso razonable de las herramientas tecnológicas que evite el riesgo de fatiga informática.
7. La prevención de la fatiga informática, igual que el control horario, depende finalmente del momento en que cada uno encienda y apague el dispositivo que le mantiene conectado a la empresa.

Las conclusiones prácticas serían las siguientes:

1. El remitente puede programar la entrega del mensaje de manera que el remitente lo reciba dentro de su horario laboral.
2. El problema es que no todas las aplicaciones corporativas permiten programar la entrega del mensaje de manera fácil.
3. Incluso en las organizaciones más pequeñas es difícil asegurar al 100% que los destinatarios de un mensaje están plenamente operativos, ya que hay turnos de trabajo y de vacaciones, tiempos de descanso, días de libre disposición, bajas por enfermedad, compañeros de viaje en países con otros husos horarios.
4. En las grandes organizaciones es una tarea imposible asegurar que un envío a varios destinatarios no va a llegar a alguno de ellos en su tiempo de descanso.

En cambio, es mucho más fácil que la persona que entra en un tiempo de descanso se desconecte temporalmente de la empresa.

Porque si se trata de reducir mi fatiga informática, lo que voy a hacer va a ser desconectarme de los demás, y no que los demás se desconecten de mí. Porque pueden no saber que estoy descansado. Por eso existe la función “no molestar”.

Y para desconectar tengo varias opciones:

1. Apagar el dispositivo.
2. Bloquear las aplicaciones corporativas.
3. Leer los mensajes corporativos y no contestarlos.

El ejemplo de pie de mensaje iba dirigido a los que optan por esta tercera alternativa.

En cualquier caso, entiendo que la tercera opción es la menos recomendable, ya que no acaba con el estrés ni con la fatiga informática. Nadie se preocupa por lo que no conoce, por lo que lo mejor es desconectar del todo y activar la auto respuesta: “Estoy en mi tiempo de descanso. Contestaré cuando vuelva a estar operativo”. También puedes tener la sangre fría del directivo inglés que supo que su fábrica se estaba quemando un domingo por la mañana en pleno partido de golf y dijo “Qué disgusto voy a tener mañana cuando me entere”.

El derecho de desconexión es justamente poder aislarme o no contestar sin que haya consecuencias negativas para mí.

Los que no podemos controlar la generación de ideas un domingo por la mañana, cuando la niebla de la batalla de los días laborables se ha disipado y tienes episodios temporales de aparente lucidez, también tenemos derecho a expresarnos en ese momento. Claro que podemos dejar el mensaje como borrador o programar el envío para el lunes, pero seguro que alguno de los destinatarios, tiene fiesta ese día o está de baja. Prefiero pensar que si realmente está descansando, habrá apagado el dispositivo.

Lo contrario es parecido a la respuesta surrealista del que se enfada porque le llamamos cuando está en plena reunión con un cliente. Si está en una reunión con un cliente, ¿por qué contesta?

El ejemplo de pie de mensaje era el siguiente: “He escrito este mensaje de acuerdo con mis horarios y criterios de organización del tiempo. Si lo recibes durante tu periodo de descanso, te confirmo que no espero que me respondas ahora, sino cuando puedas, dentro de tu horario laboral”.

Acceso al curso gratuito de teletrabajo en Campus Ribas

En este artículo explico el modelo de ponderación del interés legítimo que aplica nuestro despacho y que considero adecuada a los criterios manifestados por la AEPD en sus últimas resoluciones, que suscribo parcialmente. Espero que sea de utilidad.

Inseguridad jurídica

El proceso habitual de concreción de los conceptos ambiguos o indeterminados acostumbra a ser lineal:

1. El poder legislativo crea la ambigüedad.
2. Las empresas realizan una interpretación.
3. Los interesados realizan otra interpretación.
4. El poder ejecutivo realiza otra interpretación.
5. El poder judicial acaba con la ambigüedad (no siempre).
6. El poder legislativo rectifica (no siempre).

Este camino deberán seguirlo conceptos indeterminados del RGPD como “gran escala”, “observación sistemática” o “interés legítimo”, entre otros.

La existencia de tantos preceptos sujetos a varias interpretaciones fue lo que nos llevó a crear el foro GDPR Hacks como sandbox o lugar de experimentación y debate sobre conceptos indeterminados.

En el caso concreto del interés legítimo, la falta de concreción de este concepto está empezando a costar dinero a las empresas españolas y se configura como una importante fuente de inseguridad jurídica.

Ello es especialmente preocupante cuando todas las puertas de las restantes bases jurídicas se han ido cerrando y el interés legítimo se ha convertido en el último trozo de madera flotante al que asirse:

1. El consentimiento en muchas situaciones no es libre, está condicionado o es insuficiente.
2. La ejecución del contrato se limita a tratamientos necesarios y estrictamente relacionados con la prestación principal.
3. La obligación legal tiene que provenir de una norma con rango de ley.
4. El interés público también.

Si en muchos tratamientos la única base jurídica posible es el interés legítimo, ¿por qué no lo concretamos de una vez y dejamos de jugar al gato y al ratón o al ensayo – error?

Beneficios y perjuicios

Mi propuesta en este ámbito consiste en aplicar un modelo de ponderación muy sencillo que se basa en comprobar si pesan más los beneficios o los perjuicios.

La AEPD ha dejado claro en sus últimas resoluciones que el interés legítimo no es lo mismo que la finalidad del tratamiento y que tiene que suponer un beneficio para el responsable del tratamiento. A ese beneficio se contrapone el riesgo o el perjuicio que el tratamiento puede generar para los intereses y derechos del interesado, ya que lo que más pesa para el interesado no es el derecho en sí mismo, si no el riesgo de perderlo o de verlo limitado.

El derecho de una parte se corresponde con una obligación de la otra. De la misma manera, el beneficio de una parte también se puede corresponder con un perjuicio o un riesgo para la otra. Aunque el objetivo es que todos ganen.

En conclusión: tanto podemos ponderar intereses y derechos como beneficios y perjuicios de todas las partes implicadas.

Partes implicadas

En la fórmula de la ponderación tradicional sólo se tiene en cuenta al responsable del tratamiento y al interesado, olvidando a otras partes que pueden quedar afectadas por el tratamiento, a las que debemos llamar a la causa porque tienen intereses en ella, como en los casos de litisconsorcio necesario.

Así lo establece el artículo 6.1.f al añadir en la ecuación el interés legítimo de un tercero.

Ello nos obliga a tener en cuenta a todos los grupos de interés que pueden resultar beneficiados o perjudicados por el tratamiento. 

En los dos supuestos clásicos relativos a la prevención del fraude y a la seguridad de la red, previstos en los considerandos 47 y 49 del RGPD, es evidente que el beneficiario no es únicamente el responsable del tratamiento, sino también todos los grupos de interés que esperan que las transacciones y las comunicaciones sean seguras, y que su dinero y sus datos no estén en peligro. 

Modelo matemático

No podemos reducir la ponderación del interés legítimo a una fórmula matemática, porque la cuantificación de las variables que participan en ella siempre estarán cargadas de subjetividad. 

Pero una fórmula matemática puede ayudarnos a representar gráficamente la balanza en la que deberemos pesar esas variables y ver hacia dónde se decanta.

La fórmula que surge de la interpretación literal del artículo 6.1.f del RGPD es la siguiente:

P = (ILR + ILT) – (II + DI)

En ella, la ponderación (P) tiene en cuenta la suma del interés legítimo del responsable del tratamiento (ILR) y el de un tercero (ILT), a la que resta los intereses y derechos del interesado (II + DI).

El resultado de esta fórmula debe ser positivo. En caso contrario la base del interés legítimo no puede ser aplicada.

Pero ¿cómo calculamos el valor de los intereses y los derechos de los interesados? Si son algo positivo para el interesado no pueden restar. De ahí la utilidad de valorar el impacto en esos derechos como variable a restar. Exactamente igual que en el modelo matemático de una evaluación de impacto o en el modelo matemático que sigue la AEPD en la herramienta Comunica Brecha RGPD, que calcula si una brecha de seguridad debe ser comunicada a los interesados o no.

Si a ello unimos las conclusiones de los apartados anteriores en relación al carácter bilateral o sinalagmático de los beneficios y los perjuicios para todas las partes afectadas por el tratamiento, la fórmula que propongo es la siguiente:

P = (BR + BT + BI) – (RI + PI + PT)

En ella, la ponderación (P) tiene en cuenta la suma del beneficio obtenido o esperado por el responsable del tratamiento (BR), por un tercero (BT) y por el propio interesado (BI), a la que resta los riesgos y perjuicios que el tratamiento puede generar para el interesado (RI + PI) o incluso para terceros (PT).

Hoja Excel de ponderación del interés legítimo

En la imagen que encabeza este artículo puede verse un ejemplo de tabla realizada con Excel, en la que hemos representado dos columnas.

En la columna de la izquierda relacionamos y cuantificamos los beneficios que el tratamiento va a generar para los siguientes actores:

1. El responsable del tratamiento.
2. El interesado.
3. Otros grupos de interés o terceros como la sociedad, el mercado, los clientes, los proveedores o los trabajadores del responsable del tratamiento.

En la columna de la derecha relacionaremos y cuantificaremos los perjuicios y los riesgos que el tratamiento puede generar para los derechos y libertades del interesado y para los restantes actores relacionados en el apartado anterior.

La suma de los valores de cada columna permitirá finalizar la ponderación, al comprobar si el valor total de la columna de la izquierda es superior al de la columna de la derecha.

Aunque el modelo matemático es en sí mismo objetivo, el problema surge en el momento en que asignamos un valor a cada variable, ya que es obvio que el responsable del tratamiento tenderá a asignar un mayor valor a los beneficios que a los perjuicios, lo que equivaldrá a realizar una ponderación claramente escorada a su favor.

Cómo eliminar la subjetividad

Una forma de eliminar la subjetividad de la ponderación es aplicar el trámite previsto en el artículo 35.9 del RGPD para las evaluaciones de impacto y consultar al interesado o a sus representantes.

Se puede considerar representante en este caso a una entidad de defienda los intereses de un colectivo determinado de consumidores o usuarios. En el ámbito académico a los delegados de clase. En el ámbito laboral, a los representantes de los trabajadores.

En algunos casos esa consulta puede quedar sustituida por el principio de obviedad o incluso de notoriedad de la más que probable respuesta. Por ejemplo, en el caso de la prevención del fraude o de la seguridad de una red de telecomunicaciones no parece necesario preguntar a los usuarios si tienen interés en la seguridad de su dinero o de sus datos. El legislador ha presumido ese interés en los considerandos 47 y 49 del RGPD.

Otra forma de reducir la subjetividad es solicitar un informe o una valoración a un experto independiente o a una entidad que no esté vinculada a las partes implicadas en el tratamiento ni contaminada por los intereses que se ponderan.

Y el más adecuado al principio de responsabilidad proactiva es el ejercicio del derecho de oposición por parte del interesado.

El derecho de oposición como indicador de la opinión del interesado

En la ponderación del interés legítimo no hay una suplantación del interesado, sino una valoración de los intereses de las partes implicadas, que es justamente lo que el legislador nos exige al realizar la ponderación del interés legítimo.

En la política de privacidad y en las cláusulas contractuales el responsable del tratamiento informa al interesado del resultado de la ponderación, indicando que tiene interés legítimo para realizar el tratamiento y el interesado tiene el derecho a oponerse a esa ponderación ejerciendo el derecho de oposición al tratamiento.

La forma más eficiente de valorar la opinión del interesado consiste en informarle del tratamiento, del interés legítimo en el que éste se basa y del derecho oposición que le asiste.

El número de solicitudes de ejercicio del derecho siempre ha sido un indicador de la opinión del interesado en relación al tratamiento, de manera que un número alto de solicitudes obliga al responsable a realizar correcciones inmediatas en el tratamiento y en la base de legitimación.

Transcurridos casi 30 años de protección de datos en España, no podemos seguir alegando cuestiones culturales para justificar la intervención de la autoridad de control en el ejercicio de ponderación del interés legítimo. Si los interesados en general no se oponen a un tratamiento en pleno 2021, ¿es porque no conocen que pueden oponerse a él, porque no conocen el riesgo que genera o porqué les da igual?

Después de 30 años es posible que haya interesados que no conozcan sus derechos, por eso se les informa. La cuestión es que la autoridad de control puede considerar que no se les ha informado adecuadamente. Por eso es necesario realizar una buena ponderación del interés legítimo e informar correctamente al interesado.

Pero el acto de la ponderación es intrínsecamente privado y lo que verá el interesado es el resultado de la misma, sin perjuicio de que el responsable del tratamiento desee realizar un ejercicio de transparencia y publicar la tabla de ponderación.

En un mercado tan maduro como el español, si los interesados han sido correctamente informados, la ausencia de solicitudes de ejercicio del derecho de oposición debería ser un indicador suficiente para acreditar que la aplicación del interés legítimo a un tratamiento concreto se ha hecho de forma adecuada.

Sobre la anécdota de las felicitaciones

Siempre digo que el compliance nos dejó sin regalos de Navidad y la protección de datos nos dejará sin felicitaciones. Pero no por el imperio de la ley, sino por criterios desacertados.

Si una empresa considera que es una buena práctica comunicar sus mejores deseos para el nuevo año a sus clientes, es lógico que presuma que sus clientes tienen una expectativa razonable de recibir esta felicitación, porque es una costumbre arraigada. Cualquier notario, por exigente que fuese, accedería a realizar un acta de notoriedad de la existencia de esta costumbre, por lo que debería reconocerse que el criterio aplicado es objetivo.

Si alguien quiere romper esta tradición y autoexcluirse del colectivo de destinatarios de esos buenos deseos, el mecanismo específicamente diseñado para ello es el ejercicio del derecho de oposición. Pero por defecto, dejad que nos felicitemos, que hay pocas ocasiones hoy en día para hacerlo.

No se desplaza al interesado de la ponderación del interés legítimo porque el RGPD no ha previsto que esté en ella. El RGPD establece que el responsable debe valorar los intereses de las partes implicadas, y ya que puede equivocarse en la valoración, por eso se ha incluido el derecho de oposición como garantía posterior al momento de informar del tratamiento.

Modelo de hoja Excel de ponderación del interés legítimo

En el sandbox GDPR Hacks de Campus Ribas hemos incluido la hoja Excel comentada en este artículo, que permite realizar la ponderación del interés legítimo. Será bienvenida cualquier aportación o comentario en el foro de debate. También recopilaremos en GDPR Docs las hojas Excel relativas a escenarios de ponderación del interés legítimo en tratamientos concretos.

Esta Excel es un documento importante, ya que constituye una evidencia del esfuerzo de ponderación realizado por el responsable del tratamiento antes de aplicar el interés legítimo como base de legitimación, y por ello debe conservarse en el repositorio de evidencias de la empresa.

La década de los 80 sirvió a los jueces españoles para buscar el justo equilibrio entre el respeto de los derechos fundamentales de los imputados en causas penales y la investigación de los presuntos delitos cometidos.

Los primeros pasos de la joven Constitución de 1978 sirvieron de ensayo para unos jueces que tuvieron que adecuarse de forma acelerada al nuevo marco constitucional con el temor a ser tachados de conservadores por la parte más progresista de la doctrina.

No es de extrañar que los primeros autos y sentencias no encontrasen el equilibrio buscado y decantasen excesivamente la balanza a favor del reo, situación a la que le dimos todos la bienvenida después de tantos años, aunque poco a poco nos diésemos cuenta de que no era sostenible en el tiempo.

Algo parecido está pasando con la protección de datos.

La década de los años 20 del siglo XXI debe servir a las autoridades de control europeas para encontrar el justo equilibrio entre los derechos del interesado y los derechos del responsable del tratamiento.

El RGPD, igual que la Constitución española en los 80, todavía está empezando a andar y de estos primeros pasos depende que la protección de datos se convierta en un elemento más del mapa de obligaciones a cumplir o en un obstáculo para la actividad empresarial.

Un punto del RGPD en el que debemos encontrar con urgencia el justo equilibrio reside en la cantidad y la calidad de la información sobre el tratamiento que debe suministrarse al interesado.

El artículo 12 del RGPD exige que la información se facilite de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. Pero las dos últimas resoluciones de la AEPD que sancionan al BBVA y a CaixaBank, ponen el listón del detalle de la información en una posición que nos aleja de la concisión, la inteligibilidad, la accesibilidad, la claridad y la sencillez.

Porque podemos hablar con un lenguaje claro y cercano: “Registraremos la forma en que utilizas nuestro servicios para conocerte mejor, personalizarlos y adaptarlos a tus preferencias” o con un lenguaje más técnico y menos accesible: “Registraremos en nuestro CRM los parámetros generados en el uso de los productos de financiación y de inversión con el fin de determinar tu solvencia económica, el nivel de aversión al riesgo, scoring, rentabilidad, fidelidad y mora, con el fin de asegurar un nivel alto de coincidencia entre estos datos y los productos de financiación y de inversión que te podamos ofrecer”.

La cantidad y la calidad de la información a suministrar van asociadas a un concepto que acuñé hace años, al que llamo el principio de obviedad. Este principio defiende la idea de que no es necesario informar de los detalles del tratamiento que resultan obvios para el interesado.

Por ejemplo, si un proveedor me envía regularmente un mensaje de correo electrónico con su factura no espero ver un texto informativo al final del mensaje diciendo que tiene mi dirección de correo electrónico y que la está utilizando para enviarme un mensaje que escribirá en un ordenador portátil, introduciendo mi dirección en una aplicación de correo electrónico, haciendo posteriormente clic en un botón que ordenará a la aplicación el tratamiento de la dirección de correo electrónico para enviar el mensaje. Es además innecesario indicar que el mensaje se fragmentará en diversos paquetes IP, y que como fruto de esta conversión, que también es un tratamiento, cada paquete sabrá dónde tiene que ir, y pasará por múltiples servidores y rúters hasta llegar a mi proveedor de Internet, que recopilará los paquetes IP, recompondrá el mensaje y lo dejará en mi buzón de entrada.

Tampoco le informo de que es posible que imprima la factura en la que aparecen sus datos personales.

No se suministra esta información porque es obvio que todo esto va a pasar y el interesado ya lo sabe, lo intuye o no le interesa tener ese nivel de detalle.

Lo más cercano al principio de obviedad, aunque no coincida plenamente, lo encontramos en los artículos 13 y 14 del RGPD, que exoneran al responsable del tratamiento de todas sus obligaciones de información cuando el interesado ya disponga de la información.

El artículo 13.4 indica concretamente que las disposiciones de los apartados 1, 2 y 3 (el resto del artículo) no serán aplicables cuando y en la medida en que el interesado ya disponga de la información.

El artículo 4.2 del RGPD define el concepto tratamiento como cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

¿Cuántos contratos, políticas de privacidad, condiciones generales de contratación y textos informativos informan con carácter exhaustivo de todos los tratamientos que tendrán lugar durante el ciclo de vida de un dato?

¿En alguno de estos textos se informa, por ejemplo, del proceso de imprimir?

¿Por qué razón? ¿Porque tenemos que ser concisos, por un olvido o porque es obvio que alguna vez imprimiremos?

Lo mismo sucede al informar de los datos a tratar. Si un interesado cumplimenta un formulario con 25 campos, ¿es necesario informarle dos veces de que disponemos de esos datos? Vamos a informarle de la finalidad y de la necesidad de tratar esos datos pero no vamos a repetir con todo detalle que tenemos los datos que el interesado acaba de introducir en el formulario porque es obvio, el interesado ya dispone de esta información y sería un insulto para su inteligencia.

Aunque por cuestiones de cultura de prevención de riesgos podría ser posible en EEUU, en Europa no podemos imaginar un ascensor en el que cada botón numérico tenga al lado una leyenda sobre su función: “Pulse este botón con el número 1 si desea ir a la planta 1. Pulse este botón con el número 2 si desea ir a la planta número 2”. ¿Quién no sentiría que están tratándolo de inútil en un ascensor como éste?

La obviedad, como el interés legítimo, responde a criterios subjetivos, evidentemente. Lo que es obvio para uno no lo es para otro. Pero hay detalles del tratamiento que forman parte de la cultura y de los usos de cada sector, del umbral de percepción creado justamente por la protección de datos por defecto. Y se pueden acreditar.

Debe llegar el momento en que se alcance un justo equilibrio entre la información que el interesado debe recibir y el detalle que el responsable del tratamiento debe suministrar de forma concisa y clara. Y las autoridades de control tienen un importante papel en normalizar este proceso para que no sea un obstáculo para la actividad empresarial.

Al mismo tiempo, el nivel de madurez y de experiencia se incrementará en el responsable del tratamiento y en el interesado, de manera que el proceso de información se irá adaptando y haciéndose natural. Tan natural como la información que nos suministra el bar que conoce perfectamente nuestras rutinas y preferencias: “¿El café como siempre?”.

Esta es la recopilación de vídeos y artículos publicados hasta ahora en relación al proyecto Mapa de riesgos 2021 de Campus Ribas.

Invitación a participar en el Ranking de riesgos 2021

Vídeo de presentación del Mapa de riesgos 2021

Vídeo sobre el Ranking de riesgos 2021

Vídeo sobre las 10 fases del proyecto Mapa de riesgos 2021

Vídeo sobre las áreas de trabajo del Mapa de riesgos 2021

Si deseas colaborar en el ranking de riesgos de 2021 sólo tienes que indicar los tres principales riesgos que consideras que las empresas de un sector determinado deben tener en cuenta en 2021.

También puedes indicar riesgos transversales para todos los sectores.

Esta iniciativa se enmarca en el proyecto Mapa de riesgos 2021 de Campus Ribas y tiene como objetivo identificar los principales riesgos de cada sector en 2021.

Los riesgos deben pertenecer a las siguientes categorías de riesgo:

1. Riesgos de negocio que pueden generar riesgos de cumplimiento.
2. Riesgos de cumplimiento que pueden generar riesgos de negocio.

Los riesgos se pueden comunicar a través de los siguientes canales:

1. Post ”Ranking de riesgos 2021” de Xavier Ribas en LinkedIn.
2. Tweet ”Ranking de riesgos 2021” de Xavier Ribas en Twitter.
3. Mensaje de correo electrónico a xavier.ribas@ribastic.com.

Muchas gracias por participar.

El punto 84 de las recomendaciones del CEPD relativas a las medidas adicionales a aplicar a las transferencias a terceros países, especialmente a EEUU, toca el delicado tema del enrutamiento.

En este punto 84 se describe el escenario cotidiano del responsable del tratamiento que envía datos personales a través de internet, a un país que garantiza una adecuada protección, siguiendo una ruta que pasa por un tercer país como EEUU.

Todos sabemos que la función de los rúters es la de encaminar paquetes IP a través de una red en la que el camino más rápido no es necesariamente el más corto. De manera parecida a las calles y las carreteras, Internet también tiene sus horas punta, en las que es más rápido utilizar rutas alternativas que son más largas que la ruta directa al destino propuesto.

En el artículo titulado “Qué ruta sigue un correo que enviamos de Jaén a Madrid” se explica muy bien cómo se establece una ruta en Internet, y cómo puede darse el caso muy habitual de que el mensaje siga la ruta Jaén-Estados Unidos-Reino Unido-Madrid.

El punto 84 de las recomendaciones del CEPD reconoce la posibilidad de que los datos transmitidos a través de Internet sean encaminados a través de un país que no suministre una protección equivalente. La probabilidad de que este país sea EEUU es muy alta, dado el control que las empresas norteamericanas tienen sobre la infraestructura de transporte de Internet.

El CEPD analiza el cifrado de la capa transporte como una posible solución, pero recomienda que los protocolos de cifrado utilizados sean de última generación y que proporcionen una protección eficaz contra los ataques activos y pasivos que las autoridades públicas del tercer país puedan realizar con los recursos conocidos que tienen a su disposición.

El descifrado de los datos sólo debe ser posible fuera del tercer país en cuestión.

Las partes implicadas en la comunicación deben acordar el uso de una autoridad certificadora de clave pública o de una infraestructura confiables.

Deben utilizarse medidas específicas de protección de última generación contra los ataques activos y pasivos contra el cifrado de la capa de transporte.

En caso de que el cifrado de la capa transporte no proporcione por sí misma la seguridad adecuada debido a las vulnerabilidades de la infraestructura o el software utilizado, los datos personales también deben ser cifrados de extremo a extremo en la capa de aplicación usando métodos de cifrado de última generación.

Debe utilizarse un algoritmo de cifrado y parametrización (longitud de la clave, simetría de la clave y restantes elementos operativos) que sean conformes con el estado del arte y que puedan considerarse robustos contra un análisis criptográfico llevado a cabo por las autoridades públicas del tercer país, teniendo en cuenta los recursos y capacidades técnicas  disponibles para ellas. Por ejemplo, la potencia de proceso para ataques de fuerza bruta.

La potencia de cifrado debe ser adecuada para el período de tiempo específico durante el cual debe preservarse la confidencialidad de los datos personales cifrados.

El algoritmo de cifrado debe aplicarse mediante programas informáticos debidamente mantenidos cuya conformidad con la especificación del algoritmo elegido se ha verificado, por ejemplo, mediante certificación.

El exportador de los datos tiene que verificar que no existan puertas traseras en el hardware y en el software utilizado.

Las claves deben ser gestionadas de manera fiable (generadas, administradas, almacenadas, si procede, vinculadas a la identidad del destinatario previsto, y revocadas), por el exportador o por una entidad en la que éste confía bajo una jurisdicción que ofrece un nivel de protección esencialmente equivalente.

Si se cumplen todos estos requisitos, el CEPD considera que el cifrado de la capa de transporte, si es necesario en combinación con el cifrado del contenido de extremo a extremo, proporciona una medida adicional eficaz.

Otra medida interesante, a pesar de sus limitaciones, es la configuración del enrutamiento por parte del exportador de los datos. Ejemplo en Gmail.

Teniendo en cuenta estas recomendaciones y el hecho de que un simple correo electrónico enviado de Europa a Europa puede contener datos personales que viajen por rúters y segmentos de la red controlados por terceros países como EEUU, cabe preguntarse si las administraciones públicas europeas, las autoridades de control e incluso los activistas que más han luchado contra las transferencias sin garantías adecuadas a EEUU, están aplicando estas medidas.

IINFORMACIÓN ADICIONAL

Seguridad de la capa de transporte.
Capa de aplicación.
Cifrado de extremo a extremo.
Configuración del enrutamiento en Gmail.
Cifrado del correo electrónico con S/MIMEE en Gmail.

En el widget jurídico y curso Protocolo de transferencias de datos a EEUU tras la invalidez del Privacy Shield de Campus Ribas tratamos con detalle el protocolo completo a aplicar en el caso de las transferencias de datos personales a EEUU.

Este protocolo se describe en la infografía relativa al protocolo de transferencias de datos a EEUU.