
Esta tabla creada con PowerPoint permite definir el mapa de canales de información de una empresa.
Documento descargable:
Este año la circular informativa, o newsletter, de nuestro despacho ha cumplido 36 años.
La circular se creó en 1987 para mantener a nuestros clientes informados sobre las siguientes materias:
En 1991, cuando participamos en el proceso de elaboración de la LORTAD, incluimos en la circular las materias relacionadas con la protección de datos.
En 1995 incluimos los aspectos jurídicos que generaba Internet:
En 2010 incluimos en la circular las materias relacionadas con compliance.
Las materias a las que estamos dando prioridad actualmente son las siguientes:
La circular es también un medio para alertar de riesgos jurídicos y de cambios legislativos, así como para convocar nuestros desayunos de trabajo, webinars, congresos y conferencias.
Los destinatarios de la circular son, principalmente, grandes empresas.
Reiterando mi tributo a Blade Runner podría decir que en estos 36 años he visto cosas que no creeríais: ataques de ciberpunks a servidores BBS más allá de los 1200 baudios, correo sin spam, cerca del puerto 25, secuencias de varias teclas para crear un acento, discos floppy de 5 pulgadas y cuarto grapados a los autos, jueces que pensaban que el plagio se comprobaba comparando los discos y no su contenido, alarmas de fin del mundo por el efecto 2000, mientras veíamos a los programadores de Cobol renacer tras su jubilación, accesos al BOE con un Minitel, negociar un contrato frente a una pantalla de fósforo verde, billetes de avión para asistir a un congreso virtual…
Todos esos momentos se perderán, como lágrimas en la lluvia. Es hora de bajar de la nube. O de guardar mis recuerdos en ella.
Si quieres recibir nuestra circular puedes enviarme un mensaje a mi dirección de correo electrónico: xavier.ribas@ribastic.com solicitándolo.
Hay varios elementos que deben ser analizados en relación con la demanda contra los consejeros de Shell, pero yo los resumiría en dos:
Previsibilidad
La zona de inmunidad de los consejeros que genera la regla de la discrecionalidad empresarial (business judgement rule) exige que se haya actuado con diligencia, y son elementos destacados de la diligencia, como decía ayer, la buena fe, la ausencia de un interés personal, la información suficiente y la aplicación de un protocolo de toma de decisiones adecuado.
En la evaluación de los riesgos relativos al cambio climático es difícil establecer una relación de causa-efecto entre la actuación de una empresa y el conjunto de cambios que, en general, está sufriendo el clima de nuestro planeta.
No obstante, hay datos objetivos, claros y medibles sobre las emisiones que una empresa genera y hay normas específicas que obligan a gestionar los riesgos medioambientales, que se traducen en tareas recurrentes que deben ser realizadas y cuyos resultados deben ser valorados con indicadores objetivos. Todo ello sin tener en cuenta los ODS y los criterios ESG,
Es importante destacar que el delito medioambiental puede ser cometido por imprudencia y se trata de un delito de peligro, es decir, no es necesario que se produzca un resultado lesivo (en este caso contra el medio ambiente) para que nazca una posible responsabilidad penal. En otras palabras, es suficiente que se haya producido el peligro de dañar el medioambiente aunque finalmente no se haya producido tal daño. Por eso es tan importante la creación de pruebas sobre la diligencia en la gestión de este riesgo.
En el caso de Shell el planteamiento de la demanda en sede civil deberá superar la presunción de diligencia que genera la regla de la discrecionalidad empresarial, por lo que deberá valorarse la información disponible sobre el riesgo medioambiental y las obligaciones legales relativas a las emisiones, la buena fe y el protocolo aplicado en la toma de deciones relativas a la reducción de las emisiones.
En esta valoración se incluirá la previsibilidad del riesgo y las advertencias recibidas por parte de accionistas, inversores institucionales, fondos activistas y otros grupos de interés. Pero también la capacidad económica para poner en práctica las medidas necesarias para la reducción de las emisiones.
Provocación
La diligencia de una empresa también incluye la gestión de las expectativas de sus grupos de interés y la previsibilidad de que dichas expectativas se vean frustradas por la actuación de la empresa.
En cuanto a la capacidad económica para gestionar y prevenir adecuadamente los riesgos medioambientales, tanto Shell como BP están registrando beneficios récord a causa del incremento de los precios del crudo.
Sin embargo, las expectativas de los grupos de interés se han visto frustradas recientemente con anuncios como el de BP de reducir las emisiones de forma más lenta de lo previsto inicialmente en su plan para 2030.
El compromiso de Shell para 2030 consiste en una reducción del 20% en las emisiones asociadas a sus productos, pero no afecta a sus emisiones absolutas.
Es previsible pensar que las expectativas de los grupos de interés incluyan la suposición de que un incremento del beneficio se traducirá en un mayor esfuerzo económico orientado a la reducción de las emisiones. Cuando esto no es así, es razonable que los grupos de interés vean frustradas sus expectativas y reaccionen con demandas como la que hemos visto ahora.
Es misión de los consejeros valorar y monitorizar estas expectativas y adoptar decisiones que sean legales, éticas y estéticas.
En tiempos de turbulencias económicas siempre se repite la frase de Warren Buffet relativa al riesgo de que, al bajar la marea se vea a los que nadaban sin bañador.
Con las decisiones empresariales ocurre lo mismo. Al bajar la marea podemos comprobar si las decisiones estaban vestidas o no, es decir, si cumplían los requisitos necesarios para superar un examen judicial en caso de reclamación por parte de los perjudicados por dichas decisiones.
El artículo 31.5.2º del Código Penal incluye establece como requisito para la exención de la responsabilidad penal de la persona jurídica la aplicación de un protocolo o procedimiento que concrete:
El artículo 226.1 de la Ley de Sociedades de Capital establece la presunción de cumplimiento del estándar de diligencia en la toma de decisiones cuando el órgano de gobierno, y los directivos con facultades delegadas hayan actuado cumpliendo los siguientes requisitos:
Estos dos preceptos hacen recomendable la realización de las siguientes acciones:
Nuestro despacho ha elaborado un documento en el que se describen las medidas a aplicar por un cargo directivo con el fin de prevenir su responsabilidad personal y la de la empresa en el proceso de toma de decisiones, tanto si el directivo ha participado en ellas como si no ha participado.
Hasta el momento hemos elaborado una versión del documento para cada uno de los siguientes cargos:
Para solicitar el documento correspondiente a un cargo determinado puedes enviar un mail a xavier.ribas@ribastic.com.
En la declaración conjunta de la Comisión Europea y los Estados Unidos del viernes pasado se anunció la existencia de un principio de acuerdo sobre el nuevo marco de la privacidad en las transferencias transatlánticas de datos personales. Este nuevo acuerdo será una respuesta al escenario creado por la sentencia Schrems II de TJUE de julio de 2020 y la anulación del Privacy Shield.
Tal como se apresuró a declarar Max Schrems, se trata de un acuerdo político, que no será efectivo si no contempla cambios en la aplicación de la normativa de inteligencia exterior de los EEUU, y tras la decisión del Tribunal Supremo de los EEUU de hace unos días parece difícil que ello suceda.
La viabilidad del nuevo marco de la privacidad en las transferencias transatlánticas de datos personales se debería basar en el reconocimiento de las garantías esenciales europeas para las medidas de vigilancia y la aplicación de excepciones o de medidas complementarias efectivas. De lo contrario, es evidente que iremos de camino a un Schrems III.
La adecuada gestión de la privacidad por parte de las empresas se enmarca en el ámbito relativo al entorno social, representado por la letra S en los criterios ESG y será uno de los puntos a debatir en el próximo Congreso ESG.
Nos complace anunciar que Paula Gómez Doñate ha sido nombrada asociada senior del despacho.
Paula está dedicada a la protección de datos, compliance y Derecho de las Tecnologías de la Información desde su incorporación al despacho y tiene la doble licenciatura en Derecho y en Dirección y Administración de Empresas por la Universidad Autónoma.
Es coordinadora y coautora del Practicum de Compliance 2018 y 2020 de Thomson Reuters, y también participa como profesora en el Curso de Auditoría de Compliance y en el Curso de Auditoría de Protección de Datos Personales de Thomson Reuters. También es profesora de diversos cursos dentro del Campus de formación de Ribas, www.campus-ribas.com.
Sus aportaciones como asociada senior contribuirán al crecimiento de la firma, y a hacer frente al incremento que se está produciendo en los servicios de Protección de Datos, Compliance y ESG, áreas en las que seguimos desarrollado y ampliando servicios.
Tras la sentencia del Tribunal Supremo en la que se define la seguridad de los datos personales como una obligación de medios, y no de resultado, quedan claras las acciones que deben realizar las empresas para cumplir los dos objetivos que contiene la obligación de medios en materia de seguridad de la información.
Conclusiones de la sentencia en relación con las obligaciones de resultado
Las conclusiones que podemos extraer de la sentencia del Tribunal Supremo en relación con las obligaciones de resultado son las siguientes:
Conclusiones de la sentencia en relación con las obligaciones de medios
Las conclusiones que podemos extraer de la sentencia del Tribunal Supremo en relación con las obligaciones de medios son las siguientes:
La obligación de medios en el RGPD y en la LOPDGDD
Tanto el RGPD como la LOPDGDD se refieren a obligaciones de medios:
Los dos compromisos que subyacen en la obligación de medios
El Tribunal Supremo confirma que no basta con diseñar los medios técnicos y organizativos necesarios. Es necesaria su correcta implantación y su utilización de forma apropiada, de modo que el responsable del tratamiento también responderá por la falta de la diligencia en su utilización, entendida como una diligencia razonable atendiendo a las circunstancias del caso.
Esquema basado en dos niveles o fases
El esquema a tener en cuenta a partir de ahora es que las medidas de seguridad tienen dos niveles o fases:
Estos dos niveles representan obligaciones de medios, pero si sólo se aplica el primer nivel y no el segundo no se completa el umbral de seguridad exigido en el RGPD y se produce un incumplimiento. La AEPD y la Audiencia Nacional confundían este segundo nivel con una obligación de resultado, pero el Tribunal Supremo ha aclarado que los dos niveles de cumplimiento forman parte de las obligaciones de medios.
Acciones a realizar a partir de ahora
De acuerdo con el esquema descrito en la normativa, y confirmado con el Tribunal Supremo, las acciones a realizar con el fin de asegurar el cumplimiento del RGPD en materia de seguridad, son las siguientes:
FASE 1 – Análisis de la adecuación de las medidas
FASE 2 – Análisis de la efectiva aplicación de las medidas
La resolución de la CNIL sobre Google Analytics no se limita a decir lo que Google y el cliente de Google Analytics han hecho mal, sino que describe, directamente o a contrario sensu, la forma en que podrían haber actuado de conformidad con el RGPD.
A continuación se relacionan las conclusiones obtenidas tras la lectura de la resolución, que pueden ser la base para una utilización correcta de Google Analytics.
Estas conclusiones son aplicables tanto a los datos gestionados a través de JavaScript como a los obtenidos mediante las cookies de GA.
Imposibilidad de identificar al interesado
La CNIL se basa en el considerando 30 del RGPD, y en la posibilidad de que el uso de identificadores únicos permita elaborar perfiles e identificar a los usuarios, para afirmar que el responsable del tratamiento debe acreditar las medidas aplicadas para asegurar el anonimato de los identificadores recogidos. En ausencia de tal acreditación, la CNIL establece que estos identificadores no pueden calificarse como anónimos.
El responsable del tratamiento afirma que las direcciones IP están anonimizadas, pero no especifica el proceso que aplica para anonimizar las direcciones.
Sin entrar a valorar a quién corresponde en esta caso la carga de la prueba, teniendo en cuenta el principio de presunción de inocencia administrativa, de estos dos puntos de la resolución se extrae la conclusión de que el responsable del tratamiento puede transferir los datos a EEUU si acredita que ha aplicado medidas para que:
Imposibilidad de individualizar al interesado no registrado
La CNIL mantiene que los identificadores únicos pueden combinarse con otros datos obtenidos del interesado y conseguir individualizarlo. De acuerdo con el considerando 26 del RGPD dicha individualización puede ser suficiente para hacer que los interesados sean identificables.
De esta afirmación se extrae la conclusión de que el responsable del tratamiento puede transferir los datos a EEUU si acredita que ha aplicado medidas para identificar y excluir del tratamiento los campos que, combinados con los identificadores únicos, permitan a Google identificar al interesado.
Un identificador único puede ser utilizado para seudonimizar los datos si Google no dispone de la información necesaria para revertir la seudonimización e individualizar o singularizar al usuario de manera suficiente para identificarlo.
Esta seudonimización, en el caso de ser irreversible para Google, impediría que pudiese entregar datos de personas identificables a una agencia de inteligencia de EEUU que le requiriese para ello.
Imposibilidad de individualizar al interesado registrado
La CNIL también contempla la posibilidad de que el identificador único pueda ser asociado a interesados que dispongan de una cuenta de usuario en el sitio web, que hayan realizado un pedido o cumplimentado un formulario o que estén identificados o vinculados a datos de identificación por cualquier otra razón.
Igual que en el caso anterior, la seudonimización de los datos, en el caso de ser irreversible para Google, impediría que pudiese entregar datos de personas identificables a una agencia de inteligencia de EEUU que le requiriese para ello.
Cifrado de los datos en tránsito
La CNIL alega falta de detalle en la descripción de la forma en que se aplica el cifrado a los datos transferidos. Cabe indicar que la norma que permite a una agencia de inteligencia de EEUU requerir la entrega de los datos estáticos es distinta de la que le permite interceptar los datos en tránsito.
Si el cifrado se aplica a los datos tratados en EEUU y Google conserva las claves de cifrado, esta medida no es válida.
Pero si el cifrado se aplica a los datos en tránsito, y el responsable del tratamiento explica con detalle las características y el alcance de esta medida, el cifrado es una opción viable.
Seudonimización
La CNIL menciona de nuevo el potencial de un identificador único para individualizar a un interesado, pero siempre que se realiza una seudonimización se utiliza un identificador único que permite que la disociación sea reversible. Si la disociación fuese irreversible estaríamos ante una anonimización.
Por lo tanto, y como se ha dicho en puntos anteriores, la seudonimización es válida siempre que la combinación de los datos transferidos a Google con el identificador único no le permitan identificar al interesado.
Anonimización
Queda claro que la anonimización de los datos antes de la transferencia a Google hace que éstos dejen de ser datos personales y excluye la aplicación del RGPD a la transferencia.
Consentimiento explícito del interesado
La CNIL no excluye la opción del consentimiento explícito del interesado. únicamente indica que el responsable del tratamiento no acredita que lo haya obtenido.
Ello abre la puerta a la obtención del consentimiento explícito para la transferencia a Google en el mismo banner que se utiliza para obtener el consentimiento explícito para el uso de cookies.
Protocolo de gestión de solicitudes
La CNIL no reconoce la eficacia del protocolo que Google aplica a la gestión de las solicitudes que recibe de las agencias de inteligencia, porque Google se limita a describir el análisis que realiza de la legalidad de cada solicitud.
Sin embargo, la eficacia de este protocolo ha sido acreditada por otras empresas que tratan datos en EEUU demostrando que se han denegado previamente solicitudes de agencias de inteligencia.
Esta denegación de la solicitud puede basarse en la no aplicación de la norma al caso concreto debido, entre otras, a las siguientes razones:
Si se analizan las estadísticas relativas a las solicitudes realizadas por las agencias de inteligencia a empresas que únicamente prestan servicios B2B veremos que predominan dos tipos de situaciones:
En mi opinión, el reto que plantea Google Analytics y cualquier otra herramienta tecnológica en la actualidad reside en nuestra capacidad de alejarnos de los titulares y explorar las alternativas que las propias autoridades de control nos ofrecen en sus resoluciones. Todo ello sin olvidar a los proveedores europeos de servicios analíticos, como es natural.
En este artículo relaciono telegráficamente algunas de las posibles soluciones a explorar y analizar para verificar su viabilidad, y en caso positivo su aplicación al uso de Google Analytics en sitios web europeos. Las opciones más viables serán desarrolladas en artículos posteriores.
Tratamiento de Google en la Unión Europea
Google podría tratar los datos a través de una filial europea que no tenga ninguna obligación legal ni contractual de enviar datos a la matriz en el caso de que ésta sea requerida por una autoridad de inteligencia exterior estadounidense.
Google como responsable único del tratamiento
Google podría convertirse en responsable único del tratamiento. Ello exigiría valorar cuestiones técnicas y jurídicas, como la posibilidad de obtener la información suministrada por la cookies de Google Analytics directamente desde un servidor de Google, de acuerdo con la configuración realizada por el responsable del sitio web en la consola de Google Analytics. También habría que valorar la eficacia jurídica de informar al interesado, en el aviso de la primera capa, de la obtención de los datos analíticos y estadísticos por parte de Google en EEUU, asociando el consentimiento explícito a la transferencia directa del interesado a Google y a la política de privacidad de Google Analytics cuyo enlace debería estar disponible. Esta opción exigiría la aplicación de las medidas complementarias que después veremos.
Google como corresponsable del tratamiento
Esta opción la ofrece Google como alternativa a su papel habitual como encargado del tratamiento y ha sido analizada por alguna autoridad de control. La mecánica sería similar a la del punto anterior y exigiría un reparto de responsabilidades que implicase una transferencia directa del interesado a Google. También en este caso sería necesaria la aplicación de medidas complementarias.
Hosting en EEUU
La cuestión a valorar en este caso sería si técnicamente habría una transferencia a EEUU, ya que el interesado sería informado en el aviso de la primera capa de que está visitando un sitio web ubicado en EEUU y que sus datos se obtendrán directamente en EEUU, siendo el interesado el artífice de la transferencia.
Información de la transferencia en la primera capa
Esta opción consistiría en informar adecuadamente al interesado en el aviso de la primera capa sobre la transferencia de sus datos estadísticos a Google en EEUU, con el correspondiente consentimiento explícito del interesado y el enlace a la política de privacidad de Google Analytics. Esta alternativa exigiría el cumplimiento de los requisitos técnicos y jurídicos contemplados al hablar de las cookies gestionadas directa y únicamente por Google. El escenario coincidiría con el patrón de un encargado del tratamiento estadounidense que obtiene los datos directamente del interesado, sin pasar por el responsable europeo del tratamiento. También en este caso sería necesaria la aplicación de medidas complementarias.
Medidas complementarias comunes
Esta medida transversal, aplicable a todos los escenarios a valorar, consistiría en verificar la eficacia de las medidas complementarias y las garantías esenciales contempladas en las recomendaciones del Comité Europeo de Protección de Datos. Entiendo que el cifrado sería válido para los datos en tránsito pero no para los datos a tratar por Google en EEUU, ya que debe poder acceder a ellos de modo inteligible. Tampoco sería aplicable la seudonimización ni la anonimización, ya que Google basa su tratamiento analítico en la dirección IP del interesado. Esta opción ya ha sido valorada y descartada por las autoridades de control europeas. La fragmentación entre varios encargados del tratamiento tampoco sería viable en este caso.
Protocolo de gestión de requerimientos de acceso
La obligación contractual complementaria de las Cláusulas Contractuales Tipo consistente en aplicar un protocolo de gestión de los requerimientos de acceso a datos remitidos por las autoridades de inteligencia exterior de EEUU es una recomendación histórica de nuestro despacho, que ya ha demostrado su eficacia en proveedores B2B. En el caso de Google Analytics no ha habido ocasión de aplicarlo ya que, según los datos suministrados por Google, nunca ha recibido un requerimiento de esta índole. Esta declaración de Google es verosímil, dada la escasa relevancia de los datos de Google Analytics para la investigación de las actividades terroristas, y dada la posibilidad técnica y jurídica de que las agencias de inteligencia obtengan esta información por sus propios medios.
Este protocolo incluye un apartado clave, que consiste en la posibilidad legal de discutir e incluso conseguir la exención de dar respuesta a un requerimiento de entrega de datos en determinados casos. El análisis de la viabilidad del requerimiento se basa, entre otros factores, en la tipología de los datos, la solvencia jurídica del responsable del tratamiento, la naturaleza del servicio prestado por el encargado del tratamiento, la falta de relevancia de los datos para una investigación de inteligencia exterior (por ejemplo, la consulta del diccionario de la RAE) o la posibilidad de obtener los datos directamente por parte de las agencias de inteligencia exterior.
Es evidente que la NSA puede obtener datos mucho más relevantes de la actividad de los usuarios por sus propios medios y sin tener que solicitar los de Google Analytics. Por eso Google no ha recibido requerimientos en relación a este servicio.
Es una lástima que los activistas que han promovido este sudoku no hayan explorado de forma conjunta y constructiva todas las opciones técnicas y jurídicas posibles antes de lanzar un ataque de fuerza bruta contra sitios web como el de la RAE cuyas estadísticas no son capaces de suscitar interés para las agencias de inteligencia estadounidenses, no son relevantes para la lucha antiterrorista y no tienen un potencial significativo para generar riesgos para los derechos y libertades de los interesados.
Como ya comenté en mi anterior post, este año celebramos en el despacho el 30 aniversario de nuestra especialización en protección de datos y hemos planificado una serie de webinars para celebrarlo durante los próximos meses.
En 1992, era habitual encontrar en las porterías una papelera para poder tirar todo el correo con publicidad no solicitada que llenaba los buzones a diario. No era buzoneo, sino cartas personalizadas con tu nombre y apellidos.
También era habitual que tu hijo recién nacido llegase por primera vez a casa y ya tuviese cartas a su nombre porque alguien en el hospital había vendido los datos a empresas relacionadas con productos para bebés.
Estas prácticas se consideraban una molestia en el caso del correo comercial y a veces incluso una sorpresa agradable en el caso de que alguien le diese la bienvenida a este mundo a tu hijo recién nacido.
No se consideraba una intromisión en la intimidad porque no existía una cultura en esta materia y no se había desarrollado ni la sensibilidad ni la necesidad de que hubiese una protección de los datos personales.
El artículo 18.4 de la Constitución establecía que la ley debía limitar el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos, pero esta limitación parecía dirigida a los abusos del Estado vigilando a los ciudadanos.
Durante estos 30 años hemos podido ver la evolución de las tecnologías y los abusos por parte de algunas empresas, especialmente las grandes compañías asociadas a Internet.
Y aunque algunas sanciones han sido justas, el resultado final es que tenemos una normativa compleja y exigente que incrementa terriblemente el gasto de empresas que, por el sector al que pertenecen, nunca van a tener interés en cruzar unas líneas rojas que no están marcadas para ellas.
Si en 1992 me hubiesen dicho que Mad Max iba a denunciar a la Real Academia Española de la Lengua por intentar saber las palabras que más consultamos en su diccionario no lo habría creído.
Pero resulta que alguien considera que esos datos sobre el uso del diccionario de la RAE, que los usuarios consentimos que se envíen a directamente a Estados Unidos para que Google elabore las estadísticas, pueden ser de interés para las agencias de inteligencia exterior en su lucha contra el terrorismo internacional.
En el día de la protección de datos podemos reflexionar si era esto lo que queríamos hace 30 años, cuando desarrollamos el automatismo de abrir el buzón y tirar las cartas comerciales a la papelera.