Como ya comenté en mi anterior post, este año celebramos en el despacho el 30 aniversario de nuestra especialización en protección de datos y hemos planificado una serie de webinars para celebrarlo durante los próximos meses.
En 1992, era habitual encontrar en las porterías una papelera para poder tirar todo el correo con publicidad no solicitada que llenaba los buzones a diario. No era buzoneo, sino cartas personalizadas con tu nombre y apellidos.
También era habitual que tu hijo recién nacido llegase por primera vez a casa y ya tuviese cartas a su nombre porque alguien en el hospital había vendido los datos a empresas relacionadas con productos para bebés.
Estas prácticas se consideraban una molestia en el caso del correo comercial y a veces incluso una sorpresa agradable en el caso de que alguien le diese la bienvenida a este mundo a tu hijo recién nacido.
No se consideraba una intromisión en la intimidad porque no existía una cultura en esta materia y no se había desarrollado ni la sensibilidad ni la necesidad de que hubiese una protección de los datos personales.
El artículo 18.4 de la Constitución establecía que la ley debía limitar el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos, pero esta limitación parecía dirigida a los abusos del Estado vigilando a los ciudadanos.
Durante estos 30 años hemos podido ver la evolución de las tecnologías y los abusos por parte de algunas empresas, especialmente las grandes compañías asociadas a Internet.
Y aunque algunas sanciones han sido justas, el resultado final es que tenemos una normativa compleja y exigente que incrementa terriblemente el gasto de empresas que, por el sector al que pertenecen, nunca van a tener interés en cruzar unas líneas rojas que no están marcadas para ellas.
Si en 1992 me hubiesen dicho que Mad Max iba a denunciar a la Real Academia Española de la Lengua por intentar saber las palabras que más consultamos en su diccionario no lo habría creído.
Pero resulta que alguien considera que esos datos sobre el uso del diccionario de la RAE, que los usuarios consentimos que se envíen a directamente a Estados Unidos para que Google elabore las estadísticas, pueden ser de interés para las agencias de inteligencia exterior en su lucha contra el terrorismo internacional.
En el día de la protección de datos podemos reflexionar si era esto lo que queríamos hace 30 años, cuando desarrollamos el automatismo de abrir el buzón y tirar las cartas comerciales a la papelera.
Este año se cumplen 30 años de nuestra especialización en protección de datos, ya que en 1992 iniciamos nuestros servicios de adecuación a la LORTAD, y también se cumplen 35 años de especialización en derecho de las TIC.
En línea con nuestra estrategia de crecimiento del despacho en los próximos años, y con efectos 1 de enero de 2022 han sido nombrados socios del despacho Rebeca Velasco y Marc Rius.
Rebeca es especialista en Protección de Datos y Derecho de las Tecnologías de la Información desde 2004, y en Compliance desde 2010 y ha desarrollado su experiencia principalmente en clientes del sector farmacéutico en los que también colabora en el Compliance del Código de Buenas Prácticas de la Industria Farmacéutica, así como en la revisión y redacción de procedimientos.
Marc es especialista en Protección de Datos y Derecho de las Tecnologías de la Información desde 2009 y en Compliance desde 2010. Además, por sus estudios previos a la licenciatura en derecho y por curiosidad e inquietud personales, ha desarrollado amplios conocimientos en el ámbito tecnológico, diseño y publicidad, especializándose específicamente en estas áreas para sectores tecnológico, de gran consumo y retail.
Tanto Rebeca como Marc son colaboradores académicos de diversos másters entre los que destacan el Máster IT+IP de ESADE Law School y del Máster en Derecho Digital y Sociedad de la Información UB- IL3, así como coordinadores del Curso de Auditoría de Compliance de Thomson Reuters y del Curso de Protección de Datos Personales de Thomson Reuters. También son responsables de diversos cursos dentro del propio Campus formativo de Ribas, www.campus-ribas.com.
Conjuntamente liderarán las prácticas de Protección de Datos y Compliance, focalizándose Marc en la práctica de Protección de datos y Publicidad y Rebeca en Protección de datos y Compliance.
Sus aportaciones como socios contribuirán al crecimiento de la firma, y a hacer frente al incremento que se está produciendo en los servicios de Protección de Datos, Compliance y ESG, áreas en las que seguimos desarrollado y ampliando servicios.
Quiero compartir mi agradecimiento y admiración por el esfuerzo que está realizando el magnífico equipo que forma el despacho en la elaboración de todos los documentos y materiales formativos que componen el widget jurídico relativo al PRTR de Campus Ribas.
Obligaciones a cumplir por la Administración Central, Autonómica y Local y por los agentes implicados en la ejecución del PRTR como perceptores de fondos, antes del 31 de diciembre de 2021
Las Administraciones Públicas y los agentes implicados en la ejecución tienen hasta el 31 de diciembre de 2021 para cumplir las obligaciones establecidas en el Plan de Recuperación, Transformación y Resiliencia (PRTR), realizar las acciones descritas en él y cumplir con el estándar mínimo en cada uno de los principios establecidos y elaborar los documentos relacionados.
ACCIONESMÁS DESTACADAS
Evaluar los procedimientos a través de los correspondientes cuestionarios de autoevaluación.
Adaptar los procedimientos.
Aplicar los criterios para el seguimiento y la acreditación de los hitos y objetivos alcanzados, de acuerdo con lo establecido en el PRTR.
Cumplir el compromiso de etiquetado verde en relación a los objetivos de transición ecológica.
Cumplir el compromiso de etiquetado digital en relación con los objetivos de transformación digital.
Analizar el riesgo de impacto negativo significativo en el medioambiente, realizar un seguimiento y una verificación del resultado en relación a la evaluación inicial.
Evaluar el riesgo de fraude.
Reforzar de los mecanismos para la prevención, detección y corrección del fraude, la corrupción y los conflictos de intereses.
Establecer un plan de medidas antifraude.
Definir y aplicar un procedimiento de evaluación del riesgo de fraude.
Establecer un protocolo de actuación en caso de detección de un posible fraude.
Compatibilizar el régimen de ayudas del Estado y prevenir la doble financiación.
Identificar al perceptor final de fondos o beneficiarios de las ayudas.
Identificar a los contratistas y a los subcontratistas.
Cumplimentar la Declaración de Ausencia de Conflicto de Intereses (DACI).
Asegurar el cumplimiento de las normas de uso del logo del PRTR.
Asegurar el cumplimiento de las normas en materia de comunicación e información.
Establecer un sistema de seguimiento del cumplimiento de los principios y de actualización de las medidas aplicadas.
Establecer un sistema de información para la gestión y el seguimiento de los planes y los objetivos establecidos en el PRTR.
Realizar el informe de gestión y la declaración de gestión.
DOCUMENTOS MÁS DESTACADOS
Política de aplicación de los principios del PRTR.
Política de protección del medioambiente.
Política de prevención de la corrupción, el fraude y los conflictos de intereses.
Política de prevención de la doble financiación.
Procedimiento de análisis de riesgos medioambientales.
Protocolo de toma de decisiones basado en los principios del PRTR.
Procedimiento de análisis sistemático de la gestión basado en indicadores operativos.
Lista de indicadores operativos.
Plan de medidas antifraude.
Procedimiento de evaluación del riesgo de fraude.
Mapa de relaciones.
Mapa de riesgos inherentes.
Mapa de riesgos residuales.
Lista de medidas preventivas del fraude, la corrupción y el conflicto de intereses.
Lista de medidas de detección del fraude, la corrupción y el conflicto de intereses.
Lista de medidas correctivas del fraude, la corrupción y el conflicto de intereses.
Protocolo de actuación en caso de detección de un posible fraude.
Procedimiento de identificación del beneficiario final y de los contratistas y subcontratistas.
Procedimiento de seguimiento de casos sospechosos.
Procedimiento de recuperación de los fondos de la UE gastados fraudulentamente.
Procedimiento relativo a la prevención y la corrección de situaciones de conflicto de intereses.
Procedimiento de comunicación y de aplicación de los logos del PRTR.
Informe de gestión.
Restantes documentos descritos en los anexos de la Orden Ministerial.
PAQUETE URGENTE DE MEDIDAS Y DOCUMENTOS
Dada la falta de tiempo para convocar un concurso público que permita contratar los servicios jurídicos necesarios para el cumplimiento de estas obligaciones y la elaboración de estos documentos, nuestro despacho ha desarrollado un paquete que incluye los documentos más destacados relacionados en el apartado anterior.
Este paquete de documentos está disponible de forma permanente en nuestro campus con el fin de que pueda actualizarse con los cambios y mejoras que se vayan introduciendo a raíz de su aplicación en la práctica y con los criterios manifestados por las autoridades de la UE y del Ministerio de Hacienda. De esta manera, los documentos podrán incorporar también la formación y el asesoramiento necesarios para su aplicación.
Si desea más información sobre este paquete, puede enviar un mensaje a xavier.ribas@ribastic.com y le remitiremos las condiciones de contratación.
De la misma manera que en el caso del Curso de Auditoría de Compliance, se trata de una idea que teníamos desde hace años porque desde 2016 hemos identificado y actualizado una gran cantidad de factores de riesgo, riesgos, controles, evidencias y acciones recomendadas y esperábamos que llegase el día para poder compartir estos activos y conocimientos tan valiosos para los profesionales dedicados a esta materia.
El curso es el resultado del esfuerzo conjunto de todo el despacho y de muchas horas de trabajo. Por ello tengo que mostrar mi agradecimiento al gran claustro de profesores que ha permitido entregaros tanto valor en un curso de auditoría.
Contenido
El curso incluye más de 4.000 elementos de soporte para la auditoría, distribuidos en:
45 materias o temas a auditar.
270 preguntas relativas a factores de riesgo.
Más de 700 preguntas relativas a riesgos.
Más de 700 preguntas relativas a controles.
Más de 600 riesgos.
Más de 500 controles.
Más de 500 evidencias.
Más de 500 acciones recomendadas.
Esquema de un tema de auditoría
En este diagrama se puede ver el esquema de cada uno de los 45 temas de auditoría.
Contenido detallado del curso
MÓDULO 1 – Metodología de la auditoría
Planificación de la auditoría
Identificación de las fuentes de información
Identificación de interlocutores
Alcance de la auditoría
Preguntas a realizar
Entrevistas
Verificación de la existencia del control
Verificación de la eficacia del control
Valoración del riesgo de incumplimiento
Proceso de obtención de evidencias
Repositorio de evidencias
Informe de auditoría
Presentación de los resultados
Indicadores de cumplimiento (KCI)
Plan de acción
MÓDULO 2. Auditoría de RGPD
TEMA 1. Modelo de prevención y control TEMA 2. Estructura de control TEMA 3. Delegado de Protección de Datos TEMA 4. Estructura normativa TEMA 5. Registro de actividades del tratamiento TEMA 6. Categorías especiales de datos TEMA 7. Auditoría de evaluaciones de impacto TEMA 8. Auditoría de los principios del tratamiento TEMA 9. Auditoria bases de legitimación TEMA 9A. Auditoria bases de legitimación- Consentimiento TEMA 10. Auditoría de cookies TEMA 11. Perfilado y Decisiones Automatizadas TEMA 12. Ejercicio de derechos TEMA 13. Limitación del plazo de conservación TEMA 14. Transferencias a terceros países TEMA 15. Comunicaciones de datos y destinatarios TEMA 16. Encargados y sub-encargados del tratamiento TEMA 17. La empresa como encargado del tratamiento TEMA 18. Corresponsables del tratamiento TEMA 19. Formación y concienciación TEMA 20. Repositorio de Evidencias
MÓDULO 3. Auditoría de LOPDGDD
TEMA 1. Datos de menores de edad TEMA 2. Datos de personas fallecidas TEMA 3. Tratamiento en operaciones mercantiles TEMA 4. Sistemas de videovigilancia TEMA 5. Sistemas de información de denuncias internas TEMA 6. Sistemas de exclusión publicitarías TEMA 7. Bloqueo de datos TEMA 8. Uso de dispositivos digitales en el ámbito laboral TEMA 9. Derecho a la desconexión digital TEMA 10. Control laboral TEMA 11. Sistemas de geolocalización en el ámbito laboral
MÓDULO 4. Auditoría de medidas técnicas y organizativas
TEMA 1. Política de seguridad TEMA 2. Medidas destinadas a garantizar la confidencialidad TEMA 3. Medidas destinadas a garantizar la integridad TEMA 4. Medidas destinadas a garantizar la disponibilidad TEMA 5. Registro de aplicaciones TEMA 6. Controles ISO TEMA 7. Cifrado de datos TEMA 8. Seudonimización TEMA 9. Anonimización TEMA 10. Procedimiento de gestión de incidentes de seguridad TEMA 11. Auditoría de criterios de la AEPD en relación a las medidas implantadas antes del incidente TEMA 12. Auditoría de criterios de la AEPD en relación a las medidas implantadas para el momento del incidente TEMA 13. Auditoría de criterios de la AEPD en relación a las medidas implantadas para después del incidente
Director del curso
Xavier Ribas
Profesores
Rebeca Velasco Marc Rius Paula Gómez Sandra Tintoré Miquel Vidal Juan Pablo Tornos Joan Xifra Paula Ribas Ramon Baradat Xavier Julve
Razones para hacer este curso
Desde la entrada en vigor del RGPD y de la LOPD se han producido muchos cambios en las empresas y se han publicado numerosas guías, recomendaciones y resoluciones de la AEPD.
Existen recursos y aplicaciones para realizar una auditoría de protección de datos (RGPD y LOPDGDD) desde el punto de vista metodológico, pero el mayor reto de la función de supervisión y control reside en la identificación de los riesgos, los criterios de las autoridades de control, las medidas concretas a aplicar para mitigarlos y las evidencias específicas a obtener para acreditar el cumplimiento.
Este curso tiene el objetivo de ofrecer al Delegado de Protección de Datos, a los auditores y a los responsables de verificar el cumplimiento la mayor recopilación posible de preguntas, factores de riesgo, riesgos, controles, evidencias y acciones recomendadas para acompañarlos en esta labor de supervisión y control.
Esperamos que este curso sea muy útil para toda la comunidad de profesionales dedicados a la protección de datos, tanto a los que se inician en el campo de la auditoría como a los más expertos.
Era una idea que teníamos desde hace años porque desde 2010 hemos identificado y actualizado una gran cantidad de factores de riesgo, riesgos, controles, evidencias y acciones recomendadas y esperábamos el día de poder compartir estos activos tan valiosos.
Es el resultado del esfuerzo conjunto de todo el despacho y de muchas horas de trabajo. Por ello tengo que mostrar mi agradecimiento al gran claustro de profesores que han permitido entregaros tanto valor en un curso de auditoría.
Contenido
El curso incluye más de 4.000 elementos de soporte para la auditoría, distribuidos en:
45 materias o temas a auditar.
270 preguntas relativas a factores de riesgo.
Más de 700 preguntas relativas a riesgos.
Más de 700 preguntas relativas a controles.
Más de 600 riesgos.
Más de 500 controles.
Más de 500 evidencias.
Más de 500 acciones recomendadas.
Esquema de un tema de auditoría
En este diagrama se puede ver el esquema de cada uno de los 45 temas de auditoría.
Contenido detallado del curso
M1 – Metodología de la auditoría
Planificación de la auditoría
Identificación de las fuentes de información
Identificación de interlocutores
Alcance de la auditoría
Preguntas a realizar
Entrevistas
Verificación de la existencia del control
Verificación de la eficacia del control
Valoración del riesgo de incumplimiento
Proceso de obtención de evidencias
Repositorio de evidencias
Informe de auditoría
Presentación de los resultados
Indicadores de cumplimiento (KCI)
Plan de acción
M2 – Auditoría del modelo de compliance
Modelo de prevención y control
Estructura de control
Compliance Officer
Estructura normativa
Código ético
Mapa de riesgos general
Mapa de riesgos sectorial
Protocolo de toma de decisiones
Modelo de gestión de los recursos financieros
Canal ético
Sistema disciplinario y sanciones
Formación y sensibilización
Control de proveedores y clientes críticos
Control de socios y filiales
Verificación periódica y mejora continua del modelo
Repositorio de evidencias
M3 – Auditoría de riesgos comunes a todos los sectores
Corrupción pública
Corrupción privada
Daños informáticos
Propiedad intelectual e industrial
Hacienda Pública y Seguridad Social
Mercado y consumidores
Blanqueo de capitales y financiación del terrorismo
Derechos de los trabajadores
Medio ambiente
Ordenación del territorio y urbanismo
Falsificación de tarjetas, medios de pago y moneda
Intimidad
Estafa
Insolvencias punibles y frustración en la ejecución
Delitos de odio
Seguridad Colectiva
Salud pública y manipulación genética
Delitos contra ciudadanos extranjeros
M4 – Auditoría de riesgos sectoriales
Sector farmacéutico
Sector financiero
Sector inmobiliario
Sector retail
Sector gran consumo
Sector tecnológico
M5 – Riesgos de negocio que generan riesgos de cumplimiento
Riesgos financieros
Riesgos de mercado
Riesgos de suministro
Riesgos tecnológicos y derivados de la transformación digital
Riesgos relacionados con la sostenibilidad
Riesgos relacionados con la continuidad del negocio
Riesgos relacionados con las burbujas económicas
Riesgos relacionados con la disrupción
Riesgos derivados de iniciativas activistas – Fondos, accionistas y grupos de interés activistas
Destinatarios de este curso
Compliance Officers.
Profesionales interesados en prepararse para ser auditores de compliance.
Directivos y técnicos responsables de sistemas de gestión de calidad, medio ambiente y sistemas integrados.
Profesionales con responsabilidades en cumplimiento y/o control interno (auditores, gestión de riesgos, control de gestión, asesoría jurídica…).
Gerentes y directivos sensibilizados con el cumplimiento normativo y su gestión.
Director del curso
Xavier Ribas
Cordinadora del curso
Rebeca Velasco
Profesores
Marc Rius Paula Gómez Sandra Tintoré Miquel Vidal Juan Pablo Tornos Joan Xifra Paula Ribas Ramon Baradat Xavier Julve
Razones para hacer este curso
Las crisis económicas ponen a prueba los modelos de prevención y control de delitos. Los controles ineficaces quedan al descubierto y muestran las debilidades de la cultura de cumplimiento de las organizaciones.
Existen recursos y aplicaciones para realizar una auditoría de compliance desde el punto de vista metodológico, pero el mayor reto de la función de supervisión y control reside en la identificación de los riesgos, los criterios de las autoridades de control, las medidas concretas a aplicar para mitigarlos y las evidencias específicas a obtener para acreditar el cumplimiento.
Este curso que nace en una época en la que los mapas de riesgos deben adaptarse a un nuevo escenario y la estructura de control debe redimensionarse para conocer y estar más cerca del riesgo, tiene el objetivo de ofrecer al Compliance Officer y a los responsables de verificar el cumplimiento la mayor recopilación posible de preguntas, factores de riesgo, riesgos, controles, evidencias y acciones recomendadas para acompañarlos en esta labor de supervisión y control.
Esperamos que este curso sea muy útil para toda la comunidad de profesionales dedicados al compliance, tanto a los que se inician en el campo de la auditoría como a los más expertos.
En septiembre de 1996 abrimos nuestra intranet a los clientes y la convertimos en una extranet.
Las carpetas se comportaban de una manera muy parecida a los actuales Equipos de Teams, pero con una diferencia de 25 años.
Esta era la primera página del contrato (en papel).
Su antecedente fue una BBS que creamos en 1987, a la que sólo accedieron dos clientes. Estaba operativa unas horas al día debido a los elevados costes de conexión.
Las acciones en las que no recomiendo el uso de herramientas informáticas, aplicaciones o plataformas para el envío automatizado de cuestionarios son las siguientes:
Auditorías de compliance.
Auditorías de protección de datos.
Análisis de riesgos.
Evaluaciones de impacto.
Investigaciones internas.
Otras acciones similares.
Las razones por las que no lo recomiendo son las siguientes:
Reconocimiento explícito de infracciones administrativas.
Reconocimiento explícito de delitos.
Reconocimiento explícito de prácticas anticompetitivas.
Creación involuntaria de evidencias de incumplimientos.
Dificultad para explicar o entender el sentido de la pregunta.
Dificultad para explicar o entender el contexto de la pregunta.
Dificultad para añadir la capa formativa que se añade a las entrevistas presenciales.
Alto porcentaje de respuestas erróneas debido a estas dificultades.
Dificultad para conseguir un clima de confianza.
Dificultad para demostrar que somos aliados del entrevistado.
Respuestas evasivas.
Respuestas N/A improcedentes.
Imposibilidad de valorar el lenguaje no verbal al responder.
Retrasos en la respuesta.
Pérdida de tiempo en recordatorios y persecuciones.
Necesidad de acciones disciplinarias ante la falta de respuesta.
Dificultad para modificar un cuestionario ya enviado. En el caso de precisar modificarlo hay que enviar un nuevo cuestionario, con el riesgo de que ya se hayan recibido respuestas del anterior.
Esta es una lista rápida de razones, derivada de la acumulación de experiencias negativas en clientes que todavía consideran que estas acciones se pueden automatizar. Hay muchas más razones para no hacerlo.
Hasta el momento no he encontrado nada mejor que una entrevista presencial o por videoconferencia.
Otra tarea que genera riesgos cuando se automatiza es la de los configuradores de cookies. La mayoría de ellos comparan las cookies halladas con una librería de cookies identificadas. Si una cookie específica de la empresa no es identificada, el configurador la coloca en la sección de cookies pendientes de categorizar, y si la empresa no las categoriza, puede estar suministrando información incompleta del tratamiento al interesado, lo cual constituye una infracción muy grave del RGPD.
La existencia de un tratamiento a gran escala es uno de los elementos determinantes de la necesidad de nombrar un DPO, de realizar una evaluación de impacto o de agravar una sanción. Es, por lo tanto, uno de los conceptos clave del RGPD.
Sin embargo, el concepto gran escala no está definido ni cuantificado en el RGPD ni tampoco en la LOPDGDD, con la consiguiente inseguridad jurídica que ello supone. Algún autor ha sugerido que las autoridades de control han dejado intencionadamente este concepto sin determinar con el fin de dar cabida en él al mayor número posible de tratamientos. Pero lo cierto es que el RGPD no establece claramente los parámetros cuantitativos para determinarlo, por lo que el resultado final es que la inseguridad jurídica no desaparece.
El considerando 91 del RGPD acota parcialmente el concepto al decir que las operaciones de tratamiento a gran escala persiguen tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional que podrían afectar a un gran número de interesados.
Seguimos con conceptos indeterminados como “cantidad considerable de datos” y “gran número de interesados”.
El Grupo de Trabajo del Artículo 29 (GT29) establece unos criterios orientativos basados en este considerando en las Directrices sobre los delegados de protección de datos (WP 243) adoptadas el 13 de diciembre de 2016 y revisadas por última vez y adoptadas el 5 de abril de 2017.
El GT29 reconoce que el RGPD no define qué se entiende por tratamiento a gran escala y añade que no es posible dar una cifra exacta, ya sea con relación a la cantidad de datos procesados o al número de personas afectadas, que pudiera aplicarse en todas las situaciones.
No obstante, el GT29 considera que esto no excluye la posibilidad de que, con el tiempo, se desarrolle un método estándar para identificar en términos más específicos o cuantitativos qué constituye “a gran escala” con respecto a determinados tipos de actividades de tratamiento comunes.
Esto no se ha hecho.
Por el contrario, los Estados miembro han ido aplicando criterios dispares en sus opiniones y resoluciones.
El GT29 recomienda que se tengan en cuenta los siguientes factores a la hora de determinar si el tratamiento se realiza a gran escala:
El número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente.
El volumen de datos o la variedad de elementos de datos que son objeto de tratamiento.
La duración, o permanencia, de la actividad de tratamiento de datos.
El alcance geográfico de la actividad de tratamiento.
Estos criterios no son suficientes para determinar lo que es un tratamiento a gran escala, y han sido objeto de aplicación incoherente en los distintos países en los que el RGPD es de aplicación, incumpliéndose el objetivo uniformador de este reglamento.
Tal como indica la International Association of Privacy Professional (IAPP) en este artículo: https://iapp.org/news/a/on-large-scale-data-processing-and-gdpr-compliance/, la interpretación del concepto gran escala en el Espacio Único Europeo ha oscilado entre los 50.000 interesados exigidos en Estonia para realizar una evaluación de impacto hasta los 5.000.000 de interesados, o el 40 por ciento de la población relevante para el tratamiento, establecido en 2018 por la autoridad de control alemana.
Como prueba de la dispar y poco uniforme interpretación del concepto gran escala en el EEE, vamos a ver a continuación los datos de los países que hemos podido analizar hasta el momento, directamente o a través de colaboradores locales. Cualquier información adicional que permita actualizar y completar este análisis será bienvenida.
España
El artículo 34 de la LOPDGDD contiene una lista de actividades o sectores que deben nombrar un DPO y de ello se deduce que todos estos sectores realizan tratamientos a gran escala y también efectúan una observación sistemática de los interesados.
Una referencia temprana, y no exenta de polémica por su falta de rigor jurídico, fue la de un alto cargo de la AEPD en una jornada de puertas abiertas, en la que indicó literalmente que un tratamiento a gran escala consistía en un tratamiento de “muchos, muchos datos de muchos, muchos interesados”.
En la resolución del procedimiento sancionador PS/00417/2019 la AEPD consideró que había un tratamiento a gran escala de clientes, pero no aportó ningún dato cuantitativo sobre el número de clientes, ni los criterios aplicados para concluir que había un tratamiento a gran escala. Tampoco indicó si se refería a clientes activos durante un determinado ejercicio o si incluía también a los clientes históricos que habían quedado excluidos del tratamiento principal.
Aplicando el criterio del alto cargo de la AEPD, en este caso no habría un tratamiento de muchos, muchos datos, ni de muchos, muchos interesados. Aplicando los criterios del considerando 91 del RGPD, tampoco habría una “cantidad considerable de datos” de un “gran número de interesados”.Y aplicando el criterio del porcentaje de población relevante para el tratamiento, cualquier cantidad de clientes que pueda tratar una startup en sus primeros años queda diluida en la inmensidad del océano de los clientes potenciales.
Por otro lado, el considerando 75 del RGPD indica claramente que los riesgos para los derechos y libertades de las personas físicas, de gravedad y probabilidad variables, pueden deberse al tratamiento de datos que pudieran provocar daños y perjuicios físicos, materiales o inmateriales, en particular en los casos en los que el tratamiento implique una gran cantidad de datos personales y afecte a un gran número de interesados. Deben darse, por lo tanto, los dos requisitos al mismo tiempo.
Alemania
El 23 de mayo de 2018 la autoridad de control alemana publicó un documento en el que estableció que se producía un tratamiento de datos a gran escala en términos cuantitativos en el caso de superar los 5.000.000 de interesados, o al menos el 40 por ciento del grupo de personas afectadas. Se entiende que se refiere al 40% de la población relevante para el tratamiento.
En el caso de Alemania, el criterio establecido en mayo de 2018 fue exclusivamente cuantitativo, pero las cifras establecidas fueron muy altas.
Italia
La autoridad de control italiana ha dado prioridad a la valoración del riesgo para los interesados. Ello ha hecho que en una resolución de 26 de marzo de 2020 haya dictaminado que el tratamiento de los datos de los estudiantes por un centro de enseñanza a distancia no constituye un tratamiento a gran escala y, en cambio, en una resolución previa del 7 de marzo de 2019 había considerado que un hospital público realizaba un tratamiento a gran escala de los datos de sus pacientes.
Portugal
No hemos encontrado ningún documento, guía o resolución en la que la autoridad portuguesa se pronuncie al respecto, limitándose a enlazar a la posición del GT29.
Polonia
La autoridad de control polaca estableció en una resolución de 2019 que una cifra de 2.200.000 clientes era suficiente para considerar que existía un tratamiento a gran escala. Es la única resolución en la que la autoridad de control parece estar 100% segura de que existe un tratamiento a gran escala. La autoridad polaca indica que: “La compañía, al tratar los datos personales de más de 2.200.000 usuarios, que deben considerarse como un tratamiento de datos personales a gran escala, y teniendo en cuenta el alcance de los datos y el contexto del tratamiento, estaba obligada a evaluar y monitorizar de manera más efectiva los riesgos para los derechos y libertades de las personas cuyos datos se trataban.”
Vemos que se tiene en cuenta la cantidad de los datos, pero también la tipología de los datos y el contexto del tratamiento.
El fracaso del RGPD en materia de coherencia entre autoridades de control.
Cabe destacar la crítica realizada por Johannes Caspar, responsable de la oficina de protección de datos de Hamburgo (Alemania) durante 12 años sobre la aplicación del RGPD, el mecanismo de ventanilla única, los sistemas de colaboración entre autoridades de control y los conflictos que han surgido entre ellas, dificultando la función uniformadora del RGPD.
El criterio que parece predominar es el del riesgo para el interesado, es decir, el riesgo potencial que un tratamiento a gran escala genera para los derechos y libertades de los interesados.
Es evidente que un tratamiento tiene un mayor impacto si afecta un gran número de interesados. Pero este único dato no es relevante si al final sólo se trata la dirección de correo electrónico del interesado. De hecho, muchas resoluciones de archivo de actuaciones se basan en la inexistencia de riesgo para los interesados cuando una brecha de seguridad sólo ha afectado a la dirección de correo electrónico, a pesar de haber un gran número de afectados.
En términos de riesgo para sus derechos y libertades, a un interesado tiene que preocuparle más estar en un tratamiento de 500 usuarios que en uno de varios millones, ya que en este último se convierte en una aguja en un pajar.
Lo que realmente genera el riesgo para el usuario es el nivel de sensibilidad de los datos. Tiene mucho más impacto en los derechos y libertades de los interesados una brecha de seguridad que afecte a 500 historias clínicas que una brecha que afecte a 500 millones de direcciones de correo electrónico.
Lo que nunca debería ocurrir es que un responsable del tratamiento fuese sancionado basándose únicamente en el número de interesados.
Primero, porque el legislador europeo estableció un vínculo claro entre la cantidad de interesados y la cantidad o tipología de los datos.
Segundo, porque la cantidad de interesados es irrelevante si el tratamiento y la tipología de los datos no generan riesgos para los derechos y libertades de los interesados.
Y tercero, porque no existe un criterio uniforme en el EEE que permita determinar a partir de qué cifra o porcentaje de la población relevante para el tratamiento se debe considerar que existe un tratamiento a gran escala.
Reitero mi agradecimiento por cualquier aportación que ayude a actualizar y completar este análisis comparativo y a acreditar la inexistencia de un criterio unificado en relación al tratamiento a gran escala.
Acabo de leer un artículo de Xavier Ferrás en La Vanguardia sobre la paradoja de Polanyi, que me ha gustado mucho. Esta paradoja muestra la dificultad de automatizar una tarea que al ser humano le resulta fácil realizar, pero difícil de explicar. El autor pone el ejemplo del reconocimiento facial. Un ser humano es capaz de reconocer a un amigo que se cruza por la calle a pesar de que hayan pasado 20 años sin verse y su rostro haya cambiado totalmente. Equipara la dificultad de trasladar ese conocimiento a un sistema informático a la dificultad de intentar explicar el color azul a una persona ciega que nunca lo ha visto.
Cuando identificamos a un conocido en la calle extraemos un conocimiento que se encuentra oculto detrás de un rostro. El conocimiento oculto es su identidad. Y lo hacemos comparando su cara, su mirada y la expresión de su rostro en su conjunto con los recuerdos almacenados de las personas a las que conocemos. El factor diferencial de la identificación es que extraemos a una persona del anonimato. Convertimos a una persona anónima en una persona identificada.
Cuando este proceso lo realiza un sistema informático, se produce una fase de registro de la imagen y otra de medición de los rasgos faciales. Muchas personas caen en el error de pensar que la invasión de la intimidad se produce en el acto de medir el cuerpo humano, de obtener métricas de un ser humano. Pero ello no es así.
La invasión de la intimidad se produce cuando esos datos biométricos nos permiten singularizar a una persona de entre otras muchas. Asociar un rostro que podría pertenecer a miles o millones de personas a una identidad concreta, después de haber valorado el conjunto de la muestra disponible.
La clave, por lo tanto, reside en el carácter oculto de la identidad.
Si aplicamos el habitual ejemplo de la cebolla para explicar las distintas capas de un objeto o de un conocimiento, la fotografía de una cara sería la primera capa exterior, las métricas de la cara serían la segunda capa y la identidad de la persona sería la tercera capa.
Lo que el derecho a la intimidad protege es esta tercera capa interior porque está oculta para todos aquellos que no conocen a la persona o porque no tienen los medios para identificarla. Y cuando una persona quiere que, ni las personas que la conocen, ni las personas que tienen los medios para identificarla, puedan conocer su identidad, debe recurrir a modificar la primera capa, alterando los rasgos faciales para que ni los primeros ni los segundos puedan acceder a la tercera capa de su identidad.
¿Por qué los datos sobre nuestras opiniones políticas son datos sensibles? Porque residen en esa tercera capa y el derecho a la intimidad nos ofrece la posibilidad de mantenerlos ocultos. Si los divulgamos, los trasladamos de la tercera capa a la primera con sus correspondientes consecuencias jurídicas.
¿Por qué los datos sobre nuestra salud son datos sensibles? Porque residen en esa tercera capa y el derecho a la intimidad nos ofrece la posibilidad de mantenerlos ocultos. Si los divulgamos, los trasladamos de la tercera capa a la primera con sus correspondientes consecuencias jurídicas.
¿Por qué los datos sobre nuestras convicciones religiosas son datos sensibles? Porque residen en esa tercera capa y el derecho a la intimidad nos ofrece la posibilidad de mantenerlos ocultos. Si los divulgamos, los trasladamos de la tercera capa a la primera con sus correspondientes consecuencias jurídicas.
¿Por qué los datos sobre nuestra vida sexual o nuestra orientación sexual son datos sensibles? Porque residen en esa tercera capa y el derecho a la intimidad nos ofrece la posibilidad de mantenerlos ocultos. Si los divulgamos, los trasladamos de la tercera capa a la primera con sus correspondientes consecuencias jurídicas.
En cambio, con los datos biométricos no sucede lo mismo.
Para que un dato biométrico sea un dato sensible, para que pertenezca a una categoría especial de datos, tiene que permitirnos acceder a la identidad oculta de una persona con el fin de sacarla a la superficie, incluso en contra de su voluntad.
Por eso ha querido el legislador proteger al interesado de esa intromisión en su intimidad.
La identificación basada en datos biométricos nos va a permitir extraer el conocimiento oculto de la identidad de una persona gracias a la existencia de patrones obtenidos previamente y almacenados en una base de datos. Un ejemplo muy claro es la identificación de un terrorista en un aeropuerto, por las consecuencias jurídicas que identificarlo va a tener para él y por las terribles consecuencias que no identificarlo va a tener para los demás.
Pero la autenticación es algo absolutamente diferente.
En la autenticación sólo se actúa en la primera y en la segunda capa.
Cuando utilizo mi rostro para autenticarme y acceder a un sistema informático, utilizo un nombre de usuario para decirle que soy un usuario registrado y que debe darme acceso. El sistema está configurado para no creer a cualquiera que diga que soy yo, y por lo tanto, realiza una verificación de mi identidad.
Esta verificación consiste en captar mis rasgos faciales, medirlos y comparar las métricas obtenidas con las que están asociadas a mi nombre de usuario.
El sistema no compara mi patrón facial con el de otros usuarios registrados para acceder a mi identidad. Mi identidad ya la tiene, y está asociada a mi nombre de usuario gracias al trabajo previo de registro. En conclusión, el sistema tiene las tres capas de conocimiento porque el día del registro se las facilité. Pero en el momento de la autenticación sólo utiliza las dos primeras.
Cada vez que intento acceder a mi cuenta, el sistema realiza las siguientes acciones:
Capta mi rostro (primera capa de información).
Mide mis rasgos y obtiene los datos biométricos de mi cara (segunda capa de información).
Compara estos datos con los que tiene guardados y que están asociados a mi nombre de usuario (seguimos en la segunda capa de información).
Verifica que hay correspondencia entre los datos obtenidos ahora y los datos obtenidos en el momento del registro y me permite el acceso.
En ninguna parte de este proceso el sistema ha tenido que singularizar a la persona comparándola con otras porque el usuario ya se ha identificado a sí mismo con su nombre de usuario y el sistema se ha limitado a verificar que decía la verdad.
La gran diferencia de la autenticación es que el usuario ya está identificado y el sistema se limita a verificar que no hay una suplantación.
La autenticación no necesita acceder a la tercera capa para conseguir su eficacia. La identidad puede estar incluso fuera del sistema y no ser relevante para el proceso de autenticación, que sólo verifica si el usuario con esos datos biométricos tiene autorización para entrar en el sistema.