30 años de protección de datos

Como ya comenté en mi anterior post, este año celebramos en el despacho el 30 aniversario de nuestra especialización en protección de datos y hemos planificado una serie de webinars para celebrarlo durante los próximos meses.

En 1992, era habitual encontrar en las porterías una papelera para poder tirar todo el correo con publicidad no solicitada que llenaba los buzones a diario. No era buzoneo, sino cartas personalizadas con tu nombre y apellidos.

También era habitual que tu hijo recién nacido llegase por primera vez a casa y ya tuviese cartas a su nombre porque alguien en el hospital había vendido los datos a empresas relacionadas con productos para bebés.

Estas prácticas se consideraban una molestia en el caso del correo comercial y a veces incluso una sorpresa agradable en el caso de que alguien le diese la bienvenida a este mundo a tu hijo recién nacido.

No se consideraba una intromisión en la intimidad porque no existía una cultura en esta materia y no se había desarrollado ni la sensibilidad ni la necesidad de que hubiese una protección de los datos personales.

El artículo 18.4 de la Constitución establecía que la ley debía limitar el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos, pero esta limitación parecía dirigida a los abusos del Estado vigilando a los ciudadanos.

Durante estos 30 años hemos podido ver la evolución de las tecnologías y los abusos por parte de algunas empresas, especialmente las grandes compañías asociadas a Internet.

Y aunque algunas sanciones han sido justas, el resultado final es que tenemos una normativa compleja y exigente que incrementa terriblemente el gasto de empresas que, por el sector al que pertenecen, nunca van a tener interés en cruzar unas líneas rojas que no están marcadas para ellas.

Si en 1992 me hubiesen dicho que Mad Max iba a denunciar a la Real Academia Española de la Lengua por intentar saber las palabras que más consultamos en su diccionario no lo habría creído.

Pero resulta que alguien considera que esos datos sobre el uso del diccionario de la RAE, que los usuarios consentimos que se envíen a directamente a Estados Unidos para que Google elabore las estadísticas, pueden ser de interés para las agencias de inteligencia exterior en su lucha contra el terrorismo internacional.

En el día de la protección de datos podemos reflexionar si era esto lo que queríamos hace 30 años, cuando desarrollamos el automatismo de abrir el buzón y tirar las cartas comerciales a la papelera.

Nombramiento de socios

Este año se cumplen 30 años de nuestra especialización en protección de datos, ya que en 1992 iniciamos nuestros servicios de adecuación a la LORTAD, y también se cumplen 35 años de especialización en derecho de las TIC.

En línea con nuestra estrategia de crecimiento del despacho en los próximos años, y con efectos 1 de enero de 2022 han sido nombrados socios del despacho Rebeca Velasco y Marc Rius.

Rebeca es especialista en Protección de Datos y Derecho de las Tecnologías de la Información desde 2004, y en Compliance desde 2010 y ha desarrollado su experiencia principalmente en clientes del sector farmacéutico en los que también colabora en el Compliance del Código de Buenas Prácticas de la Industria Farmacéutica, así como en la revisión y redacción de procedimientos. 

Marc es especialista en Protección de Datos y Derecho de las Tecnologías de la Información desde 2009 y en Compliance desde 2010. Además, por sus estudios previos a la licenciatura en derecho y por curiosidad e inquietud personales, ha desarrollado amplios conocimientos en el ámbito tecnológico, diseño y publicidad, especializándose específicamente en estas áreas para sectores tecnológico, de gran consumo y retail. 

Tanto Rebeca como Marc son colaboradores académicos de diversos másters entre los que destacan el Máster IT+IP de ESADE Law School y del Máster en Derecho Digital y Sociedad de la Información UB- IL3, así como coordinadores del Curso de Auditoría de Compliance de Thomson Reuters y del Curso de Protección de Datos Personales de Thomson Reuters. También son responsables de diversos cursos dentro del propio Campus formativo de Ribas, www.campus-ribas.com

Conjuntamente liderarán las prácticas de Protección de Datos y Compliance, focalizándose Marc en la práctica de Protección de datos y Publicidad y Rebeca en Protección de datos y Compliance.  

Sus aportaciones como socios contribuirán al crecimiento de la firma, y a hacer frente al incremento que se está produciendo en los servicios de Protección de Datos, Compliance y ESG, áreas en las que seguimos desarrollado y ampliando servicios. 

Widget jurídico sobre el PRTR en Campus Ribas

Quiero compartir mi agradecimiento y admiración por el esfuerzo que está realizando el magnífico equipo que forma el despacho en la elaboración de todos los documentos y materiales formativos que componen el widget jurídico relativo al PRTR de Campus Ribas.

La urgencia venía dada por la proximidad de la finalización del plazo del próximo 31 de diciembre de establecido en la Orden HFP(1030/2021 relativa al Plan de recuperación, transformación y resiliencia.

Es el tercer esfuerzo consecutivo, ya que previamente se ha elaborado el Curso de Auditoría de Compliance y el Curso de Auditoría de protección de datos (RGPD y LOPDGDD) para Thomson Reuters Aranzadi, y todavía queda un cuarto curso que verá la luz en enero y en el que también tenemos grandes expectativas.

Este año ha supuesto el gran reto de combinar estas cuatro iniciativas con el trabajo habitual desarrollado para nuestros clientes.

Por lo tanto, el agradecimiento debe ser proporcional al esfuerzo que ha supuesto esta superposición de proyectos.

Paquete de políticas y documentos relativos al PRTR

Obligaciones a cumplir por la Administración Central, Autonómica y Local y por los agentes implicados en la ejecución del PRTR como perceptores de fondos, antes del 31 de diciembre de 2021

Las Administraciones Públicas y los agentes implicados en la ejecución tienen hasta el 31 de diciembre de 2021 para cumplir las obligaciones establecidas en el Plan de Recuperación, Transformación y Resiliencia (PRTR), realizar las acciones descritas en él y cumplir con el estándar mínimo en cada uno de los principios establecidos y elaborar los documentos relacionados.

ACCIONES MÁS DESTACADAS

  1. Evaluar los procedimientos a través de los correspondientes cuestionarios de autoevaluación.
  2. Adaptar los procedimientos.
  3. Aplicar los criterios para el seguimiento y la acreditación de los hitos y objetivos alcanzados, de acuerdo con lo establecido en el PRTR.
  4. Cumplir el compromiso de etiquetado verde en relación a los objetivos de transición ecológica.
  5. Cumplir el compromiso de etiquetado digital en relación con los objetivos de transformación digital.
  6. Analizar el riesgo de impacto negativo significativo en el medioambiente, realizar un seguimiento y una verificación del resultado en relación a la evaluación inicial.
  7. Evaluar el riesgo de fraude.
  8. Reforzar de los mecanismos para la prevención, detección y corrección del fraude, la corrupción y los conflictos de intereses.
  9. Establecer un plan de medidas antifraude.
  10. Definir y aplicar un procedimiento de evaluación del riesgo de fraude.
  11. Establecer un protocolo de actuación en caso de detección de un posible fraude.
  12. Compatibilizar el régimen de ayudas del Estado y prevenir la doble financiación.
  13. Identificar al perceptor final de fondos o beneficiarios de las ayudas.
  14. Identificar a los contratistas y a los subcontratistas.
  15. Cumplimentar la Declaración de Ausencia de Conflicto de Intereses (DACI).
  16. Asegurar el cumplimiento de las normas de uso del logo del PRTR.
  17. Asegurar el cumplimiento de las normas en materia de comunicación e información.
  18. Establecer un sistema de seguimiento del cumplimiento de los principios y de actualización de las medidas aplicadas.
  19. Establecer un sistema de información para la gestión y el seguimiento de los planes y los objetivos establecidos en el PRTR.
  20. Realizar el informe de gestión y la declaración de gestión.

DOCUMENTOS MÁS DESTACADOS

  1. Política de aplicación de los principios del PRTR.
  2. Política de protección del medioambiente.
  3. Política de prevención de la corrupción, el fraude y los conflictos de intereses.
  4. Política de prevención de la doble financiación.
  5. Procedimiento de análisis de riesgos medioambientales.
  6. Protocolo de toma de decisiones basado en los principios del PRTR.
  7. Procedimiento de análisis sistemático de la gestión basado en indicadores operativos.
  8. Lista de indicadores operativos.
  9. Plan de medidas antifraude.
  10. Procedimiento de evaluación del riesgo de fraude.
  11. Mapa de relaciones.
  12. Mapa de riesgos inherentes.
  13. Mapa de riesgos residuales.
  14. Lista de medidas preventivas del fraude, la corrupción y el conflicto de intereses.
  15. Lista de medidas de detección del fraude, la corrupción y el conflicto de intereses.
  16. Lista de medidas correctivas del fraude, la corrupción y el conflicto de intereses.
  17. Protocolo de actuación en caso de detección de un posible fraude.
  18. Procedimiento de identificación del beneficiario final y de los contratistas y subcontratistas.
  19. Procedimiento de seguimiento de casos sospechosos.
  20. Procedimiento de recuperación de los fondos de la UE gastados fraudulentamente.
  21. Procedimiento relativo a la prevención y la corrección de situaciones de conflicto de intereses.
  22. Procedimiento de comunicación y de aplicación de los logos del PRTR.
  23. Informe de gestión.
  24. Restantes documentos descritos en los anexos de la Orden Ministerial.

PAQUETE URGENTE DE MEDIDAS Y DOCUMENTOS

Dada la falta de tiempo para convocar un concurso público que permita contratar los servicios jurídicos necesarios para el cumplimiento de estas obligaciones y la elaboración de estos documentos, nuestro despacho ha desarrollado un paquete que incluye los documentos más destacados relacionados en el apartado anterior.

Este paquete de documentos está disponible de forma permanente en nuestro campus con el fin de que pueda actualizarse con los cambios y mejoras que se vayan introduciendo a raíz de su aplicación en la práctica y con los criterios manifestados por las autoridades de la UE y del Ministerio de Hacienda. De esta manera, los documentos podrán incorporar también la formación y el asesoramiento necesarios para su aplicación.

Si desea más información sobre este paquete, puede enviar un mensaje a xavier.ribas@ribastic.com y le remitiremos las condiciones de contratación.

Acceso a la Orden Ministerial que configura el sistema de gestión del PRTR (BOE)

Acceso al paquete de medidas y documentos

Curso de auditoría de protección de datos (RGPD y LOPDGDD)

Ya está disponible el Curso de Auditoría de Protección de Datos (RGPD y LOPDGDD), que llevamos meses desarrollando para Thomson Reuters.

De la misma manera que en el caso del Curso de Auditoría de Compliance, se trata de una idea que teníamos desde hace años porque desde 2016 hemos identificado y actualizado una gran cantidad de factores de riesgo, riesgos, controles, evidencias y acciones recomendadas y esperábamos que llegase el día para poder compartir estos activos y conocimientos tan valiosos para los profesionales dedicados a esta materia.

El curso es el resultado del esfuerzo conjunto de todo el despacho y de muchas horas de trabajo. Por ello tengo que mostrar mi agradecimiento al gran claustro de profesores que ha permitido entregaros tanto valor en un curso de auditoría.

Contenido

El curso incluye más de 4.000 elementos de soporte para la auditoría, distribuidos en:

  • 45 materias o temas a auditar.
  • 270 preguntas relativas a factores de riesgo.
  • Más de 700 preguntas relativas a riesgos.
  • Más de 700 preguntas relativas a controles.
  • Más de 600 riesgos.
  • Más de 500 controles.
  • Más de 500 evidencias.
  • Más de 500 acciones recomendadas.

Esquema de un tema de auditoría

En este diagrama se puede ver el esquema de cada uno de los 45 temas de auditoría.

Contenido detallado del curso

MÓDULO 1 – Metodología de la auditoría

  • Planificación de la auditoría
  • Identificación de las fuentes de información
  • Identificación de interlocutores
  • Alcance de la auditoría
  • Preguntas a realizar
  • Entrevistas
  • Verificación de la existencia del control
  • Verificación de la eficacia del control
  • Valoración del riesgo de incumplimiento
  • Proceso de obtención de evidencias
  • Repositorio de evidencias
  • Informe de auditoría
  • Presentación de los resultados
  • Indicadores de cumplimiento (KCI)
  • Plan de acción

MÓDULO 2. Auditoría de RGPD

TEMA 1. Modelo de prevención y control
TEMA 2. Estructura de control
TEMA 3. Delegado de Protección de Datos
TEMA 4. Estructura normativa
TEMA 5. Registro de actividades del tratamiento
TEMA 6. Categorías especiales de datos
TEMA 7. Auditoría de evaluaciones de impacto
TEMA 8. Auditoría de los principios del tratamiento
TEMA 9. Auditoria bases de legitimación
TEMA 9A. Auditoria bases de legitimación- Consentimiento
TEMA 10. Auditoría de cookies
TEMA 11. Perfilado y Decisiones Automatizadas
TEMA 12. Ejercicio de derechos
TEMA 13. Limitación del plazo de conservación
TEMA 14. Transferencias a terceros países
TEMA 15. Comunicaciones de datos y destinatarios
TEMA 16. Encargados y sub-encargados del tratamiento
TEMA 17. La empresa como encargado del tratamiento
TEMA 18. Corresponsables del tratamiento
TEMA 19. Formación y concienciación
TEMA 20. Repositorio de Evidencias

MÓDULO 3. Auditoría de LOPDGDD

TEMA 1. Datos de menores de edad
TEMA 2. Datos de personas fallecidas
TEMA 3. Tratamiento en operaciones mercantiles
TEMA 4. Sistemas de videovigilancia
TEMA 5. Sistemas de información de denuncias internas
TEMA 6. Sistemas de exclusión publicitarías
TEMA 7. Bloqueo de datos
TEMA 8. Uso de dispositivos digitales en el ámbito laboral
TEMA 9. Derecho a la desconexión digital
TEMA 10. Control laboral
TEMA 11. Sistemas de geolocalización en el ámbito laboral

MÓDULO 4. Auditoría de medidas técnicas y organizativas

TEMA 1. Política de seguridad
TEMA 2. Medidas destinadas a garantizar la confidencialidad
TEMA 3. Medidas destinadas a garantizar la integridad
TEMA 4. Medidas destinadas a garantizar la disponibilidad
TEMA 5. Registro de aplicaciones
TEMA 6. Controles ISO
TEMA 7. Cifrado de datos
TEMA 8. Seudonimización
TEMA 9. Anonimización
TEMA 10. Procedimiento de gestión de incidentes de seguridad
TEMA 11. Auditoría de criterios de la AEPD en relación a las medidas implantadas antes del incidente
TEMA 12. Auditoría de criterios de la AEPD en relación a las medidas implantadas para el momento del incidente
TEMA 13. Auditoría de criterios de la AEPD en relación a las medidas implantadas para después del incidente

Director del curso

Xavier Ribas

Profesores

Rebeca Velasco
Marc Rius
Paula Gómez
Sandra Tintoré
Miquel Vidal
Juan Pablo Tornos
Joan Xifra
Paula Ribas
Ramon Baradat
Xavier Julve

Razones para hacer este curso

Desde la entrada en vigor del RGPD y de la LOPD se han producido muchos cambios en las empresas y se han publicado numerosas guías, recomendaciones y resoluciones de la AEPD.

Existen recursos y aplicaciones para realizar una auditoría de protección de datos (RGPD y LOPDGDD) desde el punto de vista metodológico, pero el mayor reto de la función de supervisión y control reside en la identificación de los riesgos, los criterios de las autoridades de control, las medidas concretas a aplicar para mitigarlos y las evidencias específicas a obtener para acreditar el cumplimiento.

Este curso tiene el objetivo de ofrecer al Delegado de Protección de Datos, a los auditores y a los responsables de verificar el cumplimiento la mayor recopilación posible de preguntas, factores de riesgo, riesgos, controles, evidencias y acciones recomendadas para acompañarlos en esta labor de supervisión y control

Esperamos que este curso sea muy útil para toda la comunidad de profesionales dedicados a la protección de datos, tanto a los que se inician en el campo de la auditoría como a los más expertos.

Acceso a los detalles del curso y a la página de contratación

Curso de Auditoría de Compliance

Hoy se lanza el Curso de Auditoría de Compliance, que llevamos meses desarrollando para Thomson Reuters.

Era una idea que teníamos desde hace años porque desde 2010 hemos identificado y actualizado una gran cantidad de factores de riesgo, riesgos, controles, evidencias y acciones recomendadas y esperábamos el día de poder compartir estos activos tan valiosos.

Es el resultado del esfuerzo conjunto de todo el despacho y de muchas horas de trabajo. Por ello tengo que mostrar mi agradecimiento al gran claustro de profesores que han permitido entregaros tanto valor en un curso de auditoría.

Contenido

El curso incluye más de 4.000 elementos de soporte para la auditoría, distribuidos en:

  • 45 materias o temas a auditar.
  • 270 preguntas relativas a factores de riesgo.
  • Más de 700 preguntas relativas a riesgos.
  • Más de 700 preguntas relativas a controles.
  • Más de 600 riesgos.
  • Más de 500 controles.
  • Más de 500 evidencias.
  • Más de 500 acciones recomendadas.

Esquema de un tema de auditoría

En este diagrama se puede ver el esquema de cada uno de los 45 temas de auditoría.

Contenido detallado del curso

M1 – Metodología de la auditoría

  • Planificación de la auditoría
  • Identificación de las fuentes de información
  • Identificación de interlocutores
  • Alcance de la auditoría
  • Preguntas a realizar
  • Entrevistas
  • Verificación de la existencia del control
  • Verificación de la eficacia del control
  • Valoración del riesgo de incumplimiento
  • Proceso de obtención de evidencias
  • Repositorio de evidencias
  • Informe de auditoría
  • Presentación de los resultados
  • Indicadores de cumplimiento (KCI)
  • Plan de acción

M2 – Auditoría del modelo de compliance

  • Modelo de prevención y control
  • Estructura de control
  • Compliance Officer
  • Estructura normativa
  • Código ético
  • Mapa de riesgos general
  • Mapa de riesgos sectorial
  • Protocolo de toma de decisiones
  • Modelo de gestión de los recursos financieros
  • Canal ético
  • Sistema disciplinario y sanciones
  • Formación y sensibilización 
  • Control de proveedores y clientes críticos
  • Control de socios y filiales
  • Verificación periódica y mejora continua del modelo
  • Repositorio de evidencias 

M3 – Auditoría de riesgos comunes a todos los sectores

  • Corrupción pública
  • Corrupción privada
  • Daños informáticos
  • Propiedad intelectual e industrial
  • Hacienda Pública y Seguridad Social
  • Mercado y consumidores
  • Blanqueo de capitales y financiación del terrorismo
  • Derechos de los trabajadores
  • Medio ambiente 
  • Ordenación del territorio y urbanismo
  • Falsificación de tarjetas, medios de pago y moneda
  • Intimidad
  • Estafa
  • Insolvencias punibles y frustración en la ejecución 
  • Delitos de odio
  • Seguridad Colectiva
  • Salud pública y manipulación genética
  • Delitos contra ciudadanos extranjeros

M4 – Auditoría de riesgos sectoriales

  • Sector farmacéutico
  • Sector financiero
  • Sector inmobiliario
  • Sector retail
  • Sector gran consumo
  • Sector tecnológico

M5 – Riesgos de negocio que generan riesgos de cumplimiento

  • Riesgos financieros
  • Riesgos de mercado
  • Riesgos de suministro
  • Riesgos tecnológicos y derivados de la transformación digital
  • Riesgos relacionados con la sostenibilidad
  • Riesgos relacionados con la continuidad del negocio
  • Riesgos relacionados con las burbujas económicas
  • Riesgos relacionados con la disrupción
  • Riesgos derivados de iniciativas activistas – Fondos, accionistas y grupos de interés activistas

Destinatarios de este curso

  • Compliance Officers.
  • Profesionales interesados en prepararse para ser auditores de compliance.
  • Directivos y técnicos responsables de sistemas de gestión de calidad, medio ambiente y sistemas integrados.
  • Profesionales con responsabilidades en cumplimiento y/o control interno (auditores, gestión de riesgos, control de gestión, asesoría jurídica…).
  • Gerentes y directivos sensibilizados con el cumplimiento normativo y su gestión.

Director del curso

Xavier Ribas

Cordinadora del curso

Rebeca Velasco

Profesores

Marc Rius
Paula Gómez
Sandra Tintoré
Miquel Vidal
Juan Pablo Tornos
Joan Xifra
Paula Ribas
Ramon Baradat
Xavier Julve

Razones para hacer este curso

Las crisis económicas ponen a prueba los modelos de prevención y control de delitos. Los controles ineficaces quedan al descubierto y muestran las debilidades de la cultura de cumplimiento de las organizaciones.

Existen recursos y aplicaciones para realizar una auditoría de compliance desde el punto de vista metodológico, pero el mayor reto de la función de supervisión y control reside en la identificación de los riesgos, los criterios de las autoridades de control, las medidas concretas a aplicar para mitigarlos y las evidencias específicas a obtener para acreditar el cumplimiento.

Este curso que nace en una época en la que los mapas de riesgos deben adaptarse a un nuevo escenario y la estructura de control debe redimensionarse para conocer y estar más cerca del riesgo, tiene el objetivo de ofrecer al Compliance Officer y a los responsables de verificar el cumplimiento la mayor recopilación posible de preguntas, factores de riesgo, riesgos, controles, evidencias y acciones recomendadas para acompañarlos en esta labor de supervisión y control

Esperamos que este curso sea muy útil para toda la comunidad de profesionales dedicados al compliance, tanto a los que se inician en el campo de la auditoría como a los más expertos.

Acceso a los detalles del curso y a la página de contratación

Se cumplen 25 años de nuestra primera intranet para clientes

En septiembre de 1996 abrimos nuestra intranet a los clientes y la convertimos en una extranet.

Las carpetas se comportaban de una manera muy parecida a los actuales Equipos de Teams, pero con una diferencia de 25 años.

Esta era la primera página del contrato (en papel).

Su antecedente fue una BBS que creamos en 1987, a la que sólo accedieron dos clientes. Estaba operativa unas horas al día debido a los elevados costes de conexión.

Razones para no utilizar cuestionarios automatizados

Las acciones en las que no recomiendo el uso de herramientas informáticas, aplicaciones o plataformas para el envío automatizado de cuestionarios son las siguientes:

  1. Auditorías de compliance.
  2. Auditorías de protección de datos.
  3. Análisis de riesgos.
  4. Evaluaciones de impacto.
  5. Investigaciones internas.
  6. Otras acciones similares.

Las razones por las que no lo recomiendo son las siguientes:

  1. Reconocimiento explícito de infracciones administrativas.
  2. Reconocimiento explícito de delitos.
  3. Reconocimiento explícito de prácticas anticompetitivas.
  4. Creación involuntaria de evidencias de incumplimientos.
  5. Dificultad para explicar o entender el sentido de la pregunta.
  6. Dificultad para explicar o entender el contexto de la pregunta.
  7. Dificultad para añadir la capa formativa que se añade a las entrevistas presenciales.
  8. Alto porcentaje de respuestas erróneas debido a estas dificultades.
  9. Dificultad para conseguir un clima de confianza.
  10. Dificultad para demostrar que somos aliados del entrevistado.
  11. Respuestas evasivas.
  12. Respuestas N/A improcedentes.
  13. Imposibilidad de valorar el lenguaje no verbal al responder.
  14. Retrasos en la respuesta.
  15. Pérdida de tiempo en recordatorios y persecuciones.
  16. Necesidad de acciones disciplinarias ante la falta de respuesta.
  17. Dificultad para modificar un cuestionario ya enviado. En el caso de precisar modificarlo hay que enviar un nuevo cuestionario, con el riesgo de que ya se hayan recibido respuestas del anterior.

Esta es una lista rápida de razones, derivada de la acumulación de experiencias negativas en clientes que todavía consideran que estas acciones se pueden automatizar. Hay muchas más razones para no hacerlo.

Hasta el momento no he encontrado nada mejor que una entrevista presencial o por videoconferencia.

Otra tarea que genera riesgos cuando se automatiza es la de los configuradores de cookies. La mayoría de ellos comparan las cookies halladas con una librería de cookies identificadas. Si una cookie específica de la empresa no es identificada, el configurador la coloca en la sección de cookies pendientes de categorizar, y si la empresa no las categoriza, puede estar suministrando información incompleta del tratamiento al interesado, lo cual constituye una infracción muy grave del RGPD.

El tratamiento a gran escala como concepto jurídico indeterminado

La existencia de un tratamiento a gran escala es uno de los elementos determinantes de la necesidad de nombrar un DPO, de realizar una evaluación de impacto o de agravar una sanción. Es, por lo tanto, uno de los conceptos clave del RGPD.

Sin embargo, el concepto gran escala no está definido ni cuantificado en el RGPD ni tampoco en la LOPDGDD, con la consiguiente inseguridad jurídica que ello supone. Algún autor ha sugerido que las autoridades de control han dejado intencionadamente este concepto sin determinar con el fin de dar cabida en él al mayor número posible de tratamientos. Pero lo cierto es que el RGPD no establece claramente los parámetros cuantitativos para determinarlo, por lo que el resultado final es que la inseguridad jurídica no desaparece.

El considerando 91 del RGPD acota parcialmente el concepto al decir que las operaciones de tratamiento a gran escala persiguen tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional que podrían afectar a un gran número de interesados.

Seguimos con conceptos indeterminados como “cantidad considerable de datos” y “gran número de interesados”.

El Grupo de Trabajo del Artículo 29 (GT29) establece unos criterios orientativos basados en este considerando en las Directrices sobre los delegados de protección de datos (WP 243) adoptadas el 13 de diciembre de 2016 y revisadas por última vez y adoptadas el 5 de abril de 2017.

El GT29 reconoce que el RGPD no define qué se entiende por tratamiento a gran escala y añade que no es posible dar una cifra exacta, ya sea con relación a la cantidad de datos procesados o al número de personas afectadas, que pudiera aplicarse en todas las situaciones. 

No obstante, el GT29 considera que esto no excluye la posibilidad de que, con el tiempo, se desarrolle un método estándar para identificar en términos más específicos o cuantitativos qué constituye “a gran escala” con respecto a determinados tipos de actividades de tratamiento comunes.

Esto no se ha hecho. 

Por el contrario, los Estados miembro han ido aplicando criterios dispares en sus opiniones y resoluciones.

El GT29 recomienda que se tengan en cuenta los siguientes factores a la hora de determinar si el tratamiento se realiza a gran escala: 

  • El número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente.
  • El volumen de datos o la variedad de elementos de datos que son objeto de tratamiento. 
  • La duración, o permanencia, de la actividad de tratamiento de datos. 
  • El alcance geográfico de la actividad de tratamiento.

Estos criterios no son suficientes para determinar lo que es un tratamiento a gran escala, y han sido objeto de aplicación incoherente en los distintos países en los que el RGPD es de aplicación, incumpliéndose el objetivo uniformador de este reglamento.

Tal como indica la International Association of Privacy Professional (IAPP) en este artículo: https://iapp.org/news/a/on-large-scale-data-processing-and-gdpr-compliance/, la interpretación del concepto gran escala en el Espacio Único Europeo ha oscilado entre los 50.000 interesados exigidos en Estonia para realizar una evaluación de impacto hasta los 5.000.000 de interesados, o el 40 por ciento de la población relevante para el tratamiento, establecido en 2018 por la autoridad de control alemana.

Como prueba de la dispar y poco uniforme interpretación del concepto gran escala en el EEE, vamos a ver a continuación los datos de los países que hemos podido analizar hasta el momento, directamente o a través de colaboradores locales. Cualquier información adicional que permita actualizar y completar este análisis será bienvenida.

España

El artículo 34 de la LOPDGDD contiene una lista de actividades o sectores que deben nombrar un DPO y de ello se deduce que todos estos sectores realizan tratamientos a gran escala y también efectúan una observación sistemática de los interesados.

Una referencia temprana, y no exenta de polémica por su falta de rigor jurídico, fue la de un alto cargo de la AEPD en una jornada de puertas abiertas, en la que indicó literalmente que un tratamiento a gran escala consistía en un tratamiento de “muchos, muchos datos de muchos, muchos interesados”.

En la resolución del procedimiento sancionador PS/00417/2019 la AEPD consideró que había un tratamiento a gran escala de clientes, pero no aportó ningún dato cuantitativo sobre el número de clientes, ni los criterios aplicados para concluir que había un tratamiento a gran escala. Tampoco indicó si se refería a clientes activos durante un determinado ejercicio o si incluía también a los clientes históricos que habían quedado excluidos del tratamiento principal.

Aplicando el criterio del alto cargo de la AEPD, en este caso no habría un tratamiento de muchos, muchos datos, ni de muchos, muchos interesados. Aplicando los criterios del considerando 91 del RGPD, tampoco habría una “cantidad considerable de datos” de un “gran número de interesados”.Y aplicando el criterio del porcentaje de población relevante para el tratamiento, cualquier cantidad de clientes que pueda tratar una startup en sus primeros años queda diluida en la inmensidad del océano de los clientes potenciales.

Por otro lado, el considerando 75 del RGPD indica claramente que los riesgos para los derechos y libertades de las personas físicas, de gravedad y probabilidad variables, pueden deberse al tratamiento de datos que pudieran provocar daños y perjuicios físicos, materiales o inmateriales, en particular en los casos en los que el tratamiento implique una gran cantidad de datos personales y afecte a un gran número de interesados. Deben darse, por lo tanto, los dos requisitos al mismo tiempo.

Alemania

El 23 de mayo de 2018 la autoridad de control alemana publicó un documento en el que estableció que se producía un tratamiento de datos a gran escala en términos cuantitativos en el caso de superar los 5.000.000 de interesados, o al menos el 40 por ciento del grupo de personas afectadas. Se entiende que se refiere al 40% de la población relevante para el tratamiento.

En el caso de Alemania, el criterio establecido en mayo de 2018 fue exclusivamente cuantitativo, pero las cifras establecidas fueron muy altas.

Italia

La autoridad de control italiana ha dado prioridad a la valoración del riesgo para los interesados. Ello ha hecho que en una resolución de 26 de marzo de 2020 haya dictaminado que el tratamiento de los datos de los estudiantes por un centro de enseñanza a distancia no constituye un tratamiento a gran escala y, en cambio, en una resolución previa del 7 de marzo de 2019 había considerado que un hospital público realizaba un tratamiento a gran escala de los datos de sus pacientes.

Portugal

No hemos encontrado ningún documento, guía o resolución en la que la autoridad portuguesa se pronuncie al respecto, limitándose a enlazar a la posición del GT29.

Polonia

La autoridad de control polaca estableció en una resolución de 2019 que una cifra de 2.200.000 clientes era suficiente para considerar que existía un tratamiento a gran escala. Es la única resolución en la que la autoridad de control parece estar 100% segura de que existe un tratamiento a gran escala. La autoridad polaca indica que: “La compañía, al tratar los datos personales de más de 2.200.000 usuarios, que deben considerarse como un tratamiento de datos personales a gran escala, y teniendo en cuenta el alcance de los datos y el contexto del tratamiento, estaba obligada a evaluar y monitorizar de manera más efectiva los riesgos para los derechos y libertades de las personas cuyos datos se trataban.”

Vemos que se tiene en cuenta la cantidad de los datos, pero también la tipología de los datos y el contexto del tratamiento.

El fracaso del RGPD en materia de coherencia entre autoridades de control.

Cabe destacar la crítica realizada por Johannes Caspar, responsable de la oficina de protección de datos de Hamburgo (Alemania) durante 12 años sobre la aplicación del RGPD, el mecanismo de ventanilla única, los sistemas de colaboración entre autoridades de control y los conflictos que han surgido entre ellas, dificultando la función uniformadora del RGPD.

Estas rotundas afirmaciones pueden leerse en las declaraciones de Johannes Caspar a Bloomberg sobre los motivos que le hacen afirmar que el RGPD está fracasando.

Conclusión: el riesgo para el interesado

El criterio que parece predominar es el del riesgo para el interesado, es decir, el riesgo potencial que un tratamiento a gran escala genera para los derechos y libertades de los interesados.

Es evidente que un tratamiento tiene un mayor impacto si afecta un gran número de interesados. Pero este único dato no es relevante si al final sólo se trata la dirección de correo electrónico del interesado. De hecho, muchas resoluciones de archivo de actuaciones se basan en la inexistencia de riesgo para los interesados cuando una brecha de seguridad sólo ha afectado a la dirección de correo electrónico, a pesar de haber un gran número de afectados.

En términos de riesgo para sus derechos y libertades, a un interesado tiene que preocuparle más estar en un tratamiento de 500 usuarios que en uno de varios millones, ya que en este último se convierte en una aguja en un pajar.

Lo que realmente genera el riesgo para el usuario es el nivel de sensibilidad de los datos. Tiene mucho más impacto en los derechos y libertades de los interesados una brecha de seguridad que afecte a 500 historias clínicas que una brecha que afecte a 500 millones de direcciones de correo electrónico.

Lo que nunca debería ocurrir es que un responsable del tratamiento fuese sancionado basándose únicamente en el número de interesados.

  1. Primero, porque el legislador europeo estableció un vínculo claro entre la cantidad de interesados y la cantidad o tipología de los datos.
  2. Segundo, porque la cantidad de interesados es irrelevante si el tratamiento y la tipología de los datos no generan riesgos para los derechos y libertades de los interesados.
  3. Y tercero, porque no existe un criterio uniforme en el EEE que permita determinar a partir de qué cifra o porcentaje de la población relevante para el tratamiento se debe considerar que existe un tratamiento a gran escala.

Reitero mi agradecimiento por cualquier aportación que ayude a actualizar y completar este análisis comparativo y a acreditar la inexistencia de un criterio unificado en relación al tratamiento a gran escala.

El gran error de los datos biométricos

Acabo de leer un artículo de Xavier Ferrás en La Vanguardia sobre la paradoja de Polanyi, que me ha gustado mucho. Esta paradoja muestra la dificultad de automatizar una tarea que al ser humano le resulta fácil realizar, pero difícil de explicar. El autor pone el ejemplo del reconocimiento facial. Un ser humano es capaz de reconocer a un amigo que se cruza por la calle a pesar de que hayan pasado 20 años sin verse y su rostro haya cambiado totalmente. Equipara la dificultad de trasladar ese conocimiento a un sistema informático a la dificultad de intentar explicar el color azul a una persona ciega que nunca lo ha visto.

La lectura de este artículo y de las conexiones filosóficas que desarrolla al reflexionar sobre la posibilidad de que la inteligencia artificial tenga la misma dificultad para explicarnos los conocimientos que va adquiriendo, me ha hecho volver al debate sobre el reconocimiento facial, los datos biométricos, la identificación de personas desconocidas y la verificación de personas conocidas.

Cuando identificamos a un conocido en la calle extraemos un conocimiento que se encuentra oculto detrás de un rostro. El conocimiento oculto es su identidad. Y lo hacemos comparando su cara, su mirada y la expresión de su rostro en su conjunto con los recuerdos almacenados de las personas a las que conocemos. El factor diferencial de la identificación es que extraemos a una persona del anonimato. Convertimos a una persona anónima en una persona identificada.

Cuando este proceso lo realiza un sistema informático, se produce una fase de registro de la imagen y otra de medición de los rasgos faciales. Muchas personas caen en el error de pensar que la invasión de la intimidad se produce en el acto de medir el cuerpo humano, de obtener métricas de un ser humano. Pero ello no es así.

La invasión de la intimidad se produce cuando esos datos biométricos nos permiten singularizar a una persona de entre otras muchas. Asociar un rostro que podría pertenecer a miles o millones de personas a una identidad concreta, después de haber valorado el conjunto de la muestra disponible.

La clave, por lo tanto, reside en el carácter oculto de la identidad.

Si aplicamos el habitual ejemplo de la cebolla para explicar las distintas capas de un objeto o de un conocimiento, la fotografía de una cara sería la primera capa exterior, las métricas de la cara serían la segunda capa y la identidad de la persona sería la tercera capa.

Lo que el derecho a la intimidad protege es esta tercera capa interior porque está oculta para todos aquellos que no conocen a la persona o porque no tienen los medios para identificarla. Y cuando una persona quiere que, ni las personas que la conocen, ni las personas que tienen los medios para identificarla, puedan conocer su identidad, debe recurrir a modificar la primera capa, alterando los rasgos faciales para que ni los primeros ni los segundos puedan acceder a la tercera capa de su identidad.

¿Por qué los datos sobre nuestras opiniones políticas son datos sensibles? Porque residen en esa tercera capa y el derecho a la intimidad nos ofrece la posibilidad de mantenerlos ocultos. Si los divulgamos, los trasladamos de la tercera capa a la primera con sus correspondientes consecuencias jurídicas.

¿Por qué los datos sobre nuestra salud son datos sensibles? Porque residen en esa tercera capa y el derecho a la intimidad nos ofrece la posibilidad de mantenerlos ocultos. Si los divulgamos, los trasladamos de la tercera capa a la primera con sus correspondientes consecuencias jurídicas.

¿Por qué los datos sobre nuestras convicciones religiosas son datos sensibles? Porque residen en esa tercera capa y el derecho a la intimidad nos ofrece la posibilidad de mantenerlos ocultos. Si los divulgamos, los trasladamos de la tercera capa a la primera con sus correspondientes consecuencias jurídicas.

¿Por qué los datos sobre nuestra vida sexual o nuestra orientación sexual son datos sensibles? Porque residen en esa tercera capa y el derecho a la intimidad nos ofrece la posibilidad de mantenerlos ocultos. Si los divulgamos, los trasladamos de la tercera capa a la primera con sus correspondientes consecuencias jurídicas.

En cambio, con los datos biométricos no sucede lo mismo.

Para que un dato biométrico sea un dato sensible, para que pertenezca a una categoría especial de datos, tiene que permitirnos acceder a la identidad oculta de una persona con el fin de sacarla a la superficie, incluso en contra de su voluntad.

Por eso ha querido el legislador proteger al interesado de esa intromisión en su intimidad. 

La identificación basada en datos biométricos nos va a permitir extraer el conocimiento oculto de la identidad de una persona gracias a la existencia de patrones obtenidos previamente y almacenados en una base de datos. Un ejemplo muy claro es la identificación de un terrorista en un aeropuerto, por las consecuencias jurídicas que identificarlo va a tener para él y por las terribles consecuencias que no identificarlo va a tener para los demás.

Pero la autenticación es algo absolutamente diferente.

En la autenticación sólo se actúa en la primera y en la segunda capa.

Cuando utilizo mi rostro para autenticarme y acceder a un sistema informático, utilizo un nombre de usuario para decirle que soy un usuario registrado y que debe darme acceso. El sistema está configurado para no creer a cualquiera que diga que soy yo, y por lo tanto, realiza una verificación de mi identidad.

Esta verificación consiste en captar mis rasgos faciales, medirlos y comparar las métricas obtenidas con las que están asociadas a mi nombre de usuario. 

El sistema no compara mi patrón facial con el de otros usuarios registrados para acceder a mi identidad. Mi identidad ya la tiene, y está asociada a mi nombre de usuario gracias al trabajo previo de registro. En conclusión, el sistema tiene las tres capas de conocimiento porque el día del registro se las facilité. Pero en el momento de la autenticación sólo utiliza las dos primeras.

Cada vez que intento acceder a mi cuenta, el sistema realiza las siguientes acciones:

  1. Capta mi rostro (primera capa de información).
  2. Mide mis rasgos y obtiene los datos biométricos de mi cara (segunda capa de información).
  3. Compara estos datos con los que tiene guardados y que están asociados a mi nombre de usuario (seguimos en la segunda capa de información).
  4. Verifica que hay correspondencia entre los datos obtenidos ahora y los datos obtenidos en el momento del registro y me permite el acceso.

En ninguna parte de este proceso el sistema ha tenido que singularizar a la persona comparándola con otras porque el usuario ya se ha identificado a sí mismo con su nombre de usuario y el sistema se ha limitado a verificar que decía la verdad.

La gran diferencia de la autenticación es que el usuario ya está identificado y el sistema se limita a verificar que no hay una suplantación.

La autenticación no necesita acceder a la tercera capa para conseguir su eficacia. La identidad puede estar incluso fuera del sistema y no ser relevante para el proceso de autenticación, que sólo verifica si el usuario con esos datos biométricos tiene autorización para entrar en el sistema.