Este año se cumplen 30 años de nuestra especialización en protección de datos, ya que en 1992 iniciamos nuestros servicios de adecuación a la LORTAD, y también se cumplen 35 años de especialización en derecho de las TIC.

En línea con nuestra estrategia de crecimiento del despacho en los próximos años, y con efectos 1 de enero de 2022 han sido nombrados socios del despacho Rebeca Velasco y Marc Rius.

Rebeca es especialista en Protección de Datos y Derecho de las Tecnologías de la Información desde 2004, y en Compliance desde 2010 y ha desarrollado su experiencia principalmente en clientes del sector farmacéutico en los que también colabora en el Compliance del Código de Buenas Prácticas de la Industria Farmacéutica, así como en la revisión y redacción de procedimientos. 

Marc es especialista en Protección de Datos y Derecho de las Tecnologías de la Información desde 2009 y en Compliance desde 2010. Además, por sus estudios previos a la licenciatura en derecho y por curiosidad e inquietud personales, ha desarrollado amplios conocimientos en el ámbito tecnológico, diseño y publicidad, especializándose específicamente en estas áreas para sectores tecnológico, de gran consumo y retail. 

Tanto Rebeca como Marc son colaboradores académicos de diversos másters entre los que destacan el Máster IT+IP de ESADE Law School y del Máster en Derecho Digital y Sociedad de la Información UB- IL3, así como coordinadores del Curso de Auditoría de Compliance de Thomson Reuters y del Curso de Protección de Datos Personales de Thomson Reuters. También son responsables de diversos cursos dentro del propio Campus formativo de Ribas, www.campus-ribas.com. 

Conjuntamente liderarán las prácticas de Protección de Datos y Compliance, focalizándose Marc en la práctica de Protección de datos y Publicidad y Rebeca en Protección de datos y Compliance.  

Sus aportaciones como socios contribuirán al crecimiento de la firma, y a hacer frente al incremento que se está produciendo en los servicios de Protección de Datos, Compliance y ESG, áreas en las que seguimos desarrollado y ampliando servicios. 

Obligaciones a cumplir por la Administración Central, Autonómica y Local y por los agentes implicados en la ejecución del PRTR como perceptores de fondos, antes del 31 de diciembre de 2021

Las Administraciones Públicas y los agentes implicados en la ejecución tienen hasta el 31 de diciembre de 2021 para cumplir las obligaciones establecidas en el Plan de Recuperación, Transformación y Resiliencia (PRTR), realizar las acciones descritas en él y cumplir con el estándar mínimo en cada uno de los principios establecidos y elaborar los documentos relacionados.

ACCIONES MÁS DESTACADAS

1. Evaluar los procedimientos a través de los correspondientes cuestionarios de autoevaluación.
2. Adaptar los procedimientos.
3. Aplicar los criterios para el seguimiento y la acreditación de los hitos y objetivos alcanzados, de acuerdo con lo establecido en el PRTR.
4. Cumplir el compromiso de etiquetado verde en relación a los objetivos de transición ecológica.
5. Cumplir el compromiso de etiquetado digital en relación con los objetivos de transformación digital.
6. Analizar el riesgo de impacto negativo significativo en el medioambiente, realizar un seguimiento y una verificación del resultado en relación a la evaluación inicial.
7. Evaluar el riesgo de fraude.
8. Reforzar de los mecanismos para la prevención, detección y corrección del fraude, la corrupción y los conflictos de intereses.
9. Establecer un plan de medidas antifraude.
10. Definir y aplicar un procedimiento de evaluación del riesgo de fraude.
11. Establecer un protocolo de actuación en caso de detección de un posible fraude.
12. Compatibilizar el régimen de ayudas del Estado y prevenir la doble financiación.
13. Identificar al perceptor final de fondos o beneficiarios de las ayudas.
14. Identificar a los contratistas y a los subcontratistas.
15. Cumplimentar la Declaración de Ausencia de Conflicto de Intereses (DACI).
16. Asegurar el cumplimiento de las normas de uso del logo del PRTR.
17. Asegurar el cumplimiento de las normas en materia de comunicación e información.
18. Establecer un sistema de seguimiento del cumplimiento de los principios y de actualización de las medidas aplicadas.
19. Establecer un sistema de información para la gestión y el seguimiento de los planes y los objetivos establecidos en el PRTR.
20. Realizar el informe de gestión y la declaración de gestión.

DOCUMENTOS MÁS DESTACADOS

1. Política de aplicación de los principios del PRTR.
2. Política de protección del medioambiente.
3. Política de prevención de la corrupción, el fraude y los conflictos de intereses.
4. Política de prevención de la doble financiación.
5. Procedimiento de análisis de riesgos medioambientales.
6. Protocolo de toma de decisiones basado en los principios del PRTR.
7. Procedimiento de análisis sistemático de la gestión basado en indicadores operativos.
8. Lista de indicadores operativos.
9. Plan de medidas antifraude.
10. Procedimiento de evaluación del riesgo de fraude.
11. Mapa de relaciones.
12. Mapa de riesgos inherentes.
13. Mapa de riesgos residuales.
14. Lista de medidas preventivas del fraude, la corrupción y el conflicto de intereses.
15. Lista de medidas de detección del fraude, la corrupción y el conflicto de intereses.
16. Lista de medidas correctivas del fraude, la corrupción y el conflicto de intereses.
17. Protocolo de actuación en caso de detección de un posible fraude.
18. Procedimiento de identificación del beneficiario final y de los contratistas y subcontratistas.
19. Procedimiento de seguimiento de casos sospechosos.
20. Procedimiento de recuperación de los fondos de la UE gastados fraudulentamente.
21. Procedimiento relativo a la prevención y la corrección de situaciones de conflicto de intereses.
22. Procedimiento de comunicación y de aplicación de los logos del PRTR.
23. Informe de gestión.
24. Restantes documentos descritos en los anexos de la Orden Ministerial.

PAQUETE URGENTE DE MEDIDAS Y DOCUMENTOS

Dada la falta de tiempo para convocar un concurso público que permita contratar los servicios jurídicos necesarios para el cumplimiento de estas obligaciones y la elaboración de estos documentos, nuestro despacho ha desarrollado un paquete que incluye los documentos más destacados relacionados en el apartado anterior.

Este paquete de documentos está disponible de forma permanente en nuestro campus con el fin de que pueda actualizarse con los cambios y mejoras que se vayan introduciendo a raíz de su aplicación en la práctica y con los criterios manifestados por las autoridades de la UE y del Ministerio de Hacienda. De esta manera, los documentos podrán incorporar también la formación y el asesoramiento necesarios para su aplicación.

Si desea más información sobre este paquete, puede enviar un mensaje a xavier.ribas@ribastic.com y le remitiremos las condiciones de contratación.

Acceso a la Orden Ministerial que configura el sistema de gestión del PRTR (BOE)

Acceso al paquete de medidas y documentos

Ya está disponible el Curso de Auditoría de Protección de Datos (RGPD y LOPDGDD), que llevamos meses desarrollando para Thomson Reuters.

De la misma manera que en el caso del Curso de Auditoría de Compliance, se trata de una idea que teníamos desde hace años porque desde 2016 hemos identificado y actualizado una gran cantidad de factores de riesgo, riesgos, controles, evidencias y acciones recomendadas y esperábamos que llegase el día para poder compartir estos activos y conocimientos tan valiosos para los profesionales dedicados a esta materia.

El curso es el resultado del esfuerzo conjunto de todo el despacho y de muchas horas de trabajo. Por ello tengo que mostrar mi agradecimiento al gran claustro de profesores que ha permitido entregaros tanto valor en un curso de auditoría.

Contenido

El curso incluye más de 4.000 elementos de soporte para la auditoría, distribuidos en:

• 45 materias o temas a auditar.
• 270 preguntas relativas a factores de riesgo.
• Más de 700 preguntas relativas a riesgos.
• Más de 700 preguntas relativas a controles.
• Más de 600 riesgos.
• Más de 500 controles.
• Más de 500 evidencias.
• Más de 500 acciones recomendadas.

Esquema de un tema de auditoría

En este diagrama se puede ver el esquema de cada uno de los 45 temas de auditoría.

Contenido detallado del curso

MÓDULO 1 – Metodología de la auditoría

• Planificación de la auditoría
• Identificación de las fuentes de información
• Identificación de interlocutores
• Alcance de la auditoría
• Preguntas a realizar
• Entrevistas
• Verificación de la existencia del control
• Verificación de la eficacia del control
• Valoración del riesgo de incumplimiento
• Proceso de obtención de evidencias
• Repositorio de evidencias
• Informe de auditoría
• Presentación de los resultados
• Indicadores de cumplimiento (KCI)
• Plan de acción

MÓDULO 2. Auditoría de RGPD

TEMA 1. Modelo de prevención y control
TEMA 2. Estructura de control
TEMA 3. Delegado de Protección de Datos
TEMA 4. Estructura normativa
TEMA 5. Registro de actividades del tratamiento
TEMA 6. Categorías especiales de datos
TEMA 7. Auditoría de evaluaciones de impacto
TEMA 8. Auditoría de los principios del tratamiento
TEMA 9. Auditoria bases de legitimación
TEMA 9A. Auditoria bases de legitimación- Consentimiento
TEMA 10. Auditoría de cookies
TEMA 11. Perfilado y Decisiones Automatizadas
TEMA 12. Ejercicio de derechos
TEMA 13. Limitación del plazo de conservación
TEMA 14. Transferencias a terceros países
TEMA 15. Comunicaciones de datos y destinatarios
TEMA 16. Encargados y sub-encargados del tratamiento
TEMA 17. La empresa como encargado del tratamiento
TEMA 18. Corresponsables del tratamiento
TEMA 19. Formación y concienciación
TEMA 20. Repositorio de Evidencias

MÓDULO 3. Auditoría de LOPDGDD

TEMA 1. Datos de menores de edad
TEMA 2. Datos de personas fallecidas
TEMA 3. Tratamiento en operaciones mercantiles
TEMA 4. Sistemas de videovigilancia
TEMA 5. Sistemas de información de denuncias internas
TEMA 6. Sistemas de exclusión publicitarías
TEMA 7. Bloqueo de datos
TEMA 8. Uso de dispositivos digitales en el ámbito laboral
TEMA 9. Derecho a la desconexión digital
TEMA 10. Control laboral
TEMA 11. Sistemas de geolocalización en el ámbito laboral

MÓDULO 4. Auditoría de medidas técnicas y organizativas

TEMA 1. Política de seguridad
TEMA 2. Medidas destinadas a garantizar la confidencialidad
TEMA 3. Medidas destinadas a garantizar la integridad
TEMA 4. Medidas destinadas a garantizar la disponibilidad
TEMA 5. Registro de aplicaciones
TEMA 6. Controles ISO
TEMA 7. Cifrado de datos
TEMA 8. Seudonimización
TEMA 9. Anonimización
TEMA 10. Procedimiento de gestión de incidentes de seguridad
TEMA 11. Auditoría de criterios de la AEPD en relación a las medidas implantadas antes del incidente
TEMA 12. Auditoría de criterios de la AEPD en relación a las medidas implantadas para el momento del incidente
TEMA 13. Auditoría de criterios de la AEPD en relación a las medidas implantadas para después del incidente

Director del curso

Xavier Ribas

Profesores

Rebeca Velasco
Marc Rius
Paula Gómez
Sandra Tintoré
Miquel Vidal
Juan Pablo Tornos
Joan Xifra
Paula Ribas
Ramon Baradat
Xavier Julve

Razones para hacer este curso

Desde la entrada en vigor del RGPD y de la LOPD se han producido muchos cambios en las empresas y se han publicado numerosas guías, recomendaciones y resoluciones de la AEPD.

Existen recursos y aplicaciones para realizar una auditoría de protección de datos (RGPD y LOPDGDD) desde el punto de vista metodológico, pero el mayor reto de la función de supervisión y control reside en la identificación de los riesgos, los criterios de las autoridades de control, las medidas concretas a aplicar para mitigarlos y las evidencias específicas a obtener para acreditar el cumplimiento.

Este curso tiene el objetivo de ofrecer al Delegado de Protección de Datos, a los auditores y a los responsables de verificar el cumplimiento la mayor recopilación posible de preguntas, factores de riesgo, riesgos, controles, evidencias y acciones recomendadas para acompañarlos en esta labor de supervisión y control. 

Esperamos que este curso sea muy útil para toda la comunidad de profesionales dedicados a la protección de datos, tanto a los que se inician en el campo de la auditoría como a los más expertos.

Acceso a los detalles del curso y a la página de contratación

Hoy se lanza el Curso de Auditoría de Compliance, que llevamos meses desarrollando para Thomson Reuters.

Era una idea que teníamos desde hace años porque desde 2010 hemos identificado y actualizado una gran cantidad de factores de riesgo, riesgos, controles, evidencias y acciones recomendadas y esperábamos el día de poder compartir estos activos tan valiosos.

Es el resultado del esfuerzo conjunto de todo el despacho y de muchas horas de trabajo. Por ello tengo que mostrar mi agradecimiento al gran claustro de profesores que han permitido entregaros tanto valor en un curso de auditoría.

Contenido

El curso incluye más de 4.000 elementos de soporte para la auditoría, distribuidos en:

• 45 materias o temas a auditar.
• 270 preguntas relativas a factores de riesgo.
• Más de 700 preguntas relativas a riesgos.
• Más de 700 preguntas relativas a controles.
• Más de 600 riesgos.
• Más de 500 controles.
• Más de 500 evidencias.
• Más de 500 acciones recomendadas.

Esquema de un tema de auditoría

En este diagrama se puede ver el esquema de cada uno de los 45 temas de auditoría.

Contenido detallado del curso

M1 – Metodología de la auditoría

• Planificación de la auditoría
• Identificación de las fuentes de información
• Identificación de interlocutores
• Alcance de la auditoría
• Preguntas a realizar
• Entrevistas
• Verificación de la existencia del control
• Verificación de la eficacia del control
• Valoración del riesgo de incumplimiento
• Proceso de obtención de evidencias
• Repositorio de evidencias
• Informe de auditoría
• Presentación de los resultados
• Indicadores de cumplimiento (KCI)
• Plan de acción

M2 – Auditoría del modelo de compliance

• Modelo de prevención y control
• Estructura de control
• Compliance Officer
• Estructura normativa
• Código ético
• Mapa de riesgos general
• Mapa de riesgos sectorial
• Protocolo de toma de decisiones
• Modelo de gestión de los recursos financieros
• Canal ético
• Sistema disciplinario y sanciones
• Formación y sensibilización 
• Control de proveedores y clientes críticos
• Control de socios y filiales
• Verificación periódica y mejora continua del modelo
• Repositorio de evidencias 

M3 – Auditoría de riesgos comunes a todos los sectores

• Corrupción pública
• Corrupción privada
• Daños informáticos
• Propiedad intelectual e industrial
• Hacienda Pública y Seguridad Social
• Mercado y consumidores
• Blanqueo de capitales y financiación del terrorismo
• Derechos de los trabajadores
• Medio ambiente 
• Ordenación del territorio y urbanismo
• Falsificación de tarjetas, medios de pago y moneda
• Intimidad
• Estafa
• Insolvencias punibles y frustración en la ejecución 
• Delitos de odio
• Seguridad Colectiva
• Salud pública y manipulación genética
• Delitos contra ciudadanos extranjeros

M4 – Auditoría de riesgos sectoriales

• Sector farmacéutico
• Sector financiero
• Sector inmobiliario
• Sector retail
• Sector gran consumo
• Sector tecnológico

M5 – Riesgos de negocio que generan riesgos de cumplimiento

• Riesgos financieros
• Riesgos de mercado
• Riesgos de suministro
• Riesgos tecnológicos y derivados de la transformación digital
• Riesgos relacionados con la sostenibilidad
• Riesgos relacionados con la continuidad del negocio
• Riesgos relacionados con las burbujas económicas
• Riesgos relacionados con la disrupción
• Riesgos derivados de iniciativas activistas – Fondos, accionistas y grupos de interés activistas

Destinatarios de este curso

• Compliance Officers.
• Profesionales interesados en prepararse para ser auditores de compliance.
• Directivos y técnicos responsables de sistemas de gestión de calidad, medio ambiente y sistemas integrados.
• Profesionales con responsabilidades en cumplimiento y/o control interno (auditores, gestión de riesgos, control de gestión, asesoría jurídica…).
• Gerentes y directivos sensibilizados con el cumplimiento normativo y su gestión.

Director del curso

Xavier Ribas

Cordinadora del curso

Rebeca Velasco

Profesores

Marc Rius
Paula Gómez
Sandra Tintoré
Miquel Vidal
Juan Pablo Tornos
Joan Xifra
Paula Ribas
Ramon Baradat
Xavier Julve

Razones para hacer este curso

Las crisis económicas ponen a prueba los modelos de prevención y control de delitos. Los controles ineficaces quedan al descubierto y muestran las debilidades de la cultura de cumplimiento de las organizaciones.

Existen recursos y aplicaciones para realizar una auditoría de compliance desde el punto de vista metodológico, pero el mayor reto de la función de supervisión y control reside en la identificación de los riesgos, los criterios de las autoridades de control, las medidas concretas a aplicar para mitigarlos y las evidencias específicas a obtener para acreditar el cumplimiento.

Este curso que nace en una época en la que los mapas de riesgos deben adaptarse a un nuevo escenario y la estructura de control debe redimensionarse para conocer y estar más cerca del riesgo, tiene el objetivo de ofrecer al Compliance Officer y a los responsables de verificar el cumplimiento la mayor recopilación posible de preguntas, factores de riesgo, riesgos, controles, evidencias y acciones recomendadas para acompañarlos en esta labor de supervisión y control. 

Esperamos que este curso sea muy útil para toda la comunidad de profesionales dedicados al compliance, tanto a los que se inician en el campo de la auditoría como a los más expertos.

Acceso a los detalles del curso y a la página de contratación

En septiembre de 1996 abrimos nuestra intranet a los clientes y la convertimos en una extranet.

Las carpetas se comportaban de una manera muy parecida a los actuales Equipos de Teams, pero con una diferencia de 25 años.

Esta era la primera página del contrato (en papel).

Su antecedente fue una BBS que creamos en 1987, a la que sólo accedieron dos clientes. Estaba operativa unas horas al día debido a los elevados costes de conexión.

Las acciones en las que no recomiendo el uso de herramientas informáticas, aplicaciones o plataformas para el envío automatizado de cuestionarios son las siguientes:

1. Auditorías de compliance.
2. Auditorías de protección de datos.
3. Análisis de riesgos.
4. Evaluaciones de impacto.
5. Investigaciones internas.
6. Otras acciones similares.

Las razones por las que no lo recomiendo son las siguientes:

1. Reconocimiento explícito de infracciones administrativas.
2. Reconocimiento explícito de delitos.
3. Reconocimiento explícito de prácticas anticompetitivas.
4. Creación involuntaria de evidencias de incumplimientos.
5. Dificultad para explicar o entender el sentido de la pregunta.
6. Dificultad para explicar o entender el contexto de la pregunta.
7. Dificultad para añadir la capa formativa que se añade a las entrevistas presenciales.
8. Alto porcentaje de respuestas erróneas debido a estas dificultades.
9. Dificultad para conseguir un clima de confianza.
10. Dificultad para demostrar que somos aliados del entrevistado.
11. Respuestas evasivas.
12. Respuestas N/A improcedentes.
13. Imposibilidad de valorar el lenguaje no verbal al responder.
14. Retrasos en la respuesta.
15. Pérdida de tiempo en recordatorios y persecuciones.
16. Necesidad de acciones disciplinarias ante la falta de respuesta.
17. Dificultad para modificar un cuestionario ya enviado. En el caso de precisar modificarlo hay que enviar un nuevo cuestionario, con el riesgo de que ya se hayan recibido respuestas del anterior.

Esta es una lista rápida de razones, derivada de la acumulación de experiencias negativas en clientes que todavía consideran que estas acciones se pueden automatizar. Hay muchas más razones para no hacerlo.

Hasta el momento no he encontrado nada mejor que una entrevista presencial o por videoconferencia.

Otra tarea que genera riesgos cuando se automatiza es la de los configuradores de cookies. La mayoría de ellos comparan las cookies halladas con una librería de cookies identificadas. Si una cookie específica de la empresa no es identificada, el configurador la coloca en la sección de cookies pendientes de categorizar, y si la empresa no las categoriza, puede estar suministrando información incompleta del tratamiento al interesado, lo cual constituye una infracción muy grave del RGPD.

La existencia de un tratamiento a gran escala es uno de los elementos determinantes de la necesidad de nombrar un DPO, de realizar una evaluación de impacto o de agravar una sanción. Es, por lo tanto, uno de los conceptos clave del RGPD.

Sin embargo, el concepto gran escala no está definido ni cuantificado en el RGPD ni tampoco en la LOPDGDD, con la consiguiente inseguridad jurídica que ello supone. Algún autor ha sugerido que las autoridades de control han dejado intencionadamente este concepto sin determinar con el fin de dar cabida en él al mayor número posible de tratamientos. Pero lo cierto es que el RGPD no establece claramente los parámetros cuantitativos para determinarlo, por lo que el resultado final es que la inseguridad jurídica no desaparece.

El considerando 91 del RGPD acota parcialmente el concepto al decir que las operaciones de tratamiento a gran escala persiguen tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional que podrían afectar a un gran número de interesados.

Seguimos con conceptos indeterminados como “cantidad considerable de datos” y “gran número de interesados”.

El Grupo de Trabajo del Artículo 29 (GT29) establece unos criterios orientativos basados en este considerando en las Directrices sobre los delegados de protección de datos (WP 243) adoptadas el 13 de diciembre de 2016 y revisadas por última vez y adoptadas el 5 de abril de 2017.

El GT29 reconoce que el RGPD no define qué se entiende por tratamiento a gran escala y añade que no es posible dar una cifra exacta, ya sea con relación a la cantidad de datos procesados o al número de personas afectadas, que pudiera aplicarse en todas las situaciones. 

No obstante, el GT29 considera que esto no excluye la posibilidad de que, con el tiempo, se desarrolle un método estándar para identificar en términos más específicos o cuantitativos qué constituye “a gran escala” con respecto a determinados tipos de actividades de tratamiento comunes.

Esto no se ha hecho. 

Por el contrario, los Estados miembro han ido aplicando criterios dispares en sus opiniones y resoluciones.

El GT29 recomienda que se tengan en cuenta los siguientes factores a la hora de determinar si el tratamiento se realiza a gran escala: 

• El número de interesados afectados, bien como cifra concreta o como proporción de la población correspondiente.
• El volumen de datos o la variedad de elementos de datos que son objeto de tratamiento. 
• La duración, o permanencia, de la actividad de tratamiento de datos. 
• El alcance geográfico de la actividad de tratamiento.

Estos criterios no son suficientes para determinar lo que es un tratamiento a gran escala, y han sido objeto de aplicación incoherente en los distintos países en los que el RGPD es de aplicación, incumpliéndose el objetivo uniformador de este reglamento.

Tal como indica la International Association of Privacy Professional (IAPP) en este artículo: https://iapp.org/news/a/on-large-scale-data-processing-and-gdpr-compliance/, la interpretación del concepto gran escala en el Espacio Único Europeo ha oscilado entre los 50.000 interesados exigidos en Estonia para realizar una evaluación de impacto hasta los 5.000.000 de interesados, o el 40 por ciento de la población relevante para el tratamiento, establecido en 2018 por la autoridad de control alemana.

Como prueba de la dispar y poco uniforme interpretación del concepto gran escala en el EEE, vamos a ver a continuación los datos de los países que hemos podido analizar hasta el momento, directamente o a través de colaboradores locales. Cualquier información adicional que permita actualizar y completar este análisis será bienvenida.

España

El artículo 34 de la LOPDGDD contiene una lista de actividades o sectores que deben nombrar un DPO y de ello se deduce que todos estos sectores realizan tratamientos a gran escala y también efectúan una observación sistemática de los interesados.

Una referencia temprana, y no exenta de polémica por su falta de rigor jurídico, fue la de un alto cargo de la AEPD en una jornada de puertas abiertas, en la que indicó literalmente que un tratamiento a gran escala consistía en un tratamiento de “muchos, muchos datos de muchos, muchos interesados”.

En la resolución del procedimiento sancionador PS/00417/2019 la AEPD consideró que había un tratamiento a gran escala de clientes, pero no aportó ningún dato cuantitativo sobre el número de clientes, ni los criterios aplicados para concluir que había un tratamiento a gran escala. Tampoco indicó si se refería a clientes activos durante un determinado ejercicio o si incluía también a los clientes históricos que habían quedado excluidos del tratamiento principal.

Aplicando el criterio del alto cargo de la AEPD, en este caso no habría un tratamiento de muchos, muchos datos, ni de muchos, muchos interesados. Aplicando los criterios del considerando 91 del RGPD, tampoco habría una “cantidad considerable de datos” de un “gran número de interesados”.Y aplicando el criterio del porcentaje de población relevante para el tratamiento, cualquier cantidad de clientes que pueda tratar una startup en sus primeros años queda diluida en la inmensidad del océano de los clientes potenciales.

Por otro lado, el considerando 75 del RGPD indica claramente que los riesgos para los derechos y libertades de las personas físicas, de gravedad y probabilidad variables, pueden deberse al tratamiento de datos que pudieran provocar daños y perjuicios físicos, materiales o inmateriales, en particular en los casos en los que el tratamiento implique una gran cantidad de datos personales y afecte a un gran número de interesados. Deben darse, por lo tanto, los dos requisitos al mismo tiempo.

Alemania

El 23 de mayo de 2018 la autoridad de control alemana publicó un documento en el que estableció que se producía un tratamiento de datos a gran escala en términos cuantitativos en el caso de superar los 5.000.000 de interesados, o al menos el 40 por ciento del grupo de personas afectadas. Se entiende que se refiere al 40% de la población relevante para el tratamiento.

En el caso de Alemania, el criterio establecido en mayo de 2018 fue exclusivamente cuantitativo, pero las cifras establecidas fueron muy altas.

Italia

La autoridad de control italiana ha dado prioridad a la valoración del riesgo para los interesados. Ello ha hecho que en una resolución de 26 de marzo de 2020 haya dictaminado que el tratamiento de los datos de los estudiantes por un centro de enseñanza a distancia no constituye un tratamiento a gran escala y, en cambio, en una resolución previa del 7 de marzo de 2019 había considerado que un hospital público realizaba un tratamiento a gran escala de los datos de sus pacientes.

Portugal

No hemos encontrado ningún documento, guía o resolución en la que la autoridad portuguesa se pronuncie al respecto, limitándose a enlazar a la posición del GT29.

Polonia

La autoridad de control polaca estableció en una resolución de 2019 que una cifra de 2.200.000 clientes era suficiente para considerar que existía un tratamiento a gran escala. Es la única resolución en la que la autoridad de control parece estar 100% segura de que existe un tratamiento a gran escala. La autoridad polaca indica que: “La compañía, al tratar los datos personales de más de 2.200.000 usuarios, que deben considerarse como un tratamiento de datos personales a gran escala, y teniendo en cuenta el alcance de los datos y el contexto del tratamiento, estaba obligada a evaluar y monitorizar de manera más efectiva los riesgos para los derechos y libertades de las personas cuyos datos se trataban.”

Vemos que se tiene en cuenta la cantidad de los datos, pero también la tipología de los datos y el contexto del tratamiento.

El fracaso del RGPD en materia de coherencia entre autoridades de control.

Cabe destacar la crítica realizada por Johannes Caspar, responsable de la oficina de protección de datos de Hamburgo (Alemania) durante 12 años sobre la aplicación del RGPD, el mecanismo de ventanilla única, los sistemas de colaboración entre autoridades de control y los conflictos que han surgido entre ellas, dificultando la función uniformadora del RGPD.

Estas rotundas afirmaciones pueden leerse en las declaraciones de Johannes Caspar a Bloomberg sobre los motivos que le hacen afirmar que el RGPD está fracasando.

Conclusión: el riesgo para el interesado

El criterio que parece predominar es el del riesgo para el interesado, es decir, el riesgo potencial que un tratamiento a gran escala genera para los derechos y libertades de los interesados.

Es evidente que un tratamiento tiene un mayor impacto si afecta un gran número de interesados. Pero este único dato no es relevante si al final sólo se trata la dirección de correo electrónico del interesado. De hecho, muchas resoluciones de archivo de actuaciones se basan en la inexistencia de riesgo para los interesados cuando una brecha de seguridad sólo ha afectado a la dirección de correo electrónico, a pesar de haber un gran número de afectados.

En términos de riesgo para sus derechos y libertades, a un interesado tiene que preocuparle más estar en un tratamiento de 500 usuarios que en uno de varios millones, ya que en este último se convierte en una aguja en un pajar.

Lo que realmente genera el riesgo para el usuario es el nivel de sensibilidad de los datos. Tiene mucho más impacto en los derechos y libertades de los interesados una brecha de seguridad que afecte a 500 historias clínicas que una brecha que afecte a 500 millones de direcciones de correo electrónico.

Lo que nunca debería ocurrir es que un responsable del tratamiento fuese sancionado basándose únicamente en el número de interesados.

1. Primero, porque el legislador europeo estableció un vínculo claro entre la cantidad de interesados y la cantidad o tipología de los datos.
2. Segundo, porque la cantidad de interesados es irrelevante si el tratamiento y la tipología de los datos no generan riesgos para los derechos y libertades de los interesados.
3. Y tercero, porque no existe un criterio uniforme en el EEE que permita determinar a partir de qué cifra o porcentaje de la población relevante para el tratamiento se debe considerar que existe un tratamiento a gran escala.

Reitero mi agradecimiento por cualquier aportación que ayude a actualizar y completar este análisis comparativo y a acreditar la inexistencia de un criterio unificado en relación al tratamiento a gran escala.

Acabo de leer un artículo de Xavier Ferrás en La Vanguardia sobre la paradoja de Polanyi, que me ha gustado mucho. Esta paradoja muestra la dificultad de automatizar una tarea que al ser humano le resulta fácil realizar, pero difícil de explicar. El autor pone el ejemplo del reconocimiento facial. Un ser humano es capaz de reconocer a un amigo que se cruza por la calle a pesar de que hayan pasado 20 años sin verse y su rostro haya cambiado totalmente. Equipara la dificultad de trasladar ese conocimiento a un sistema informático a la dificultad de intentar explicar el color azul a una persona ciega que nunca lo ha visto.

La lectura de este artículo y de las conexiones filosóficas que desarrolla al reflexionar sobre la posibilidad de que la inteligencia artificial tenga la misma dificultad para explicarnos los conocimientos que va adquiriendo, me ha hecho volver al debate sobre el reconocimiento facial, los datos biométricos, la identificación de personas desconocidas y la verificación de personas conocidas.

Cuando identificamos a un conocido en la calle extraemos un conocimiento que se encuentra oculto detrás de un rostro. El conocimiento oculto es su identidad. Y lo hacemos comparando su cara, su mirada y la expresión de su rostro en su conjunto con los recuerdos almacenados de las personas a las que conocemos. El factor diferencial de la identificación es que extraemos a una persona del anonimato. Convertimos a una persona anónima en una persona identificada.

Cuando este proceso lo realiza un sistema informático, se produce una fase de registro de la imagen y otra de medición de los rasgos faciales. Muchas personas caen en el error de pensar que la invasión de la intimidad se produce en el acto de medir el cuerpo humano, de obtener métricas de un ser humano. Pero ello no es así.

La invasión de la intimidad se produce cuando esos datos biométricos nos permiten singularizar a una persona de entre otras muchas. Asociar un rostro que podría pertenecer a miles o millones de personas a una identidad concreta, después de haber valorado el conjunto de la muestra disponible.

La clave, por lo tanto, reside en el carácter oculto de la identidad.

Si aplicamos el habitual ejemplo de la cebolla para explicar las distintas capas de un objeto o de un conocimiento, la fotografía de una cara sería la primera capa exterior, las métricas de la cara serían la segunda capa y la identidad de la persona sería la tercera capa.

Lo que el derecho a la intimidad protege es esta tercera capa interior porque está oculta para todos aquellos que no conocen a la persona o porque no tienen los medios para identificarla. Y cuando una persona quiere que, ni las personas que la conocen, ni las personas que tienen los medios para identificarla, puedan conocer su identidad, debe recurrir a modificar la primera capa, alterando los rasgos faciales para que ni los primeros ni los segundos puedan acceder a la tercera capa de su identidad.

¿Por qué los datos sobre nuestras opiniones políticas son datos sensibles? Porque residen en esa tercera capa y el derecho a la intimidad nos ofrece la posibilidad de mantenerlos ocultos. Si los divulgamos, los trasladamos de la tercera capa a la primera con sus correspondientes consecuencias jurídicas.

¿Por qué los datos sobre nuestra salud son datos sensibles? Porque residen en esa tercera capa y el derecho a la intimidad nos ofrece la posibilidad de mantenerlos ocultos. Si los divulgamos, los trasladamos de la tercera capa a la primera con sus correspondientes consecuencias jurídicas.

¿Por qué los datos sobre nuestras convicciones religiosas son datos sensibles? Porque residen en esa tercera capa y el derecho a la intimidad nos ofrece la posibilidad de mantenerlos ocultos. Si los divulgamos, los trasladamos de la tercera capa a la primera con sus correspondientes consecuencias jurídicas.

¿Por qué los datos sobre nuestra vida sexual o nuestra orientación sexual son datos sensibles? Porque residen en esa tercera capa y el derecho a la intimidad nos ofrece la posibilidad de mantenerlos ocultos. Si los divulgamos, los trasladamos de la tercera capa a la primera con sus correspondientes consecuencias jurídicas.

En cambio, con los datos biométricos no sucede lo mismo.

Para que un dato biométrico sea un dato sensible, para que pertenezca a una categoría especial de datos, tiene que permitirnos acceder a la identidad oculta de una persona con el fin de sacarla a la superficie, incluso en contra de su voluntad.

Por eso ha querido el legislador proteger al interesado de esa intromisión en su intimidad. 

La identificación basada en datos biométricos nos va a permitir extraer el conocimiento oculto de la identidad de una persona gracias a la existencia de patrones obtenidos previamente y almacenados en una base de datos. Un ejemplo muy claro es la identificación de un terrorista en un aeropuerto, por las consecuencias jurídicas que identificarlo va a tener para él y por las terribles consecuencias que no identificarlo va a tener para los demás.

Pero la autenticación es algo absolutamente diferente.

En la autenticación sólo se actúa en la primera y en la segunda capa.

Cuando utilizo mi rostro para autenticarme y acceder a un sistema informático, utilizo un nombre de usuario para decirle que soy un usuario registrado y que debe darme acceso. El sistema está configurado para no creer a cualquiera que diga que soy yo, y por lo tanto, realiza una verificación de mi identidad.

Esta verificación consiste en captar mis rasgos faciales, medirlos y comparar las métricas obtenidas con las que están asociadas a mi nombre de usuario. 

El sistema no compara mi patrón facial con el de otros usuarios registrados para acceder a mi identidad. Mi identidad ya la tiene, y está asociada a mi nombre de usuario gracias al trabajo previo de registro. En conclusión, el sistema tiene las tres capas de conocimiento porque el día del registro se las facilité. Pero en el momento de la autenticación sólo utiliza las dos primeras.

Cada vez que intento acceder a mi cuenta, el sistema realiza las siguientes acciones:

1. Capta mi rostro (primera capa de información).
2. Mide mis rasgos y obtiene los datos biométricos de mi cara (segunda capa de información).
3. Compara estos datos con los que tiene guardados y que están asociados a mi nombre de usuario (seguimos en la segunda capa de información).
4. Verifica que hay correspondencia entre los datos obtenidos ahora y los datos obtenidos en el momento del registro y me permite el acceso.

En ninguna parte de este proceso el sistema ha tenido que singularizar a la persona comparándola con otras porque el usuario ya se ha identificado a sí mismo con su nombre de usuario y el sistema se ha limitado a verificar que decía la verdad.

La gran diferencia de la autenticación es que el usuario ya está identificado y el sistema se limita a verificar que no hay una suplantación.

La autenticación no necesita acceder a la tercera capa para conseguir su eficacia. La identidad puede estar incluso fuera del sistema y no ser relevante para el proceso de autenticación, que sólo verifica si el usuario con esos datos biométricos tiene autorización para entrar en el sistema.

Los medios que estos días afirman en sus titulares que la AEPD ha prohibido el uso del reconocimiento facial en los exámenes online están publicando una noticia falsa. Lo que ha dicho la AEPD en su resolución de advertencia es que el planteamiento propuesto por la UNIR no estaba ajustado a la normativa de protección de datos, pero no ha prohibido de forma generalizada el uso del reconocimiento facial en los exámenes online. La advertencia es únicamente para la UNIR y para el modelo de reconocimiento facial planteado.

La UNIR se cerró ella misma las puertas que la AEPD había dejado abiertas.

En sus informes y resoluciones la AEPD y otros organismos europeos se han manifestado en relación a la categoría a la que pertenecen los datos tratados con los sistemas de reconocimiento facial, la base jurídica del tratamiento, la obligación de informar y el impacto en los derechos y libertades de los interesados.

El camino estaba bien trazado, pero en este caso no se ha seguido, como veremos a continuación.

Categoría a la que pertenecen los datos tratados con los sistemas de reconocimiento facial

La primera puerta que la AEPD había dejado abierta era la de la autenticación. La AEPD y otros organismos europeos defienden la tesis de que el RGPD distingue entre la finalidad de identificar a una persona partiendo de múltiples patrones faciales y la finalidad de autenticar a una persona a partir de su propio patrón facial.

En el caso de la identificación, los datos biométricos tratados son datos sensibles (categorías especiales de datos), porque permiten sacar a una persona del anonimato, o asociar unos datos a una persona concreta.

En el caso de la autenticación, los datos biométricos son datos ordinarios que quedan fuera del ámbito del artículo 9 del RGPD.

La primera confusión es por lo tanto entender que todos los datos biométricos son datos sensibles. Sólo son datos sensibles cuando la finalidad es la identificación unívoca de una persona. 

Lo dice textualmente la AEPD en la resolución de advertencia: “los datos biométricos sólo constituirían una categoría especial de datos en el caso de que se sometan a un tratamiento específico dirigido a identificar de manera unívoca a una persona física”.

La identificación busca a una persona anónima, no identificada o desconocida en una base de datos de posibles personas identificadas, mientras que la autenticación verifica si la persona que se presenta como conocida es la que efectivamente quien dice ser, porque previamente ha proporcionado los datos necesarios para hacer esta autenticación o verificación.

En este requisito de la finalidad los datos biométricos se diferencian de los datos genéticos, que siempre son sensibles.

En el siguiente artículo y en la infografía explico gráficamente la diferencia entre la finalidad de identificar y la de autenticar.

Opinión sobre el criterio de la AEPD sobre el reconocimiento facial

Infografía sobre las dos finalidades de los datos biométricos

Casos en los que el patrón facial no es un datos sensible

La UNIR reconoció expresamente que los datos biométricos eran una categoría especial de datos. Con ello se cerró la primera puerta y no dejó otra opción a la AEPD.

Base jurídica del tratamiento

La UNIR aplicó el consentimiento como única base jurídica del tratamiento. El consentimiento puede dejar de ser libre en el momento en el que existe un desequilibrio entre el responsable del tratamiento y el interesado, como se produce en el caso de una universidad y un alumno.

Sin descartar totalmente la base jurídica del consentimiento, la AEPD y otros organismos europeos indican que puede haber bases más adecuadas.

Por ejemplo, la base jurídica de la autenticación puede ser la ejecución del contrato, ya que la finalidad de este tratamiento es asegurar que en el momento del examen está presente una persona que es parte en el contrato, y no otra.

La base jurídica de la prevención del fraude sería el interés legítimo, pero no sólo el de la universidad, sino también el del alumno, que tiene derecho a que el título que obtenga con ese examen no pierda valor en el mercado laboral y profesional a causa del fraude.

Es evidente que en las empresas y los despachos profesionales contrataremos primero a un graduado en una universidad con bajo nivel de fraude que a un graduado en una universidad con alto nivel de fraude.

Sólo hay que ver el puesto que ocupan en el ranking mundial o nacional las universidades implicadas en escándalos de venta de títulos.

En cualquier caso, el alumno puede escoger entre el reconocimiento facial y el título basura.

Al centrarse únicamente en la base jurídica del consentimiento la UNIR se cerró otra puerta que estaba abierta.

Necesidad del tratamiento

La UNIR alegó que el tratamiento automatizado del reconocimiento facial era necesario, pero después demostró que podía aplicar la alternativa del tratamiento manual. Con ello se cerró la puerta del juicio de necesidad, que exige que el tratamiento sea necesario en el sentido de que no haya otras opciones menos intrusivas.

Está demostrado que el tratamiento manual no consigue reducir las altas cifras de fraude y suplantación de identidad que existen en los exámenes online.

Si el reconocimiento facial y los patrones de tecleo son las únicas vías para reducir el fraude en los exámenes online y evitar los títulos basura y la salida al mercado laboral de profesionales más preparados en el arte del engaño que en los contenidos que debían aprender, parece clara la necesidad del tratamiento.

Información previa

La UNIR se cerró otra puerta al no informar a los alumnos en el momento oportuno.

El momento de informar sobre el uso de técnicas de reconocimiento facial y patrones de tecleo es antes de formalizar la matrícula.

El alumno debe conocer las técnicas de prevención del fraude que utiliza cada universidad y escoger aquélla que considere más adecuada para sus intereses.

En el caso de la universidades 100% online la elección es clara cuando los exámenes también son 100% online. El alumno tiene la ventaja de que no tendrá que realizar ningún desplazamiento, pero a cambio, asumirá el uso de unas medidas de seguridad superiores.

La capacidad de escoger las distintas alternativas que ofrece el sector de la enseñanza aparece en el momento de seleccionar el centro en el que vas a cursar los estudios. Esos centros son los caladeros en los que las empresas y los despachos profesionales van a buscar el talento. Por lo tanto, hay que encontrar el equilibrio entre el prestigio del centro y el nivel de fraude que permite, porque estos parámetros son los acabarán marcando el valor la titulación ofrecida.

Impacto en los derechos y libertades

La UNIR se cerró la última puerta al no acreditar la inexistencia de perjuicios para los alumnos y tampoco la existencia de beneficios.

Lo que realmente se ha considerado invasivo y con alto riesgo para los interesados es el uso del reconocimiento facial para la finalidad de la identificación unívoca, no para la finalidad de la autenticación.

En la identificación unívoca mediante reconocimiento facial se pueden utilizar varios niveles:

1. El reconocimiento facial manual sin expertos.
2. El reconocimiento facial manual con expertos.
3. El reconocimiento facial automatizado sin datos biométricos.
4. El reconocimiento facial automatizado con datos biométricos.
5. El reconocimiento facial automatizado con datos biométricos y con inteligencia artificial.

Todos estamos de acuerdo en los riesgos asociados al último nivel, por ser el más invasivo y sobre el que se está promoviendo una regulación que garantice los derechos y libertades de los interesados.

Pero en los exámenes online no estamos hablando de identificación sino de autenticación, y ello supone comparar el patrón facial de la persona que acude al examen con el obtenido de su DNI o el que facilitó en el momento del registro.

Este tratamiento no utiliza datos sensibles.

Por otra parte hay que valorar los derechos de las restantes partes implicadas. 

Por ejemplo:

• El derecho a contratar a un profesional que realmente haya superado el nivel establecido para valorar sus conocimientos.
• El derecho a una titulación válida y no a un título basura por parte de los alumnos que no han cometido fraude.
• El derecho del mercado laboral y profesional a poder confiar en el valor de una titulación.
• El derecho del propio alumno a que se valoren sus conocimientos y no su habilidad para cometer fraudes. Y a iniciar su carrera profesional limpiamente y sin basar su acreditación académica en un fraude.

En estos puntos hay otros factores como la calidad de la enseñanza o vivir en un país en el que hacer chuletas tiene un elevado grado de aceptación, pero hoy tocaba hablar de protección de datos.

ACTUALIZACIÓN 20/08/2021

En el debate suscitado por este artículo en LinkedIn, Ignacio San Martín comenta la interpretación de la AEPD en su informe 2021/0047 de 19 de julio, relativo al tratamiento de datos de reconocimiento facial en el momento del alta de clientes en la oficina o a través de un canal online con el objetivo de verificar su identidad y así realizar las verificaciones oportunas previstas en la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo (PBC/FT), así como del control del fraude.

En la página 3 del informe la AEPD distingue entre identificación y autenticación y considera que en el caso analizado se realiza un de tratamiento de datos biométricos con la finalidad de cumplir con el deber de identificación establecido en la normativa de PBC. Por lo tanto se decanta por la identificación.

En la página 15 justifica esta interpretación en el hecho de que el artículo 3 de la Ley 10/2010 de PBC y FT establece una obligación de identificación.

Considero que la AEPD ha cometido un error al ceñirse a la literalidad del texto, ya que la acción que describe este artículo 3 no es de identificación, sino de comprobación de la identidad, tal como indica claramente en el párrafo 2: “Con carácter previo al establecimiento de la relación de negocios o a la ejecución de cualesquiera operaciones, los sujetos obligados comprobarán la identidad de los intervinientes mediante documentos fehacientes.”

Lo que debe hacer el sujeto obligado no es comparar el patrón facial del interesado con el de múltiples interesados, sino con un documento fehaciente, como un DNI, que incorpora una foto que permite obtener un patrón facial del interesado.

Esta actividad de comprobación o verificación es una autenticación, por lo que los datos biométricos tratados no serían categorías especiales de datos.