Archive for the 'Datos Personales' Category

¿Se sanciona no realizar una auditoría en protección de datos?

La pregunta que planteo en el título de este post, puede parecer que tiene una respuesta muy sencilla: Según la LOPD sí, por incumplimiento del deber de seguridad de su artículo 9 , lo que conllevaría una infracción de su artículo 44.3.h y supondría una sanción de 40.001 euros a 300.000  euros, si la infractora fuese una entidad privada, según su artículo 45.2.

No obstante, para mí la respuesta puede que no sea tan sencilla, a tenor de algunas resoluciones de la Agencia Española de Protección de Datos y de la doctrina de la Audiencia Nacional.

Lo primero que debemos preguntarnos es qué es una auditoría en protección de datos. Se podría definir, de manera general, como aquella medida que, según los artículos 96 y 110 del Real Decreto 1720/2007, deben tener en cuenta todos los responsables cuando traten datos de nivel medio.

Ahondando un poco más, se podría señalar que es aquella medida, de carácter interno o externo, que deberán cumplir los sistemas de información e instalaciones que traten datos de nivel medio y que tendrá dictaminar sobre la adecuación de las medidas y controles a la LOPD y al Real Decreto 1720/2007, identificar las deficiencias y proponer las medidas correctoras o complementarias necesarias, incluyendo los datos, hechos y observaciones en que se basen el dictamen alcanzado, así como, las recomendaciones en que se base ese dictamen.

En este punto, podría entrar al debate de cual es la metodología de una auditoría de protección de datos (porque en realidad legalmente no existe ninguna metodología, aunque algunos sectores les interese señalar que su metodología es la que se debe seguir para realizar una correcta auditoría en protección de datos), pero creo que se apartaría, en mi opinión de lo que es la intención inicial de este post, que no es otra de conocer la naturaleza jurídica de una auditoría en protección de datos, como medida para garantizar el deber de seguridad.

Por tanto, en este punto, la auditoría en protección de datos (o cualquiera de las medidas del Título VIII del Real Decreto 1720/2007) qué es: ¿una obligación de medios o una obligación de resultado? La doctrina de la Audiencia Nacional es clara en cuanto al deber de seguridad:  se impone una obligación de resultado, consistente en que se adopten las medidas necesarias para evitar que los datos se pierdan, extravíen o acaben en manos de terceros. En definitiva, la recurrente es, por disposición legal, una deudora de seguridad en materia de datos, y por tanto debe dar una explicación adecuada y razonable de cómo los datos personales han ido a parar a un lugar en el que son susceptibles de recuperación por parte de terceros, siendo insuficiente con acreditar que adopta una serie de medidas, pues también es responsable de que las mismas se cumplan y se ejecuten con rigor. En definitiva, toda responsable de un fichero (o encargada de tratamiento) debe asegurarse de que dichas medidas o mecanismos se implementen de manera efectiva en la práctica (…)”

Así pues, nos encontramos con que las medidas para dar el cumplimiento al deber de seguridad son una obligación de resultado, lo que quiere decir que se deben tener implantadas para evitar cualquier “alteración, pérdida, tratamiento o acceso no autorizado” (tal y como se dispone en el artículo 9 de la LOPD), de manera que, a sensu contrario, si no se tienen implantadas y no se constata una alteración, pérdida, tratamiento o acceso no autorizado, no existiría un incumplimiento del deber de seguridad, porque si se sancionara, estaríamos hablando de una obligación de medios y, ya se ha visto que, según la doctrina de la Audiencia Nacional, es justamente lo contrario: una obligación de resultado.

En otras palabras, lo que pretende el deber de seguridad no es imponer la obligación de implantar unas medidas (obligación de medios), sino implantarlas con un resultado concreto: evitar una alteración, pérdida, tratamiento o acceso no autorizado (obligación de resultado).

La Agencia Española de Protección de Datos, también ha llegado a esta conclusión y se puede observar, entre otras, en su Resolución R/00351/2008 en la que se declara el archivo de las actuaciones en un supuesto en el que se constata por la Inspección que un responsable no cifra los soportes con datos de nivel alto cuando son trasladados, se realizan mensualmente copias de seguridad, no existe la figura del responsable de seguridad, no existe un registro de acceso a los datos de nivel alto y no consta la realización auditoría alguna, ya que “de la inspección realizada no se concluye que se haya producido una alteración, pérdida, tratamiento o acceso no autorizado”.

Así, a la pregunta que planteo en este post se debe responder que no, mientras no se produzca una alteración, pérdida, tratamiento o acceso no autorizado. Cuestión diferente es que sea una muy buena práctica para verificar que las medidas implantadas por cualquier entidad en materia de protección de datos, son eficientes para evitar hipotéticas alteraciones, perdidas, tratamientos o accesos no autorizados.

Gontzal Gallo

Especialista en Derecho de las TIC

Colegiado en el Ilustre Colegio de Abogados del Señorío de Vizcaya

Miembro de la Asociación de Expertos Nacionales de la Abogacía TIC (ENATIC)

gontzalgallo.com

Twitter: @gongaru

Linkedin: Gonzalo Gallo

Google+: +Gontzal Gallo

Algunas notas de privacidad en el Proyecto de Ley de Telecomunicaciones

Gracias a los compañeros de Privacidad Lógica, hemos podido tener acceso al Proyecto de Ley General de Telecomunicaciones que fue aprobado el pasado día 13 de septiembre por el Consejo de Ministros. Y no sólo eso, sino que además, también han conseguido los Informes de la Comisión del Mercado de Telecomunicaciones, la Comisión Nacional de la Competencia, el Consejo Económico y Social, el Consejo General del Poder Judicial, la Agencia Española de Protección de Datos y el Consejo de Estado. Se pueden consultar todos estos documentos junto con el Proyecto de Ley en este enlace. Así que, desde aquí, muchas gracias a los colegas Alfonso, Luis y Francisco Javier por compartir la información.

En este Proyecto de Ley se hace una reforma total de la actual Ley General de Telecomunicaciones y, además, también supone una reforma de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico y, sobre todo, en el régimen de las “cookies” que tan en boga está últimamente. A este respecto, es interesante el post que la compañera de ENATIC, Analore García Noblia, ha realizado analizando estas novedades.

La Ley General de Telecomunicaciones, recoge en su artículo 34, una normativa específica sobre protección de datos de carácter personal y, como no podría ser de otra manera, también existe una mención en el Proyecto de Ley. Particularmente, lo que más me ha llamado la atención de esta nueva redacción (que se encuentra en el artículo 41 del Proyecto) es lo siguiente:

  • Las medidas técnicas y de gestión  que deben implantar los operadores que exploten redes públicas de comunicaciones electrónicas, o que presten servicios de comunicaciones electrónicas disponibles al público,  para preservar la seguridad en la explotación de la red o en la prestación del servicio, podrán ser examinadas por la Agencia Española de Protección de Datos, quién podrá realizar recomendaciones.
  • Se elimina la obligación de  los operadores de crear procedimientos para atender a las solicitudes de acceso a los datos personales de los usuarios por parte de las autoridades legalmente autorizadas.
  • Se mantiene la obligación de comunicar a la Agencia Española de Protección de Datos y, en determinadas circunstancias a los interesados, las violaciones en la seguridad y en los datos personales, que sufran los operadores de  servicios de comunicaciones electrónicas. Esta obligación fue introducida en la Ley General de Telecomunicaciones por el Real Decreto-Ley 13/2012, de 30 de marzo.

Por otra parte, en el artículo 42 se establece la obligación específica de conservación y cesión de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones, introducida por la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones.

Además de los mencionados artículos del Proyecto, se establece uno específico (el artículo 48), que regula el derecho a la protección de datos y la privacidad en relación con las comunicaciones no solicitadas, los datos de tráfico y las guías de abonados, aunque  estas cuestiones ya se introdujeron en la Ley General de Telecomunicaciones, mediante el ya mencionado Real Decreto-Ley 13/2012, de 30 de marzo:

  • Se refleja el derecho a no recibir llamadas automáticas o faxes de venta directa sin consentimiento previo.
  • Se refleja el derecho a oponersa a recibir llamadas de venta directa y a ser informado de este derecho.
  • Se recoge el derecho a anonimizar o cancelar los datos de tráfico cuando no sean necesarios para la comunicación y el derecho a utilizar los datos de tráfico para promociones comerciales cuando se cuente con el consentimiento informado del usuario.

Por último, en el artículo 49 se regulan las cuestiones relativas en la guías de abonados y, especialmente, el derecho a no figurar en guías de abonados. Esta cuestión también se encuentra en la Ley General de Telecomunicaciones, pero dispersa entre los artículos 38 y 38 ter.

Como conclusión, en materia de privacidad, este Proyecto de Ley no supone una revolución, pero bien es cierto que estas cuestiones quedan ahora más claras, puesto se reflejan en artículos específicos, hecho que lo diferencia de la actual Ley General de Telecomunicaciones y sus múltiples modificaciones.

Gontzal Gallo

Especialista en Derecho de las TIC

Colegiado en el Ilustre Colegio de Abogados del Señorío de Vizcaya

Miembro de la Asociación de Expertos Nacionales de la Abogacía TIC (ENATIC)

gontzalgallo.com

Twitter: @gongaru

Linkedin: Gonzalo Gallo

Google+: +Gontzal Gallo

Intimidad y la agenda de contactos de un teléfono

Hoy quiero comentar la Sentencia del Tribunal Constitucional 115/2013, de 9 de mayo de 2013, en la que se resolvía un recurso de amparo que solicitaba la vulneración del derecho a la intimidad y del derecho al secreto de los comunicaciones, al consultar la policía, en el marco de una investigación policial y sin autorización judicial, la agenda de contactos de un teléfono, de un sospechoso que huyó en una redada para la incautación de dos toneladas y media de hachís. El acceso a la agenda se consiguió porque teléfono se encontraba encendido y fue “olvidado” por su propietario en su huída. En el procedimiento judicial previo al amparo, el recurrente fue condenado en todas las instancias a una pena de cinco años y seis meses de prisión por ser responsable de un delito contra la salud pública.

Lo que se debate en definitiva en esta Sentencia es si el acceso policial a la agenda de contactos, sin consentimiento del usuario y sin autorización judicial, vulnera el secreto de las comunicaciones y/o la intimidad.

Secreto de las comunicaciones

En este supuesto, para el Tribunal Constitucional no existe una vulneración del Secreto de las Comunicaciones puesto que la policía accedió a los datos recogidos en la agenda de contactos del teléfono y  estos datos  “no forman parte de una comunicación actual o consumada, ni proporcionan información sobre actos concretos de comunicación pretéritos o futuros”. Al consultar la agenda, no se obtienen datos relativos a “un proceso de comunicación emitida o recibida mediante dicho aparato, sino únicamente a un listado de números de teléfono introducidos voluntariamente por el usuario del terminal, equiparable a los recogidos en una agenda de teléfonos en soporte de papel”. Es más, lo que se consultó por los agentes (y así se probó en las diferentes instancias) fue que la agenda contenía el nombre “mamá” y éste se correspondía con un número de teléfono fijo cuya titular efectivamente era la madre del recurrente en amparo.

Ahora bien, cuestión diferente es que hubiesen consultado el registro de llamadas del terminal telefónico, puesto cómo bien recuerda el Tribunal  el Secreto de las Comunicaciones, además de proteger la comunicación en sí, también protege otros elementos de la misma, “como la identidad subjetiva de los interlocutores, por lo que queda afectado por este derecho tanto la entrega de los listados de llamadas telefónicas por las compañías telefónicas como el acceso al registro de llamadas entrantes y salientes grabadas en un teléfono móvil”.

Intimidad

Visto que no estaba afectado el Secreto de las Comunicaciones, ¿podría estar afectada la intimidad en el hecho expuesto? El Tribunal Constitucional considera que, efectivamente, la consulta de la agenda de contactos de un teléfono, sin consentimiento y sin autorización judicial, es una injerencia en la intimidad de la personas. Esta afirmación se fundamenta en que la agenda de contactos  “ofrece información que pertenece al ámbito privado de su titular”, que como ya nos recuerda el Tribunal en su amplia doctrina es “un ámbito reservado de su vida vedando que terceros, sean particulares o poderes públicos, decidan cuales sean los lindes de nuestra vida privada, pudiendo cada persona reservarse un espacio resguardado de la curiosidad ajena, sea cual sea lo contenido en ese espacio”.

Ahora bien, ciertamente esta injerencia en la intimidad hay que ponerla en su contexto y, sobre todo hay que analizar si hay otros derechos o intereses constitucionales que la pudieran limitar (aquello de que los derechos fundamentales no son absolutos). Pues bien, en el caso expuesto el Tribunal Constitucional, tras realizar el pertinente juicio de proporcionalidad , considera que existen otros valores constitucionales en aras al interés general de la investigación de un delito grave y el descubrimiento de los delincuentes. Además, hay que mencionar, que la policía se encontró con los teléfonos encendidos y sin necesidad de introducir un código para el acceso a su agenda, ni realizaron “ningún tipo de manipulación extraordinaria” .

Algunas conclusiones y consideraciones

De esta Sentencia expuesta, se pueden sacar dos claras conclusiones:

  • La agenda de contactos de un teléfono móvil (podría ser extensible a otro tipo de aparato electrónico) no es un elemento que se protege mediante el secreto de las comunicaciones.
  • La agenda de contactos de un teléfono móvil forma parte de la intimidad personal y por tanto, su consulta no consentida (o no autorizada por la autoridad judicial) supone una injerencia en el mencionado derecho.

En todo lo expuesto, la agenda de contactos ha sido analizada desde el prisma de estos dos derechos (obviamente, porque así lo había solicitado el interesado en su recurso de amparo). Pero ¿cabría analizarse desde otra perspectiva?, ¿Y desde la perspectiva de la protección de datos de carácter personal? (El Fiscal en su escrito de alegaciones ya hace mención a ello, según el punto 9 de los Antecedentes de la Sentencia)

Gontzal Gallo

Especialista en Derecho de las TIC

Colegiado en el Ilustre Colegio de Abogados del Señorío de Vizcaya

Miembro de la Asociación de Expertos Nacionales de la Abogacía TIC (ENATIC)

gontzalgallo.com

Twitter: @gongaru

Linkedin: Gonzalo Gallo

Google+: +Gontzal Gallo

Nivel de seguridad en un fichero para el control del absentismo escolar

Tras el período estival, retomo la actividad en el blog, comentando un reciente Dictamen de la Agencia Vasca de Protección de Datos (AVPD), en el que se analiza el nivel de seguridad de un Fichero de un Ayuntamiento que es utilizado para el control del absentismo escolar (Dictamen CN13-022).

Este Dictamen ha sido emitido tras la consulta de un Ayuntamiento a la AVPD en el que se solicitaba su criterio sobre el nivel de seguridad de un futuro Fichero que, en virtud de la competencia municipal de vigilancia del cumplimiento de la escolaridad obligatoria, contendría esta tipología de datos:

  • Datos del alumno.
  • Datos complementarios.
  • Datos tutores.
  • Direcciones de notificación.
  • Datos de los hermanos/as.
  • Datos académicos.
  • Datos familiares.
  • Datos sociales.
  • Situación escolar.
  • Integración escolar.
  • Relación familia-escuela.
  • Aspectos psicosociales y comunitarios.
  • Relación familia-servicio sociales.
  • Minorías étnicas  (SI/NO).
  • Inmigrante (SI/NO ).

  • Dispone de atención en salud mental (SI/NO).
  • Presenta frecuentes episodios de enfermedad común (SI/NO).

En el Dictamen la AVPD advierte, con acertado criterio, que “la creación de cualquier fichero debe estar necesariamente vinculada al ejercicio de las legítimas competencias atribuidas al responsable del mismo” y considera que esas competencias emanan del artículo 25.2.n de la Ley 7/1985, de 2 de abril, reguladora de las Bases del Régimen Local que establece como una de las competencias municipales la de “participar en la programación de la enseñanza y cooperar con la Administración educativa en la creación, construcción y sostenimiento de los centros docentes públicos, intervenir en sus órganos de gestión y participar en la vigilancia del cumplimiento de la escolaridad obligatoria“.

A continuación, en el Dictamen, se analiza la posibilidad de existencia de datos especialmente protegidos que pudieran derivar en la implantación de unas medidas de seguridad de nivel alto. La AVPD estima que pueden existir esta tipología de datos (y por tanto se deberán aplicar las medidas de seguridad de nivel alto), por la existencia de datos de raza, datos de salud o incluso datos recabados para fines policiales o relacionados con la violencia de género” en los campos “Minorías étnicas  (SI/NO)”, el campo de observaciones, dentro de “Datos familiares”, “Dispone de atención en salud mental (SI/NO)”, “Presenta frecuentes episodios de enfermedad común (SI/NO)”.

Por tanto, la conclusión del Dictamen parece clara: El Fichero que pretende crear la Entidad Local “debe tener asignado un nivel de seguridad alto, debiendo el  Ayuntamiento implantar las medidas que para los ficheros automatizados de dicho nivel se recogen en los artículos 101 y siguientes del Real Decreto 1720/2007 de 21 de diciembre.”

A pesar de esta claridad en la conclusión, me planteo varias dudas que me gustaría debatir entre los lectores de este post:

Por un lado, ¿El Ayuntamiento cumpliría con el principio de calidad de los datos del artículo 4 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal? ¿No se podría considerar que el tratamiento de esos datos que considera la  AVPD especialmente protegidos son excesivos en relación con la competencia municipal de participar en la vigilancia de la escolaridad obligatoria? ¿Realmente. para cumplir esa competencia. no le bastaría con controlar quien acude y quien no acude a los centros educativos?

Por otro lado, admitiendo que son pertinentes esos datos especialmente protegidos para el cumplimento de su competencia municipal de participar en la vigilancia de la escolaridad obligatoria, ¿no se les podría considerar incidentales o accesorios en dicho tratamiento y poderle aplicar la excepción del artículo 81.5 del Real Decreto 1720/2007 de 21 de diciembre e implantar, por tanto, al menos las medidas de nivel básico? Para poder dar cumplimiento a esa competencia municipal, ¿los datos especialmente protegidos que se van a tratar están directamente relacionados con el cumplimiento de dicha competencia o más bien son un medio para poder llevar a cabo la misma?

En mi opinión, creo que si se se estuvieran tratando esos datos especialmente protegidos de todos los alumnos, se estaría produciendo un tratamiento excesivo de los datos y, por consiguiente, no encajaría  del todo con el principio de calidad del del artículo 4 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Si, únicamente, se produciría un tratamiento de esos datos en determinados alumnos, podría considerarse cómo un tratamiento incidental para poder dar cumplimiento a la competencia municipal de vigilancia de la escolaridad obligatoria. Así, por ejemplo, me planteo el caso de un alumno, con una determinada enfermedad, que le obligaría a acudir al médico periódicamente y no poder asistir a clase todos los días. Está claro que el Ayuntamiento, para cumplir con su competencia municipal podría indagar en el motivo de la no asistencia de ese alumno y los representantes legales podrían informarle sobre su enfermedad al Ayuntamiento y éste tratar ese datos para no volver a solicitar información sobre la no asistencia. Entiendo que en este supuesto, el tratamiento sería incidental, porque el Ayuntamiento realmente no necesita ese dato para poder dar cumplimiento a su competencia.

De todas formas la  conclusión general a la que llega la AVPD  en su Dictamen CN13-022 es lógica ya que “sobre el papel”, se estarían tratando datos especialmente protegidos y, entiendo que, el Ayuntamiento, en caso de ser requerido debería justificar, en primer lugar, el tratamiento no excesivo de estos datos y, en su caso, el carácter incidental o accesorio de los mismos en su tratamiento.

Gontzal Gallo

Especialista en Derecho de las TIC

Colegiado en el Ilustre Colegio de Abogados del Señorío de Vizcaya

Miembro de la Asociación de Expertos Nacionales de la Abogacía TIC (ENATIC)

gontzalgallo.com

Twitter: @gongaru

Linkedin: Gonzalo Gallo

Google+: +Gontzal Gallo

Google se adelanta en su “batalla” con la AEPD

Hace algo más de un año, escribía en este blog  “La Audiencia Nacional pregunta al TJUE sobre Google”. En este post, se hacía mención a las varias cuestiones prejudiciales que la Audiencia Nacional planteaba al Tribunal de Justicia de la Unión Europea (TJUE) sobre la aplicación de la Directiva 95/46, a determinadas actuaciones del buscador. Hoy tenemos la respuesta a esas preguntas, en forma de Dictamen Preliminar del Abogado General del TJUE. Antes de ver las respuestas, hay que advertir que no es una Sentencia de TJUE, por lo que, formalmente, las cuestiones prejudiciales no han sido respondidas. No obstante, es probable que la Sentencia final no se aparte mucho de lo dispuesto en el Dictamen.

El “titular” de este Dictamen lo podemos ver en la Nota de Prensa del TJUE: “Los proveedores de servicios de motor de búsqueda en Internet no son responsables, sobre la base de la Directiva sobre Protección de Datos, de los datos personales incluidos en las páginas web que tratan”.

Respecto a la respuesta a las preguntas en sí, las podemos agrupar de la siguiente manera:

Ámbito de aplicación territorial de la Directiva

  • No tiene porqué aplicarse la Directiva 95/46 en el país miembro donde se localice el centro de gravedad del conflicto para  una tutela más eficaz de los derechos de los ciudadanos de la Unión Europea.
  • Google Spain, S.L., tiene la consideración de “establecimiento permanente” de Google Inc, en relación a la aplicación de la normativa de protección de datos.

Tratamiento de datos personales por parte de un motor de búsqueda en Internet

  • El almacenamiento temporal de la información indexada por los buscadores, si contiene información personal, es un tratamiento de datos.
  • No se debería aceptar una interpretación que convierta en responsable del tratamiento de datos personales publicados en Internet a cualquier persona que posea un dispositivo y se descargue contenidos que pudieran contener datos de carácter personal.
  • Un buscador de Internet  proporciona una herramienta de localización de información y no ejerce ningún control sobre los datos personales incluidos en las páginas web de terceros. Por tanto, en estos casos, un proveedor de servicios de búsqueda no es responsable de tratamiento de datos, siempre que buscador “no indexe o archive datos personales en contra de las instrucciones o las peticiones del editor de la página web”.
  • Un proveedor de servicios de motor de búsqueda en Internet posee intereses legítimos en el tratamiento de datos personales disponibles en Internet. Este interés legítimo se basa en los derechos fundamentales de libertad de información, libertad de expresión y libertad de empresa.
  • El organismo de control en materia de protección de datos no puede requerir a un proveedor de servicios de motor de búsqueda en Internet que retire información de su índice, salvo en los caso en que el buscador no respete las instrucciones relativas a la indexación o archivos de datos del responsable de la web.

En relación al derecho al olvido

  • La Directiva 95/46 no establece un derecho al olvido, “en el sentido de que un interesado esté facultado para restringir o poner fin a la difusión de datos personales que considera lesivos o contrarios a sus intereses”.
  • La protección de datos debe ponderarse con otros derechos fundamentales, especialmente la libertad de expresión y la libertad de información. “El derecho a la búsqueda de información publicada en Internet mediante motores de búsqueda es una de las formas más importantes de ejercitar este derecho fundamental”
  • Los derechos de supresión, cancelación y oposición, no se deben interpretar como un a un derecho al olvido.

Poco después de conocerse el Dictamen, la Agencia Española de Protección de Datos ha hecho pública una nota de prensa en la que, además de recordar que este criterio del Abogado General no es vinculante para el Tribunal, señala que “la actuación de la Agencia Española de Protección de Datos ha sido y será siempre sumamente respetuosa con los ámbitos protegidos por los derechos de libertad de expresión y de información”.

Sobre este Dictamen del Abogado General del TJUE, aconsejo la lectura de los siguientes post:

Sobre las conclusiones del Abogado General en el caso contra Google  por David Maeztu

Podrá aplicarse la Directiva Europea de Protección de Datos a Google por David González Calleja

Caso “Google” sobre el derecho al olvido: ¿Cómo afecta a la propuesta de Reglamento de Protección de Datos? por Francisco Javier Sempere

Gontzal Gallo

Especialista en Derecho de las TIC

Colegiado en el Ilustre Colegio de Abogados del Señorío de Vizcaya

Miembro de la Asociación de Expertos Nacionales de la Abogacía TIC (ENATIC)

gontzalgallo.com

Twitter: @gongaru

Linkedin: Gonzalo Gallo

Google+: +Gontzal Gallo

Big data en la “lectura de la luz” ¿nuevo riesgo para la privacidad?

Año 2020: Es el año pensado por la Unión Europea para que en la mayoría de los hogares europeos posean contadores inteligentes para la medición del consumo de electricidad. Así se desprende de la Directiva 2009/72/CE del Parlamento Europeo y del Consejo de 13  de  julio de 2009 sobre normas comunes para el mercado interior de la electricidad y por la que se deroga la Directiva 2003/54/CE. En concreto en su Anexo I, que se refiere a las medidas de protección al consumidor, se refleja la siguiente mención:

Los Estados miembros garantizarán la utilización de sistemas de contador inteligente que contribuirán a la participación  activa de los consumidores en el mercado de suministro de electricidad (…)

Cuando se evalúe positivamente la provisión de contadores inteligentes, se equipará, para 2020, al menos al 80 % de los consumidores con sistemas de contador inteligente.

Antes de continuar, es preciso tener claro qué es un contador inteligente: Contador de medida del consumo eléctrico que puede ser leído y gestionado remotamente y que está conectado a una red. Pueda tratar más información que un contador convencional, como por ejemplo, tipología de consumo. Un tratamiento de estos datos podría conllevar a obtener información sobre hábitos de consumos eléctricos, por ejemplo.

El 9 de marzo de 2012, la Comisión redactó una Recomendación (2012/148/UE: Recomendación de la Comisión, de 9 de marzo de 2012 , relativa a los preparativos para el despliegue de los sistemas de contador inteligente), donde, además de analizar los requisitos mínimos de esos contadores inteligentes, establecía una serie de directrices en aras a garantizar la seguridad y protección de datos. Por tanto, la propia Comisión ya observa que el uso de estos sistemas puede conllevar un riesgo para la privacidad. Lo que más preocupaba a la Comisión, en este sentido, es lo siguiente:

  • Se recomienda la realización de una evaluación del impacto sobre la protección de los datos de estos sistemas, consensuado entre los Estados miembros, las autoridades de control y quienes exploten los sistemas de contador inteligente.
  • Se deberá tener en cuenta la protección de datos desde el diseño. Para ello dispondrán tanto medidas legislativas, como técnicas y organizativas.
  • Se observará la protección de datos por defecto, en el sentido que “se facilite al cliente la configuración preestablecida que mejor proteja los datos.”
  • Se recomienda el tratamiento anonimizado de datos de datos. No obstante , si existiera un tratamiento de datos personales, deberá basarse en alguno de los supuestos del artículo 7 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos que, recordemos, son:
    • Consentimiento del interesado.
    • Ejecución de un contrato.
    • Interés vital del interesado.
    • Interés público o ejercicio de un poder público.
    • La satisfacción de un interés legítimo del responsable de tratamiento.
  • La seguridad de los datos debe ser parte de la protección de datos desde el diseño. Se recomienda el uso de canales cifrados.
  • En caso de violación de los datos personales, el responsable del tratamiento debería notificarlos autoridad de control y al interesado, en un plazo de 24 horas.
  • Deberán cumplirse las obligaciones de información de los artículos 10 y 11 de la Directiva 95/46/CE y especial se deberá informar al interesado de las siguientes cuestiones:
    • Identidad y datos de contacto del responsable del tratamiento y de su representante, así como del responsable de protección de datos, si lo hubiera.
    • Finalidades del tratamiento previsto de los datos personales.
    • Período durante el que se almacenarán los datos personales.
    • Los derechos ARCO y el derecho a presentar una reclamación a la autoridad de control competente.
    • Destinatarios de los datos, si los hubiere.

Es posible darse cuenta, en este punto, de que en estas Recomendaciones de la Comisión, aparecen conceptos que en el sistema jurídico actual de protección de datos no existen: evaluaciones de impacto, protección de datos desde el diseño, comunicaciones en las violaciones de datos,… Todo ello es fruto de la nueva “ola” de protección de datos que se introdujo con la Propuesta de Reglamento de Protección de Datos realizada por la Comisión a principios de 2012 y que, a día de hoy, todavía se está negociando. Debemos tener en cuenta que esta Propuesta  debe ser considerada como lo que es: Un borrador de lo que pretende la Comisión que sea el nuevo sistema jurídico de protección de datos en Europa.

Volviendo a la Recomendación 2012/148/UE, el Supervisor europeo de protección de datos emitió una Opinión a finales de 2012 (se puede consultar en inglés aquí y un resumen de la misma en castellano aquí), cuyas cuestiones más relevantes, bajo mi punto de vista, son las siguientes:

  • Los contadores inteligentes permiten la obtención de datos personales y podrían “llevar al seguimiento de lo que hacen los miembros de una familia en la intimidad de sus hogares”.
  • Se debería relacionar cada riesgo en materia de privacidad  con un control adecuado.
  • Se debe instar a la obligatoriedad para que los responsables de los contadores inteligentes lleven a cabo una evaluación de impacto sobre la protección de datos y la notificación las violaciones de datos personales.
  • Se debería distinguir en la lectura de contadores inteligentes, actuaciones que no tendrían requerir el consentimiento de los interesados y actuaciones en la que el consentimiento sea necesario.
  • La recogida de datos de carácter personal tendría que ser el mínimo necesario.
  • En cuanto al período de conservación de los datos de las lecturas realizadas por los contadores inteligentes, debería coincidir con el período en que puede reclamarse una factura. No obstante, por vía de consentimiento se podrá tener en cuenta un período mayor  “por ejemplo, para obtener un asesoramiento específico sobre energía.”
  • Se debiera dar acceso a los interesados a los datos que se recojan a través de los contadores inteligentes, entre los que se incluirían “la extracción automática de datos, la publicación de los perfiles de las personas físicas y la lógica de todos los algoritmos utilizados para dicha extracción”.

Este nuevo riesgo sobre la privacidad está ya presente, porque en la actualidad las grandes distribuidoras eléctricas están sustituyendo los contadores convencionales (los de de la “ruedecita”) por estos contadores inteligentes. En Europa ya hemos visto que se han dado cuenta de este riesgo, pero en nuestro país parece que no. Sería muy útil conocer el criterio de la Agencia Española de Protección de Datos sobre esta materia, pero de momento, nos toca esperar, ya que el cloud y las cookies es lo que, para la privacidad, más riesgo conlleva, a tenor de los últimos eventos del mencionado organismo administrativo. Por ello, no perdamos de vista este tema de los contadores inteligentes, no vaya a ser que nos la “cuelen por la puerta de atrás”.

Gontzal Gallo

Especialista en Derecho de las TIC

Colegiado en el Ilustre Colegio de Abogados del Señorío de Vizcaya

Miembro de la Asociación de Expertos Nacionales de la Abogacía TIC (ENATIC)

gontzalgallo.com

Twitter: @gongaru

Linkedin: Gonzalo Gallo

Google+: +Gontzal Gallo

Hablando de la Propuesta de Reglamento en el X Foro de la Salud

El pasado 20 de marzo, tuve el placer de compartir una Sesión en el X Foro de Seguridad y Protección de Datos de Salud, organizado por la Sociedad Española de Informática de la Salud (SEIS). Coordinados por Julián Prieto Hergueta (Subdirector General del Registro General de Protección de Datos de la Agencia Española de Protección de Datos), Mónica Arenas Ramiro (Profesora de Derecho Constitucional de la Universidad de Alcalá de Henares), Francisco Pérez Bes (Vicepresidente de la Asociación de Expertos Nacionales de la Abogacía TIC-ENATIC) y yo, compartimos una interesante Sesión con los asistentes, hablando de la “Nueva Protección de Datos que viene de Europa”. Dicho de otra manera, de la Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos).

Fotografía realizada por Pedro Alberto González (@paGonzalez)

Una vez realizada la introducción por Julián Ruiz y tras los agradecimientos de rigor, Mónica Arenas nos recordó la importancia de la Protección de Datos (que es uno de los Derechos Fundamentales) en nuestros días y cómo no debe caer en el olvido. También justificó el porqué de un Reglamento Europeo y no una Directiva (como la actual Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos). También nos enumeró los principios y los derechos de los interesados que se reflejan en la Propuesta de Reglamento, algunos de ellos nuevos, como el “archicomentado” derecho al olvido o el derecho a la portabilidad, pasando por el consentimiento “explícito” o el derecho a la transparencia en la información. Por último, hizo mención a cómo recoge la Propuesta de Reglamento el tema de la autorregulación. También nos habló de una posible fecha para la aprobación de lo que ya sería el Reglamento: enero de 2014.

La segunda parte de esta Sesión corrió de mi parte, y comencé hablando de la regulación de la seguridad en la Propuesta de Reglamento y de cómo ya no se recogen medidas específicas en niveles de seguridad, sino que cada responsable debe partir de una evaluación de riesgos. A continuación me referí a cómo, en determinados tratamientos de datos, se prevé que se deban realizar evaluaciones de impacto (las tan comentadas “PIAS”) y cual va a ser el papel de las autoridades de control, (ya que parece que la obligación de registrar ficheros se va a eliminar) en materia de autorizaciones en transferencias internacionales de datos y en materia materia de consultas previas, tras una evaluación de impacto en el que se detecte un riesgo específico. Por último y ya pasado de tiempo, hice mención al contundente régimen sancionador que recoge la Propuesta, que demuestra que la Comisión se ha tomado en serio la materia de Protección de Datos.

Por último, cerró la tanda de exposiciones de esta Sesión Francisco Pérez Bes, mostrando, en primer lugar una de las grandes novedades de la Propuesta de Reglamento: la privacidad desde el diseño y por defecto, o dicho de otra manera, que la protección de datos debe ser tenida en cuenta por los responsables a priori y no a posteriori, como lamentablemente sucede en bastantes ocasiones. También mostró a los asistentes la regulación de la transferencias internacionales de datos y que, aun cuando no existen grandes cambios conceptuales, sin que aparecen algunas novedades como la regulación de la normas corporativas vinculantes. Por último, se hizo mención también al llamado “one stop shop”  o cómo se han regulado determinados mecanismos de coherencia entre las autoridades de control.

Dado lo ajustado del tiempo, no hubo muchas preguntas de los asistentes, pero las que se plantearon hacía mención a la nueva regulación de la seguridad y la no existencia de medidas concretas, sino derivadas de una evaluación de riesgos. También algunos de los asistentes se mostraron “preocupados”, sobre todo en el sector de la PYME, por la más que probable eliminación de la obligación de la inscripción de ficheros, ya que si a día de hoy, en este sector la protección de datos es conocido por la actual obligación de inscripción de los ficheros.

Como conclusión, me gustaría añadir que, como siempre en este Foro, la Sesión fue interesante y, particularmente, creo que pudimos mostrar hacia donde se dirige la Protección de Datos en Europa. Ahora bien, no me gustaría acabar este pequeño resumen con unas reflexiones sobre la Propuesta de Reglamento: ¿Realmente es necesario un cambio tan profundo? Si nuestro Código Civil va camino de los 125 años (obviamente con adaptaciones en el tiempo), ¿porqué una norma tan específica, parece que apenas va a durar 20 años? ¿No hubiera sido mejor una adaptación de la normativa actual? ¿Supone esta Propuesta de Reglamento admitir que la actual normativa de protección de datos era inadecuada e insuficiente? Yo creo que la respuesta es clara: Si.

Gontzal Gallo

Especialista en Derecho de las TIC

Colegiado en el Ilustre Colegio de Abogados del Señorío de Vizcaya

Miembro de la Asociación de Expertos Nacionales de la Abogacía TIC (ENATIC)

gontzalgallo.com

Twitter: @gongaru

Linkedin: Gonzalo Gallo

Google+: +Gontzal Gallo


Utilización de Cookies

El autor del blog es un mero usuario de la Plataforma WordPress.com y no controla, ni gestiona las cookies que WordPress.com pudiera utilizar. En este sentido, Wordpress.com utiliza cookies para la prestación de servicios publicitarios, estadísticos y analíticos, con los que el autor del blog no posee ningún tipo de relación jurídica onerosa. Si continua navegando se entenderá que acepta el uso de cookies. Puede obtener más información en el aviso legal de privacidad y cookies del blog y en las Políticas de Privacidad de WordPress.com

Mis tweets

Licencia CC

Creative Commons

Safe Creative

Safe Creative

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.

Únete a otros 1.838 seguidores