07 OCTUBRE 2012 En este número: APEP Informa EDITORIAL PAGINA01 1. Editorial Ricard Martínez Martínez PAGINA02 2. Artículos. 2.1. Crónica del Congreso Amsterdam Privacy Conference (APC 2012), Octubre 2012. Mónica Vilasau Solana. 2.2. Minas de privacidad, el oro del siglo XXI. Javier Cao Avellaneda. 2.3. Posibles fórmulas de consentimiento para la publicidad comportamental. Paula Ortiz López 2.4. Nuevo modelo de Autorizacion de Transferencia Internacional de Datos de la AEPD en el marco de una subcontratacion de servicios a favor de global sales solutions line. Jorge Ferre Moltó PAGINA19 3. Jurisprudencia Audiencia Nacional. PAGINA21 4. Entrevista a Iñaki Pariente (Director de la AVPD) ¿El fin de la privacidad? Vivimos tiempos convulsos en los que la crisis golpea en todas partes sin distinción de tal modo que la reducción de la actividad económica resulta apreciable en todos los sectores sin excepción alguna. Por otra parte, las políticas de austeridad parece que van a determinar la desaparición de la Agencia de Protección de Datos de la Comunidad de Madrid que tanto y tan buen trabajo ha desarrollado. Al mismo tiempo y de modo regular se producen declaraciones de nuevos o viejos gurús de lo tecnológico que o perciben la privacidad como un mal que debe soportarse o directamente anuncian su muerte. Es este tiempo de desánimo y zozobra el que exige de todos nosotros fortaleza y determinación. Los tiempos de crisis pueden suponer también el momento de las oportunidades. Nuestro sector, pese a las dificultades ha nacido para perdurar. Todos los informes de la Unión Europea, y de distintos observatorios económicos en todo el mundo, ligan los nuevos modelos de crecimiento a un cóctel en el que las nuevas energías y las tecnologías de la información actuarán como motor de crecimiento. Ya en la actualidad constituciones, tratados internacionales y la legalidad nacional apuntan en la línea de considerar el derecho a la vida privada, el derecho a la intimidad o el derecho fundamental a la protección de datos como un bien esencial para el ser humano y la comunidad. Los procesos de reforma del Convenio 108/1981 del Consejo de Europa, la Propuesta de Reglamento General de Protección de Datos y la propuesta de un nuevo Consumer Privacy Bill of Rights por la Administración Obama confirman esta tendencia. El desarrollo armónico y sostenible de modelos de negocio basado en el uso intensivo de tecnologías de la información en un contexto de profundización en la Web 2.0 requiere de al menos tres elementos esenciales: seguridad, confianza y libertad. Con todos ellos se vincula nuestra actividad cotidiana. Los profesionales de la privacidad hacemos algo más que marcar crucecitas en formularios predefinidos de consultoría. Debemos ser conscientes de hasta qué punto la confianza de un cliente puede depender de una adecuada seguridad y privacidad. Debemos ser capaces de percibir que cuando asesoramos a un colegio hacemos algo más que ayudar a cumplir con una Ley. La nuestra es una noble tarea vinculada a la garantía de los derechos fundamentales y en esencia de nuestras libertades. Por eso, estos “Tiempos Difíciles” exigen de nosotros entereza, determinación y esfuerzo. 1 APEPINFORMA07 NÚMERO APEPINFORMA07 2. Artículos. 2.1 Crónica del Congreso Amsterdam Privacy Conference (APC 2012), Octubre 2012. Mònica Vilasau Solana Estudis de Dret i Ciència Política. Universitat Oberta de Catalunya Los días 7 al 10 de octubre tuvo lugar en Amsterdam una conferencia internacional sobre privacidad (APC 2012, http://www.apc2012.org/), organizada por la Amsterdam Platform for Privacy Research (APPR). Se trata de una iniciativa de la Universidad de Amsterdam, que integra investigadores de múltiples disciplinas como la Filosofía, el Derecho, la Economía, la Informática, las Ciencias Sociales, Médicas y de la Comunicación. APC 2012 reunió destacados expertos de distintas disciplinas que formularon, discutieron y procuraron dar respuesta a las desafiantes cuestiones y retos que presentan para la privacidad el cloud compitung, los teléfonos inteligentes, la vigilancia digital, los perfiles electrónicos, privacidad por diseño, la exigencia de seguridad, los archivos digitales o el marketing comportamental analizando también los intereses económicos que influyen en la regulación de la privacidad. Se contó con las conferencias magistrales de relevantes académicos y profesionales como Alessandro Acquisti (Carnegie Mellon University), Ross Anderson (Cambridge University), Peter Hustinx (EDPS), Helen Nissenbaum (New York University), Sandra Petronio (Indiana University) y Priscilla Regan (George Mason University). La profesora Nissenbaum reflexionó sobre la teoría de la privacidad como integridad contextual que 2 ella misma acuñó («Privacy as Contextual Integrity», Washington Law Review Vol 79, No. 1, February 2004: 119-158. http://www.nyu.edu/projects/ nissenbaum/papers/washingtonlawreview.pdf). Según esta teoría, para proteger adecuadamente la privacidad es preciso buscar y tener en cuenta las normas substantivas y adecuadas que están en la base de las distintas relaciones sociales que se establecen y que regulan los flujos de datos. Estas normas determinan qué información puede recabarse, sobre quién, por quién y bajo qué condiciones. Su teoría rechaza una conceptualización de la red como un único espacio comercial indiferenciado y se basa en una visión heterogénea donde la integridad de las relaciones sociales se sostiene mediante prácticas informativas adecuadas. También se comparó su teoría sobre la privacidad contextual con los principios de protección de datos que constituyen la base de la normativa europea. El profesor Acquisti presentó los resultados de la investigación relativa a privacidad en las redes sociales y la influencia que tiene la información que se proporciona a los usuarios de las redes en orden a la información que ellos mismos revelan. Contrariamente a lo que podría esperarse, el hecho de proporcionar mayor información y de forma más clara a los usuarios, no comporta que estos sean disuadidos de revelar menos información sobre ellos mismos on-line. Dicho autor puso de relieve las limitaciones de la transparencia y del control como mecanismos de protección de la privacidad. El profesor Anderson trató el aspecto de la privacidad relativo a la información médica y los retos y riesgos que supone la digitalización y centralización de las historias clínicas en grandes bancos de datos. Destacó que el Reino Unido, además, la La profesora Petronio presentó distintos contextos en que se desvela información y lo que estos tienen en común. Se analizó la relación entre el médicopaciente, las relaciones familiares y el contexto de un blog. Se reflexionó acerca de las razones que pueden motivar un sujeto a revelar información y proporcionar acceso a la misma así como las expectativas de privacidad que se generan en estos distintos entornos. Peter Hustinx hizo un repaso a las principales novedades introducidas en la Propuesta de Reglamento General de Protección de datos (PRGPD). (http://ec.europa.eu/justice/data-protection/index_ en.htm). El EDPS puso de relieve los principales ejes de la reforma: fortalecer las garantías del ciudadano, simplificación y reducción de costes para las empresas; mayor armonización y coordinación de la actuación de las autoridades de protección de datos y reforzar la exigencia de responsabilidades. En la medida que la Vice-Presidenta Reding tiene un gran interés en dotar a la UE de un nuevo marco de protección de datos, es probable que la PRGPD sea aprobada a finales del 2014. La profesora Reagan analizó cuál es la dinámica de la acción política y en concreto como interactuaban distintos factores en la discusión y posible adopción de distintas políticas relativas a la protección de la privacidad. Según dicha profesora, los factores que interactúan y deben tenerse en cuenta son las ideas/intereses en juego, los distintos sujetos implicados, cuál es la acción política y qué es lo que ha cambiado (si ha cambiado alguna cosa) en la regulación de una determinada materia. Estos aspectos fueron valorados en relación con la posible regulación de la identidad digital y la regulación de las historias clínicas. Estas reflexiones tuvieron lugar teniendo en cuenta el contexto americano y especialmente la Propuesta que en febrero de 2012 la administración de Obama presentó relativa a los derechos básicos de los consumidores en el uso de Internet (http://www. whitehouse.gov/sites/default/files/privacy-final. pdf). El Principio 3 de dicha Propuesta precisamente recoge la teoría de la profesora Nissenbaum. El Congreso giró alrededor de seis grandes ejes sobre los que se presentaron las comunicaciones. Uno de los temas fue el del valor comercial de la privacidad. Constituye una evidencia que la explotación de los datos personales se ha convertido en un negocio en sí mismo. En relación con este aspecto se analizaron distintos tipos de negocios y las distintas estrategias que existen detrás de los mismos. Se puso también de relieve como el consentimiento a veces no es más que una falacia y que la existencia de mayor información no comporta necesariamente que el sujeto tome decisiones mejor fundamentadas. Se analizó el uso de las cookies y la necesidad de que el usuario sea consciente de las mismas, con la incorporación de iconos que adviertan de su existencia. En el sector del márketing, la técnica del profiling se halla claramente en auge y la paradoja es que en estos casos no es preciso identificar a sujetos concretos, con lo que se pone en duda que se pueda hablar propiamente de datos de carácter personal. Así mismo se debatió hasta qué punto es adecuado dejar a la iniciativa privada la capacidad de negociar la privacidad o bien es imprescindible establecer un marco general protector. Se hizo referencia al distinto enfoque entre USA y la UE. Si bien alguno de los ponentes hizo referencia al hecho que con una excesiva regulación se puede caer en un paternalismo, también se subrayó que proporcionar una protección adecuada de la privacidad es una forma de garantizar las bases de una sociedad más democrática. Otra de las cuestiones tratadas fue la relativa a la privacidad y la salud. Es singularmente en el terreno de la medicina y de la investigación biomédica donde los ciudadanos son más conscientes de la necesidad de proteger su privacidad. La información relativa a la salud es la que plantea más interrogantes y mayores exigencias relativas a su intercambio y a una conservación y acceso adecuados. Actualmente es posible examinar todo el DNA de un sujeto en un plazo relativamente breve (semanas) y por un coste que se ha reducido notablemente. Se trata de una información muy sensible, en la medida que contiene información predictiva, sobre la futura salud de un sujeto. Sin embargo, para poder entender verdaderamente el 3 APEPINFORMA07 información sobre la salud es compartida por la sanidad y por los servicios sociales, lo que comporta que un elevado número de trabajadores pueda tener acceso a las historias clínicas. Insistió en que la centralización de la información médica, si bien se ha defendido como la opción para una gestión más eficaz, entraña grandes peligros y puede encubrir la decisión de ceder ingentes cantidades de datos a las empresas farmacéuticas y a los investigadores. Un Informe coordinado en 2009 por dicho profesor reveló como el 25% de las bases de datos del sector público incumplían la normativa de protección de datos y de protección de la privacidad. APEPINFORMA07 significado de los resultados es preciso contrastarlos a gran escala, lo que tiene importantísimas implicaciones para la privacidad. Se recordó que la información obtenida puede tener consecuencias para la familia del sujeto sometido al estudio. Otro aspecto al que se prestó atención fue el relativo a los denominados hallazgos no deseados, lo que exige estudiar y regular también el denominado derecho a no saber. El tercer bloque temático fue dedicado a la privacidad en la sociedad de la información, partiendo de la premisa de que las sociedades democráticas dependen y tienen un deber de hacer pública la información. Dicho proceso ha sufrido cambios muy importantes como consecuencia de Internet. En este nuevo contexto se analizaron cuestiones trascendentales respecto de la transparencia, en relación con el e-government y la reutilización de la información del sector público, las redes sociales, la identidad digital y el acceso a la información. En este bloque temático también se dedicó un panel completo al derecho al olvido. El cuarto gran foco de debate fue el de la privacidad y la seguridad. La privacidad se halla constantemente amenazada por una continua demanda de seguridad. Se abordaron aspectos relativos a la vigilancia creciente, la retención de datos, los controles fronterizos y la privatización de la seguridad. En cuanto a este último aspecto, se plantearon interrogantes en relación con la implicación de actores privados en la creación de grandes bancos de datos y el análisis de los mismos. Otro aspecto que se puso sobre la mesa fue las denominadas medidas anticipatorias de seguridad y los riesgos que las mismas comportan. El quinto aspecto analizado fueron las interacciones entre la privacidad y la tecnología. La privacidad puede protegerse mediante distintos mecanismos como la privacy by design o los privacy impact assessment y muchos otros relacionados con el diseño de aplicaciones. En cualquier caso es importante tener siempre en cuenta que la tecnología no es neutra, y que debe llevarse a cabo un debate democrático acerca de cuáles son las medidas tecnológicas más adecuadas. También debe ponerse el acento en que efectivamente es posible, desde una perspectiva tecnológica, adoptar medidas que garanticen una mayor privacidad. Se trata pues de conocerlas, potenciarlas e implementarlas teniendo en cuenta todo el contexto en que se trata la información. Sin embargo, no deben descargarse todas las esperanzas y las posibilidades de pro4 tección de la privacidad en la adopción de medidas tecnológicas. Finalmente, otro de los bloques temáticos tratados se dedicó a a reflexionar sobre el valor, significado y principios de la privacidad. Se analizaron aspectos como el valor de la privacidad y sus interacciones con la autonomía privada y la libertad. Estas cuestiones se hallan constantemente a debate y presentan interrogantes acerca de su universalidad, subjetividad y contextualidad. Los distintos análisis propuestos tuvieron en cuenta perspectivas interdisciplinares, relacionando las disciplinas filosóficas, psicológicas, sociológicas y antropológicas. Junto a estos principales temas, también se dedicó una sesión a analizar de forma más específica la Propuesta de Reglamento General de Protección de Datos. Se destacó, entre otros aspectos, como pese a que tanto la Directiva de Protección de Datos como dicha propuesta contemplan el consentimiento como un mecanismo clave que permite el tratamiento de datos, en la práctica el papel que se deja al consentimiento es bastante residual. Así mismo, la exigencia de que el consentimiento sea libre e informado, en ocasiones no deja de ser una quimera. En el caso de un sujeto que accede a una red social o bien que necesita proporcionar una serie de datos para acceder a un determinado servicio que de otro modo no puede obtener ¿puede predicarse la existencia de un consentimiento verdaderamente libre? En la medida en que en muchas de las relaciones de intercambios de datos no existe un consentimiento verdaderamente libre, ¿debería por ello considerarse nulo el consentimiento otorgado? En cuanto a las posibilidades de solucionar estos interrogantes se plantea por un lado la aplicación de las normas de defensa de los consumidores en el contexto de la recogida de datos. Otra opción es admitir claramente que la privacidad es un bien más que entra en el mercado de modo que se establezca un precio adecuado por ella. En el marco del Congreso también tuvieron lugar dos workshops: Uno de ellos dedicados al valor económico de la información personal; y el otro dedicado a la privacidad y anonimato. Asimismo también tuvo lugar una sesión especial que presentó las interacciones entre la privacidad y el arte: The Art of Privacy. En conclusión: La valoración general del Congreso Como sucede en muchos Congresos, son más los interrogantes y cuestiones que se plantean que las soluciones a las que se puede llegar, pero en todo caso es fundamental que se ofrezcan espacios de debate y reflexión, aún más teniendo en cuenta el proceso de discusión de la normativa que constituirá la columna vertebral del tratamiento de la información en la UE, la Propuesta de Reglamento General de Protección de Datos. 2.2. Minas de Privacidad, El Oro del siglo XXI Javier Cao Avellaneda. Ingeniero en Informática y Consultor en seguridad de la información @javiercao La involución de las especies: cuando el hombre se transformó en caracol digital. Que Internet esta cambiando el mundo es una obviedad. Sin embargo, muchas veces la velocidad con la que se producen nuevas aplicaciones, servicios y usos de la tecnología no nos permiten meditar de forma serena sobre que importancia tienen los nuevos hábitos que vamos adquiriendo en nuestro día a día y cómo esto altera las rutinas de nuestra sociedad. Si la historia universal está segmentada por cambios significativos que han modificado a la cultura o la sociedad, quizás estemos ahora en el fin de la edad contemporánea e iniciando la edad de la información. Ejemplo de todo ello es la explosión global que se ha producido en estos últimos años respecto a la información generada por el ser humano. Desde la invención de los soportes digitales para el almacenamiento y la incorporación de dispositivos móviles como portátiles, tabletas y teléfonos inteligentes, el ser humano es capaz de generar, según IBM1, más de 2.5 quintillones de bytes al día, hasta el punto de que el 90% de los datos del 1. Fuente: http://www-01.ibm.com/software/data/bigdata/ mundo han sido creados durante los últimos dos años. Según los estudios de diversos analistas en el año 2020 habrá 31.000 millones de dispositivos conectados, 50.000 millones de gigabytes de datos y 4.000 millones de usuarios de Internet. Ya se generan más 230 millones de tweets al día y se suben más de 100 Terabytes de información a Facebook. Quizás tenga que pasar algún tiempo antes de que seamos capaces de valorar que Internet produjo un antes y un después en la historia universal del ser humano. Sin embargo, hablamos de información como término general siendo importante destacar que según el nivel de abstracción al que nos estemos refiriendo, se pueden distinguir entre dato, información y conocimiento dado que tienen importancias diferentes y es muy relevante tener claro esta segmentación de conceptos. Si en la sociedad industrializada las materias primas eran transformadas en productos que a su vez producían valor y dinero, en las industrias de la información son los datos los responsables de generar este valor que posteriormente se monetiza y transforma en dinero. En estos nuevos modelos de negocio, los datos son un activo en el mismo sentido que las materias primas, y pueden convertirse en valor para la compañía. Tal como describe Josep Curto, el “ciclo de vida de la información” se orienta a la generación de valor en base al procesado y transformación de datos. Esta es la razón de ser de empresas como Google, Facebook, Amazon, etc. Para entender la relación entre dato, información y conocimiento he recurrido al ejemplo que expone el blog http://newisrafm. blogspot.com.es/2. • Datos: es la unidad básica de semántica. Los datos pueden ser una colección de hechos almacenados en algún lugar físico como un papel, un dispositivo electrónico (cd, dvd, disco duro...), o la mente de una persona. En este sentido las tecnologías de la información han aportado mucho a recopilación de datos. Podemos decir por ejemplo que 5000 es un dato, en la medida que sabemos que es un número. • Información: es el siguiente escalón de significado y se puede definir como un conjunto de datos procesados y que tienen un significado (relevancia, propósito y contexto), y que por lo 2. Definición de dato, información y conocimiento en http:// newisrafm.blogspot.com.es/2009/12/que-es-businessintelligence.html 5 APEPINFORMA07 es muy positiva, tanto por la calidad de los ponentes invitados como por las comunicaciones presentadas. Asimismo debe subrayarse la perfecta organización, teniendo en cuenta que en muchas franjas horarias tenían lugar seis paneles al mismo tiempo. APEPINFORMA07 tanto son de utilidad. Para generar información es necesario que intervenga un contexto, cierto tratamiento de datos y como resultado cierto valor o utilidad. Así, el 5000 de antes, se convierte en información cuando lo contextualizamos diciendo que son €, número de personas o incrementos en la cotización bursátil. • Conocimiento: es el nivel más alto con significado. Es una mezcla de experiencia, valores, información que sirve como marco para la incorporación de nuevas experiencias e información, y es útil para la acción. Se origina y aplica en la mente de sus conocedores. En las organizaciones con frecuencia no sólo se encuentra dentro de documentos o almacenes de datos, sino que también esta en rutinas organizativas, procesos, prácticas, y normas. Siguiendo con el ejemplo anterior, la información de 5000€ se convierte en conocimiento cuando respondemos a la pregunta qué tal va mi negocio diciendo pues bien porque los años anteriores (experiencia) hicimos la misma caja pero ahora estamos en crisis (relación creativa con otras fuentes de información). Hechas estas aclaraciones previas vamos a contextualizar todo esto al mundo de la privacidad. Las personas seguimos creyendo que suministramos algunos datos cuando completamos formularios de recogida que nos solicitan las empresas. Muchas veces podemos ser conscientes de qué aspectos de nuestra vida estamos compartiendo o qué información puede ser obtenida al procesar los datos suministrados. Por ejemplo, cuando en una promoción suministramos nombres, apellidos, dirección y teléfono de contacto para participar en un sorteo, estamos revelando los datos necesarios para permitir nuestra localización en caso de ser premiados y como mucho, permitiendo el envío de publicidad a nuestro domicilio con los artículos de la empresa o grupos de empresas a las que hemos consentido el tratamiento de esta información. Podemos decir que nuestra privacidad se ve mínimamente invadida y somos conscientes en todo momento de ello. Sin embargo a veces no es tan intuitivo y sencillo ver que tras ciertos datos aportamos más información de la que en primera instancia podemos ser conscientes que estamos suministrando. Veámoslo con un sencillo ejemplo bajo el supuesto de usar una aplicación de fotografía que ha tenido mucho éxito en el mundo de los Smartphone como puede ser Instagram (Compañía recientemente comprada por Facebook por mil millones de dólares). Los dispositivos móviles como origen de datos 6 permiten la captura de imágenes, sonidos, texto y aportan como datos complementarios la fecha y hora en el que estos se producen y cuando se tiene activa, la geoposición. Estos datos complementarios o meta-datos pueden aportar mucho valor a la hora de procesar información de usuarios finales. Para verlo más claro, volvamos a la segmentación de los conceptos dato, información y conocimiento sobre el ejemplo de usar esta aplicación. • Datos: imagen capturada por el dispositivo móvil con la fotografía procesada por la aplicación Instagram. • Información: a dicha foto se le añade un contexto que puede ser el momento en el tiempo en el que se realiza, la geoposición donde ha sido tomada y el nombre del usurario registrado en Instagram que sube al portal la foto. Incluso si la geoposición no se proporciona, servicios como Google Goggles3 son capaces de procesar la información e inferir de ella de qué puede tratarse (ya sea un texto, un paisaje, un cuadro, etc.) • Conocimiento: si empezamos a pensar en procesar de forma aislada todos los datos de un usuario podemos lograr correlacionar diferentes informaciones que pudieran servir para conocer mucho más a esa persona. Para ello, sobre la información original debieran hacerse una serie de cálculos y tratamientos que nos permitirán inferir más información y por tanto, alcanzar cierto nivel de conocimiento sobre dicho usuario. Son viables y posibles razonamientos del siguiente estilo: - Calcular las distancias entre las posiciones de las distintas fotos para averiguar el número de kilómetros que recorre este usuario y con qué diferencia de tiempo. Si por ejemplo toma fotos en New York el lunes, en Roma el miércoles, en Londres el jueves, etc… de forma continua podríamos suponer que se trata de una persona que viaja continuamente y además lo hace por grandes ciudades. - Si disponemos de una importante base de datos complementaria que nos indiquen las zonas comerciales más exclusivas de cada ciudad y cotejamos si las geoposiciones de dichas fotos se encuentran en estas áreas, podríamos empezar a deducir que se trata de una persona con un poder adquisitivo alto. 3. Sitio Web de Google Goggles http://www.google.com/ mobile/goggles/ Este ejemplo puede servir para demostrar que además de los simples datos que creemos suministrar, pueden existir otros datos “obtenibles” o “deducibles” del contexto en el que se produce la generación de dichos datos o de la forma en la que éstos se generan. Estos nuevos datos pueden ser casi más relevantes o interesantes para la empresa que los recoge que los directamente suministrados, que simplemente hacen de materia prima para ser posteriormente transformados en elementos de valor. Y es en estos casos donde a priori es complejo conocer en qué medida se va a ver invadida nuestra privacidad. Valgan como muestra los diferentes casos donde personas han sido despedidas por colgar fotos en Facebook, por realizar ciertos comentarios en Twitter, etc. Hasta hace unos años, muchas de estas operaciones no eran viables o suponían un coste computacional inmenso. Sin embargo, como el interés de las empresas era muy alto, se empezaron a diseñar tecnologías denominadas de “minería de datos” 4(en inglés “data mining” o “data wharehouse”) que orientadas a mejorar los resultados de negocio fueron denominadas Business Inteligence. Todas estas tecnologías se aplicaban sobre las bases de datos que las organizaciones poseen y que son fruto de años de recolección de datos de sus clientes y de los resultados de las relaciones que mantienen con estos. Estos procesos son los que sirven para aportar valor y completar así el ciclo de vida de la información. La llegada de las redes sociales ha producido un cambio importante en toda esta filosofía empresarial. Ha sido necesario crear nuevos modelos de procesamiento de información basados en datos no estructurados que permitan el procesamiento de ingentes cantidades de información que no han sido modeladas bajo relaciones entre tablas de una base de datos. Bajo el término “Big data” se alude a un conjunto de datos cuyo tamaño está más allá de la capacidad de la mayoría de los software utilizados para capturar, gestionar y procesar la información dentro de un intervalo de tiempo to4. Definición en Wikipedia de minería de datos es.wikipedia.org/wiki/Miner%C3%ADa_de_datos http:// lerable. Algunos de estos datos podrían ser ajenos a muchas organizaciones, procedentes de los sensores, dispositivos de terceros, aplicaciones web o redes sociales que generan una devolución incesante en tiempo real. Todo esto junto representa el “Big Data” que no se trata sólo a volúmenes de datos enormes, sino que también cuenta con una extraordinaria diversidad de tipos de datos, entregados a diferentes velocidades y frecuencias. Una vez se ha logrado destilar esa ingente masa de registros inconexos, de lo que se trata es de establecer patrones de comportamiento para poder predecir hábitos de consumo o posibles comportamientos que sirvan para tomar decisiones, como por ejemplo, realizar lo que denomino como “marketing predictivo”. Como resultado del “Big data”, la recogida de forma masiva de información sobre el usuario que se puede realizar y el adecuado filtrado y procesado de esa ingente masa de registros inconexos pueden permitir establecer patrones de comportamiento para poder predecir hábitos de consumo o posibles comportamientos que nos dirigirán en el mundo de la mercadotecnia hacia lo que yo denomino el “marketing proactivo”. En nativos digitales que han ido dejando rastro de gustos desde menores de edad, la polarización de gustos, tendencias, aficiones y “sentimientos” permitirá conocer aspectos nuevos del potencial consumidor. También en este sentido se están desarrollando tecnologías para la identificación de emociones por parte de los aparatos domésticos de forma que reconozcan el estado de ánimo para ofrecer o presentar servicios. Las empresas podrán anticiparse a los posibles deseos del consumidor y seleccionar potenciales productos que al usuario puedan interesar garantizando la materialización de esa compra potencial. La mayor parte de esta información puede obtenerse desde los buscadores, ya que lo que el consumidor investiga en la red suele estar orientado a potenciales compras. Esta misma información procesada por agentes del mundo del marketing puede servir para vender a los proveedores finales de productos perfiles de clientes casi convencidos. También permitirá a las empresas incrementar sus beneficios al poder clasificar mejor a sus clientes en los diferentes grupos o perfiles de compra estableciendo para cada uno de ellos un rango de precios que maximice sus beneficios. Un producto se estratifica por perfiles de clientes asignando diferentes precios a cada uno de estos perfiles. Identificar al potencial consumidor en el grupo correcto permite lanzar 7 APEPINFORMA07 - Si además consultamos si dicho usuario dispone de cuentas en Linkedin, Facebook, Tuenti, … y analizamos con qué personas se relaciona, se podría perfectamente localizar el sector al que pertenece y deducir de ello también su poder adquisitivo. APEPINFORMA07 promociones y ofertas de productos conociendo de antemano que ese cliente potencial aceptará esos precios y evitando que pueda adquirir esos productos en rangos de menor cuantía. Tal como se ha expuesto, es complejo que la actividad diaria de una persona conectada a Internet no deje rastro visible que no sea posible posteriormente procesar y por tanto, nos hemos convertido en caracoles digitales que vamos dejando pistas de qué consultamos, qué visitamos, qué hacemos y en algunos casos, de qué sentimos. Y todos estos datos se centran en aspectos relacionados con las personas como potenciales compradores, como sujetos con poder adquisitivo al que hay que tratar de convencer para que adquieran productos o servicios. Y para ello la mejor forma de hacerlo es tratando de conocer al máximo posible al sujeto en cuestión analizando en la medida de lo posible y sometidos siempre a las restricciones de la legislación vigente en materia de protección de datos de carácter personal, los aspectos más relevantes que puedan servir para garantizar el éxito de la venta. Por tanto, explorar y profundizar en las minas de la privacidad es para muchas empresas, el nuevo oro del siglo XXI. La tentación de lo gratuito: cómo la planta carnívora atrapa al insecto y recopila sus datos. Para que todo lo anterior sea posible es necesario un cómplice, el afectado o persona física que suministra los datos. Es más, no es necesario una persona sino miles, cuantos más mejor de forma que el volumen de datos en posesión de la empresa sea lo suficientemente importante como para ser atractivo para los tiburones del mercado de la publicidad. ¿Y cómo logran atraer a sus víctimas para que proporcionen datos? De forma sencilla, mediante aplicaciones atractivas e interesantes que aportan valor a la persona que las utiliza sin pedir contraprestación económica a cambio. Hasta la fecha estábamos acostumbrados a pagar con dinero por usar aplicaciones software o servicios en la red que eran proporcionados por empresas cuyas fuentes de ingresos eran precisamente las licencias de esos productos. Sin embargo y gracias al mundo de la publicidad, una nueva estrategia ha sido posible, las “aplicaciones freemium”. Son servicios o aplicaciones “gratuitas” que podemos usar a nuestro antojo aunque habitualmente suponen el registro en la empresa que proporciona el producto. Si tiramos del diccionario, se obtiene que el significado de “gratuito” es el siguiente: 8 Gratis • adv. Sin pagar o sin cobrar dinero: entrar gratis al cine. • adj. Que no cuesta dinero: entradas de cine gratis. gratuito. ¿Es gratis un adjetivo adecuado en nuestro tiempo? ¿Cómo se describen los servicios que tienen una contraprestación en información a cambio de su uso? Los modelos de negocio de “lo gratuito” están basados ya no en intercambios monetarios por servicios sino en remuneración en información. Es similar al objetivo de las tarjetas de fidelización de toda gran superficie que cambia puntos o descuentos por registrar nuestras compras. No le damos importancia y no podemos estimar quizás su valor, pero seguro que detrás hay mucho dinero contante y sonante porque el mundo de la publicidad online se mueve cada vez más rápido y las empresas están deseosas de conocer al máximo a sus potenciales clientes para adecuar mejor sus precios o servicios y seguramente como consumidores somos más predecibles de lo que nos creemos. Para que el modelo “freemium” funcione, es necesario seducir al mayor número de usuarios posibles dado que el valor de la compañía se estima de esta forma. En el caso de Instagram, se trata de una red social basada en la fotografía. Los usuarios pueden crear cuentas allí y subir las imágenes que describan sus actividades, intereses o inquietudes. Sus mentores definen el servicio como “una bonita manera de compartir el mundo”. Como uno de sus principales atractivos, Instagram se destaca por ofrecer una amplia variedad de filtros automáticos que permiten cambiar totalmente la estética de las instantáneas lo que ha cautivado a miles de usuarios, anónimos y famosos que han hecho popular dicha herramienta. Su éxito se basa en la mezcla de ser una aplicación de retoque fotográfico y a la vez una red social que permite marcar o indicar “me gusta” en los resultados. Cuenta con más de 80 millones de usuarios registrados y en su política de privacidad5 se pone de manifiesto cual es el su modelo de negocio. Tal como cuenta el artículo “Nuestros datos personales son el nuevo petróleo6” en la Web de la BBC, “Muchos usuarios no hemos caído del guin5. Política de privacidad de Instagram consultable en http://instagram.com/about/legal/privacy/ 6. Fuente: http://www.bbc.co.uk/mundo/ noticias/2012/04/120416_tecnologia_datos_personales_ petroleo_aa.shtml Regulaciones de privacidad, las únicas barreras al expolio del tesoro. Tal como se ha podido ver hasta el momento, se plantean en el escenario económico actual nuevos modelos de negocio basados en el tratamiento de información que son una importante industria en el mundo de las tecnologías de la información. Nuevas empresas de relativa juventud (todas creadas en las década de los 90) que han crecido de forma exponencial hasta ser grandes multinacionales que ostentan posiciones de casi completo monopolio en la economía de Internet (como puede ser el caso de Google en el mercado de la publicidad online). Sin embargo, en estas nuevas tierras del Salvaje Oeste existen también restricciones amparadas al menos en el marco europeo por la Directiva de Protección de Datos. Para las grandes empresas americanas esta directiva y sus correspondientes leyes estatales y desarrollos reglamentarios no son sino escollos o barreras que impiden saciar su inmensa voracidad de información. Sin embargo, los temas de cumplimiento legal pesan cada vez más e incluso en el mercado americano, las demandas sufridas por violaciones de la privacidad han supuesto un toque de atención. La reciente sentencia de la Comisión Federal de Comercio estadounidense (FTC) al condenar a Google a pagar una multa de $22,5 millones (aproximadamente 18 millones de euros) ha llevado a éstos a contratar un equipo de “ingenieros de privacidad” (Privacy Red Team) que ayudarán a Google a asegurar que sus productos son diseñados y garantizan el cumplimiento de la regulación en materia de privacidad. Curiosa la manera que tiene de entender el “Don’t be evil” si han tenido que pasar unos años para que se acuerden de la privacidad. Esta claro que se está produciendo un choque de trenes entre el poder de la industria de Internet y la legislación europea tendrán como campo de batalla la privacidad. Ajustar o limitar el qué se puede hacer y sobre todo, amparar a los afectados para que al menos ciertos derechos en la materia sean respetados son el reto del nuevo reglamento europeo. Y para terminar, a todos nosotros que somos profesionales relacionados de alguna manera con la privacidad nos toca otra misión que cumplir: hacer entender y evangelizar sobre qué importancia tiene este concepto y cómo condiciona nuestras vidas. Quiero a colación extractar una de las reflexiones que más de impactaron del libro Parque Jurásico donde se planteaba entre otras cosas el poder de la ciencia. A continuación podéis leer el párrafo en cuestión donde el matemático del Caos, Malcolm comenta con el dueño del Parque, Hammond por qué la naturaleza no puede ser controlada y cómo había sobredimensionado el poder de la ciencia: “—¿Sabe qué es lo que tiene de malo el poder de la ciencia? —prosiguió—. Que es una forma de riqueza heredada. Y ya sabe usted cuan imbécil es la gente congénitamente rica. Nunca falla. —¿De qué está hablando? —preguntó Hammond. Harding hizo un gesto, indicando delirio. Malcolm le lanzó una mirada. —Le diré de qué estoy hablando —contestó—: La mayor parte de las distintas clases de poder exigen un gran sacrificio por parte de quien quiera tener ese poder. Hay un aprendizaje, una disciplina que dura años. Cualquiera que sea la clase de poder que se busque. Presidente de la compañía. Cinturón negro de karate. Gurú espiritual. Atleta profesional. Sea lo que sea lo que se persiga, hay que ponerlo en el tiempo, en la práctica, en el esfuerzo, hay que sacrificar muchas cosas para lograrlo. Tiene que ser muy importante para uno. Y, una vez que se alcanza, es el poder de uno mismo; no se puede delegar: reside en uno. Es, literalmente, resultado de nuestra disciplina. Ahora bien: lo interesante de este proceso es que, en el momento en que alguien adquirió la capacidad de matar con sus manos, también maduró hasta el punto en que sabía cómo utilizar ese poder. No lo utilizaría de manera imprudente. Así que esa clase de poder lleva una especie de control incorporado: la disciplina de conseguir el poder cambia a la persona, de manera que esa persona no hace mal uso de su poder. Pero el poder científico es como la riqueza heredada: se obtiene sin disciplina. Una persona lee lo que otras hicieron, y 9 APEPINFORMA07 do, no somos conscientes de cuánto valen nuestros datos y por ello internet estaría funcionando con una estructura feudal: los usuarios generamos riqueza a cambio del uso de la “tierra” de Internet mientras los monarcas Facebook, Google o Microsoft se reparten el botín. En cifras, ¿Cuánto valen nuestros datos? Según emarketer, webpronews y el blog tecnológico Techcrunch, sólo con los ingresos por publicidad Facebook habría ganado US$1.860 millones en 2010, liderando una lista seguida por YouTube con US$945 millones, Myspace con US$388, LInkendin con US$243 y los US$45 de Twitter.” APEPINFORMA07 da el paso siguiente. Puede darlo siendo muy joven. Se puede progresar muy de prisa. No hay una disciplina que dure muchas décadas. No hay enseñanza impartida por unos maestros: se pasa por alto a los viejos científicos. No hay humildad ante la Naturaleza. Sólo existe la filosofía de hacerse-rico-pronto, hacerse-unhombre-rápido. Engañar, mentir, falsificar, no importa. Ni para uno ni para sus colegas. Nadie nos critica: nadie tiene pautas. Todos intentan hacer lo mismo: hacer algo grande, y hacerlo rápido. Y, como uno se puede levantar sobre los hombros de los gigantes, se puede lograr algo con rapidez. Uno ni siquiera sabe con exactitud qué ha hecho, pero ya informó sobre ello, lo patentó y lo vendió. Y el comprador tendrá aún menos disciplina que el científico: el comprador simplemente adquiere el poder, como si fuera cualquier bien de consumo. El comprador ni siquiera concibe que pueda ser necesaria disciplina alguna. Un maestro de karate no mata gente con las manos desnudas; no pierde los estribos y mata a su esposa. La persona que mata es la que no tiene disciplina, no tiene restricciones, y que salió y adquirió su poder como una dosis de droga. Y ésa es la clase de poder que la ciencia fomenta y permite.” La privacidad es un bien de siglos que nos ha costado conseguir establecer. Sin embargo para los nuevos nativos digitales es un bien heredado que quizás no sepan valorar en su justa medida. A ello se suma que Internet está plagado de plantas carnívoras de privacidad que se disfrazan de forma atractiva para atrapar los datos de usuarios que sin reflexionar demasiado, contemplan que el uso de las aplicaciones merece el sacrificio de la privacidad cedida. Y dado que a priori estas cesiones de intimidad no tienen consecuencias tangibles ni claramente visibles, vamos asumiendo día a día que nuestros datos no valen nada aunque miles de ellos estén haciendo ricos a los creadores de las empresas de estos servicios. A los profesionales de la privacidad nos toca por tanto concienciar a las nuevas generaciones en el uso consciente y controlado de estas nuevas tecnologías y educar a la ciudadanía sobre qué es la privacidad y qué esconden los bonitos neones de los servicios gratuitos en Internet. Con conocimiento y conciencia de lo que uno hace, ya que sea cada cual libremente el que decida lo que más le conviene pero al menos, desde una posición informada y consciente. La industria tecnológica tiene claro que cuantos 10 más datos sea capaz de recoger, más información y conocimiento será producido incrementándose así su valor económico. Y esta voracidad depredadora no tiene límite, esta riqueza heredada no tiene mecanismos de control incorporados. Se empezaron recogiendo datos personales para la notificación postal y las gestiones comerciales, se evolucionó hacia el mundo de las redes sociales donde se recopilan datos sobre gustos y aficiones y el siguiente salto serán captar las emociones. Ya existen diseños de concepto como el “empathy model” de Blackberry7 que incorpora un sensor en forma de anillo para recoger mediciones del estado de algunos de nuestros parámetros biométricos y poder deducir así nuestro estado emocional. Cada uno de estos tipos de información supone cruzar una de las barreras protectoras de la privacidad y sabemos que la industria no tendrá límites mientras sea capaz de crear productos atractivos y vendibles. Nuestra única esperanza es una legislación restrictiva que determine las fronteras que no se pueden cruzar. Cuando en la LOPD se introdujo dentro de los derechos del afectado el Artículo 13, Impugnación de valoraciones, quizás los legisladores no tuvieran en mente que las tecnologías del “Big data” pudieran llegar tan lejos. Al releer el apartado 2 del artículo 13, “2. El afectado podrá impugnar los actos administrativos o decisiones privadas que impliquen una valoración de su comportamiento, cuyo único fundamento sea un tratamiento de datos de carácter personal que ofrezca una definición de sus características o personalidad” me vienen ahora en este nuevo contexto un sinfín de posibles situaciones donde podría ser de aplicación como por ejemplo, decisiones de selección de personal basadas en el análisis de rastros a través de redes sociales. La privacidad por tanto es un elemento molesto que a vista de muchos sectores puede entorpecer o dificultar el desarrollo de estos nuevos modelos de negocio. Los profesionales de la privacidad además sufrimos una lacra interna que mercantiliza los servicios de asesoramiento en la materia a “coste cero”. En todo este contexto, la privacidad seguramente va a sufrir continuas lesiones y los gremios de poder van a intentar reducir a la mínima expresión su significado. Los profesionales de 7. Información sobre el diseño conceptual del anillo de emociones Blackberry http://www.concept-phones.com/coolconcepts/blackberry-empathy-phone-mood-ring-flexible-oleddisplay/ 2.3. Posibles fórmulas de consentimiento para la pubicidad comportamental Paula Ortiz López. Directora Jurídica y de relaciones institutcionales de IAB Spain 1. Introducción La publicidad ha estado históricamente aparejada al comercio y, desde que existen productos, han existido unas y otras formas de comunicar la existencia de los mismos. Desde que en Egipto se aprovechara un papiro en el que se denunciaba un esclavo huído para anunciar los maravillosos tejidos de los que disponía el dueño del pobre fugado, y con los que recompensaría a quien le encontrara, hasta el día de hoy, muchas han sido las técnicas publicitarias. Con la aparición de Internet, la industria de la publicidad, como sector siempre en movimiento y en la vanguardia, ha dirigido su modelo de negocio hacia el entorno online, donde la publicidad es más precisa y más relevante para el usuario que nunca. Hoy en día la publicidad en los medios digitales permite a los anunciantes llegar a los usuarios mediante anuncios o comunicaciones comerciales que son relevantes para ellos. No ha de olvidarse, además, que la publicidad en estos medios es uno de los motores de crecimiento de la economía en España y en Europa8 y que esta sustenta el uso gratuito de los servicios de la sociedad de la información por parte de los usuarios, financiándolo en gran medida tanto desde el punto de vista técnico como humano. Es por tanto una valiosísima herramienta cuyo funcionamiento puede diferir ligeramente de unos proveedores de pu8. El informe Adex Benchmark sobre la inversión en publicidad online en 2011 refleja el mercado español de publicidad online se situó en 925 millones de euros. A nivel europeo, cruzó los 20,9 billones de euros en 2011, frente a 18,3 billones de euros en el año anterior. De esta manera, Internet contribuye actualmente en un 3,8% al PIB de la UE. Estudio disponible en: http://www.iabspain.net/wp-content/ plugins/download-monitor/download.php?id=102 blicidad a otros, pero cuya utilidad para el consumidor es indudable. El Informe de recomendaciones del Grupo de Expertos de Alto Nivel para la Agenda Digital para España9, reconoce la importancia de la publicidad digital en los siguientes términos “El desarrollo de una regulación que limite la efectividad de la publicidad online, ya sea por unos requisitos muy estrictos de consentimiento o por la limitación de la capacidad de generación de perfiles a partir del procesado de los datos, podrá tener un impacto negativo sobre el consumo, sobre la sostenibilidad de los modelos de negocio actuales de prestación gratuita de servicios y sobre la capacidad de innovación en Internet”. Como ya es sabido, esta publicidad online se lleva a cabo a través de la utilización de cookies10, que se instalan en el terminal del usuario para recopilar datos online del comportamiento en la Web con el fin de utilizar estos datos para predecir preferencias o intereses y ofrecer publicidad a ese equipo o dispositivo. El citado informe también se refiere a la problemática del consentimiento para la instalación de las cookies en los terminales: “El procesado y almacenamiento de los datos personales se ha situado como una variable estratégica para la mayoría de agentes de la economía digital, y su desarrollo requerirá de la existencia de un marco regulatorio flexible, que no imponga costes ni obligaciones adicionales y que fomente la competencia, la transparencia y el control por parte de los usuarios sobre el uso de sus datos personales”. En el presente artículo se proponen una serie de soluciones para la gestión del consentimiento de las cookies. Por la limitación de espacio, no nos detendremos en el análisis de las excepciones al consentimiento11, o las sanciones que puede con9. Disponible en http://www.ontsi.red.es/ontsi/sites/default/ files/informe-recomendaciones-ade.pdf 10. Cookie: Cualquier tipo de archivo o dispositivo que se descarga en un equipo terminal de los destinatarios con la finalidad de almacenar y recuperar datos del equipo desde el que accede el usuario al servicio. Las cookies se pueden diferenciar según su finalidad (técnicas, de funcionalidad, de análisis, de publicidad), según quien las instale (propias y de terceros) y según el plazo que permanecen instaladas en el terminal (de sesión y permanentes). En el artículo sólo nos referiremos a las cookies de publicidad. Para una mayor información sobre las tipologías de cookies, puede consultarse, entre otros el documento “ICC UK Cookie guide”- Abril 2012- http://www. international-chamber.co.uk/components/com_wordpress/wp/ wp-content/uploads/2012/04/icc_uk_cookie_guide.pdf 11. Puede consultarse el Dictamen 4/2012 del GT 29 sobre las excepciones al consentimiento para las cookies http://ec.europa. eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2012/wp194_en.pdf 11 APEPINFORMA07 la privacidad no debemos desanimarnos por todas estas circunstancias y no debemos olvidar cual es nuestro papel en esta nueva sociedad. Recordar nuestra misión ha sido al menos el propósito de este texto. APEPINFORMA07 llevar el incumplimiento de la LSSI, en tanto en cuanto en la actualidad no está clara la tipificación de la infracción en esta ley. 2. Marco Legal Con la aprobación de la Directiva 2009/136/CE, que modifica, entre otras, la Directiva 2002/58/CE de privacidad en las telecomunicaciones, se introduce un cambio en el rol del usuario de Internet a la hora de prestar el consentimiento para la instalación de cookies en su terminal. Esta directiva supedita la instalación de estos dispositivos a que el usuario haya dado su consentimiento después de que se le haya facilitado información clara y completa12. En la parte interpretativa de la directiva, sin embargo, se matiza que debe facilitarse al usuario información y un derecho de negativa por el método más sencillo y que, cuando sea técnicamente posible y eficaz, y de conformidad con las disposiciones pertinentes de la Directiva 95/46/CE, el consentimiento del usuario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otra aplicación. Las diferencias en la interpretación de la norma13 llevaron por un lado al Grupo de Trabajo del Artículo 29 (en adelante GT 29) a aprobar un Dictamen en el que se analizaban las diferentes opciones para prestar ese consentimiento14. Por otro, a la industria publicitaria, reunida en el Interactive Advertising Bureau y la European Advertisng Standard Alliance, a elaborar un Código 12. Artículo 5.3 Directiva 2009/136/CE “Los Estados miembros velarán por que únicamente se permita el almacenamiento de información, o la obtención de acceso a la información ya almacenada, en el equipo terminal de un abonado o usuario, a condición de que a dicho abonado o usuario haya dado su consentimiento de que se le haya facilitado información clara y completa, en particular sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Directiva 95/46/ CE. Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación a través de una red de comunicaciones electrónicas, o en la medida de lo estrictamente necesario a fin de que el proveedor de un servicio de la sociedad de la información preste un servicio expresamente solicitado por el abonado o el usuario.” 13. Para una mayor información sobre estos enfoques puede consultarse el artículo “Nuevos retos de la publicidad basada en comportamiento: de la información al consentimiento informado” (Núm. 61 Revista “Comunicaciones en Propiedad Industrial y Derecho de la Competencia” del Instituto de Derecho y Ética Industrial) y el libro “La publicidad comportamental online” de Francisco Pérez Bes (editorial UOC) 14. Dictamen 2/2010 sobre publicidad basada en comportamiento. Disponible en: http://ec.europa.eu/justice/ policies/privacy/docs/wpdocs/2010/wp171_es.pdf 12 de buenas prácticas para la publicidad basada en comportamiento online (online behavioral advertising), al que nos referiremos más adelante. La acelerada transposición de la norma comunitaria -después de que la Comisión Europea abriera un expediente de infracción en julio de 2011 por rebasar el periodo dado a los Estados miembros- en el Real Decreto Ley 13/2012 por el que se modifican la Ley 34/2002 de Servicios de la Sociedad de la Información (en adelante LSSI) y la Ley 32/2003 General de Telecomunicaciones, no ha arrojado mucha luz sobre los interrogantes planteados respecto a su aplicación. De esta manera es la Agencia Española de Protección de Datos (en adelante AEPD), organismo competente para la tutela de los derechos y garantías de abonados y usuarios en el ámbito de las comunicaciones electrónicas, quien tiene la complicada labor de interpretar el espíritu del legislador europeo trasladado al artículo 4.3 del citado Real Decreto y que modifica el artículo 22.2 de la LSSI15. Este organismo ya está trabajando en una guía para la interpretación y aplicación de este artículo, para lo que contará con la colaboración de Adigital, Autocontrol e IAB Spain y es previsible que a finales de septiembre se conozca ya su opinión. El citado artículo 22.2 de la LSSI establece como regla general la obligación de obtener el consentimiento informado para utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios. Este consentimiento está sujeto a dos excepciones; cuando la cookie tenga la finalidad de efectuar la transmisión de una comunicación por una red de comunicacio15. Artículo 4.3 que modifica el artículo 22 de la Ley de Servicios de la Sociedad de la Información 2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto. Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario. Si bien la LSSI remite a la Ley Orgánica 15/1999 de Protección de Datos (en adelante LOPD) para establecer los aspectos sobre los que se ha de informar a los usuarios antes de que estos presten su consentimiento, no existe referencia a la descripción ni la forma de prestar el mismo, por lo que, a modo ilustrativo, podría atenderse a la definición que da la LOPD en su artículo 3.h) como “toda manifestación de voluntad, libre, inequívoca, específica e informada”. Por tanto, aunque la LSSI no se refiere al consentimiento en los términos de la LOPD, podría utilizarse a modo ejemplificativo esa terminología para referirnos al consentimiento para la instalación de las cookies. En este sentido, si bien el consentimiento expreso ofrece una mayor seguridad jurídica, el consentimiento tácito, que se caracteriza por la ausencia de oposición, puede ser aceptado en algunas situaciones. En cualquier caso conviene aclarar que la aplicación de un consentimiento en los términos de la LOPD y el Reglamento 1720/2007 de protección de datos no sería aplicable a este supuesto. 3. Posibles soluciones Se apuntan brevemente en este apartado diferentes opciones para la prestación del consentimiento a la luz de lo establecido en el artículo 22.2 de la LSSI. 3.1. Consentimiento tácito a través de información por niveles o capas Como se apuntaba en líneas anteriores, la LSSI exige un consentimiento informado para la instalación de las cookies en los terminales de los usuarios. La información es, por tanto, uno de los elementos clave para que este consentimiento se considere válido. En cuanto a los requisitos de información, el artículo 5 de la LOPD requiere que se informe sobre los siguientes aspectos: Existencia del un fichero de tratamiento, finalidad del tratamiento, destinatarios de la información, carácter obligatorio o facultativo de la respuesta, consecuencias de la obtención de datos, negativa a suministrarlos, identidad y dirección del responsable y la posibilidad de ejercer los derechos de acceso, rectificación cancelación y oposición. El GT 29 ha establecido en su Dictamen sobre el consentimiento, que para garantizar una información adecuada se requieren dos tipos de requisitos: • Calidad de la información - la manera en que se presenta la información (texto claro, sin jerga, comprensible, visible) es esencial para determinar si el consentimiento es manifestación de voluntad «informada». La forma en que se suministra esta información depende del contexto: el usuario medio/habitual debe ser capaz de entenderla. • Accesibilidad y visibilidad de la información – La información debe comunicarse directamente a las personas. No basta con que la información esté «disponible» en algún lugar. Teniendo en cuenta el entorno Internet, el espacio del que se dispone y a efectos de que el mensaje fuera efectivo y la manifestación del usuario consciente, podría proponerse una solución en la que el usuario recibiera toda la información en diferentes niveles o capas, siendo las dos primeras obligatorias. Una primera capa, claramente identificada en la que se muestre al usuario la información más importante y la posibilidad de oponerse a la instalación de cookies, que se haría en una segunda capa, donde se informaría al usuario sobre todos los aspectos que requiere la normativa. Si bien puede existir cierta libertad para la elaboración de las mismas, se aportan una serie de ejemplos. La primera capa de información podría mostrarse en la cabecera o pie de página, mediante un letrero (label) o ventana emergente y que esta dirigiera a una información más completa. Para cumplir con el requisito del consentimiento informado, la primera capa de información debería contener la siguiente información. - Qué son las cookies - Función y finalidad de las mismas - Petición del consentimiento para instalarlas en el terminal, advirtiendo que si sigue navegando se considerará que consiente. Con las siguientes características: • el carácter obligatorio o no de permitir el tratamiento • las consecuencias de permitir o no el tratamiento • la posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición en tanto en cuanto se puedan tratar datos de carácter personal 13 APEPINFORMA07 nes electrónicas o cuando resulte estrictamente necesario para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario. APEPINFORMA07 • link a una segunda capa de información más detallada Ejemplo: Página web de la BBC (www.bbc.co.uk): La segunda capa, incluiría más información y la opción de desactivar las cookies, distinguiendo las modalidades de las mismas. - Tipos de cookies que se utilizan (breve descripción) - Opción de deshabilitar las cookies - Opcional: Link a una tercera página con información más detallada Ejemplo: Segunda capa de información de la BBC (http://www.bbc.co.uk/privacy/cookies/managing/ cookie-settings.html) La solución de información por capas ha sido aprobada por el GT 29 en su Dictamen 10/2004 sobre una mayor armonización de las disposiciones relativas a la información. El formato de múltiples capas contribuye a mejorar la calidad de la información recibida. En internet el espacio mostrado en cada página es limitado y los formatos de múltiples niveles pueden mejorar la legibilidad de los avisos, como ha sucedido también en sectores como la videovigilancia. De esta manera, podría entenderse que el usuario ha prestado su consentimiento cuando, una vez aportada toda la información, y un método sencillo en el que se le de la opción de aceptar o rechazar el tratamiento, éste decide seguir navegando, lo que, considerado como una manifestación de voluntad, cabría ser considerado como un consentimiento tácito. En ese sentido, el usuario puede expresar su voluntad de diversas formas; visitando una web, navegando de una página a otra, pulsando un enlace, suscribiéndose a un servicio, comprando un producto, etc. El Information Commissioner’s Office, órgano homólogo a la AEPD en Reino Unido, en su guía “Guidance on the rules on use of cookies and similar technologies”16 establece que el consentimiento tácito es una fórmula válida: “The Information Commissioner’s guidance made it clear that although an explicit opt-in mechanism might provide regulatory certainty it was not the only means of gaining consent. In some circumstances those seeking consent might consider implied consent as an option that was perhaps more practical than the explicit optin model. La tercera capa, optativa, en la que se describen todas las cookies que se utilizan, dependiendo de su finalidad, y a la que se accede mediante un link situado en cada una de las descripciones, indicando que se obtendrá más información (ejemplo: http://www.bbc.co.uk/privacy/cookies/bbc/ performance.html http://www.bbc.co.uk/privacy/ cookies/bbc/online-behavioural.html 14 …Implied consent is certainly a valid form of consent but those who seek to rely on it should not see it as an easy way out or use the term as a euphemism for “doing nothing”. In many cases, to create a situation in which implied consent is acceptable to subscribers, users and the regulator it would still be necessary to follow the steps set out in the Information Commissioner’s existing guidance. … For implied consent to work there has to be some action taken by the consenting individual 16. Disponible en http://www.ico.gov.uk/for_organisations/ privacy_and_electronic_communications/the_guide/~/ media/documents/library/Privacy_and_electronic/Practical_ application/cookies_guidance_v3.ashx En relación a la manifestación de la voluntad, establece que: “…In the context of cookies, similar consent might be inferred from a series of user actions which do not in isolation constitute a direct expression of the user’s thoughts about cookies – they have not, in effect, ticked a box accepting cookies – but which in context act as a strong enough indication that they agree to cookies being set. “…User actions can only give a strong enough indication if there is a shared understanding of what is happening. An example might be that the user is given a clear and unavoidable notice that cookies will be used and on that basis decides to click through and continue to use the site”… En cuanto al momento de instalación de las cookies, si bien la normativa establece la necesidad de que se haya facilitado información y éste haya consentido antes de que se instale la cookie, en el plano práctico se hace muy difícil requerir este consentimiento de forma previa, dado que muchas páginas web instalan las cookies en el momento en el que el usuario accede a su web (como sucede en el caso de la cookies técnicas). Además, como sucede en el caso de las cookies publicitarias, sería muy difícil cuantificar las impresiones que se sirven desde los servidores publicitarios. Además, el retraso de la instalación de las cookies, conllevaría una modificación en la programación de todos los soportes, lo que supondría que muchas páginas aparecerían con el contenido en blanco durante los primeros segundos de carga, ya que los servidores de contenido y publicitarios están sujetos a procesos de sincronización. Esta situación no evita que, siempre que sea posible, la instalación de las cookies pueda retrasarse un tiempo prudencial en el que pueda considerarse que el usuario, una vez informado de todos los aspectos e implicaciones, ha entendido las implicaciones y no ha realizado ninguna acción al respecto. En todo caso, deberían aportarse al usuario mecanismos sencillos para que éste pueda revocar su consentimiento en cualquier momento. 3.2 Navegadores y herramienta “Do Not Track” La LSSI establece que la configuración de los parámetros del navegador puede ser uno de los medios para obtener el consentimiento de los usuarios para la instalación de cookies. Se trata de que un determinado navegador no acepte cookies de seguimiento con el fin de ser utilizadas en publicidad comportamental. Dicha opción debería ser fácilmente identificable por parte del consumidor. Esta es, previsiblemente, la vía que se seguiría en Estados Unidos después de que la Federal Trade Commission emitiera en marzo de 2012 su informe sobre privacidad. La Comisaria de la DG de la Sociedad de la Información (DG Infso), Nelie Kroes se ha mostrado favorable a esta solución17 . Asimismo, esta iniciativa está siendo tratada en la actualidad por el Tracking Protection Working Group de la World Wide Web Consortium (W3C). A día de hoy no existe una uniformidad de criterios en cuanto al diseño de los navegadores, por lo que quizás sea todavía temprano para plantear este escenario. 3.3 Autoregulación: www.youronlinechoices.com La autorregulación se presenta como una de las posibles soluciones para la gestión de la publicidad online. A nivel europeo, la Industria publicitaria digital lanzó un sistema de autorregulación europeo sobre publicidad comportamental, más conocido en el sector digital como “IAB Europe OBA Framework”18 en abril de 2011. La Comisaria Kroes, en su discurso “Towards more confidence and more value for European Digital Citizens”19, ha apoyado abiertamente la autorregulación como posible solución a la implementación de las nuevas normas de privacidad en las telecomunicaciones. Para la Comisaria, para que el sistema de autorregulación se lleve a cabo con las debidas garantías es necesario tener en cuenta 4 factores: 17. http://blogs.ec.europa.eu/neelie-kroes/donottrack/#more1161 18. http://www.iabeurope.eu/media/94528/2012-06-08_iab_ europe_oba_framework.pdf 19. “While today is not the time or place to go into too much technical detail, we should work towards a realistic solution which will enhance users’ trust. The solution must be a driver, and not an impediment, to the growth of the digital economy. I believe that a self-regulatory solution is possible. But it will need to be one clearly based on the applicable EU legislation. Such a solution can go a long way towards facilitating compliance and avoiding divergence among the Member State” http://europa.eu/rapid/pressReleasesAction. do?reference=SPEECH/10/452 (Disponible el 29-01-2011) 15 APEPINFORMA07 from which their consent can be inferred. This might for example be visiting a website, moving from one page to another or clicking on a particular button. The key point, however, is that when taking this action the individual has to have a reasonable understanding that by doing so they are agreeing to cookies being set…” APEPINFORMA07 - Transparencia 4. Breve referencia a los agentes implicados - Consentimiento (medios que permitan al usuario aceptar la creación de perfiles) El ecosistema de la publicidad comportamental implica a varios actores. La LSSI no identifica quién es el responsable de requerir el consentimiento y, a efectos de asignar responsabilidades, sería necesario analizar quién decide sobre la finalidad, contenido y uso del tratamiento. - Soluciones fáciles para los usuarios, como la configuración de los navegadores o herramientas similares, no siendo suficiente la información desde las políticas de privacidad. - Asegurar la aplicación efectiva del código (incluyendo sistemas de presentación de denuncias, y sistemas de auditoría internos, así como sistemas de sanción efectivos). La European Advertising Standard Alliance, con la colaboración de IAB Europe ha elaborado un código de recomendaciones de buenas prácticas para la publicidad basada en comportamiento20, que integra y complementa los principios de IAB Europe y establece una serie de principios y estándares que pueden ser recogidos y adaptados a futuros códigos de autorregulación nacionales. Entre las soluciones que plantea la industria está la adopción de un icono, dentro o alrededor del anuncio, mediante el cual el usuario puede conocer que está recibiendo publicidad comportamental. Este icono dirige a la página www.youronlinechoices.com, en la que el usuario puede encontrar toda la información relativa a la publicidad online basada en comportamiento, cómo funciona y cómo gestionar la privacidad. Esta solución, que se podría combinar con la fórmula de consentimiento tácito e información por capas, también sería viable para la gestión de la privacidad por parte de los usuarios, ya que podría servir para la creación de listas de exclusión centralizadas, que podrían consultarse por todas las empresas. 3.4 Otras soluciones Por otro lado, y dependiendo de las diferentes situaciones, el usuario también podría prestar su consentimiento a través de la aceptación de la política de privacidad o los términos y condiciones de uso, o en el momento de descargar una determinada aplicación o programa de una página web. Estas soluciones pueden ser complementarias a las expuestas anteriormente. 20. http://www.easa-alliance.org/page.aspx/386 16 En primer lugar, el editor de la web instala las cookies necesarias para que el servicio solicitado funcione correctamente. También decide si ofrecer publicidad, propia o de terceros, firmando en ese caso los acuerdos o contratos pertinentes. Al ser los editores los que configuran su web, facilitan la transferencia de datos y ayudan a fijar los fines para los que se lleva a cabo- enviar publicidad relevante a los visitantes- tendrían que informar y requerir el consentimiento tanto de las cookies propias (que no estén exentas de la obligación de requerir el consentimiento) como de las de terceros con los que tenga acuerdo, ofreciendo la posibilidad de rechazar su instalación. Cuando a través de la web del editor se envíen cookies de terceros, que cabrían considerarse encargados, en los contratos que firme el editor con éstos, deberá establecerse entre sus cláusulas el uso que se va a dar a los datos obtenidos a través de esa página, y qué sucede una vez cumplida la prestación contractual. 5. Conclusiones El sector de la publicidad digital, y quienes lo representan, son conscientes de la importancia de la privacidad en Internet y de la necesidad de adoptar fórmulas de información y consentimiento que reúnan los requisitos de transparencia y control que exige la normativa, a la vez que se protege la importante inversión en los medios. El enfoque abordado en este artículo apunta distintas soluciones y propuestas que, entre otras, podrían tenerse en cuenta a la hora de interpretar la normativa. La línea que ha seguido la Autoridad de protección de datos de Reino Unido (Information Commissioner) parece una solución viable. Si bien hay que esperar al pronunciamiento de la Agencia Española de Protección de Datos cabe suponer que la solución que finalmente se adopte alcance un justo equilibrio entre de los derechos de los usuarios y el desarrollo de la publicidad en internet y de la economía, permitiendo un entorno creativo y transparente. Jorge Ferre Moltó. Socio director de Iskipa Protección de Datos Con fecha 16/10/12 se ha dictado Resolución por el Director de la AEPD autorizando un nuevo modelo de Transferencia Internacional de Datos en el marco de una subcontratación de servicios, a favor de Global Sales Solutions Line en adelante GSS, empresa que se dedica a la prestación de servicios de emisión y recepción de llamadas, de marketing telefónico para la promoción y difusión de los productos de sus Clientes y de organización y gestión de centros de atención telefónica, como exportador de datos y GSS Sucursal en Perú como importador de datos. Este nuevo modelo de autorización supone un novedad importantísima, que con una sola autorización concedida al encargado de tratamiento se podrá prestar, a todas las empresas responsables de tratamiento que contraten con el encargado de tratamiento, servicios de gestión de telemarketing y de atención al Cliente, desde países que no proporcionen un nivel de protección equiparable a la LOPD. En consecuencia evita la necesidad de tramitar por parte del responsable del tratamiento, cada vez que se presta el servicio deslocalizado, la correspondiente Autorización de Transferencia Internacional de Datos, con el ahorro en tiempo y en costes y el incremento de la seguridad jurídica de las empresas que intervienen en el tratamiento internacional de los datos, en su condición de responsables, encargados y subencargados del tratamiento. Es de agradecer la iniciativa de la AEPD para aprobar este nuevo modelo de autorización y las facilidades dadas durante su tramitación, que sin duda van a suponer para la Agencia, un instrumento para reducir el numero de solicitudes de Autorización de Transferencia Internacional de Datos, por parte de los responsables del tratamiento. Motivacion La necesidad de este te nuevo modelo de transferencia internacional de datos en el marco de una subcontratación internacional por encargados establecidos en la U.E., tiene origen en la necesidad recogida en el Dictamen 3/2009 del Grupo del articulo 29 de 5 de marzo de 2009, siempre que se someta a autorización un modelo contractual que cumpla las garantías contenidas en las clausulas a las que se refiere el Anexo de la Decisión 2010/87/UE, sin que se generen desigualdades en el mercado. Además la propuesta de Reglamento del Parlamento Europeo y del Consejo en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos en su articulo 42.1 recoge esta posibilidad. Requisitos legales para tramitar la autorizacion. - Solicitud de autorización por un encargado de tratamiento. - Documentos que acrediten su representación. - Contrato de transferencia entre el encargado del tratamiento exportador de datos de carácter personal y el subencargado del tratamiento importador de datos. - Debe reunir las garantías exigidas por los artículos 26.2 de la Directiva 95/46/CE y 33 de la LOPD. Debe cumplir las garantías del articulo 70 del Reglamento de desarrollo de la LOPD R.D.1720/2007. Y debe contener la información relativa al exportador e importador de datos, los colectivos a los que se refieren los datos de carácter personal a transferir, sus categorías, y las operaciones básicas de tratamiento en su apéndice 1 y las medidas de seguridad, técnicas y organizativas, que ha de poner en practica el importador de datos antes de efectuar el tratamiento de los datos personales transferidos, en su apéndice 2. Se establecen obligaciones adicionales para el exportador e importador que facilitan el control en todo momento al responsable del tratamiento. - Contrato marco tipo entre el responsable del tratamiento y el exportador de datos con las garantías de la Decisión 2010/87/UE. La novedad consiste en la autorización del responsable del tratamiento al encargado del tratamiento a subcontratar y proceder a la transferencial internacional de datos, previa solicitud de autorización y concesión de la AEPD. 17 APEPINFORMA07 2.4. Nuevo modelo de autorizacion de Transferencia Internacional de Datos de la AEPD en el marco de una subcontratacion de servicios a favor de Global Sales Solutions Line. APEPINFORMA07 Requisitos para estar amparado por la autorizacion. - Tener firmado previamente el contrato de prestación de servicio entre el responsable del tratamiento y el encargado exportador antes de iniciar el servicio. - El responsable del tratamiento con carácter previo al inicio del servicio, debe de modificar la declaración del fichero ante el Registro de la AEPD, recogiendo el movimiento internacional de datos y la referencia de la autorización concedida al encargado del tratamiento. - El encargado de tratamiento exportador debe mantener una lista actualizada a disposición de la AEPD, de los responsables del tratamiento, de los contratos de prestación de servicios firmados, nombre y nº de registro de los ficheros amparados en esta resolución en la AEPD. Caracteristicas de la autorizacion Este nuevo modelo se refiere a un modelo contractual en que si bien se identifican las partes en el contrato de transferencia y los datos, tratamientos y finalidades concretas respecto de las que se verificará dicha transferencia, así como las medidas de seguridad que se adoptarán, no se conoce a priori quién será el responsable del tratamiento que 18 celebrará con el encargado exportador el denominado contrato marco al que se refiere el contrato de transferencia, ni cuales serán los ficheros de los que procederán los datos en cada transferencia concreta. Conclusión Este nuevo modelo de autorización de Transferencia Internacional de Datos en el marco de una subcontratacion de servicios, permite con una sola autorización concedida al encargado de tratamiento prestar, a todas las empresas responsables de tratamiento que contraten con el encargado de tratamiento, servicios de gestión de telemarketing y de atención al Cliente, desde países que no proporcionen un nivel de protección equiparable a la LOPD, sin necesidad de que el responsable del tratamiento la tenga que solicitar en cada caso. Implica una reducción del numero de solicitudes de autorizaciones de transferencia internacional de datos de los responsables de tratamiento, simplificando la gestión, con el ahorro en tiempo y costes e incrementando la seguridad jurídica del responsable, del encargado y del subencargado del tratamiento, preservando siempre el nivel de garantías en el tratamiento de datos de carácter personal de los particulares afectados. Jordi Saldaña FALLO Vocal de la Junta Directiva de la APEP Abogado, Roca Junyent Imposición a Agbar de una sanción de 40.001 euros. STC Audiencia Nacional. STC Audiencia Nacional. Sala de lo Contencioso-Administrativo, Sala de lo Contencioso-Administrativo, 20 de julio de 2012. 7 de junio de 2012. Sección 1ª. Madrid Sección 1ª. Número de Recurso de Número de Recurso Contencioso-administrativo: 148/2011. Contencioso-administrativo: 285/2010. ANTECEDENTES DE HECHO ANTECEDENTES DE HECHO Se interpuso recurso contencioso-administrativo por Agbar Instalaciones, S.L.U. (en adelante, Agbar) el 22 de febrero de 2011, frente a la resolución de la Agencia Española de Protección de Datos (en adelante, AEPD) de 20 de diciembre de 2010. Se impuso a la entidad citada una multa de 60.101,21 euros por vulneración del artículo 6.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, LOPD). La Resolución de 25 de marzo de 2010 por la que se desestima el recurso de reposición interpuesto frente a la resolución de fecha 16 de noviembre de 2011 dictada por el Director de la AEPD, impone a la recurrente dos multas de 1.500 euros. Se infringió el artículo 44.2 c) y d) de la LOPD por infracción del artículo 26.1 de la misma norma. El recurrente, titular de la plaza de su garaje, instaló en la misma un sistema de vigilancia, captándose y grabando las imágenes de personas que se encuentran en el interior. La instalación y mantenimiento de las cámaras se realizó por una empresa de seguridad privada inscrita correctamente en el Registro de Empresas de Seguridad en el Ministerio del Interior, pero sin haber inscrito el fichero de videovigilancia en el Registro de la Agencia Española de Protección de datos. FUNDAMENTOS DE DERECHO El denunciante presenta denuncia ante la AEPD en julio de 2009, alegando que en septiembre de 2008 recibió una llamada telefónica de la empresa Agbar ofreciéndole servicios, no facilitando el denunciante ningún dato de carácter personal a la misma. Tres meses más tarde, Agbar cargó al denunciante 56,61 euros en su cuenta bancaria. Agbar aporta una grabación telefónica que manifiesta el origen de la contratación pero de la grabación no se puede determinar el consentimiento del afectado en relación al contrato. También aporta contrato sin la firma del denunciante y se confirma la sanción impuesta por la Agencia Española de Protección de Datos. No obstante debido a la aplicación retroactiva de la norma más favorable, en concreto la Ley 2/2011 de 4 de marzo de economía sostenible, se reduce la sanción. FUNDAMENTOS DE DERECHO El recurrente, instaló la cámara de grabación con el objetivo de evitar actos vandálicos en su plaza de garaje. Aparte de su plaza fueron captados elementos comunes. Se acredita que el recurrente informó correctamente a los vecinos de la posibilidad de ejercitar los derechos de oposición y cancelación de los datos por parte de los afectados. Procede señalar que la Disposición Final Quincuagésima Sexta de la Ley 2/2011, de 4 de marzo, de Economía Sostenible, modificó diversos artículos de la LOPD, procediendo aplicar la nueva redacción del artículo 45.6 LOPD el cual establece que de 19 APEPINFORMA07 3. Jurisprudencia. APEPINFORMA07 manera excepcional el órgano sancionador, previa audiencia de los interesados y concurriendo determinados presupuestos, podrá apercibir al sujeto responsable. FALLO Se estima el presente recurso contencioso-administrativo, anulándose las sanciones impuestas sustituyéndolas por la sanción de apercibimiento. La AEPD se encargará de acordar las medidas correctoras que estime necesarias y plazo para adoptarlas. No se imponen costas. STC Audiencia Nacional. Sala de lo Contencioso-Administrativo, 19 de julio de 2012. Sección 1ª. Número de Recurso Contencioso-administrativo: 334/2010. ANTECEDENTES DE HECHO El recurso contencioso-administrativo interpuesto por el recurrente contra la resolución del Director de la Agencia Española de Protección de Datos de fecha 26 de febrero de 2010 que confirma en reposición la resolución de fecha 27 de enero de 2010. 20 FUNDAMENTOS DE DERECHO El recurrente, que cumple condena en el Centro Penitenciario de Algeciras (el Centro), presentó escrito ante la AEPD señalando que por parte de la Administración penitenciaria se le estaba realizando un seguimiento especial en forma encubierta, desde diciembre de 2008 (se le intervino legalmente la correspondencia) tomándose diariamente sus datos personales; entendiendo que se le estaba incluyendo en un fichero sin él saberlo. Acudió al Juzgado de Vigilancia Penitenciaria que dictó auto estimando la queja formulada, instando al Centro el cese del seguimiento a él aplicado. Solicitó de la AEPD se le indique el titular y dirección donde se encuentre el fichero en que han almacenado sus datos, para poder acceder y cancelarlos, y que se inicien las actuaciones precisas por AEPD para denunciar o ejercer todos los actos que pueda ejercitar o se le indique la forma de actuar contra la vulneración. El recurrente parte de una premisa errónea: no toda actuación irregular como la referida conlleva la creación de un fichero específico y el Juzgado de Vigilancia Penitenciaria ya la ha corregido. Asimismo el recurrente puede solicitar información de los datos que sobre su persona obran en el Centro Penitenciario en que se halla interno. FALLO Se confirma la decisión adoptada por la AEPD de archivo de actuaciones. IÑAKI PARIENTE (Director de la AVPD) Ricard Martínez Martínez Presidente APEP Transcurrida una primera etapa de su mandato, ¿Cuál es el estado de la protección de datos en Euskadi? Quiero inicialmente dedicar una especial atención el equipo de personas de que dispone esta institución, que es lo más importante que tenemos para poder trabajar y que tienen una formación y una profesionalidad envidiables. En cuanto a cuál el estado de la protección de datos, tengo que indicar en primer lugar, que la percepción que la ciudadanía de nuestro trabajo es muy positiva. En el mes de mayo hicimos públicos los resultados de un estudio realizado en colaboración con el Gobierno Vasco sobre esta materia, en el que se pone de manifiesto que aumenta la sensibilidad y la importancia que da la población vasca ante la protección de datos personales, al tiempo que se mantiene en niveles muy elevados, hasta el 94%, la confianza en el uso que las administraciones públicas vascas hacen de los datos personales. Y si tenemos en cuenta que nuestro ámbito de actuación son precisamente las administraciones públicas vascas, pienso que el grado de control y de colaboración que mantenemos está dando resultados muy positivos. Este mismo estudio nos proporciona datos muy relevantes también sobre la percepción de muchas otras cuestiones por la ciudadanía, y sobre la percepción del derecho a la protección de datos, lo que nos alienta a continuar impulsando la labor que venimos realizando. Es mi intención fomentar aún más las tareas preventivas sobre las tareas controladoras o inspectoras, porque entiendo que el respeto de la normativa de protección de datos debe venir del origen. ¿Qué líneas de actuación abordará en el periodo inmediato la Agencia Vasca de Protección de Datos? Pues bien, como decía, es muy importante la la- bor preventiva. Queremos estar presentes en todos los foros administrativos en los que haya algún elemento relevante o tengan alguna relación con la protección de datos y la privacidad en general, para fomentar entre las administraciones una cultura de la protección de datos. Para ello queremos incidir en la formación, ofertando a las administraciones planes de formación, y charlas introductorias a la protección de datos, formar comisiones bilaterales con las administraciones, colaborar estrechamente con la Asociación Vasca de Municipios (Eudel), etc. Asimismo, queremos salir a la sociedad con todas las formas posibles (presencia en redes sociales, medios de comunicación, visitas a centros educativos, etc.) para acercar este tema y sensibilizar sobre una materia tan importante. ¿Cuáles son los mayores retos para la privacidad en Euskadi? Bueno, en este tiempo ya hemos visto que algunos temas son muy relevantes y lo van a seguir siendo, teniendo que ser capaces de enfrentarnos a este reto. Uno de ellos es la administración electrónica. Asistimos a una época en la cual las administraciones tienen la necesidad de intercambiar información sobre los ciudadanos en todo momento, sea para luchar contra el fraude en las subvenciones o ayudas públicas, o simplemente para ofrecer mejores servicios. Estos flujos de datos no siempre tienen amparo legal, y la responsabilidad que tenemos es informar a las administraciones cómo y en qué forma pueden hacer lo que quieren. Llevamos ya un tiempo colaborando y seguiremos en ello. También la materia de datos de salud, con la realización en esta comunidad autónoma de grandes avances en el expediente médico electrónico es una materia de gran importancia, sobre todo teniendo en cuenta la especial protección que dirige la Ley Orgánica de Protección de Datos a la materia de los datos de salud. Estos y algunos otros, como a medio plazo la transparencia y el papel de la Agencia Vasca también como autoridad de control de la transparencia, son temas de gran relevancia para nosotros. 21 APEPINFORMA07 7. Entrevista a: APEPINFORMA07 Vds. han dedicado un esfuerzo preferente a la tutela de los derechos de los menores y a incidir en el entorno educativo. ¿Qué resultados visibles han obtenido? Efectivamente, la colaboración con el Departamento de Educación ha sido notable, y hemos visto cómo somos más conocidos en los centros educativos, y nuestros materiales son utilizados en numerosas instituciones por la calidad que tienen. Seguimos en la colaboración con este sector tan importante, y espero que en el futuro sigamos en ello. ¿Cómo valoran la Propuesta de Reglamento General de Protección de datos? Mi valoración personal es que se trata de un documento de gran importancia. No podemos en este momento saber el contenido final del mismo, pero sí es cierto que el documento que presentó inicialmente la Comisión Europea a principios de este año tiene un contenido que revela un enorme interés por este sector, algo que ya en sí mismo es óptimo; igualmente debo decir que se trata de una norma que tiene detrás un enorme trabajo por parte de las instituciones europeas, que debemos apreciar en su justa medida. Alguno de los temas más relevantes pueden ser la introducción expresa de la mención a los menores en el Reglamento, la mención también expresa al derecho al olvido, derecho que a pesar de estar conceptualmente ya desarrollado se incluye por primera vez en la regulación positiva; la introducción expresa en la norma de los principios “privacy by design” y “privacy by default”, en referencia a la introducción de la protección de datos personales ya en el diseño, el primero de ellos, y por defecto en el segundo; muy relevante también, el papel del delegado de protección de datos; y por último, 22 y especialmente relevante, el incremento y homologación del papel de las Autoridades de Control, que pasan a tener una consideración mucho más reforzada con esta norma, y que van a poder ser instituciones muy similares en el futuro en los distintos Estados, no como ahora, que son muy distintas tanto en estatuto como en competencias. Es especialmente destacable la importancia que la Comisión Europea y el propio Parlamento Europeo otorgan a la protección de datos, lo que podemos ver en el hecho de que el instrumento elegido para la regulación sea un Reglamento comunitario, norma de aplicación directa en los Estados miembros. Y por último, me gustaría destacar una cuestión que me parece especialmente importante, que ya he comentado en alguna otra ocasión, y que esperamos, como autoridades de control, que permanezca tal y como está en la redacción definitiva, cual es la competencia de las autoridades de control del lugar del domicilio del destinatario del servicio, lo que eliminaría los problemas a los que nos enfrentamos en estos momentos y que se plasman en la cuestión prejudicial planteada por la Audiencia Nacional en relación con la competencia de autoridades y tribunales de los Estados miembros en asuntos relacionados con empresas que tienen su sede en Estados Unidos u otros estados no comunitarios. Con esta redacción, siempre que un ciudadano europeo se ha visto perjudicado en su derecho a la privacidad y a la protección de sus datos personales, incluso en este caso, serían competentes autoridades de control y tribunales de los Estados miembros. Por último, y antes de terminar, quiero que me permitan felicitar a la Asociación por el trabajo que realiza en materia de privacidad, mostrándoles mi predisposición a participar en todas las actividades que emprendan en el futuro. Con el objeto de fomentar la participación de los asociados y dado que en el seno de la APEP existen profesionales que pueden realizar interesantes aportaciones en la materia os reiteramos la invitación que se realizó en su día para que podáis proponer temas sobre los que escribir un artículo para próximas ediciones del boletín. Aquellos que estéis interesados deberéis remitirlos a [email protected]. 23 APEPINFORMA07 ¿QUIERES COLABORAR?