APEP Informa número 7

Anuncio
07
OCTUBRE 2012
En este número:
APEP Informa
EDITORIAL
PAGINA01
1. Editorial
Ricard Martínez Martínez
PAGINA02
2. Artículos.
2.1. Crónica del Congreso Amsterdam
Privacy Conference (APC 2012),
Octubre 2012. Mónica Vilasau Solana.
2.2. Minas de privacidad, el oro del siglo
XXI. Javier Cao Avellaneda.
2.3. Posibles fórmulas de consentimiento
para la publicidad comportamental.
Paula Ortiz López
2.4. Nuevo modelo de Autorizacion de
Transferencia Internacional de Datos de
la AEPD en el marco de una subcontratacion de servicios a favor de global sales
solutions line. Jorge Ferre Moltó
PAGINA19
3. Jurisprudencia
Audiencia Nacional.
PAGINA21
4. Entrevista a
Iñaki Pariente (Director de la AVPD)
¿El fin de la privacidad?
Vivimos tiempos convulsos en los que la crisis golpea en todas partes
sin distinción de tal modo que la reducción de la actividad económica
resulta apreciable en todos los sectores sin excepción alguna. Por otra
parte, las políticas de austeridad parece que van a determinar la desaparición de la Agencia de Protección de Datos de la Comunidad de
Madrid que tanto y tan buen trabajo ha desarrollado. Al mismo tiempo y
de modo regular se producen declaraciones de nuevos o viejos gurús
de lo tecnológico que o perciben la privacidad como un mal que debe
soportarse o directamente anuncian su muerte.
Es este tiempo de desánimo y zozobra el que exige de todos nosotros fortaleza y determinación. Los tiempos de crisis pueden suponer
también el momento de las oportunidades. Nuestro sector, pese a las
dificultades ha nacido para perdurar. Todos los informes de la Unión
Europea, y de distintos observatorios económicos en todo el mundo,
ligan los nuevos modelos de crecimiento a un cóctel en el que las nuevas energías y las tecnologías de la información actuarán como motor
de crecimiento.
Ya en la actualidad constituciones, tratados internacionales y la legalidad nacional apuntan en la línea de considerar el derecho a la vida
privada, el derecho a la intimidad o el derecho fundamental a la protección de datos como un bien esencial para el ser humano y la comunidad. Los procesos de reforma del Convenio 108/1981 del Consejo de
Europa, la Propuesta de Reglamento General de Protección de Datos
y la propuesta de un nuevo Consumer Privacy Bill of Rights por la Administración Obama confirman esta tendencia.
El desarrollo armónico y sostenible de modelos de negocio basado
en el uso intensivo de tecnologías de la información en un contexto
de profundización en la Web 2.0 requiere de al menos tres elementos
esenciales: seguridad, confianza y libertad. Con todos ellos se vincula
nuestra actividad cotidiana. Los profesionales de la privacidad hacemos algo más que marcar crucecitas en formularios predefinidos de
consultoría. Debemos ser conscientes de hasta qué punto la confianza
de un cliente puede depender de una adecuada seguridad y privacidad. Debemos ser capaces de percibir que cuando asesoramos a un
colegio hacemos algo más que ayudar a cumplir con una Ley. La nuestra es una noble tarea vinculada a la garantía de los derechos fundamentales y en esencia de nuestras libertades.
Por eso, estos “Tiempos Difíciles” exigen de nosotros entereza, determinación y esfuerzo.
1
APEPINFORMA07
NÚMERO
APEPINFORMA07
2. Artículos.
2.1 Crónica del Congreso Amsterdam
Privacy Conference (APC 2012), Octubre 2012.
Mònica Vilasau Solana
Estudis de Dret i Ciència Política.
Universitat Oberta de Catalunya
Los días 7 al 10 de octubre tuvo lugar en Amsterdam una conferencia internacional sobre privacidad
(APC 2012, http://www.apc2012.org/), organizada
por la Amsterdam Platform for Privacy Research
(APPR). Se trata de una iniciativa de la Universidad de Amsterdam, que integra investigadores de
múltiples disciplinas como la Filosofía, el Derecho,
la Economía, la Informática, las Ciencias Sociales,
Médicas y de la Comunicación.
APC 2012 reunió destacados expertos de distintas
disciplinas que formularon, discutieron y procuraron
dar respuesta a las desafiantes cuestiones y retos
que presentan para la privacidad el cloud compitung, los teléfonos inteligentes, la vigilancia digital,
los perfiles electrónicos, privacidad por diseño, la
exigencia de seguridad, los archivos digitales o el
marketing comportamental analizando también los
intereses económicos que influyen en la regulación
de la privacidad.
Se contó con las conferencias magistrales de relevantes académicos y profesionales como Alessandro Acquisti (Carnegie Mellon University), Ross
Anderson (Cambridge University), Peter Hustinx
(EDPS), Helen Nissenbaum (New York University),
Sandra Petronio (Indiana University) y Priscilla Regan (George Mason University).
La profesora Nissenbaum reflexionó sobre la teoría
de la privacidad como integridad contextual que
2
ella misma acuñó («Privacy as Contextual Integrity»,
Washington Law Review Vol 79, No. 1, February
2004:
119-158.
http://www.nyu.edu/projects/
nissenbaum/papers/washingtonlawreview.pdf).
Según esta teoría, para proteger adecuadamente
la privacidad es preciso buscar y tener en cuenta
las normas substantivas y adecuadas que están en
la base de las distintas relaciones sociales que se
establecen y que regulan los flujos de datos. Estas
normas determinan qué información puede recabarse, sobre quién, por quién y bajo qué condiciones. Su teoría rechaza una conceptualización de
la red como un único espacio comercial indiferenciado y se basa en una visión heterogénea donde
la integridad de las relaciones sociales se sostiene
mediante prácticas informativas adecuadas. También se comparó su teoría sobre la privacidad contextual con los principios de protección de datos
que constituyen la base de la normativa europea.
El profesor Acquisti presentó los resultados de la
investigación relativa a privacidad en las redes sociales y la influencia que tiene la información que
se proporciona a los usuarios de las redes en orden a la información que ellos mismos revelan.
Contrariamente a lo que podría esperarse, el hecho de proporcionar mayor información y de forma
más clara a los usuarios, no comporta que estos
sean disuadidos de revelar menos información sobre ellos mismos on-line. Dicho autor puso de relieve las limitaciones de la transparencia y del control
como mecanismos de protección de la privacidad.
El profesor Anderson trató el aspecto de la privacidad relativo a la información médica y los retos
y riesgos que supone la digitalización y centralización de las historias clínicas en grandes bancos
de datos. Destacó que el Reino Unido, además, la
La profesora Petronio presentó distintos contextos
en que se desvela información y lo que estos tienen
en común. Se analizó la relación entre el médicopaciente, las relaciones familiares y el contexto de
un blog. Se reflexionó acerca de las razones que
pueden motivar un sujeto a revelar información y
proporcionar acceso a la misma así como las expectativas de privacidad que se generan en estos
distintos entornos.
Peter Hustinx hizo un repaso a las principales novedades introducidas en la Propuesta de Reglamento General de Protección de datos (PRGPD).
(http://ec.europa.eu/justice/data-protection/index_
en.htm). El EDPS puso de relieve los principales
ejes de la reforma: fortalecer las garantías del ciudadano, simplificación y reducción de costes para
las empresas; mayor armonización y coordinación
de la actuación de las autoridades de protección de
datos y reforzar la exigencia de responsabilidades.
En la medida que la Vice-Presidenta Reding tiene
un gran interés en dotar a la UE de un nuevo marco
de protección de datos, es probable que la PRGPD
sea aprobada a finales del 2014.
La profesora Reagan analizó cuál es la dinámica de
la acción política y en concreto como interactuaban
distintos factores en la discusión y posible adopción de distintas políticas relativas a la protección
de la privacidad. Según dicha profesora, los factores que interactúan y deben tenerse en cuenta son
las ideas/intereses en juego, los distintos sujetos
implicados, cuál es la acción política y qué es lo
que ha cambiado (si ha cambiado alguna cosa) en
la regulación de una determinada materia. Estos
aspectos fueron valorados en relación con la posible regulación de la identidad digital y la regulación
de las historias clínicas.
Estas reflexiones tuvieron lugar teniendo en cuenta el contexto americano y especialmente la Propuesta que en febrero de 2012 la administración de
Obama presentó relativa a los derechos básicos de
los consumidores en el uso de Internet (http://www.
whitehouse.gov/sites/default/files/privacy-final.
pdf). El Principio 3 de dicha Propuesta precisamente recoge la teoría de la profesora Nissenbaum.
El Congreso giró alrededor de seis grandes ejes
sobre los que se presentaron las comunicaciones.
Uno de los temas fue el del valor comercial de la
privacidad. Constituye una evidencia que la explotación de los datos personales se ha convertido
en un negocio en sí mismo. En relación con este
aspecto se analizaron distintos tipos de negocios
y las distintas estrategias que existen detrás de
los mismos. Se puso también de relieve como el
consentimiento a veces no es más que una falacia
y que la existencia de mayor información no comporta necesariamente que el sujeto tome decisiones mejor fundamentadas. Se analizó el uso de
las cookies y la necesidad de que el usuario sea
consciente de las mismas, con la incorporación de
iconos que adviertan de su existencia. En el sector del márketing, la técnica del profiling se halla
claramente en auge y la paradoja es que en estos
casos no es preciso identificar a sujetos concretos,
con lo que se pone en duda que se pueda hablar
propiamente de datos de carácter personal.
Así mismo se debatió hasta qué punto es adecuado
dejar a la iniciativa privada la capacidad de negociar la privacidad o bien es imprescindible establecer un marco general protector. Se hizo referencia
al distinto enfoque entre USA y la UE. Si bien alguno de los ponentes hizo referencia al hecho que
con una excesiva regulación se puede caer en un
paternalismo, también se subrayó que proporcionar una protección adecuada de la privacidad es
una forma de garantizar las bases de una sociedad
más democrática.
Otra de las cuestiones tratadas fue la relativa a la
privacidad y la salud. Es singularmente en el terreno de la medicina y de la investigación biomédica donde los ciudadanos son más conscientes
de la necesidad de proteger su privacidad. La información relativa a la salud es la que plantea más
interrogantes y mayores exigencias relativas a su
intercambio y a una conservación y acceso adecuados. Actualmente es posible examinar todo el
DNA de un sujeto en un plazo relativamente breve (semanas) y por un coste que se ha reducido
notablemente. Se trata de una información muy
sensible, en la medida que contiene información
predictiva, sobre la futura salud de un sujeto. Sin
embargo, para poder entender verdaderamente el
3
APEPINFORMA07
información sobre la salud es compartida por la sanidad y por los servicios sociales, lo que comporta
que un elevado número de trabajadores pueda tener acceso a las historias clínicas. Insistió en que
la centralización de la información médica, si bien
se ha defendido como la opción para una gestión
más eficaz, entraña grandes peligros y puede encubrir la decisión de ceder ingentes cantidades de
datos a las empresas farmacéuticas y a los investigadores. Un Informe coordinado en 2009 por dicho
profesor reveló como el 25% de las bases de datos
del sector público incumplían la normativa de protección de datos y de protección de la privacidad.
APEPINFORMA07
significado de los resultados es preciso contrastarlos a gran escala, lo que tiene importantísimas
implicaciones para la privacidad. Se recordó que la
información obtenida puede tener consecuencias
para la familia del sujeto sometido al estudio. Otro
aspecto al que se prestó atención fue el relativo
a los denominados hallazgos no deseados, lo que
exige estudiar y regular también el denominado derecho a no saber.
El tercer bloque temático fue dedicado a la privacidad en la sociedad de la información, partiendo
de la premisa de que las sociedades democráticas dependen y tienen un deber de hacer pública
la información. Dicho proceso ha sufrido cambios
muy importantes como consecuencia de Internet.
En este nuevo contexto se analizaron cuestiones
trascendentales respecto de la transparencia, en
relación con el e-government y la reutilización de la
información del sector público, las redes sociales,
la identidad digital y el acceso a la información. En
este bloque temático también se dedicó un panel
completo al derecho al olvido.
El cuarto gran foco de debate fue el de la privacidad y la seguridad. La privacidad se halla constantemente amenazada por una continua demanda
de seguridad. Se abordaron aspectos relativos a la
vigilancia creciente, la retención de datos, los controles fronterizos y la privatización de la seguridad.
En cuanto a este último aspecto, se plantearon interrogantes en relación con la implicación de actores privados en la creación de grandes bancos de
datos y el análisis de los mismos. Otro aspecto que
se puso sobre la mesa fue las denominadas medidas anticipatorias de seguridad y los riesgos que
las mismas comportan.
El quinto aspecto analizado fueron las interacciones entre la privacidad y la tecnología. La privacidad puede protegerse mediante distintos mecanismos como la privacy by design o los privacy impact
assessment y muchos otros relacionados con el
diseño de aplicaciones. En cualquier caso es importante tener siempre en cuenta que la tecnología
no es neutra, y que debe llevarse a cabo un debate
democrático acerca de cuáles son las medidas tecnológicas más adecuadas. También debe ponerse
el acento en que efectivamente es posible, desde
una perspectiva tecnológica, adoptar medidas que
garanticen una mayor privacidad. Se trata pues de
conocerlas, potenciarlas e implementarlas teniendo en cuenta todo el contexto en que se trata la
información. Sin embargo, no deben descargarse
todas las esperanzas y las posibilidades de pro4
tección de la privacidad en la adopción de medidas
tecnológicas.
Finalmente, otro de los bloques temáticos tratados
se dedicó a a reflexionar sobre el valor, significado
y principios de la privacidad. Se analizaron aspectos como el valor de la privacidad y sus interacciones con la autonomía privada y la libertad. Estas
cuestiones se hallan constantemente a debate y
presentan interrogantes acerca de su universalidad, subjetividad y contextualidad. Los distintos
análisis propuestos tuvieron en cuenta perspectivas interdisciplinares, relacionando las disciplinas
filosóficas, psicológicas, sociológicas y antropológicas.
Junto a estos principales temas, también se dedicó
una sesión a analizar de forma más específica la
Propuesta de Reglamento General de Protección
de Datos. Se destacó, entre otros aspectos, como
pese a que tanto la Directiva de Protección de Datos como dicha propuesta contemplan el consentimiento como un mecanismo clave que permite el
tratamiento de datos, en la práctica el papel que
se deja al consentimiento es bastante residual. Así
mismo, la exigencia de que el consentimiento sea
libre e informado, en ocasiones no deja de ser una
quimera.
En el caso de un sujeto que accede a una red social o bien que necesita proporcionar una serie de
datos para acceder a un determinado servicio que
de otro modo no puede obtener ¿puede predicarse
la existencia de un consentimiento verdaderamente libre?
En la medida en que en muchas de las relaciones
de intercambios de datos no existe un consentimiento verdaderamente libre, ¿debería por ello
considerarse nulo el consentimiento otorgado?
En cuanto a las posibilidades de solucionar estos
interrogantes se plantea por un lado la aplicación
de las normas de defensa de los consumidores en
el contexto de la recogida de datos. Otra opción
es admitir claramente que la privacidad es un bien
más que entra en el mercado de modo que se establezca un precio adecuado por ella.
En el marco del Congreso también tuvieron lugar
dos workshops: Uno de ellos dedicados al valor
económico de la información personal; y el otro dedicado a la privacidad y anonimato. Asimismo también tuvo lugar una sesión especial que presentó
las interacciones entre la privacidad y el arte: The
Art of Privacy.
En conclusión: La valoración general del Congreso
Como sucede en muchos Congresos, son más los
interrogantes y cuestiones que se plantean que las
soluciones a las que se puede llegar, pero en todo
caso es fundamental que se ofrezcan espacios de
debate y reflexión, aún más teniendo en cuenta el
proceso de discusión de la normativa que constituirá la columna vertebral del tratamiento de la información en la UE, la Propuesta de Reglamento
General de Protección de Datos.
2.2. Minas de Privacidad,
El Oro del siglo XXI
Javier Cao Avellaneda.
Ingeniero en Informática y Consultor en seguridad de la
información
@javiercao
La involución de las especies: cuando el hombre se transformó en caracol digital.
Que Internet esta cambiando el mundo es una
obviedad. Sin embargo, muchas veces la velocidad con la que se producen nuevas aplicaciones,
servicios y usos de la tecnología no nos permiten
meditar de forma serena sobre que importancia tienen los nuevos hábitos que vamos adquiriendo en
nuestro día a día y cómo esto altera las rutinas de
nuestra sociedad.
Si la historia universal está segmentada por cambios significativos que han modificado a la cultura
o la sociedad, quizás estemos ahora en el fin de
la edad contemporánea e iniciando la edad de la
información. Ejemplo de todo ello es la explosión
global que se ha producido en estos últimos años
respecto a la información generada por el ser humano. Desde la invención de los soportes digitales
para el almacenamiento y la incorporación de dispositivos móviles como portátiles, tabletas y teléfonos inteligentes, el ser humano es capaz de generar, según IBM1, más de 2.5 quintillones de bytes al
día, hasta el punto de que el 90% de los datos del
1. Fuente: http://www-01.ibm.com/software/data/bigdata/
mundo han sido creados durante los últimos dos
años. Según los estudios de diversos analistas en
el año 2020 habrá 31.000 millones de dispositivos
conectados, 50.000 millones de gigabytes de datos
y 4.000 millones de usuarios de Internet. Ya se generan más 230 millones de tweets al día y se suben
más de 100 Terabytes de información a Facebook.
Quizás tenga que pasar algún tiempo antes de que
seamos capaces de valorar que Internet produjo
un antes y un después en la historia universal del
ser humano.
Sin embargo, hablamos de información como término general siendo importante destacar que según el nivel de abstracción al que nos estemos
refiriendo, se pueden distinguir entre dato, información y conocimiento dado que tienen importancias diferentes y es muy relevante tener claro esta
segmentación de conceptos.
Si en la sociedad industrializada las materias primas eran transformadas en productos que a su
vez producían valor y dinero, en las industrias de
la información son los datos los responsables de
generar este valor que posteriormente se monetiza
y transforma en dinero. En estos nuevos modelos
de negocio, los datos son un activo en el mismo
sentido que las materias primas, y pueden convertirse en valor para la compañía. Tal como describe
Josep Curto, el “ciclo de vida de la información”
se orienta a la generación de valor en base
al procesado y transformación de datos. Esta es
la razón de ser de empresas como Google, Facebook, Amazon, etc. Para entender la relación entre dato, información y conocimiento he recurrido
al ejemplo que expone el blog http://newisrafm.
blogspot.com.es/2.
• Datos: es la unidad básica de semántica. Los
datos pueden ser una colección de hechos almacenados en algún lugar físico como un papel,
un dispositivo electrónico (cd, dvd, disco duro...),
o la mente de una persona. En este sentido las
tecnologías de la información han aportado mucho a recopilación de datos. Podemos decir por
ejemplo que 5000 es un dato, en la medida que
sabemos que es un número.
• Información: es el siguiente escalón de significado y se puede definir como un conjunto de
datos procesados y que tienen un significado
(relevancia, propósito y contexto), y que por lo
2. Definición de dato, información y conocimiento en http://
newisrafm.blogspot.com.es/2009/12/que-es-businessintelligence.html
5
APEPINFORMA07
es muy positiva, tanto por la calidad de los ponentes invitados como por las comunicaciones presentadas. Asimismo debe subrayarse la perfecta
organización, teniendo en cuenta que en muchas
franjas horarias tenían lugar seis paneles al mismo
tiempo.
APEPINFORMA07
tanto son de utilidad. Para generar información
es necesario que intervenga un contexto, cierto
tratamiento de datos y como resultado cierto valor o utilidad. Así, el 5000 de antes, se convierte
en información cuando lo contextualizamos diciendo que son €, número de personas o incrementos en la cotización bursátil.
• Conocimiento: es el nivel más alto con significado. Es una mezcla de experiencia, valores,
información que sirve como marco para la incorporación de nuevas experiencias e información,
y es útil para la acción. Se origina y aplica en la
mente de sus conocedores. En las organizaciones con frecuencia no sólo se encuentra dentro
de documentos o almacenes de datos, sino que
también esta en rutinas organizativas, procesos,
prácticas, y normas. Siguiendo con el ejemplo
anterior, la información de 5000€ se convierte
en conocimiento cuando respondemos a la pregunta qué tal va mi negocio diciendo pues bien
porque los años anteriores (experiencia) hicimos
la misma caja pero ahora estamos en crisis (relación creativa con otras fuentes de información).
Hechas estas aclaraciones previas vamos a contextualizar todo esto al mundo de la privacidad. Las
personas seguimos creyendo que suministramos
algunos datos cuando completamos formularios de
recogida que nos solicitan las empresas. Muchas
veces podemos ser conscientes de qué aspectos
de nuestra vida estamos compartiendo o qué información puede ser obtenida al procesar los datos
suministrados. Por ejemplo, cuando en una promoción suministramos nombres, apellidos, dirección y
teléfono de contacto para participar en un sorteo,
estamos revelando los datos necesarios para permitir nuestra localización en caso de ser premiados
y como mucho, permitiendo el envío de publicidad
a nuestro domicilio con los artículos de la empresa
o grupos de empresas a las que hemos consentido
el tratamiento de esta información. Podemos decir
que nuestra privacidad se ve mínimamente invadida y somos conscientes en todo momento de ello.
Sin embargo a veces no es tan intuitivo y sencillo
ver que tras ciertos datos aportamos más información de la que en primera instancia podemos ser
conscientes que estamos suministrando. Veámoslo con un sencillo ejemplo bajo el supuesto de usar
una aplicación de fotografía que ha tenido mucho
éxito en el mundo de los Smartphone como puede
ser Instagram (Compañía recientemente comprada por Facebook por mil millones de dólares).
Los dispositivos móviles como origen de datos
6
permiten la captura de imágenes, sonidos, texto
y aportan como datos complementarios la fecha y
hora en el que estos se producen y cuando se tiene
activa, la geoposición. Estos datos complementarios o meta-datos pueden aportar mucho valor a la
hora de procesar información de usuarios finales.
Para verlo más claro, volvamos a la segmentación
de los conceptos dato, información y conocimiento
sobre el ejemplo de usar esta aplicación.
• Datos: imagen capturada por el dispositivo móvil con la fotografía procesada por la aplicación
Instagram.
• Información: a dicha foto se le añade un contexto que puede ser el momento en el tiempo en
el que se realiza, la geoposición donde ha sido
tomada y el nombre del usurario registrado en
Instagram que sube al portal la foto. Incluso si la
geoposición no se proporciona, servicios como
Google Goggles3 son capaces de procesar la información e inferir de ella de qué puede tratarse
(ya sea un texto, un paisaje, un cuadro, etc.)
• Conocimiento: si empezamos a pensar en procesar de forma aislada todos los datos de un
usuario podemos lograr correlacionar diferentes
informaciones que pudieran servir para conocer
mucho más a esa persona. Para ello, sobre la
información original debieran hacerse una serie
de cálculos y tratamientos que nos permitirán
inferir más información y por tanto, alcanzar
cierto nivel de conocimiento sobre dicho usuario. Son viables y posibles razonamientos del
siguiente estilo:
- Calcular las distancias entre las posiciones
de las distintas fotos para averiguar el número de kilómetros que recorre este usuario y
con qué diferencia de tiempo. Si por ejemplo
toma fotos en New York el lunes, en Roma el
miércoles, en Londres el jueves, etc… de forma continua podríamos suponer que se trata
de una persona que viaja continuamente y
además lo hace por grandes ciudades.
- Si disponemos de una importante base de
datos complementaria que nos indiquen las
zonas comerciales más exclusivas de cada
ciudad y cotejamos si las geoposiciones de
dichas fotos se encuentran en estas áreas,
podríamos empezar a deducir que se trata de
una persona con un poder adquisitivo alto.
3. Sitio Web de Google Goggles http://www.google.com/
mobile/goggles/
Este ejemplo puede servir para demostrar que
además de los simples datos que creemos suministrar, pueden existir otros datos “obtenibles” o
“deducibles” del contexto en el que se produce la
generación de dichos datos o de la forma en la que
éstos se generan. Estos nuevos datos pueden ser
casi más relevantes o interesantes para la empresa que los recoge que los directamente suministrados, que simplemente hacen de materia prima
para ser posteriormente transformados en elementos de valor. Y es en estos casos donde a priori
es complejo conocer en qué medida se va a ver
invadida nuestra privacidad. Valgan como muestra
los diferentes casos donde personas han sido despedidas por colgar fotos en Facebook, por realizar
ciertos comentarios en Twitter, etc.
Hasta hace unos años, muchas de estas operaciones no eran viables o suponían un coste computacional inmenso. Sin embargo, como el interés de
las empresas era muy alto, se empezaron a diseñar tecnologías denominadas de “minería de datos” 4(en inglés “data mining” o “data wharehouse”)
que orientadas a mejorar los resultados de negocio
fueron denominadas Business Inteligence. Todas
estas tecnologías se aplicaban sobre las bases de
datos que las organizaciones poseen y que son fruto de años de recolección de datos de sus clientes
y de los resultados de las relaciones que mantienen con estos. Estos procesos son los que sirven
para aportar valor y completar así el ciclo de vida
de la información.
La llegada de las redes sociales ha producido un
cambio importante en toda esta filosofía empresarial. Ha sido necesario crear nuevos modelos de
procesamiento de información basados en datos
no estructurados que permitan el procesamiento de ingentes cantidades de información que no
han sido modeladas bajo relaciones entre tablas
de una base de datos. Bajo el término “Big data”
se alude a un conjunto de datos cuyo tamaño está
más allá de la capacidad de la mayoría de los software utilizados para capturar, gestionar y procesar
la información dentro de un intervalo de tiempo to4. Definición en Wikipedia de minería de datos
es.wikipedia.org/wiki/Miner%C3%ADa_de_datos
http://
lerable. Algunos de estos datos podrían ser ajenos
a muchas organizaciones, procedentes de los sensores, dispositivos de terceros, aplicaciones web o
redes sociales que generan una devolución incesante en tiempo real. Todo esto junto representa
el “Big Data” que no se trata sólo a volúmenes de
datos enormes, sino que también cuenta con una
extraordinaria diversidad de tipos de datos, entregados a diferentes velocidades y frecuencias.
Una vez se ha logrado destilar esa ingente masa
de registros inconexos, de lo que se trata es de establecer patrones de comportamiento para poder
predecir hábitos de consumo o posibles comportamientos que sirvan para tomar decisiones, como
por ejemplo, realizar lo que denomino como “marketing predictivo”.
Como resultado del “Big data”, la recogida de forma masiva de información sobre el usuario que se
puede realizar y el adecuado filtrado y procesado
de esa ingente masa de registros inconexos pueden permitir establecer patrones de comportamiento para poder predecir hábitos de consumo o posibles comportamientos que nos dirigirán en el mundo de la mercadotecnia hacia lo que yo denomino
el “marketing proactivo”. En nativos digitales que
han ido dejando rastro de gustos desde menores
de edad, la polarización de gustos, tendencias, aficiones y “sentimientos” permitirá conocer aspectos
nuevos del potencial consumidor. También en este
sentido se están desarrollando tecnologías para la
identificación de emociones por parte de los aparatos domésticos de forma que reconozcan el estado
de ánimo para ofrecer o presentar servicios. Las
empresas podrán anticiparse a los posibles deseos
del consumidor y seleccionar potenciales productos que al usuario puedan interesar garantizando la
materialización de esa compra potencial. La mayor
parte de esta información puede obtenerse desde
los buscadores, ya que lo que el consumidor investiga en la red suele estar orientado a potenciales compras. Esta misma información procesada
por agentes del mundo del marketing puede servir
para vender a los proveedores finales de productos
perfiles de clientes casi convencidos. También permitirá a las empresas incrementar sus beneficios al
poder clasificar mejor a sus clientes en los diferentes grupos o perfiles de compra estableciendo para
cada uno de ellos un rango de precios que maximice sus beneficios. Un producto se estratifica por
perfiles de clientes asignando diferentes precios a
cada uno de estos perfiles. Identificar al potencial
consumidor en el grupo correcto permite lanzar
7
APEPINFORMA07
- Si además consultamos si dicho usuario
dispone de cuentas en Linkedin, Facebook,
Tuenti, … y analizamos con qué personas se
relaciona, se podría perfectamente localizar
el sector al que pertenece y deducir de ello
también su poder adquisitivo.
APEPINFORMA07
promociones y ofertas de productos conociendo de
antemano que ese cliente potencial aceptará esos
precios y evitando que pueda adquirir esos productos en rangos de menor cuantía.
Tal como se ha expuesto, es complejo que la actividad diaria de una persona conectada a Internet
no deje rastro visible que no sea posible posteriormente procesar y por tanto, nos hemos convertido
en caracoles digitales que vamos dejando pistas
de qué consultamos, qué visitamos, qué hacemos
y en algunos casos, de qué sentimos. Y todos estos datos se centran en aspectos relacionados
con las personas como potenciales compradores,
como sujetos con poder adquisitivo al que hay que
tratar de convencer para que adquieran productos
o servicios. Y para ello la mejor forma de hacerlo
es tratando de conocer al máximo posible al sujeto
en cuestión analizando en la medida de lo posible y
sometidos siempre a las restricciones de la legislación vigente en materia de protección de datos de
carácter personal, los aspectos más relevantes que
puedan servir para garantizar el éxito de la venta.
Por tanto, explorar y profundizar en las minas de la
privacidad es para muchas empresas, el nuevo oro
del siglo XXI.
La tentación de lo gratuito: cómo la planta carnívora atrapa al insecto y recopila sus datos.
Para que todo lo anterior sea posible es necesario un cómplice, el afectado o persona física que
suministra los datos. Es más, no es necesario una
persona sino miles, cuantos más mejor de forma
que el volumen de datos en posesión de la empresa sea lo suficientemente importante como para
ser atractivo para los tiburones del mercado de la
publicidad.
¿Y cómo logran atraer a sus víctimas para que
proporcionen datos? De forma sencilla, mediante
aplicaciones atractivas e interesantes que aportan
valor a la persona que las utiliza sin pedir contraprestación económica a cambio. Hasta la fecha
estábamos acostumbrados a pagar con dinero
por usar aplicaciones software o servicios en la
red que eran proporcionados por empresas cuyas
fuentes de ingresos eran precisamente las licencias de esos productos. Sin embargo y gracias al
mundo de la publicidad, una nueva estrategia ha
sido posible, las “aplicaciones freemium”. Son servicios o aplicaciones “gratuitas” que podemos usar
a nuestro antojo aunque habitualmente suponen
el registro en la empresa que proporciona el producto. Si tiramos del diccionario, se obtiene que el
significado de “gratuito” es el siguiente:
8
Gratis
• adv. Sin pagar o sin cobrar dinero: entrar gratis
al cine.
• adj. Que no cuesta dinero: entradas de cine gratis. gratuito.
¿Es gratis un adjetivo adecuado en nuestro tiempo? ¿Cómo se describen los servicios que tienen
una contraprestación en información a cambio de
su uso? Los modelos de negocio de “lo gratuito” están basados ya no en intercambios monetarios por
servicios sino en remuneración en información. Es
similar al objetivo de las tarjetas de fidelización de
toda gran superficie que cambia puntos o descuentos por registrar nuestras compras. No le damos
importancia y no podemos estimar quizás su valor,
pero seguro que detrás hay mucho dinero contante
y sonante porque el mundo de la publicidad online se mueve cada vez más rápido y las empresas
están deseosas de conocer al máximo a sus potenciales clientes para adecuar mejor sus precios
o servicios y seguramente como consumidores somos más predecibles de lo que nos creemos.
Para que el modelo “freemium” funcione, es necesario seducir al mayor número de usuarios posibles
dado que el valor de la compañía se estima de esta
forma. En el caso de Instagram, se trata de una
red social basada en la fotografía. Los usuarios
pueden crear cuentas allí y subir las imágenes que
describan sus actividades, intereses o inquietudes.
Sus mentores definen el servicio como “una bonita
manera de compartir el mundo”. Como uno de sus
principales atractivos, Instagram se destaca por
ofrecer una amplia variedad de filtros automáticos
que permiten cambiar totalmente la estética de las
instantáneas lo que ha cautivado a miles de usuarios, anónimos y famosos que han hecho popular
dicha herramienta. Su éxito se basa en la mezcla
de ser una aplicación de retoque fotográfico y a la
vez una red social que permite marcar o indicar
“me gusta” en los resultados. Cuenta con más de
80 millones de usuarios registrados y en su política
de privacidad5 se pone de manifiesto cual es el su
modelo de negocio.
Tal como cuenta el artículo “Nuestros datos personales son el nuevo petróleo6” en la Web de la
BBC, “Muchos usuarios no hemos caído del guin5. Política de privacidad de Instagram consultable en
http://instagram.com/about/legal/privacy/
6.
Fuente:
http://www.bbc.co.uk/mundo/
noticias/2012/04/120416_tecnologia_datos_personales_
petroleo_aa.shtml
Regulaciones de privacidad, las únicas barreras al expolio del tesoro.
Tal como se ha podido ver hasta el momento, se
plantean en el escenario económico actual nuevos
modelos de negocio basados en el tratamiento de
información que son una importante industria en el
mundo de las tecnologías de la información. Nuevas empresas de relativa juventud (todas creadas
en las década de los 90) que han crecido de forma
exponencial hasta ser grandes multinacionales que
ostentan posiciones de casi completo monopolio en
la economía de Internet (como puede ser el caso
de Google en el mercado de la publicidad online).
Sin embargo, en estas nuevas tierras del Salvaje Oeste existen también restricciones amparadas
al menos en el marco europeo por la Directiva de
Protección de Datos. Para las grandes empresas
americanas esta directiva y sus correspondientes
leyes estatales y desarrollos reglamentarios no son
sino escollos o barreras que impiden saciar su inmensa voracidad de información. Sin embargo, los
temas de cumplimiento legal pesan cada vez más
e incluso en el mercado americano, las demandas
sufridas por violaciones de la privacidad han supuesto un toque de atención. La reciente sentencia
de la Comisión Federal de Comercio estadounidense (FTC) al condenar a Google a pagar una multa
de $22,5 millones (aproximadamente 18 millones
de euros) ha llevado a éstos a contratar un equipo
de “ingenieros de privacidad” (Privacy Red Team)
que ayudarán a Google a asegurar que sus productos son diseñados y garantizan el cumplimiento
de la regulación en materia de privacidad. Curiosa
la manera que tiene de entender el “Don’t be evil”
si han tenido que pasar unos años para que se
acuerden de la privacidad.
Esta claro que se está produciendo un choque de
trenes entre el poder de la industria de Internet y la
legislación europea tendrán como campo de batalla la privacidad. Ajustar o limitar el qué se puede
hacer y sobre todo, amparar a los afectados para
que al menos ciertos derechos en la materia sean
respetados son el reto del nuevo reglamento europeo.
Y para terminar, a todos nosotros que somos profesionales relacionados de alguna manera con la
privacidad nos toca otra misión que cumplir: hacer
entender y evangelizar sobre qué importancia tiene
este concepto y cómo condiciona nuestras vidas.
Quiero a colación extractar una de las reflexiones
que más de impactaron del libro Parque Jurásico
donde se planteaba entre otras cosas el poder de
la ciencia. A continuación podéis leer el párrafo en
cuestión donde el matemático del Caos, Malcolm
comenta con el dueño del Parque, Hammond por
qué la naturaleza no puede ser controlada y cómo
había sobredimensionado el poder de la ciencia:
“—¿Sabe qué es lo que tiene de malo el poder
de la ciencia? —prosiguió—. Que es una forma
de riqueza heredada. Y ya sabe usted cuan imbécil es la gente congénitamente rica. Nunca falla. —¿De qué está hablando? —preguntó Hammond. Harding hizo un gesto, indicando delirio.
Malcolm le lanzó una mirada. —Le diré de qué
estoy hablando —contestó—:
La mayor parte de las distintas clases de poder exigen un gran sacrificio por parte de quien
quiera tener ese poder. Hay un aprendizaje, una
disciplina que dura años. Cualquiera que sea la
clase de poder que se busque. Presidente de
la compañía. Cinturón negro de karate. Gurú
espiritual. Atleta profesional. Sea lo que sea lo
que se persiga, hay que ponerlo en el tiempo,
en la práctica, en el esfuerzo, hay que sacrificar
muchas cosas para lograrlo. Tiene que ser muy
importante para uno. Y, una vez que se alcanza,
es el poder de uno mismo; no se puede delegar: reside en uno. Es, literalmente, resultado
de nuestra disciplina. Ahora bien: lo interesante
de este proceso es que, en el momento en que
alguien adquirió la capacidad de matar con sus
manos, también maduró hasta el punto en que
sabía cómo utilizar ese poder. No lo utilizaría de
manera imprudente. Así que esa clase de poder lleva una especie de control incorporado:
la disciplina de conseguir el poder cambia a la
persona, de manera que esa persona no hace
mal uso de su poder. Pero el poder científico es
como la riqueza heredada: se obtiene sin disciplina. Una persona lee lo que otras hicieron, y
9
APEPINFORMA07
do, no somos conscientes de cuánto valen nuestros datos y por ello internet estaría funcionando
con una estructura feudal: los usuarios generamos
riqueza a cambio del uso de la “tierra” de Internet
mientras los monarcas Facebook, Google o Microsoft se reparten el botín. En cifras, ¿Cuánto valen
nuestros datos? Según emarketer, webpronews
y el blog tecnológico Techcrunch, sólo con los ingresos por publicidad Facebook habría ganado
US$1.860 millones en 2010, liderando una lista seguida por YouTube con US$945 millones, Myspace
con US$388, LInkendin con US$243 y los US$45
de Twitter.”
APEPINFORMA07
da el paso siguiente. Puede darlo siendo muy
joven. Se puede progresar muy de prisa. No
hay una disciplina que dure muchas décadas.
No hay enseñanza impartida por unos maestros: se pasa por alto a los viejos científicos. No
hay humildad ante la Naturaleza. Sólo existe
la filosofía de hacerse-rico-pronto, hacerse-unhombre-rápido. Engañar, mentir, falsificar, no
importa. Ni para uno ni para sus colegas. Nadie
nos critica: nadie tiene pautas. Todos intentan
hacer lo mismo: hacer algo grande, y hacerlo
rápido. Y, como uno se puede levantar sobre los
hombros de los gigantes, se puede lograr algo
con rapidez. Uno ni siquiera sabe con exactitud
qué ha hecho, pero ya informó sobre ello, lo
patentó y lo vendió. Y el comprador tendrá aún
menos disciplina que el científico: el comprador
simplemente adquiere el poder, como si fuera
cualquier bien de consumo. El comprador ni siquiera concibe que pueda ser necesaria disciplina alguna. Un maestro de karate no mata gente
con las manos desnudas; no pierde los estribos
y mata a su esposa. La persona que mata es la
que no tiene disciplina, no tiene restricciones, y
que salió y adquirió su poder como una dosis de
droga. Y ésa es la clase de poder que la ciencia
fomenta y permite.”
La privacidad es un bien de siglos que nos ha costado conseguir establecer. Sin embargo para los
nuevos nativos digitales es un bien heredado que
quizás no sepan valorar en su justa medida. A ello
se suma que Internet está plagado de plantas carnívoras de privacidad que se disfrazan de forma
atractiva para atrapar los datos de usuarios que
sin reflexionar demasiado, contemplan que el uso
de las aplicaciones merece el sacrificio de la privacidad cedida. Y dado que a priori estas cesiones
de intimidad no tienen consecuencias tangibles ni
claramente visibles, vamos asumiendo día a día
que nuestros datos no valen nada aunque miles
de ellos estén haciendo ricos a los creadores de
las empresas de estos servicios. A los profesionales de la privacidad nos toca por tanto concienciar
a las nuevas generaciones en el uso consciente y
controlado de estas nuevas tecnologías y educar a
la ciudadanía sobre qué es la privacidad y qué esconden los bonitos neones de los servicios gratuitos en Internet. Con conocimiento y conciencia de
lo que uno hace, ya que sea cada cual libremente
el que decida lo que más le conviene pero al menos, desde una posición informada y consciente.
La industria tecnológica tiene claro que cuantos
10
más datos sea capaz de recoger, más información
y conocimiento será producido incrementándose
así su valor económico. Y esta voracidad depredadora no tiene límite, esta riqueza heredada no
tiene mecanismos de control incorporados. Se
empezaron recogiendo datos personales para la
notificación postal y las gestiones comerciales, se
evolucionó hacia el mundo de las redes sociales
donde se recopilan datos sobre gustos y aficiones
y el siguiente salto serán captar las emociones.
Ya existen diseños de concepto como el “empathy
model” de Blackberry7 que incorpora un sensor en
forma de anillo para recoger mediciones del estado
de algunos de nuestros parámetros biométricos y
poder deducir así nuestro estado emocional. Cada
uno de estos tipos de información supone cruzar
una de las barreras protectoras de la privacidad y
sabemos que la industria no tendrá límites mientras sea capaz de crear productos atractivos y vendibles. Nuestra única esperanza es una legislación
restrictiva que determine las fronteras que no se
pueden cruzar. Cuando en la LOPD se introdujo
dentro de los derechos del afectado el Artículo 13,
Impugnación de valoraciones, quizás los legisladores no tuvieran en mente que las tecnologías
del “Big data” pudieran llegar tan lejos. Al releer el
apartado 2 del artículo 13, “2. El afectado podrá
impugnar los actos administrativos o decisiones
privadas que impliquen una valoración de su comportamiento, cuyo único fundamento sea un tratamiento de datos de carácter personal que ofrezca
una definición de sus características o personalidad” me vienen ahora en este nuevo contexto un
sinfín de posibles situaciones donde podría ser de
aplicación como por ejemplo, decisiones de selección de personal basadas en el análisis de rastros
a través de redes sociales.
La privacidad por tanto es un elemento molesto
que a vista de muchos sectores puede entorpecer
o dificultar el desarrollo de estos nuevos modelos
de negocio. Los profesionales de la privacidad
además sufrimos una lacra interna que mercantiliza los servicios de asesoramiento en la materia a
“coste cero”. En todo este contexto, la privacidad
seguramente va a sufrir continuas lesiones y los
gremios de poder van a intentar reducir a la mínima expresión su significado. Los profesionales de
7. Información sobre el diseño conceptual del anillo de
emociones Blackberry http://www.concept-phones.com/coolconcepts/blackberry-empathy-phone-mood-ring-flexible-oleddisplay/
2.3. Posibles fórmulas de consentimiento para la pubicidad comportamental
Paula Ortiz López.
Directora Jurídica y de relaciones institutcionales de IAB
Spain
1. Introducción
La publicidad ha estado históricamente aparejada al comercio y, desde que existen productos,
han existido unas y otras formas de comunicar la
existencia de los mismos. Desde que en Egipto se
aprovechara un papiro en el que se denunciaba un
esclavo huído para anunciar los maravillosos tejidos de los que disponía el dueño del pobre fugado,
y con los que recompensaría a quien le encontrara, hasta el día de hoy, muchas han sido las técnicas publicitarias. Con la aparición de Internet, la
industria de la publicidad, como sector siempre en
movimiento y en la vanguardia, ha dirigido su modelo de negocio hacia el entorno online, donde la
publicidad es más precisa y más relevante para el
usuario que nunca. Hoy en día la publicidad en los
medios digitales permite a los anunciantes llegar a
los usuarios mediante anuncios o comunicaciones
comerciales que son relevantes para ellos. No ha
de olvidarse, además, que la publicidad en estos
medios es uno de los motores de crecimiento de
la economía en España y en Europa8 y que esta
sustenta el uso gratuito de los servicios de la sociedad de la información por parte de los usuarios,
financiándolo en gran medida tanto desde el punto
de vista técnico como humano. Es por tanto una
valiosísima herramienta cuyo funcionamiento puede diferir ligeramente de unos proveedores de pu8. El informe Adex Benchmark sobre la inversión en publicidad online en 2011 refleja el mercado español de publicidad
online se situó en 925 millones de euros. A nivel europeo, cruzó los 20,9 billones de euros en 2011, frente a 18,3 billones de
euros en el año anterior. De esta manera, Internet contribuye
actualmente en un 3,8% al PIB de la UE.
Estudio disponible en: http://www.iabspain.net/wp-content/
plugins/download-monitor/download.php?id=102
blicidad a otros, pero cuya utilidad para el consumidor es indudable. El Informe de recomendaciones
del Grupo de Expertos de Alto Nivel para la Agenda
Digital para España9, reconoce la importancia de la
publicidad digital en los siguientes términos “El desarrollo de una regulación que limite la efectividad
de la publicidad online, ya sea por unos requisitos
muy estrictos de consentimiento o por la limitación
de la capacidad de generación de perfiles a partir
del procesado de los datos, podrá tener un impacto
negativo sobre el consumo, sobre la sostenibilidad
de los modelos de negocio actuales de prestación
gratuita de servicios y sobre la capacidad de innovación en Internet”. Como ya es sabido, esta publicidad online se lleva a cabo a través de la utilización de cookies10, que se instalan en el terminal
del usuario para recopilar datos online del comportamiento en la Web con el fin de utilizar estos datos para predecir preferencias o intereses y ofrecer
publicidad a ese equipo o dispositivo. El citado informe también se refiere a la problemática del consentimiento para la instalación de las cookies en
los terminales: “El procesado y almacenamiento
de los datos personales se ha situado como una
variable estratégica para la mayoría de agentes de
la economía digital, y su desarrollo requerirá de la
existencia de un marco regulatorio flexible, que no
imponga costes ni obligaciones adicionales y que
fomente la competencia, la transparencia y el control por parte de los usuarios sobre el uso de sus
datos personales”.
En el presente artículo se proponen una serie de
soluciones para la gestión del consentimiento de
las cookies. Por la limitación de espacio, no nos
detendremos en el análisis de las excepciones al
consentimiento11, o las sanciones que puede con9. Disponible en http://www.ontsi.red.es/ontsi/sites/default/
files/informe-recomendaciones-ade.pdf
10. Cookie: Cualquier tipo de archivo o dispositivo que se descarga en un equipo terminal de los destinatarios con la finalidad de almacenar y recuperar datos del equipo desde el que
accede el usuario al servicio. Las cookies se pueden diferenciar según su finalidad (técnicas, de funcionalidad, de análisis,
de publicidad), según quien las instale (propias y de terceros)
y según el plazo que permanecen instaladas en el terminal
(de sesión y permanentes). En el artículo sólo nos referiremos
a las cookies de publicidad. Para una mayor información sobre las tipologías de cookies, puede consultarse, entre otros
el documento “ICC UK Cookie guide”- Abril 2012- http://www.
international-chamber.co.uk/components/com_wordpress/wp/
wp-content/uploads/2012/04/icc_uk_cookie_guide.pdf
11. Puede consultarse el Dictamen 4/2012 del GT 29 sobre las
excepciones al consentimiento para las cookies http://ec.europa.
eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2012/wp194_en.pdf
11
APEPINFORMA07
la privacidad no debemos desanimarnos por todas
estas circunstancias y no debemos olvidar cual es
nuestro papel en esta nueva sociedad. Recordar
nuestra misión ha sido al menos el propósito de
este texto.
APEPINFORMA07
llevar el incumplimiento de la LSSI, en tanto en
cuanto en la actualidad no está clara la tipificación
de la infracción en esta ley.
2. Marco Legal
Con la aprobación de la Directiva 2009/136/CE,
que modifica, entre otras, la Directiva 2002/58/CE
de privacidad en las telecomunicaciones, se introduce un cambio en el rol del usuario de Internet a
la hora de prestar el consentimiento para la instalación de cookies en su terminal. Esta directiva supedita la instalación de estos dispositivos a que el
usuario haya dado su consentimiento después
de que se le haya facilitado información clara y
completa12. En la parte interpretativa de la directiva, sin embargo, se matiza que debe facilitarse al
usuario información y un derecho de negativa por
el método más sencillo y que, cuando sea técnicamente posible y eficaz, y de conformidad con las
disposiciones pertinentes de la Directiva 95/46/CE,
el consentimiento del usuario para aceptar el tratamiento de los datos podrá facilitarse mediante el
uso de los parámetros adecuados del navegador o
de otra aplicación. Las diferencias en la interpretación de la norma13 llevaron por un lado al Grupo de
Trabajo del Artículo 29 (en adelante GT 29) a aprobar un Dictamen en el que se analizaban las diferentes opciones para prestar ese consentimiento14.
Por otro, a la industria publicitaria, reunida en el
Interactive Advertising Bureau y la European Advertisng Standard Alliance, a elaborar un Código
12. Artículo 5.3 Directiva 2009/136/CE “Los Estados miembros
velarán por que únicamente se permita el almacenamiento de
información, o la obtención de acceso a la información ya almacenada, en el equipo terminal de un abonado o usuario, a
condición de que a dicho abonado o usuario haya dado su
consentimiento de que se le haya facilitado información
clara y completa, en particular sobre los fines del tratamiento
de los datos, con arreglo a lo dispuesto en la Directiva 95/46/
CE. Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión
de una comunicación a través de una red de comunicaciones
electrónicas, o en la medida de lo estrictamente necesario a
fin de que el proveedor de un servicio de la sociedad de la
información preste un servicio expresamente solicitado por
el abonado o el usuario.”
13. Para una mayor información sobre estos enfoques puede
consultarse el artículo “Nuevos retos de la publicidad basada en comportamiento: de la información al consentimiento
informado” (Núm. 61 Revista “Comunicaciones en Propiedad
Industrial y Derecho de la Competencia” del Instituto de Derecho y Ética Industrial) y el libro “La publicidad comportamental
online” de Francisco Pérez Bes (editorial UOC)
14.
Dictamen 2/2010 sobre publicidad basada en
comportamiento. Disponible en: http://ec.europa.eu/justice/
policies/privacy/docs/wpdocs/2010/wp171_es.pdf
12
de buenas prácticas para la publicidad basada en
comportamiento online (online behavioral advertising), al que nos referiremos más adelante.
La acelerada transposición de la norma comunitaria -después de que la Comisión Europea abriera
un expediente de infracción en julio de 2011 por rebasar el periodo dado a los Estados miembros- en
el Real Decreto Ley 13/2012 por el que se modifican la Ley 34/2002 de Servicios de la Sociedad de
la Información (en adelante LSSI) y la Ley 32/2003
General de Telecomunicaciones, no ha arrojado
mucha luz sobre los interrogantes planteados respecto a su aplicación. De esta manera es la Agencia Española de Protección de Datos (en adelante
AEPD), organismo competente para la tutela de los
derechos y garantías de abonados y usuarios en el
ámbito de las comunicaciones electrónicas, quien
tiene la complicada labor de interpretar el espíritu
del legislador europeo trasladado al artículo 4.3 del
citado Real Decreto y que modifica el artículo 22.2
de la LSSI15. Este organismo ya está trabajando en
una guía para la interpretación y aplicación de este
artículo, para lo que contará con la colaboración
de Adigital, Autocontrol e IAB Spain y es previsible que a finales de septiembre se conozca ya su
opinión.
El citado artículo 22.2 de la LSSI establece como
regla general la obligación de obtener el consentimiento informado para utilizar dispositivos de
almacenamiento y recuperación de datos en equipos terminales de los destinatarios. Este consentimiento está sujeto a dos excepciones; cuando la
cookie tenga la finalidad de efectuar la transmisión
de una comunicación por una red de comunicacio15. Artículo 4.3 que modifica el artículo 22 de la Ley de Servicios de la Sociedad de la Información
2. Los prestadores de servicios podrán utilizar dispositivos de
almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan
dado su consentimiento después de que se les haya facilitado
información clara y completa sobre su utilización, en particular,
sobre los fines del tratamiento de los datos, con arreglo a lo
dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre,
de Protección de Datos de Carácter Personal. Cuando sea
técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse
mediante el uso de los parámetros adecuados del navegador
o de otras aplicaciones, siempre que aquél deba proceder a su
configuración durante su instalación o actualización mediante
una acción expresa a tal efecto. Lo anterior no impedirá el
posible almacenamiento o acceso de índole técnica al solo fin
de efectuar la transmisión de una comunicación por una red
de comunicaciones electrónicas o, en la medida que resulte
estrictamente necesario, para la prestación de un servicio de
la sociedad de la información expresamente solicitado por el
destinatario.
Si bien la LSSI remite a la Ley Orgánica 15/1999
de Protección de Datos (en adelante LOPD) para
establecer los aspectos sobre los que se ha de informar a los usuarios antes de que estos presten
su consentimiento, no existe referencia a la descripción ni la forma de prestar el mismo, por lo que,
a modo ilustrativo, podría atenderse a la definición
que da la LOPD en su artículo 3.h) como “toda manifestación de voluntad, libre, inequívoca, específica e informada”. Por tanto, aunque la LSSI
no se refiere al consentimiento en los términos de
la LOPD, podría utilizarse a modo ejemplificativo
esa terminología para referirnos al consentimiento
para la instalación de las cookies. En este sentido,
si bien el consentimiento expreso ofrece una mayor seguridad jurídica, el consentimiento tácito, que
se caracteriza por la ausencia de oposición, puede
ser aceptado en algunas situaciones. En cualquier
caso conviene aclarar que la aplicación de un consentimiento en los términos de la LOPD y el Reglamento 1720/2007 de protección de datos no sería
aplicable a este supuesto.
3. Posibles soluciones
Se apuntan brevemente en este apartado diferentes opciones para la prestación del consentimiento
a la luz de lo establecido en el artículo 22.2 de la
LSSI.
3.1. Consentimiento tácito a través de información por niveles o capas
Como se apuntaba en líneas anteriores, la LSSI exige un consentimiento informado para la instalación
de las cookies en los terminales de los usuarios.
La información es, por tanto, uno de los elementos
clave para que este consentimiento se considere
válido. En cuanto a los requisitos de información,
el artículo 5 de la LOPD requiere que se informe
sobre los siguientes aspectos: Existencia del un
fichero de tratamiento, finalidad del tratamiento,
destinatarios de la información, carácter obligatorio
o facultativo de la respuesta, consecuencias de la
obtención de datos, negativa a suministrarlos, identidad y dirección del responsable y la posibilidad de
ejercer los derechos de acceso, rectificación cancelación y oposición.
El GT 29 ha establecido en su Dictamen sobre
el consentimiento, que para garantizar una información adecuada se requieren dos tipos de requisitos:
• Calidad de la información - la manera en que
se presenta la información (texto claro, sin jerga, comprensible, visible) es esencial para determinar si el consentimiento es manifestación
de voluntad «informada». La forma en que se
suministra esta información depende del contexto: el usuario medio/habitual debe ser capaz de
entenderla.
• Accesibilidad y visibilidad de la información – La
información debe comunicarse directamente a
las personas. No basta con que la información
esté «disponible» en algún lugar.
Teniendo en cuenta el entorno Internet, el espacio
del que se dispone y a efectos de que el mensaje
fuera efectivo y la manifestación del usuario consciente, podría proponerse una solución en la que el
usuario recibiera toda la información en diferentes
niveles o capas, siendo las dos primeras obligatorias. Una primera capa, claramente identificada en
la que se muestre al usuario la información más
importante y la posibilidad de oponerse a la instalación de cookies, que se haría en una segunda
capa, donde se informaría al usuario sobre todos
los aspectos que requiere la normativa. Si bien
puede existir cierta libertad para la elaboración de
las mismas, se aportan una serie de ejemplos.
La primera capa de información podría mostrarse
en la cabecera o pie de página, mediante un letrero
(label) o ventana emergente y que esta dirigiera a
una información más completa. Para cumplir con el
requisito del consentimiento informado, la primera
capa de información debería contener la siguiente
información.
- Qué son las cookies
- Función y finalidad de las mismas
- Petición del consentimiento para instalarlas en
el terminal, advirtiendo que si sigue navegando
se considerará que consiente. Con las siguientes características:
• el carácter obligatorio o no de permitir el tratamiento
• las consecuencias de permitir o no el tratamiento
• la posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición
en tanto en cuanto se puedan tratar datos de
carácter personal
13
APEPINFORMA07
nes electrónicas o cuando resulte estrictamente
necesario para la prestación de un servicio de la
sociedad de la información expresamente solicitado por el destinatario.
APEPINFORMA07
• link a una segunda capa de información más
detallada
Ejemplo: Página web de la BBC (www.bbc.co.uk):
La segunda capa, incluiría más información y la
opción de desactivar las cookies, distinguiendo las
modalidades de las mismas.
- Tipos de cookies que se utilizan (breve descripción)
- Opción de deshabilitar las cookies
- Opcional: Link a una tercera página con información más detallada
Ejemplo: Segunda capa de información de la BBC
(http://www.bbc.co.uk/privacy/cookies/managing/
cookie-settings.html)
La solución de información por capas ha sido aprobada por el GT 29 en su Dictamen 10/2004 sobre
una mayor armonización de las disposiciones relativas a la información. El formato de múltiples capas contribuye a mejorar la calidad de la información recibida. En internet el espacio mostrado en
cada página es limitado y los formatos de múltiples
niveles pueden mejorar la legibilidad de los avisos,
como ha sucedido también en sectores como la videovigilancia.
De esta manera, podría entenderse que el usuario
ha prestado su consentimiento cuando, una vez
aportada toda la información, y un método sencillo en el que se le de la opción de aceptar o
rechazar el tratamiento, éste decide seguir navegando, lo que, considerado como una manifestación de voluntad, cabría ser considerado como un
consentimiento tácito. En ese sentido, el usuario
puede expresar su voluntad de diversas formas; visitando una web, navegando de una página a otra,
pulsando un enlace, suscribiéndose a un servicio,
comprando un producto, etc.
El Information Commissioner’s Office, órgano
homólogo a la AEPD en Reino Unido, en su guía
“Guidance on the rules on use of cookies and similar technologies”16 establece que el consentimiento
tácito es una fórmula válida:
“The Information Commissioner’s guidance
made it clear that although an explicit opt-in
mechanism might provide regulatory certainty
it was not the only means of gaining consent.
In some circumstances those seeking consent
might consider implied consent as an option that
was perhaps more practical than the explicit optin model.
La tercera capa, optativa, en la que se describen
todas las cookies que se utilizan, dependiendo de
su finalidad, y a la que se accede mediante un link
situado en cada una de las descripciones, indicando que se obtendrá más información (ejemplo:
http://www.bbc.co.uk/privacy/cookies/bbc/
performance.html
http://www.bbc.co.uk/privacy/
cookies/bbc/online-behavioural.html
14
…Implied consent is certainly a valid form of
consent but those who seek to rely on it should
not see it as an easy way out or use the term
as a euphemism for “doing nothing”. In many
cases, to create a situation in which implied consent is acceptable to subscribers, users and the
regulator it would still be necessary to follow the
steps set out in the Information Commissioner’s
existing guidance.
… For implied consent to work there has to be
some action taken by the consenting individual
16. Disponible en http://www.ico.gov.uk/for_organisations/
privacy_and_electronic_communications/the_guide/~/
media/documents/library/Privacy_and_electronic/Practical_
application/cookies_guidance_v3.ashx
En relación a la manifestación de la voluntad, establece que:
“…In the context of cookies, similar consent
might be inferred from a series of user actions
which do not in isolation constitute a direct expression of the user’s thoughts about cookies –
they have not, in effect, ticked a box accepting
cookies – but which in context act as a strong
enough indication that they agree to cookies being set.
“…User actions can only give a strong enough
indication if there is a shared understanding of
what is happening. An example might be that the
user is given a clear and unavoidable notice that
cookies will be used and on that basis decides to
click through and continue to use the site”…
En cuanto al momento de instalación de las cookies, si bien la normativa establece la necesidad
de que se haya facilitado información y éste haya
consentido antes de que se instale la cookie, en
el plano práctico se hace muy difícil requerir este
consentimiento de forma previa, dado que muchas
páginas web instalan las cookies en el momento en
el que el usuario accede a su web (como sucede
en el caso de la cookies técnicas). Además, como
sucede en el caso de las cookies publicitarias, sería
muy difícil cuantificar las impresiones que se sirven
desde los servidores publicitarios. Además, el retraso de la instalación de las cookies, conllevaría
una modificación en la programación de todos los
soportes, lo que supondría que muchas páginas
aparecerían con el contenido en blanco durante
los primeros segundos de carga, ya que los servidores de contenido y publicitarios están sujetos a
procesos de sincronización. Esta situación no evita
que, siempre que sea posible, la instalación de las
cookies pueda retrasarse un tiempo prudencial en
el que pueda considerarse que el usuario, una vez
informado de todos los aspectos e implicaciones,
ha entendido las implicaciones y no ha realizado
ninguna acción al respecto.
En todo caso, deberían aportarse al usuario mecanismos sencillos para que éste pueda revocar su
consentimiento en cualquier momento.
3.2 Navegadores y herramienta “Do Not Track”
La LSSI establece que la configuración de los parámetros del navegador puede ser uno de los medios para obtener el consentimiento de los usuarios para la instalación de cookies. Se trata de que
un determinado navegador no acepte cookies de
seguimiento con el fin de ser utilizadas en publicidad comportamental. Dicha opción debería ser
fácilmente identificable por parte del consumidor.
Esta es, previsiblemente, la vía que se seguiría en
Estados Unidos después de que la Federal Trade
Commission emitiera en marzo de 2012 su informe
sobre privacidad. La Comisaria de la DG de la Sociedad de la Información (DG Infso), Nelie Kroes se
ha mostrado favorable a esta solución17 . Asimismo, esta iniciativa está siendo tratada en la actualidad por el Tracking Protection Working Group de la
World Wide Web Consortium (W3C). A día de hoy
no existe una uniformidad de criterios en cuanto al
diseño de los navegadores, por lo que quizás sea
todavía temprano para plantear este escenario.
3.3 Autoregulación: www.youronlinechoices.com
La autorregulación se presenta como una de las
posibles soluciones para la gestión de la publicidad online. A nivel europeo, la Industria publicitaria digital lanzó un sistema de autorregulación
europeo sobre publicidad comportamental, más
conocido en el sector digital como “IAB Europe
OBA Framework”18 en abril de 2011. La Comisaria
Kroes, en su discurso “Towards more confidence
and more value for European Digital Citizens”19, ha
apoyado abiertamente la autorregulación como posible solución a la implementación de las nuevas
normas de privacidad en las telecomunicaciones.
Para la Comisaria, para que el sistema de autorregulación se lleve a cabo con las debidas garantías
es necesario tener en cuenta 4 factores:
17. http://blogs.ec.europa.eu/neelie-kroes/donottrack/#more1161
18. http://www.iabeurope.eu/media/94528/2012-06-08_iab_
europe_oba_framework.pdf
19. “While today is not the time or place to go into too much
technical detail, we should work towards a realistic solution
which will enhance users’ trust. The solution must be a
driver, and not an impediment, to the growth of the digital
economy. I believe that a self-regulatory solution is possible.
But it will need to be one clearly based on the applicable
EU legislation. Such a solution can go a long way towards
facilitating compliance and avoiding divergence among the
Member State” http://europa.eu/rapid/pressReleasesAction.
do?reference=SPEECH/10/452 (Disponible el 29-01-2011)
15
APEPINFORMA07
from which their consent can be inferred. This
might for example be visiting a website, moving
from one page to another or clicking on a particular button. The key point, however, is that when
taking this action the individual has to have a
reasonable understanding that by doing so they
are agreeing to cookies being set…”
APEPINFORMA07
- Transparencia
4. Breve referencia a los agentes implicados
- Consentimiento (medios que permitan al usuario aceptar la creación de perfiles)
El ecosistema de la publicidad comportamental implica a varios actores. La LSSI no identifica quién
es el responsable de requerir el consentimiento y, a
efectos de asignar responsabilidades, sería necesario analizar quién decide sobre la finalidad, contenido y uso del tratamiento.
- Soluciones fáciles para los usuarios, como la
configuración de los navegadores o herramientas similares, no siendo suficiente la información
desde las políticas de privacidad.
- Asegurar la aplicación efectiva del código (incluyendo sistemas de presentación de denuncias,
y sistemas de auditoría internos, así como sistemas de sanción efectivos).
La European Advertising Standard Alliance, con la
colaboración de IAB Europe ha elaborado un código de recomendaciones de buenas prácticas para
la publicidad basada en comportamiento20, que integra y complementa los principios de IAB Europe
y establece una serie de principios y estándares
que pueden ser recogidos y adaptados a futuros
códigos de autorregulación nacionales.
Entre las soluciones que plantea la industria está la
adopción de un icono, dentro o alrededor del anuncio,
mediante el cual el usuario puede conocer que está
recibiendo publicidad comportamental. Este icono dirige a la página www.youronlinechoices.com, en la
que el usuario puede encontrar toda la información
relativa a la publicidad online basada en comportamiento, cómo funciona y cómo gestionar la privacidad. Esta solución, que se podría combinar con la
fórmula de consentimiento tácito e información por
capas, también sería viable para la gestión de la
privacidad por parte de los usuarios, ya que podría
servir para la creación de listas de exclusión centralizadas, que podrían consultarse por todas las
empresas.
3.4 Otras soluciones
Por otro lado, y dependiendo de las diferentes situaciones, el usuario también podría prestar su
consentimiento a través de la aceptación de la política de privacidad o los términos y condiciones de
uso, o en el momento de descargar una determinada aplicación o programa de una página web.
Estas soluciones pueden ser complementarias a
las expuestas anteriormente.
20. http://www.easa-alliance.org/page.aspx/386
16
En primer lugar, el editor de la web instala las cookies necesarias para que el servicio solicitado
funcione correctamente. También decide si ofrecer
publicidad, propia o de terceros, firmando en ese
caso los acuerdos o contratos pertinentes. Al ser
los editores los que configuran su web, facilitan la
transferencia de datos y ayudan a fijar los fines para
los que se lleva a cabo- enviar publicidad relevante
a los visitantes- tendrían que informar y requerir el
consentimiento tanto de las cookies propias (que
no estén exentas de la obligación de requerir el
consentimiento) como de las de terceros con los
que tenga acuerdo, ofreciendo la posibilidad de rechazar su instalación. Cuando a través de la web
del editor se envíen cookies de terceros, que cabrían considerarse encargados, en los contratos
que firme el editor con éstos, deberá establecerse
entre sus cláusulas el uso que se va a dar a los datos obtenidos a través de esa página, y qué sucede
una vez cumplida la prestación contractual.
5. Conclusiones
El sector de la publicidad digital, y quienes lo representan, son conscientes de la importancia de la
privacidad en Internet y de la necesidad de adoptar fórmulas de información y consentimiento que
reúnan los requisitos de transparencia y control
que exige la normativa, a la vez que se protege
la importante inversión en los medios. El enfoque
abordado en este artículo apunta distintas soluciones y propuestas que, entre otras, podrían tenerse
en cuenta a la hora de interpretar la normativa. La
línea que ha seguido la Autoridad de protección de
datos de Reino Unido (Information Commissioner)
parece una solución viable. Si bien hay que esperar
al pronunciamiento de la Agencia Española de Protección de Datos cabe suponer que la solución que
finalmente se adopte alcance un justo equilibrio entre de los derechos de los usuarios y el desarrollo
de la publicidad en internet y de la economía, permitiendo un entorno creativo y transparente.
Jorge Ferre Moltó.
Socio director de Iskipa Protección de Datos
Con fecha 16/10/12 se ha dictado Resolución por
el Director de la AEPD autorizando un nuevo modelo de Transferencia Internacional de Datos en el
marco de una subcontratación de servicios, a favor
de Global Sales Solutions Line en adelante GSS,
empresa que se dedica a la prestación de servicios
de emisión y recepción de llamadas, de marketing
telefónico para la promoción y difusión de los productos de sus Clientes y de organización y gestión
de centros de atención telefónica, como exportador
de datos y GSS Sucursal en Perú como importador
de datos.
Este nuevo modelo de autorización supone un
novedad importantísima, que con una sola autorización concedida al encargado de tratamiento se
podrá prestar, a todas las empresas responsables
de tratamiento que contraten con el encargado de
tratamiento, servicios de gestión de telemarketing
y de atención al Cliente, desde países que no proporcionen un nivel de protección equiparable a la
LOPD.
En consecuencia evita la necesidad de tramitar por
parte del responsable del tratamiento, cada vez que
se presta el servicio deslocalizado, la correspondiente Autorización de Transferencia Internacional
de Datos, con el ahorro en tiempo y en costes y el
incremento de la seguridad jurídica de las empresas que intervienen en el tratamiento internacional
de los datos, en su condición de responsables, encargados y subencargados del tratamiento.
Es de agradecer la iniciativa de la AEPD para aprobar este nuevo modelo de autorización y las facilidades dadas durante su tramitación, que sin duda
van a suponer para la Agencia, un instrumento para
reducir el numero de solicitudes de Autorización de
Transferencia Internacional de Datos, por parte de
los responsables del tratamiento.
Motivacion
La necesidad de este te nuevo modelo de transferencia internacional de datos en el marco de
una subcontratación internacional por encargados
establecidos en la U.E., tiene origen en la necesidad recogida en el Dictamen 3/2009 del Grupo del
articulo 29 de 5 de marzo de 2009, siempre que
se someta a autorización un modelo contractual
que cumpla las garantías contenidas en las clausulas a las que se refiere el Anexo de la Decisión
2010/87/UE, sin que se generen desigualdades en
el mercado. Además la propuesta de Reglamento
del Parlamento Europeo y del Consejo en lo que
respecta al tratamiento de datos personales y a la
libre circulación de estos datos en su articulo 42.1
recoge esta posibilidad.
Requisitos legales para tramitar la autorizacion.
- Solicitud de autorización por un encargado de
tratamiento.
- Documentos que acrediten su representación.
- Contrato de transferencia entre el encargado
del tratamiento exportador de datos de carácter
personal y el subencargado del tratamiento importador de datos.
- Debe reunir las garantías exigidas por los artículos 26.2 de la Directiva 95/46/CE y 33 de la
LOPD. Debe cumplir las garantías del articulo
70 del Reglamento de desarrollo de la LOPD
R.D.1720/2007. Y debe contener la información
relativa al exportador e importador de datos,
los colectivos a los que se refieren los datos de
carácter personal a transferir, sus categorías, y
las operaciones básicas de tratamiento en su
apéndice 1 y las medidas de seguridad, técnicas y organizativas, que ha de poner en practica
el importador de datos antes de efectuar el tratamiento de los datos personales transferidos,
en su apéndice 2. Se establecen obligaciones
adicionales para el exportador e importador que
facilitan el control en todo momento al responsable del tratamiento.
- Contrato marco tipo entre el responsable del
tratamiento y el exportador de datos con las garantías de la Decisión 2010/87/UE. La novedad
consiste en la autorización del responsable del
tratamiento al encargado del tratamiento a subcontratar y proceder a la transferencial internacional de datos, previa solicitud de autorización
y concesión de la AEPD.
17
APEPINFORMA07
2.4. Nuevo modelo de autorizacion de
Transferencia Internacional de Datos de
la AEPD en el marco de una subcontratacion de servicios a favor de Global Sales Solutions Line.
APEPINFORMA07
Requisitos para estar amparado por la autorizacion.
- Tener firmado previamente el contrato de prestación de servicio entre el responsable del tratamiento y el encargado exportador antes de
iniciar el servicio.
- El responsable del tratamiento con carácter
previo al inicio del servicio, debe de modificar
la declaración del fichero ante el Registro de la
AEPD, recogiendo el movimiento internacional
de datos y la referencia de la autorización concedida al encargado del tratamiento.
- El encargado de tratamiento exportador debe
mantener una lista actualizada a disposición de
la AEPD, de los responsables del tratamiento,
de los contratos de prestación de servicios firmados, nombre y nº de registro de los ficheros
amparados en esta resolución en la AEPD.
Caracteristicas de la autorizacion
Este nuevo modelo se refiere a un modelo contractual en que si bien se identifican las partes en el
contrato de transferencia y los datos, tratamientos
y finalidades concretas respecto de las que se verificará dicha transferencia, así como las medidas
de seguridad que se adoptarán, no se conoce a
priori quién será el responsable del tratamiento que
18
celebrará con el encargado exportador el denominado contrato marco al que se refiere el contrato
de transferencia, ni cuales serán los ficheros de los
que procederán los datos en cada transferencia
concreta.
Conclusión
Este nuevo modelo de autorización de Transferencia Internacional de Datos en el marco de una
subcontratacion de servicios, permite con una sola
autorización concedida al encargado de tratamiento prestar, a todas las empresas responsables
de tratamiento que contraten con el encargado de
tratamiento, servicios de gestión de telemarketing
y de atención al Cliente, desde países que no proporcionen un nivel de protección equiparable a la
LOPD, sin necesidad de que el responsable del
tratamiento la tenga que solicitar en cada caso. Implica una reducción del numero de solicitudes
de autorizaciones de transferencia internacional de
datos de los responsables de tratamiento, simplificando la gestión, con el ahorro en tiempo y costes
e incrementando la seguridad jurídica del responsable, del encargado y del subencargado del tratamiento, preservando siempre el nivel de garantías
en el tratamiento de datos de carácter personal de
los particulares afectados. Jordi Saldaña
FALLO
Vocal de la Junta Directiva de la APEP
Abogado, Roca Junyent
Imposición a Agbar de una sanción de 40.001 euros.
STC Audiencia Nacional.
STC Audiencia Nacional.
Sala de lo Contencioso-Administrativo,
Sala de lo Contencioso-Administrativo,
20 de julio de 2012.
7 de junio de 2012.
Sección 1ª.
Madrid Sección 1ª.
Número de Recurso de
Número de Recurso
Contencioso-administrativo: 148/2011.
Contencioso-administrativo: 285/2010.
ANTECEDENTES DE HECHO
ANTECEDENTES DE HECHO
Se interpuso recurso contencioso-administrativo
por Agbar Instalaciones, S.L.U. (en adelante, Agbar) el 22 de febrero de 2011, frente a la resolución
de la Agencia Española de Protección de Datos (en
adelante, AEPD) de 20 de diciembre de 2010. Se
impuso a la entidad citada una multa de 60.101,21
euros por vulneración del artículo 6.1 de la Ley
Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante,
LOPD).
La Resolución de 25 de marzo de 2010 por la que
se desestima el recurso de reposición interpuesto
frente a la resolución de fecha 16 de noviembre de
2011 dictada por el Director de la AEPD, impone a
la recurrente dos multas de 1.500 euros. Se infringió el artículo 44.2 c) y d) de la LOPD por infracción
del artículo 26.1 de la misma norma. El recurrente,
titular de la plaza de su garaje, instaló en la misma
un sistema de vigilancia, captándose y grabando
las imágenes de personas que se encuentran en
el interior. La instalación y mantenimiento de las
cámaras se realizó por una empresa de seguridad
privada inscrita correctamente en el Registro de
Empresas de Seguridad en el Ministerio del Interior, pero sin haber inscrito el fichero de videovigilancia en el Registro de la Agencia Española de
Protección de datos.
FUNDAMENTOS DE DERECHO
El denunciante presenta denuncia ante la AEPD en
julio de 2009, alegando que en septiembre de 2008
recibió una llamada telefónica de la empresa Agbar
ofreciéndole servicios, no facilitando el denunciante ningún dato de carácter personal a la misma.
Tres meses más tarde, Agbar cargó al denunciante
56,61 euros en su cuenta bancaria. Agbar aporta
una grabación telefónica que manifiesta el origen
de la contratación pero de la grabación no se puede determinar el consentimiento del afectado en
relación al contrato. También aporta contrato sin la
firma del denunciante y se confirma la sanción impuesta por la Agencia Española de Protección de
Datos. No obstante debido a la aplicación retroactiva de la norma más favorable, en concreto la Ley
2/2011 de 4 de marzo de economía sostenible, se
reduce la sanción.
FUNDAMENTOS DE DERECHO
El recurrente, instaló la cámara de grabación con el
objetivo de evitar actos vandálicos en su plaza de
garaje. Aparte de su plaza fueron captados elementos comunes. Se acredita que el recurrente informó
correctamente a los vecinos de la posibilidad de
ejercitar los derechos de oposición y cancelación
de los datos por parte de los afectados. Procede
señalar que la Disposición Final Quincuagésima
Sexta de la Ley 2/2011, de 4 de marzo, de Economía Sostenible, modificó diversos artículos de
la LOPD, procediendo aplicar la nueva redacción
del artículo 45.6 LOPD el cual establece que de
19
APEPINFORMA07
3. Jurisprudencia.
APEPINFORMA07
manera excepcional el órgano sancionador, previa
audiencia de los interesados y concurriendo determinados presupuestos, podrá apercibir al sujeto
responsable.
FALLO
Se estima el presente recurso contencioso-administrativo, anulándose las sanciones impuestas
sustituyéndolas por la sanción de apercibimiento.
La AEPD se encargará de acordar las medidas correctoras que estime necesarias y plazo para adoptarlas. No se imponen costas.
STC Audiencia Nacional.
Sala de lo Contencioso-Administrativo,
19 de julio de 2012.
Sección 1ª.
Número de Recurso
Contencioso-administrativo: 334/2010.
ANTECEDENTES DE HECHO
El recurso contencioso-administrativo interpuesto
por el recurrente contra la resolución del Director
de la Agencia Española de Protección de Datos de
fecha 26 de febrero de 2010 que confirma en reposición la resolución de fecha 27 de enero de 2010.
20
FUNDAMENTOS DE DERECHO
El recurrente, que cumple condena en el Centro
Penitenciario de Algeciras (el Centro), presentó escrito ante la AEPD señalando que por parte de la
Administración penitenciaria se le estaba realizando un seguimiento especial en forma encubierta,
desde diciembre de 2008 (se le intervino legalmente la correspondencia) tomándose diariamente sus
datos personales; entendiendo que se le estaba
incluyendo en un fichero sin él saberlo. Acudió al
Juzgado de Vigilancia Penitenciaria que dictó auto
estimando la queja formulada, instando al Centro
el cese del seguimiento a él aplicado. Solicitó de
la AEPD se le indique el titular y dirección donde
se encuentre el fichero en que han almacenado
sus datos, para poder acceder y cancelarlos, y
que se inicien las actuaciones precisas por AEPD
para denunciar o ejercer todos los actos que pueda
ejercitar o se le indique la forma de actuar contra
la vulneración. El recurrente parte de una premisa
errónea: no toda actuación irregular como la referida conlleva la creación de un fichero específico y
el Juzgado de Vigilancia Penitenciaria ya la ha corregido. Asimismo el recurrente puede solicitar información de los datos que sobre su persona obran
en el Centro Penitenciario en que se halla interno.
FALLO
Se confirma la decisión adoptada por la AEPD de
archivo de actuaciones.
IÑAKI PARIENTE (Director de la AVPD)
Ricard Martínez Martínez
Presidente APEP
Transcurrida una primera etapa de su mandato,
¿Cuál es el estado de la protección de datos en
Euskadi?
Quiero inicialmente dedicar una especial atención
el equipo de personas de que dispone esta institución, que es lo más importante que tenemos para
poder trabajar y que tienen una formación y una
profesionalidad envidiables.
En cuanto a cuál el estado de la protección de datos, tengo que indicar en primer lugar, que la percepción que la ciudadanía de nuestro trabajo es muy
positiva. En el mes de mayo hicimos públicos los
resultados de un estudio realizado en colaboración
con el Gobierno Vasco sobre esta materia, en el que
se pone de manifiesto que aumenta la sensibilidad
y la importancia que da la población vasca ante la
protección de datos personales, al tiempo que se
mantiene en niveles muy elevados, hasta el 94%, la
confianza en el uso que las administraciones públicas vascas hacen de los datos personales.
Y si tenemos en cuenta que nuestro ámbito de actuación son precisamente las administraciones públicas vascas, pienso que el grado de control y de
colaboración que mantenemos está dando resultados muy positivos.
Este mismo estudio nos proporciona datos muy
relevantes también sobre la percepción de muchas
otras cuestiones por la ciudadanía, y sobre la percepción del derecho a la protección de datos, lo
que nos alienta a continuar impulsando la labor
que venimos realizando.
Es mi intención fomentar aún más las tareas preventivas sobre las tareas controladoras o inspectoras, porque entiendo que el respeto de la normativa
de protección de datos debe venir del origen.
¿Qué líneas de actuación abordará en el periodo inmediato la Agencia Vasca de Protección
de Datos?
Pues bien, como decía, es muy importante la la-
bor preventiva. Queremos estar presentes en todos los foros administrativos en los que haya algún
elemento relevante o tengan alguna relación con
la protección de datos y la privacidad en general,
para fomentar entre las administraciones una cultura de la protección de datos.
Para ello queremos incidir en la formación, ofertando a las administraciones planes de formación,
y charlas introductorias a la protección de datos,
formar comisiones bilaterales con las administraciones, colaborar estrechamente con la Asociación
Vasca de Municipios (Eudel), etc.
Asimismo, queremos salir a la sociedad con todas
las formas posibles (presencia en redes sociales,
medios de comunicación, visitas a centros educativos, etc.) para acercar este tema y sensibilizar sobre una materia tan importante.
¿Cuáles son los mayores retos para la privacidad en Euskadi?
Bueno, en este tiempo ya hemos visto que algunos
temas son muy relevantes y lo van a seguir siendo,
teniendo que ser capaces de enfrentarnos a este
reto.
Uno de ellos es la administración electrónica. Asistimos a una época en la cual las administraciones
tienen la necesidad de intercambiar información
sobre los ciudadanos en todo momento, sea para
luchar contra el fraude en las subvenciones o ayudas públicas, o simplemente para ofrecer mejores
servicios. Estos flujos de datos no siempre tienen
amparo legal, y la responsabilidad que tenemos es
informar a las administraciones cómo y en qué forma pueden hacer lo que quieren. Llevamos ya un
tiempo colaborando y seguiremos en ello.
También la materia de datos de salud, con la realización en esta comunidad autónoma de grandes
avances en el expediente médico electrónico es
una materia de gran importancia, sobre todo teniendo en cuenta la especial protección que dirige
la Ley Orgánica de Protección de Datos a la materia de los datos de salud.
Estos y algunos otros, como a medio plazo la transparencia y el papel de la Agencia Vasca también
como autoridad de control de la transparencia, son
temas de gran relevancia para nosotros.
21
APEPINFORMA07
7. Entrevista a:
APEPINFORMA07
Vds. han dedicado un esfuerzo preferente a la
tutela de los derechos de los menores y a incidir en el entorno educativo. ¿Qué resultados
visibles han obtenido?
Efectivamente, la colaboración con el Departamento de Educación ha sido notable, y hemos visto
cómo somos más conocidos en los centros educativos, y nuestros materiales son utilizados en numerosas instituciones por la calidad que tienen.
Seguimos en la colaboración con este sector tan importante, y espero que en el futuro sigamos en ello.
¿Cómo valoran la Propuesta de Reglamento
General de Protección de datos?
Mi valoración personal es que se trata de un documento de gran importancia. No podemos en
este momento saber el contenido final del mismo,
pero sí es cierto que el documento que presentó
inicialmente la Comisión Europea a principios de
este año tiene un contenido que revela un enorme
interés por este sector, algo que ya en sí mismo
es óptimo; igualmente debo decir que se trata de
una norma que tiene detrás un enorme trabajo por
parte de las instituciones europeas, que debemos
apreciar en su justa medida.
Alguno de los temas más relevantes pueden ser la
introducción expresa de la mención a los menores
en el Reglamento, la mención también expresa al
derecho al olvido, derecho que a pesar de estar
conceptualmente ya desarrollado se incluye por
primera vez en la regulación positiva; la introducción expresa en la norma de los principios “privacy
by design” y “privacy by default”, en referencia a la
introducción de la protección de datos personales
ya en el diseño, el primero de ellos, y por defecto en el segundo; muy relevante también, el papel
del delegado de protección de datos; y por último,
22
y especialmente relevante, el incremento y homologación del papel de las Autoridades de Control,
que pasan a tener una consideración mucho más
reforzada con esta norma, y que van a poder ser
instituciones muy similares en el futuro en los distintos Estados, no como ahora, que son muy distintas tanto en estatuto como en competencias.
Es especialmente destacable la importancia que la
Comisión Europea y el propio Parlamento Europeo
otorgan a la protección de datos, lo que podemos
ver en el hecho de que el instrumento elegido para
la regulación sea un Reglamento comunitario, norma de aplicación directa en los Estados miembros.
Y por último, me gustaría destacar una cuestión
que me parece especialmente importante, que ya
he comentado en alguna otra ocasión, y que esperamos, como autoridades de control, que permanezca tal y como está en la redacción definitiva,
cual es la competencia de las autoridades de control del lugar del domicilio del destinatario del servicio, lo que eliminaría los problemas a los que nos
enfrentamos en estos momentos y que se plasman
en la cuestión prejudicial planteada por la Audiencia Nacional en relación con la competencia de
autoridades y tribunales de los Estados miembros
en asuntos relacionados con empresas que tienen
su sede en Estados Unidos u otros estados no comunitarios. Con esta redacción, siempre que un
ciudadano europeo se ha visto perjudicado en su
derecho a la privacidad y a la protección de sus datos personales, incluso en este caso, serían competentes autoridades de control y tribunales de los
Estados miembros.
Por último, y antes de terminar, quiero que me permitan felicitar a la Asociación por el trabajo que
realiza en materia de privacidad, mostrándoles mi
predisposición a participar en todas las actividades
que emprendan en el futuro.
Con el objeto de fomentar la participación de los asociados y dado que en el seno de la APEP existen
profesionales que pueden realizar interesantes aportaciones en la materia os reiteramos la invitación que
se realizó en su día para que podáis proponer temas sobre los que escribir un artículo para próximas
ediciones del boletín. Aquellos que estéis interesados deberéis remitirlos a [email protected]
23
APEPINFORMA07
¿QUIERES COLABORAR?
Documentos relacionados
Descargar