Carpeta de justicia

LawAndTrends



Termina el año y es momento de hacer balance sobre lo que nos han dejado estos 365 días en materia de privacidad. Con la mirada fijada en un 2016 cargado de oportunidades y retos en esta especialidad de Derecho que busca garantizar una protección efectiva de los derechos de la persona sobre su honor, su intimidad, imagen y datos personales.

Comenzábamos el año con los cambios en la política de privacidad de Facebook, aspectos como la geolocalización o la interconexión entre las diferentes aplicaciones y servicios que ofrece la conocida red social, eran algunas de las modificaciones que afectarían a los usuarios.

Safe Harbor

Si fijábamos nuestra atención a inicios del año en las negociaciones entre Estados Unidos y la Unión Europea para la generación de un nuevo marco regulador del sistema del Safe Harbor, que pudiera dar respuesta a las cuestiones que habían surgido en relación con el acceso a la información por parte de la NSA. Un acuerdo que debía restablecer la confianza dañada, tal y como se hicieron eco portadas de los medios de comunicación europeos. En último trimestre del año conocíamos la Sentencia del Tribunal de Justicia de la Unión Europea relativa al asunto C-362/14 (conocido como el “Caso Schrems vs Facebook”), por la que se invalidaba el denominado Safe Harbor en relación con las transferencias internacionales de datos entre Europa y Estados Unidos.

Una sentencia que sin duda ha marcado el final de 2015 y seguirá marcando el nuevo año. Responsables de ficheros deben proceder a regularizar las transferencias internacionales de datos que se estaban realizando bajo el paraguas del Puerto Seguro, una medida que afecta a todos aquellos que trabajan con sistemas cloud en Estados Unidos, o prestadores de servicios como Google, Amazon, Zendesk o Salesforce entre otros. Sin duda la magnitud de la medida no ha escapado a nadie, el propio Grupo de Trabajo del Artículo 29 solicitaba mantener temporalmente el sistema hasta que se procediera a acordar un nuevo Safe Harbor que aporte las garantías recogidas en la Directiva 95/46.

Mientras culminan dichas negociaciones, los responsables de ficheros deberán acogerse a alguna de las excepciones establecidas en nuestra Ley de Protección de Datos, elaborar Binding Corporate Rules (BCR), o solicitar la autorización de la Directora de la Agencia Española de Protección de Datos. En este sentido, la propia Agencia contactaba con los obligados para que procedieran a regularizar las citadas transferencias.

Derecho al olvido

En el ámbito jurisprudencial, el derecho al olvido ha seguido sonando con fuerza, el Pleno de la Sala de lo Civil del Tribunal Supremo se pronunciaba en su Sentencia 545/2015 de 15 de octubre de 2015 sobre el derecho al olvido y su aplicación en el ámbito de las hemerotecas digitales. Una sentencia que viene a consolidar la doctrina sobre la ponderación entre el derecho a la protección de los datos personales y el derecho a la información.

Concluye en la misma el Tribunal que la publicación debe ser desindexada de los motores de búsqueda, evitando su asociación a determinados términos de búsqueda tales como el nombre y apellidos, la no anonimización/disociación de la publicación o desindexación del motor de búsqueda de la propia hemeroteca digital.

Cámaras ocultas

En el ámbito laboral, el Tribunal Superior de Justicia de Madrid en su sentencia de 9 de febrero de 2015, en relación con la validez del despido y la utilización de cámaras ocultas, aplicaba la conocida tesis sobre la instalación y grabación puntual ante sospechas de incumplimiento (fijada por el Tribunal Constitucional en su Sentencia 186/2000, de 10 de julio), determinando la procedencia del despido de un trabajador que formaba parte del Comité de Empresa, con base en unas grabaciones realizadas mediante la utilización de cámaras ocultas ante sospechas de sustracción de objetos en el centro de trabajo por el trabajador.

Pixelación de rostros

A finales del mes de noviembre, el Tribunal Supremo también se pronunciaba en relación con la insuficiente la pixelación de los rostros de unos menores y su incidencia en el derecho al honor, a la intimidad personal y familiar y a la propia imagen. En este caso el Tribunal condenaba a una revista del “corazón” a indemnizar con 21.000 euros a los hijos menores de edad de una conocida presentadora de televisión, al entender que se había vulnerado su intimidad con la publicación de unas fotos de los menores en las que se había procedido a pixelar su rostro de manera insuficiente.

En 2015 también se hacía pública por la Audiencia Nacional su Sentencia de 8 de mayo,  en relación con la aplicación de la normativa en materia de cookies.

Ashley Madison

En el año que termina conocíamos como millones de datos personales e información privada de usuarios de la página de contactos Ashley Madison veían la luz tras el ataque sufrido por parte de un grupo de hackers denominado Impact Team. Este hecho de consecuencias difícilmente cuantificables ponía de manifiesto los riesgos para la privacidad a los que cualquier usuario se expone en Internet. En diferentes medios fueron publicadas cifras sobre los usuarios afectados, tanto en España (Madrid 135.294, Barcelona 68.513, Murcia 30.000, o Zaragoza 18.135), como a nivel internacional (Sao Paulo 374.554, Nueva York 268.247, Londres 179.129, o Bogotá 123.559).

Estos hechos evidenciaban la necesidad de analizar los diferentes riesgos asociados y las consecuencias de los mismos, no sólo para los propios usuarios de la página web, sino para su entorno personal y familiar, e incluso para las propias empresas e instituciones en las que prestan sus servicios, así como la necesidad de implementar en las empresas mecanismos que garanticen la seguridad, confidencialidad e integridad de los datos personales e información asociada a los mismos.

Reconocimientos de rostros

Facebook volvía a ser noticia al hacerse público en diferentes medios que la red social había comenzado a probar un sistema capaz de reconocer a las personas en las fotos, incluso si no están mirando a la cámara. Mediante este algoritmo la red social podría identificar a los usuarios en función de una serie de características y detalles almacenados previamente tras la recopilación de fotos publicadas anteriormente. Un sistema que permitiría identificar los peinados, la ropa, las posturas, así como las formas del cuerpo, pudiendo alcanzar un 83% de precisión.

Reglamento europeo

Si empezábamos el año con la vista en un “futuro” Reglamento Europeo, que parecía no llegar nunca, y que parecía condenado a convertirse en un tópico año tras año, el pasado 15 de diciembre, el Consejo, Parlamento y Comisión llegaban a un acuerdo, que posteriormente sería refrendado por la Comisión de Libertades Civiles, Justicia y Asuntos de Interior (48 votos a favor, 4 en contra y 4 abstenciones), dando luz verde a la aprobación de un Reglamento que actualizará las reglas de juego marcadas por la Directiva de protección de datos de 1995.

El refuerzo del consentimiento y el deber de información, una mayor protección de los menores de edad, la consolidación del derecho al olvido o la regulación del derecho a la portabilidad de los datos, la simplificación de determinados trámites administrativos, los avances en el enfoque basado en el riesgo de tratamiento de datos personales, la obligación de notificar determinadas violaciones de datos personales, la designación de un Data Protection Officer para las administraciones públicas y, en determinados casos y determinadas empresas y organizaciones privadas, junto con el establecimiento de nuevas sanciones (que podrían alcanzar los 20 millones de euros o el 4% de su volumen de negocios anual global), son sólo algunos de los aspectos que aborda la norma que regulará el tratamiento de datos personales en Europa durante los próximos años. El texto final deberá ser formalmente adoptado por el Parlamento Europeo y el Consejo a principios de 2016, según fuentes oficiales marzo abril del próximo año. 

Iberoamérica

Iberoamérica sigue avanzando en la protección de los datos personales, durante el año que termina han continuado su tramitación diferentes proyectos y anteproyectos de ley. En este sentido, la consulta pública el Anteproyecto de Ley de Protección de las Personas en el Tratamiento de sus Datos Personales en Chile, una norma que derogaría las actuales Ley 19.628 y Ley 20.575 del ordenamiento chileno. El Instituto Federal de Acceso a la Información y Protección de Datos, que cambiaba su denominación a Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) avanzaba en su Propuesta de Ley General de Protección de Datos Personales en posesión de sujetos obligados en México, Honduras continúa en la fase socialización y modificación de su Anteproyecto de Ley de Protección de Datos Personales y Acción Hábeas Data, una prioridades fijadas por el Instituto de Acceso a la Información Pública para desarrollar la garantía constitucional del habeas data y proteger la intimidad, el honor y la privacidad del pueblo catracho.

En Perú, la Autoridad Peruana de Protección de Datos daba a conocer su Informe Anual, mientras que en España, el Consejo de Ministros aprobaba el 24 de julio, el nombramiento de Mar España Martí como nueva Directora de la Agencia Española de Protección de Datos.

Agencia Española

La actividad de la Agencia Española también ha sido constante, junto con la publicación de diferentes guías orientadas a jóvenes, padres y profesores para concienciar sobre la importancia de proteger la privacidad en internet, recientemente se conocía el acuerdo de colaboración con  el Consejo de Consumidores y Usuarios de cara a “difundir entre los ciudadanos cuáles son sus derechos y cómo exigirlos en caso de que se utilicen sus datos personales para la contratación irregular de servicios y, por otro, para desarrollar acciones orientadas a fomentar las buenas prácticas empresariales”. La Agencia, además, sometía a consulta pública y posteriormente publicaba su Plan Estratégico 2015-2019, un ambicioso documento que, sin lugar a dudas, beneficiará a empresas y particulares, en el conocimiento y protección efectiva del derecho a la protección de los datos personales.

Seguridad ciudadana

En otro orden, la Ley Orgánica 4/2015, de 30 de marzo, de protección de la seguridad ciudadana contemplaba la creación de un “Registro Central de Infracciones contra la Seguridad Ciudadana” en el Ministerio del Interior, sin perjuicio, de que ciertas Comunidades Autónomas puedan también crear su propio fichero de esta naturaleza, una cuestión con implicaciones en el ámbito de la privacidad; el Tribunal Constitucional abría la puerta a la publicación anonimizadas de sus sentencias, los avances tecnológicos aplicados al ámbito de la justica, la utilización de aplicaciones como WhatsApp por empresas y administraciones.

Nuevos modelos de negocios

Los nuevos modelos de negocio han marcado también el año que termina. El avance de la economía colaborativa, junto con la consolidación de tecnologías wearables, earables o eyeables, el auge del Internet of things, la multicanalidad, el tratamiento de datos biométricos, el Fingerprinting, o la geolocalización. Conceptos muy relacionados con el Big Data, tecnología que permite el análisis de grandes volúmenes de datos de diferentes fuentes de forma eficaz y rápida, permitiendo, entre otras cuestiones, encontrar relaciones, elaborar perfiles, delimitar tendencias, predecir comportamientos, generar estudios de mercado o medir el grado de satisfacción o aceptación de un determinado producto.

A nadie escapa que los datos son moneda de la economía digital, siendo un gran activo para las empresas, cuestión por la que en 2015 se ha seguido avanzando en el establecimiento de garantías para las personas, propulsando el uso ético y responsable de los datos, buscando el equilibrio entre lo tecnológicamente posible y, lo social y jurídicamente aceptable.

Lo que viene...

Comenzamos en unos días un nuevo año, que abre 365 días de oportunidades de avanzar. En este sentido, al igual que avanza la tecnología debe seguir avanzando el derecho y definirse mecanismos que contribuyan a la transparencia, el efectivo consentimiento, la delimitación de tratamientos y sus finalidades, y al propio aseguramiento de la información. Un avance que debe traducirse en el compromiso de las empresas, en la adopción de medidas eficaces, de evaluación del impacto de determinados tratamientos, la gestión de crisis e incidencias. Durante los próximos meses se deberá seguir dando pasos en materias como compliance o ciberseguridad, dos retos que en el horizonte, ya son una realidad para las empresas. En 2016 deberá profundizarse en la profesionalización y especialización de quienes dedican sus esfuerzos a la privacidad, en la formación y la educación de los usuarios sobre sus datos y derechos.

 




Comentarios

  1. Jorge Molet

    Excelente artículo. Lectura obligada para iniciar el año en contexto en el tema de protección de datos en hispanoamérica. Felicidades.

Ver comentarios anteriores

Hacer un comentario

He leido y acepto los términos legales y la política de privacidad