Entradas

Delitos en el metaverso: entre la realidad y la ficción

No es descabellado afirmar, afianzada la segunda década del siglo XXI, que una gran parte de la población mundial convive en una sociedad globalizada y digital. El desarrollo, desde mediados del siglo pasado, de las tecnologías de la información y la comunicación y de internet incide, de forma decisiva, en las relaciones personales y con la comunidad [1], tanto en el ámbito público como en la esfera privada.

En conjunción con el proceso de expansión de la web 3.0, la aparición y consolidación del metaverso, o más propiamente, de distintos metaversos, parece constituir el siguiente paso en la vertiginosa evolución digital que caracteriza nuestro tiempo. Si bien excede del propósito de estas líneas definir en profundidad el concepto [2], podría entenderse por metaverso todo aquel ecosistema virtual, de experiencia inmersiva y tridimensional, que permite al usuario relacionarse íntegramente en la red. Entre otras funcionalidades, posibilita, de modo singular, la compraventa de mercancías, la prestación de servicios o la realización de actividades lúdicas, culturales o laborales.

Esta realidad incipiente, de límites aún desconocidos, generará a buen seguro desafíos a los que el ordenamiento jurídico deberá dar respuesta. Junto a cuestiones tan relevantes como la protección de datos de carácter personal o la propiedad intelectual e industrial, se plantean otras problemáticas que habrán de ser enfrentadas por el Derecho. Este texto busca reflexionar sobre una de ellas: cómo sancionar la eventual comisión de delitos en este entorno virtual.

Es justo reconocer, en este punto, que la política criminal frente a la delincuencia informática y otras formas de cibercriminalidad ha avanzado significativamente en los últimos años. Así, el castigo de determinados comportamientos que pudieran producirse en el metaverso, tales como ilícitos defraudatorios de naturaleza patrimonial o conductas atentatorias contra bienes jurídicos personalísimos de personas menores y mayores de edad, ya encuentra acomodo en nuestros actuales sistemas penales. Tomando como referencia el Código penal español (en adelante, CP) y esbozando una lista no exhaustiva de tipos aplicables, pueden mencionarse las estafas informáticas (art. 248.2 CP), los delitos contra la integridad moral (art. 173 CP), contra la intimidad (art. 197 CP) o las modalidades de child grooming y sexting de menores (art. 183 ter CP).

Se mantienen, no obstante, algunos interrogantes no resueltos en clave de Derecho sustantivo que pueden llegar a requerir soluciones teóricas y jurisprudenciales novedosas y, en cierto modo, valientes. Hace algunos meses, una usuaria denunció que su avatar en Horizon Worlds, el metaverso creado por Meta, había sido víctima de conductas sexuales no consentidas por parte de avatares de otros usuarios [3]. Convéngase en la dificultad de aplicar, en este caso, los clásicos delitos contra la libertad sexual, que precisan de una acción u omisión humanas manifestadas en el plano de la realidad física. Ahora bien, ¿podrían calificarse tales hechos como un delito contra la intimidad o contra la integridad moral de la persona física detrás del avatar? El debate no es baladí, máxime si, como sucederá con frecuencia en la práctica, quien maneja la existencia virtual es un menor de edad. Por el momento, la compañía de Mark Zuckerberg ha declarado que añadirá una distancia mínima entre sus avatares para evitar la comisión de actos similares en el futuro [4].

Vayamos más allá, pues la batería de supuestos que pueden imaginarse es inagotable: figurémonos que el avatar de un político, de un artista o de una celebridad proclama un discurso de odio o realiza apología del terrorismo en un acto multitudinario o que un sujeto se dedica a dar “muerte” a los avatares de una colectividad. Quiero pensar que los legisladores habrán de definir, más pronto que tarde, si ha de ser el Derecho penal el que entre a conocer de estos y otros fenómenos –y, en tal caso, cuáles deben ser los principios y los límites del ius puniendi– o si, por el contrario, la reacción se limitará a tutelar las expectativas económicas a través de mecanismos del Derecho privado.

Y si lo anterior fuera poco, a las controversias en sede de Derecho penal material se unen los problemas, nada desdeñables, de naturaleza procesal. A simple modo de ejemplo, será preciso concretar qué Derecho resulta aplicable frente a conductas delictivas en el metaverso y cuáles habrán de ser los criterios de atribución de la competencia jurisdiccional, deberán perfilarse medidas que potencien la cooperación jurídica internacional y, en suma, habrá de evitarse el forum shopping en la persecución y sanción de comportamientos indeseables en esta dimensión.

Estos y otros cuestionamientos surgen con solo reflexionar de un modo somero sobre el particular. Lo cierto es que este momento arroja más incertidumbres que convicciones y es inevitable cuestionarse cuán preparados estamos para interactuar, de un modo seguro, en estos nuevos entornos del ciberespacio y si disponemos de las herramientas necesarias para evitar que se conviertan en un nicho más de criminalidad. Tal vez solo debamos dar tiempo al tiempo y comprender que el Derecho camina detrás de la sociedad, adaptándose de la mejor forma posible a las realidades y a las ficciones a las que se aplica.

Notas

[1] Sobre los nuevos procesos de socialización digital, puede consultarse, entre otros trabajos del autor, CASTELLS OLIVÁN, Manuel: “El impacto de internet en la sociedad: una perspectiva global”, en BBVA Opendmind (ed.): C@mbio: 19 ensayos fundamentales sobre cómo internet está cambiando nuestras vidas, 2014, pp. 127-147. Disponible en: https://www.bbvaopenmind.com/wp-content/uploads/2014/01/BBVA-OpenMind-libro-Cambio-19-ensayos-fundamentales-sobre-c%C3%B3mo-internet-est%C3%A1-cambiando-nuestras-vidas-Tecnolog%C3%ADa-Interent-Innovaci%C3%B3n.pdf. Fecha de última consulta: 31 de marzo de 2022.

[2] A mayor abundamiento sobre los alcances del metaverso, véase “Metaverso: todo lo que necesitas saber para aprovechar el ‘nuevo mundo’, en la web de Banco Santander. Disponible en: https://www.santander.com/es/stories/metaverso-todo-lo-que-necesitas-saber-para-aprovechar-el-nuevo-mundo. Fecha de última consulta: 31 de marzo de 2022.

[3] FARRÉS, Héctor: “Denuncian el primer caso de acoso sexual en el metaverso de Mark Zuckerberg”, en la web de La Vanguardia, 18 de diciembre de 2021. Disponible en: https://www.lavanguardia.com/tecnologia/20211218/7938626/denuncian-acoso-sexual-metaverso-horizon-worlds-meta-pmv.html. Fecha de última consulta: 31 de marzo de 2022.

[4] PUÉRTOLAS, Ángela: “Horizon Worlds añade distancia mínima entre sus avatares tras el acoso de una usuaria”, en la web de 20 minutos, 7 de febrero de 2022. Disponible en: https://www.20minutos.es/tecnologia/aplicaciones/horizon-worlds-anade-distancia-minima-entre-sus-avatares-tras-el-acoso-de-una-usuaria-4952607/. Fecha de última consulta: 31 de marzo de 2022.

Las criptomonedas en la guerra

Las criptomonedas han recobrado su protagonismo en el contexto de la guerra ruso-ucraniana. Ambos países se encuentran entre aquéllos que o bien las han regulado o bien las permiten, y sus ciudadanos son de los que más las usan en todo el mundo.

El caso es además particularmente ilustrativo de la historia de las criptomonedas. Por dos razones: porque muestra que pueden utilizarse tanto para lo bueno como para lo malo y porque demuestra que es necesario avanzar definitivamente en su regulación.

Que las criptomonedas pueden destinarse a nobles fines lo demuestra el caso de Ucrania. El país aprobó el pasado 17 de febrero la Ley sobre Activos Virtuales para legalizarlas, convirtiéndose así en el quinto país del mundo por uso de criptodivisas. Poco después, el ministro de Transformación Digital de Ucrania informó en su cuenta de Twitter que su gobierno aceptaba donaciones en criptomonedas, en una especie de crowdfunding que ya ha recolectado varias decenas de millones de dólares. En cuestión de unos pocos minutos, cualquier persona del mundo que simpatice con la causa ucraniana puede prestar apoyar económico a la misma. Es algo verdaderamente revolucionario.

Rusia es la otra cara de la moneda, nunca mejor dicho: es verdad que su regulación parece estar en camino y que el banco central ruso quiere impulsar el rublo digital, una especie de criptomoneda oficial. Pero lo que está claro es que el uso de estos activos en Rusia está sobre todo relacionado con el blanqueo de capitales y otras actividades delictivas, lo cual se realiza con perfecta impunidad y contra los intereses de Occidente.

Se ha dicho que los millonarios rusos las están utilizando para evitar las sanciones aparejadas a la expulsión de Rusia del sistema Swift, y así proteger sus fortunas. Es cierto que existen criptomonedas como Bitcoin que son transparentes y trazables, y se pueden rastrear fácilmente por las autoridades, pero otras ofrecen un anonimato casi absoluto a sus usuarios (aunque seguramente no les exime de inconvenientes futuros, como los de convertir dichas monedas digitales a otras de uso corriente). Además, parece que los ciudadanos rusos tienen más de 20.000 millones de dólares invertidos en criptomonedas y que alrededor del 12% de la población total las tiene en propiedad. Por otra parte, esto ya se había hecho en un contexto parecido en Irán y Corea del Norte para evitar sanciones económicas de terceros Estados.

Ante lo anterior solo cabe reclamar una evidencia: que no puede permitirse que las criptomonedas sigan funcionando al margen del sistema y, menos aún, que desempeñen un papel propio en una guerra internacional. Las consecuencias de ello son muy graves.

Ello nos conduce a la segunda cuestión, que no por recurrente pierde vigencia: es preciso avanzar en la regulación de estos criptoactivos para prevenir la comisión de delitos financieros y garantizar la estabilidad financiera de los mercados internacionales y la seguridad jurídica.

La Unión Europea ha dado un importante paso hacia adelante al proponer dos reglamentos que buscan incentivar y otorgar seguridad en el desarrollo de la tecnología. Por una parte, el Reglamento MiCA y, por otra, el Reglamento para la creación un régimen piloto de las tecnologías de registro descentralizado. Se prevé que ambos sean definitivamente aprobados a lo largo del presente año.

De igual modo, y en el mismo contexto de la guerra y de las criptomonedas, procede señalar que el pasado 3 de marzo el Comité de Personas Expertas para la Reforma del Sistema Tributario hizo entrega del Libro Blanco sobre la Reforma Tributaria a la ministra de Hacienda y Función Pública, María Jesús Montero.

Como es sabido, el Libro Blanco contiene recomendaciones no vinculantes, pero goza de una influencia destacable en el plan normativo del Ministerio de Hacienda y Función Pública, que con seguridad pronto empezará a preparar anteproyectos de ley que podrían seguir las recomendaciones del Comité.

El informe de expertos señala dos preocupaciones principales relacionadas por los criptoactivos: la falta de transparencia e información sobre las operaciones con criptoactivos y las personas y entidades que intervienen en ellas, lo cual facilita su inmunidad fiscal; y la incertidumbre generada por la rápida evolución de la tecnología subyacente en la que se basan y sus diferentes usos (como medio de pago, como instrumento de inversión, etc.), a la hora de abordar su calificación jurídica correcta y, por tanto, su tributación.

Ante esta situación, el Comité estima necesario disponer cuanto antes de un marco normativo sustantivo sobre este tipo de activos y las actividades y transacciones relacionadas con ellos, que permita la adecuada calificación jurídico-tributaria de unos y otras. Dada la naturaleza transfronteriza de la cuestión, el Comité también propone al Gobierno español apoyar activamente las iniciativas de la OCDE y de la UE para reforzar la cooperación administrativa y el intercambio automático de información en el ámbito de los criptoactivos, en línea con la propuesta DAC 8 (en la que la Comisión Europea ya está trabajando) y el referido reglamento MiCA. Concluye, por tanto, que las medidas a adoptar necesitarán de la colaboración internacional para la concreción y perfeccionamiento de las iniciativas.

Sin duda la innovación tecnológica es inseparable del progreso y evolución de la humanidad y no tiene sentido intentar frenar su aplicación cuando contribuye a incrementar nuestro bienestar mediante la optimización de actividades y recursos. Pero el uso generalizado de criptomonedas lleva aparejados riesgos notables, ya no solo para la tributación y la seguridad jurídica, sino -como vemos- para asuntos de mayor gravedad, tales como la estabilidad financiera o el equilibrio global de poderes.

Tal vez por ello convenga acoger varias de las recomendaciones del Comité -siempre en coherencia con las propuestas de la UE antes citadas- y abordar una reforma regulatoria que, entre otras cosas, se cuide bien de no favorecer los intereses de aquéllos a quien no corresponde premiar.

 

Imagen: Expansión.

Hacia la colonización jurídica de las criptomonedas

La crisis financiera de 2008 trajo desconfianza hacia la banca y una alternativa. Bitcoin nace entonces con la pretensión de crear un sistema monetario alternativo que puede funcionar sin bancos centrales. Se diseña para funcionar al margen del Derecho con pretensiones de alegalidad. Se autocalifica de infalible, pero no es inmutable. Como si fuera un virus admite variantes. En una primera etapa, se institucionaliza. A través de granjas de mineros, custodios y casas de contratación pasa a ser un negocio concentrado en pocas manos. Pero el sistema reacciona y contando con las aplicaciones de Ethereum se combina con contratos inteligentes para crear unas finanzas descentralizadas en las que se hace cada vez más difícil identificar a sus responsables. De conformidad con este diseño los criptoactivos son productos objeto de un registro descentralizado a través de Blockchain u otra tecnología similar. Surgen al amparo de la autonomía de la voluntad y de la libertad de empresa. Son comercializados como inversiones rentables y seguras sin avisar de sus riesgos. Cada vez es más frecuente acceder a anuncios que ofrecen “Invertir en Bitcoins para proteger los ahorros”.

Lo cierto es que los criptoactivos tienen riesgos que los hacen inadecuados para los ahorradores. Sin embargo, la regulación que protege a los clientes de las entidades financieras no alcanza a los criptoactivos. Más allá de normas fiscales y de prevención del blanqueo no existe un régimen legal de las criptomonedas. Como excepción sobresaliente, Suiza dispone de una legislación que caracteriza los criptoactivos como nueva forma de representación de la riqueza mobiliaria y regula su distribución y contratación. En la Unión Europea existe una propuesta de reglamento de mercados de criptoactivos (MiCA). Cuando este reglamento entre en vigor, la emisión de criptoactivos se someterá a deberes de transparencia similares a los que existen para los instrumentos financieros.

Ante esta carencia de Derecho sustantivo, los criptoactivos se han venido comercializando sin restricciones. Las primeras reacciones vinieron de las Bigtech. Con su peculiar Lex Mercatoria vetaron los anuncios de criptoactivos en las redes sociales por incumplir sus términos de uso. Restricciones que ahora empiezan a modular. Desde hace unos meses, tanto Facebook como Google se muestran más abiertas a la publicidad de los criptoactivos. En el Reino Unido, ha sido la autoridad de la publicidad ASA la que ha vetado determinados anuncios sobre criptoactivos. En su cualificada opinión no se puede sacar provecho de la credulidad e inexperiencia de los consumidores sobre estos productos volátiles y complejos.

A falta de un marco legal específico, las autoridades financieras se han limitado a advertir del riesgo de invertir en criptoactivos para dejar claro que no son instrumentos financieros sometidos a su vigilancia. De este modo han tratado de salvar su propia responsabilidad. Lo que no es tan frecuente es que un supervisor financiero regule la publicidad de un producto que no pertenece al ámbito de su competencia. Tan solo la Autoridad Monetaria de Singapur (MAS) se ha atrevido a emitir directrices prohibiendo la promoción pública de criptoactivos en los medios y redes sociales. Con estas directrices trata de evitar la trivialización del riesgo de invertir en estos productos como puede resultar de abrir cajeros de Bitcoin en plena calle.

En España somos pioneros en el control de la publicidad de criptoactivos por las autoridades financieras. En 2021 se modificó la Ley del Mercado de Valores para habilitar a la CNMV a controlar la publicidad de los criptoactivos presentados como objeto de inversión, aunque no sean instrumentos financieros objeto natural de la LMV. En uso de esta habilitación la CNMV acaba de fijar por circular los principios y criterios de este tipo de publicidad. En lugar de extender el régimen de control de la publicidad financiera a los criptoactivos, la CNMV ha optado por una regulación autónoma. Comienza por delimitar su ámbito. El nuevo régimen se aplica a toda publicidad que se dirija a inversores en España que ofrezca o llame la atención sobre criptoactivos, incluidos con buen criterio los criptoactivos no fungibles (NFT) ofrecidos al público como objeto de inversión. Es un régimen que deberá cumplir cualquier persona que realice una actividad publicitaria sobre criptoactivos, incluidos los famosos que cobran por este tipo de anuncios en las redes sociales (influencers). Un tuit de Andrés Iniesta sobre criptomonedas quedaría sometido al control de la CNMV.

Tras fijar su ámbito, la circular recoge principios y criterios comunes a la publicidad de instrumentos financieros y añade algunos propios de la publicidad de criptoactivos. Al igual que sucede con la publicidad sobre instrumentos financieros, la publicidad sobre criptoactivos debe ser “clara, equilibrada, imparcial y no engañosa”. La información sobre costes y rentabilidad debe ser “exacta, suficiente y actualizada”, evitando información sesgada sobre rentabilidades pasadas. Además, debe evitar crear expectativas desproporcionadas. Lo novedoso está en nuevos avisos de alto riesgo y de riesgo tecnológico. Los criptoactivos son productos con riesgos legales derivados de su incierta naturaleza. Aunque se vendan como moneda “no existe obligación legal de aceptarlos”. La CNMV considera que la tecnología de registros distribuidos carece de madurez y “pueden existir fallos significativos en su funcionamiento y seguridad”. Estas manifestaciones contrastan con el carácter infalible de Bitcoin. Pero conviene distinguir entre el protocolo matemático que es infalible y el sistema de servicios con intervención de mineros, programadores, custodios, intermediarios y otros actores sometidos a los fallos y debilidades de los seres humanos. Es esta constelación de operadores la que puede dar lugar a “fallos del sistema”, o más bien, a mala praxis que dañe a los inversores. No es la tecnología algorítmica y criptográfica lo que puede fallar sino el sistema humano puesto en marcha para prestar servicios monetarios y financieros con dicha tecnología.

La CNMV es el organismo encargado de supervisar que la publicidad de criptoactivos cumpla con estos principios y criterios. La publicidad de criptoactivos no requiere autorización previa. Basta con mantener un registro de las campañas publicitarias de los dos últimos años a disposición del supervisor quien podrá requerir el cese o modificación de la publicidad que no se ajuste al régimen reglamentado. Como regla especial, la CNMV somete a comunicación previa las campañas masivas por dirigirse a más de 100.000 personas a través de los medios de comunicación, incluidas las redes sociales. No se trata de una autorización previa sino de una mera comunicación que debe realizarse con diez días antelación a la ejecución de la campaña. Transcurrido el plazo se puede iniciar la campaña, salvo que la CNMV indique lo contrario.

Frente a los que ocurre con la publicidad de instrumentos financieros en la que la entidad puede acudir al informe previo del sistema de autorregulación publicitaria para probar que actúo con diligencia, en la publicidad de criptoactivos se carece de este recurso. Es un régimen carente de este puerto seguro. Por lo demás, la realización de publicidad con infracción de lo reglamentado constituye una infracción grave (art. 292.4 LMV) que podrá sancionarse con multa de 300.000 euros.

Con esta circular, la CNMV se aventura a regular la publicidad de los criptoactivos sin contar con un marco legal sobre el producto cuya publicidad debe controlar. De este modo, la CNMV juega en terreno ajeno. Trata de actuar de árbitro fuera del estadio y sin contar con un reglamento sobre este tipo de apuestas. Es una aventura de resultado incierto que presenta riesgos para el supervisor. A partir de ahora la CNMV responde con su patrimonio por el daño ocasionado como consecuencia de la falta de control de la publicidad de este tipo de productos o por excesos en su control.

10 leyes para la transformación digital en 2022

La Unión Europea está decidida a recuperar el liderazgo tecnológico perdido, y pretende hacerlo mediante una regulación inteligente. Si bien no cabe duda de que la legislación aprobada por la UE nos ha erigido en líderes regulatorios mundiales para las cuestiones digitales (así lo demuestra la buena acogida en otros países del Reglamento Europeo de Protección de Datos, la Directiva del Copyright o la ‘invención’ del derecho al olvido), lo cierto es que nuestro modelo regulatorio se ha demostrado insuficiente para construir una Europa soberana tecnológicamente.

Con todo, la UE (y sus Estados miembros, por mandato de la anterior) está decidida a seguir incentivando nuestro crecimiento tecnológico mediante la ley. A continuación se exponen 10 de los hitos regulatorios que cobrarán más importancia durante el próximo año 2022:

1. Ley de Servicios Digitales. La DSA (Digital Services Act), pendiente de aprobarse durante el primer semestre en la instancia europea, aborda una actualización de la Directiva de Comercio Electrónico de 2000 al objeto de adaptarla a las necesidades impuestas por las nuevas tecnologías. Sus principales novedades son la clarificación de la responsabilidad de los prestadores de servicios digitales (cuanto más alto esté el servicio en la cadena de valor, más aumentarán sus obligaciones), la regulación de nuevos procedimientos para la eliminación más rápida de contenidos ilegales o el establecimiento de moderación de contenido y la publicidad en línea.

2. Ley de Mercados Digitales. En relación con la anterior,  la DMA (Digital Markets Act) va dirigida a las grandes compañías tecnológicas y pretende evitar la formación de monopolios en el mercado digital. El concepto fundamental introducido por esta norma es el de los gatekeepers o guardianes de acceso, consideración que adquieren quienes ostentan una posición económica sólida y estable y una fuerte posición de intermediación entre una gran base de usuarios y un gran número de empresas, y en cuyo caso le serán de aplicación una serie de obligaciones.

3. Reglamento de Inteligencia Artificial. En abril de 2021, la Comisión Europea propuso un Reglamento de Inteligencia Artificial con una serie de normas armonizadas para abordar los riesgos específicos que plantean los sistemas de IA (clasificándolos en 4 categorías: Riesgo inadmisible, Alto Riesgo, Riesgo limitado y Riesgo mínimo), así como para fomentar su desarrollo y la implantación de la IA, especialmente en las pymes y las Administraciones públicas.  Aunque se espera que su tramitación se alargue aún  un tiempo, los pasos que se den este año serán fundamentales para la que será una de las primeras normas sobre IA del mundo.

4. Directiva(s) de Ciberseguridad. En diciembre de 2020, la Comisión Europea presentó una nueva Estrategia de Ciberseguridad de la UE para reforzar la resiliencia de Europa frente a las ciberamenazas. La nueva estrategia contiene propuestas legislativas concretas como la revisión de la Directiva NIS, para proteger la seguridad de la información, o la Directiva de Ciberresiliencia, que amplía el catálogo de infraestructuras críticas con diez nuevos sectores: energía, transporte, banca, mercados financieros, sanidad, agua potable, aguas residuales, infraestructuras digitales, administración pública y el espacio.

5. Reglamento de Criptoactivos. El llamado ‘Reglamento MiCA’ pretende crear el primer marco regulador armonizado sobre criptoactivos, un hito regulatorio que devendría único a nivel mundial. Se espera su aprobación a lo largo del año.

6. Ley de Telecomunicaciones. El sector de las telecomunicaciones también se verá profundamente afectado por diversos cambios regulatorios. De entre ellos, destaca especialmente el Proyecto de Ley de Telecomunicaciones, que fue aprobado en noviembre por el Consejo de Ministros y se encuentra actualmente en tramitación en el Congreso. Aunque el principal desencadenante de la ley es la necesidad de adaptar la normativa sectorial al nuevo Código Europeo de las Comunicaciones Electrónicas, lo cierto es que el proyecto va más allá, pues incluye también aspectos relativos a los usos del dominio público radioeléctrico, el despliegue de redes 5G, los incentivos a la inversión o la regulación por primera vez de los servicios de comunicaciones over the top (“OTT”), la instalación o explotación de cables submarinos y la instalación o explotación Puntos de Intercambio de Internet (IXP).

7. Ley de Comunicación Audiovisual. Aunque famosa por las controvertidas discusiones que ha propiciado entre Esquerra y el Gobierno en el marco de la negociación de los Presupuestos Generales del Estado (que culminó con la regulación de una ‘cuota de lenguas cooficiales’), esta norma es mucho más: consecuencia también de una directiva europea, regula por primera vez la obligación de las plataformas de intercambio de vídeos (Netflix, HBO, Filmin) de inscribirse en el registro estatal de prestadores del servicio de comunicación audiovisual y estar sujetas, por tanto, a nuevas obligaciones. El proyecto fue finalmente aprobado en noviembre y está pendiente de tramitación parlamentaria.

8. Ley de Chips. A la vista de que la falta de semiconductores ha supuesto una de las mayores amenazas para el relanzamiento económico europeo tras la pandemia, el pasado 15 de septiembre Ursula von der Leyen anunció que la UE desarrollaría una ‘Ley Europea de Chips’. El objetivo es que Europa logre soberanía tecnológica y enviar una firme señal geopolítica y económica al mundo.

9. Coches autónomos. Otra de las novedades -y en esta nos adelantamos al conjunto de la UE- es la que menciona Percival Manglano, exconsejero de Economía de la Comunidad de Madrid, en su blog: al parecer, la nueva Ley de Tráfico menciona por primera vez los coches autónomos y es posible que bien Interior bien Industria se lancen a regular su homologación pronto.

10. Leyes de Startups (y otras). Con cargo a los fondos europeos Next Generation UE y al subsiguiente Plan de Recuperación español, está pendiente de aprobarse un paquete legislativo compuesto de tres leyes que pretenden fomentar el emprendimiento, la innovación y el dinamismo del mercado. En primer lugar, el proyecto de la llamada Ley de Startups fue aprobada en diciembre y establece un régimen diferenciador para las startups y regula una serie de incentivos fiscales tanto al emprendimiento como a la inversión en emprendimiento, con un especial foco en el aspecto tecnológico. También aprobado en diciembre, el proyecto de la Ley Crea y Crece persigue impulsar la creación de empresas, facilitar su expansión y mejorar el clima de negocio en todo el territorio nacional. A partir de ahora, no se exigirá un capital de 3.000 euros para constituir una sociedad limitada: bastará con 1 euro. Otra de las novedades es que dichas sociedades podrán crearse en un plazo inferior a los 10 días laborales a través de medios telemáticos. Una tercera ley, la nueva Ley Concursal, pretende tanto evitar el estigma social asociado al concurso como garantizar la continuidad de la actividad empresarial, en la medida de lo posible y mediante el impulso de la eficacia del preconcurso.

Es evidente que la transformación digital es un reto tan necesario como inconmensurable. Coincidimos en la necesidad y oportunidad de recurrir a la ley como instrumento de compensación y garantía del reparto adecuado de los costes de la transición digital, pero no podemos olvidar que del acierto o no en la legislación final aprobada dependerá, una vez más, la capacidad de Europa de alzarse como líder tecnológico del mañana. Apliquémonos, porque nos jugamos mucho.

 

Los derechos digitales o las comisiones de expertos para la foto

En estos días veíamos la noticia sobre la constitución de un grupo de trabajo (el segundo que yo sepa en menos de tres años) para el estudio de los derechos digitales en el seno de la Secretaría de Estado de Digitalización e Inteligencia Artificial. Efectivamente, el primero se constituyó en 2017  siendo Ministro Alvaro Nadal y con un grupo de siete expertos. El de ahora es más nutrido y también abrirá un proceso de participación a la sociedad civil. Mientras tanto, duermen el sueño de los justos los derechos digitales ya recogidos en el título X “Garantía de los derechos digitales”, incluido en la nueva Ley Orgánica 3/2018 de 5 de diciembre de Protección de Datos de Carácter personal y garantía de los derechos digitales.  Para variar.

Y eso que pompa y circunstancia no faltaron en su elaboración, así como declaraciones altisonantes, de esas que tanto le gustan a nuestro legislador.  El art 79 bajo el epígrafe “Los derechos en la Era digital” señala lo siguiente: “Los derechos y libertades consagrados en la Constitución y en los Tratados y Convenios Internacionales en que España sea parte son plenamente aplicables en internet. Los prestadores de servicios de la sociedad de la información y los proveedores de servicios de Internet contribuirán a garantizar su aplicación”.  Considera la Exposición de Motivos de la Ley que “Los constituyentes de 1978 ya intuyeron el enorme impacto que los avances tecnológicos provocarían en nuestra sociedad y, en particular, en el disfrute de los derechos fundamentales. Una deseable futura reforma de la Constitución debería incluir entre sus prioridades la actualización de la Constitución a la era digital y, específicamente, elevar a rango constitucional una nueva generación de derechos digitales. Pero, en tanto no se acometa este reto, el legislador debe abordar el reconocimiento de un sistema de garantía de los derechos digitales que, inequívocamente, encuentra su anclaje en el mandato impuesto por el apartado cuarto del artículo 18 de la Constitución Española y que, en algunos casos, ya han sido perfilados por la jurisprudencia ordinaria, constitucional y europea.”

Recordemos que el concepto de “derechos digitales” es relativamente reciente y hace referencia básicamente a los derechos de los ciudadanos en el entorno digital, ya se trate de derechos fundamentales o de derechos ordinarios. Sin embargo, este concepto es especialmente relevante cuando afecta a los derechos fundamentales reconocidos en nuestra Constitución, en la medida en que estos derechos pueden ejercerse y deben de garantizarse en el entorno digital al menos con la misma eficacia que fuera de él, lo que plantea el problema de cómo protegerlos adecuadamente dadas las especiales características del medio que en ocasiones pueden limitar o dificultar el ejercicio de unas garantías previstas para el mundo físico.

Lo razonable es partir de la premisa de que los derechos fundamentales ya reconocidos en el mundo físico deben de obtener al menos idéntico reconocimiento en el mundo digital, sin necesidad de esperar –aunque pueda ser conveniente- a introducir reformas o modificaciones constitucionales que así lo prevean expresamente. Aunque por razones temporales obvias la Constitución española no contemplaba o mencionaba expresamente la protección de los derechos fundamentales en el ámbito digital hay que entender, como bien dice el precepto que hemos transcrito, que su garantía se extiende a todos aquellos ámbitos en los que estos derechos pueden ejercerse, y a todos los supuestos en que pueden verse vulnerados, existiendo fundamento suficiente en la propia Constitución para realizar esta interpretación.

En particular, podemos citar el art. 18.1 CE que consagra el derecho al honor, la intimidad personal y familiar y a la propia imagen, el art. 18.3 CE que garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial, el art. 18.4 CE según el cual la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos así como el art. 20.1 a) CE que reconoce y protege el derecho de  expresar y difundir libremente los pensamientos, ideas y opiniones mediante la palabra, el escrito o cualquier otro medio de reproducción y el 20.1 d) CE que garantiza el derecho a comunicar o recibir libremente información veraz por cualquier medio de difusión.  Lo mismo cabe decir también de los derechos ordinarios ya reconocidos en nuestro ordenamiento jurídico, cuya protección en el ámbito digital debe de estar garantizada de forma similar.

Pues bien, ¿cuáles son en concreto estos derechos?  A mi juicio cabe diferenciarlos en dos categorías: los derechos digitales específicos, que carecen de contenido fuera del ámbito de Internet, y los derechos digitales que son manifestación en Internet de derechos (fundamentales u ordinarios) ya existentes en el mundo físico. Y además, mientras que algunos son muy relevantes, otros (como el relativo al testamento digital) dan la sensación de haberse utilizado como “relleno” para que el catálogo fuera lo más amplio posible. Otros, como los relativos a la educación, son bastante evanescentes. En todo caso la lista está alineada con los catálogos existentes en otros países  o los elaborados a nivel internacional.

Los derechos digitales específicos serían los siguientes:

    • Derecho al acceso a Internet y a la no discriminación en dicho acceso y en el ámbito digital.
    • Derecho a la identidad en Internet
    • Derecho a la seguridad de las comunicaciones en Internet.
    • Derecho a la portabilidad en servicios de redes sociales y servicios de la sociedad de la información equivalentes.
    • Derecho al testamento digital

Los derechos digitales que son manifestación en Internet de derechos serían los siguientes:

    • Derecho a la privacidad y a la intimidad en el ámbito digital.
    • Derecho al olvido
    • Derechos digitales ligados a la libertad de expresión e información en Internet y al derecho al honor en Internet.
    • Derechos digitales en el ámbito laboral (Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral, derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación en el lugar de trabajo, derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral, derecho a la desconexión digital en el ámbito laboral, derechos digitales en la negociación colectiva).
    • Derechos digitales en el ámbito de la educación

Por último, aunque los derechos digitales están recogidos en el título X de una Ley que tiene el carácter orgánica, su propia Disposición final primera recuerda que tienen carácter de ley ordinaria los artículos 79, 80, 81, 82, 88, 95, 96 y 97 de dicho título.

Con respecto a lo que más nos interesa, su protección y sus garantías, hay que tener en cuenta que dentro del catálogo coexisten derechos y libertades fundamentales con otros que no tienen este carácter. Pero incluso dentro de una determinada categoría de derechos digitales tampoco el grado de protección o garantías de que gozan es idéntico, a veces por motivos ajenos a la esencia de tales derechos, como pueden ser las derivadas de los sujetos obligados y de las propias limitaciones tecnológicas, económicas, territoriales e incluso jurídicas. Pensemos en el carácter de las empresas que prestan muchos de estos servicios, la mayoría de las cuales son multinacionales que operan fuera del territorio español, y que por ello se rigen por disposiciones muy diferentes a las que resultan aplicables en el ámbito europeo, siendo su relación con los ciudadanos de carácter contractual y muchas veces sin contraprestación dineraria.

Además, cuando hablamos de derechos digitales y de sus garantías hay que tener muy presente la necesidad de una especial protección de estos derechos en el caso de los menores cuyo acceso a Internet desde edades muy tempranas es un fenómeno universal que facilita una sobreexposición al riesgo de la vulneración de sus derechos y libertades fundamentales en el ámbito digital (pensemos en el derecho a la intimidad, por ejemplo). Ello, en contraste con lo que pudiera suceder en el mundo físico, donde no solo las posibilidades de conculcar estos derechos son mucho menores, sino que también es mucho mayor la posibilidad de que sean conocidos y defendidos por sus padres y tutores.

Por último, en el caso de los derechos digitales de los trabajadores son frecuentes las llamadas a los acuerdos entre empleadores y trabajadores o a la negociación colectiva como mecanismos de concretar su contenido y los mecanismos para garantizarlos. Por tanto, será preciso aguardar al desarrollo contractual, convencional o vía negociación colectiva y a la interpretación jurisprudencial para conocer su verdadero alcance en la mayor parte de los casos.

En definitiva, me parece que teniendo pendiente la tarea de hacer efectivos los derechos ya reconocidos es un poco redundante ponerse a elaborar otra “Carta de derechos digitales” que quiere aumentar el listado, según lo que manifiesta la propia noticia de prensa del Ministerio. “En la actualidad, el Título X de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, dedicado a garantizar los derechos digitales de la ciudadanía, proclama derechos tan importantes como los relacionados con la protección de datos, el ámbito laboral, la protección de los menores o con los medios de comunicación y las redes sociales. Con el fin de completar y desarrollar este marco normativo, el Gobierno ha lanzado el proceso de elaboración de esta Carta, únicamente dedicada a los derechos digitales, para incluir algunos todavía no recogidos en el citado Título X. Es el caso de los relacionados con la protección de colectivos vulnerables, las nuevas relaciones laborales o el impacto de nuevas tecnologías como la inteligencia artificial”.

En Hay Derecho hemos hablado mucho de legislar para la foto, es decir, de hacer normas muy impactantes sin ocuparse de si se tienen los instrumentos necesarios para hacerlas cumplir, o sin evaluar mínimamente su funcionamiento. Pues bien, parece que ahora alguna Secretaría de Estado aburrida ha decido implantar las “comisiones para la foto”. Ojalá que me equivoque, pero me creería más estas iniciativas si hubieran empezado por hacer una valoración de la efectividad de los derechos digitales aprobados hace menos de dos años. Pero claro, eso no es tan divertido. Y a lo mejor resulta que se han quedado en papel mojado.

Radar COVID, ¿y ahora qué?

Desde que comenzó la crisis generada por el Covid-19 y todavía éramos una sociedad púber en cuestiones de pandemia y confinamiento, la tecnología informática emergió como una opción prometedora para enfrentar el desafío de sobrellevar y cooperar en la contención del virus. Fue así que el utopismo tecnológico hizo que se promoviesen ciertas herramientas como verdaderas “balas de plata” para acabar con la crisis aunque, como luego se demostró, esas propuestas estaban alejadas de la realidad. Al menos por ahora y en nuestro contexto.

Sin embargo, entre los recursos tecnológicos que surgieron durante este período, encontramos a las aplicaciones móviles de “rastreo de contactos” que se desarrollaron en un gran número de los países afectados por la pandemia. España no escapó a estos ensayos y, en el mes de julio, en el marco de la Orden SND/297/2020, de 27 de marzo, la Secretaría de Estado de Digitalización e Inteligencia Artificial (SEDIA) llevó a cabo una prueba piloto en La Gomera (Islas Canarias) de la app bautizada como “Radar COVID”, con el objeto de evaluar las bondades que podría traer la utilización de esta aplicación.

La app, que está siendo desarrollada por INDRA y la SEDIA, adoptó un sistema “descentralizado” (acogió el protocolo más respetuoso de la privacidad: Decentralized Privacy – Preserving Proximity Tracing <DP-3T>), que utiliza la tecnología bluetooth del dispositivo y está basada en la API ofrecida conjuntamente por Google y Apple.

En efecto, días atrás, se anunció que el ensayo puesto en marcha arrojó resultados positivos y que la aplicación estaría operativa de forma generalizada para todo el territorio nacional a mediados de septiembre. Entre los resultados alcanzados, se remarcó que el número de descargas superó las expectativas, que la retención de la app por los usuarios fue alta y -quizás lo más trascendente- que se logró detectar una media de 6.4 contactos estrechos por cada positivo simulado, por tanto, prácticamente dobló la eficiencia de los traceadores manuales, que es de una media de 3.5 contactos. En ese sentido, la herramienta permitiría solucionar los problemas que presenta la falta de rastreadores, la falibilidad de la memoria humana para identificar contactos, la imposibilidad de identificar a los contactos “anónimos” (ej. transporte público), etc. Además, las autoridades informaron que las cuestiones técnicas de la aplicación han cumplido las expectativas de sus desarrolladores.

Ahora bien, ¿de qué depende nuclearmente el éxito de la aplicación? Básicamente, el éxito se explica a partir de la penetración que tenga la aplicación. Es decir, del mayor o menor porcentaje de la población que la descargue, haga un uso activo de ella y comunique –eventualmente- si obtuvo un resultado Covid-19 positivo. En ese sentido, mientras mayor sea el porcentaje de personas que la utilicen, mayor será el número de contactos estrechos localizados.

Pero, ¿cómo se logra eso? Al tratarse de una aplicación de adhesión voluntaria, es necesario que el gobierno genere la confianza necesaria en la ciudadanía, demostrando e informando acerca de: 1) el respeto de las disposiciones previstas en el normativa de protección de datos (RGPD y la LOPDGDD); 2) la implementación de estándares altos de seguridad informática; y 3) evidencia científica de que se trata de una herramienta útil para el objetivo que se propone. Empecemos por reflexionar sobre las consecuencias para la privacidad de esta app.

 

Privacidad y Radar COVID

La implementación de este tipo de medidas presenta una tensión permanente entre el derecho individual a la protección de datos personales y el interés colectivo en relación con la salud pública. El equilibrio entre el respeto a la privacidad y el resguardo de la seguridad y salud pública se debe buscar en el marco de una discusión democrática que ponga sobre la mesa varias cuestiones. Así, la incidencia de las herramientas que se pongan a disposición para cumplir con los objetivos buscados deben ser proporcionales (la eficacia no puede justificar todo tipo de medidas de vigilancia), razonables (la efectividad de la herramienta debe ser demostrada, la temporalidad del tratamiento debe ser restrictiva, etc.) y transparentes (que se garantiza, por ejemplo, con la publicación del código fuente de la herramienta informática).

En consecuencia, la ciudadanía aceptará los riesgos (en tecnología y manipulación de datos, el riesgo 0 no existe) en la medida que obtenga algún tipo de beneficio relativo; en este caso, que por el funcionamiento de la app se contenga de manera aceptable el virus y que las medidas de confinamiento puedan ser menores.

Debe señalarse, en cuanto al marco jurídico sobre el cual se apoya el tratamiento de datos personales en este tipo de circunstancias, que la Agencia Española de Protección de Datos detalló en el Informe AEPD 17/2020, de 12 de marzo, que el Reglamento General de Protección de Datos (Reglamento –UE- 2016/679, de 27 de abril de 2016) prevé que la base jurídica que otorga licitud a este tipo de tratamiento –más allá de los casos en donde preste consentimiento el interesado-, la encontramos en los artículos 6.1.d): cuando sea necesario para proteger intereses vitales del interesado u otras personas físicas; y 6.1.e): cuando sea necesario para el cumplimiento de una misión realizada en interés público.

No obstante, al tratarse de una categoría especial de datos, en este caso, concernientes a la salud, el artículo 9.2 del RGPD exige que exista una circunstancia que levante la prohibición de tratamiento (siempre interpretando los preceptos de manera restrictiva), la cual se halla, especialmente, en los siguientes apartados: a) consentimiento explícito del interesado; g) que hace referencia a la necesidad del tratamiento por razones de un interés público esencial; e i), en el que se señala la necesidad del tratamiento debido a un interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria. En consecuencia, bajo determinadas circunstancias, cuando exista una tensión entre el derecho individual a la protección de datos personales y el derecho colectivo a la salud pública, el RGPD da lugar a este último.

En lo que a este punto respecta, el desarrollo de la aplicación Radar COVID adoptó los estándares de privacidad más avanzados para la protección de los datos personales- Especialmente, se tuvo como eje la Recomendación -UE- 2020/518 de la Comisión Europea, de 8 de abril de 2020. El respeto por la privacidad que ostenta la app es imposible de desconocer. No obstante, el código fuente aún no ha sido publicado, cuestión que restringió hasta el momento la posibilidad de que los expertos externos realicen una auditoría y, eventualmente, propongan mejoras.

Respecto al resguardo de la privacidad, la transparencia y la minimización de tratamiento de datos, considero que se manifiesta en las siguientes características de la app: se trata de un sistema descentralizado (el registro de contactos de un teléfono se almacenan localmente, sin que ninguna autoridad central pueda conocer quién ha estado expuesto al caso confirmado); la aplicación es de uso voluntario; no almacena datos personales; los datos son utilizados únicamente para los fines que se propone la aplicación; los datos que se recopilan en el propio dispositivo pueden ser eliminados por el usuario cuando lo desee, o bien, son eliminados automáticamente pasados 14 días; la herramienta solicita únicamente la información necesaria para su uso; y por último, días atrás la titular de la SEDIA informó que el código fuente será publicado una vez que se cuente con la versión final de la aplicación, cuestión que aportará la transparencia necesaria para este tipo de herramientas informáticas.

 

Radar COVID de aquí en adelante

La aplicación ha pasado las pruebas técnicas y, en principio, ha demostrado cumplir con los estándares de privacidad más rigurosos que se conocen hasta el día de la fecha. Sin embargo, el éxito de la aplicación se cimienta sobre una delgada capa de hielo en atención a la justificada inquietud que la ciudadanía tiene respecto a posibles abusos, por parte del Estado o de terceros, en relación con sus datos.

Por ello, al tratarse de un sistema de aceptación voluntaria por los ciudadanos, el trabajo comunicacional que debe cumplir el gobierno de aquí en adelante es clave. Se debe proporcionar información clara, fidedigna y precisa para que la herramienta sea adoptada por el mayor número de ciudadanos y así permitir que la población pueda cooperar de manera informada en la lucha contra el virus.

Además, otra cuestión fundamental a tener en cuenta se vincula con la implementación final de la “pasarela federativa” europea, que persigue el objetivo de lograr la interoperabilidad entre las distintas aplicaciones que se encuentran operativas en los países de la Unión Europea, cuya gestión recaerá bajo la responsabilidad de la Comisión (Decisión de Ejecución -UE- 2020/1023 de la Comisión, de 15 de julio de 2020).

Por otro lado, también es importante destacar que la aplicación es un instrumento complementario a la tarea de los rastreadores manuales y que debe acompañarse por una serie de medidas logísticas como, por ejemplo, la implementación de un sistema de contacto telefónico que responda adecuadamente a quienes reciban una notificación de “contacto estrecho” con un Covid-19 positivo y, también, con la disposición de un número suficiente de test para todos aquellos que reciban la notificación.

En definitiva, garantizado el respeto de la privacidad y la puesta a punto de los requisitos técnicos y logísticos, solo quedará evaluar la recepción que tenga la app entre la población. Si se genera confianza en la herramienta, se podrá contribuir con la solución a los problemas que presenta el rastreo manual y, de esta manera, contener los rebrotes del virus mediante el uso de una herramienta de tecnología informática como lo es esta aplicación.

El uso de las respuestas automatizadas y el “big data” durante la pandemia

La inteligencia artificial y el Big Data se han convertido en herramientas imprescindibles para el funcionamiento de buena parte de las empresas o gobiernos hoy en día. Estas herramientas permiten la optimización y agilización de procesos que pueden ser automatizados e incluso se han llegado a aplicar para predecir desastres naturales o para el avance de la medicina. En el caso de la actual pandemia, nos parecía esencial conocer si nuestro Gobierno había utilizado estas técnicas para la gestión de la crisis sanitaria. Por eso, desde la Fundación Hay Derecho hemos planteado una misma pregunta a todos los Ministerios a través de varias solicitudes de transparencia cuyo objetivo era conocer si se estaban tomando decisiones automatizadas o se estaba utilizando el Big Data en el Gobierno, cual era la naturaleza de estas decisiones y cómo se regulaba su utilización.

Las respuestas han sido variadas y pueden consultarse en nuestra página web. La mayoría de los Ministerios ha declarado que no se están llevando a cabo decisiones automatizadas ni se está utilizando Big Data. Otros, por el contrario, han contestado en sentido afirmativo. Desde la Fundación Hay Derecho consideramos que es interesante abrir el debate sobre el grado de utilización del Big Data y la Inteligencia Artificial en nuestras instituciones y, para esto, es fundamental disponer de toda la información.  Aquí se la ofrecemos a nuestros lectores.

Los ministerios que han contestado sobre las actuaciones automatizadas o utilizar Big Data son los siguientes:

Ministerio de la Agricultura: Utilizan del Big Data para la recolección de datos referentes a las ayudas de la PAC a partir de las imágenes obtenidas por satélites sobre las superficies agrarias. La información es posteriormente procesada por algoritmos de Machine Learning como Random Forest.

Ministerio de Inclusión, Seguridad Social y Migraciones: Se toman decisiones automatizadas respecto a la tramitación electrónica de diversos procedimientos de gestión de determinadas prestaciones del sistema de Seguridad Social. Asimismo, se utilizan algoritmos de inteligencia artificial y técnicas de Machine Learning para la elaboración de cuadros de mando y la clasificación de datos por medios estadísticos. No obstante, las decisiones las toman los empleados públicos con responsabilidad en la materia.

Ministerio de Defensa: las tecnologías Big Data o basadas en el empleo de algoritmos son consideradas de gran interés y potencial para el desarrollo de las misiones y cometidos del Ministerio. No obstante, su uso no se encuentra implementado a día de hoy y no proporciona a nivel corporativo servicios CIS/TIC basados en Big Data, Inteligencia Artificial (IA) u otras tecnologías disruptivas en esta materia (como Machine Learning).

Ministerio de Fomento: La Subdirección General de Planificación de Infraestructuras y Transporte del Ministerio de Transportes, Movilidad y Agenda Urbana ha realizado un único trabajo con tecnología Big Data, hasta la fecha, que ha sido la elaboración del estudio “Movilidad interprovincial de viajeros utilizando la tecnología Big Data”. Se emplea por primera vez de esta tecnología para obtener los flujos de movilidad interprovincial a nivel nacional, durante los meses de julio/agosto y octubre de 2017, tanto de residentes como de no residentes en España.

Ministerio de Industria, Comercio y Turismo:  En el marco del Real Decreto 330/2008, de 29 de febrero, por el que se adoptan medidas de control a la importación de determinados productos respecto a las normas aplicables en materia de seguridad de los productos, a través de la plataforma ESTACICE se gestiona de manera automática la emisión de determinados certificados con comunicación directa a las Aduanas, de manera que el levante o importación de la mercancía puede gestionarse de manera automática en caso en que no se realicen controles aduaneros posteriores. Los análisis adicionales de riesgo también se llevan a cabo en base a la respuesta generada por el sistema.

Por otro lado, existen diversos casos de producción y publicación de información para su explotación analítica (DATATUR, DATAINVES, DATACOMEX), si bien dichos sistemas se catalogarían más correctamente bajo el concepto de sistemas de Business Intelligence que bajo el de uso de Big Data. Estos casos los encontramos en los siguientes ministerios:

Ministerio de Transición Ecológica: algunos de los órganos adscritos sí que utilizan las decisiones automatizadas o el Big Data como es el caso de la Agencia Estatal de Meteorología, donde se utilizan en el análisis de procesamiento de los ficheros de anotaciones de accesos a la web y aplicaciones nativas institucionales para obtención del número de accesos y ver su evolución en el tiempo. También se utilizan técnicas de escucha activa en Twitter. Se han utilizado técnicas de machine learning para la obtención y elaboración de un corpus meteorológico mediante el análisis de las predicciones provinciales, de CCAA y nacionales desde el año 1995 emitidas por la Agencia.

Ministerio de Ciencia e Innovación: no toma ninguna decisión de forma automatizada ni se utiliza en ningún caso el Big Data o algoritmos, pero sí en algunos de sus organismos adscritos:

En el Instituto Nacional de Investigación y Tecnología Agraria y Alimentaria (INIA) se realizan las siguientes decisiones automatizadas: La Secretaria General en el Área de RRHH a través de SIGP, en el procedimiento “Concurso general para la provisión de puestos de trabajo” y en el procedimiento: “Asignación de ayudas correspondientes al Plan de Acción Social”.

Por su parte, el Consejo Superior de Investigaciones Científicas (CSIC) está trabajando en la progresiva reingeniería de sus procedimientos con el fin de orientarlos hacia actuaciones administrativas automatizadas, cuando ello es posible.

Ministerio de Consumo: no se toman decisiones automatizadas ni el uso de Big Data. No obstante, la Dirección General de Ordenación del Juego utiliza la tecnología de base de datos columnar Vértica para el almacenamiento de los datos de supervisión y control de la actividad de juego.

Ministerio del Interior: Alguno de los sistemas que actualmente se encuentran en fase de desarrollo, como es el PNR (Passenger Name Record), contempla la utilización de la tecnología Big Data. No obstante, al no estar transpuesta la Directiva (UE) 2016/681 que lo regula, no se está usando dicha tecnología. Una vez que se ponga en marcha el citado sistema PNR, será la propia Directiva la que regulará su utilización.

En relación a la utilización de algoritmos, cabe reseñar, que se utilizan en múltiples plataformas, servicios y sistemas, como son los siguientes:

  • Algoritmos de cifrado implementados en las infraestructuras de comunicaciones de Policía y Guardia Civil para garantizar el nivel de seguridad definido en cada uno de los dominios de seguridad y comunicaciones. (Blowfish, AES128, AES256, 3DES, RC2, RC4, etc.)
  • Algoritmos de encaminamiento en los routers para el tráfico IP.
  • Algoritmos de cifrado compatible con tecnología IPSEC.
  • Algoritmos de detección de incidentes de seguridad e intentos de intrusión.
  • Algoritmos desarrollados para procesos de consulta en alta velocidad en las bases de datos.

En conclusión, de manera todavía incipiente nuestras Administraciones van implantando estas tecnologías que potencialmente pueden tener un impacto muy grande en los derechos e intereses de los ciudadanos, por lo que conviene estar atentos y vigilantes. El primer paso, como siempre, es disponer de una buena información acerca de la actuación de nuestros Poderes Públicos.

2021: año 1 d.C. (despúes de la Covid)

Se nos ha prometido esperanza, haciéndonos creer que después de una placentera fase de desescalada volveremos a una “nueva normalidad”. Aunque lo más probable es que nos encontremos un mundo regido por la desconfianza y el miedo: temeremos volver a salir a cenar con nuestra pareja y amigos, todo ello suponiendo que el establecimiento nos lo permita. Recelaremos de volver a los comercios minoristas a realizar compras físicas. Nos aterrará asistir a nuestro primer evento más o menos multitudinario. O volver a emprender un simple viaje en transporte público.

Sin embargo, ese no es el mundo en el que deseamos vivir. El miedo no es una opción.

En particular, el comercio sabe que, en el corto plazo, las cosas no pueden seguir igual. Por eso, con independencia de las inversiones que deban acometer de cara a adecuar sus locales a las nuevas medidas higiénico-sanitarias que les exijan desde las autoridades sanitarias, el sector minorista deberá centrar sus esfuerzos en recuperar la confianza del consumidor.

Al nuevo consumidor no le va a extrañar que se le tome la temperatura a la puerta del establecimiento, o que se les atienda con medidas personales de protección propias de películas de ciencia ficción. Eso, el cliente, lo da por supuesto. De lo que va esta próxima fase de “obligada anormalidad” es de cambiar la tendencia actual y renovar la credibilidad perdida.

El consumidor siempre espera que los negocios a los que acude cumplan a rajatabla con toda la normativa. Pero, ahora, sus expectativas van más allá: quiere que el empresario le informe, de manera clara, completa y transparente, de cuáles son los esfuerzos que está llevando a cabo al objeto de convertir su establecimiento en un espacio seguro y confiable, en lo que al riesgo de contagio se refiere.

Este proceso de información no puede quedar en una simple manifestación unilateral del empresario. El nuevo cliente va a exigir que aquel sea capaz de acreditar que dispone y cumple con procesos, protocolos y políticas que, preferiblemente, vayan más allá del mínimo impuesto por las normas sanitarias aplicables. Es más, que la veracidad y eficacia de tales procedimientos han sido objetivamente validadas por un tercero de confianza.

Dentro de este nuevo escenario post-Covid, la tecnología debe convertirse en una solución eficaz, de asunción rápida y asequible para la generalidad de los comercios. Valga como ejemplo el de un eventual sistema de autodiagnóstico inicial, que permita a las empresas a registrar en una cadena de bloques inmutable, o blockchain, cuantas evidencias disponga ese concreto negocio sobre las efectivas acciones llevadas a cabo para securizar sus negocios ante la amenaza del Covid, o de cualesquiera otros riesgos sanitarios a los que podamos enfrentarnos en el futuro. Dicho con otras palabras, si queremos darle la vuelta a este nuevo escenario de temor clientelar, no bastará con limitarse a cumplir las normas de control sanitario, ya que la salubridad ha dejado de ser un riesgo sanitario para convertirse en un riesgo de negocio.

En este sentido, las nuevas actividades de marketing de los negocios convertirán al cumplimiento normativo en un nuevo argumento publicitario, al objeto de lograr el mayor carácter diferenciador posible de su propio establecimiento frente al de sus competidores. Es decir, si un consumidor ha de elegir entre comprar en una tienda que le informa, de forma transparente y rigurosa, de la implantación de medidas sanitarias en el local y de control de higiene de sus empleados y proveedores, y además lo acredita; o entre entrar en otra tienda que no le da ningún tipo de información, casi con toda seguridad la prudencia llevará a ese consumidor a optar por la primera frente a la segunda.

En efecto, el negocio que sea capaz de convencer a sus clientes de que dentro de su establecimiento no corre riesgo de contagio, comenzará a construir los cimientos sobre los que se volverá a levantar la confianza de su clientela y, por tanto, de la sociedad en general. Al lograrlo, ese empresario no sólo volverá a impulsar su actividad, sino que se presentará ante el mercado como un negocio diligente y socialmente responsable, digno de la confianza del público en general, y del regulador en particular.

La clave del éxito de esta manera de proceder la podemos encontrar en la cultura de gestión de riesgos y cumplimiento normativo de las organizaciones. Esta forma de actuar resulta esencial para poder gestionar, de forma eficiente, la responsabilidad de la persona jurídica y, por tanto, de la de sus administradores y directivos. En el fondo, no olvidemos que un eventual contagio provocado en una tienda por una deficiente implantación de medidas sanitarias preventivas aparejará una posterior exigencia de responsabilidades, y una reclamación por los daños y perjuicios causados, cuando no -a la vista de la gravedad del caso que ahora nos ocupa- algún tipo de sanción penal.

Gracias a esta cultura de compliance a la que nos hemos referido, la empresa puede diseñar protocolos propios (o aplicar los desarrollados sectorialmente desde su agrupación, asociación, franquiciador, etc.), donde se identifican las acciones que debe emprender. El efectivo nivel de cumplimiento de tales medidas debe, además, quedar suficientemente probado (una certificación basada en ese extremo podría bastar). Y, por último, la documentación acreditativa debe quedar, en todo momento, a disposición de terceros (clientes, inspección, etc.), pues así lo exige el principio de accountability, o cumplimiento efectivo, que debe regir una eficaz gestión de riesgos empresariales.

Sólo con este enfoque basado en acciones, y en la acreditación de su implantación, estaremos en condiciones de avanzar hacia una nueva normalidad, en la que la responsabilidad de los negocios nos lleve, de nuevo, hasta los niveles de confianza que el comercio y la industria necesitan para superar estos meses de inactividad.

La justicia y la gran pregunta de nuestro tiempo

La Justicia es una idea noble, un ideal. La Justicia es un sistema civilizado para resolver conflictos humanos. La Justicia es un poder del estado. La Justicia es una de las esencias de la democracia. La justicia es una profesión. La Justicia es un control de los abusos del poder. La Justicia es un control de la sociedad. Pero Roma está ardiendo. La Justicia está ardiendo, y parece no interesarle a nadie.

La Justicia no ha sabido, ni le han dejado, ser otra cosa que lo que es actualmente, un pozo sin fondo o un callejón sin salida. Un problema para legisladores y para la propia sociedad.

La tasa de congestión judicial tiene una incidencia directa en el tamaño de las empresas y una influencia económica medible en el grado de desarrollo de una economía. También la eficacia judicial tiene un coste para el emprendimiento. Además, y por supuesto, tiene un impacto relevante en los mercados de crédito, inmobiliario, de deuda y de inversión. Sorprenderá saber que España mantiene un tiempo medio de resolución de disputas inferior a otros sistemas de derecho civil francés, como Italia o la propia Francia, pero muy superior a la de los sistemas anglosajones o nórdicos, pero entiendo que no debe ser éste el debate.

La cuestión que nos ocupa, y el propósito de este artículo, es responder a la gran pregunta de nuestro tiempo sobre la justicia. Y que no es otra que, ¿Estamos dispuestos a que España tenga una justicia moderna, eficiente, eficaz, y que ayude a generar y distribuir riqueza para la sociedad? Y la respuesta a la pregunta sólo puede ser afirmativa o negativa.

La imprevisible pandemia mundial provocada por el SARS -COVID 2 ha provocado que las medidas tomadas por las autoridades para frenarla provoquen una serie de externalidades que han afectado a todos los órdenes sociales, incluida, por supuesto, la Justicia, y en todas las dimensiones anteriormente enumeradas. La pandemia va a suponer la puntilla al obsoleto y decimonónico sistema judicial español. La justicia española ya estaba colapsada, superada, en su organización, distribución, concepción y por supuesto, resultados.

Ante esta situación, los profesionales de la Justicia, ufanamente repiten, como un mantra: medios humanos y materiales. Sí, los medios humanos y materiales son necesarios para la eficacia de la administración de justicia, pero no son, por sí mismos, la clave a la hora de dar respuesta a la gran pregunta de nuestro tiempo. De hecho, los estudios demuestran que una mayor asignación de recursos no tiene como efecto directo una mejora de los sistemas judiciales.

La clave es una transformación absoluta y completa de nuestra administración de Justicia, del propio concepto que tenemos de ella, de sus procesos, de sus dinámicas, de su concepto. En definitiva, y ojo, salvaguardando los derechos constitucionales, realizar un upgrade con todas sus consecuencias. Las empresas, pequeñas, grandes y muy grandes, en general, han sabido adaptarse a un entorno cambiante, tecnológico, muy dinámico y en constante evolución, y la Justicia debe realizar, dentro de sus límites, un proceso similar.

El sistema judicial español es ineficiente, ineficaz y, finalmente, a todas luces, inefectivo. Y lo es con los recursos que actualmente tiene a su disposición, sin añadir ninguno más. El resultado de su producción está muy por debajo de la frontera de posibilidades de producción. Soy consciente del rechazo en España que la aplicación del Análisis Económico del Derecho tiene entre los juristas, perola conclusión de que el sistema judicial español es lento, desastroso y no cumple su objetivo, que no es otro que impartir Justicia de la mejor manera posible en el menor tiempo posible, debe ser una conclusión compartida que no ofrezca mayor debate.

Por tanto, creo que la capacidad de mejora del sistema judicial no es discutida, sea mediante un acercamiento económico o de otra clase, alejados del dogmatismo. Analicemos brevemente la dimensión de estos cambios, su profundidad y las medidas en concreto que las mismas suponen.

La transformación de la administración de justicia debe venir por cambios estructurales de distinta magnitud, como los que indico a continuación.

  • Cambio de sistemas procesales eternos e ineficientes.

El sistema español de recursos en los procedimientos civiles y penales es muy defectuoso. En primer lugar, todas las cuestiones de un procedimiento civil o penal que puedan ser susceptibles de recurso deberían acumularse al final del procedimiento, para que el juzgador pueda decidir sobre cualquier infracción que haya habido en el procedimiento, excepto los que impiden continuar el procedimiento en sede de vista preliminar o Audiencia Previa. Los continuos recursos de actos de trámite, entorpecen los procedimientos y los eternizan.

La extensión de los escritos debe limitarse al modo en el que Tribunal Supremo ha limitado los escritos en su jurisdicción. Asimismo, las sentencias deben limitarse en su extensión en la mayoría de casos.

En el orden penal, deben reformarse las instrucciones, para que las investigaciones sean llevadas a cabo por fiscales y Fuerzas y Cuerpos de Seguridad del Estado y que el plazo para acusar a una persona de un delito y que el juicio se celebre, no debe exceder entre los 12 y 18 meses, al modo Speedy Trial estadounidense, o un tiempo razonable para casos excepcionalmente complejos. Las investigaciones, secretas, por supuesto, durarán el tiempo que sea necesario, y el juez de instrucción debe convertirse en un juzgador penal ordinario. Debe acabarse con las interminables instrucciones penales que empiezan con la imputación de centenares de personas y acaban en condenas de dos o tres.

Finalmente, los recursos a los tribunales superiores deben cumplir la regla legal del writ of certiorari del Tribunal Supremo de Estados Unidos, tanto los Tribunales Superiores de Justicia como el Tribunal Supremo. En España este proceso ya ha comenzado con la Sala de Lo Contencioso Administrativo del Tribunal Supremo, que tiene unas normas similares.

Otra cuestión que debe mejorarse son los pleitos masivos. La experiencia de los litigios derivados de las cláusulas suelo es absolutamente desastrosa. Deben permitirse class action a la europea, refinando y mejorando el alcance de la sentencia y los efectos de la misma para todos los litigantes, permitiendo incorporarse a todos los afectados, y con reconocimiento de efectos para los posteriores; y permitiendo que la legitimación activa de los procedimientos recaiga en cualquier abogado colegiado y no en asociaciones, que en ocasiones derivan en fraude.

  • Cambio de los profesionales que intervienen en la misma.

Los profesionales de la administración de Justicia, y los externos a la misma que participan en ella, deben cambiar. En primer lugar los jueces deben especializarse en la jurisdicción en la que van a desarrollar su labor, de manera efectiva, no sólo para al acceso a la categoría de magistrado, como en la actualidad, sino que sea una especialización real y continua. En este sentido la organización y especialización de los Jueces de Lo Mercantil ha demostrado ser efectiva, dado que tienen una formación amplia en su especialidad, y continuada en el tiempo. Debe acabarse con los “saltos de jurisdicción” en la carrera judicial, formar a un profesional, ya sea en el ámbito público o privado, en un orden jurisdiccional, es caro y es un proceso de adquisición de conocimientos y experiencia a lo largo del tiempo que no debe ni puede interrumpirse, salvo, por supuesto, excepciones. Los estudios demuestran que a mayor especialización, mejores sentencias, y una Justicia más rápida y eficaz.

Respecto a los profesionales que comparecen en la administración de Justicia, también deben afrontar enormes cambios.  Los procuradores deben desaparecer, el concepto de su profesión es completamente decimonónico, y hoy día la misma carece de sentido, incluyendo su regulación mediante arancel. Los profesionales de la procura, deben incorporarse al ejercicio de la abogacía mediante la consideración de paralegals, o abogados si tienen el conocimiento y superan las pruebas de acceso pertinentes.

  • Cambios organizativos de planta judicial.

La planta judicial organizada en partidos judiciales debe reformarse, dado que están ampliamente desfasados y concebidos para un mundo en el que desplazarse, a caballo, por supuesto, era costoso y peligroso. Una vez más, un concepto decimonónico de la administración de Justicia y la ineficiencia por bandera, que sigue rigiendo la vida judicial en los tiempos del correo electrónico, la videoconferencia y el tren de alta velocidad.

  • Cambio sobre el litigio y la resolución de conflictos.

La sociedad española, los abogados, la manera de estructurar el litigio y el tiempo que dura un procedimiento judicial consiguen que interponer pleitos sea rentable para los abogados, que se litigue en exceso y que el procedimiento no sea lo suficientemente disuasorio para ninguno de los intervinientes en el mismo, ni litigantes, ni abogados, ni adminsitración de justicia.

El litigio debe desincentivarse. Las soft rules dictadas por el legislador para atenuar esta tendencia, fundamentalmente las leyes relativas a la educación de la sociedad en la mediación, no han servido de nada. Las pruebas empíricas señalan que no existe relación directa entre el coste de litigar, el precio más alto o bajo de los servicios legales, y las tasas de litigación elevadas. Asimismo señalan que existe relación directa en lo que denominamos en España “reglas de vencimiento objetivo” en las costas procesales.

En al ámbito internacional, nos encontramos ante dos reglas para la distribución de costes legales, la denominada american rule, en la que cada litigante pagas sus costas, con excepciones y la british rule, en la que el litigante perdedor paga sus costas y las del contrario. Es la más utilizada y es la que tenemos en España, aunque esta tendencia está en revisión legislativa últimamente, lo cual, a mi modo de ver, es un error.

Steven Shavell analizó en 1982 mediante un modelo económico las implicaciones que ambos modelos tenían a la hora de incentivar, o desincentivar, litigios. Sus conclusiones fueron que  el sistema de british rule proporciona mejores decisiones a la hora de interponer procedimientos, ya que los casos con poca probabilidad de éxito no son interpuestos y no llegan a juicio, pero, sin embargo los procedimientos con escasa cuantía pero una probable tasa de éxito son interpuestos casi en su totalidad, dado que se carece de riesgo por el demandante.

Por tanto, y dado que en España ya tenemos un sistema de british rule, que en principio, desincentiva el litigio con poca probabilidad de éxito, debemos acentuar dicha norma para hacer que la misma desincentive aún más el litigio y produzca un efecto de aversión al riesgo aún mayor.

Finalmente, debe hacerse hincapié en el argumento cultural, nuestra sociedad de raíz latina es una sociedad ampliamente litigiosa. Los procedimientos querulantes deben ser cribados y no ser tratados como procedimientos ordinarios realizando un test de resistencia que simplifique el proceso y os incardine en un fast track procedimental o los descarte directamente.

  • Implantación de la e – justicia y de modernos procesos

La implantación de la denominada como e-justicia o justicia digital es básica para la modernización de la administración de Justicia. Deben revisarse todas las normas procesales de pruebas, identidad de personas online, firmas electrónicas, expedientes judiciales electrónicos,  notificaciones electrónicas a las partes, testigos y , especialmente, demandados, sistemas de gestión procesal, que permitan una Justicia electrónica efectiva, especialmente para los asuntos menos relevantes que no necesitan de una intervención jurídica especial. Para un análisis de la implantación de la e-justicia puede consultarse la obra de Ricardo Oliva al respecto.

Finalmente, pero no por ello menos importante, , la Justicia abordar su propio proceso de comoditización. Si bien las conclusiones del mercado privado de competencia no pueden trasladarse sin más a la administración de Justicia, no es menos cierto que el principio inspirador debe ser el mismo: dar mayor añadido, en este caso, a la sociedad, el “cliente” de la administración de Justicia.Carece de sentido que el Estado, es decir, los contribuyentes, gasten enormes cantidades de dinero en formar jueces y profesionales de la administración de Justicia competentes para después tenerlos enfangados en asuntos en los que no es necesario un conocimiento exhaustivo o puedan resolverse de manera sencilla con un coste de tiempo bajo, con multitud de tareas, recursos y trabajos muy fácilmente comoditizable.

Utilizando la ley de Pareto, en la que cada unidad de input no supone una unidad de output, podemos aproximarnos a una conclusión real de que el 20% de los procedimientos interpuestos en los juzgados pueden ser complejos, y deben ser estudiados a fondo, y con recursos humanos cualificados. Al contrario, el 80% de los mismos serán procedimientos que no necesitan de dicha complejidad por ser asuntos poco relevantes.

El esfuerzo de los jueces y del sistema debe centrarse en mejorar dicho 20% de casos complejos porque son estos los que mayor output positivo producen para la sociedad. El resto de asuntos judiciales no deben suponer esfuerzo para el sistema, y deben resolverse rápidamente, con menor atención y sin malgastar el precioso tiempo de los profesionales de la adminsitración de Justicia. Se deben gestionar los procesos como en la empresa privada, con modernas herramientas de seguimiento y control como Salesforce ,Hubspot, Slack, Trello, etc, adaptadas a la realidad judicial.

Tras la pandemia, y la práctica paralización de toda la actividad judicial durante un periodo de dos meses, la situación va a empeorar considerablemente, quedando una Justicia de tercera categoría, sin servir su función constitucional como tercer poder del estado con relevancia para la ciudadanía, en una situación de colapso semi permanente.

La administración de Justicia necesita pasar del concepto decimonónico en el que se encuentra anclada, a una modernidad, y tiene que hacerlo a la velocidad de la luz. Para ello el análisis económico de la adminsitración de Justicia, en conjunción con otras herramientas y análisis, claro está, nos proporciona la orientación que esta transformación debe tener.

La respuesta a la gran pregunta de nuestro tiempo sobre la Justicia pasa por la implantación de estas medidas, u otras de corte similar, lo antes posible en el tiempo. Por muy polémicas que puedan parecer prima facie, son medidas basadas en pruebas empíricas sobre el funcionamiento de una organización de manera eficiente y eficaz. Las llamadas a más medios humanos y materiales son inservibles si no se conjugan con medidas de otro tipo.

Mientras tanto, Roma sigue ardiendo. Y nosotros con ella.

El tratamiento de datos personales de contagiados y sospechosos para la vigilancia epidemiológica en la nueva normalidad

En medio del debate sobre si es legítimo o no la toma de temperatura de las personas que acceden a un comercio o a un centro de trabajo, el pasado 12 de mayo se publicó la “Orden SND/404/2020, de 11 de mayo, de medidas de vigilancia epidemiológica de la infección por SARS-CoV-2 durante la fase de transición hacia una nueva normalidad” (en adelante también Orden 404), a través de la cual se establecen una serie de obligaciones de recogida, tratamiento y remisión de información, tanto individualizada como agregada, para los centros, servicios y establecimientos sanitarios y sociosanitarios, tanto del sector público como del privado, así como a los profesionales sanitarios que trabajan en ellos y servicios de prevención de riesgos laborales (en adelante también, los sujetos obligados).

Esta Orden (dictada al amparo de lo previsto en el RD 463/2020, de 14 de marzo, por el que se declara el estado de alarma para la gestión de la situación de crisis sanitaria ocasionada por la COVID-19) se enmarca en la “Estrategia de diagnóstico, vigilancia y control en la fase de transición de la pandemia COVID‐19, que el Ministerio de Sanidad publicó el 6 de mayo (posteriormente actualizada a fecha 12 de mayo) y establece en su artículo segundo que la COVID-19 es una enfermedad de declaración obligatoria urgente por lo que se hace necesario llevar a cabo la recogida de datos completos y precisos para apoyo de la toma de decisiones a la autoridad sanitaria.

De acuerdo con lo anterior, las unidades de salud pública de las comunidades y ciudades autónomas deberán obtener diariamente información sobre los casos sospechosos y confirmados de COVID-19, a través de los sujetos obligados.

Esta obligación se recoge en el marco de lo establecido en la Ley 33/2011, de 4 de octubre, General de Salud Pública, que establece la creación de una Red de Vigilancia en Salud Pública que incluya un sistema de alerta precoz y respuesta rápida que esté en funcionamiento continuo e ininterrumpido las veinticuatro horas del día.

El Real Decreto 2210/1995, de 28 de diciembre creó la Red Nacional de Vigilancia Epidemiológica (RENAVE) para permitir la recogida y el análisis de la información epidemiológica con el triple fin de (i) poder detectar problemas que puedan suponer un riesgo para la salud, (ii) difundir la información a las autoridades competentes y (iii) facilitar la aplicación de medidas para su control.

De hecho, este escenario legal es el que ha permitido a las autoridades competentes en materia de salud pública recoger y tratar información de la situación de la infección por SARS-CoV-2 y la COVID-19 desde el inicio de la pandemia y en el que ahora se enmarca la comunicación de datos que se llevará a cabo por los sujetos obligados.

La Orden 404 hace una llamada a cada componente de la RENAVE, a nivel autonómico y estatal, para advertir de que deberán destinar los recursos humanos, materiales y tecnológicos necesarios para la obtención de datos y el análisis continuo de la información, sin perjuicio de que igualmente se llevarán a cabo las adaptaciones pertinentes en los sistemas de información sanitaria y de vigilancia epidemiológica con el objeto de permitir a la RENAVE disponer de la información que la Orden establece.

Pero veamos a continuación cuáles son exactamente las obligaciones y procedimientos de obtención y comunicación de información para la vigilancia epidemiológica que contempla la Orden.

Por un lado, los servicios de atención primaria y hospitalaria, tanto del sistema público como del privado, así como de los servicios de prevención de riesgos laborales, son los sujetos obligados que deberán facilitar diariamente a las unidades de salud pública de las comunidades y ciudades autónomas información sobre los casos sospechosos e información individualizada de los casos confirmados de COVID-19. Concretamente, la información a obtener y comunicar al Ministerio de Sanidad desde el 12 de mayo de 2020 se describe en los anexos de la Orden.

Por otro lado, los laboratorios autorizados en España para la realización de pruebas diagnósticas para la detección de SARS-CoV-2 mediante PCR u otras pruebas moleculares deberán remitir directamente al Ministerio de Sanidad sus datos de contacto e identificación, así como datos de las pruebas diagnósticas realizadas.

De acuerdo con la Orden, la información individualizada de casos confirmados, se enviará al Ministerio de Sanidad a través de la herramienta de vigilancia SiViEs que gestiona el Centro Nacional de Epidemiología del Instituto de Salud Carlos III. Antes de las 12.00 horas de cada día se incorporará toda la información acumulada y actualizada hasta las 24.00 horas del día anterior.

Es obvio que la comunicación de datos que regula la Orden supone un tratamiento que, como las autoridades de protección de datos nos han recordado de forma periódica en esta situación de crisis sanitaria, debe garantizar el cumplimiento de la normativa de protección de datos, concretamente lo establecido en el Reglamento (UE) General de Protección de Datos (RGPD) y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), siendo especialmente relevantes las obligaciones de información a las personas interesadas relativas a los datos obtenidos por los sujetos obligados, puesto que como nuestro Tribunal Constitucional ya manifestó en su Sentencia 292/2000, de 30 de noviembre de 2000 uno de los elementos característicos de la definición constitucional del derecho fundamental a la protección de datos personales es el derecho a saber de los mismos.

En este punto hubiera sido deseable que la Orden ya incorporase exactamente la información que deberían recibir las personas interesadas acerca del tratamiento de sus datos personales, pero no ha sido así.

La Orden se limita a indicar que el responsable del tratamiento de los datos que serán comunicados por los sujetos obligados será el Ministerio de Sanidad y tiene por finalidad el seguimiento y vigilancia epidemiológica de la COVID-19 para prevenir y evitar situaciones excepcionales de especial gravedad, atendiendo a razones de interés público esencial en el ámbito específico de la salud pública, y para la protección de intereses vitales de los afectados y de otras personas físicas.

También indica que el Ministerio de Sanidad garantizará la aplicación de las medidas de seguridad preceptivas que resulten del correspondiente análisis de riesgos, teniendo en cuenta que los tratamientos afectan a categorías especiales de datos y que dichos tratamientos serán realizados por administraciones públicas obligadas al cumplimiento del Esquema Nacional de Seguridad.

Y menciona igualmente que el intercambio de datos con otros países se regirá por el RGPD, teniendo en cuenta la Decisión n.º 1082/2013/UE del Parlamento Europeo y del Consejo, de 22 de octubre de 2013, sobre las amenazas transfronterizas graves para la salud (cuyo objeto es objeto apoyar la cooperación y la coordinación entre los Estados miembros con el fin de mejorar la prevención y el control de la propagación de las enfermedades humanas graves a través de las fronteras de los Estados miembros y luchar contra otras amenazas transfronterizas graves para la salud) y el Reglamento Sanitario Internacional (2005) revisado, adoptado por la 58ª Asamblea Mundial de la Salud, celebrada en Ginebra el 23 de mayo de 2005.

Pero, volviendo al “derecho a saber” que nuestro Tribunal Constitucional calificó como uno de los pilares fundamentales de la privacidad de los ciudadanos, la Orden no hace explícito el alcance del contenido del tratamiento de datos de acuerdo con el principio de transparencia recogido en los artículos 13 y 14 RGPD (información que cualquier persona precisa para disponer de un control sobre sus datos) acogiéndose aparentemente a las excepciones para ello, puesto que precisa expresamente “que las obligaciones de información del Ministerio se ajustarán a lo dispuesto en el artículo 14 RGPD teniendo en cuenta las excepciones y obligaciones previstas en su párrafo 5”.

 Pero ¿qué dice el artículo 14 RGPD y cuáles son estas excepciones? El artículo 14 aclara la información que el Ministerio de Sanidad debería proporcionar a cada ciudadano de quien reciba sus datos personales como consecuencia de la comunicación que los “sujetos obligados” llevarán a cabo según lo antedicho en la Orden 404, y que consiste en la siguiente:

a) La identidad y los datos de contacto del responsable (Ministerio de Sanidad);

b) Los datos de contacto del delegado de protección de datos;

c) Los fines del tratamiento a que se destinan los datos personales, así como la base jurídica del tratamiento;

d) Las categorías de datos personales de que se trate;

e) Los destinatarios o las categorías de destinatarios de los datos personales, en su caso;

f) En su caso, la intención del responsable de transferir datos personales a un destinatario en un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias basadas en garantías adecuadas cuáles son estas y los medios para obtener una copia de ellas o al hecho de que se hayan prestado.

g) El plazo durante el cual se conservarán los datos personales o, cuando eso no sea posible, los criterios utilizados para determinar este plazo;

i) La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, y a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;

j) El derecho a presentar una reclamación ante una autoridad de control;

k) La fuente de la que proceden los datos personales y, en su caso, si proceden de fuentes de acceso público;

l) La existencia de decisiones automatizadas, incluida la elaboración de perfiles y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para la persona interesada.

Como puede apreciarse no es un asunto baladí. Esta información, que permitiría al ciudadano tener un control sobre sus datos, es la que el Ministerio de Sanidad debería comunicar a cada persona de quien se traten datos personales como consecuencia de la aplicación de la Orden 404 y podría haber sido incluida en la propia Orden.

La norma indica concretamente que el Ministerio debería facilitar la información indicada i) dentro de un plazo razonable, una vez obtenidos los datos personales, y a más tardar dentro de un mes; ii) si los datos personales han de utilizarse para comunicación con la persona interesada, a más tardar en el momento de la primera comunicación con ella, o; iii) si está previsto comunicar los datos a otro destinatario, a más tardar en el momento en que los datos personales sean comunicados por primera vez.

Sin embargo, no parece que el Ministerio tenga intención de informar del contenido del tratamiento a las personas interesadas, como puede apreciarse por el hecho ya mencionado de que la Orden indica que el Ministerio de Sanidad “tendrá en cuenta las excepciones al deber de informar contempladas en el propio artículo 14 RGPD en su apartado 5º”.

¿Y cuáles son estas excepciones?

Pues según reza el artículo 14, en su apartado 5º:

a) Cuando la persona interesada ya disponga de la información, lo cual en este caso no se dará si el Ministerio no proporciona a los “sujetos obligados” la información que deberían trasladar a las personas contagiadas o sospechosas.

b) Cuando la comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado, en particular para el tratamiento con fines de investigación científica “a reserva” en este caso de que cumplir con la obligación de informar pueda imposibilitar u obstaculizar gravemente el logro de los objetivos de tal tratamiento o en otro caso, siempre que se hubieran adoptado “las condiciones y garantías adecuadas para proteger los derechos, libertades e intereses legítimos de las personas interesadas”, inclusive haciendo pública la información;

c) Cuando la obtención o la comunicación esté expresamente establecida por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento y que establezca medidas adecuadas para proteger los intereses legítimos del interesado, o

d) Cuando los datos personales deban seguir teniendo carácter confidencial sobre la base de una obligación de secreto profesional regulada por el Derecho de la Unión o de los Estados miembros, incluida una obligación de secreto de naturaleza estatutaria.

 

No entraremos en el debate de la aplicabilidad de las excepciones ni en su caso, de las condiciones para ello, habida cuenta de que daría lugar para escribir otro post. Sin embargo, sí considero importante volver a aclarar que hubiera sido deseable en pro de la transparencia del tratamiento de los datos por nuestras instituciones, que se hubiera aprovechado la Orden para publicar, sino el total, sí parte de la información a que tienen derecho los ciudadanos como titulares de un derecho constitucional, como es el derecho a la protección de datos, dado que ello no habría puesto en riesgo los fines de tratamiento ni los hubiera obstaculizado.

Pese a que la Orden manifiesta que el responsable del tratamiento es el Ministerio de Sanidad, no queda tampoco clara la relación del Ministerio con el Instituto de Salud Carlos III (que es la entidad que gestiona la herramienta a través de la cual se enviarán los datos al Ministerio) ni parece que las políticas de privacidad que uno (Instituto de Salud Carlos III) y otro (Ministerio de Sanidad) tienen a disposición de los ciudadanos en sus sitios web. En esta línea, es menester advertir que la LOPDGDD establece la obligación para las Administraciones públicas de publicar electrónicamente sus registros de actividades en relación con el tratamiento de datos que llevan a cabo como responsables y encargados del tratamiento y s.e.u.o., no parece que en el registro de las actividades publicado por el Ministerio de Sanidad haya ninguna actividad de tratamiento relacionada con la Orden.

La transparencia en términos de privacidad para las AAPP debe ser además de una obligación una actitud puesto que, no en vano, la Administración Pública se encuentra entre las áreas de actividad con mayor número de reclamaciones recibidas en 2019 por parte de los ciudadanos, según indica la Agencia Española de Protección de Datos en su Memoria 2019.

Comparto en este punto opinión con Carme Sánchez (responsable en la Asociación Profesional Española de la Privacidad del grupo sobre administraciones públicas y privacidad) quién ve claro que las administraciones deben apostar por la privacidad y tenerlo como un valor añadido en su quehacer diario y contacto con el ciudadano.

Pero ¿qué ocurre en el caso de los denominados “sujetos obligados”? ¿Quedan ellos amparados por las excepciones del derecho a informar a las personas interesadas?En mi opinión no. La Orden no lo aclara, pero el artículo 13 RGPD, que es el que regula la información que deberá facilitarse a los titulares de los datos cuando sean ellos quienes proporcionen los datos personales, establece básicamente la misma obligación de información con el alcance que antes hemos descrito (con alguna diferencia) y la única excepción que se plantea es para el supuesto de que la persona interesada de quien se recogen los datos (esto es, los sospechosos y los contagiados) ya dispongan de la información, lo cual, obviamente no ocurre en la práctica.

En el artículo 23 RGPD se establece la posibilidad de limitar el principio de transparencia (que es el que obliga a trasladar la información a las personas interesadas) pero solo a través de medidas legislativas que así lo especifiquen. Pero no es el caso.

Esto nos conduce a advertir de la obligación que tienen las mutuas y los servicios de prevención de las empresas (como el resto de sujetos obligados) de informar en la recogida de los datos personales a los sospechosos de COVID-19 y a los contagiados del contenido del tratamiento de sus datos personales de acuerdo con el artículo 13 RGPD, cuando a través de la prestación de sus servicios habituales para las empresas tengan conocimiento de estos casos.

Nada tiene esto que ver con la reciente polémica que se ha levantado al hilo del comunicado de la AEPD en relación con la toma de temperatura por parte de comercios, centros de trabajo y otros establecimientos sobre lo cual ya se ha escrito mucho y en algún caso con detalle y argumento (véase artículo de opinión de Xavier Ribas) en el sentido de que el hecho de que la Orden 404 obligue a recoger determinada información a las mutuas y servicios de prevención no supone la necesidad de adoptar de forma generalizada dichos sistemas de toma de temperatura de las personas en el acceso a centros de trabajo, comercios, centros educativos u otro tipo de establecimientos.

La toma de temperatura es una opción que en cada caso deberán valorar los comercios, centros de trabajo y otros establecimientos en el marco de las medidas de reanudación de sus actividades habituales y en particular, en relación con los protocolos y medidas de prevención de COVID-19. Si bien en este punto la Agencia Española de Protección de Datos ha indicado que la aplicación de esta medida y el correspondiente tratamiento de datos requeriría la determinación previa que haga la autoridad sanitaria competente, que en estos momentos es el Ministerio de Sanidad, de su necesidad y adecuación al objetivo de contribuir eficazmente a prevenir la diseminación de la enfermedad en los ámbitos en los que se apliquen, regulando los límites y garantías específicos para el tratamiento de los datos personales de los afectados.

Si bien hasta el momento no parece que el Ministerio de Sanidad haya realizado una declaración pública sobre ello, la medida cada vez es más generalizada tanto en el sector privado como en el público (véase la Guía de buenas prácticas para la reactivación de la actividad judicial elaborada por el Consejo General del Poder Judicial, que establece los órgano/s encargado/s de garantizar las medidas recomendarán a las Administraciones prestacionales que pueda realizarse el control diario de temperatura en el acceso a la sede judicial y la Resolución de 4 de mayo de 2020, de la Presidencia del Consejo Superior de Deportes, por la que se aprueba y publica el Protocolo básico de actuación para la vuelta a los entrenamientos y el reinicio de las competiciones federadas y profesionales que en relación con los “Centros de entrenamiento” exige que sean dotados de puntos de control de acceso especial, provistos de material de desinfección y aislamiento, de elementos técnicos que permitan comprobar la temperatura, de las personas que accedan al recinto, y circuitos cerrados de televisión CCTV). Concretamente además, según indica el propio Consejo Superior de Deportes el Ministerio de Sanidad ha validado la práctica totalidad del protocolo sanitario que, con las aportaciones de numerosos agentes, se remitió al departamento que comanda el ministro Salvador Illa.

No obstante, el silencio del Ministerio de Sanidad al respecto es patente como lo pone de manifiesto el hecho de que la Orden SNS/414/2020, de 16 de mayo, para la flexibilización de determinadas restricciones de ámbito nacional establecidas tras la declaración del estado de alarma en aplicación de la fase 2 del Plan para la transición hacia una nueva normalidad establece (entre otras) una serie de medidas para garantizar la protección de los trabajadores en su puesto de trabajo, así como para evitar la concentración de personas en determinados momentos en el nuevo escenario proporcionado por la fase 2, como son: asegurar que todos los trabajadores tengan permanentemente a su disposición en el lugar de trabajo agua y jabón o geles hidroalcohólicos o desinfectantes con actividad virucida autorizados y registrados por el Ministerio de Sanidad para la limpieza de manos; garantizarse la distancia de seguridad interpersonal de aproximadamente dos metros o en su caso que los trabajadores dispongan de equipos de protección adecuados al nivel de riesgo; la sustitución del fichaje con huella dactilar por cualquier otro sistema de control horario que garantice las medidas higiénicas adecuadas para la protección de la salud y la seguridad de los trabajadores o en su caso, la desinfección del dispositivo de fichaje antes y después de cada uso, advirtiendo a los trabajadores de esta medida.

Además, si un trabajador empezara a tener síntomas compatibles con la enfermedad, la Orden indica que deberá contactarse de inmediato con el teléfono habilitado para ello por la comunidad autónoma o centro de salud correspondiente y, en su caso, con el correspondiente servicio de prevención de riesgos laborales y el trabajador se colocará una mascarilla, debiendo abandonar, en todo caso, su puesto de trabajo hasta que su situación médica sea valorada por un profesional sanitario.

Reconduciendo en todo caso este post al tema objeto de análisis, una vez más demandamos de las autoridades, y en este caso concretamente al Ministerio de Sanidad, transparencia, concreción y más detalle sobre el tratamiento de los datos de los ciudadanos, recordando que, cualquier actividad de tratamiento que se realice con categorías especiales de datos, como es la salud, debería haber sido planificada a través de una evaluación de impacto cuyo resultado, cuanto menos, debería incluir no solo la definición de las medidas sino su propia implantación con carácter previo a la recogida de cualquier dato personal.