Entradas

Los derechos digitales o las comisiones de expertos para la foto

En estos días veíamos la noticia sobre la constitución de un grupo de trabajo (el segundo que yo sepa en menos de tres años) para el estudio de los derechos digitales en el seno de la Secretaría de Estado de Digitalización e Inteligencia Artificial. Efectivamente, el primero se constituyó en 2017  siendo Ministro Alvaro Nadal y con un grupo de siete expertos. El de ahora es más nutrido y también abrirá un proceso de participación a la sociedad civil. Mientras tanto, duermen el sueño de los justos los derechos digitales ya recogidos en el título X “Garantía de los derechos digitales”, incluido en la nueva Ley Orgánica 3/2018 de 5 de diciembre de Protección de Datos de Carácter personal y garantía de los derechos digitales.  Para variar.

Y eso que pompa y circunstancia no faltaron en su elaboración, así como declaraciones altisonantes, de esas que tanto le gustan a nuestro legislador.  El art 79 bajo el epígrafe “Los derechos en la Era digital” señala lo siguiente: “Los derechos y libertades consagrados en la Constitución y en los Tratados y Convenios Internacionales en que España sea parte son plenamente aplicables en internet. Los prestadores de servicios de la sociedad de la información y los proveedores de servicios de Internet contribuirán a garantizar su aplicación”.  Considera la Exposición de Motivos de la Ley que “Los constituyentes de 1978 ya intuyeron el enorme impacto que los avances tecnológicos provocarían en nuestra sociedad y, en particular, en el disfrute de los derechos fundamentales. Una deseable futura reforma de la Constitución debería incluir entre sus prioridades la actualización de la Constitución a la era digital y, específicamente, elevar a rango constitucional una nueva generación de derechos digitales. Pero, en tanto no se acometa este reto, el legislador debe abordar el reconocimiento de un sistema de garantía de los derechos digitales que, inequívocamente, encuentra su anclaje en el mandato impuesto por el apartado cuarto del artículo 18 de la Constitución Española y que, en algunos casos, ya han sido perfilados por la jurisprudencia ordinaria, constitucional y europea.”

Recordemos que el concepto de “derechos digitales” es relativamente reciente y hace referencia básicamente a los derechos de los ciudadanos en el entorno digital, ya se trate de derechos fundamentales o de derechos ordinarios. Sin embargo, este concepto es especialmente relevante cuando afecta a los derechos fundamentales reconocidos en nuestra Constitución, en la medida en que estos derechos pueden ejercerse y deben de garantizarse en el entorno digital al menos con la misma eficacia que fuera de él, lo que plantea el problema de cómo protegerlos adecuadamente dadas las especiales características del medio que en ocasiones pueden limitar o dificultar el ejercicio de unas garantías previstas para el mundo físico.

Lo razonable es partir de la premisa de que los derechos fundamentales ya reconocidos en el mundo físico deben de obtener al menos idéntico reconocimiento en el mundo digital, sin necesidad de esperar –aunque pueda ser conveniente- a introducir reformas o modificaciones constitucionales que así lo prevean expresamente. Aunque por razones temporales obvias la Constitución española no contemplaba o mencionaba expresamente la protección de los derechos fundamentales en el ámbito digital hay que entender, como bien dice el precepto que hemos transcrito, que su garantía se extiende a todos aquellos ámbitos en los que estos derechos pueden ejercerse, y a todos los supuestos en que pueden verse vulnerados, existiendo fundamento suficiente en la propia Constitución para realizar esta interpretación.

En particular, podemos citar el art. 18.1 CE que consagra el derecho al honor, la intimidad personal y familiar y a la propia imagen, el art. 18.3 CE que garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial, el art. 18.4 CE según el cual la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos así como el art. 20.1 a) CE que reconoce y protege el derecho de  expresar y difundir libremente los pensamientos, ideas y opiniones mediante la palabra, el escrito o cualquier otro medio de reproducción y el 20.1 d) CE que garantiza el derecho a comunicar o recibir libremente información veraz por cualquier medio de difusión.  Lo mismo cabe decir también de los derechos ordinarios ya reconocidos en nuestro ordenamiento jurídico, cuya protección en el ámbito digital debe de estar garantizada de forma similar.

Pues bien, ¿cuáles son en concreto estos derechos?  A mi juicio cabe diferenciarlos en dos categorías: los derechos digitales específicos, que carecen de contenido fuera del ámbito de Internet, y los derechos digitales que son manifestación en Internet de derechos (fundamentales u ordinarios) ya existentes en el mundo físico. Y además, mientras que algunos son muy relevantes, otros (como el relativo al testamento digital) dan la sensación de haberse utilizado como “relleno” para que el catálogo fuera lo más amplio posible. Otros, como los relativos a la educación, son bastante evanescentes. En todo caso la lista está alineada con los catálogos existentes en otros países  o los elaborados a nivel internacional.

Los derechos digitales específicos serían los siguientes:

    • Derecho al acceso a Internet y a la no discriminación en dicho acceso y en el ámbito digital.
    • Derecho a la identidad en Internet
    • Derecho a la seguridad de las comunicaciones en Internet.
    • Derecho a la portabilidad en servicios de redes sociales y servicios de la sociedad de la información equivalentes.
    • Derecho al testamento digital

Los derechos digitales que son manifestación en Internet de derechos serían los siguientes:

    • Derecho a la privacidad y a la intimidad en el ámbito digital.
    • Derecho al olvido
    • Derechos digitales ligados a la libertad de expresión e información en Internet y al derecho al honor en Internet.
    • Derechos digitales en el ámbito laboral (Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral, derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación en el lugar de trabajo, derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral, derecho a la desconexión digital en el ámbito laboral, derechos digitales en la negociación colectiva).
    • Derechos digitales en el ámbito de la educación

Por último, aunque los derechos digitales están recogidos en el título X de una Ley que tiene el carácter orgánica, su propia Disposición final primera recuerda que tienen carácter de ley ordinaria los artículos 79, 80, 81, 82, 88, 95, 96 y 97 de dicho título.

Con respecto a lo que más nos interesa, su protección y sus garantías, hay que tener en cuenta que dentro del catálogo coexisten derechos y libertades fundamentales con otros que no tienen este carácter. Pero incluso dentro de una determinada categoría de derechos digitales tampoco el grado de protección o garantías de que gozan es idéntico, a veces por motivos ajenos a la esencia de tales derechos, como pueden ser las derivadas de los sujetos obligados y de las propias limitaciones tecnológicas, económicas, territoriales e incluso jurídicas. Pensemos en el carácter de las empresas que prestan muchos de estos servicios, la mayoría de las cuales son multinacionales que operan fuera del territorio español, y que por ello se rigen por disposiciones muy diferentes a las que resultan aplicables en el ámbito europeo, siendo su relación con los ciudadanos de carácter contractual y muchas veces sin contraprestación dineraria.

Además, cuando hablamos de derechos digitales y de sus garantías hay que tener muy presente la necesidad de una especial protección de estos derechos en el caso de los menores cuyo acceso a Internet desde edades muy tempranas es un fenómeno universal que facilita una sobreexposición al riesgo de la vulneración de sus derechos y libertades fundamentales en el ámbito digital (pensemos en el derecho a la intimidad, por ejemplo). Ello, en contraste con lo que pudiera suceder en el mundo físico, donde no solo las posibilidades de conculcar estos derechos son mucho menores, sino que también es mucho mayor la posibilidad de que sean conocidos y defendidos por sus padres y tutores.

Por último, en el caso de los derechos digitales de los trabajadores son frecuentes las llamadas a los acuerdos entre empleadores y trabajadores o a la negociación colectiva como mecanismos de concretar su contenido y los mecanismos para garantizarlos. Por tanto, será preciso aguardar al desarrollo contractual, convencional o vía negociación colectiva y a la interpretación jurisprudencial para conocer su verdadero alcance en la mayor parte de los casos.

En definitiva, me parece que teniendo pendiente la tarea de hacer efectivos los derechos ya reconocidos es un poco redundante ponerse a elaborar otra “Carta de derechos digitales” que quiere aumentar el listado, según lo que manifiesta la propia noticia de prensa del Ministerio. “En la actualidad, el Título X de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, dedicado a garantizar los derechos digitales de la ciudadanía, proclama derechos tan importantes como los relacionados con la protección de datos, el ámbito laboral, la protección de los menores o con los medios de comunicación y las redes sociales. Con el fin de completar y desarrollar este marco normativo, el Gobierno ha lanzado el proceso de elaboración de esta Carta, únicamente dedicada a los derechos digitales, para incluir algunos todavía no recogidos en el citado Título X. Es el caso de los relacionados con la protección de colectivos vulnerables, las nuevas relaciones laborales o el impacto de nuevas tecnologías como la inteligencia artificial”.

En Hay Derecho hemos hablado mucho de legislar para la foto, es decir, de hacer normas muy impactantes sin ocuparse de si se tienen los instrumentos necesarios para hacerlas cumplir, o sin evaluar mínimamente su funcionamiento. Pues bien, parece que ahora alguna Secretaría de Estado aburrida ha decido implantar las “comisiones para la foto”. Ojalá que me equivoque, pero me creería más estas iniciativas si hubieran empezado por hacer una valoración de la efectividad de los derechos digitales aprobados hace menos de dos años. Pero claro, eso no es tan divertido. Y a lo mejor resulta que se han quedado en papel mojado.

Radar COVID, ¿y ahora qué?

Desde que comenzó la crisis generada por el Covid-19 y todavía éramos una sociedad púber en cuestiones de pandemia y confinamiento, la tecnología informática emergió como una opción prometedora para enfrentar el desafío de sobrellevar y cooperar en la contención del virus. Fue así que el utopismo tecnológico hizo que se promoviesen ciertas herramientas como verdaderas “balas de plata” para acabar con la crisis aunque, como luego se demostró, esas propuestas estaban alejadas de la realidad. Al menos por ahora y en nuestro contexto.

Sin embargo, entre los recursos tecnológicos que surgieron durante este período, encontramos a las aplicaciones móviles de “rastreo de contactos” que se desarrollaron en un gran número de los países afectados por la pandemia. España no escapó a estos ensayos y, en el mes de julio, en el marco de la Orden SND/297/2020, de 27 de marzo, la Secretaría de Estado de Digitalización e Inteligencia Artificial (SEDIA) llevó a cabo una prueba piloto en La Gomera (Islas Canarias) de la app bautizada como “Radar COVID”, con el objeto de evaluar las bondades que podría traer la utilización de esta aplicación.

La app, que está siendo desarrollada por INDRA y la SEDIA, adoptó un sistema “descentralizado” (acogió el protocolo más respetuoso de la privacidad: Decentralized Privacy – Preserving Proximity Tracing <DP-3T>), que utiliza la tecnología bluetooth del dispositivo y está basada en la API ofrecida conjuntamente por Google y Apple.

En efecto, días atrás, se anunció que el ensayo puesto en marcha arrojó resultados positivos y que la aplicación estaría operativa de forma generalizada para todo el territorio nacional a mediados de septiembre. Entre los resultados alcanzados, se remarcó que el número de descargas superó las expectativas, que la retención de la app por los usuarios fue alta y -quizás lo más trascendente- que se logró detectar una media de 6.4 contactos estrechos por cada positivo simulado, por tanto, prácticamente dobló la eficiencia de los traceadores manuales, que es de una media de 3.5 contactos. En ese sentido, la herramienta permitiría solucionar los problemas que presenta la falta de rastreadores, la falibilidad de la memoria humana para identificar contactos, la imposibilidad de identificar a los contactos “anónimos” (ej. transporte público), etc. Además, las autoridades informaron que las cuestiones técnicas de la aplicación han cumplido las expectativas de sus desarrolladores.

Ahora bien, ¿de qué depende nuclearmente el éxito de la aplicación? Básicamente, el éxito se explica a partir de la penetración que tenga la aplicación. Es decir, del mayor o menor porcentaje de la población que la descargue, haga un uso activo de ella y comunique –eventualmente- si obtuvo un resultado Covid-19 positivo. En ese sentido, mientras mayor sea el porcentaje de personas que la utilicen, mayor será el número de contactos estrechos localizados.

Pero, ¿cómo se logra eso? Al tratarse de una aplicación de adhesión voluntaria, es necesario que el gobierno genere la confianza necesaria en la ciudadanía, demostrando e informando acerca de: 1) el respeto de las disposiciones previstas en el normativa de protección de datos (RGPD y la LOPDGDD); 2) la implementación de estándares altos de seguridad informática; y 3) evidencia científica de que se trata de una herramienta útil para el objetivo que se propone. Empecemos por reflexionar sobre las consecuencias para la privacidad de esta app.

 

Privacidad y Radar COVID

La implementación de este tipo de medidas presenta una tensión permanente entre el derecho individual a la protección de datos personales y el interés colectivo en relación con la salud pública. El equilibrio entre el respeto a la privacidad y el resguardo de la seguridad y salud pública se debe buscar en el marco de una discusión democrática que ponga sobre la mesa varias cuestiones. Así, la incidencia de las herramientas que se pongan a disposición para cumplir con los objetivos buscados deben ser proporcionales (la eficacia no puede justificar todo tipo de medidas de vigilancia), razonables (la efectividad de la herramienta debe ser demostrada, la temporalidad del tratamiento debe ser restrictiva, etc.) y transparentes (que se garantiza, por ejemplo, con la publicación del código fuente de la herramienta informática).

En consecuencia, la ciudadanía aceptará los riesgos (en tecnología y manipulación de datos, el riesgo 0 no existe) en la medida que obtenga algún tipo de beneficio relativo; en este caso, que por el funcionamiento de la app se contenga de manera aceptable el virus y que las medidas de confinamiento puedan ser menores.

Debe señalarse, en cuanto al marco jurídico sobre el cual se apoya el tratamiento de datos personales en este tipo de circunstancias, que la Agencia Española de Protección de Datos detalló en el Informe AEPD 17/2020, de 12 de marzo, que el Reglamento General de Protección de Datos (Reglamento –UE- 2016/679, de 27 de abril de 2016) prevé que la base jurídica que otorga licitud a este tipo de tratamiento –más allá de los casos en donde preste consentimiento el interesado-, la encontramos en los artículos 6.1.d): cuando sea necesario para proteger intereses vitales del interesado u otras personas físicas; y 6.1.e): cuando sea necesario para el cumplimiento de una misión realizada en interés público.

No obstante, al tratarse de una categoría especial de datos, en este caso, concernientes a la salud, el artículo 9.2 del RGPD exige que exista una circunstancia que levante la prohibición de tratamiento (siempre interpretando los preceptos de manera restrictiva), la cual se halla, especialmente, en los siguientes apartados: a) consentimiento explícito del interesado; g) que hace referencia a la necesidad del tratamiento por razones de un interés público esencial; e i), en el que se señala la necesidad del tratamiento debido a un interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria. En consecuencia, bajo determinadas circunstancias, cuando exista una tensión entre el derecho individual a la protección de datos personales y el derecho colectivo a la salud pública, el RGPD da lugar a este último.

En lo que a este punto respecta, el desarrollo de la aplicación Radar COVID adoptó los estándares de privacidad más avanzados para la protección de los datos personales- Especialmente, se tuvo como eje la Recomendación -UE- 2020/518 de la Comisión Europea, de 8 de abril de 2020. El respeto por la privacidad que ostenta la app es imposible de desconocer. No obstante, el código fuente aún no ha sido publicado, cuestión que restringió hasta el momento la posibilidad de que los expertos externos realicen una auditoría y, eventualmente, propongan mejoras.

Respecto al resguardo de la privacidad, la transparencia y la minimización de tratamiento de datos, considero que se manifiesta en las siguientes características de la app: se trata de un sistema descentralizado (el registro de contactos de un teléfono se almacenan localmente, sin que ninguna autoridad central pueda conocer quién ha estado expuesto al caso confirmado); la aplicación es de uso voluntario; no almacena datos personales; los datos son utilizados únicamente para los fines que se propone la aplicación; los datos que se recopilan en el propio dispositivo pueden ser eliminados por el usuario cuando lo desee, o bien, son eliminados automáticamente pasados 14 días; la herramienta solicita únicamente la información necesaria para su uso; y por último, días atrás la titular de la SEDIA informó que el código fuente será publicado una vez que se cuente con la versión final de la aplicación, cuestión que aportará la transparencia necesaria para este tipo de herramientas informáticas.

 

Radar COVID de aquí en adelante

La aplicación ha pasado las pruebas técnicas y, en principio, ha demostrado cumplir con los estándares de privacidad más rigurosos que se conocen hasta el día de la fecha. Sin embargo, el éxito de la aplicación se cimienta sobre una delgada capa de hielo en atención a la justificada inquietud que la ciudadanía tiene respecto a posibles abusos, por parte del Estado o de terceros, en relación con sus datos.

Por ello, al tratarse de un sistema de aceptación voluntaria por los ciudadanos, el trabajo comunicacional que debe cumplir el gobierno de aquí en adelante es clave. Se debe proporcionar información clara, fidedigna y precisa para que la herramienta sea adoptada por el mayor número de ciudadanos y así permitir que la población pueda cooperar de manera informada en la lucha contra el virus.

Además, otra cuestión fundamental a tener en cuenta se vincula con la implementación final de la “pasarela federativa” europea, que persigue el objetivo de lograr la interoperabilidad entre las distintas aplicaciones que se encuentran operativas en los países de la Unión Europea, cuya gestión recaerá bajo la responsabilidad de la Comisión (Decisión de Ejecución -UE- 2020/1023 de la Comisión, de 15 de julio de 2020).

Por otro lado, también es importante destacar que la aplicación es un instrumento complementario a la tarea de los rastreadores manuales y que debe acompañarse por una serie de medidas logísticas como, por ejemplo, la implementación de un sistema de contacto telefónico que responda adecuadamente a quienes reciban una notificación de “contacto estrecho” con un Covid-19 positivo y, también, con la disposición de un número suficiente de test para todos aquellos que reciban la notificación.

En definitiva, garantizado el respeto de la privacidad y la puesta a punto de los requisitos técnicos y logísticos, solo quedará evaluar la recepción que tenga la app entre la población. Si se genera confianza en la herramienta, se podrá contribuir con la solución a los problemas que presenta el rastreo manual y, de esta manera, contener los rebrotes del virus mediante el uso de una herramienta de tecnología informática como lo es esta aplicación.

El uso de las respuestas automatizadas y el “big data” durante la pandemia

La inteligencia artificial y el Big Data se han convertido en herramientas imprescindibles para el funcionamiento de buena parte de las empresas o gobiernos hoy en día. Estas herramientas permiten la optimización y agilización de procesos que pueden ser automatizados e incluso se han llegado a aplicar para predecir desastres naturales o para el avance de la medicina. En el caso de la actual pandemia, nos parecía esencial conocer si nuestro Gobierno había utilizado estas técnicas para la gestión de la crisis sanitaria. Por eso, desde la Fundación Hay Derecho hemos planteado una misma pregunta a todos los Ministerios a través de varias solicitudes de transparencia cuyo objetivo era conocer si se estaban tomando decisiones automatizadas o se estaba utilizando el Big Data en el Gobierno, cual era la naturaleza de estas decisiones y cómo se regulaba su utilización.

Las respuestas han sido variadas y pueden consultarse en nuestra página web. La mayoría de los Ministerios ha declarado que no se están llevando a cabo decisiones automatizadas ni se está utilizando Big Data. Otros, por el contrario, han contestado en sentido afirmativo. Desde la Fundación Hay Derecho consideramos que es interesante abrir el debate sobre el grado de utilización del Big Data y la Inteligencia Artificial en nuestras instituciones y, para esto, es fundamental disponer de toda la información.  Aquí se la ofrecemos a nuestros lectores.

Los ministerios que han contestado sobre las actuaciones automatizadas o utilizar Big Data son los siguientes:

Ministerio de la Agricultura: Utilizan del Big Data para la recolección de datos referentes a las ayudas de la PAC a partir de las imágenes obtenidas por satélites sobre las superficies agrarias. La información es posteriormente procesada por algoritmos de Machine Learning como Random Forest.

Ministerio de Inclusión, Seguridad Social y Migraciones: Se toman decisiones automatizadas respecto a la tramitación electrónica de diversos procedimientos de gestión de determinadas prestaciones del sistema de Seguridad Social. Asimismo, se utilizan algoritmos de inteligencia artificial y técnicas de Machine Learning para la elaboración de cuadros de mando y la clasificación de datos por medios estadísticos. No obstante, las decisiones las toman los empleados públicos con responsabilidad en la materia.

Ministerio de Defensa: las tecnologías Big Data o basadas en el empleo de algoritmos son consideradas de gran interés y potencial para el desarrollo de las misiones y cometidos del Ministerio. No obstante, su uso no se encuentra implementado a día de hoy y no proporciona a nivel corporativo servicios CIS/TIC basados en Big Data, Inteligencia Artificial (IA) u otras tecnologías disruptivas en esta materia (como Machine Learning).

Ministerio de Fomento: La Subdirección General de Planificación de Infraestructuras y Transporte del Ministerio de Transportes, Movilidad y Agenda Urbana ha realizado un único trabajo con tecnología Big Data, hasta la fecha, que ha sido la elaboración del estudio “Movilidad interprovincial de viajeros utilizando la tecnología Big Data”. Se emplea por primera vez de esta tecnología para obtener los flujos de movilidad interprovincial a nivel nacional, durante los meses de julio/agosto y octubre de 2017, tanto de residentes como de no residentes en España.

Ministerio de Industria, Comercio y Turismo:  En el marco del Real Decreto 330/2008, de 29 de febrero, por el que se adoptan medidas de control a la importación de determinados productos respecto a las normas aplicables en materia de seguridad de los productos, a través de la plataforma ESTACICE se gestiona de manera automática la emisión de determinados certificados con comunicación directa a las Aduanas, de manera que el levante o importación de la mercancía puede gestionarse de manera automática en caso en que no se realicen controles aduaneros posteriores. Los análisis adicionales de riesgo también se llevan a cabo en base a la respuesta generada por el sistema.

Por otro lado, existen diversos casos de producción y publicación de información para su explotación analítica (DATATUR, DATAINVES, DATACOMEX), si bien dichos sistemas se catalogarían más correctamente bajo el concepto de sistemas de Business Intelligence que bajo el de uso de Big Data. Estos casos los encontramos en los siguientes ministerios:

Ministerio de Transición Ecológica: algunos de los órganos adscritos sí que utilizan las decisiones automatizadas o el Big Data como es el caso de la Agencia Estatal de Meteorología, donde se utilizan en el análisis de procesamiento de los ficheros de anotaciones de accesos a la web y aplicaciones nativas institucionales para obtención del número de accesos y ver su evolución en el tiempo. También se utilizan técnicas de escucha activa en Twitter. Se han utilizado técnicas de machine learning para la obtención y elaboración de un corpus meteorológico mediante el análisis de las predicciones provinciales, de CCAA y nacionales desde el año 1995 emitidas por la Agencia.

Ministerio de Ciencia e Innovación: no toma ninguna decisión de forma automatizada ni se utiliza en ningún caso el Big Data o algoritmos, pero sí en algunos de sus organismos adscritos:

En el Instituto Nacional de Investigación y Tecnología Agraria y Alimentaria (INIA) se realizan las siguientes decisiones automatizadas: La Secretaria General en el Área de RRHH a través de SIGP, en el procedimiento “Concurso general para la provisión de puestos de trabajo” y en el procedimiento: “Asignación de ayudas correspondientes al Plan de Acción Social”.

Por su parte, el Consejo Superior de Investigaciones Científicas (CSIC) está trabajando en la progresiva reingeniería de sus procedimientos con el fin de orientarlos hacia actuaciones administrativas automatizadas, cuando ello es posible.

Ministerio de Consumo: no se toman decisiones automatizadas ni el uso de Big Data. No obstante, la Dirección General de Ordenación del Juego utiliza la tecnología de base de datos columnar Vértica para el almacenamiento de los datos de supervisión y control de la actividad de juego.

Ministerio del Interior: Alguno de los sistemas que actualmente se encuentran en fase de desarrollo, como es el PNR (Passenger Name Record), contempla la utilización de la tecnología Big Data. No obstante, al no estar transpuesta la Directiva (UE) 2016/681 que lo regula, no se está usando dicha tecnología. Una vez que se ponga en marcha el citado sistema PNR, será la propia Directiva la que regulará su utilización.

En relación a la utilización de algoritmos, cabe reseñar, que se utilizan en múltiples plataformas, servicios y sistemas, como son los siguientes:

  • Algoritmos de cifrado implementados en las infraestructuras de comunicaciones de Policía y Guardia Civil para garantizar el nivel de seguridad definido en cada uno de los dominios de seguridad y comunicaciones. (Blowfish, AES128, AES256, 3DES, RC2, RC4, etc.)
  • Algoritmos de encaminamiento en los routers para el tráfico IP.
  • Algoritmos de cifrado compatible con tecnología IPSEC.
  • Algoritmos de detección de incidentes de seguridad e intentos de intrusión.
  • Algoritmos desarrollados para procesos de consulta en alta velocidad en las bases de datos.

En conclusión, de manera todavía incipiente nuestras Administraciones van implantando estas tecnologías que potencialmente pueden tener un impacto muy grande en los derechos e intereses de los ciudadanos, por lo que conviene estar atentos y vigilantes. El primer paso, como siempre, es disponer de una buena información acerca de la actuación de nuestros Poderes Públicos.

2021: año 1 d.C. (despúes de la Covid)

Se nos ha prometido esperanza, haciéndonos creer que después de una placentera fase de desescalada volveremos a una “nueva normalidad”. Aunque lo más probable es que nos encontremos un mundo regido por la desconfianza y el miedo: temeremos volver a salir a cenar con nuestra pareja y amigos, todo ello suponiendo que el establecimiento nos lo permita. Recelaremos de volver a los comercios minoristas a realizar compras físicas. Nos aterrará asistir a nuestro primer evento más o menos multitudinario. O volver a emprender un simple viaje en transporte público.

Sin embargo, ese no es el mundo en el que deseamos vivir. El miedo no es una opción.

En particular, el comercio sabe que, en el corto plazo, las cosas no pueden seguir igual. Por eso, con independencia de las inversiones que deban acometer de cara a adecuar sus locales a las nuevas medidas higiénico-sanitarias que les exijan desde las autoridades sanitarias, el sector minorista deberá centrar sus esfuerzos en recuperar la confianza del consumidor.

Al nuevo consumidor no le va a extrañar que se le tome la temperatura a la puerta del establecimiento, o que se les atienda con medidas personales de protección propias de películas de ciencia ficción. Eso, el cliente, lo da por supuesto. De lo que va esta próxima fase de “obligada anormalidad” es de cambiar la tendencia actual y renovar la credibilidad perdida.

El consumidor siempre espera que los negocios a los que acude cumplan a rajatabla con toda la normativa. Pero, ahora, sus expectativas van más allá: quiere que el empresario le informe, de manera clara, completa y transparente, de cuáles son los esfuerzos que está llevando a cabo al objeto de convertir su establecimiento en un espacio seguro y confiable, en lo que al riesgo de contagio se refiere.

Este proceso de información no puede quedar en una simple manifestación unilateral del empresario. El nuevo cliente va a exigir que aquel sea capaz de acreditar que dispone y cumple con procesos, protocolos y políticas que, preferiblemente, vayan más allá del mínimo impuesto por las normas sanitarias aplicables. Es más, que la veracidad y eficacia de tales procedimientos han sido objetivamente validadas por un tercero de confianza.

Dentro de este nuevo escenario post-Covid, la tecnología debe convertirse en una solución eficaz, de asunción rápida y asequible para la generalidad de los comercios. Valga como ejemplo el de un eventual sistema de autodiagnóstico inicial, que permita a las empresas a registrar en una cadena de bloques inmutable, o blockchain, cuantas evidencias disponga ese concreto negocio sobre las efectivas acciones llevadas a cabo para securizar sus negocios ante la amenaza del Covid, o de cualesquiera otros riesgos sanitarios a los que podamos enfrentarnos en el futuro. Dicho con otras palabras, si queremos darle la vuelta a este nuevo escenario de temor clientelar, no bastará con limitarse a cumplir las normas de control sanitario, ya que la salubridad ha dejado de ser un riesgo sanitario para convertirse en un riesgo de negocio.

En este sentido, las nuevas actividades de marketing de los negocios convertirán al cumplimiento normativo en un nuevo argumento publicitario, al objeto de lograr el mayor carácter diferenciador posible de su propio establecimiento frente al de sus competidores. Es decir, si un consumidor ha de elegir entre comprar en una tienda que le informa, de forma transparente y rigurosa, de la implantación de medidas sanitarias en el local y de control de higiene de sus empleados y proveedores, y además lo acredita; o entre entrar en otra tienda que no le da ningún tipo de información, casi con toda seguridad la prudencia llevará a ese consumidor a optar por la primera frente a la segunda.

En efecto, el negocio que sea capaz de convencer a sus clientes de que dentro de su establecimiento no corre riesgo de contagio, comenzará a construir los cimientos sobre los que se volverá a levantar la confianza de su clientela y, por tanto, de la sociedad en general. Al lograrlo, ese empresario no sólo volverá a impulsar su actividad, sino que se presentará ante el mercado como un negocio diligente y socialmente responsable, digno de la confianza del público en general, y del regulador en particular.

La clave del éxito de esta manera de proceder la podemos encontrar en la cultura de gestión de riesgos y cumplimiento normativo de las organizaciones. Esta forma de actuar resulta esencial para poder gestionar, de forma eficiente, la responsabilidad de la persona jurídica y, por tanto, de la de sus administradores y directivos. En el fondo, no olvidemos que un eventual contagio provocado en una tienda por una deficiente implantación de medidas sanitarias preventivas aparejará una posterior exigencia de responsabilidades, y una reclamación por los daños y perjuicios causados, cuando no -a la vista de la gravedad del caso que ahora nos ocupa- algún tipo de sanción penal.

Gracias a esta cultura de compliance a la que nos hemos referido, la empresa puede diseñar protocolos propios (o aplicar los desarrollados sectorialmente desde su agrupación, asociación, franquiciador, etc.), donde se identifican las acciones que debe emprender. El efectivo nivel de cumplimiento de tales medidas debe, además, quedar suficientemente probado (una certificación basada en ese extremo podría bastar). Y, por último, la documentación acreditativa debe quedar, en todo momento, a disposición de terceros (clientes, inspección, etc.), pues así lo exige el principio de accountability, o cumplimiento efectivo, que debe regir una eficaz gestión de riesgos empresariales.

Sólo con este enfoque basado en acciones, y en la acreditación de su implantación, estaremos en condiciones de avanzar hacia una nueva normalidad, en la que la responsabilidad de los negocios nos lleve, de nuevo, hasta los niveles de confianza que el comercio y la industria necesitan para superar estos meses de inactividad.

Juicios telemáticos. El cambio es imparable.

Los juicios penales son siempre los más mediáticos. Por motivos varios, son los que captan mayor atención. La solemnidad con la que se tienen que desarrollar es incuestionable. Ni los principios inspiradores del proceso penal ni sus garantías procesales son negociables. Tales premisas están pacíficamente aceptadas y la tecnología no puede ni debe sustituir la necesaria inmediación sin perjuicio de que para determinados trámites o supuestos muy concretos sea útil y de apoyo.

Ahora bien, no todo es jurisdicción penal. Al finalizar el año 2019 había en trámite un total de 2.835.149 asuntos de los que poco más del 25% eran penales. El resto correspondía a la jurisdicción civil, social y contenciosa administrativa. Y es ahí donde los juicios telemáticos tienen un enorme potencial.

Permítaseme contar mi experiencia de un juicio íntegramente telemático como Magistrado de lo contencioso administrativo. El 11 de mayo de 2020 celebramos un juicio. Nunca hubiésemos llamado la atención de la prensa si no fuera porque decidimos que fuera íntegramente telemático. En un momento en el que aplaudíamos desde los balcones, nos mirábamos a través de una pantalla y el tiempo era aparentemente homogéneo, en el Juzgado decidimos que éramos parte de ese contexto y que teníamos en nuestras manos la capacidad de ayudar en lo posible. Así, a primeros de abril, nació la idea de hacer los juicios íntegramente telemáticos una realidad.

Para llevar a cabo esta iniciativa elaboramos un sencillo protocolo que tenía que cumplir dos requisitos. El primero, seguramente el más evidente por la sensibilidad de la ciudadanía, garantizar la salud de todos. Eliminar el riesgo de cualquier contagio se hacía viable de esta manera y no se alteraba el funcionamiento de los servicios mínimos. El segundo, que cumpliese todas las garantías procesales. Las partes tenían que poder intervenir exactamente igual que si fuera presencial. En este caso, la prueba sólo consistía en documental la cual ya estaba unida a las actuaciones. Se les preguntó a las partes y mostraron conformidad porque lo que había que resolver era una cuestión jurídica. Entonces, y sólo entonces, se realizó una prueba de conexión el 7 de mayo de 2020. Y salió bien.

El día de la vista, de nuevo telemáticamente, nos volvimos a ver desde nuestros despachos. Y también, de nuevo, con público. Jueces, un Decano de Notarios, Abogados del Estado, profesores de Universidad, Abogados de todas las partes de España, medios de comunicación y particulares. En total, lo presenciaron treinta dos personas.

Empezamos unos minutos tarde porque quisimos atender todas las peticiones de asistencia que nos estaban llegando hasta el último momento. La herramienta técnica que empleamos para celebrar el juicio telemático nos permitía la asistencia virtual de hasta 250 personas multiplicando así por 10 la capacidad de la sala de vistas. Garantizar la transparencia y el derecho a un juicio público con todas las garantías era la prioridad.

Las partes estaban de acuerdo en la necesidad de su celebración por los eventuales perjuicios irreparables que se podían ocasionar al recurrente en caso de aplazamiento y se entró al fondo del asunto. Se expusieron las alegaciones y la Administración aportó un documento que todos pudimos leer al mismo tiempo.

¿El resultado jurídico? La Administración le dio la razón al recurrente. ¿El resultado real? Se evitó el cierre definitivo de un establecimiento de hostelería cuya viabilidad económica dependía de este procedimiento. Por los cauces ordinarios, no hubiésemos llegado a tiempo y las estadísticas hubieran sumado un nuevo concurso de acreedores y cinco puestos de trabajo destruidos. La cuestión es que, al finalizar, hubo un enriquecedor debate. También telemático. Todos estábamos muy ilusionados. Quizás porque lo habíamos presenciado a la vez y coincidimos en que era posible y su implantación imparable.

No hablamos de juicios penales mediáticos. No hablamos de causas con presos. No hablamos de causas complejas ni ordinarias con testigos y peritos. Y no hablamos ni cuestionamos la necesaria inmediación que exigen esos procedimientos. Hablamos de la otra realidad jurídica. De esa que no ocupa tantos titulares pero que llenan más de la mitad de las oficinas de los Juzgados y millones de españoles siguen esperando que se resuelvan. Hablamos de los procedimientos en los que la cuestión a resolver es estrictamente jurídica y la única prueba es documental. Procedimientos de tramitación sencilla pero también importante para los afectados.  Y es para todo ese tipo de procedimientos para los que el juicio telemático puede agilizar su tramitación con plenas garantías jurídicas.

Por poner un ejemplo, en mi Juzgado más de la mitad de los procedimientos cumplen estos requisitos. Porcentaje que fácilmente puede extrapolarse a la mayoría de los Juzgados contencioso administrativo de toda España. Y, ahora mismo, tengo sobre la mesa decenas de peticiones en las que las dos partes están de acuerdo en celebrar ya el juicio de manera íntegramente telemática porque cumple con todas las garantías procesales.

Pero me atrevo a más. En la jurisdicción civil hay numerosos procedimientos en los que la única prueba es documental. Pensemos en los colapsados Juzgados de las cláusulas suelo en los que más del 80% cumpliría estos requisitos. O también en aquellos procedimientos del orden social en el que la cuestión a resolver es sólo jurídica.

Ahora bien, quiero dejar claro que la implementación de los juicios telemáticos no significa que no se tenga que invertir en medios humanos y materiales ni que sean la respuesta a todo. Son una solución para una parte muy importante de procedimientos porque cumple con todas las garantías jurídicas exigibles.

Me consta que muchísimos abogados están a favor porque se enfrentan cada día a una maquinaria judicial oxidada. También, que la Abogacía del Estado en Cantabria ya ha mostrado su opinión favorable a este tipo de procedimientos.

Por todo eso creo que es el principio de un cambio imparable.

¿Juicios telemáticos? Sin garantías procesales, no hay juicio

Llevamos más de dos meses de estado de alarma y los juzgados siguen vacíos. Más allá de los llamados “servicios esenciales” y actuaciones judiciales que no requieren de presencia, como las deliberaciones de los órganos colegiados, los juzgados de España están a la espera de que se levante el veto que impide celebrar juicios y que mantiene los plazos procesales suspendidos. Decenas de miles de profesionales de la justicia atraviesan una situación crítica ante tan prolongada situación.

Llevamos semanas denunciando la situación de la Justicia que, por su histórico abandono por parte de los poderes públicos, ya se encontraba en una situación poco halagüeña antes del 14 de marzo de 2020. Durante este tiempo, escuchamos a juristas, políticos y ciudadanos hablar de los juicios telemáticos como la solución milagrosa al colapso post-pandemia que se producirá en los tribunales. Unos juicios telemáticos que no han sido desarrollados técnicamente de ninguna manera.

Una abogada me decía el otro día que le preocupaba que se pretendiera “agilizar” la dramática situación actual de la justicia a costa de pasar por encima de los derechos de los justiciables o mediante la práctica de actuaciones judiciales con pocas garantías. A mí también. Pero me preocupa aún más la falta de conciencia de esta amenaza por parte de los operadores jurídicos que, en aras a demostrar su particular predisposición a adaptarse a la nueva situación –como si los demás no la estuviéramos-, consideran accesorios elementos que, en realidad, son tan relevantes que constituyen la razón por la cual el procedimiento judicial tiene garantías y sirve al fin pretendido. Los atajos en Justicia son siempre malas soluciones a medio plazo.

El artículo 19 del Real Decreto Ley 16/2020 de 28 de abril, de medidas organizativas en materia de Justicia para hacer frente a la pandemia, establece que, «durante la vigencia del estado de alarma y hasta tres meses después de su finalización, constituido el Juzgado o Tribunal en su sede, los actos de juicio, comparecencias, declaraciones y vistas y, en general, todos los actos procesales, se realizarán preferentemente mediante presencia telemática, siempre que los Juzgados, Tribunales y Fiscalías tengan a su disposición los medios técnicos necesarios para ello». Y excluye, como no podía ser de otra manera, el enjuiciamiento de delitos graves en el orden penal. Le queda ahora al Consejo General del Poder Judicial elaborar una guía que acote cuáles juicios y en qué condiciones se pueden celebrar. En ello están.

Los juicios telemáticos pueden constituir una herramienta accesoria que permita la agilización de determinados trámites procesales, vistas y comparecencias, pero han de garantizar la seguridad jurídica.

Las declaraciones a distancia de detenidos en sede policial, por ejemplo, ya practicadas durante estos días de confinamiento por los juzgados de guardia, cuentan con la adveración de la identidad del detenido efectuada por la policía y con la garantía de defensa del abogado defensor, que vela por la integridad del testimonio y por que sea prestado sin vicio. Este tipo de actuaciones no dejan de ser videoconferencias semejantes a las practicadas por los órganos judiciales antes del confinamiento: un funcionario del juzgado transcribe o graba la declaración prestada como si el detenido y su abogado estuvieran en sede judicial.

Las comparecencias penales que no conlleven práctica de prueba (de prisión, de adopción de órdenes de protección y otras medidas cautelares, etc) llevan años realizándose de forma telemática por parte del representante del Ministerio Fiscal cuando no puede asistir presencialmente. La absoluta insuficiencia de efectivos en fiscalía obliga a estos a multiplicarse, motivo por el cual el legislador recogió la posibilidad de que utilizasen medios telemáticos para poder atender las distintas diligencias. La rácana administración de justicia nos ha obligado a acostumbrarnos a administrar miserias, asumiendo como idóneo un parche que, en realidad, supone una disminución de la calidad de atención a las víctimas y victimarios. Que exista la posibilidad de la presencia a distancia del fiscal no puede llevar a conformarnos. Se deben crear más plazas de fiscales, no saturar a los ya existentes.

La videoconferencia, por tanto, debe ser concebida como algo excepcional, prevista únicamente para casos en los que no pueda realmente realizarse la actuación judicial de manera presencial o que esta no esté aconsejada (situación actual de riesgo de contagio, por ejemplo). Mantener que lo telemático “ha venido para quedarse” es poner a la Justicia en bandeja tanto a este como a futuros gobiernos que fácilmente optarán por no crear nuevos efectivos y saturar aún más a los ya existentes. Por ello, considero indispensable que seamos los propios operadores jurídicos los que prestigiemos nuestra función. De lo contrario, nos veremos reducidos a un número o a un eslabón en la cadena de producción. No podemos olvidar que nuestro trabajo afecta a derechos fundamentales. Un busto parlante no puede meter a nadie en prisión.

Pasando de las comparecencias y diligencias judiciales expuestas a la propuesta de generalizar los  juicios telemáticos mientras dure el estado de alarma, debe aceptarse su implementación de manera temporal y excepcional y siempre partiendo de la base de un sistema cifrado que preserve el contenido de lo actuado, la protección de datos personales y la identidad de los actuantes. Así, las conformidades con el fiscal, los actos de conciliación, las mediaciones, arbitrajes, las audiencias previas civiles, los juicios documentales o las conclusiones orales, por ejemplo, pueden ser celebrados íntegramente de forma telemática con mínimos medios técnicos que garanticen la fe pública judicial y permitan la grabación. De hecho, la aportación de prueba documental puede realizarse por los mismos medios técnicos, compartiendo en pantalla los documentos. Pero veo inviable la práctica de prueba testifical y pericial de parte en juicios telemáticos. Únicamente, cabría la posibilidad de que los profesionales asistieran telemáticamente desde sus respectivos despachos -contemplando incluso la posibilidad de que las partes les acompañen, dada la tasada valoración de la prueba de interrogatorio- y, el resto de deponentes (testigos y peritos), lo harían en sede judicial ante el juez, garantizando tanto la identidad como la integridad de la declaración. Una testifical prestada en lugar donde no haya funcionario público que identifique al declarante y verifique la ausencia de vicio no puede ser valorada como tal.

Por otra parte, la inmediación judicial es imprescindible para poder valorar correctamente la prueba, por lo que excluiría de la posibilidad de celebrar juicios telemáticos los de la jurisdicción penal. La inmediación se ve gravemente afectada en el contacto telemático, al igual que no es igual tomarse un café con un amigo que dialogar con él por Zoom. La videoconferencia te hace perder detalles del entorno y del lenguaje corporal. En determinadas actuaciones como las exploraciones de menores, los procesos de familia o la protección de derechos fundamentales, la cercanía humana es imprescindible. Si no aceptamos que un internista nos diagnostique a distancia, ¿Por qué aceptamos una decisión judicial así?

Aunque es cierto que existen supuestos legales en los que se compromete la inmediación, como la preconstitución de prueba en el ámbito penal, se trata de casos excepcionales en los que se prima la evitación de la victimización secundaria de quien ha sufrido un delito traumático o la garantía de la prueba en casos de víctimas extranjeras que se marchan a su país (ius puniendi del Estado) frente a la inmediación judicial y, por ello, la ley ha permitido la excepción.

Finalmente, quiero resaltar que los juicios telemáticos impiden la publicidad de los juicios, en contra de lo establecido por el legislador. Además, permiten dejar en manos de los intervinientes el buen desarrollo de la vista, ya que, ante la eventualidad de un juicio desfavorable, se puede caer en la tentación de desconectar y apelar a la nulidad de lo actuado por fallos de conexión.

En definitiva: sí a los medios telemáticos con garantías técnicas de protección de datos, de identificación de los intervinientes y de integridad del contenido de lo actuado, pero como instrumento accesorio que permita reducir la presencia de personas en sede judicial en actuaciones sencillas. No podemos aceptar burocratizar la justicia bajo la excusa de una epidemia. La adopción de decisiones razonables que permitan la contención de los contagios siempre deben estar iluminadas por la conciencia de servicio público de calidad, que debe volver al contacto personal una vez pasen las restricciones. Y determinadas actuaciones nunca deberían celebrarse de forma telemática. Los derechos de los ciudadanos están en juego.

Protección de datos y geolocalización en la Orden SND/297/2020

La Orden SND/297/2020, de 27 de marzo, por la que se encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, el desarrollo de diversas actuaciones para la gestión de la crisis sanitaria ocasionada por el COVID-19, contempla un conjunto de medidas sobre las que se ha estado polemizando en las últimas dos semanas. Y sin duda merece una especial atención.

1.-El contexto de la norma.

Con carácter previo es fundamental situar la norma en su contexto atendiendo primero a los aspectos competenciales. La orden emana del Ministerio de Sanidad, y en el marco de sus competencias. Por otra parte, la exposición de motivos de la Orden indica finalidades muy específicas dirigidas a «proteger la salud y seguridad de los ciudadanos, contener la progresión de la enfermedad y reforzar el sistema de salud pública». Estos fines pretenden ejecutarse por medio de acciones concretas:

Ofrecer canales alternativos de información fiable a los ciudadanos, a través de aplicaciones, un asistente conversacional o una página web, que permitan aliviar la carga de trabajo de los servicios de emergencia de las distintas Administraciones Públicas con competencia en materia de salud.

▪ Contar con información real sobre la movilidad de las personas en los días previos y durante el confinamiento para entender los desplazamientos de población y verificar cómo de dimensionadas están las capacidades sanitarias en cada provincia.

Para ello se invocan dos fuentes de legitimación:

▪ El artículo tercero de la Ley Orgánica 3/1986, de 14 de abril, de Medidas Especiales en Materia de Salud Pública, dispone que, con el fin de controlar las enfermedades transmisibles, la autoridad sanitaria, además de realizar las acciones preventivas generales, podrá adoptar las medidas oportunas para el control de los enfermos, de las personas que estén o hayan estado en contacto con los mismos y del medio ambiente inmediato, así como las que se consideren necesarias en caso de riesgo de carácter transmisible.

▪ El artículo 4 del Real Decreto 463/2020, de 14 de marzo, por el que se declara el estado de alarma para la gestión de la situación de crisis sanitaria ocasionada por el COVID-19 por el que se habilita a las autoridades competentes delegadas para dictar las órdenes, resoluciones, disposiciones e instrucciones interpretativas.

Así pues, a la luz de la exposición de motivos, la Orden bajo ningún punto de vista es comparable con las previsiones que se contienen en los estados de excepción y sitio respecto del marco ordinario de tutela del secreto de las comunicaciones y la inviolabilidad del domicilio. No es, por tanto, y como en ocasiones se sugiere, ni un estado excepcional respecto del derecho fundamental a la protección de datos ni tampoco una derogación del marco jurídico europeo o nacional.

2.-¿Qué tratamientos de datos personales?

Con carácter previo debe señalarse que la orden no establece excepción alguna al derecho fundamental a la protección de datos; al contrario, refiere expresamente la aplicación del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

Pero hace algo más: el Ministerio se compromete a seguir «los criterios interpretativos dados por la Agencia Española de Protección de Datos». Estos criterios son parcos en lo que a la situación actual se refiere, pero amplísimos si se considera el conjunto de informes y recomendaciones disponibles. Con carácter específico hay que atender al Comunicado de la AEPD sobre apps y webs de autoevaluación del Coronavirus. En el mismo se señalan algunos principios nucleares:

Como ya dijera con anterioridad en un Informe y después en unas preguntas frecuentes sobre tratamientos de datos en relación con el coronavirus, el derecho fundamental a la protección de datos puede ser limitado por razones de interés público relacionado con la salud de las personas. Esta situación de emergencia no puede suponer una suspensión del derecho fundamental a la protección de datos personales. Pero, al mismo tiempo, la normativa de protección de datos no puede utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten las autoridades competentes, especialmente las sanitarias, en la lucha contra la epidemia, ya que en ella se prevén soluciones que permiten compatibilizar el uso lícito de los datos personales con las medidas necesarias para garantizar eficazmente el bien común. Para ello, la Agencia está colaborando con las autoridades competentes, facilitándoles criterios que permitan compatibilizarlos.

Las finalidades legítimas para las que estas autoridades pueden tratar datos se extenderán a las relacionadas con el control de la epidemia, como ofrecer información sobre el uso de las aplicaciones de autoevaluación realizadas por las administraciones públicas o la obtención de estadísticas con datos de geolocalización agregados para ofrecer mapas que informen sobre áreas de mayor o menor riesgo. En la geolocalización la autoridad extiende el ámbito del tratamiento bajo ciertas condiciones y/o circunstancias:

Que hayan facilitado previamente el teléfono móvil. Criterio que no precisa, aunque habida cuenta de que la norma se refiere a usuarios cabe pensar que se facilite específicamente durante el proceso de instalación.

▪ Para una determinada finalidad: ofrecer canales alternativos de información fiable a los ciudadanos y aliviar la carga de trabajo de los servicios de emergencia de las distintas Administraciones Públicas con competencia en materia de salud. Así como, contar con información real sobre la movilidad de las personas en los días previos y durante el confinamiento

▪ Y con una determinada legitimación: las amplias competencias que, en situaciones excepcionales, tienen las autoridades sanitarias. Además, la Agencia Española de Protección de Datos, a diferencia de lo que han negado diversos expertos, sí establece una correlación entre la medida de localización con el Estado de Alarma señalando que debe tenerse en cuenta que «una de las medidas excepcionales para la gestión de la situación de crisis sanitaria ocasionada por el COVID-19 es la de limitar la libertad de circulación de las personas».

Si atendemos a las acciones definidas en la Orden se pretende realizar los siguientes tratamientos:

Autoevaluación básica de síntomas médicos. Como resultado de la misma cabe deducir que se podrá identificar a pacientes potenciales. Sin embargo, ello ofrece alguna duda ya que expresamente se señala que:

La aplicación no constituirá, en ningún caso, un servicio de diagnóstico médico, de atención de urgencias o de prescripción de tratamientos farmacológicos. La utilización de la aplicación no sustituirá en ningún caso la consulta con un profesional médico debidamente cualificado.

Esta previsión, seguramente excluya el requisito de ser mayor de 16 años, definido por la agencia española de protección de datos, probablemente en aplicación del criterio de consentimiento informado de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica. Sin embargo, deja en el aire que consideración tendrá para el sistema de salud un usuario de cuya autoevaluación sugiera claramente la presencia de un enfermo.

La herramienta además prestará un servicio a la ciudadanía consistente en ofrecer información al usuario sobre el COVID-19 y proporcionarle consejos prácticos y recomendaciones de acciones a seguir según la evaluación, así como conectarle con portales gestionados por terceros con el objeto de facilitar el acceso a información y servicios disponibles a través de Internet.

▪ La única función que se enuncia para la aplicación en materia de localización individualizada de una persona consiste en la geolocalización del usuario a los solos efectos de verificar que se encuentra en la comunidad autónoma en que declara estar. Y de nuevo aquí la semántica plantea dudas de orden material. Es un espacio geográfico amplísimo. Obviamente una geolocalización tan extensa no sirve ni al control, salvo que se trate de las infracciones más evidentes, ni a la gestión asistencial. De modo que sólo parecería servir a los estudios de movilidad.

▪ Y esta es la ulterior finalidad perseguida, realizar un estudio de la movilidad aplicada a la crisis sanitaria a través del cruce de datos de los operadores móviles, de manera agregada y anonimizada, el análisis de la movilidad de las personas en los días previos y durante el confinamiento. Debe señalarse, una cuestión técnica particularmente relevante en esta materia. Si se logra la anonimización irreversible a la que se refiere el RGPD resulta que señala su Considerando núm. 26 que «el Reglamento no afecta al tratamiento de dicha información anónima, inclusive con fines estadísticos o de investigación».

Sin embargo, el inciso final del artículo segundo de la Orden no solo se refiere al RGPD y la LOPDGDD expresamente, sino que atribuye al Instituto Nacional de Estadística la condición de responsable del tratamiento y a los operadores de telecomunicaciones la de encargados.

3.-El juicio de ponderación.

Desde el punto de vista de la limitación del derecho fundamental a la protección de datos podría decirse que parece satisfacerse el test de ponderación que exige el Tribunal Europeo de Derechos Humanos, por ejemplo, en el asunto Z. c. Finlandia. Primero, se invoca una finalidad legítima y necesaria en una sociedad democrática, la salud pública y la lucha contra la epidemia. Es más, incluso las referencias del TEDH en alguna ocasión a la idea de necesidad social imperiosa podrían verse satisfechas.

En segundo lugar, existiría una suerte de predeterminación normativa en cascada. El artículo tercero de la Ley Orgánica 3/1986 faculta para adoptar medidas de control, y la Orden SND/297/2020 define algunas de las acciones a desplegar. Como se señalaba, el tratamiento más invasivo, la localización, se refiere a usuarios y si traspasan la comunidad autónoma. Ir más allá, traspasar el umbral de este tipo de localización a “los enfermos”, exigiría incluir alguna previsión específica en el artículo 7, o un artículo 7 bis en el Real Decreto 463/2020, entendiendo como la AEPD que el artículo 11.a) de la Ley Orgánica 4/1981, permite limitar la circulación de personas y ofrece un fundamento adecuado.

En tercer lugar, desde el punto de vista de la proporcionalidad, las medidas se limitan a un concreto tipo de personas, usuarios que hubieran facilitado su teléfono móvil, y para una determinada finalidad verificar que se encuentran en la comunidad autónoma que declaran. Y en el caso de estudios de movilidad se ordena su anonimato absoluto.

Incluso se sugiere la celebración del contrato de encargado del tratamiento del artículo 28 RGPD a tratamientos de datos anonimizados, obligación que no se desprende del RGPD, sino que parece que se ofrece como garantía adicional.

4.-¿Estado policial?

Visto el contenido de la Orden, parece que se busca el despliegue de herramientas funcionales a la lucha contra una epidemia. La Orden no se refiere en ningún momento ni al Ministerio del Interior ni señala ningún interés policial en el tratamiento. Se trata ofrecer y obtener información de usuarios de una aplicación, así como la movilidad general y anónima a fin de adoptar las medidas oportunas. Lo cierto es que leída en su contexto la Orden se encuentra muy lejos del apocalipsis orwelliano que se anuncia. Lo que no implica que la acción de los poderes públicos no deba estar sujeta a seguimiento, control y auditoría.

¿Cómo nos está ayudando la cultura tecnológica a derrotar la crisis del coronavirus?

El Covid 19 corre velozmente y nos pone a prueba. La tecnología, nuestra capacidad de adaptación y tener un propósito son las principales herramientas para frenarlo.

Si lo vemos en perspectiva, el brote y la crisis desatada está presentando una dura prueba para medir que tan digitalizadas están nuestras sociedades; pero, sobre todo, qué tan conectados y ligados estamos por un propósito. Estar digitalizados no significa estar conectados. La tecnología no nos conecta por sí misma, solo puede hacerlo por medio de una cultura y un propósito que nos impulse en un mismo sentido.

Cuando la tecnología permea en la cultura con un propósito suceden cosas como la app que Corea del Sur ha lanzado, que conecta a la gente obligada a quedarse en casa con las autoridades sanitarias para monitorizar su evolución, y que también incluye localización por GPS para alertar si se rompe la cuarentena. En España e Italia tenemos la misma tecnología, pero ni la usamos ni somos propositivos.

Este ejemplo une nuestra capacidad de adaptación con la tecnología y un propósito: nuestra capacidad de asimilar la tecnología de manera rápida y efectiva, ponerla en funcionamiento para frenar la propagación del virus.

En el Colegio Estudiantes de Madrid, los estudiantes dejaron de ir a la escuela, pero siguen tomando clases con Google Classroom y herramientas como Hangouts. No fue nada raro para ellos; ya viven una cultura de innovación en la aulas. Por eso se movieron rápido y se las ingeniaron para actuar ante el problema. Su propósito es “la emoción de aprender, y está claro que lo llevan bien alto.

En Findasense tenemos activa, desde hace años, nuestra política de work from home. Y esto no es solo capacidad tecnológica (estrictamente necesaria), sino sobre todo una cultura impulsada por un propósito. Nuestro propósito es “relaciones que funcionan ”, y el coronavirus la está poniendo a prueba, con el excelente resultado de que nuestra operación sigue con normalidad, sin un gran esfuerzo adicionalidad; ya estábamos preparados.

Aquí la cultura juega un papel preponderante. La cultura de estar conectados, atentos y a disposición del otro. La cultura de la autogestión, la horizontalidad y la conexión han demostrado ser herramientas eficaces para luchar contra el contagio; organizaciones abiertas y capaces de moverse con agilidad ante este tipo de cambios son las primeras que han podido reaccionar con acciones como el teletrabajo. Esto es capacidad constante de adaptarnos.

Ciertamente, la pandemia activa nuestra capacidad adaptativa y nos hace pensar de manera diferente. Pero, así deberíamos pensar siempre en un mundo tan cambiante y con tantos retos por delante. La directora ejecutiva del Instituto for the Future (IFTF), Marina Gorbis, argumenta en su ensayo «El futuro como una forma de vida» que la única manera de lidiar efectivamente con los eventos desde este tipo es con un «esfuerzo público masivo» de imaginar y hacer el futuro. Su conclusión es clave: «el pensamiento futuro es una habilidad esencial del siglo XXI: necesitamos cultivar ampliamente en todo lo que hacemos».

Hoy la tecnología nos permite el privilegiado acceso a una plataformas como Ending Pandemics, una organización que se dedica al descubrimiento temprano de brotes de enfermedades infecciosas. ¿Qué tan al tanto estamos de este tipo de accesos? El Coronavirus nos da la posibilidad única de redescubrir que siempre hay una mejor manera de hacer las cosas. Nos enseñará mucha otras cosas.

El Coronavirus nos pone de cara frente a nuestro miedo eterno a lo nuevo y desconocido. Mirar hacia adelante y replantearnos constantemente es una postura que todas la empresas y las personas debemos tomar, pues el futuro siempre será incierto. Pero, de nada sirve si no conectamos la información y la tecnología con una cultura abierta al cambio, con el propósito de frenar todo lo que sea un perjuicio. Si lo viéramos así constantemente, pocas posibilidades tendría un virus.

HD Joven: El nuevo Reglamento General de Protección de Datos y la realidad práctica de las más recientes resoluciones judiciales

Las  Nuevas Tecnologías de la información y los datos personales están en constante cambio y transformación. Cada día aparecen nuevas formas de transferir datos, inventos que facilitan al ser humano su desarrollo y nuevos métodos de análisis e investigación basados en la tecnología junto con las primeras grandes nuevas tecnologías aplicadas.

Por eso, hoy en día está en boca de todos que próximamente (mayo de 2018) entrará en vigor el nuevo Reglamento general de protección de datos (General Data Protection Regulation). Una gran parte de la población está especialmente pendiente de esta normativa, porque plantea grandes modificaciones para las empresas y los ciudadanos que, además, también  afectarán a las Administraciones Públicas. Pero, ¿qué está ocurriendo verdaderamente en la práctica del mundo de los datos? ¿Cuáles son las infracciones más “denunciadas”? ¿Y cómo están resolviendo los órganos jurisdiccionales en esta materia de constante e imparable movimiento?

En primer lugar, no es característicamente alto el volumen de resoluciones en materia de protección de datos. Y esto es así porque, como los primeros conflictos en esta materia han tenido lugar tras el especial auge de las Nuevas Tecnologías (cuyo comienzo señalan los expertos que tuvo lugar a partir de mediados del año 2007, con la llegada del Iphone), es lógico que un número suficiente de los conflictos no han llegado a las instancias judiciales hasta pasados varios años,  por lo que no hemos comenzado a tener un número bastante de resoluciones hasta los años 2014 y 2015.

Dentro de esta falta de suficientes resoluciones, lo cierto es que podemos diferenciar dos situaciones: la situación nacional y la europea, o, lo que es lo mismo, las resoluciones de órganos jurisdiccionales españoles y las resoluciones del  Tribunal de Justicia de la Unión Europea (TJUE) y del Tribunal Europeo de Derechos Humanos (TEDH).

A nivel nacional, un gran número de sentencias de los altos tribunales (Tribunal Supremo –TS- y Tribunal Constitucional –TC-) se han centrado en el análisis de la vulneración (o no) del derecho a la protección de datos en la videovigilancia en el centro de trabajo y en el tratamiento automatizado de datos sin consentimiento del trabajador. A modo ilustrativo, puede leerse la Sentencia del Tribunal Superior de Justicia de Madrid de 29 de septiembre de 2014,  la Sentencia del TS de 12 de noviembre de 2015 y la Sentencia del TC de 3 de marzo de 2016. En resumen, nuestros órganos han venido a resolver considerando que no existe vulneración del derecho a la protección de datos en la videovigilancia  empresarial en el centro de trabajo siempre y cuando la finalidad sea la seguridad y/o el control laboral. En este mismo ámbito, se ha estimado que se vulnera la protección de datos de carácter personal y el honor de los trabajadores cuando se transmite de una empresa a otra un “fichero de personas conflictivas” o «lista negra».

Otra cuestión que ha sido tratada por jueces y magistrados españoles es la posibilidad de que el ciudadano, no personaje público, se oponga a que sus datos personales aparezcan en un simple buscador de Internet al que todos tenemos acceso. Por otro lado, como decíamos, las Administraciones tampoco se salvan de verse envueltas en esta tormenta. Ha sido el TC el que, por Sentencia de 25 de septiembre de 2015, ha tratado el derecho del interesado a ser informado, tanto de la posibilidad de que sus datos del Registro autonómico sean cedidos, como del concreto destino de éstos, concluyendo que no es suficiente con que el interesado conozca que tal cesión puede tener lugar, sino que ha de ponerse en su conocimiento también las circunstancias de cada cesión concreta (a quién se ceden, qué información se transfiere y con qué finalidad se proporcionan).

Partimos, por lo tanto, de que son pocos los casos que llegan a los tribunales españoles, y por ello, los pronunciamientos en materia de protección de datos de altas instancias son insuficientes.Y, dentro de esa escasez, predominan las resoluciones sobre protección de la imagen como dato personal en el ámbito laboral.  Ello hace que no exista una base sólida de casos que permita fijar conceptos y límites en el ejercicio de derechos fundamentales dentro del mundo de la tecnología y los datos personales.

A nivel  europeo tendremos que diferenciar dos líneas: la del TJUE y la del TEDH. Y ello porque, al ser sus funciones distintas, la línea de sus resoluciones también difieren entre sí, aunque son acordes a las funciones que cada uno tiene encomendado. Encontramos, sin ánimo de ser exhaustivos, desde 2014 en adelante, varias resoluciones: la Sentencia del TJUE de 11 de diciembre de 2014, la  Sentencia del TJUE de 1 de octubre de 2015, y, más recientemente, la del TJUE de 4 de mayo de 2017  o el Dictamen del mismo órgano de fecha 26 de julio de 2017. Todas ellas examinan el cumplimiento de la Directiva 95/46/CE relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y su libre circulación, y su relación a la Directiva 2002/58/CE sobre la privacidad y las comunicaciones electrónicas. De manera resumida, tienen especial importancia las siguientes ideas:

  • La imagen de una persona grabada por una cámara constituye datos personales porque permite identificar a la persona en cuestión.
  • Si una Administración Pública de un Estado miembro transmite datos personales a otra Administración,  dicha Administración Pública remitente debe informar a los interesados de la transmisión.
  • El responsable del tratamiento de los datos no está obligado a comunicar datos personales a un tercero para que éste último pueda interponer una demanda frente a un sujeto del fichero a quien pretende demandar. Sin embargo, nada impide que el Derecho nacional permita tal comunicación.

Como vemos, la falta de una cantidad suficiente de procesos lleva a que las reflexiones y los pronunciamientos sean sentencias sobre materias desmesuradamente concretas, sin poderse fijar una línea de conocimiento central.

Por su parte, el TEDH ha acumulado un mayor número de resoluciones judiciales que el TJUE, en las que sí han llegado a definirse unos conceptos mínimos del universo de las tecnologías. Y, en concreto, se ha procedido a definir qué son los datos personales (Caso  Mccullough v. Cedefop), qué puede entenderse por procesamiento de datos personales (Caso Smaranda Bara et Al. V. Presedintele Casei Nationale de Asigurari De Sanatate y Caso Weltimmo s. r. o. contra Nemzeti Adatvédelmi és Információszabadság Hatóság.), qué son los principios de necesidad y  proporcionalidad (Case ClientEarth.), medidas de seguridad (Caso Worten-equipamentos para o Lar Sa V. Act Authority for working conditions), el concepto de información (Caso Smaranda bara) o qué debe entenderse por un nivel mínimo de protección (Caso Maximillian Schrems contra Data Protection Commissioner), entre otros.

Además, desde esta misma perspectiva internacional, resulta que Alemania cuenta con un Libro blanco (o White book, esto es, un informe o publicación oficial del gobierno en una materia para plantear datos, estándares y soluciones) dirigido a los órganos legislativos o/y a la opinión pública para comprender, resolver y afrontar la protección de datos.  Reino Unido también cuenta con un Libro blanco que fija parámetros para evaluar el impacto sobre la privacidad de los procedimientos de gestión de datos. Si recientemente Alemania, pionera en la industria de la tecnología energética, ha procedido a plantear el referido Libro blanco para analizar en profundidad el tema de la protección de datos y, mucho antes,  Reino Unido, el grandioso centro de cruce de valiosos datos, creó el suyo propio, parece cuanto menos, conveniente, que España al menos se plantee la necesidad y el beneficio de contar con dicho tipo de informe que recoja reglas y  pautas útiles en esta materia.

Frente a la referida escasez, las publicaciones, obras y comentarios que tratan el tema de la protección de datos son altamente numerosas. Dentro de esta variedad, podríamos resumir las principales informaciones con un desarrollado titular: el derecho fundamental a la protección de datos personales es uno de los más importantes en la sociedad actual, dentro del cual los datos se han convertido en el petróleo de la economía moderna, en una moneda de cambio. Esto genera grandes retos y responsabilidades que gobiernos e instituciones deben enfrentar de manera obligada, pues el proceso de globalización en el que vivimos y el continuo avance tecnológico unidos a  la falta de conocimientos y de información del ciudadano de a pie, está llevando a los usuarios a sufrir una falta de control sobre los datos que ceden. Y es que acceder a internet o crearse una cuenta en una red social es gratuito, pero detrás de esa aparente gratuidad, existe un ansiado valor “extraordinario” para las empresas y el mercado: información, datos, que les permiten conocer  los gustos y tendencias del consumidor y actuar acorde a ellos en el mercado.

 

Items de portfolio