- SONIA SALMERÓN
Usar datos biométricos en accesos, difundir vídeos privados por WhatsApp o animar imágenes con IA son ejemplos de tratamiento ilícito de datos. Las empresas y particulares puedan recibir sanciones millonarias.
Los fallos judiciales en la Comunidad Europea y países entre los que destaca Estados Unidos, así como las decisiones de la Agencia Española de Protección de Datos (AEPD) en España, muestran los efectos legales que sufren empresas, comercializadoras y particulares cuando ningunean sin criterio la regulación sobre protección de datos personales.
Cada uno de los casos manifiesta graves carencias en el asesoramiento preventivo, un claro desconocimiento del marco normativo o el mal uso de la documentación relacionada.
Ejemplos hay muchos. Utilizar y exigir imágenes faciales y datos dactiloscópicos para entrar al gimnasio es sancionable. Los datos biométricos según el Reglamento General de Protección de Datos (RGPD) son información técnica que permite la identificación de la persona. Proporcionar imágenes a OpenAI para obtener animaciones es un riesgo para los datos personales porque su tratamiento requiere el consentimiento explícito del afectado. Un hotel o alojamiento no pueden exigir el documento nacional de identidad (DNI) para escanearlo; en este tratamiento el afectado puede solicitar la intervención de la AEPD. La solución: asesoramiento legal antes y después de la infracción.
Verificación de identidad
Los expertos ayudan y mucho a la hora de evitar sanciones como las de la cadena de gimnasios Supera (160.000 euros) y el gimnasio Metropolitan (27.000 euros) por recabar las huellas dactilares o utilizar el reconocimiento facial. Antes de implementar sistemas biométricos, Miguel Recio, abogado del departamento de TMC de CMS Albiñana & Suárez de Lezo, considera que "es necesario adoptar garantías adicionales" como realizar una evaluación de impacto relativa a la
protección de datos (EIPD) que evalúa anticipadamente los riesgos para los derechos y libertades. A esta gestión se deberán al Reglamento General de Protección de Datos (RGPD). Cuando los usuarios consideren que sus datos han sido tratados infringiendo la normativa, deberán reclamar ante la AEPD. "Esta infracción puede ser objeto de un procedimiento administrativo sancionador", afirma el experto.
Pero el riesgo en centros deportivos no está solo en la entrada de acceso. Cada día y cada vez más, las instalaciones son un escenario improvisado para la grabación de rutinas deportivas. Este comportamiento puede dar lugar a una intromisión ilegítima en los derechos al honor, a la intimidad y a la propia imagen de personas físicas. Esta intromisión puede ser objeto de una acción ante la jurisdicción civil. En caso de producirse un daño patrimonial o moral, puede exigirse una indemnización económica.
Conversión de imágenes por IA
Por ser una moda digital, la conversión de imágenes a formatos de animación como Ghibli o similares, requiere revisar siempre la política de privacidad, rechazar los accesos innecesarios, evitar aplicaciones desconocidas, eliminar imágenes procesadas y velar por la protección de derechos de los terceros. Para Miguel Recio, uno de los riesgos es "perder el control sobre los datos personales" que podrían ser tratados sin que la persona sea consciente de que tiene un derecho fundamental a su protección.
Como recomendación reconoce que los desarrolladores no pueden obviar la obligación del cumplimiento legal, por defecto. Solo así será posible mitigar riesgos, como la sanción por incumplimiento que puede traer multas de hasta 20 millones de euros. Si es empresa, la multa será de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior. En este caso hay que tener en cuenta el impacto reputacional de la sanción que será publicable en los medios de comunicación.
DNI en los hoteles
En verano la AEPD trasladó un cambio clave sobre el registro de viajeros en los hospedajes. Para evitar confusiones, Miguel Recio aclara que la petición del DNI para cumplir con las obligaciones legales debe hacerse protegiendo los datos personales. "Es importante que sepamos si nuestro DNI va a ser utilizado para comprobar los datos necesarios o si va a ser escaneado, lo que daría lugar a un tratamiento indebido", afirma.
En esta situación, el responsable del tratamiento deberá informar sobre cómo interponer reclamación ante la agencia. Las sanciones son nuevamente de 20 millones de euros o el equivalente al 4% del volumen de negocio. El tratamiento de estos datos debe cumplir, además, con los demás principios que lo legitiman como el de transparencia e información. En su intervención, la AEPD tendrá en cuenta factores como, por ejemplo, el número de personas afectadas, la gravedad y la duración de la infracción.
Recopilación masiva de datos por IA
Este verano se hacía pública la sanción de un tribunal de justicia de California para Alphabet, empresa matriz de Google. El motivo, la recopilación de datos sin consentimiento de cientos de consumidores de Android. La sanción, más de 300 millones de dólares. Google era declarado culpable de un doble monopolio en el mercado de la publicidad digital. Habría mantenido ilegalmente su dominio en servicios generales de búsqueda utilizando algunas tácticas anticompetitivas. Al respecto, Recio explica que esta acción colectiva que daba pie a una indemnización por tratamiento ilícito de datos personales, podría ocurrir en España. Plantearse una situación similar será posible en un futuro no lejano, porque el Congreso de los Diputados ya está en trámite de un "proyecto de ley de acciones colectivas para la protección y defensa de los derechos e intereses de los consumidores y usuarios".
A modo de prevención, el abogado recomienda revisar los ajustes de privacidad y mantener mucha atención a cambios en aplicaciones. Junto a la reclamación ante la AEPD, si se produce un daño, moral o económico, "se puede iniciar un procedimiento legal en la jurisdicción civil para solicitar indemnización". Las empresas de telefonía como las que utilizan nuevas tecnologías, deberán asegurar su cumplimiento con la normativa aplicable, que será la "de protección de datos como la del uso de la inteligencia artificial", concluye.
Grabaciones sensibles
La generalización en la instalación de cámaras en todos los dispositivos móviles está permitiendo una serie de conductas muy desaprensivas y que encuentran en las grabaciones una fórmula rápida de sacar a luz los malos instintos. Afortunadamente, la difusión de datos especialmente sensibles de una persona (imágenes, audios, vídeos de carácter sexual o violento que permitan identificarla) y publicados en servicios de internet sin consentimiento son considerados por el RGPD un tratamiento ilícito de datos personales. Aquí la AEPD tiene potestad para investigar y, si se ha infringido la Ley, puede abrir procedimiento sancionador contra quienes difunden o hayan contribuido a esta difusión. Para el Código Penal existen varios tipos delictivos diferenciando, por ejemplo, si la víctima es menor de edad o discapacitado o si el delito lo comete un cónyuge o similar.
La ubicación en la que se realicen las grabaciones es otro factor a tener en cuenta. Con las zonas de baño como playas y piscinas, Recio asegura que habría que analizar caso por caso. "En piscinas de una comunidad de propietarios, el uso de videocámaras para seguridad y otras finalidades debe cumplir con la Ley de Propiedad Horizontal". Si se trata de una playa, hay que considerar si aplica la Ley Orgánica que regula el uso de videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos. Por tanto, habría un responsable del tratamiento diferente en función de quién ha instalado las videocámaras. Existen distintas excepciones con las entidades financieras, las cámaras para el control del tráfico y la regulación del acceso a zonas restringidas, entre otras.
Por grabar imágenes sin permiso, la AEPD puede imponer sanciones económicas que alcanzarán los 600.000 euros en casos graves. Las sanciones pueden ser complementadas con responsabilidades penales y civiles, si se dieran delitos de revelación de secretos o vulneración de la intimidad o de los derechos de imagen. Cuando ocurra un delito contra la integridad moral, el castigo será la pena de prisión de seis meses a dos años.
Porteros automáticos y cámaras 'onboard'
Recientemente la AEPD ha actualizado los casos concretos en el tratamiento de imágenes captadas por videocámaras donde incluye las mirillas digitales y los porteros automáticos. Estas mirillas sólo serían admisibles si no permiten un tratamiento de datos personales como, por ejemplo, la captación y grabación de imágenes. Según Recio, si "estas mirillas permiten el tratamiento, tienen que cumplir con la normativa sobre protección de datos personales". Aunque no permitan la grabación de imágenes, es necesario tener en consideración la intromisión en el derecho a la intimidad. De hecho, en julio el Tribunal Supremo se pronunciaba declarando la vulneración del derecho a la intimidad de los vecinos por el uso de una mirilla digital.
Por otro lado, las cámaras onboard, tanto como las videocámaras que se instalan en el exterior de los vehículos o en cascos de protección, deberán cumplir con la normativa cuando exista el citado tratamiento. El motivo es el riesgo para la privacidad de los ciudadanos, aunque, como asegura el experto de CMS Albiñana & Suárez de Lezo, poner una reclamación es "complicado" porque no se sabe quién o quienes hacen uso de la cámara.
'Mobbing' en centros educativos
Siempre que el centro docente ofrezca enseñanzas "conforme a la legislación reguladora del derecho a la educación" estará obligado al nombramiento del delegado de protección de datos según aparece en la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Por eso, es vital que los riesgos para la protección de datos personales de los alumnos se pongan en conocimiento de dicho delegado y del centro como responsable del tratamiento. Miguel Recio aclara que el familiar pueda dar consejo al menor sobre cómo actuar para evitar ser víctima de esos riesgos.
Cuando ocurren casos de acoso físico o psicológico en el entorno educativo favorecidos por el uso de dispositivos móviles, el experto indica la necesidad de informar al centro para que se puedan adoptar las medidas necesarias. "En casos graves, debería ser denunciado a la Fiscalía para que investigue los hechos. Y se puede contactar con el teléfono de ayuda 900 018 018". Con los estudiantes mayores de edad se puede avisar al centro, pero si existe delito se deberá interponer una denuncia a las Fuerzas y Cuerpos de Seguridad del Estado. La videovigilancia en los centros deberá tener como finalidad poder garantizar la seguridad de personas, bienes, instalaciones.
Respeto a la vida privada
En marzo el Tribunal Supremo condenó a un despacho de abogados por vulnerar la intimidad de un empleado. La sentencia no deja lugar a duda sobre la diferencia entre estos dos derechos fundamentales. El acceso a una carpeta digital compartida con datos sensibles había supuesto una indemnización por daño moral de 3.000 euros con intromisión ilegítima en el derecho a la intimidad.
En el pronunciamiento queda reflejado cómo "atendiendo a la naturaleza de los datos", los mismos hechos pueden vulnerar el derecho a la protección de datos y el derecho a la intimidad personal. Para aclarar esta situación, Miguel Recio, abogado de CMS Albiñana & Suárez de Lezo, reitera que estos derechos fundamentales "tienen evidentes caracteres comunes", aunque "no todo acceso a datos protegidos da lugar a una violación del derecho a la intimidad".
El derecho a la protección de datos no se reduce a datos íntimos sino a cualquier tipo de dato personal, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales. Por eso cuando ocurran casos similares al de este pronunciamiento y se pretenda una indemnización en protección de datos será necesario que "concurran tres requisitos cumulativos". En concreto, un tratamiento de datos personales en infracción de las disposiciones legales pertinentes, que existan daños y perjuicios para el interesado y una relación de causalidad entre tratamiento ilícito y perjuicios. Solo así quedará probada la vulneración de la normativa.
Relaciones laborales
La AEPD proporciona un amplio repertorio de documentación que soluciona una variada casuística sobre tratamientos ilícitos en el trabajo. "La protección de datos en las relaciones laborales" es la guía que aborda de manera general los límites en el tratamiento, los deberes y obligaciones en el acceso, las transferencias internacionales, las entrevistas de trabajo, la eliminación de currículum en procesos de selección, la identificación de empleados, los sistemas de denuncias y el registro de jornada, entre otros temas. También, la videovigilancia y el control de acceso o temas muy complejos como la violencia de género y el acoso o qué hacer con la historia clínica.
Como en otros asuntos legales la prevención es ese talón de Aquiles que evitaría riesgos y sanciones. Para Miguel Recio, "implementar las medidas técnicas y organizativas apropiadas" impedirían la alteración, perdida, tratamiento y acceso no autorizado". Aquí se deberán tener en cuenta el estado de la tecnología, la naturaleza y los datos personales objeto del tratamiento. Por último, subrayar que, en la aplicación de las medidas de seguridad, las personas jurídicas responden por la actuación y "la falta de diligencia de sus empleados".
Para el Tribunal de Justicia de la Unión Europea un responsable del tratamiento tiene responsabilidad por los tratamientos realizados por su cuenta, pero no lo es, "si el encargado del tratamiento ha tratado los datos personales para sus propios fines".
Burocracia y retrasos: el primer año de los MASC no convence a los abogadosLa cooperación, 'leitmotiv' del III Foro Europeo de Propiedad Industrial de AndemaEspaña consolida su liderazgo en Europa en la protección de la marca registrada Comentar ÚLTIMA HORA