Sí, Quiero (ser tu Encargado de Tratamiento). Pues firma aquí, ricura.

¡Hola hola!

Retomo el blog con un tema que últimamente me está dando no pocos quebraderos de cabeza: las complicadas relaciones con los encargados de tratamiento. Por si pasas por aquí por primera vez y esto te suena a chino, te voy a presentar al Encargado de Tratamiento tal y como lo hace la LOPD:

Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.

Para aclarar el tema, el Encargado de Tratamiento es el que "trastea" con los datos siempre bajo las órdenes e instrucciones del que verdaderamente decide lo que hacer con ellos, que no es otro que el Responsable (y aquí te dejo otro post de la menda para que veas por dónde van los tiros). Bien, en definitiva (y acorde con lo que hemos visto): el Encargado es "el mandao". Ejemplos de Encargados de Tratamiento hay a punta pala: desde el hosting de tu web hasta la agencia de publi a la que le has encargado un concurso o la asesoría que te lleva todo lo de laboral. La LOPD no sólo te dice quién es el Encargado de Tratamiento, también te dice que tienes que establecer unas reglas para que "el mandao" tenga claro que sólo puede trastear los datos siguiendo tus instrucciones y que no los va a usar para otra cosa que no sea lo que tú le traslades en esas reglas. Además, esas reglas incluirán las medidas de seguridad que debe implantar sobre esos datos y podrá preverse el destino de los datos cuando el Encargado termine su trabajo sobre ellos. Esto lo tienes en el art. 12 de la LOPD, el cual dice también que estas reglas deberán estar  en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido. Y aquí mi primer briconsejo: Por escrito SIEMPRE. La LOPD dice CONTRATO, NO DICE "condiciones de uso de una web"; ojocuidao que el matiz es canela fina.

Hasta aquí todo claro: Si hay Encargado, debe haber contrato. Y esa es la regla general. Otra cosa es que luego la cosa se complica porque nos encanta una app que ofrece una empresa en USA o en la Conchinchina (y que, por supuesto, tiene los servidores que la soportan o allí o en Groenlandia) y se nos olvida. Y para los problemas de memoria, además de las pasas, este link de la propia AEPD es imprescindible: 

https://www.agpd.es/portalwebAGPD/canalresponsable/transferencias_internacionales/index-ides-idphp.php 

Descifrando...

1) ¿Encargado de tratamiento? CONTRATO

2) ¿Los negocios con nuestro Encargado de Tratamiento suponen una transferencia internacional? Resumiendo, las opciones son dos:

         a) CONTRATO (si el país de destino de los datos tiene nivel adecuado de protección, cosa que no decido yo).

          b) CLÁUSULAS TIPO + AUTORIZACIÓN DE LA DIRECTORA DE LA AEPD (para lo cual hay que seguir un procedimiento muy clarito que tenéis perfectamente explicado en el link que os he pegado de la AEPD). 

Y ojo, ojazo: LOS DOCUMENTOS ES PREFERIBLE QUE VAYAN EN CASTELLANO. Cualquier cosa de estas que firmes en inglés, arameo o esperanto te va a poner obstaculillos para defenderte, según lo que me han dicho varios operadores de la AEPD. Me insisten en que son conscientes de que muchas empresas están guardando como oro en paño sus documentos en inglés y eso no es un escudo antiproblemas. Como consejo: mejor tenerlo en castellano, que es un idioma muy majo.

(Las reglas corporativas vinculantes las dejo fuera del post porque me centro en las relaciones básicas con los Encargados de Tratamiento).

Todo esto que es tan fácil y mecánico en la práctica se vuelve casi una pesadilla, sobre todo cuando hablamos de un Encargado de Tratamiento "lejano", ya que es muy raro el que se presta a colaborar y a seguir el procedimiento de firmar básicamente lo que es un contrato. 

Las excusas más típicas son: 

- Yo tengo mis medidas de seguridad bien puestas en mi web. FAIL (vuelve a leer arriba: CONTRATO). 

Me da igual lo que tengas puesto en la web ya que a eso no me puedo agarrar si la lías con los datos que te confío. ¿Qué parte de "contrato" no entiendes?

- Yo estoy en Privacy Shield. FAIL (vuelve a leer arriba: CONTRATO). 

Te pego EL LITERAL de lo que dice la AEPD: "Debe recordarse que en el caso de que la transferencia internacional de datos con destino a uno de estos países sea consecuencia de una prestación de servicios, esta circunstancia no exime de la obligación de tener que suscribir un contrato conforme a lo dispuesto en el artículo 12 de la LOPD". 

- No voy a ir yo a cambiarle las reglas a una empresaca como XXX. FAIL

No es que vayas a cambiarle las reglas, es que necesitas garantías de que se va a portar bien. ¿O es que dejarías a tu pequeño y tierno gatito al cuidado de Jack El Destripador? Además que es que inviertes en tranquilidad, porque a la primera puerta que va a llamar la AEPD si hay problemas es a la tuya. No creo que de buen rollo tu Encargado piratilla vaya a sacar su espada para defenderte. 

Llegados hasta aquí, y sin ánimo de asustar al personal, te voy a pegar lo que dice el art. 20.2 del Reglamento de la LOPD para que veas que esto es sólo la puntita del Iceberg:

"Cuando el responsable del tratamiento contrate la prestación de un servicio que comporte un tratamiento de datos personales sometido a lo dispuesto en este capítulo deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en este Reglamento"

Es decir: a lo que ya nos ha quedado claro (el contrato) le unimos otro lío más (la obligación de velar porque el Encargado reúna las garantías de que cumple lo dispuesto en el Reglamento).  ¿Y esto cómo se hace? Pues cada maestrillo tiene su librillo, por lo que no me siento capaz de darte una respuesta rotunda. Lo que sí te puedo decir es que mirar si tiene ficheros declarados en la AEPD NO ES SUFICIENTE (que además, si no hay cambios a la vista, tendrás que cambiar de truquillo en año y pico, por cierto).

Consejos finales:

- Sé selectivo y escrupuloso con tus Encargados de Tratamiento.

- Ponte pelmazo para firmar contrato EN CASTELLANO. Si te encuentras con un "no", lo deseable sería no establecer relaciones con ese proveedor. 

- Una vez firmado el contrato, disfruta de tu amor con tu Encargado pero pídele que de vez en cuando te haga saber que él también te quiere en forma de pruebas de que se sigue portando bien (es decir, que te acredite que va cumpliendo lo que le pediste).

Y hasta aquí el post de hoy. Espero que te haya parecido interesante y que pases una estupenda semana.

Pdt: Por cierto, ya que publico hoy esto quiero recordarte que este sábado es un buen momento para seguir reivindicando una Justicia SIN TASAS, CON MEDIOS E INDEPENDIENTE. Te pego el link con más info y te animo encarecidamente a que te apuntes: la lucha sigue porque los motivos no han dejado de existir. Si estás por allí...¡no te olvides de saludarme!

#RETOBLOG: Harry Potter y sus hechizos para cumplir la LOPD.

Dicen las malas lenguas que para cumplir con la normativa de protección de datos necesitas ser más espabilado que Harry Potter en busca de los Horrocruxes. La diferencia es que Harry los encontró, se enfrentó al malo y ganó (así contado por encima) y en esto de la protección de datos, los Horrocrouxes son...cómo decirlo...INTERMINABLES. Por eso, para que puedas enfrentarte a cada peligro, te voy a dar un manual imprescindible: una lista de hechizos Harry-Potteros para que puedas entender un poco de qué va la LOPD y defenderte cuando EL QUE NO DEBE SER NOMBRADO venga a por nosotros. 

Vamos a ello...

Hechizo Calvorio - Deja calvo al recibidor del hechizo durante varios minutos.

Este es el que va a usar la AEPD como te coja desprevenido: vas a acabar desplumado. Y es seria la cosa; las multas por incumplir la LOPD van desde 900 euros a 600.000 euros. Eso sí, al igual que las multas, los efectos del hechizo también son graduables: dependiendo de cómo te pille el tema puedes quedarte tipo bola de billar o look Anasagasti, por lo que te aconsejo que vayas cuidando tu melena (y tu gestión de los datos personales) para que, en caso de que te lancen este hechizo, tengas recursos para defenderte. 

Priori Incantatem - Hace que puedas ver el último hechizo conjurado por la varita.

Mucho ojo con este también: como no tengas una contraseña lo suficientemente fuerte, este hechizo puede ser tu ruina. Con él, el Mortífago puede entrar en el corazón de tu empresa y acceder a todo lo que guardas en tus dispositivos/varitas, por lo que haz el favor de utilizar contraseñas robustas y aléjate del 1234 o el 0000 que no traen más que penurias.

Hechizo Fermaportus - Cierra o sella una puerta mágicamente.

Este es el que debes usar para cancelar los datos. Con él, los datos quedarán perfectamente bloqueados, a excepción de que Administraciones públicas, Jueces o Tribunales, te los pidan para la atención de las posibles responsabilidades nacidas del tratamiento que hayas realizado sobre ellos. Eso sí, este hechizo funciona sólo durante el plazo de prescripción de dichas responsabilidades, por lo que, pasado ese tiempo, deberás usar el siguiente que te pongo.

Reducto - Hace que el objeto, al que se apunta, se rompa o destruya.

Efectivamente, este hechizo es el que debes usar para suprimir los datos tras el período de bloqueo. Con él, no quedará ni rastro de los datos, por lo que sé muy cauteloso y cuidadoso de usarlo sólo cuando debas y asegúrate de que has ensayado muy bien el hechizo para que no haya forma humana (ni mágica) de que pueda accederse a los datos que has destruido.

Cistem Aperio - Crea fuertes sacudidas en un objeto hasta hacer que se abra o rompa.

Este hechizo es otro con bastante probabilidad de que lo usen contra ti los horribles Mortífagos, por lo que debes estar preparado. Protege tus datos personales y los sistemas que los contienen para que seas inmune a este hechizo; te voy a dar varios conjuros para que puedas protegerte bien:

Cave Inimicum - Hechizo de protección, avisa cuando llegan los enemigos.

Ferma -  Cierra objetos cerrables, como ventanas, libros o cajones.

Mago precavido vale por dos; tener mecanismos de prevención de ataques nos hará ser más fuertes y menos vulnerables a los ataques de los malos. Nuestros datos estarán más seguros y podremos responder a los ataques que nos lancen (incluso preverlos con antelación para minimizar sus efectos). 

Geminio - Duplica objetos, aunque los objetos duplicados no tienen las propiedades mágicas que los originales.

Este es la pera limonera de los hechizos, ya que es tu particular inversión en tranquilidad: tener una copia de seguridad de los datos personales es una garantía de seguridad adicional a los hechizos que acabamos de ver. Así que venga, a practicar con la varita (como poco, una vez a la semana).

Partis Temporus - Crea temporalmente una barrera mágica de protección

Ideal cuando sacas soportes con datos de la empresa, algo que es muy común: una carpeta con documentación, el portátil, la tablet... Antes de salir de las instalaciones, dale al Partis Temporus para proteger todo lo que quieras sacar, que nunca se sabe cuando van a aparecer los Mortífagos. 

Y hasta aquí llega la clase de iniciación del curso en Hogwarts; espero que a final del mismo os salgan los conjuros a la primera y paséis el examen de la asignaturas de Hechizos LOPD con toda facilidad. Eso sí, antes de irte... ¡tendrás que saber a qué escuela vas! Tira para el salón que Dumbledore está de los nervios. ;-)

Feliz inicio de cole y...¡BIENVENIDOS A HOGWARTS!

Post express: El amor en tiempos de la LOPD

Hola de nuevo, amig@s!

Estamos rozando el 14 de febrero y nos sobrevuelan mensajes de amor (especialmente de marcas y grandes almacenes, algunos con muy poco acierto, ahora que hablamos del tema) que intentan sacar tanto nuestro lado más romántico como el más consumista, con mensajes tipo: "demuéstrale a esa persona que la quieres regalándole este producto tan bueno". Yo que nunca he sido una romántica de príncipes azules ni de flores ni de bombones, cuando llega esta fecha me sale la vena más darkside y hago uso de mi fina ironía cuando algún osado u osada me pregunta que cómo celebro este día tan señalado. Este post express va a ser lo único que haga de "especial" por el día de San Valentín, así que aquí va mi momento romántico del año: "El amor en tiempos de la LOPD". La idea es un poco rara, ya os lo aviso: voy a "traducir" lo que dice la LOPD a términos amorosos. A ver qué sale.  ; -)

1) El principio de calidad del amor.

"El amor que sientes por tu churry será exacto y puesto al día de forma que responda con veracidad a la situación actual del afectado". Esto lo que quiere decir, ni más ni menos, es que pongas en orden tus sentimientos: ¿quieres a esa persona? pues.. ¡no dejes de expresar tus sentimientos sin que haya una fecha señalada por medio, copón! Y esto va también en el otro sentido; retocando una mítica frase de la gran Lola Flores: "si NO me queréis, irsen!", es decir: que si pones al día tus sentimientos y ves que no se corresponden con los de tu churry, mejor vete y pega la vuelta, no seas melón. 

El amor y los datos personales, deben estar siempre actualizados. Palabrita de Iurisfriki!

2) El derecho de información antes de enamorarse.  

Hay que saber muy bien a quién le entregas tu corazoncito: quién es, qué va a hacer con ese trocito de tí, para qué lo quiere y a dónde puedes llamarle o contactarle para mandarle a paseo si lo que prometió no es la realidad. Al hilo del punto 1, hay que recordar que no se permite la recogida de corazones por medios fraudulentos o desleales. Para que una relacion triunfe, sinceridad desde el momento uno o el barco velero cargado de corazones se va a pique como el Titanic.

3) Consentimiento del enamorado.

No hay relación posible si no tenemos el consentimiento de nuestro partenaire. El amor es cosa de dos (o de más, que eso ya son cosas muy personales en las que prefiero no entrar)  y si uno no da su consentimiento con toda libertad y sin presiones, no es amor. Además, este consentimiento tiene que ser expreso, no vale que sea un "tal vez" o un "quizás" o las modalidades modernas de un "me gusta" o RT. Si no hay un buen consentimiento, no hay un verdadero amor y recuerda que el consentimiento es revocable, así que si te lo revocan, no seas plasta y busca otro consentimiento bueno y de calidad. ;-)

Además, en relación con las demostraciones de amor para cumplir con el principio de calidad del amor que expuse en el punto uno, ten en cuenta que no es necesario convertirse en un Spammer del amor enviando a todas horas whatsapps con extra de azúcar: Corres el peligro de recibir una solicitud de baja como un piano, QUE TENDRÁS QUE OBEDECER, por cansino. 

4) Seguridad del corazoncito.

Somos responsables de mantener el corazoncito de nuestra pareja en las mejores condiciones: ni tirarlo por el balcón, ni jugar al fútbol con él ni aplastarlo como si fuera una esponja. Si no cuidamos el corazoncito, puede pasar que se marchite y se vaya y nos quedemos plantados por no saber cuidarlo como debemos. Y no sólo somos responsables del cuidado del corazoncito ajeno; es que lo primero que tenemos que hacer es cuidar el nuestro: no le des tu corazoncito al que lo vaya a meter en una picadora o lo vaya a dejar solito en la calle a la vista de todos. 

5) Derecho de cancelación del amor.

Asegúrate de ejercitarlo siempre que veas que no tratan tu corazoncito como se debe. No debes esperar a que lo ejerciten por ti y te den la patada: si ves que la calidad no se cumple, no lo dudes: cancela, respeta tu propio plazo de bloqueo y verás como en un tiempo, puedes poner a disposición de quien tú quieras tu corazoncito repuesto y curado. ;-) 

6) Registro de incidencias amorosas.

Si te ha sentado mal algo que haya hecho tu pareja o si eres tú el que ha metido la gamba, haz que no quede en saco roto: notifica y gestiona las situaciones y toma medidas correctoras para que no se vuelvan a producir. No vale irse a dormir enfadado y que el cabreo nos dure varios días: haz frente a las situaciones y toma medidas al respecto. Y aunque no creo que ser rencoroso sea útil, es verdad que igual acordarse de las situaciones y de las medidas tomadas para arreglarlas puede ser algo que nos sirva para que nuestro registro de incidencias amorosas no crezca demasiado.

7) Identificación y autenticación.

Regla de oro: Las contraseñas NO SE COMPARTEN. Aunque estés emparejado y enamorado como el #iurisobri, tus RRSS son tuyas y tu email también. Se trata de compartir sentimientos, incluso cuenta bancaria y gastos, pero no compartas tu personalidad ni pierdas tus derechos sobre tu privacidad. No seas canelo y respeta tu autonomía, querer a alguien no es desaparecer como persona e integrarte en otro ser. 

8) Códigos tipo amorosos.

Por acuerdo entre las partes se pueden establecer reglas de funcionamiento de la pareja siempre que sean repetuosas con los principios amorosos y las normas existentes. ¿Con qué familia comemos los domingos? ¿Qué día de la semana reservamos para ver cine iraní? ¿Quién paga la cena cuando salimos los martes? ¿Cuál es el procedimiento a seguir en caso de que hagamos algo que va a sentar mal  a nuestra pareja? Todo esto se puede acordar usando un código tipo. 

Y hasta aquí llega el post express de hoy: espero que os haya parecido interesante y os haya hecho sacar vuestro lado más romántico acompañado de una sonrisa. 

Por cierto: si quieres demostrar un poquito de amor por lo que escribo, puedes hacerme un regalito de San Valentín votando mi blog para los premios del Día de Internet. No tienes que meter ningún dato, sólo entra aquí y dale a "VOTAR ESTA CANDIDATURA". Te lo agradeceré from the bottom of my heart. ;-)

¡Un besazo y hasta la próxima!

Cuando tu móvil es "Garganta Profunda": Terror en el Supermercado

¡Hola a tod@s!

Esta semana voy a escribir sobre un tema que parece un poco futurista pero no es así; es algo que ya tenemos casi encima (creo que lo mencioné en un post hace bastante tiempo) y, al menos para mí, tiene connotaciones que trascienden las temáticas principales de este blog: la privacidad, la protección de datos y el frikismo. Pongámonos en situación..

Imagínate que estás en una tienda mirando unos pantalones que te encantan. Revisas la talla, el tejido, piensas con qué lo puedes combinar y todo es estupendo hasta que te armas de valor y le das la vuelta a la etiqueta para ver cuánto cuesta. EEERROOOOR : se te va de presupuesto y no puedes darte el capricho. Decides abortar misión y te vas a las conservas, que algo habrá que cenar al llegar a casa. En cuanto llegas al pasillo, te suena el móvil: "Pantalón vaquero LENNIS rebajado: 9,90 euros". Vaya, es justo el pantalón que habías decidido no comprar hace apenas 5 minutos. ¿Y ahora qué? 

Lo que hagas con el pantalón a mí me trae sin cuidado. Lo que me interesa a efectos de este post es lo que ha pasado para que justo te llegue ese mensaje referido a ese pantalón. Y de eso es de lo que te voy a hablar ahora mismo. Para ello, me voy a remitir a este documento: Working Paper on Location Tracking from Communications of Mobile Devices (si clickeas encima, se te descarga en pdf). que es el resultado de la reunión, el pasado Octubre, del Grupo Internacional de Trabajo sobre Telecomunicaciones y Protección de Datos. 

La situación os la expongo muy sencillamente en la infografía (lo sé, es un poco cutre, pero espero que sirva para entender mejor el post): 

Así, vemos que el Cliente B (el que está en la calle), no tiene ninguna flecha porque su dispositivo ni está emitiendo ni está recibiendo nada debido a que  la señal que emite el dispositivo de la tienda no llega a la calle, que es donde está. Los otros dispositivos de los demás sí están mandando información al dispositivo del emisor y recibiendo la información que éste les envía, información que puede ser desde el departamento en el que están hasta el tiempo en que están en él. En teoría, cuanto más tiempo estén en una zona, más interesados estarán en los productos expuestos allí.

¿Cómo sucede esto y qué implicaciones tiene sobre nuestra privacidad?

1) No es necesario que el individuo efectúe una acción activa para "aceptar" estos intercambios de información: si ya llevas el WIFI de tu móvil o el Bluetooth conectado, tu dispositivo empieza a emitir y a recibir información en cuanto entras en el "radio de alcance" del Dispositivo emisor. El individuo no es consciente de esto en la mayoría de las ocasiones.

El individuo no sabe ni que su dispositivo está dando información suya
ni que, además, está recibiendo información.

2) La información obtenida puede ser muy valiosa: desde cuánto tiempo ha estado el individuo en "x" lugar hasta, si se juntan la informaciones procedente de otros dispositivos emisores, la "ruta" que ha seguido durante un tiempo determinado, el tiempo que ha estado en cada punto, etc.

3) Creación de listas negras o blancas sobre la base de la información obtenida. Por ejemplo: El empleado "X" tarda más que el empleado "Y" en colocar los paquetes de kleenex (porque pasa más tiempo en la zona determinada) o ha habido robos en el comercio "A" y en el comercio "D" y coincide el momento de los robos con la estancia del individuo "W" en ambos comercios.

4) ¿Qué información pasa nuestro dispositivo al dispositivo emisor? Puede que no sólo le dé esos datos de localización y tiempo; igual le envía los datos de nuestra última búsqueda en Internet o las fotos de nuestro viaje a Irlanda. O incluso igual le envía la conversación que estamos teniendo con nuestro primo usando la mensajería instantánea.

¿Qué recomendaciones nos dan en el Documento?

1º) Que se informe al individuo de que esta tecnología de localización está funcionando. Por ejemplo, como se hace con las cámaras de videovigilancia. Carteles, avisos por megafonía.. El documento recomienda la creación de un Logo Común para que el individuo lo reconozca y sea consciente de que está en una zona con esta tecnología activada y, que además, se le informe de quién usa esta tecnología (es decir, quien es el "dueño" del Dispositivo Emisor) y con qué fines lo está haciendo (por ejemplo, para enviarle al individuo ofertas "personalizadas"). Además, se recomienda también que se limite el "radio de acción" a las instalaciones del "dueño", con especial cuidado de abstenerse de incluir de este "radio de acción" zonas especialmente sensibles como los baños o las zonas reservadas para los primeros auxilios.

2º) Anonimización. Los dueños de los Dispositivos Emisores deben anonimizar o eliminar los datos que obtengan de estos mecanismos tan pronto cuando ya no sean necesarios para cumplir con la finalidad con la que los obtuvieron. 

3º) A vueltas con el Consentimiento. El documento pone en duda que la aceptación de una actualización de una aplicación determinada sea suficiente como para que se tenga al individuo como verdaderamente informado. Consentimiento necesario también para que se puedan compartir los datos obtenidos con terceros. 

4º) Información clara. Las organizaciones que quieran hacer uso de estos mecanismos deben preocuparse y facilitar que el individuo tenga un cierto control sobre esto: revocar el consentimiento prestado, posibilidad de que pueda eliminar total o parcialmente los datos recogidos previamente..

5º) Se ve MUY NECESARIO que esta tecnología de seguimiento no se use para interceptar el contenido de las comunicaciones de los individuos. Esto es fundamental e imprescindible, en mi opinión.

6º) Implicación también de los fabricantes de dispositivos y de los profesionales de los protocolos de red: diseño de mecanismos para que el individuo active o desactive estos intercambios de datos e inclusión "por defecto" de medidas preventivas.

Llegados a este punto, se me ocurren muchísimas preguntas, pero voy a dejaros apenas 5 para no extenderme más. Las dejo abiertas, por si alguien se anima a responder. ;-)

- ¿Y si el "individuo" es un menor?
- ¿Es ético/moral/adecuado incitar al consumo usando estos mecanismos? ¿Nos parecería bien que una máquina tragaperras emitiera "cantos de sirena" a un ludópata?
- ¿Dónde queda el Consentimiento Expreso requerido por la LSSI? 
- ¿Y si es el Estado el que usa estos dispositivos?
- ¿Cómo y con qué medidas se va a guardar esta información?

....

Por cierto: me he referido a los móviles para simplificar el post, pero seguramente llevas encima otros dispositivos igualmente inteligentes que pueden servir para emitir y recibir información. ¿O tu reloj inteligente no lo hace? ¿Y qué hay de esa pulsera que tan amablemente te dice los pasos que has dado hoy?

 

Y hasta aquí llega el post de hoy; espero que lo hayáis encontrado interesante y muchas gracias por pasar este tiempo "conmigo". ;-)

¡ Feliz Semana de la Protección de Datos!

¿Te ha gustado? Compárteme en RRSS. ;-) Y pasa a saludarme por mi perfil de twitter, que me hará ilusión. Me puedes encontrar aquí.

Biometría y LOPD: El Informe 392/2011 de la AEPD sobre el uso de sistemas de Reconocimiento Facial

¡Hola de nuevo!

Ayer por la tarde cogí el metro con el #iurisobri para llevármelo de turismo por Madrid. Es un fanático de todo lo que rodea los trenes, por lo que llevarle en metro a algún sitio es ir sobre seguro con él: sabes que vas a acertar. Al entrar en la estación, decidí hacerle una pequeña broma: me puse el abono transportes en la palma de la mano y la puse sobre el torno, para que pensara que tenía una "mano mágica" que me abría las puertas de las estaciones del metro. Así sucedió: puse mi mano sobre el lector y "plim" el dispositivo se abrió para dejarme pasar, ante la atónita mirada del #iurisobri. Esta escena tan "mágica" me recordó que tenía un post pendiente y aquí estoy escribiendo, dispuesta a saldar mi propia deuda. ;-)

De un tiempo a esta parte las noticias sobre el uso de la biometría se están multiplicando como setas: que si identificación con la palma de la mano, que si pagar con el dedo, que si reconocimiento facial.. Debo reconoceros que el tema me tiene sumamente intrigada; la ciencia y la tecnología avanzan a pasos agigantados y el Derecho necesita dar una respuesta clara, ágil y efectiva ante las cuestiones que surgen sobre estos temas. No hace tanto tiempo me enganché al Código Da Vinci y recuerdo que una de las partes que más llamó mi atención era aquella en la que le sacan un ojo a uno de los personajes para poder acceder a una sala cuyo acceso estaba restringido a los "ojos" autorizados. En aquel momento aquella imagen que vino a mi mente me pareció tan repugnante que se me grabó en la mente a fuego. Ahora esa "escena"  ha vuelto a mí con las noticias que surgen. Gracias a mi querida toguita Lara (a la que os recomiendo dar follow en Twitter), pude ver un documental que echaron en la 2 de TVE  sobre el tema y aun estoy en shock. Intenté twittear las cosas más curiosas que salían en el mismo, pero era casi imposible: el documental era tan interesante que me quedé embobada viéndolo. Os recomiendo reservar un rato y verlo, eso sí, es no apto para paranoicos, avisados estáis. Si a pesar de esta recomendación os entra la curiosidad y queréis verlo, el nombre es "Fenetre Sur Corps" (muy acertado el nombre, por cierto).

Al final, como no podía ser de otra forma, me acabé "picando" y decidí bucear en la web de la AEPD para ver si había algo publicado sobre el tema. Mi sorpresa llegó al ver que no sólo había documentos publicados, sino que encima.. ¡no eran precisamente de lo más reciente!. Resulta que la AEPD en 2011 ya tenía consultas sobre temas biométricos y yo pensando que era algo "relativamente reciente". Pues bien, tras este golpe de "realidad", os voy a contar un poco lo que dijo la AEPD cuando recibió una consulta sobre el uso de programas de reconocimiento facial tanto para el control de la asistencia a las clases de sus alumnos como para la identificación de los mismos en los exámenes. El informe es el 392/2011 y lo tenéis aquí.  

Para empezar, la AEPD recuerda lo que considera que son los datos biométricos: “aquellos aspectos físicos que, mediante un análisis técnico, permiten distinguir las singularidades que concurren respecto de dichos aspectos en un sujeto y que, resultando que es imposible la coincidencia de tales aspectos en dos individuos, una vez procesados, permiten servir para identificar al individuo en cuestión. Así se emplean para tales fines las huellas digitales, el iris del ojo, la voz, etc” y se remite además al Informe del Grupo de Trabajo creado por el art.29 de la Directiva 95/46/CE emitido el 3 de agosto de 2003 (lo vuelvo a flipar por la fecha, por cierto): el Documento WP80 que os enlazo aquí. En este Documento WP80, se alude a la existencia de dos tipos de datos biométricos: los estáticos y los que pueden revelar algunas características del comportamiento de los individuos. Dentro del primer grupo estarían datos como la huella dactilar o el iris, y en el segundo grupo encontramos cosas como la forma de andar. Esto de la forma de andar me ha hecho especial "gracia" (AVISO: ABRO INCISO CON BATALLITA):  

Tengo un conocido que lleva aplicando el reconocimiento por la forma de andar muchísimos años. El pobre es miope y como es un coqueto, cuando tuvo que ponerse gafas por primera vez (hace también un montón de años le diagnosticaron miopía debido a que era incapaz de leer la pizarra desde lejos) decidió que no las llevaría más que cuando fuera estrictamente necesario, por lo que cuando va por la calle jamás las lleva. El pobre mío se ganó una fama de borde inmerecida, porque iba por la calle y no saludaba a nadie. Obviamente, sólo los amigos más próximos sabíamos que el motivo de que no saludara era que no reconocía a la gente porque realmente no los veía,y cuando le dijimos las habladurías que había sobre él empezó a reconocer a la gente por sus andares. Era un método infalible con los más íntimos, pero en cuanto se cruzaba con alguien a quien acababa de conocer, no le había dado tiempo a procesar su modo de andar por lo que se quedaba sin saludo y, en consecuencia, la fama de borde iba creciendo. Para mí, este casero sistema de identificación es el primer contacto con la biometría que he tenido, aunque entonces no lo sabía. ;-)))) (CIERRO INCISO CON BATALLITA) 

Vuelvo al informe..

En relación con los datos estáticos a los que me refería antes, el informe de la AEPD que estamos viendo los pone en relación con el artículo 3 a) de la LOPD y reconoce que, aunque el procesamiento de estos datos no revela nuevas características sobre el comportamiento de las personas sí permitiría su identificación, por lo que su tratamiento debe estar sometido a la LOPD. 

Puntos claves del informe:

- La AEPD nos pide que no seamos reticentes y negativos al tratamiento de estos datos ya que pueden ser muy útiles en algunos casos, por ejemplo, para preservar la intimidad del afectado: si tratamos estos datos podemos identificar al individuo sin necesidad de pedirle otros datos adiccionales. Aquí podemos ver claramente que muchas veces lo importante no es recopilar toneladas de datos, sino que si disponemos de pocos datos pero útiles, podremos obtener mucho mejor "rendimiento" de los mismos. 

- El consentimiento. 

Teniendo claro que es necesario tener el consentimiento del interesado para el tratamiento de los datos o bien ampararnos en alguna de las "vías" previstas en el art. 6.2 de la LOPD para no necesitarlo, el informe analiza el supuesto planteado en la consulta descartando el consentimiento como base para tratar estos datos, debido a que, como sabemos, el consentimiento es revocable: Si el sujeto decide revocarlo debemos cesar en el tratamiento de estos datos y, en consecuencia, las finalidades que pretendíamos alcanzar con el tratamiento de estos datos quedan en papel mojado. Descartando la opción de obtener estos datos de fuentes accesibles al público (aprovecho para recordar que INTERNET NO LO ES), nos quedan únicamente dos opciones: la habilitación por Ley o la "excusa" de la necesidad de tratar estos datos para el mantenimiento de una relación jurídica.  Parece que en la consulta planteada estamos más cerca de esta última opción que de la primera, a tenor de lo dispuesto por la propia AEPD. Y esto nos lleva a un viejo conocido: "el Juicio de Ponderación". Así, tendremos que valorar si en el supuesto en el que estamos existe o no un interés legítimo por parte del Responsable del Tratamiento que prevalezca sobre los derechos y libertades fundamentales del interesado. Para ello, la AEPD se remite al siguiente punto del informe..

- La finalidad.

Recordando que la finalidad esgrimida por el consultante es el control de la asistencia a las clases de sus alumnos y la identificación de los mismos en los exámenes, la AEPD se pregunta si este método de reconocimiento facial es auténticamente necesario y si no hay otras opciones, quizás menos invasivas, para conseguir estos objetivos. De nuevo nos encontramos en el Juicio de Proporcionalidad y Necesidad: ¿justifica el mantenimiento de la relación jurídica que tenemos el establecimiento de este tipo de medidas? Volvemos a lo que la AEPD nos indica también en casos de videovigilancia: Cada caso es un mundo y requiere su estudio.

- Ni sí, ni no ni todo lo contrario.

Dice la AEPD lo siguiente: 
1) No puede decirse que el tratamiento de los datos biométricos sea siempre contrario a la normativa de protección de datos; será el Juicio de Proporcionalidad el que revele su acomodo a la misma.
2) Tampoco podremos pensar que el tratamiento de estos datos con la finalidad de control de acceso sea siempre contrario a la normativa de protección de datos, dado que a veces la garantía de seguridad para el acceso a determinadas instalaciones justifica que se usen estos datos. 
3) Por último, tampoco podemos creer que el uso de estos datos sea siempre acorde con la normativa de protección de datos, porque entonces caeríamos en el "ancha es Castilla" y habría peligro de uso indiscriminado de estos tratamientos. 

En consecuencia...

La AEPD cree que la finalidad esgrimida por el consultante para establecer este tipo de sistema no es suficiente: demasiado riesgo existiendo otras opciones menos peligrosas para conseguir la misma finalidad. Y ojo, que también dice que el hecho de que los alumnos estuvieran de acuerdo con la idea de usar este sistema NO LEGITIMA SU USO. 

Y hasta aquí llega el post de hoy; espero que os haya resultado interesante.
Gracias por pasar por aquí; nos vemos en el siguiente post.
Hasta la próxima! ;-)