1000 RGPERDONES.

Mi querido y estimado Data Subject, interesado, Responsable o lo que seas, que ahora mismo me la bufen (es tarde y la vida se me vaaaa).

Me dirijo a ti, mediante este post, para trasladarte mis más sinceras disculpas, en nombre de mis compañeros de Derecho Friki, por el aluvión de Spam bastante innecesario que has recibido estos días previos al 25 de mayo. Quiero que sepas que entendemos el coñazo máximo que ha supuesto para ti abrir el maldito correo y encontrarte la bandeja llena de emails de empresas con las que probablemente no hayas cruzado palabra en tu puñetera vida, pero a las cuales seguramente les diste tus datos para poder ganar dos entradas de cine (un premio nada desdeñable, con lo caro que se ha puesto lo de culturizarse). Y si no le diste tus datos a la empresa que organizaba el sorteo, igual se lo diste a otra, que se los hizo llegar. Y no tenías ni pajolera idea porque eso estaba en chiquitito en las condiciones legales que declaras expresamente, y bajo juramento biblico, que has leido y entendido, aunque tod@s sepamos a estas alturas que eso es menos creíble que el testimonio de Mariano en el juicio de la Gürtel (y esto no lo digo yo, eh? viene en la Sentencia que acabamos de conocer que condena este mamoneo de poder y dinero más negro que el sobaco de un grillo, tal y como señala mi querida profesora Verónica del Carpio en su cuenta de twitter). Esas condiciones legales infumables que han invadido tu bandeja de entrada  y que se han reproducido como setas en las bandejas de tod@s tus conocid@s, desde aquí, las maldigo.

Te pido perdón por el error de cálculo que ha supuesto tener dos años para ver de qué cojones iba el RGPD y no haber sido capaces de preparar el terreno como para evitar este pseudoacoso al que ahora estamos sometidos.  2 años parece bastante tiempo, pero créeme, no lo es. Y el ejemplo claro es que a estas alturas de la vida, no hemos sido capaces de sacar la puñetera reforma de la LOPD. Pero no te fustigues, esta vez no hemos sido los únicos "perezosos"; si miras fuera de la madre patria, verás que casi ningún país ha hecho los deberes. Estamos todos jodidos, o jodiden, como prefieras.

Pero no te vayas todavía, que tengo más cosas por las que disculparme, en mi nombre, en el de mis compañeros y en el de los getas que te venden que cumples la normativa de protección de datos y todo el derecho saturniano en 3 tardes. Bueno...¿qué cojonen? En nombre de estos no me disculpo, son ellos los que deberían hacerlo por mentirte. Y atento porque esto no te va a gustar, pero alguien tiene que decírtelo... NO ES POSIBLE CUMPLIR AL 100% LA NORMATIVA DE PROTECCIÓN DE DATOS. Si somos honest@s, creo que toda relación se basa en la honestidad, incluso aunque duela. Y te voy a contar principalmente por qué es imposible cumplirla, que me has pillado de buenas. El melón del RGPD está formado, entre otras cosas, por la información sobre ti (y sobre otr@s) que emites desde el dispositivo desde el que me lees, y que vuela, casi podríamos decir que lo hace "libre a lo Nino Bravo", hasta rincones que ni imaginas.  Y podrás suponer que cada día hay 30303939393 millones de amenazas a toda esa información, y ninguna entidad es infalible. Si solo pensamos en factores técnicos, es fácil de entenderlo; pero si además le sumamos el factor humano, el riesgo, concepto bien incrustado en el RGPD, LO PETAMOS. Así que no seas moñas, que nadie te engañe diciendo que las plantillas son suyas y están nuevas porque los zapatos se los pone poco (por cierto, excelente hilo de la tuitera @menendezfaya). Abre tus brazos y tu cartera a la nueva normativa. Y sí, he dicho tu cartera, porque cuesta dinero, majete, como todo en la vida. No hace falta que nos compres un chalet en Galapagar, pero sí que valores nuestro trabajo, nuestro esfuerzo, las horas que invertimos en reciclarnos y la salida que tenemos que encontrar a desafíos que no se encuentran en los libros. Y, de nuevo, sí: aunque cojas a la mejor frikitoga (que, por cierto, nunca hay que dar por hecho que será la que te pegue la mayor clavada), no estarás 100% a salvo de que venga la AEPD y te pegue un estacazo. Es lo que hay, querid@.

 Y ahora estarás pensando: "joder Iuris, qué mal vendes el sector". Pues tienes razón, eh? es que lo del Marketing nunca se me ha dado bien. Peeero lo que sí se me da bien es hablar claro; incluso con todos estos aspectos negativos, nos necesitáis y nos acabaréis queriendo, créeme. Porque detrás de todo este coñazo, están tus datos, tu vida, tus gustos, el derecho que tienes a tener tu puñetera privacidad y a exigir a las empresas que sean cuidadosas. Y al gobierno, my darling, que también mete mano aquí y, a veces, de formas más que dudosas. ¿O es que nos hemos olvidado del Lexnetazo del verano? ¿o de lo que contó mi adorado Snowden?

En resumen, y para no extenderme más como esos pergaminos intermitables a los que accedías para reconsentir lo que ya consentiste sin leer...(pero declarando y jurando que lo hiciste)...

LISTA DE DISCULPAS:

1) Por petarte la bandeja de entrada.

2) Por petarte el cerebro con políticas más largas  que El Quijote. Danos tiempo, somos abogad@s y va en la sangre enrollarnos cual persianas; aunque se pretenda lo contrario con el RGPD (o esa es la teoría).

3) Por no darte respuestas talladas en piedra a tus preguntas. Joder, que vamos con la "L", coño. Y que en esto hay mil aristas, sé comprensivo y baja los humitos; si no dudo cada día de la respuesta a dar a cada cosa que se me presenta, tendría que considerarme un fracaso de ser. Hay que dudar más, preguntar, interactuar, aplicar y volver a dudar. Y créeme: "prometo solemnemente dudar", porque las veces que dude serán directamente proporcionales a todas las aristas que tengo en cuenta para arreglar tu problema. Funciona así.

4) Por este coñazo de post.

Hala, que me he quedado tan agusto. Me despido con este temazo, más que apropiado, de Café Quijano con Willy Bárcenas... ;-)

...Aunque sé que no es tan fácil Perdonarme
Hoy te pido que me dejes demostrarte
Que se aprende de los fallos
Y que entiendo que te duela
Que estés triste y te cuesta perdonar...

A bailaaaaarl con el RGPD!!!

Pdt: Ni fotos ni ná pongo hoy, que estoy en modo minimalista XDDDDDDDD.

 

El Palo Parlante, tu coche contestante y la que nos espera.

Holi Holiiii.

Me apetece ponerme muy friki esta vez, lo siento, pero ni quiero, ni puedo evitarlo. Estaba haciendo unas cositas y me he encontrado con un documento del WG del artículo 29 que ha llamado poderosamente mi atención, cosa que, si visitas este pobre blog, suele pasar (tengo algún que otro post comentando documentos de este Grupete de coleguis XDDD). Vamos al lío, que me lío...

Documento: Dictamen 03/2017 sobre el tratamiento de los datos personales en el contexto de los sistemas de transporte inteligentes (STI) cooperativos. Como siempre, os lo linkeo si pulsáis aquí. 

• ¿De qué va el cirio este? 

Pues muy sencillo: de coches/camiones/motos/sidecars...en definitiva: "Vehículos" que hablan con: señales, palos misteriosos... Qué pasote,¿no? Y...¿cuál es la finalidad de estas charlas? Pues, según el propio documento: "lograr mejores predicciones sobre las situaciones del tráfico y mejorar la prevención de accidentes". Sí amig@s, el asunto se pone serio: Los coches hablan; ya no sólo se conducen solos...¡ES QUE ENCIMA HABLAN CON PALOS DEL CAMINO! 

Tranquilos, piltrafillas, de momento los casos que dice el documento que se han identificado están relacionados en su mayoría con funcionalidades informativas (como advertencias de obras, condiciones meteorológicas, etc.). Iba a decir que no os preocupárais en España, ya que obras ya pocas y no somos país de condiciones meteorológicas especiales, pero...mejor me callo tras los últimos acontecimientos. 

Bueno, pues el tema es que se nos empiezan a plantear situaciones un poco complicadas, porque se juntan aspectos éticos (en los últimos tiempos, prácticamente todo kiski se ha planteado casos extremos rollo "y si el coche autónomo tiene que elegir entre atropellar al profe de tributario que no sabe decir "coxis" o al misterioso y desconocido M. Rajoy... ¿qué hace?") y transmisiones de datos que nos son desconocidas al común de los mortales. 

• ¿Qué tiene que ver esto con la Protección de Datos, Iuris?

Pues muy sencillo: que ese coche pertenece a una persona, que dentro del coche también van personas y que el coche, al igual que el vecino del quinto, habla de esas personas. Y esto es así aunque se seudonimicen los datos, que es el caso que se trata aquí. 

Aclaración: La seudonimización viene recogida en el RGPD de la siguiente forma: "tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable". Para que entiendas esta parrafada, te hablo en cristiano: Ese apodo tan amoroso que usa tu amorsito para llamarte y que solo conocéis vosotros, rollo: "Currupipi". Es imposible saber que Currupipi eres tú a no ser que nos den alguna pista, como que tu amorsito se llama "x". A grosso modo, esa es la idea (a lo cutre, lo sé, no dejes de leer el post por esta memez).

Tal y como comentaba, los datos seudonimizados caen bajo la aplicación de la normativa de protección de datos, y por eso el WG mete baza aquí; . si los datos fueran anónimos, el WG pasaría del tema porque no caería dentro de la aplicación del RGPD. 

 

 

• Entonces... ¿qué pasa aquí?

 Pues que el WG no tenía otra cosa que hacer y se ha puesto a analizar todo esto: el coche que habla, el palo que le responde y la fundamentación a nivel jurídico que puede "soportar" esto tan raruno (sí: para tratar datos, hace falta tener un "soporte jurídico", y los tenemos en el RGPD, concretamente en su artículo 6. No quiero pararme en esto para no aburrir al personal; simplemente, os dejo una pinceladita del documento para general rayada: "la capacidad de identificación de los datos de localización es bien conocida: bastan unos pocos puntos espaciales para singularizar a una persona en una población con un elevado grado de precisión, teniendo en cuenta los patrones más habituales de movilidad de las personas". 

Para que me entiendas: identificarte a ti con los datos de localización que manda tu coche al palo parlante, es MUUUUY SENCILLITO. E imagínate lo que se puede sacar de ahí si mereces ir a comiseriden por saltarte una línea continua... (información que caería dentro de las llamadas "categorías especiales de datos" que recoge el art.11 RGPD, y que tienen un régimen de tratamiento un poco diferente).

 Así, el WG da un toquecito para que se mejoren algunos aspectos que inciden en la privacidad de la gente o creando problemas cuando buscábamos soluciones. Por ejemplo:

 

- Los STI cooperativos, por su propia naturaleza, desvelarán información que no estábamos acostumbrados a revelar: por dónde conducimos y de qué modo.  Para algunos, esto es horroroso, especialmente para esos Fernandos Alonsos de Pacotilla: Tu seguro estará encantado de conocer que vas como un fitipaldi: clavadita que te va a caer.

 

- Posibilidad de predicciones inexactas sobre las condiciones del entorno (por ejemplo, creando un atasco en lugar de reducir la carga de tráfico) o  por una interpretación no neutral de los datos del entorno (por ejemplo, induciendo a los usuarios a visitar zonas específicas debido a los intereses económicos de uno de los particulares). Cuanto menos, esto es curioso. 

Y aporta algunas ideas para mejorar estas cosas QUE YA ESTÁN AQUÍ Y AMENAZAN CON QUEDARSE.

 

Como el propósito del post era hablar de palos parlantes y coches, lo dejo aquí; pero os invito a que le echéis un ojo al tema, porque es de lo más curioso. 

Hasta lueguen!!!

 

 

Un nuevo invitado en la LOPD: El Whistleblower.

Hola de nuevo, lopder@s.

Llevaba un tiempo con el blog en modo de stand by debido a una alineación interplanetaria de asuntos que, objetivamente, me han impedido sentarme a escribir algo que realmente mereciera la pena. Soy de esas personas que creen en aquello de: "si lo haces, lo haces bien", y este blog nació con la idea de ser una herramienta útil basada en una "apetencia" de escribir, no una obligación tediosa que acabe siendo una carga. Así que, amig@s, si no he escrito antes es precisamente por eso, no hay por qué mentir. ;-)

Partiendo de esa base y añadiendo todas las novedades en temática lopdera que ha habido últimamente: que si el RGPD, que si el Proyecto de Reforma de la LOPD, que si a vueltas con el DPO y las medidas de seguridad... Este camino empieza a tener curvas cada dos pasos y, honestamente, yo soy de marearme en los viajes pero, a la vez, me encanta viajar, por lo que jamás dejaré de hacerlo, aunque tenga que llevar algo heavy para los mareos. Bueno, pues ayer desayunaba con este titular, que me hizo torcer el morro, que es muy característico en mí cuando algo no me gusta (y que por cierto: ha heredado el #iurisobri): "Quién es el delegado de datos, el 'delator' que llega a tu empresa en mayo." Tras ese primer impacto, el resto de la noticia no parece coincidir con ese titular, pero oye, la impresión fue cosita fina. Entiendo que es necesario un titular impactante para traer lectores, pero hagan el favor de pensar en el corazoncito de los que nos dedicamos a esto; la palabra "delator" es fea y, objetivamente, pensar en el DPO como un "delator" es no tener ni pajolera idea del tema. Si lees lo que se dice de esta figura en el RGPD , podría comprarte que el DPO es un poco el jode-rollos de la fiesta si lo llevas al extremo, pero si eres un tío/tía list@ , podrás ver que el DPO realmente puede ser un activo de tu empresa, un Pepito Grillo que te haga hacer las cosas bien y un "Mago Merlín" que haga magia contra las ideas de bombero que pueden dar al traste con un buen negocio. Hazme caso: El DPO no es ningún lobo que vaya a entrar en tu corral a darse un festín. Son muchos los cracks que han escrito sobre la figura del DPO y tan bien que, sinceramente, no creo que vaya a mejorar ninguno de esos textos. Baste leer al gran Ricard Martínez y su respuesta al artículo de titular con mala uva: http://lopdyseguridad.es/delegado-de-proteccion-de-datos-delator-o-colaborador-imprescindible/ . Querido Maestro, suscribo cada palabra suya, cosa que no es novedad, por cierto.

Tras pensar en la palabra "delator", me he acordado de que hay una figura que asusta más que el DPO y que aparece como novedad en el proyecto de reforma de la LOPD que acabamos de conocer, recién salido del horno y bien calentito: El whistleblower. Llevamos un tiempo escuchando y leyendo sobre esta figura, sobre todo a raíz de que la heroína Ana Garrido decidiera levantar las alfombras y denunciar el pestilente olor a podrido que invadía cierto municipio madrileño. Si empecé este párrafo usando la palabra "delator", quiero terminarlo (e iniciar la cuestión lopdera que me ocupa en este post), haciendo un alegato en favor de gente tan valiente como Ana, a los cuales tenemos que agradecer que saquen la cara y pongan su nombre y apellidos y principios por delante de los beneficios sin escrúpulos ofrecidos por algunos. Qué feas suenan palabras como "delator" o "chivato"; honestamente, creo que la Sociedad debería ver a figuras como la de Ana Garrido como "valientes"; y con esa idea tan "flower", el Proyecto de Reforma de la LOPD los trae a su texto, afortunadamente. Y... ¿qué dice el nuevo texto sobre ellos? Pues vamos a verlo:

Artículo 17. Sistemas de información de denuncias internas en el sector privado.

1. Será lícita la creación y mantenimiento de sistemas de información a través de los cuales

pueda ponerse en conocimiento de una entidad privada, incluso anónimamente, la comisión en el

seno de la misma o en la actuación de terceros que contratasen con ella, de actos o conductas

que pudieran resultar contrarios a la normativa general o sectorial que le fuera aplicable. Los

empleados y terceros deberán ser informados acerca de la existencia de estos sistemas de

información.

2. El acceso a los datos contenidos en estos sistemas quedará limitado exclusivamente al

personal que lleve a cabo las funciones de control interno y de cumplimiento de la entidad y, sólo cuando procediera la adopción de medidas disciplinarias contra un trabajador, al personal con

funciones de gestión y control de recursos humanos.

3. Deberán adoptarse las medidas necesarias para preservar la identidad y garantizar la

confidencialidad de los datos correspondientes a la persona que hubiera puesto los hechos en

conocimiento de la entidad si se hubiera identificado.

4. Los datos de quien formule la comunicación y de los empleados y terceros deberán

conservarse en el sistema únicamente durante el tiempo imprescindible para la averiguación de

los hechos denunciados.

En todo caso, transcurridos tres meses desde la introducción de los datos deberá procederse a

su supresión del sistema. Si fuera necesaria su conservación para continuar la investigación

podrán seguir siendo tratados en un entorno distinto.

No será de aplicación a estos sistemas la obligación de bloqueo prevista en el artículo 29.

Puntos clave del artículo:

1) Lo primero: que es lícito crear este tipo de mecanismos. Y yo voy más allá: no solo es lícito, sino que, personalmente, creo que es ultranecesario. Nos llenamos la boca con temas como la Responsabilidad Social Corporativa o con donaciones estratosféricas a fines sociales, o con lo modernos que somos por estar en RRSS y conectar con la gente joven, pero a veces las alcantarillas están un poco, digamos, congestionadas. No pongáis esa cara, seguro que se os ocurren ejemplos de malas prácticas a porrón, tanto en vuestras empresas como en vuestra comunidad de vecinos. 

2) Que para que esto funcione, es necesario que los empleados conozcan que hay esos mecanismos y sepan cómo usarlos. Esto es básico: cuando entra un nuevo empleado, hay codazos por enseñarle cómo funciona la máquina de café o las reglas que hay sobre protección de datos (chas!), pues habrá que explicarle también que, si ve algo feo feísimo, puede denunciarlo. 

3) Que los datos de estas denuncias solo tendrán que estar a disposición del personal encargado de velar porque la empresa sea güena (es decir, que si denuncias algo que hace tu jefe, en teoría, este no debe saber que has sido tú "garganta profunda"). Esto es de cajón: si sé que se va a enterar mi jefe de que le he denunciado por algo que hace mal, a ver quién es el rico que se atreve (y menos cuando está la cola del SEPE que hay cola hasta para hacer cola, aunque nos vendan lo contrario). La única excepción a esto es que puedan derivarse medidas disciplinarias contra el denunciado; entonces sí se da vía libre a que los de RRHH lo sepan y procedan contra el malo malísimo.

4) Que hay que tomar medidas para proteger la identidad del whistleblower; precisamente al hilo de lo que comentaba en el punto 3. Empezaba la introducción del post hablando de lo feo que suena la palabra "delator"; todos hemos crecido interiorizando que el chivato era el malo de la peli, incluso aunque se chivara de que se estaba haciendo algo horrible. La consecuencia de que se hiciera público en el cole el nombre del "chivato", era que se enfrentaba a una especie de castigo social por hacerlo, no sólo del "afectado" por el chivatazo, sino del resto. Esto hacía que pocos se atrevieran objetivamente a tomar la iniciativa y, cuando crecemos, no sólo no olvidamos esta memez (la Sociedad hace que lo interioricemos aun más), sino que es como una especie de aberrante "pacto de silencio" que, a mi juicio, nos convierte en cómplices. Y luego pasa lo que pasa, que todos conocemos de sobra. Bueno, la cosa es que el artículo, con muy buenas intenciones, establece la obligatoriedad de aplicar medidas que garanticen la confidencialidad y preserven la identidad del valiente. En un mundo ideal, me encantaría que no tuviesen que ser tomadas este tipo de medidas con la citada finalidad de protección, pero oigan, "piano, piano". Menos da una piedra.

5) Que tenemos un plazo de conservación de los datos de la denuncia: el tiempo imprescindible para estudiar los hechos objeto de la denuncia. Como aquí somos muy de conservar las cosas por tiempo indefinido (menos las relaciones laborales, por cierto), el propio artículo nos da un plazo: 3 meses desde que el whistleblower meta los datos en el sistema. Esto me lleva a plantearme algunas cosas: 

a) Entiendo que el método que prefiere el legislador es por vía TIC, porque lo de poner un buzón fisico de denuncias parece un poco complicado a la hora de cumplir y gestionar este plazo. Además, me imagino la imagen del buzón como una zona inhóspita y desangelada, pocas ganas de acercarse por temor a las miradas inquisitorias de las que hablaba antes, por lo que quizás el método TIC es el más "cómodo" (veremos si el más "eficiente").

b) El plazo de 3 meses es muy bonito en el papel, igual que lo es el de la Justicia Rápida de la que presume nuestro querido Ministro en las giras que hace vendiendo las maravillas de Lexnet y de los nuevos Juzgados que abre, en muchas ocasiones, sin equipar (aunque esto no lo ha inventado él, sinceramente, esto se inventó con hospitales y creo que la idea fue de una conocida de Ana Garrido, por cierto). Habrá que ver si ese plazo es el adecuado y cómo justifica la empresa que ha llevado las gestiones necesarias en ese tiempo para analizar y estudiar el caso. 

c) Pasados los 3 meses, hay que SUPRIMIR los datos, NO BLOQUEARLOS. Bien, esto tiene un doble filo: si eliminamos todo lo generado por la denuncia, a ver cómo hacemos si luego resulta que, a pesar de que la investigación interna se cerró con un beso y una flor, resulta que nos encontramos con un berenjenal como el descubierto por la denuncia de Ana Garrido. De esa denuncia interna que inicia el proceso pueden derivarse consecuencias "positivas" y "negativas" que igual es necesario revisar a posteriori, por lo que es posible que cargarse TODO no sea la mejor idea., sobre todo si se abre un meloncito como ese. Habrá que darle alguna vuelta a cómo gestionarlo. ¿Anonimización? ¿Pseudonimización? 

Para finalizar este post un poco incendiario, quiero hacer mención a dos cosas importantes:

1) Leo en la web de la AEPD esto: "El CGPJ y la AEPD colaborarán en las inspecciones de órganos judiciales en materia de protección de datos". Una gran noticia que se deriva, obviamente, de porrocientas denuncias de muchos compañeros sobre la falta de diligencia en esta temática de algunos organismos, entre ellos, los que componen la Brigada Tuitera. Como veis, e incidiendo en lo que decía anteriormente, la figura del "Whisteblower" es muy necesaria; muchas denuncias públicas las han hecho compañeros desde su cuenta de Twitter. Mi más sincera enhorabuena.

2) Me he encontrado en twitter muy bien acompañada de cracks en una mención que reconozco que me ha hecho especial ilusión: http://sinderiza.com/7-blogs-juridicos-me-encantan/ . Muchísimas gracias a los compis de Sinderiza por meter este pequeño blog junto a tanta gente enorme, de verdad que es todo un honor, compañer@s!!!

Y ahora sí: hasta aquí el post de hoy. Feliz semana y hasta la próxima!

El DNI bajo la piel: El Informe 0292/2010 de la AEPD sobre Microchips.

¡Hola de nuevo!

Antes de empezar el post quiero agradeceros el apoyo y los votos que recibí con la nominación del blog para los premios de Internet que se celebraron hace unos días. Aunque esta vez no pudo ser, tengo que reconocer que estoy muy muy agradecida por todas y cada una de las muestras de cariño que recibí, tanto en clicks como en tweets o mensajes. Sé que es una frase hecha pero quiero que sepáis que, para mí, que un blog que habla de privacidad y protección de datos sin corsés técnicos llegue a ser finalista de unos premios de ese calibre ya es más que una hazaña. Muchas gracias por todo lo que he recibido en estos días y enhorabuena a los premiados; la gala fue muy entretenida y considero un lujo haber podido "colarme". ;-)

Y ahora, al lío. 

Una semana más, traigo a este humilde blog un Informe de la AEPD que me parece de los más futuristas. Los que hayáis pasado alguna vez por aquí, conocéis ya de sobra mi más que evidente interés por todo lo que toque la relación entre biometría y privacidad, así que no os sorprenderá que elija este informe para seguir con esa interesante senda. El informe que he elegido es del año 2010, y lo tenéis en este link. Vamos a ver qué nos dice:

Corría el año 2010 cuando se le plantea una especial consulta a la AEPD relacionada con la "comercialización y utilización de microchips intradérmicos mediante los que se podría incorporar información referente a sus portadores, haciéndose referencia en la consulta a datos relacionados con la identificación del interesado, su número de tarjeta de crédito, localización o información

médica". Es decir: tenemos a un sujeto que quiere vender o usar una serie de aparatitos que, insertados en la piel de una persona, llevaran dentro determinada información del portador, como su tarjeta de crédito, su localización o información médica. El tema es que los microchips no servirían sólo como "maleta" de la información que contienen, sino que además, servirían como "soporte" para que un tercero pudiera leerlos. Como veis, todo un jardín florido primaveral. ¿No es llamativo lo del número de tarjeta de crédito?

La AEPD parte de la base de que tenemos delante un estupendo tratamiento de datos y que, por ello, dicho tratamiento deberá ampararse en alguna de las causas de legitimación que contiene la propia LOPD y, dentro de ellas, la AEPD ve que las más probables de encajar en esto de los microchips serían:

- El consentimiento del interesado.

- La existencia a su vez de una relación jurídica entre el interesado y el responsable; pero esta última parece que la considera un poco remota. 

Además, tal y como estaba reflejado en la consulta, la intención parece ser tratar datos de salud también, por lo que las causas de legitimación quedan limitadas también, al hilo de lo dispuesto en el art. 7.3 de la LOPD.

Visto todo esto, la AEPD se decanta además por el uso de la fórmula del consentimiento para amparar el tratamiento de datos que implicaría la lectura del microchip por un tercero. Es decir, tenemos dos situaciones que, en principio, deberían "encajarse" con el consentimiento del portador del microchip:

1) La propia implantación del microchip.

2) La lectura de los datos que contiene el microchip. 

Y, encima, para rizar más el rizo, los tratamientos realizados sobre datos de salud exigen un consentimiento especial: el expreso. 

No pasa por alto el informe de la AEPD el hecho de que el microchip esté pensado para tratar también datos de localización del portador (parece ser que en la consulta se indicó que esta idea tenía como fin la localización de enfermos de Alzheimer). Contando con que en este supuesto reflejado la base que habíamos cogido (el consentimiento) se antoja más complicada, la AEPD indica que además sería necesario cifrar la información del microchip o de la señal que emita. 

Recopilamos de nuevo: 

Doble Consentimiento (expreso si se tratan datos de salud y doble porque por una parte tenemos la propia implantación y por otro la lectura) 

+  

Medidas para evitar que terceros "no consentidos" accedan a la información del chismito. 

Esto me recuerda a un post que escribí hace tiempo sobre la información que envían algunos dispositivos son que nos demos cuenta. Si te quieres emparanoiar un poco, pincha aquí y podrás leerlo. ;-) 

Pues bien, si no teníamos pocos problemas, la AEPD recuerda que la implantación del microchip podría meterse en otro jardín más: el del derecho a la dignidad de la persona y a su integridad física. Tremendo combo, señores.

En definitiva, y para no extenderme más, me quedo con esta reflexión que hace la AEPD y que me parece la guinda del pastel: 

"En consecuencia, para que fuera conforme a derecho la actuación planteada debería analizarse caso por caso la necesidad de que la misma se llevase   a  cabo  en  relación  con   la  finalidad  perseguida, siendo  además necesario,   incluso   en   ese   caso,   el   consentimiento   del   interesado   y   la implantación   de   medidas   de   seguridad   que   impidiesen   el   acceso   a la información contenida en el chip por terceros distintos de aquéllos respecto de los que se ha otorgado el consentimiento".

Y hasta aquí llega el post de hoy; que tengáis una feliz y florida semana. 

¡Hasta la próxima, queridos amig@s!

Todos interesados en el Reglamento Europeo de Protección de Datos

¡Hola de nuevo!

Hay un nuevo miembro en la familia y no sé si va a encajar bien, la verdad. Tras 4 largos años, por fin hemos podido conocer a la criatura y debo reconocer que no le saco parecido a nadie. Algún aire se da a la prima española, pero no puedo decir que sea idéntica tampoco. Lo que sí puedo decir es que el parto fue bien y nació con buen peso, quizás demasiado (261 paginazas que podéis consultar aquí, cortesía de la gran @MarinaBrocca , cuyo post sobre el Reglamento también recomiendo leer); pero ahora les toca a sus padres elegir una buena alimentación para que crezca sano y pueda integrarse en la sociedad que le ha tocado vivir. Tenía ganas de conocerle, aunque estaba un poco nerviosa por comprobar si los osados parecidos que le íbamos sacando todos se iban a cumplir. Es una criatura que nace ya famosa, como el bebé de aquel post que escribí hace no mucho. Desde este humilde rincón de la web, doy la bienvenida al nuevo Reglamento. Te has hecho de rogar, ¿eh? Claro, es que "dentro" se está tan agustito...

Vamos a ver qué pan nos trae este niño tan peculiar para ver si podemos ponernos de acuerdo en el tipo: ¿será Pan de Molde o quizás una buena hogaza? ¿Tendrá el sabor de una baguette o nos va a poner a dieta con el pan integral? 

Lo que sí tengo claro es que 4 años de horno deberían ser garantía de pan bien preparado; veremos si nos hemos equivocado con la receta..

Uno de los ingredientes usados para la elaboración del pan que trae la criatura es la palabra "interés". Su esencia la he encontrado en varias partes, especialmente en las que se refieren a un nuevo concepto: "Autoridad de control interesada" y en otro un poco más difuso: "el interesado". Quiero resaltarla en este post porque me considero una persona especialmente maniática en lo que se refiere a la importancia del lenguaje y a la elección de las palabras que utilizamos (manía que he descubierto que comparto con el gran Borja Adsuara, con el que tuve el inmenso placer de compartir un café esta semana y a quien os recomiendo encarecidamente seguir en twitter; aquí os dejo su user: @adsuara) . Soy de esas personas que piensan que la elección de una u otra palabra para referirse a algo no suele ser fruto de la casualidad; tiendo a pensar que en muchas ocasiones el emisor de la misma tiene una doble intención al elegir de la palabra "x" en vez de la palabra "y". Por ejemplo, cuando se nos ha hablado de "ajustes" en lugar de "recortes" no se ha hecho con otra finalidad que no sea "suavizar" algo negativo para que "entre con vaselina" y no nos rasguemos las vestiduras al oírlo. Aunque tanto el que usa "ajustes" como el que lo escucha saben perfectamente a lo que nos referimos, parece que ponerle un lacito hace que el receptor se muestre menos dispuesto a "rebelarse". 

Edulcoramos nuestras expresiones para que no tengan ese sabor agrio tan horrible.

Algo así es lo que me ha venido a la mente cuando leo los conceptos "Autoridad de control interesada" y "el interesado". Para mí, en líneas generales, la palabra "interés" tiene unas veces cierta connotación negativa y otras, rasgos de ajenidad; de ser algo que guarda cierta distancia con una persona o cosa. Por ejemplo, cuando hablamos de "interés de un préstamo", el pobre deudor mirará con recelo al tipo de interés pero no tendrá la sensación de ajenidad (más que nada porque es a él al que le va a tocar pagarlo). Cuando un aficionado al Real Madrid dice que "tiene interés" en saber cómo ha quedado el Barça, lo que está expresando es que tiene cierta curiosidad en saber si el Barça ha ganado, generalmente por cuestiones matemáticas (especialmente si es un mano a mano por la Liga) pero todos tenemos claro que al madridista lo que verdaderamente le importa es cómo ha quedado el Real Madrid; el resultado del partido de los blancos en muchas ocasiones condicionará que al merengue le interese más o menos lo que haya hecho el equipo rival. En este estúpido ejemplo, vemos la connotación de ajenidad de la que hablaba antes. Por esto, tengo mis reticencias sobre el uso de la familia del concepto "interés" que decía antes. ¿Qué es lo que se me viene a la mente cuando leo "Autoridad de Control Interesada"? Pues que será la interesada en multarte. Toma connotación negativa. ¿Y cuando leo "el interesado"? Pues que es alguien relativamente ajeno a los datos personales.

 Los más puristas me dirán que soy muy negativa, que me acuerde de la definición de "interesado" que recoge la temida Ley 30/1992 y que no lo vea con tanto estupor, y tienen razón pero a medias: yo que he estudiado Derecho puedo conocer esta "variante" pero es que el Reglamento afecta a todo kiski, también a los que no tienen ni papa de Derecho, y son sus datos los que también se verán envueltos en esta espiral legislativa. Tres narices les importará la vuelta de tuerca que hace una de las Leyes más tediosas que se han inventado jamás; tirarán por la tangente y, como mucho, irán a la RAE y se encontrarán con esto:

Interesado:

 1. adj. Que tiene interés en algo. (Ajenidad)

2. adj. Que se deja llevar demasiado por el interés, o solo se mueve por él. (Negativo)

3. adj. Dicho de una persona: Que ostenta un interés legítimo en un procedimiento administrativo y, por ello, está legitimada para intervenir en él. (Ajenidad)

Y si buscamos el concepto que hemos estado usando hasta ahora (titular), lo que vemos en el DRAE es esto (selecciono las acepciones más adecuadas para este post):

Titular:

1. adj. Dicho de una persona: Que ejerce un cargo o una profesión con título o nombramiento oficiales. Juez, médico, profesor universitario titular. 

2. adj. Dicho de una persona o de una entidad: Que tiene a su nombre un título o documento jurídico que la identifica, le otorga un derecho o la propiedad de algo, o le impone una obligación. U. t. c. s. El titular del carné. La titular de la cuenta bancaria.

4. adj. Dep. Dicho de un jugador: Que interviene habitualmente en la formación de su equipo. 

Para ir terminando el post: estamos usando el mismo concepto tanto para alguien que se verá directamente afectado por el tratamiento de los datos como para un organismo externo cuyo papel es obviamente importante, pero distinto. ¿No chirría un poco esto? Personalmente creo que, en un partido de fútbol, a todos nos gusta ser titulares y no chupar banquillo. Y en los temas que afectan a los usos que se dan a nuestros datos personales, permitidme que reivindique que todos seamos titulares y no meros interesados; los tratamientos de datos personales, el uso de la información personal que generamos y vamos dejando por el camino, como las miguitas de Pulgarcito, tienen consecuencias e implicaciones en las que debemos participar activamente e involucrarnos, no esperar a que el Míster nos llame para calentar en la banda.

Y hasta aquí llega mi reflexión de hoy; espero haberos dejado rayados y con ganas de formar parte del once inicial en este partido.

Que paséis una estupenda semana, queridos amigos. ;-)

Pdt: Mientras escribo estas líneas escucho a un político hablar de "ajustes" en vez de recortes; ¡qué casualidad menos casual! (y qué hartismo más grande...).

El curioso caso del Responsable Irresponsable

¡Hola de nuevo!

Hay una cosa que siempre le repito incesantemente al #iurisobri cuando viene a casa y saca la pila de juguetes que tiene preparados para sus estancias aquí: "mira bien dónde guardas tus juguetes y revisa que, en el lugar en el que los dejes, los puedas encontrar  en perfecto estado para que puedas seguir jugando con ellos". Obviamente, cuando le digo esto al pequeño #iurisobri no es porque yo tenga pensado vender o romper ninguno de sus juguetes cuando él no está; lo que pretendo con esto es que entienda que las cosas hay que conservarlas bien (entre otras cosas, porque cuestan dinero que no sale de los árboles, como dice mi madre) y para inculcarle un cierto grado de responsabilidad con sus cosas. Esto que parece obvio, cuando somos mayores no siempre lo tenemos presente, y sobre todo cuando hablamos de datos personales. Tendemos a "independizarnos" de los consejos y órdenes de nuestros padres cuando entramos en la edad del pavo y, a veces, arrastramos esa rebeldía hasta bien mayorcitos, aunque en ese caso, más que por rebeldía, suele ser por comodidad o dejadez. 

Ejemplos de esto nos encontramos cuando dejamos papeles con datos personales (facturas a clientes, contratos, hojas de encargo, currículums...) en sitios no adecuados (en la enmarañada mesa de la oficina o en algún almacén mugriento: no pongas esa cara, seguro que conoces algún caso de algún amigo o conocido que lo haga) o cuando contratamos un hosting o nos "subimos a la nube" sin mirar apenas las condiciones. 

Ahora que estamos todos locos por ser punteros en el uso de apps y en tener la web más bonita, es bueno recordar que la comodidad no puede ser sinónimo de dejadez o irresponsabilidad.

Siempre digo que creo que en la LOPD se usó el concepto de "Responsable" con una intención muy clara: incidir en la especial responsabilidad que conlleva cualquier tratamiento de datos personales. Yo lo veo una jugada maestra que pasa desapercibida para la mayoría de nosotros: tenemos la responsabilidad de ser responsables (valga la redundancia) si queremos tratar datos personales, y no hay más. Como esto de ser responsables lo vamos aprendiendo con el tiempo y no suele ser fácil, el legislador nos dio unos pequeños puntos para ir entrando en vereda, y lo llamó "Reglamento de la LOPD". Ya sabemos que nadie nace sabiendo, y menos en aquello que llaman "madurar". A estas alturas de la película y a pesar de tener una guía obligatoria para llegar a ser un buen Responsable, seguimos muchas veces olvidándonos de la guía, lo que implica, además de que estamos fuera de la Ley, que nos exponemos a riesgos innecesarios que pueden dar al traste con nuestra idea de negocio. Pero es que además, creo que la elección del legislador de la palabra "Responsable" va en otro sentido también: en ser responsable de asumir las consecuencias de no ser responsable (valga la redundancia, de nuevo). Si no somos lo suficientemente responsables para cuidar nuestras cosas (o las cosas de otros que custodiamos), vendrá la segunda parte de la responsabilidad, que será pagar la multa. 

Cuando nos olvidamos de ser Responsables (con la doble vertiente que he señalado), pasan cosas como que bajamos una aplicación para gestionar la webcam que hemos colocado en nuestro negocio sin darnos cuenta de que los servidores están, por ejemplo, en medio de la sabana africana, y estamos enviando imágenes de terceros a un terreno desconocido sin tomar ninguna medida para proteger a los pobres que salgan en las imágenes o a nosotros mismos. Y estamos dejando de ser responsables (según la primera vertiente), pero, a la vez, estamos ganando puntos para ser responsables (según la segunda vertiente). Es como si el #iurisobri deja sus juguetes en el portal y luego se pregunta que por qué han desaparecido, solo que en el caso del Responsable Irresponsable, su omisión está afectando a la privacidad de otros y, si esas imágenes que ha "malguardado" aparecen en la red de redes, podría enfrentarse a problemas más serios. 

Para terminar el post, te lanzo una pregunta: ¿crees que eres Responsable de primera vertiente o crees que estás ganando puntos para ser Responsable de segunda vertiente?

Que pases una estupenda semana y muchísimas gracias por pasar por este rincón de la red de redes. ;-)

¡Hasta la pŕoxima!

¡Bienvenido Mr. Uber!

Hola de nuevo!

Uberliebers

El post de esta semana viene sobre ruedas: Uber ha vuelto (chan chan chan) y conozco bastante gente que estaba esperando este momento como agua de mayo, así que espero que este post sea útil a l@s uberliebers más acérrimos. 

;-)

El primer vistazo es inevitable echarlo a su política de privacidad, que tenéis disponible en este link. Me voy a parar en los aspectos que más me han llamado la atención y en los que puede que no caigas de primeras si decides "ubertizarte". Vamos a ello:

USA

Lo primero que me ha llamado la atención es que la Declaración de Privacidad (como lo llaman ellos), es en general la misma, residas en USA o fuera. Si estás fuera de USA (da igual que andes por Europa o por la Conchinchina), la que gestiona tus datos es Uber V.B; mientras que si estás por la tierra de Obama, la que "manda" es Uber U.S. Parece que Uber no podía esperar a Privacy Shield y ha preferido curarse en salud tras el Safe Harbourazo; lo que está por ver es si esta estrategia inicial es verdaderamente efectiva (recordemos que, aunque los datos se queden en Europa, eso no implica 100% que ya estemos cumpliendo la normativa de protección de datos que nos corresponde). De hecho, al final de la Declaración de Privacidad, a traición,  te encuentras con esto: "Podemos transferir la información descrita en esta Declaración a, y procesarla y almacenarla en, Estados Unidos y otros países, algunos de los cuales pueden tener leyes de protección de datos de menor protección que la región en la que reside. Cuando sea este el caso, tomaremos las medidas apropiadas para proteger su información personal de acuerdo con esta Declaración" (Ups, con lo bonito que era todo al principio).

Hecha esta apreciación, nos encontramos con una nueva "separación": la declaración de privacidad aplicable a los conductores y la que es aplicable a los usuarios; si eres conductor y usuario, llevas el pack completo: se te aplican ambas en función de la orilla desde la que te asomes. Así, Uber nos dice, textualmente, lo siguiente:  

"Si usted interactúa con los Servicios tanto como Usuario y como Conductor, se aplicarán las declaraciones de privacidad respectivas a sus diferentes interacciones".

Bien, como este post va de la Declaración de Privacidad que afecta al usuario NO CONDUCTOR, voy a dejar esto en stand by a la espera de poder entender las diferencias entre una y otra. Y luego ya me plantearé cómo casa esto. :-P

Ahora vamos a ver la información que recopilan si te asomas a la orilla como usuario NO CONDUCTOR: 

- Información de tu ubicación. 

Localización

Ojo que esto va en dos vías: 1) recogen datos "desde la aplicación Uber utilizada por el conductor" (es decir, que tu "transportista" es el chivato) y 2) desde tu propio móvil, que les dará info sobre dónde está tu dispositivo (y por ende, tú, a no ser que tengas la mala suerte de que te lo haya tangado algún/a amig@ de lo ajeno), información que Uber obtiene a excepción de que tengas la app apagada (es decir, que si no cierras la app, aunque no estés usándola, están también obteniendo tus coordenadas).

Agenda de Contactos

- Información de tus contactos: 

Si le das permiso a la app para esto, obtienen una bonita copia de toda tu agenda; práctica que a mí no sólo no me gusta personalmente sino que además veo muy lejos de cumplir con la normativa (¿dónde queda la bonita figura del consentimiento?).

- Datos de llamadas y SMS:

Smartphone

Vale, salvo Mariano, ya muy poca gente usa los SMS, pero esto tiene su importancia. Textualmente Uber indica que "Nuestros Servicios facilitan las comunicaciones entre los Usuarios y los Conductores. Para facilitar este servicio, recibimos datos de llamadas, incluyendo la fecha y hora de la llamada o mensaje SMS, los números de teléfono de las partes y el contenido del mensaje SMS". Pues hombre, yo entiendo que Uber quiera ver que el servicio es el adecuado y demás, pero me parece excesivo acceder al contenido de los mensajes, más que nada por aquello que pone en el art.18.3 de la Constitución Española. "Puedo" entenderlo (que no significa que lo apruebe, ojo y RE-OJO), cuando estás usando una app específica, pero el servicio SMS no lo presta Uber, es ajeno a la app. Además, que si te haces colegui de tu conductor de referencia y os enviáis mensajitos de amor, no veo en qué va a facilitar Uber el servicio accediendo a los churrymensajes; en todo caso estaría de sujetavelas, por decirlo de una forma elegante. Parece que al art.18.3 le llueven guantás sin mano de todas partes, y no, eso NO MOLA NADA. 

Una cosa que sí es de agradecerles es que hayan habilitado una zona explicativa especifica para los usuarios de su app: una para los Iphoneros y otra para los Androidianos. La pega es que están en inglés, pero oye, menos da una piedra. 

Me reservo para otro post los aspectos de una y otra zona explicativa para no extenderme en esta entrada, pero dejo este aviso: en un primer vistazo veo alguna que otra diferencia en los datos recopilados de los Iphoneros y los de los Androidianos. Si es que ahora las diferencias entre las personas no las marcan nuestros orígenes ni el color de nuestra piel o pelo; ahora lo que nos diferencia es el S.O que usamos. 

 VS

Android  

   

Iphone

   

Y con esta reflexión tan profunda venida de mis más profundos adentros, cierro el post de hoy; muchas gracias por pasarte por este rinconcito de la web. Que tengas una estupenda semana, que se te pase el descuadre por la hora que nos han sisado y que seas feliz, que se te ve buena gente. ;-)

Uber 

Hasta la próxima, my friend!