viernes, 15 de julio de 2016

La referencia al término “pseudo” - ¿Pseudo… qué?

Resumen: La utilización del término “seudo” o “pseudo” para los abogados especialistas en protección de datos tiene diferentes utilidades, siendo dicho término utilizado para referirse, desde hace bastante tiempo atrás, a las denominadas “pseudo-auditorías de protección de datos”, pero también, desde la entrada en vigor del reglamento europeo de protección de datos, para disponer de un nuevo término asociado a la identificación de personas y, por ende, al tratamiento de los datos personales e información asociada a aquella. El presente artículo pretende efectuar un desglose de términos respecto a los cuales, compañeros de profesión, tal vez, futuros DPO´s, serán sus compañeros de viaje.

Desde hace un mes ya disponemos del Reglamento Europeo de Protección de Datos, un nuevo marco normativo base y obligatorio para todos los estados miembros, el cual, introduce un término denominado “seudonimización”[1] que, si bien, es definido por el propio reglamento, el mismo, tiene especial “dificultad” tanto para su asimilación como para su aplicación directa.  Partiendo de la definición de la RAE y poniendo en comparación el término “seudo”[2] y “anonimizar”[3], el primero de ellos, hace referencia al verbo falsear, mientras que el segundo, hace referencia al verbo eliminar, teniendo ambos un punto en común en aplicación al reglamento, la identidad, en este caso del denominado “interesado.”[4]

Siguiendo con el término expresado en el propio reglamento, destaca la principal esencia del término atribución, como nexo causal, siendo éste canalizador de la técnica que permitirá la identificación indirecta del interesado, es decir, la modificación de atributos asignados entre la información adicional del interesado y los datos personales del mismo. Sin embargo, esta técnica de seudonimización no elimina la identificación, puesto que el interesado puede ser perfectamente identificado de forma indirecta.

Ligado al precedente, una de las mayores novedades introducidas por el reglamento es la no aplicación del mismo a los interesados que no pueden ser identificados mediante la anonimización, aquella técnica tendente a hacer irreversible durante el tratamiento de la información contenida la identidad del interesado[5]. Por tanto, la anonimización como la seudonimización, hacen referencia al tratamiento, entendiendo por éste, desde el origen del dato de carácter personal e información adicional hasta su supresión o destrucción. Sin embargo, esta exención contemplada en el Reglamento “choca frontalmente” con la aplicación que, hasta la fecha venía efectuándose, especialmente, en el ámbito sanitario y, más concretamente, en las investigaciones dentro del mismo, puesto que, a pesar de la existencia de la técnica de anonimización, el interesado debía ser informado con la finalidad, en virtud del principio de calidad de datos, respecto a las consecuencias que uso de dicha técnica de anonimización supondría[6].  

El problema radica en la falta de normas prescriptivas que establezcan los distintos medios que permitan aplicar una u otra técnica. En España, la referencia primordial, la encontramos en la Ley 14/2007, de 3 de julio, de Investigación Biomédica, en cuyo artículo 3 c) define el término anonimización como aquel proceso por el cual deja de ser posible establecer por medios razonables el nexo entre un dato y el sujeto al que se refiere. Si desglosamos el significado, el término causal es la “razonabilidad”, la cual hemos de ponerla en estrecha relación con múltiples extremos, y en esencia con el Considerando (26) de la Directiva 95/46[7], la cual quedará derogada con la entrada en vigor del Reglamento el 28 de mayo del 2018, siendo extensiva, como peculiaridad dentro de la misma numeración de considerando del Reglamento donde reza: Para determinar si existe una probabilidad razonable que se utilicen medios para identificar a una persona física, deben tenerse en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento como los avance tecnológicos.    

Afectos al precedente nexo causal, múltiples factores, muchos de los cuales son indeterminados y, respecto a los cuales, el responsable del tratamiento deberá hacerse ecos de los mismos, se ha de partir de la estimación para acomodar el nexo causal de razonabilidad, algunos de ellos, ya puestos de relieve en la jurisprudencia en cuanto al ámbito objetivo de aplicación:

§  El primer elemento objetivo de delimitación del ámbito de aplicación es la identificación de una persona a través de la información obtenida por separado o conjuntamente de los datos personales recabados, sea ésta tratada en ficheros automatizados o manuales e indistintamente del soporte utilizado. Por lo tanto, a partir de los datos que dispongamos, sean éstos tomados separadamente o conjuntamente, aquellos nos deben mostrar una información que permita identificar a una persona física. Información, cuyo concepto jurídico -libertad de información- se reconoce y protege a través del artículo 20.1 d) CE al establecer como derecho fundamental del individuo el poder “comunicar y recibir libremente información”, siendo éstas limitadas “en los preceptos de las leyes que lo desarrollen y, especialmente, en el derecho al honor, a la intimidad.”
§  Que la información contenida esté destinada a un fichero, entendiéndose como tal a un conjunto organizado de datos personales. “No basta, sin embargo, la realización de una de estas actuaciones para que la Ley despliegue sus efectos protectores y las garantías y derechos del afectado. Es preciso algo más: que las actuaciones de recogida, grabación, conservación, etc. se realicen de forma automatizada o bien, si se realizan de forma manual, que los datos personales estén contenidos o destinados a un fichero.”
§  Que dicho fichero sea tratado en virtud de las características de tratamiento que establece la normativa al efecto, exigiéndose el establecimiento de unos determinados criterios, tanto en la estructura como en la organización del fichero.
§  Que en base a los criterios precedentes, la búsqueda, consulta, tratamiento, interconexión o cualquiera operación técnica o manual, consistente o que albergue datos de carácter personal no sea complicada, difícil o ardua, tanto en tiempo como en forma. En conclusión, que las operaciones que se efectúen sobre un fichero que contenga información personal sean realizadas bajo parámetros y/o criterios sencillos que posibiliten un tratamiento -consulta, búsqueda, interconexión, etc.- y que permitan identificar los datos contenidos en ellos con una persona física e identificable.
§  Se hace referencia a lo que se denomina “vida” del dato de carácter personal, es decir, desde que el sujeto obligado por la normativa de protección de datos obtiene, bien de forma directa bien de forma indirecta, la información que le permite identificar al individuo a través del tratamiento en un fichero, sea cual fuere el soporte utilizado, hasta su desaparición -cancelación, bloqueo, supresión.-

Adicionalmente, no sólo el/los elemento/s objetivos, tal y como establece el Reglamento en su Considerando (26) sino factores indeterminados, en virtud de previsiones futuras al estado de la técnica o novedades tecnológicas, debiendo efectuar revisiones periódicas si la técnica aplicada es acorde a evitar o encuadrar las técnicas de tratamiento establecidas, una bajo aplicación directa del Reglamento -seudonimización-, la otra exenta -anonimización-, dado que técnicas de aleatoriedad -algoritmos-, cifrados -hash; clave privada-; privacidad diferencial o, inclusive la propia seudonimización, pudieren no ser acordes a las previsiones dispuestas en el propio Reglamento. 

A pesar que el Reglamento ha introducido el término objeto del presente artículo, exonerando el término estrechamente ligado de anonimización, en especial, a situaciones laborales, médicas y otras relacionadas, el ámbito de profiling y la disposición de información adicional asociada -big data- respecto a la cual bajo procesos de reversibilidad o ingeneria inversa poder identificar a un interesado es el principal escollo a salvaguardar, puesto que el Big Data, especialmente, el denominado Data Lake, configurado a partir de datos destructurados, aparentemente sin atribución de identificación, pudiere ser fuente de reversibilidad en contrario a través de vigilancia estratégica bajo parámetros de identificación.

La cuestión, una entre las miles que deja en la “nube”, es si las distintas técnicas expuestas, permiten desde su origen evitar la aplicación directa del Reglamento o, si por el contrario, es necesario definir claramente y documentalmente, los tratamientos y las medidas a establecer como previsión de incompatibilidades futuras tecnológicas. Así mismo, si la seudonimización, siendo ésta una medida de seguridad en el tratamiento, tiene cabida en la acepción y establecimiento de medidas organizativas y técnicas adicionales, puesto que dicha técnica, ya de por sí, se encuadra dentro de dicho característica, puesto que el Reglamento obliga a que el/los atributos establecidos en la diferenciación de dato personal e información adicional relacione dichas medidas organizativas y técnicas.

Ahora bien, y haciendo alusión a tiempos pasados, donde el término pseudo, relacionado con las auditorías de protección de datos -falsedad en el servicio jurídico prestado-, era un “foco” de intrusión, de irreversibilidad a la correcta adecuación, es importante señalar, que gracias al Reglamento dicho término pudiere ser erradicado en el ámbito referido, dado que el DPO actúa como garantista. La propia Agencia de Protección de Datos, en su afán de ampliar nuevos abanicos de comunicación e inter-actuación con los ciudadanos -interesados- y obligados -empresas- debería hacer especial hincapié en la seguridad de disponer de compañeros de profesión o profesionales especializados que en un futuro próximo evite que se siga usando el término pseudo para calificar, por así decirlo, a la inocua adaptación existente. También es necesaria que nuestra profesión sea abanderada para evitar e informar de lo que dentro de dos años se avecina, sin olvidarnos, como he puesto de manifiesto en alguna ocasión, respecto al paradigma establecido por el propio Reglamento en cuanto a sellos de calidad y fundaciones sin ánimo de lucro que pudieren intervenir como intermediarios.        

Para concluir un artículo, que califico como arduo y denso, solamente hacer referencia a la necesidad obligatoria para determinar el tratamiento y la posibilidad de técnicas tendentes a anonimizar la identidad del interesado o, por el contrario, a reducir la vinculación de identificación, las denominadas Evaluaciones de Impacto y el Privacy Desing tanto por diseño como por defecto[8], al igual, que será de suma importancia a implementación o documental al uso respecto a las normas y directrices[9] establecidas en canto a las medidas organizativas, legales y técnicas tendentes a la protección de la información, fruto del principio de transparencia. De igual forma, la necesidad de ampliar, el tan de moda, Compliance Penal[10] para evitar o atenuar una posible responsabilidad derivada del tratamiento ilícito en el tratamiento de datos personales.

Sé que iba a concluir, pero no quiero pasar por alto, un ámbito “olvidado” y respecto al cual las técnicas de seudonimización son vitales. Ese ámbito es el periodístico y las fuentes junto con la información adicional que sobre un interesado se disponga. Es de sobra conocida las directrices en este ámbito, por parte de la autoridad inglesa -ICO-[11], pero sin embargo, el Reglamento se ha quedado muy corto, por no decir, en “blanco” al trasladar la responsabilidad legislativa a los distintos estados en este ámbito[12].


                                                                                       Efrén Santos Pascual
                                                                                      Asociado ENATIC
                                                                                     Socio-Abogado
                                                                                      ICEF Consultores
                                                                  



[1] Artículo 4-5) “Seudonimización”: el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.”
[2] 1. elem. compos. Significa 'falso'. Seudópodo o pseudópodo, seudocientífico o pseudocientífico.
[3] 1. tr. Expresar un dato relativo a entidades o personas, eliminando la referencia a su identidad.
[4] Definición que hay que extraerla del propio Reglamento cuando define “datos personales”: toda información sobre una persona física identificada o identificable […]”
[5] “Considerando (26) […] Por lo tanto, los principios de protección de datos no deben aplicarse a la información anónima, es decir, a la información que no guarda relación con una persona física, identificada o identificable, ni a los datos convertidos en anónimos de forma que el interesado, no sea identificable, o deje de serlo. En consecuencia, el presente Reglamento no afecta al tratamiento de dicha información anónima […]”
[6] Directrices europeas sobre confidencialidad y privacidad en la asistencia sanitaria dentro del Proyecto EuroSOCAP (2003-2007). “La anonimización no proporciona una alternativa a la obtención del consentimiento explícito, sino que más bien es una protección adicional para que la información confidencial sea usada únicamente de forma legítima o divulgada con consentimiento […] la anonimización de los datos es, por sí misma, un procesamiento de los mismos. Lo que es más, la información previa no debería ser usada como una excusa para informar a los sujetos de los datos de la finalidad del procesamiento pretendido tras haber sido éstos anonimizados. En realidad la anonimización debería ser usada en situaciones en las que los datos no necesiten ser guardados de forma personal y no se sepa cuáles son las finalidades para las que van a ser usados.”
[7] “Que los principios de la protección deberán aplicarse a cualquier información relativa a una persona identificada o identificable; que, para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona, para identificar a dicha persona; que los principios de la protección no se aplicarán a aquellos datos hechos anónimos de manera tal que ya no sea posible identificar al interesado; que los códigos de conducta con arreglo al artículo 27 pueden constituir un elemento útil para proporcionar indicaciones sobre los medios gracias a los cuales los datos pueden hacerse anónimos y conservarse de forma tal que impida identificar al interesado;
[8] Considerando (78) “La protección de los derechos y libertades de las personas físicas con respecto al tratamiento de datos personales exige la adopción de medidas técnicas y organizativas apropiadas con el fin de garantizar el cumplimiento de los requisitos del presente Reglamento. A fin de poder demostrar la conformidad con el presente Reglamento, el responsable del tratamiento debe adoptar políticas internas y aplicar medidas que cumplan en particular los principios de protección de datos desde el diseño y por defecto. Dichas medidas podrían consistir, entre otras, en reducir al máximo el tratamiento de datos personales, seudonimizar lo antes posible los datos personales, dar transparencia a las funciones y el tratamiento de datos personales, permitiendo a los interesados supervisar el tratamiento de datos y al responsable del tratamiento crear y mejorar elementos de seguridad […]
[9] Considerando (77) “Se podrían proporcionar directrices para la aplicación de medidas oportunas y para demostrar el cumplimiento por parte del responsable o del encargado del tratamiento, especialmente con respecto a la identificación del riesgo relacionado con el tratamiento, a su evaluación en términos de origen, naturaleza, probabilidad y gravedad y a la identificación de buenas prácticas para mitigar el riesgo, que revistan, en particular, la forma de códigos de conducta aprobados, certificaciones aprobadas, directrices dadas por el Comité o indicaciones proporcionadas por un delegado de protección de datos. El Comité también puede emitir directrices sobre operaciones de tratamiento que se considere improbable supongan un alto riesgo para los derechos y libertades de las personas físicas, e indicar qué medidas pueden ser suficientes en dichos casos para afrontar el riesgo en cuestión.”
[10] UNE-ISO 19600:2015 Sistemas de gestión de compliance. Directrices para implantar, evaluar, mantener y mejorar un sistema de gestión de compliance eficaz y que genera respuesta por parte de la organización.
[11] Data protection and journalism: a quick guide.
https://ico.org.uk/media/for-organisations/documents/1547/data-protection-and-journalism-quick-guide.pdf
Data protection and journalism: a guide for the media.
https://ico.org.uk/media/for-organisations/documents/1552/data-protection-and-journalism-media-guidance.pdf
[12] Artículo 85 Reglamento. Los Estados miembros conciliarán por ley el derecho a la protección de los datos personales en virtud del presente Reglamento con el derecho a la libertad de expresión y de información, incluido el tratamiento con fines periodísticos y fines de expresión académica, artística o literaria. 2.Para el tratamiento realizado con fines periodísticos o con fines de expresión académica, artística o literaria, los Estados miembros establecerán exenciones o excepciones de lo dispuesto en los capítulos II (principios), III (derechos del interesado), IV (responsable y encargado del tratamiento), V (transferencia de datos personales a terceros países u organizaciones internacionales), VI (autoridades de control independientes), VII (cooperación y coherencia) y IX (disposiciones relativas a situaciones específicas de tratamiento de datos), si son necesarias para conciliar el derecho a la protección de los datos personales con la libertad de expresión e información. 3. Cada Estado miembro notificará a la Comisión las disposiciones legislativas que adopte de conformidad con el apartado 2 y, sin dilación, cualquier modificación posterior, legislativa u otra, de las mismas.

viernes, 10 de junio de 2016

Probamos el nuevo reglamento europeo de protección de datos

Con ocasión del lanzamiento del nuevo prototipo europeo de protección de datos, los rumores y la espera han terminado. Nos subimos en él para probarlo y contaros las sensaciones. 

Descubrimos y probamos el nuevo reglamento de protección de datos europeo. Análisis de comportamiento y perspectiva en la versión full-time. Ventajas e inconvenientes. Perspectivas de aplicación del reglamento.

Como el típico artículo especializado de motor y aprovechando el reciente Salón Legislativo Europeo celebrado el pasado 4 de mayo, en el cual se presentó, a través del DOCE, el gran lanzamiento del nuevo reglamento de protección de datos, el cual ya se encuentra disponible en su gama comercial de oferta de lanzamiento en dos tipo de versiones, full-equipe para grandes empresas y basic para pymes, con equipamientos de serie en virtud de dichas versiones, pudiendo los usuarios disponer del mismo en los próximos dos años con versiones ampliadas y equipamientos extras que irán conformando su versión definitiva.  


Lo primero que resalta del Reglamento es la intención de presentar dos versiones diferenciadas, puestas de manifiesto en el considerando (13)[i], al efectuar una referencia de intenciones -minimizar las obligaciones y deberes- a microempresas y Pymes, pero no más lejos de la realidad, puesto que si nos acomodamos en aquél, la versión exclusivamente será full-equipe, salvo que la Comisión considere efectuar versiones con equipamiento basic a través de los actos delegados[ii]. Por tanto, a fecha presente, solamente existe la versión full-time con equipamiento de serie indistintamente del destinatario, puesto que el Reglamento no define, ni cualitativa ni cuantitativamente, lo que considera “tratamiento no ocasional” ni “observación habitual y sistemática”, destacando entre su equipamiento: el registro de actividades de tratamiento, designación de delegado de protección de datos, transparencia, sellos y marcas de protección de datos, y otros adicionales. Así mismo, al menos, el reglamento extiende el ámbito de aplicación a empresas fuera de la Unión Europea[iii] -elaboración de perfiles y ofrecimiento bienes/servicios- y establece el concepto de “seudonimización.”

Al margen de la versión, la primera impresión es buena, con una estética que pretende acoplarse a los nuevos tiempos, dándole un “aire” mejorado de la antigua versión -Directiva 95/46- pero que no alcanza a cumplir las perspectivas que del mismo se esperaba. Carece y se echa de menos múltiples definiciones, tales como: tratamiento a gran escala, verificación, mercadotecnia, información adicional, utilizando términos básicos como “información”, “dato” y “dato de carácter personal” que, en muchos casos, son mezclados provocando confusión.

El Reglamento cuenta con una capacidad de almacenaje que lo convierte en el puntero del sector, ya que todo tiene cabida a través del sistema “interés público” o “misión de interés público”, concepto indeterminado, que puede ser la “tapadera” o “embudo” en el que amparar cualquier situación afecta al tratamiento de datos personales, esperando que legislativamente, el requisito de necesidad y proporcionalidad para calificar el tratamiento o misión de interés público, sea suficiente para mantener la calificación de puntero en cuanto a capacidad de carga.

En cuanto al consumo, elevado y excesivo, en todas sus variantes, tanto para el sector público en su ámbito legislativo -el nuevo gobierno tendrá mucho actividad legislativa al respecto-; como en el sector privado, en su ámbito organizativo y técnico, repercutiendo en un sobrecoste, con la finalidad aparente de dotar de mayor seguridad al tratamiento de datos personales.

En cuanto al sistema de seguridad, aparentemente potente, destacando la comunicación de brechas de seguridad y dotando de sistema Isofix para menores, si bien bajo el complejo sistema de verificación, no autenticación, y su compleja ingeniería para acomodarlo, efectuando salvedad para lo que se denomina “contexto de servicios preventivos o de asesoramiento ofrecido directamente a los niños.”  Al presente sistema de seguridad, ha de sumarse, el sistema de transparencia que, aparentemente, obligará a los responsables y encargados de tratamiento a disponer de información respecto al sistema de protección, tanto legal, organizativo y técnico -otro enlace más en Páginas Web.-

Una novedad interesante es que la versión del nuevo reglamento pretende ser una copia del sistema establecido para el cumplimiento de la normativa de prevención del blanqueo de capitales y financiación del terrorismo -LBCFT-, en cuanto al nombramiento de un intermediado que sea el contacto con la autoridad de control -DPO-, asesorar en el ámbito propio de aplicación de la normativa, disponer de la política interna -organizativa y técnica- respecto al tratamiento, lo que provoca eliminar o acoplar el denominado “documento de seguridad” y “registros de ficheros”, junto a los Impactos de Evaluación así como los Privacy-Design. En síntesis, idéntica similitud y, previsiblemente, los DPO al igual que los intermediarios con el SEPBLAC deberán darse de alta en el sistema de la Agencia de Protección de Datos, lo que implica un desarrollo legislativo respecto al presente ámbito.

La nueva versión dará lugar a la proliferación de talleres de adecuación “piratas”, más aún con la exigencia o recomendación sibilina de certificaciones, códigos de conducta, marcas y sellos de protección de datos, unido al poder conferido a entidades, organizaciones o asociaciones sin ánimos de lucro -FACUA, OCU, u otras que se constituyan con el objeto social de defensa de intereses en protección de datos.- Visto, igualmente, el lado positivo, al menos, se reconoce la práctica de abogados en dicha materia como pilar para ostentar la condición de DPO.

Por extensión y porque se necesita más tiempo para probar en diferentes terrenos el nuevo reglamento, un simple inciso respecto a las responsabilidades y, especialmente, a la posibilidad de los interesados de acudir a la vía jurisdiccional directamente en reclamación de daños y perjuicios, lo que puede suponer que el interesado no reclame directamente por una posible vulneración en el tratamiento de datos personales, sino que acuda a la vía jurisdiccional, tal vez, basándose como criterio objetivo en la multa sancionadora establecida en el propio reglamento, convirtiéndose tal vez en una resolución amistosa inter-partes (responsable vs interesado) que, en un determinado momento, pudiere compensar la sanción máxima entre 20 M € hasta un 4% de volumen de negocio. De igual forma, la posibilidad de sancionar penalmente, tendrá repercusión en los tan de moda Compliance Penal. Para concluir, solamente, insertar la curiosidad, del mecanismo de resolución amistosa entre el responsable y la autoridad de control establecida en el considerando (131)[iv].

Ventajas

     Intención de dotar de un nuevo diseño y seguridad el tratamiento de datos personales.
Aplicación fuera de la Unión.
 Reconocimiento de expertos o abogados especializados en la materia.
Eliminación de trámites administrativos y similitud al sistema regulado para la prevención del blanqueo de capitales.

Inconvenientes

    Múltiples extras, complejos y que precisan de una mejor configuración, especialmente, para microempresas y PYMES.
Consumo excesivo, legislativo, económico y de recursos humanos.
Posibilidad de aparición de nuevos servicios similares al actual coste cero de adecuación
Posible colapso del orden jurisdiccional por reclamaciones de daños y perjuicios.

La puntuación media que obtiene el reglamento tras efectuar una prueba mínima de kilometraje es de 6, debiendo ajustar dicha puntuación con el transcurso del tiempo, una vez se vaya configurando para su transposición a nivel estatal el articulado contenido en el mismo, sin olvidarnos que el Reglamento es de aplicación directa a los Estados.



                                                                                                               Efrén Santos Pascual
                                                                                            Socio - Abogado TIC
          Asociado ENATIC
                                                                                            ICEF Consultores
                                                                                              www.icefconsultores.com
                                                                                             @efrensantos_tic
                                                                                                                                                                                                                        

[i] “[…] Con objeto de tener en cuenta la situación específica de las microempresas y las pequeñas y medianas empresas, el presente Reglamento incluye una serie de excepciones en materia de llevanza de registros para organizaciones con menos de 250 empleados […]”
[ii] Considerando (167) A fin de garantizar condiciones uniformes de ejecución del presente Reglamento, deben conferirse a la Comisión competencias de ejecución cuando así lo establezca el presente Reglamento. Dichas competencias deben ejercerse de conformidad con el Reglamento (UE) n.º 182/2011 del Parlamento Europeo y del Consejo. En este contexto, la Comisión debe considerar la adopción de medidas específicas para las microempresas y las pequeñas y medianas empresas.
[iii] Considerando (23) y (24), destacando que “[…] el tratamiento de datos personales de interesados que residen en la Unión por un responsable o un encargado no establecido en la Unión debe regirse por el presente Reglamento si las actividades de tratamiento se refieren a la oferta de bienes o servicios a dichos interesados, independientemente de que medie pago […] debe determinarse si es evidente que el responsable o el encargado proyecta ofrecer servicios a interesados en uno o varios de los Estados miembros de la Unión. Si bien la mera accesibilidad del sitio web del responsable o encargado o de un intermediario en la Unión, de una dirección de correo electrónico u otros datos de contacto, o el uso de una lengua generalmente utilizada en el tercer país donde resida el responsable del tratamiento, no basta para determinar dicha intención, hay factores, como el uso de una lengua o una moneda utilizada generalmente en uno o varios Estados miembros con la posibilidad de encargar bienes y servicios en esa otra lengua, o la mención de clientes o usuarios que residen en la Unión, que pueden revelar que el responsable del tratamiento proyecta ofrecer bienes o servicios a interesados en la Unión.”
[iv] “En casos en los que otra autoridad de control deba actuar como autoridad de control principal para las actividades de tratamiento del responsable o del encargado pero el objeto concreto de una reclamación o la posible infracción afecta únicamente a las actividades de tratamiento del responsable o del encargado en el Estado miembro en el que se haya presentado la reclamación o detectado la posible infracción y el asunto no afecta sustancialmente ni es probable que afecte sustancialmente a interesados de otros Estados miembros, la autoridad de control que reciba una reclamación o que detecte situaciones que conlleven posibles infracciones del presente Reglamento o reciba de otra manera información sobre estas debe tratar de llegar a un arreglo amistoso con el responsable del tratamiento y, si no prospera, ejercer todos sus poderes […]”

martes, 3 de mayo de 2016

Profecía sobre Robótica e Inteligencia Artificial

Según los expertos “descifradores” de las profecías de Nostradamus -astrólogo y médico francés del siglo XVI-, la Centuria Sexta - Cuarteta LXXXI contiene la predicción sobre la robótica e inteligencia artificial:

Llanto, gritos lamentos, alaridos, terror.
Corazón inhumano, cruel, negro y transido:
Leman, las Islas, de Génova los mayores,
Sangre derramada, frío, hambre, para nadie perdón

Más allá de utilizar a Nostradamus y su cuarteta de mero conductor ante una realidad presente, aunque no del todo visible o apreciada en su magnitud, sí por el contrario, la profecía alcanza su repercusión en cuanto a la nula o escasa regulación, puesto que solamente existe una Directiva relativa a las máquinas -Directiva 2006/42/CE-, la cual vino a ampliar y/o modificar la anticuada Directiva 98/37/CE, siendo su motivación principal, por una parte, permitir, la libre circulación de las máquinas en el mercado interior y, por otra parte, garantizar un nivel elevado de protección de la salud y de la seguridad. A dicha directiva, la cual “principalmente” hace alusión a las máquinas industriales, se les unen normas estandarizadas, tales como: UNE-EN ISO 13482:2014, que especifica los “requisitos y las directrices para un diseño intrínsecamente seguro, las medidas de protección y la información para el uso de robots de asistencia personales”, especialmente: los robots móviles de servicio; los robots de asistencia física y los robots para el transporte de personas; las normas derivadas de la ISO 8373:2012; ISO 9787:2013; ISO 10218-2:2011, entre otras, las cuales esencialmente se circunscriben a la seguridad, control y ensayos de robots industriales.

De igual forma, la propia Directiva destaca por la regulación del proceso de comercialización y puesta en servicio, a través del marcado CE, disponiendo que el fabricante -responsable de la máquina- deberá, entre otros extremos asegurarse de que esta cumple los pertinentes requisitos esenciales de seguridad y de salud; de que esté disponible el expediente técnico correspondiente; el facilitar las informaciones necesarias -instrucciones-; llevar a cabo los oportunos procedimientos de evaluación de la conformidad; redactar la declaración CE de conformidad a lo establecido y asegurarse de que dicha declaración se adjunta a la máquina; colocar dicho marcado CE, estando obligado, a la introducción del manual de instrucciones cuando dichas máquinas tienen como destinatarios a los consumidores, siendo completada por normas estándares en este último extremo -redacción de instrucciones, estructura y contenido EN 62079:2001.-

Sin embargo, la Directiva como se ha puesto de manifiesto solo contempla los robots industriales o robots máquinas, estableciendo una mínima parte a los destinados a los consumidores, pero dentro de los mismos no contempla determinados extremos como la inteligencia artificial como elemento diferenciador o complementario de la misma. De igual forma, dicha directiva no es aplicable a otro tipo de robots como los de servicio, médicos, drones, coches inteligentes. A fecha presente, solamente disponemos de una simple diferenciación de robots[i]: industriales, que incluyen robots manipuladores secuenciales; robots de control numérico con integración sensorial pero sin planificación automática y robots inteligentes que debido a las técnicas de inteligencia artificial incorpora el análisis del entorno para toma de decisiones autónomas; y los de servicio, tele-operados, cuyo destino principal abarca campos como la cirugía, logística, defensa u otros. 


Ante esta situación, nos podemos encontrar con tres posibles responsables: creador, fabricante, consumidor, y porque no: el propio robot. La regulación de responsabilidad se centra a través de la directiva de productos defectuosos así como la normativa de defensa de consumidores y usuarios, ciertamente poco eficaz para la realidad que nos profetizan. De igual modo, podemos incluir dentro de la presente regulación la normativa respecto a productos sanitarios[ii] y los sistemas de vigilancia y fabricación. 

Ahora bien, la regulación legal -escasa, por no decir inexistente- debería ser acompañada por múltiples ámbitos coordinados -psicología, ética, medicina, programación, defensa.- La situación actual hace que se planteé, con mayor fuerza si cabe, una modificación de los derechos humanos con la finalidad de poder acotar y abarcar los nuevos retos de la sociedad actual para que, en base a ellos, poder construir una sociedad amparada y/o adaptada a la realidad, no virtual, sino “muy real.” La pregunta, sería y… por dónde comenzar: tal vez, por las tres leyes de Asimov[iii] o por los principios éticos desarrollados por la denominada roboética[iv], sumándole las diferentes percepciones cognitivas extrapolables al robot, junto con la actual disposición de determinada normativa aplicable a otros sectores de la tecnología, tales como: protección de datos, patentes, piratería, ciber-ataques. Todo en su conjunto, será la base para, al menos, disponer de un mínimo halo que permita “proteger” y “configurar” legalmente los procesos de fabricación, control, responsabilidad respecto a la configuración del robot a través del software, la toma de decisiones basadas en probabilidades y en la experiencia adquirida, y consecuentemente, la posibilidad que el software sea “persona.” 

Queda mucho camino por recorrer, pero se han de establecer diferentes puntos de inicio para poder, al menos, disponer de un boceto de aquel, simplemente, para que el corazón inhumano, cruel, negro y transido profetizado por Nostradamus sea, al menos, “girado” para evitar una desnaturalización del ser humano. Aunque creo que vamos estableciendo el camino[v].  

Efrén Santos Pascual
Socio-Abogado




[i] International Federation of Robotics (IFR)
[ii] Real Decreto Legislativo 1/2015, de 24 de julio, por el que se aprueba el texto refundido de la Ley de garantías y uso racional de los medicamentos y productos sanitarios, dado que define a producto sanitario como cualquier instrumento, dispositivo, equipo, programa informático, material u otro artículo, utilizado solo o en combinación, incluidos los programas informáticos destinados por su fabricante a finalidades específicas de diagnóstico y/o terapia y que intervengan en su buen funcionamiento, destinado por el fabricante a ser utilizado en seres humanos
[iii] Un robot no puede herir a un ser humano, ni por inacción dejar que un ser humano sufra daño. Un robot debe obedecer las órdenes impartidas por los seres humanos, salvo si viola la primera ley. Un robot debe salvaguardar su existencia, salvo cuando ésta contravenga las dos leyes anteriores.
[iv] Asegurarse el control de los humanos sobre los robots. Prevenir su utilización nociva o ilegal. Proteger los datos obtenidos por los robots. Rastrear y grabar la actividad de los robots. Brindar una identificación única a cada robot.
[v] Stanford to host 100-year study on artificial intelligence. http://news.stanford.edu/news/2014/december/ai-century-study-121614.html

La Marca de la Unión

Durante la Semana Santa entró en vigor el nuevo reglamento europeo de marca comunitaria -REGLAMENTO (UE) 2015/2424 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 16 de diciembre de 2015[1]-, más bien, de lo que a partir de ahora, se denominará Marca de la Unión. Así mismo, dicho reglamento también modifica la denominación de la Oficina de Armonización del Mercado Interior -OAMI-, pasando a denominarse Oficina de la Propiedad Intelectual de la Unión Europea.

El presente artículo, simplemente, pretende “mostrar”, de una manera esquemática debido al reducido espacio que se dispone, las principales novedades que el nuevo reglamento introduce, destacando, principalmente, las novedades afectas a múltiples extremos: Desde la modificación de escoger tres clases distintas bajo el mismo precio de tasa -900 € electrónicamente- hasta la supresión del requisito de representación gráfica para definir la marca de la Unión, pasando por el nuevo procedimiento de mediación de resolución de conflictos e incluyéndose novedades en los motivos de denegación -absolutos y relativos.-

  • Iniciamos el recorrido por la modificación en relación a la solicitud de la marca de la Unión y las tasas afectas a la misma. La solicitud electrónica de una marca de la Unión tendrá una tasa de 850 € que solamente englobará una clase. Para el caso que la solicitud abarque una clase adicional la tasa aumentará en 50 €, es decir, por la tasa anterior -900 €- se podrá solicitar una marca que abarque dos clases, debiendo abonar 150 € adicionales a partir de la tercera clase y sucesivas. El mismo precio descrito se aplicará a las renovaciones. Entre otras tasas modificadas e incluidas, destacan la tasa por el examen de la solicitud de caducidad o de nulidad -630 €-; tasas de recurso -720 €-; tasa de transformación de una marca de la Unión registrada -200 €-; y la tasa de oposición -320 €.- El reglamento incorpora las búsquedas antes de solicitar el registro, estableciéndose como tasa 12 €, la cual se multiplicará por cada número de oficinas centrales de propiedad intelectual respecto a la cual se pretenda efectuar la búsqueda previa. La solicitud de registro de una marca de la Unión solamente se presentará ante la Oficina. Así mismo, se mantiene las personas que pueden ser representantes, modificando exclusivamente el término “Estado miembro” por “Estado miembro del Espacio Económico Europeo.”
  • Los titulares de marcas solicitadas antes del 22 de junio de 2012 disponen hasta el 24 de septiembre del 2016 para ampliar los productos y servicios en los que se encuentren registrado en aras a ampliar el tenor literal genérico de la clase en que se encuentren registrados.
  • El reglamento amplia la permisibilidad a que un signo se represente de cualquier forma que se considere adecuada usando la tecnología generalmente disponible, y no necesariamente por medios gráficos, siempre que la representación sea clara, precisa, autosuficiente, fácilmente accesible, inteligible, duradera y objetiva.
  • Amplia el supuesto de violación de marca cuando el signo se utilice como nombre comercial o designación similar siempre que tal uso responda al propósito de distinguir los productos o servicios. De igual forma, el titular de una marca podrá prohibir a un tercero utilizar un determinado signo en publicidad comparativa, cuando tal publicidad sea contraria a lo dispuesto en la Directiva 2006/114/CE.
  • Se añaden dos nuevos motivos de denegación absolutos: las especialidades tradicionales garantizadas y las marcas que consistan en una denominación de obtención vegetal anterior registrada y que se refieran a obtenciones vegetales de la misma especie o de especies estrechamente conexas. Se añaden, igualmente, dos nuevos motivos de denegación relativos que permiten la posibilidad de oposición en relación a las denominaciones de origen o indicaciones geográficas. De igual forma, se suprime el término “mara notoriamente conocida” por “marca que gozara de renombre” para el supuesto de oposición basado en motivos relativos.
  • Se establece la obligación de la Oficina de informar al titular de la Marca de la Unión con una antelación de, al menos, seis meses respecto a la renovación del título. Sin embargo dicha información no es obligatoria. Se permite solicitar la renovación y pagar la tasa correspondiente durante los seis meses siguientes, siempre pago de una tasa de demora.
  • Se elimina la posibilidad de oposición por caducidad por tolerancia contempladas en el artículo 54 dejándose exclusivamente la nulidad. Respecto a la solicitud de caducidad o nulidad se elimina el término “al menos cinco años” por el término “por lo menos cinco años.”
  • Se modifica el artículo 60 respecto al plazo y forma del recurso, debiendo interponerse aquel por escrito ante la Oficina en un plazo de dos meses a partir de la fecha de notificación de la resolución. Se crea el denominado Tribunal General como tribunal competente para resolver las resoluciones impugnadas de las salas de recurso.
  • En cuanto a las marcas de certificación, el solicitante está obligado a presentar un reglamento de uso de dicha marca en el plazo de dos meses a partir de la fecha de presentación. Por otra parte, se determinarán los importes de los gastos que se habrán de abonar, incluidos los anticipos, en lo que respecta a las costas de la instrucción. Se establece la figura del director ejecutivo que entre sus principales funciones es ser el representante legal de la Oficina y, entre sus funciones las establecidas en el artículo 128.
  •  Se sustituye el artículo 87 referente al registro de marcas comunitarias por un artículo mucho más amplio en el que se insertan las indicaciones que se recogerán en el mismo. De igual forma, se especifican las finalidades de los datos personales que pudieren contenerse:  a) la administración de las solicitudes o registros descritos en el presente Reglamento y en los actos que se adopten en virtud del mismo; b) el mantenimiento de un registro público para su consulta y para información de las autoridades públicas y los operadores económicos, a fin de que puedan ejercer los derechos que les confiere el presente Reglamento y tener conocimiento de la existencia de derechos anteriores de terceros, y c) la elaboración de informes y estadísticas que permitan a la Oficina optimizar sus operaciones y mejorar el funcionamiento del sistema. De igual forma, se creará una base de datos, la cual estará conformada por datos personales de los solicitantes, los cuales no podrán hacerse públicos son el consentimiento del interesado. Así mismo, se podrá acceder a las resoluciones y si constan datos personales se podrá solicitar la supresión de aquellos.
  • Se añade el artículo 88 bis respecto a la conservación de los expedientes y la obligatoriedad de efectuar copias de seguridad no determinándose un plazo de destrucción. Dicha conservación será una función del director ejecutivo que, por lo que se deduce del artículo actuará como una especie de responsable de seguridad o de responsable de organización de dicha conservación.
  • Se establece el cómputo de plazos, siendo el director ejecutivo quien determine los días en que la Oficina no estará operativa. Los plazos se establecerán por años, meses, semanas o días enteros. El cómputo se iniciará el día posterior a la fecha en la que se produzca el hecho de referencia. La duración de los plazos no será inferior a un mes ni superior a seis meses. Se amplía el plazo a un año en lo que respecta a la anulación o revocación establecido en el artículo 80. Se amplían los motivos de interrupción del procedimiento -artículo 82 bis- estableciendo un apartado concreto que encuadra  los casos de fallecimiento o incapacidad o ante acciones emprendidas contra el patrimonio.
  • Se sustituye y se regula la transparencia a través del artículo 123. Se amplía la regulación y la competencia de las salas de recurso y se establece la competencia para los asuntos de la denominada Gran Sala.
  • En las acciones por violación y por intento de violación de una marca comunitaria, así como para las acciones de comprobación de inexistencia de violación si la legislación nacional las admite, la excepción de caducidad de la marca de la Unión, presentada por una vía que no sea la demanda de reconvención, será admisible en la medida en que el demandado alegue que la marca de la Unión puede caducar por falta de uso efectivo en el momento en que se interpuso la acción -artículo 99.3.- Respecto a la presentación de demanda reconvencional por caducidad o nulidad el Tribunal de la Unión no procederá a examinar dicha demanda de reconvención hasta que el interesado o el propio tribunal hayan comunicado a la Oficina la fecha de presentación de esa demanda […] Si se hubiera presentado ya ante la Oficina una solicitud de caducidad o de nulidad de la marca de la Unión con anterioridad a la interposición de la demanda de reconvención, la Oficina comunicará este hecho al tribunal, que suspenderá el procedimiento de conformidad con el artículo 104, apartado 1, hasta que la resolución sobre la solicitud adquiera carácter definitivo o se retire la solicitud -artículo 100.-
  • Se añade el denominando CENTRO DE MEDIACIÓN regulado expresamente en el artículo 137 bis teniendo como fin ser el órgano que permita resolver de forma amistosa los conflicto inter-parte previo pago de tasa. Dicha petición de mediación debe ser presentada de forma conjunta por las parte en conflicto. Destaca el apartado 4 En caso de litigios sobre procedimientos en curso ante las divisiones de oposición, las divisiones de anulación o ante las salas de recurso de la Oficina, podrá presentarse una petición conjunta de mediación en cualquier momento posterior a una formulación de oposición, una solicitud de declaración de caducidad o de nulidad o un recurso contra resoluciones de las divisiones de oposición o de anulación.
  • En base a las modificaciones surtidas por el nuevo reglamento varía los artículos de los registros internacionales de marcas con la finalidad de poder adaptar aquel a las mismas exigencias que el resto de procedimientos de marcas de la Unión -Titulo XIII.-
  • Se establecen tres artículos, los cuales contemplada la supresión de determinadas reglas del  Reglamento (CE) No 2868/95 DE LA COMISIÓN de 13 de diciembre de 1995 por el que se establecen normas de ejecución del Reglamento (CE) no 40/94 del Consejo sobre la marca comunitaria; se deroga el Reglamento (CE) no 2869/95; y se establece tres fechas de entrada en vigor: siendo las principales el 23 de marzo y el 1 de octubre del 2017 -múltiples apartados del nuevo reglamento.- 

Antes de finalizar el presente artículo y relacionado con el ámbito del mismo es obligatorio efectuar una mera referencia a la reciente sentencia del Tribunal Supremo de 26 de febrero -Caso MASALTOS[2]- y la posibilidad de utilizar como palabras clave en los espacios publicitarios de buscadores -en este caso, Google- signos distintivos protegidos bajo derechos marcarios. Bajo mi punto de vista, destaca dos aspectos relevantes: el primero, los requisitos que han de cumplirse para poder efectuar enlaces patrocinados utilizando marcas registradas “(i) que el uso de la marca no menoscabe ni la función indicadora del origen de la marca, ni su función económica; (ii) que resulte claro para un usuario medio de internet que los productos o servicios publicitados no proceden del titular de la marca o de una empresa económicamente vinculada; y de no ser así, se indique bajo qué circunstancia se venden productos de una determinada marca a través de una página web distinta a la "oficial". La finalidad de este requisito es impedir el riesgo de confusión”;  el segundo, la importancia de la marca denominativa, dado que la marca mixta o gráfica, parece que diluye el carácter distintivo de la protección, dado que el Tribunal Supremo expresamente declara que “[…] las palabras clave no coinciden exactamente con las marcas registradas por Maherlo , porque tales marcas no son meramente denominativas, es decir, no se componen exclusivamente de los términos "masaltos" o "masaltos.com", sino que son marcas mixtas, que combinan dichas palabras con una determinada apariencia gráfica […]”

Efrén Santos Pascual
Socio-Abogado