CUARTO MILENIO - MISTERIOS DEL GDPR
“Bienvenidos a la nave del misterio”,
entradilla ya mítica de Iker Jiménez en el programa que sirve de título al
presente artículo. Hoy nos adentraremos en los misterios y enigmas que, a poco
más de un año para su aplicación, nos oculta el reglamento de protección de
datos. Preguntas sin resolver o, al menos, para quien suscribe el presente,
situaciones que se muestran semi-ocultas entres los artículos y considerando
del GDPR.
El primero de los misterios
acontece en el propio objeto y ámbito de aplicación, dado que la finalidad del
GDPR es, según reconoce expresamente, “la
protección de las personas físicas en lo que respecta al tratamiento de los
datos personales.” Ahora bien, el propio GDPR parece que establece una
supremacía o subsidiaridad de protección, en base a un elemento común, la
identificación -reconocimiento
de la persona física-, la cual pudiere disponerse -interesado- o pudiere
obtenerse -directa o
indirectamente a través de identificadores.- Si a dicho objeto material le
agregamos la definición de dato personal, la cual dice: “toda información sobre una persona física identificada o identificable”,
tal vez solamente esté protegiendo la información en base al elemento de
reconocimiento, es decir, que si no existe elemento de identificación no podría
aplicarse el GDPR. Imaginemos que un empresa suscribe contrato con un proveedor
de servicios de acceso a Internet y que dicha entidad suministra el router a
través del cual se recopila información con la finalidad de utilizar la data
asociada y recabada a través del router para proporcionar información,
contenidos y publicidad en base a múltiples criterios -conexión; terminales
conectados; puertos abiertos; contenido y hora de visualización; etc.- Si la
identificación no permite identificar a una persona física pero de la data
obtenida pudiere parametrizarse resultados que permitiera conocer información
asociada a una persona física, entonces, sería aplicable el Reglamento o, por
el contrario, se consideraría que los elementos identificadores no permite
obtener el reconocimiento de la persona física.
El segundo de los misterios es el
que aparece de soslayo dentro de los considerandos del GDPR, concretamente, en
el (78)[i]
donde al interesado se le reconoce un derecho nuevo, el derecho de supervisión
de las medidas técnicas y organizativas que tenga implantadas en el responsable
del fichero o encargado de tratamiento respecto al tratamiento de datos
personales. Ahora bien, esta supervisión, teóricamente está basada en el
principio de transparencia, pero no específica de qué forma el responsable y
encargado deberían hacer frente a esta potestad otorgada al interesado. ¿Dicha
supervisión podría hacerse efectiva a través del principio de información o a
través de códigos éticos o a través de organigramas visuales? En caso que dicho
derecho pudiere ser ejercitado ¿Cómo sería el procedimiento para poder
ejercitarlo? ¿A través de qué medios o canales se debería hacer efectivo dicho
derecho: mediante enlace a Página Web disponible y sin limitación de acceso;
con limitación en base a la identificación de interesado? ¿Podría ser
ejercitado por cualquier interesado, estuviere o no identificado?
Otro de los misterios, nada
baladí, hace referencia a la aplicación del Reglamento a aquellos responsables
o encargados establecidos fuera de la Unión Europa, como así reconoce el propio
GDPR en su Considerando (23) y (24)[ii].
Pero, ¿qué ocurrirá con aquellos servicios de suscripción basados en el análisis
comportamental y utilización de dicha información para la puesta a disposición
de publicidad dirigida a residentes en la Unión Europea desde fuera de la
misma? Estoy pensando en servicios gratuitos dirigidos en base a la obtención
de información mediante de APIS donde el responsable y encargado
indistintamente utilizan la data desde fuera de las fronteras de la Unión
Europea, no solamente mediante publicidad programática sino mediante la nueva
modalidad publicitaria -header bidding.-
Llegamos a uno de las grandes
incógnitas regulatorias, los denominados profiling de opiniones políticas en
procesos electorales, que abre la puerta a los partidos políticos a efectuar un
análisis de los interesados durante el proceso electoral, expresamente dispuesto
en el Considerando (56)[iii].Ya
no sólo van a poder utilizar el censo para remitir, sus ya clásicas
correspondencia electoral, sino que, a partir de ahora, podrán efectuar un
target, especialmente, a través de las redes sociales, con el fin de obtener
una data que le permita dirigir a un público determinado dicha propaganda.
Según el GDPR debe ofrecerse garantías, pero desconozco cuáles y de qué forma
se procederá a regular dicha posibilidad y si la utilización de dicha target
caducará o vencerá al finalizar el proceso electoral.
Otra incógnita, ésta en base a la
interpretación del GDPR, es la que afecta al apartado 5 del artículo 30[iv]
en cuanto a la obligación de registrar las actividades de tratamiento, dado
que, bajo la perspectiva de quien suscribe, la apariencia de interpretación
podría ser sencilla, considero que la redacción de la excepción contemplada en
dicho apartado no es del todo clara. Según dicho apartado, las empresas u
organizaciones de menos de 250 empleados no tendrán la obligación de llevar a
cabo el registro de actividades de tratamiento, pero dicha excepción se basa en
tres requisitos, no siendo éstos opcionales
más que en el último caso cuando
utiliza expresamente la conjunción “o” separando claramente las denominadas
categorías especiales de datos personales, es decir, estaríamos ante una
excepción difícil de albergar, puesto que operaría solamente, si el tratamiento
de datos no supone riesgo para los derechos y libertades fundamentales así como
el requisito que dicho tratamiento no sea ocasional. Por lo que esta parte
entiende nunca podrá darse la excepción en categorías especiales ni en
tratamientos no ocasionales y, por la expresión ocasional, es clara la
referencia contemplada en el RDLOPD cuando expresamente alude a ella en el
artículo 81.5 b)[v].
Para concluir la nave del
misterio, aunque no las incógnitas que plantea el GDPR, es interesante las
tipologías de, llamémoslas auditorías o controles de cumplimiento. Hay que rascar un poco el GDPR para encontrarnos
con cinco tipos: dos, tres o cuatro en virtud del tratamiento y las
especialidades de los responsables y encargados, y una última la
correspondiente a las que realizaran las autoridades de control. Por una parte,
las empresas tendrán que efectuar como mínimo, la denominada privacidad por
diseño y la auditoría de comprobación. A estas habrá que sumarles en caso de
transferencias internacionales las adscritas a dicho tratamiento y, las EIPD´S
o PIA´S como control preventivo. Un sinfín de controles preventivos y legales a
través de múltiples metodologías a considerar por los responsables y
encargados. Igualmente, significativo es cómo efectuarán las PYMES la adecuación
a dichos controles y, si temporal o definitivamente, pueden ampararse en la
metodología ya establecida en el Título VIII del RDLOPD.
Hasta aquí, la nave del misterio
del GDPR, todo un sinfín de incógnitas y de situaciones complejas que dará
lugar para múltiples opiniones, pero este breve artículo, equivocado o no,
simplemente se ha redactado para, al menos, “adentrarse
en variantes que, a fecha presente, considero que no se han puesto de
manifiesto” y que, probablemente, la adecuación regulatorio tendrá sus
complejidades a la hora de abordarlas. Hasta la próxima nave del misterio,
sigan creyendo o al menos no renuncien a lo sobrenatural.
[i] (78) […] Dichas medidas podrían
consistir, entre otras, en reducir al máximo el tratamiento de datos
personales, seudonimizar lo antes posible los datos personales, dar
transparencia a las funciones y el tratamiento de datos personales, permitiendo
a los interesados supervisar el tratamiento de datos y al responsable del
tratamiento crear y mejorar elementos de seguridad […]
[ii] (24) El tratamiento de datos
personales de los interesados que residen en la Unión por un responsable o
encargado no establecido en la Unión debe ser también objeto del presente
Reglamento cuando esté relacionado con la observación del comportamiento de
dichos interesados en la medida en que este comportamiento tenga lugar en la
Unión. Para determinar si se puede considerar que una actividad de tratamiento
controla el comportamiento de los interesados, debe evaluarse si las personas
físicas son objeto de un seguimiento en internet, inclusive el potencial uso
posterior de técnicas de tratamiento de datos personales que consistan en la elaboración
de un perfil de una persona física con el fin, en particular, de adoptar
decisiones sobre él o de analizar o predecir sus preferencias personales,
comportamientos y actitudes.
[iii] (56) Si, en el marco de
actividades electorales, el funcionamiento del sistema democrático exige en un
Estado miembro que los partidos políticos recopilen datos personales sobre las
opiniones políticas de las personas, puede autorizarse el tratamiento de estos
datos por razones de interés público, siempre que se ofrezcan garantías
adecuadas.
[iv] 5. Las obligaciones indicadas en
los apartados 1 y 2 no se aplicarán a ninguna empresa ni organización que
emplee a menos de 250 personas, a menos que el tratamiento que realice pueda
entrañar un riesgo para los derechos y libertades de los interesados, no sea
ocasional, o incluya categorías especiales de datos personales indicadas en el
artículo 9, apartado 1, o datos personales relativos a condenas e infracciones
penales a que se refiere el artículo 10.
[v] En caso de ficheros o tratamientos
de datos de ideología, afiliación sindical, religión, creencias, origen racial,
salud o vida sexual bastará la implantación de las medidas de seguridad de
nivel básico cuando: b) Se trate de ficheros o tratamientos en los que de forma
incidental o accesoria se contengan aquellos datos sin guardar relación con su
finalidad.