La legislación es un tema candente en tecnología dadas las implicaciones que las novedades en ésta tienen con aspectos relativos a la privacidad y a cuestiones de datos personales. En España ya existe una ley al respecto, pero se ha preparado una actualización y ya se conocen las novedades de la futura Ley de Protección de Datos.
Entre las principales novedades se encuentra el poder realizar modificaciones en los datos de personas fallecidas por parte de sus familiares, así como la definición de un "Delegado de protección" o cambios en la edad para el consentimiento. De momento se trata de la primera versión del anteproyecto de esta nueva Ley Orgánica de Protección de Datos (LOPD), al cual ha tenido acceso El Diario y que ya nos deja conocer lo que se actualizará, así como qué aspectos quedan aún algo en duda.
El permiso para modificar datos de fallecidos demostrando que somos herederos o personal autorizado
Este aspecto quedaba bastante al aire en la ley de 1999 y es muy necesario por la situación de encontrarnos perfiles y datos de nuestros familiares y allegados fallecidos en redes sociales y plataformas digitales. Así, el anteproyecto de ley incluye el Artículo 3 dedicado a los datos de las personas fallecidas, especificando que "los herederos que acrediten debidamente tal condición pueden dirigirse al responsable del tratamiento al objeto de solicitar el acceso a los datos personales", de modo que puedan rectificarse o suprimirse.
Es decir, si nos interesa eliminar o modificar el perfil de Facebook, Twitter, etc. de un fallecido y demostramos que somos los herederos, podremos modificarlos o eliminarlos. Eso sí, salvo el caso en el que el fallecido hubiese prohibido de manera específica estas acciones en el testamento, donde también se podrá especificar que el albacea u otra persona pueda modificarlos (sin necesidad de ser un familiar, siempre y cuando el fallecido haya conferido estos poderes).
Pero, ¿hasta qué punto esto será nuevo? Hemos consultado al experto en privacidad y redes sociales de Akela Asesores Abel Loeches, y nos comenta que este texto era muy esperado y que ha traído alguna sorpresa. Nos recuerda que el texto podrá ser modificado en los últimos meses, pero que parece que este artículo 3 "tendrá una gran acogida en el sector al garantizar el derecho a la protección de datos de las personas fallecidas".
Lo que comenta a este respecto es que "la Ley, una vez más, va por detrás de la realidad social". Explica que el texto va a regular algo que las políticas de las redes sociales ya incluyen, pero que así ya se reconoce el derecho del tratamiento de información de las personas fallecidas.
[La ley] regula algo que actualmente las Redes Sociales ya incluían en sus políticas de privacidad: los herederos de la persona fallecida podrán dirigirse a los prestadores de servicios de la sociedad de la información al objeto de acceder a dichos contenidos e impartirles las instrucciones que estimen oportunas sobre su utilización, destino o supresión. Por fin se reconoce este derecho a las personas fallecidas, ejercitable a través de sus herederos legales, que podrán decidir si borran los perfiles de usuarios.
Sin embargo, prima la autonomía de la voluntad del fallecido, pues éste podrá prohibir expresamente a los herederos acceder a sus contenidos. Veremos cómo llevan a la práctica esta excepción los distintos prestadores de servicios de la sociedad de la información...
Añade, además, que está habiendo modificaciones legales que van en la línea de este derecho "a decidir sobre la identidad digital de cada uno", citando la reciente Ley autonómica 10/2017 del 27 de junio, de las voluntades digitales y de modificación del Código civil de Cataluña, la cual "reconoce las voluntades digitales en caso de muerte y establece que los herederos del causante podrán actuar ante los prestadores de servicios digitales con quienes el causante tenga cuentas activas y pedir su cancelación y la entrega de una copia de sus archivos digitales".
También hemos contado con la opinión de Sergio Carrasco, consultor en Fase Consulting y cofundador Derecho en Red, que nos pone en contexto lo que puede hacerse al respecto del acceso, rectificación y supresión de los datos.
La realidad es que anteriormente determinadas actuaciones podían entenderse amparadas dentro de las capacidades del heredero, en particular por la subrogación que podría producirse en las relaciones con el responsable o encargado del tratamiento. Ahora bien, en la práctica es cierto que se han dado supuestos en los que ha resultado complicado ejercer dichos derechos de manera efectiva, con lo cual una regulación expresa nunca está de más a los efectos de dejar más clara la postura del legislador. Por supuesto, después habrá que ver cómo actúan algunos de estos responsables una vez se les reclame el ejercicio de derechos otorgado por una ley nacional de este tipo.
Además de esto, algo que destaca en este apartado es que no hay una referencia específica al llamado "derecho al olvido", una de las manifestaciones del derecho a cancelación y oposición.
Muchos textos han seguido la moda y han incorporado el término como si se tratara de una novedad, pese a que en realidad se trataba de un derecho ya existente y lo que se produjo eran dudas sobre cómo correspondía aplicarse.
El consentimiento de los menores, ahora desde los 13 años
El anteproyecto de la nueva ley especifica que la edad para el consentimiento se reduce desde los catorce años (como se especifica en el artículo 13 de la actual ley) a los trece años, ajustándose así al Reglamento europeo. Con respecto a esto, Paloma Arribas del Hoyo (letrada de Pons IP) matiza en Expansión que "la regulación del consentimiento es escueta y deja sin efecto el consentimiento tácito", argumentando que representará un problema para "las empresas que cuenten con este consentimiento como base legítima para sus tratamientos previa a la entrada en vigor de la ley".
Sobre esta novedad nos explica Samuel Parra, director del área de protección de datos en Abanlex, que la única novedad esta rebaja de la edad mínima para consentir, poniéndonos en contexto sobre la actualidad de esta edad en otros países. También recalca que puede haber algunos problemas en este asunto si no hay un acuerdo con la totalidad de miembros de la Unión Europea.
La cifra de 13 años es la más extendida por ejemplo en Estados Unidos, entendiendo que a partir de esta edad se está en condiciones de decidir por uno mismo el tratamiento que otros puedan hacer de nuestros datos personales.
Este punto no obstante puede dar algunos problemas si todos los miembros de la UE no se ponen de acuerdo en establecer una edad en concreto, porque el RGPD permite que cada Estado Miembro establezca una edad mínima entre los 13 y 16 años; es una oportunidad estupenda para que la minoría de edad a estos efectos sea la misma en toda la Unión Europea y no que cada país ponga una edad distinta.
A este respecto Sergio Carrasco nos matizaba la importancia de la reducción de esta edad, aludiendo al gran número de actividades en los que actualmente se tratan datos de los menores, como puede ser en centros escolares.
Esta reducción resulta importante porque en estos casos debería ahora recabarse el consentimiento del menor (pensemos en el gran número de actividades en centros escolares, por ejemplo, en los que se tratan datos de los menores) en supuestos en los que anteriormente quedaban amparados por una autorización del titular de la patria potestad. De hecho, el tratamiento del menor sin contar con autorización para ello constituiría infracción grave.
Una videovigilancia más asumida
Entre las novedades en el tratamiento de los datos, se regula entre otras cosas la videovigilancia de manera específica (en el artículo 15 del anteproyecto), especificando que "las personas físicas o jurídicas, públicas o privadas, podrán llevar a cabo el tratamiento de imágenes a través de sistemas de cámaras o videocámaras con la finalidad de preservar la seguridad de las personas y bienes, así como de sus instalaciones", y no con cualquier otra finalidad.
Los datos se tendrán que suprimir en un mes (salvo excepciones, como procesos judiciales, etc.) y que se entiende que el deber de información (previsto en el artículo 12 del Reglamento UE 2016/679) se cumple si el dispositivo de vigilancia se coloca "en lugar suficientemente visible identificando" con al menos "la existencia del tratamiento, la identidad del responsable y la posibilidad de ejercitar los derechos previstos en los artículos 15 a 22 del Reglamento UE 2016/679"
En la actualidad, según la guía sobre videovigilancia de la Agencia de Protección de Datos (AEPD) cuando la videovigilancia afecta a personas identificadas o identificables, lo capturado es "un dato de carácter personal a efectos de la aplicación de la LOPD", y que "el responsable debe ser capaz de identificar si el uso que hace de las videocámaras se encuentra sujeto a la Ley". Recalcan que en la única regulación existente en el ámbito privado (la Ley 23/1992 de 30 de julio de Seguridad Privada) no hay "indicaciones precisas en materia de protección de datos", y en cuanto a la señalización indica que "Debe informarse sobre la captación y/o grabación de las imágenes", sin detallar.
Precisamente Sergio Carrasco nos dice que se incluyen partes similares que ya podíamos ver resumidas en las diversas guías sobre uso de videocámaras de vigilancia de la AEPD, haciendo hincapié en el deber de información.
Resulta interesante las menciones expresas al uso por parte de los empleadores de estas medidas para controlar a los trabajadores, exigiendo de nuevo en este caso haber informado de ello
Derecho de los afectados, más específicos (en un futuro)
En el nuevo texto también se regula los derechos de los afectados (Capítulo II del Título III del borrador), Samuel Parra nos recuerda que se trata de un texto preliminar, es decir, un borrador, y que es previsible que vaya a sufrir numerosas modificaciones antes de que la versión definitiva salga a la luz. Aquí nos detalla que el texto "remite actualmente al RGPD en varios de los artículos referidos a los derechos, pero es presumible que estos artículos sufran modificaciones en el futuro para concretar algo más".
Uno de ellos puede ser el asunto de los tratamientos automatizados, cuyas consecuencias de momento no se contemplan como destacaba Arribas del Hoyo en Expansión. Así, en este área habrá que ver si en el texto final hay más puntualizaciones, sobre todo teniendo en cuenta el auge de los automatismos en la actualidad y todas esas veces que más o menos conscientemente damos permisos para el tratamiento de cierta información.
Un paso más hacia un marco legal más completo, pero aún faltan puntos por rematar
Otras novedades que se han visto en el borrador es la definición de un "Delegado de protección de datos" (Capítulo III del Título IV), que se designará según supuestos contemplados en el Reglamento UE 2016/679, si bien según el socio de Abanlex Pablo Burgueño y Jesús Yáñez, socio del área de privacidad de Écija, se podría concretar de manera más específica ya que "prácticamente cualquier empresa que recabe y trate información deberá contar con un DPO, algo quizá un poco exagerado, y que habrá que delimitar a las compañías que hagan un tratamiento con el objetivo de generar un beneficio económico claro", según especificaba el segundo en Expansión.
Samuel Parra además nos matizaba el cambio de aplicación territorial de la normativa de la protección de datos, a lo cual de momento no se le está prestando tanta atención como a los anteriores aspectos. La novedad en este sentido es que con la nueva norma no será necesario que la empresa que está haciendo el tratamiento de datos se establezca de manera permanente en España, como sí ocurre actualmente.
En la actualidad, para que un ciudadano pueda hacer valer su derecho a la protección de datos es necesario que la empresa que está tratando sus datos personales tenga un establecimiento permanente en España; con el RGPD da igual dónde esté establecida la empresa que si el tratamiento de datos está relacionado con la oferta de bienes o servicios (aunque no medie pago) o de control de su comportamiento, y dirigido a un residente de la UE, se aplicará el RGPD y en nuestro caso la normativa española de protección de datos.
Pero en todo caso, como bien nos han recordado todos los abogados, se trata de un anteproyecto que sufrirá variaciones en los meses anteriores a entrar en vigor, y que en España se tendrá que aprobar una nueva LOPD que se adapte a las disposiciones del reglamento europeo antes de que el Reglamento General de Protección de Datos (RGPD) de la UE entre en vigor el 25 de mayo de 2018.
Desde Xataka agradecemos mucho la colaboración de los profesionales que han aportado su visión sobre este primer borrador. Seguiremos atentos a estos cambios y a cómo se van contemplando todas las implicaciones que las (ya nada) "nuevas tecnologías" en cuanto al tratamiento de datos.
Ver 6 comentarios