February 21, 2021
De parte de ANRed
1,033 puntos de vista

La digitalizaci贸n de nuestras relaciones cotidianas provoca que cedamos datos personales infinidad de veces al d铆a. Y los cambios constantes no permiten que lo hagamos de forma consciente e informada. Por Elena Gil Gonz谩lez (Resumen Latinoamericano)


En los 煤ltimos a帽os hemos asistido a acontecimientos de gran profundidad en materia de protecci贸n de datos. Desde la actualizaci贸n de las principales normas en la materia hasta esc谩ndalos y sanciones a grandes corporaciones por incumplimientos de la normativa. Por otro lado, el avance tecnol贸gico es exponencial, de modo que la rapidez de los cambios y de los nuevos retos surgidos con ellos hacen que debamos replantearnos ciertas cuestiones s贸lidamente asentadas en materia de protecci贸n de datos, como la tradicional prevalencia del consentimiento como base de licitud bajo la idea de que es la que mejor garantiza los derechos de la persona.

Pero 驴es el consentimiento como base de licitud un instrumento ampliamente efectivo para la protecci贸n de datos de car谩cter personal en entornos de utilizaci贸n de tecnolog铆as big data? 驴Existen alternativas dentro de nuestro ordenamiento jur铆dico?

Comencemos por el principio

El objetivo de la normativa de protecci贸n de datos no es limitar el tratamiento de datos personales, 煤nicamente su uso injustificado. Para ello, el art铆culo 6 del Reglamento General de Protecci贸n de Datos (RGPD) contiene las denominadas 鈥渂ases de licitud del tratamiento鈥, es decir, causas jur铆dicas bajo las que se permite utilizar datos personales.

Una de estas bases es el consentimiento. Una persona o empresa puede tratar datos personales si ha obtenido el permiso para hacerlo. El usuario medio est谩 cada d铆a m谩s concienciado de la importancia de ejercer control sobre el uso de sus datos y de prestar el consentimiento. Pero tambi茅n existen situaciones en las que el consentimiento no es el t铆tulo jur铆dico que debe sustentar un tratamiento. Por ello, existen otras bases de licitud, por ejemplo, la necesidad para ejecutar un contrato 鈥揳s铆, una tienda puede utilizar tus datos bancarios para ejecutar el pago con tarjeta de d茅bito sin necesidad de solicitarte el consentimiento鈥. De forma similar, Hacienda puede acceder a tu informaci贸n fiscal sin consentimiento, con base en un inter茅s p煤blico.

Pues bien, junto con todas las bases de licitud anteriores, el art铆culo 6 del RGPD permite tratar datos sin nuestro consentimiento con base en un 鈥渋nter茅s leg铆timo鈥.

驴De verdad sabes lo que aceptas?

Antes de la llegada del RGPD, el consentimiento era la base de legitimaci贸n utilizada de forma preferente en el sector privado. Su popularidad derivaba de que este permite que las personas ejerzan control sobre sus datos personales, as铆 como de la facilitad que las organizaciones ten铆an de justificar que hab铆a existido este consentimiento, porque serv铆a con obtenerlo de forma t谩cita 鈥損or ejemplo, premarcar una casilla que el usuario no rechazaba era considerado v谩lido鈥.

Esta propensi贸n cristaliz贸 en el hecho de que el consentimiento se convirti贸 en el instrumento jur铆dico por excelencia, y no se prest贸 el mismo grado de atenci贸n a otras bases, como el inter茅s leg铆timo. Sin embargo, el avance tecnol贸gico comenz贸 a poner en jaque estas presunciones de consentimiento.

El consentimiento presupone que la persona ha le铆do la informaci贸n, la ha comprendido, es capaz de imaginarse las consecuencias futuras y esto le permite tomar una decisi贸n racional que manifiesta de forma libre.

Ciertamente, este puede ser el caso en situaciones sencillas y previsibles. Pero la digitalizaci贸n de nuestras relaciones cotidianas provoca que las solicitudes de consentimiento se produzcan infinidad de veces al d铆a, durante el curso de actividades cotidianas cuyo objetivo principal no est谩 relacionado directamente con el proceso mental de decidir sobre el futuro de los datos personales. Desde comprar una entrada de teatro por internet, hasta ver un programa en nuestra flamante tele inteligente o leer las noticias en una p谩gina web o app.

Todo ello genera datos, muy valiosos en el mercado, y para monetizarlos nos piden consentimientos constantemente. Esta monetizaci贸n implica compartir o vender datos a infinidad de intermediarios, crear patrones y perfiles de cada uno de nosotros, agregar informaci贸n y construir modelos algor铆tmicos cada vez m谩s complejos e impredecibles. 驴De verdad tenemos todo eso en mente cada vez que hacemos click aceptando cookies y otros tratamientos? Ese click es un consentimiento jur铆dicamente v谩lido, pero que en realidad es ilusorio.

El consentimiento conlleva que la persona es quien manifiesta haber tomado la decisi贸n, una decisi贸n que no termina de comprender porque las pr谩cticas de la industria van a帽os por delante de lo que conocemos

Es decir, el avance de la tecnolog铆a crea entornos cotidianos que son r谩pidamente cambiantes y lo suficientemente complejos como para que una persona media no sea capaz de mantener un nivel de conocimiento actualizado sobre los potenciales beneficios y riesgos de dichos tratamientos de datos. De este modo, es m谩s complicado poder asumir el rol de decidir de manera convenientemente informada y con consciencia.

El RGPD ha tratado de atajar estos problemas endureciendo las condiciones del consentimiento, as铆 como los deberes de informaci贸n y transparencia. Sin embargo, las pol铆ticas de privacidad m谩s largas no aportan una soluci贸n real a los problemas que hemos se帽alado.

El consentimiento conlleva que la persona es quien manifiesta haber tomado la decisi贸n. Es decir, se hace responsable a la persona de su decisi贸n; una decisi贸n que no termina de comprender porque la tecnolog铆a avanza de forma tan r谩pida que las pr谩cticas de la industria van a帽os por delante de lo que conocemos.

Adem谩s, es frecuente encontrar patrones oscuros en las solicitudes de consentimiento. Se trata de pr谩cticas con las que se pretende orientar de forma artificial el comportamiento del usuario para que este muestre su acuerdo. Por ejemplo, esconder la opci贸n m谩s protectora bajo una letra peque帽a y de color poco visible, crear paneles de configuraci贸n poco intuitivos que provoquen fatiga en el usuario, etc. al tiempo que las opciones para consentir se ofrecen de forma visible y sencilla.

驴Y si no tuvi茅ramos que prestar el consentimiento?

Como dec铆amos al principio, el consentimiento es solo una base m谩s de todas las que reconoce el art. 6 RGPD. En concreto, el art. 6.1.f) recoge aquella del inter茅s leg铆timo.

No es un concepto nuevo, sino que ya exist铆a en la normativa anterior 鈥揇irectiva de protecci贸n de datos de 1995鈥. A pesar de ello, se trata de uno de los conceptos m谩s confusos de la norma, apreciado, odiado e incomprendido a partes iguales.

En t茅rminos simplificados, la base de licitud se aplica en tres pasos. En primer lugar, una organizaci贸n debe alegar la existencia de un beneficio o utilidad real y presente, para s铆 misma, un tercero o un beneficio social m谩s amplio, que respete el ordenamiento jur铆dico. Es decir, debe existir un inter茅s leg铆timo. Se trata de un concepto bastante amplio. En segundo lugar, el tratamiento debe ser 鈥渘ecesario鈥 para la finalidad que la organizaci贸n informa que desea conseguir. Se trata tambi茅n de un concepto con matices en el que no entraremos aqu铆. Adem谩s, recordemos que la norma obliga a informar de cu谩les son estos intereses y finalidades.

El inter茅s leg铆timo como base de licitud para el tratamiento de datos vuelve a poner el foco de responsabilidad en la organizaci贸n, en lugar de en la persona

En tercer lugar, y este es el quid de la cuesti贸n, la norma exige que dicho inter茅s leg铆timo y necesario sea ponderado con los intereses y derechos de los clientes. La ponderaci贸n de intereses es clave en la aplicaci贸n del inter茅s leg铆timo y es lo que otorga distintividad a esta base de licitud. En caso de que en dicha balanza pesen m谩s los derechos de los clientes, la organizaci贸n debe implementar medidas de protecci贸n y mitigaci贸n de riesgos hasta superar esa ponderaci贸n, o abstenerse de llevar a cabo el tratamiento. Esto obliga a la organizaci贸n a tomar en consideraci贸n un amplio abanico de intereses y derechos de todas las partes involucradas en el tratamiento de datos, que ya no quedan en manos de la sola comprensi贸n del usuario. Es decir, vuelve a poner el foco de responsabilidad en la organizaci贸n, en lugar de en la persona.

Por 煤ltimo, el usuario tiene la capacidad de oponerse a dicho tratamiento. As铆 por ejemplo, una entidad bancaria tendr谩 un inter茅s leg铆timo para tratar datos a gran escala con fines de prevenci贸n del fraude o de blanqueo de capitales. De forma similar, la obtenci贸n de un beneficio comercial o econ贸mico ser铆a, en mi opini贸n, un ejemplo claro de inter茅s leg铆timo 鈥揳unque la Agencia Espa帽ola de Protecci贸n de Datos ha mostrado su reticencia a considerarlo as铆鈥. Todo ello, siempre que se supere el ejercicio de ponderaci贸n, se apliquen medidas mitigantes y se ofrezca el derecho de oposici贸n.

Una de las principales cr铆ticas al inter茅s leg铆timo deviene de considerar que se trata de un caj贸n de sastre, un comod铆n que confiere la facultad de realizar un tratamiento de datos personales que no ser铆a l铆cito en otra circunstancia.

Sin embargo, la necesidad de justificar por escrito la ponderaci贸n de intereses se convierte en una garant铆a que no existe en las dem谩s bases. Esta documentaci贸n podr谩 ser revisada en cualquier momento por la autoridad de control. De este modo, si la autoridad aprecia que la organizaci贸n obvi贸 elementos relevantes, se declarar铆a la falta de legitimaci贸n.

No pod铆a ser todo perfecto

Pero ojo, pese a todo lo dicho, este instrumento no es perfecto. Existen vac铆os que pueden crear un 鈥渆fecto Gruy猫re鈥, es decir, peque帽as lagunas cuyo impacto conjunto puede ser mayor.

En primer lugar, la correcta aplicaci贸n del inter茅s leg铆timo no es ni sencilla ni directa. Es una figura ambigua, poco desarrollada para su aplicaci贸n a entornos de tratamiento masivo de datos y requiere un asesoramiento jur铆dico maduro y complejo.

Esto puede llevar a que determinadas cuestiones sean instrumentalizadas por una organizaci贸n para dificultar el control de una persona sobre sus datos. Por ejemplo, la norma no obliga a que el ejercicio de ponderaci贸n sea p煤blico. Ello tiene sentido porque casi siempre incluir谩 elementos confidenciales o sensibles, pero tambi茅n puede provocar una falta de transparencia respecto de los riesgos del tratamiento.

Por otro lado, al menos en un primer momento, el ejercicio de ponderaci贸n puede terminar siendo algo subjetivo, pues lo realiza el propio responsable. Sin embargo, la presi贸n de saber que esto debe quedar por escrito y es susceptible de investigaci贸n servir铆a como contrapeso.

Asimismo, ya hemos mencionado el derecho de oposici贸n que va unido al inter茅s leg铆timo. No se trata de un derecho absoluto, y las organizaciones pueden terminar por empujar su margen de maniobra para denegar este derecho de formas cuestionables.

Se trata de limitaciones salvables a trav茅s de la publicaci贸n de directrices que desarrollen este precepto y de v铆as interpretativas. Por ejemplo, interpretar el derecho de oposici贸n en sentido amplio.

Brecha de confianza

En este debate hay un factor m谩s. La creciente sensaci贸n de vigilancia o la sospecha de que los datos son utilizados para finalidades no anunciadas a los interesados han provocado una ruptura de la confianza de las personas en el modelo digital.

La elecci贸n de la base de licitud para el tratamiento de datos personales resulta solo una de las m煤ltiples facetas de ello.

As铆, solicitar el consentimiento a pesar de las graves deficiencias y poner la carga de la responsabilidad en el interesado no ayudar谩 a solventar el problema. El inter茅s leg铆timo, siempre que sea aplicado de manera leal y estricta, s铆 podr铆a restaurar esta confianza.

La creciente sensaci贸n de vigilancia o la sospecha de que los datos son utilizados para finalidades no anunciadas han provocado una ruptura de la confianza en el modelo digital

El interesado ya no hace depender su confianza de la capacidad de control entendido como ser informado y posteriormente preguntado acerca de si autoriza o no determinados tratamientos, pues en muchas ocasiones no alcanza a comprenderlos. Por ello, el concepto tradicional de control como objetivo de la normativa de protecci贸n de datos debe desarrollarse y repensarse.

El inter茅s leg铆timo como base de licitud podr铆a verse como una alternativa que permitir铆a volver a generar confianza en que el responsable, como m谩ximo conocedor de los pormenores del tratamiento, los ha tenido en cuenta y mitigado.

La innovaci贸n y las t茅cnicas de inteligencia artificial o tratamiento masivo de datos son una fuente de beneficios sociales y econ贸micos que no debemos desaprovechar. Por eso se hace necesario buscar soluciones que permitan flexibilizar el tratamiento de datos, al mismo tiempo que se protegen los derechos de los individuos, y focalizar las limitaciones al tratamiento de los datos en funci贸n del contexto espec铆fico en lugar de hacerlo de manera generalizada.

El sistema aqu铆 defendido necesita un alto grado de madurez de los responsables de datos, as铆 como un fuerte compromiso para adoptar est谩ndares de seguridad elevados. Esto refuerza de nuevo la idea de que ya no es el usuario el centro de responsabilidad de los datos, sino las organizaciones que quieren hacer uso de ellos.





Fuente: Anred.org