Hoy en día todos somos conscientes de que la nueva normativa en materia de privacidad, es decir, tanto el Reglamento General de Protección de Datos (RGPD), como la Ley Orgánica 3/2018, de 5 de diciembre de Protección de Datos Personales y de garantía de los derechos digitales (LOPDGDD), representan una más que auténtica revolución en el tratamiento de datos de esta naturaleza, por parte de los responsables de tratamientos en las llamadas “comunidades virtuales• y en las “plataformas virtuales” como son principalmente aquellas en las que se desenvuelven, por ejemplo, las redes sociales
En este sentido, y tal como pone de manifiesto la Asociación de Profesionales de Protección de Datos (APEP),además de dichas redes sociales, cada vez cobra una mayor importancia las nuevas formas de “profiling” o de segmentar en distintos perfiles a los usuarios de Internet gracias a Tecnologías de Seguimiento como pueden ser las Cookies o el fingerprinting, el Big Data y el Internet de las Cosas (IoT), por no hablar del uso ético y responsable de los móviles o Smartphones y las APPS que en los mismos podemos utilizar; es por ello que en el presente curso trataremos las implicaciones éticas y legales que suponen el uso de estas nuevas formas de comunicación, así como posibles soluciones tanto para las empresas y responsables de tratamientos que utilicen las mismas en su día a día, así como las recomendaciones que un consultor externo debería de plantear en su caso.
Puede afirmarse que el principal objetivo del seguimiento online para las organizaciones, compañías, páginas web, etc. viene constituido principalmente por el hecho de poder lograr un conocimiento exhaustivo de los usuarios, y especialmente, en lo que atañe a su comportamiento y a sus preferencias.
Por ello, este conocimiento sirve también para optimizar y desarrollar otras cuestiones de suma importancia en este ámbito de actuación, como pueden ser el uso fácil de los aplicativos, y la experiencia del usuario, como nuevos factores a tomar en consideración.
Del mismo modo, estas nuevas fuentes de conocimiento prestan un valioso servicio desde el punto de vista estadístico, así como de la personalización de los productos y de las acciones comerciales que se quieran, en su caso, implementar o llevar a cabo.
Debe reconocerse por ello, la importancia de estas nuevas técnicas aplicadas a estas tipologías de servicios, en aspectos tan trascendentes, como el desarrollo del propio negocio, la realización del marketing dirigido, o la elaboración de perfiles de usuarios y/o consumidores, que tanta influencia está cobrando en la actualidad, por su impacto, y por el ahorro de costes que ello lleva consigo
También sirven para la realización de cuestiones de tipo estadístico, de personalización, de desarrollo del negocio y para la elaboración de perfiles, así como para llevar a cabo, en definitiva, labores de lo que se denomina “marketing dirigido”.
Como es de sobra conocido, una cookie viene a representar un fragmento de información almacenado por el navegador o explorador de internet de cualquier ordenador, el programa software que usa para visitar la red.
Cuando una persona visita un sitio web, el sitio puede llegar a almacenar una cookie para poder reconocer dicho ordenador del usuario en el futuro.
Si luego dicho usuario vuelve a visitar ese sitio web, la misma es capaz de reconocer y leer esa cookie, y, al mismo tiempo, recordar el perfil de visita producido la última vez que el usuario o ese ordenador la visitó.
Así, debe tenerse en cuenta, que por este tipo de medios se produce ya un fenómeno característico, que permite realizar el seguimiento de la actividad del indicado usuario en internet durante un determinado período de tiempo, en el que las indicadas cookies se pueden usar para personalizar la experiencia de navegación, o, lo que a veces es más fácilmente reconocible para el usuario, como es la recepción de multitud de anuncios específicamente dirigidos al mismo.
Todos somos conscientes de haber visitado determinada página web tratando de localizar un producto concreto y determinado, y de manera sucesiva durante un cierto periodo de tiempo, cada vez que se realizamos una navegación por internet, de manera sucesiva nos van saltando anuncios con propaganda de lo que fue nuestra anterior búsqueda. Ello solo es posible mediante la existencia de las indicadas cookies.
Ahora bien, debe tenerse presente que las cookies no constituyen exclusivamente el único medio de seguimiento del usuario.
Así, se habla del sistema de huella de un aparato, el cual puede hacer un seguimiento de aparatos a lo largo del tiempo basándose en las configuraciones y ajustes del navegador utilizado.
Debido, precisamente a que cada navegador es único, la huella del aparato puede identificar el dispositivo que está utilizando el usuario, sin necesidad de usar cookies.
Como el sistema de huella de un aparato o dispositivo hace el seguimiento usando las características de la configuración del navegador utilizado, no servirá de nada que se procedan a eliminar, por ejemplo, las cookies.
De este modo, las tecnologías de huella de aparatos están evolucionando, de tal manera, que se pueden usar para hacerle un seguimiento en todos los tipos de aparatos o dispositivos que se encuentren conectados a internet, y que dispongan de navegadores, como pueden ser: los teléfonos inteligentes, las tabletas, los ordenadores portátiles y los pc o de escritorio.
A estos nuevos medios, debemos adicionarle las técnicas de seguimiento utilizadas en toda clase de aplicaciones móviles, o en los nuevos aparatos inteligentes vinculados a internet de las cosas (IoT), que sin lugar a dudas, también están revolucionando esta nuevas técnicas de seguimiento del usuario, mediante la monitorización de las preferencias en cada momento del usuario.
La aprobación del Reglamento (UE) 2016/679, y la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y de garantías digitales, ha supuesto una profunda transformación en el ámbito de la protección de datos de carácter personales. Ahora son muchas las empresas y los responsables de tratamiento que quieren adoptar sus principios, sobre todo las exigencias con relación a los clientes y sus empleados.
Especialmente es necesario referirse a estos últimos, y a las nuevas prácticas que, como consecuencia del cambio legislativo producido, se están incorporando a los contratos de trabajo, y que conlleva la inclusión de un conjunto de cláusulas y estipulaciones, a los efectos de dar, precisamente, dicha transparencia a las relaciones laborales.
En este sentido, ya no sólo se incluyen las menciones relativas al responsable del tratamiento, a las cesiones producidas de sus datos personales, o el ejercicio de sus derechos reconocidos en este ámbito normativo, teniendo en cuenta con respecto a estos, que deben ser incluidos las nuevas modalidades de derechos contemplados en la nueva normativa (portabilidad, olvido, supresión, limitación del tratamiento, etc.), sino que se hace especial incidencia en la finalidad de los tratamientos que se van a llevar a cabo como consecuencia de los datos proporcionados por el trabajador, la base legal sobre el que va a operar el tratamiento de dichos datos, o los destinatarios de los mismos, como consecuencia de los prestadores de servicios, que van a llevar a cabo la realización de los mismos, bajo las determinaciones que dicho responsable o empresa haya establecido.
Otras cuestiones relevantes a tener en cuenta hacen referencia a si se van a producir transferencias internacionales de datos, especialmente fuera del marco de la Unión Europea, o el periodo por el cual se van a conservar dichos datos de carácter personal. En este aspecto, en muchas ocasiones se opta por la aplicación de un criterio al efecto, antes que por la determinación de un plazo concreto y determinado.
Una cuestión ciertamente discutible es si existe por parte del empleador un derecho de uso de la imagen, de la voz y de otras circunstancias del trabajador, para cuestiones accesorias a lo que representa básicamente la relación laboral. Es cierto, que dichas menciones pueden ser incorporadas desde la perspectiva de la protección de datos de carácter personal al contenido del propio contrato de trabajo, pero dada su especialidad, constituye una garantía específica teniendo en cuenta que la mismas abarcan la cesión en otros derechos fundamentales por parte del trabajador, que dicho consentimiento se otorgue de manera específica e individualizada, y de modo separado a lo que constituye dicho contrato de trabajo.
La existencia de un canal ético o de denuncias también tiene cabida en las nuevas estipulaciones sobre protección de datos personales, teniendo en cuenta que cualquier denuncia o consulta, casi siempre conlleva el uso de datos personales, al menos, del propio trabajador que la formula.
Complementariamente a todo ello, también vinculado a la protección de datos ha crecido la regulación a los sistemas de información dentro de los contratos de trabajo.
Estos nuevos contenidos hacen referencia a la regulación de la utilización de los recursos tecnológicos propiedad de la empresa, por parte de los trabajadores, así como a la necesaria preservación de la seguridad de la información, que sea objeto de tratamiento en el seno de la misma.
En este ámbito de actuación cobra una especial singularidad la protección de la intimidad de los trabajadores, la información confidencial de la empresa, garantizar la continuidad del negocio, y desde un punto de vista estrictamente legal, cobra especial importancia el hecho de evitar la comisión de infracciones, o la imposición de sanciones a la empresa o al responsable del tratamiento, evitando las consecuencias económicas y reputacionales que se derivan de la producción de cualquier de cualquier tipo de ilícito administrativo, civil o penal.
Un aspecto que debe ser destacado en este ámbito de actuación, es la protección de aquellos intangibles de la empresa, entendiendo como tales: (i) las creaciones inventivas (patentes de invención, secretos industriales, los modelos de utilidad, los diseños industriales); (ii) los signos distintivos (marcas, nombre comercial, y los lemas comerciales); (iii) el conocimiento del saber hacer (know how); (iv) las relaciones con los clientes; (v) los procesos operativos; (vi) la tecnología de la información y bases de datos; (vii) las capacidades, habilidades y motivaciones de los empleados, etc.
Otro elemento determinante, entre otros muchos de la seguridad de la información, hace referencia a los elementos materiales sobre los cuales se extiende la utilización de la misma y que abarca desde los ordenadores, y demás dispositivos móviles, los documentos en papel, el software o las app’s utilizadas, los mensajes de texto o de mensajería instantánea, las video conferencias, los registros de acceso, los firewall, los proxis, y los demás sistemas de seguridad y hardware vinculados al ejercicio de cualquier actividad empresarial.
Existen otras muchas cuestiones, que deben ser tenidas en cuenta en este ámbito de actuación de cualquier empresa que pueden ser proyectados sobre las relaciones laborales, pero debe destacarse el compromiso que expresamente debe adquirir el trabajador con la confidencialidad y la seguridad de la información de la empresa a la que tenga por razón de las funciones que desempeñe acceso a la misma, y que habitualmente se materializa en la prohibición de ejecución de determinados actos, o en el desarrollo de un mínimo, pero exigible deber de diligencia, sin perjuicio de que existan previsiones específicas sobre el uso del correo electrónico, el acceso a internet, y cualquier otra clase de control sobre comunicaciones electrónicas, de acuerdo con las necesidades concretas que en cada caso tenga la empresa, conforme a su actividad o ámbito de negocio.
Javier Puyol Montero
Doctor en Derecho
Abogado. Director de PUYOL-ABOGADOS & PARTNERS
Magistrado Excedente. Consultor Tic’s
En el artículo 9 del Real Decreto Ley 5/2018, de 27 de julio, ratificado por el Congreso de los Diputados el día 4 de septiembre, se recoge de manera novedosa, y así se deduce del contenido del artículo 9 de dicho Norma, la posibilidad de la aplicación en materia de protección de datos de carácter personal, de la resolución de conflictos por medios alternativos al procedimiento administrativo. Esta posibilidad se produce, tal como se infiere de dicho texto legal, antes de la admisión a trámite por parte de la Agencia de Protección de Datos, de la reclamación formulada por el interesado, previendo a tal efecto dos posibilidades bien diferenciadas:
a). En el caso de que el responsable, o el encargado del tratamiento haya procedido a designar formalmente un delegado de protección de datos (DPD/DPO), en cuyo caso, por parte de dicha Autoridad de Control se remitirá dicha reclamación al indicado delegado de protección de datos para que proceda a dar respuesta a la misma, en el plazo de un mes. Igual trámite en este supuesto, se prevé con relación al organismo de supervisión establecido para la aplicación de los códigos de conducta, a fin de que den respuesta a la reclamación en el plazo también de un mes.
b). El segundo de los supuestos previstos hace referencia a la posibilidad de que la Agencia Española de Protección de Datos pueda, igualmente, remitir la reclamación al responsable o encargado del tratamiento cuando no se hubiera designado un delegado de protección de datos, ni tampoco estuviera adherido a mecanismos de resolución extrajudicial de conflictos, en cuyo caso el responsable o encargado deberá dar respuesta a la reclamación también en el plazo de un mes.
A la vista del contenido de este artículo 9, se deduce con manifiesta claridad, como la actuación de la Agencia Española de Protección de Datos, ha optado en esta nueva etapa normativa, por el reconocimiento expreso de los mecanismos alternativos para la resolución de conflictos, con carácter previo a la admisión de una reclamación formulada por un particular o titular de los datos, antes que establecer necesariamente su capacidad resolutoria en toda clase de conflictos vinculados con la protección de datos de carácter personal.
La resolución alternativa de conflictos, por tanto, se hace especial eco de la producción de los mismos, pero ya no le va a corresponder necesariamente a la Administración proceder a dar una cumplida respuesta a los mismos, sino que, en alguna medida, se pretende devolver a la sociedad civil la capacidad de solucionar de manera voluntaria y amigable los conflictos que surgen en el ámbito de la protección de datos, antes que, proceder a exigir imperativamente la intervención administrativa en la resolución de los mismos, como tradicionalmente venía ocurriendo.
Sólo cuando no sea factible obtener dicho acuerdo sea cual sea las razones que lo determinen, corresponderá a la autoridad de control ser, en definitiva, quien tenga la última palabra al respecto, sobre cómo proceder al respecto, de acuerdo con las normas competenciales y procedimentales preestablecidas.
Este proceso debe partir siempre de la exigencia prevista en el artículo 31 del GDPR, donde se establece que, tanto “el responsable y el encargado del tratamiento y, en su caso, sus representantes cooperarán con la autoridad de control que lo solicite en el desempeño de sus funciones”.
La forma de cooperación con dicha autoridad de control, que por este Real Decreto Ley se establece, tiene su punto de partida, por tanto, en la posibilidad de resolver los conflictos que surjan en este ámbito normativo, al margen, o más precisamente, liberando a la propia Agencia Española de Protección de Datos de tener que intervenir en la resolución del mismo, con las consecuencias que de ello se pueden derivar, ya que incluso, puede llegar a ser procedente, si ello fue preciso, a la posibilidad de la imposición de una sanción administrativa.
Por ello, de acuerdo con lo hasta ahora indicado, debe partirse del reconocimiento de una nueva pauta de derecho colaborativo, y más concretamente de la posibilidad de la aplicación de la llamada “Resolución Alternativa de Conflictos” (RAC), cuyo término responde a un concepto generalmente utilizado para definir un conjunto de métodos y técnicas que tienen como objetivo, precisamente, la resolución de conflictos sin confrontación y que, de ordinario, incluyen figuras ya tan reconocidas dentro de nuestro ordenamiento jurídico interno, como: la mediación, la negociación y el arbitraje.
Así, mientras que las decisiones de dicha autoridad de control, en este caso, de carácter administrativo producen resultados en los que, con relación a su resultado, unos pierden y otros ganan, la adopción de métodos de RAC puede tener como resultado soluciones en las que todos ganan, al poner fin a determinado conflicto jurídico de manera voluntaria y amistosa y esto permite obtener beneficios desde el primer momento de su aplicación.
En la indicada aplicación de los ADR’s en la resolución de conflictos derivados de la protección de datos de carácter personal, cobra singular importancia las figuras de la negociación y de la mediación. En este sentido, debe indicarse que ambas constituyen un mecanismo de resolución de conflictos que se ha convertido en una alternativa viable a los procesos administrativos seguidos ante esta tipología de reclamaciones propias de la protección de datos con preferencia a la resolución de los mismos por la Autoridad de Control.
Por tanto, se puede afirmar que la negociación, o alternativamente, incluso la mediación en este caso llevada a cabo por el delegado de protección de datos, o en su defecto, por el propio responsable o encargado de tratamiento, o el responsable de dicha gestión dentro de la estructura establecida en un código de conducta, siempre representa una ventaja alternativa, tanto para el cumplimiento de la normativa vigente en la materia, como en la resolución de las reclamaciones que legítimamente formule cualquier afectado en el uso de sus derechos y garantías legales.
Así debe tenerse en cuenta que, en los procesos de negociación son las partes las que buscan una solución a un conflicto, pero en la mediación, es una tercera persona la que asume el papel de mediador. En este caso, dicho pape puede venir atribuido al delegado de protección de datos, figura que cobra un especial protagonismo a estos efectos en el GDPR, para ello, basta con acudir al contenido del número 1º del artículo 39 del GDPR, donde se prevé expresamente no sólo su expresa obligación de cooperación con la autoridad de control ([apartado d]), sino su obligación de supervisar el cumplimiento de lo dispuesto en el Reglamento (UE) ([apartado b]), y su papel como punto de contacto con la autoridad de control, para todas las cuestiones relativas al tratamiento ([apartado e]), teniendo en cuenta que las facultades que se le atribuyen a dicho delegado de protección de datos en el citado artículo 39, tienen un carácter de mínimos, y no limitan ni impiden, la asunción por el mismo, de cualesquiera otras competencias vinculadas a la protección de datos de carácter personal, entre las que se puede, incluir, obviamente, la de la resolución de cualquier clase de conflicto o reclamación llevada a cabo por un títulos de los datos.
Complementariamente a ello, y si cabe de manera más explícita, cabe reconocer dicha capacidad al delegado de protección de datos, por ejemplo, con relación a las BCR’s, donde por ejemplo en la letra h). del número 2º, del artículo 47 del GDPR, se determina expresamente, como contenido de las mismas, que “las funciones de todo delegado de protección de datos designado de conformidad con el artículo 37, o de cualquier otra persona o entidad encargada de la supervisión del cumplimiento de las normas corporativas vinculantes dentro del grupo empresarial o de la unión de empresas dedicadas a una actividad económica conjunta, así como de la supervisión de la formación y de la tramitación de las reclamaciones”.
Partiendo, por tanto, del reconocimiento de estas nuevas funciones, el legislador, pretende hacer las mismas, se hagan extensivas a los propios responsables o encargados del tratamiento, o en su caso al organismo de supervisión establecido para la aplicación de los códigos de conducta.
En este sentido, la resolución del problema existente con el titular de los datos, puede ser resuelto como una simple negociación, entendiendo como tal, el proceso por el cual las partes en conflicto tratan los posibles resultados directamente unos con otros. Las partes intercambian propuestas y demandas, explican sus razones y continúan con la negociación hasta que se llega a una solución o se declara un bloqueo en las negociaciones, en cuyo caso, será la propia Agencia Española de Protección de Datos, la competente para determinar el modo, la forma, y el contenido de la decisión que finalmente haya de adoptarse para la resolución de dicho conflicto jurídico.
Todo ello conduce a la conclusión que cuando los actores de un conflicto o integrantes de un equipo que trabajan en un proyecto conjunto, por sí mismos tratan las diferencias suscitadas y toman decisiones conjuntas consensuadas, estaremos en el campo de la negociación, bien sea que las partes lo hagan por sí mismas o a través de otro que representa sus intereses.
En cambio, si dichas partes en conflicto, son ayudadas por un tercero que asume una posición neutral y facilita la comunicación para que ellos negocien una decisión que les pertenezca, estaremos en el terreno específico de la mediación.
Consecuentemente con ello, si opta por una auténtica mediación, cabe plantearse si el delegado de protección de datos es la persona adecuada para ejercer dicho cometido, y si de ordinario, está suficientemente formado y preparado técnicamente para ejercer tales cometidos, teniendo en cuenta, por ejemplo, que en el esquema de certificación diseñado por la propia Agencia Española de Protección de Datos, la capacitación en esta serie de habilidades e incluso las herramientas adecuadas desde el punto de vista formativo, encaminadas a su intervención en la resolución de cualquier clase de conflicto derivado de la protección de datos de carácter personal, han sido completamente obviadas.
Con independencia de ello, si sería conveniente a los efectos de ejercer las pretendidas funciones mediadoras, que el responsable, el encargado del tratamiento, así como los propios códigos de conducta o incluso las certificaciones en materia de protección fueran contando progresiva y paulatinamente con una reglamentación o protocolo de actuación ante tales situaciones, que incluso podría responder a un esquema prefijado por la propia Autoridad de control, en el que se evidenciara que dicho mediador debe actuar de una manera imparcial, analizando profunda y detenidamente cada reclamación formulada, a los efectos de procurar la búsqueda de una solución legal, mutuamente satisfactoria y justa, a cada problema suscitado. Máxime si se tiene en cuenta, que dicho proceso de mediación y de resolución extra administrativa del conflicto suscitado, tiene principalmente como objetivo, el hecho de restaurar y mejorar las relaciones entre las partes en conflicto, con independencia de cuál sea la cuestión de fondo que separa a las partes.
Lo ideal sería llegar a un acuerdo de naturaleza transaccional, a un acuerdo mutuamente consentido, donde se concretará el problema suscitado, la solución pactada por las partes, y su mutua voluntad de que se archive el expediente administrativo incoado por la propia Agencia Española de Protección de Datos.
Al hilo de ello, debe ponerse de manifiesto que el contenido de este acuerdo de mediación no es una cuestión baladí, pues no debe olvidarse que siempre va a estar la Autoridad de Control, evaluando el acuerdo al que las partes hayan podido llegar a consecuencia de la disputa o contingencia objeto de dichas diferencias.
La actuación del delegado de protección de datos debe ir encaminada al desarrollo de una serie de actividades, entre las que se pueden indicar las que se citan seguidamente:
a). Clarificar el conflicto e identificar quiénes son los actores con intereses en el mismo.
b). Crear una relación tanto entre el responsable o el encargado del tratamiento y el afectado o reclamante que efectivamente funcione de cara a la posibilidad de llegar a un acuerdo y resolver el conflicto existente.
c). Proceder a identificar de manera adecuada los intereses (implícitos) y los puntos de vista de las partes.
d). Identificar conjuntamente las mejores opciones o salidas al problema existente, de modo que ello conlleve un beneficio para todos.
e). Revisar los intereses contrapuestos de una manera razonable, especialmente comprendiendo el punto de vista del afectado, en sus perspectivas de titular de los datos, y, además, como reclamante.
f). Sopesar, seleccionar y proponer las posibles soluciones de carácter potencial al conflicto.
g). Conseguir actitudes de las partes que lleven de una manera real y efectiva a la aplicación de las soluciones acordadas.
h). Y finalmente, se hace imprescindible documentar debidamente la solución acordada, a los efectos de poder transmitir la realidad y el contenido de la misma a la Agencia Española de Protección de Datos, de cara a las repercusiones que ello puede tener a la continuación del procedimiento administrativo, originado por la reclamación del titular de los datos de carácter personal, presuntamente no respetados de manera correcta, suficiente y adecuada.
En este orden de cosas, a los documentos que se generen en este tipo de procesos, se les debe incorporar un sello de tiempo, a los efectos de acreditar de manera fehaciente tanto su contenido material, como el factor de temporalidad que los debe presidir, pues no se debe obviar, que la Agencia Española de Protección concede un plazo principal de un mes, en el cual debe procederse de manera voluntaria y amigable a dar una solución al problema suscitado.
La posición del delegado de protección de datos, o de la persona que actúe por cuenta del responsable o del encargado del tratamiento, debe asumir su papel, y ello determina una serie de condicionamientos que no se pueden pasar por alto. Entre ellos, cabe destacar los siguientes:
a). Separar las personas y los problemas para evitar emociones que pueden bloquear las posibles soluciones, no adoptando nunca una posición personal o subjetiva, que condicione el resultado de la negociación que tiene que llevarse a cabo.
b). Centrarse principalmente en los intereses y no en las posiciones; el objetivo es conseguir que se materialicen los intereses legítimos de ambas partes en conflicto.
c). Desarrollar soluciones múltiples entre las que elegir, buscando aquéllas que conlleven beneficios para las partes.
d). Insistir en utilizar siempre criterios objetivos y realistas en la negociación o mediación de modo que se posibilite el diálogo y la obtención del acuerdo.
Algunas estadísticas han mostrado que, cuando el procedimiento para tratar la disputa es requerido de común acuerdo, el índice de éxito en la obtención de acuerdos en dichas controversias, es, sin lugar a dudas, mayor y de mejor calidad, no presuponiendo, por ejemplo, una ruptura en las relaciones entre el responsable o encargado de tratamiento, y el reclamante o titular de los datos.