Big data en la “lectura de la luz” ¿nuevo riesgo para la privacidad?

Año 2020: Es el año pensado por la Unión Europea para que en la mayoría de los hogares europeos posean contadores inteligentes para la medición del consumo de electricidad. Así se desprende de la Directiva 2009/72/CE del Parlamento Europeo y del Consejo de 13  de  julio de 2009 sobre normas comunes para el mercado interior de la electricidad y por la que se deroga la Directiva 2003/54/CE. En concreto en su Anexo I, que se refiere a las medidas de protección al consumidor, se refleja la siguiente mención:

Los Estados miembros garantizarán la utilización de sistemas de contador inteligente que contribuirán a la participación  activa de los consumidores en el mercado de suministro de electricidad (…)

Cuando se evalúe positivamente la provisión de contadores inteligentes, se equipará, para 2020, al menos al 80 % de los consumidores con sistemas de contador inteligente.

Antes de continuar, es preciso tener claro qué es un contador inteligente: Contador de medida del consumo eléctrico que puede ser leído y gestionado remotamente y que está conectado a una red. Pueda tratar más información que un contador convencional, como por ejemplo, tipología de consumo. Un tratamiento de estos datos podría conllevar a obtener información sobre hábitos de consumos eléctricos, por ejemplo.

El 9 de marzo de 2012, la Comisión redactó una Recomendación (2012/148/UE: Recomendación de la Comisión, de 9 de marzo de 2012 , relativa a los preparativos para el despliegue de los sistemas de contador inteligente), donde, además de analizar los requisitos mínimos de esos contadores inteligentes, establecía una serie de directrices en aras a garantizar la seguridad y protección de datos. Por tanto, la propia Comisión ya observa que el uso de estos sistemas puede conllevar un riesgo para la privacidad. Lo que más preocupaba a la Comisión, en este sentido, es lo siguiente:

• Se recomienda la realización de una evaluación del impacto sobre la protección de los datos de estos sistemas, consensuado entre los Estados miembros, las autoridades de control y quienes exploten los sistemas de contador inteligente.
• Se deberá tener en cuenta la protección de datos desde el diseño. Para ello dispondrán tanto medidas legislativas, como técnicas y organizativas.
• Se observará la protección de datos por defecto, en el sentido que “se facilite al cliente la configuración preestablecida que mejor proteja los datos.”
• Se recomienda el tratamiento anonimizado de datos de datos. No obstante , si existiera un tratamiento de datos personales, deberá basarse en alguno de los supuestos del artículo 7 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos que, recordemos, son:
  • Consentimiento del interesado.
  • Ejecución de un contrato.
  • Interés vital del interesado.
  • Interés público o ejercicio de un poder público.
  • La satisfacción de un interés legítimo del responsable de tratamiento.
• La seguridad de los datos debe ser parte de la protección de datos desde el diseño. Se recomienda el uso de canales cifrados.
• En caso de violación de los datos personales, el responsable del tratamiento debería notificarlos autoridad de control y al interesado, en un plazo de 24 horas.
• Deberán cumplirse las obligaciones de información de los artículos 10 y 11 de la Directiva 95/46/CE y especial se deberá informar al interesado de las siguientes cuestiones:
  • Identidad y datos de contacto del responsable del tratamiento y de su representante, así como del responsable de protección de datos, si lo hubiera.
  • Finalidades del tratamiento previsto de los datos personales.
  • Período durante el que se almacenarán los datos personales.
  • Los derechos ARCO y el derecho a presentar una reclamación a la autoridad de control competente.
  • Destinatarios de los datos, si los hubiere.

Es posible darse cuenta, en este punto, de que en estas Recomendaciones de la Comisión, aparecen conceptos que en el sistema jurídico actual de protección de datos no existen: evaluaciones de impacto, protección de datos desde el diseño, comunicaciones en las violaciones de datos,… Todo ello es fruto de la nueva “ola” de protección de datos que se introdujo con la Propuesta de Reglamento de Protección de Datos realizada por la Comisión a principios de 2012 y que, a día de hoy, todavía se está negociando. Debemos tener en cuenta que esta Propuesta  debe ser considerada como lo que es: Un borrador de lo que pretende la Comisión que sea el nuevo sistema jurídico de protección de datos en Europa.

Volviendo a la Recomendación 2012/148/UE, el Supervisor europeo de protección de datos emitió una Opinión a finales de 2012 (se puede consultar en inglés aquí y un resumen de la misma en castellano aquí), cuyas cuestiones más relevantes, bajo mi punto de vista, son las siguientes:

• Los contadores inteligentes permiten la obtención de datos personales y podrían “llevar al seguimiento de lo que hacen los miembros de una familia en la intimidad de sus hogares”.
• Se debería relacionar cada riesgo en materia de privacidad  con un control adecuado.
• Se debe instar a la obligatoriedad para que los responsables de los contadores inteligentes lleven a cabo una evaluación de impacto sobre la protección de datos y la notificación las violaciones de datos personales.
• Se debería distinguir en la lectura de contadores inteligentes, actuaciones que no tendrían requerir el consentimiento de los interesados y actuaciones en la que el consentimiento sea necesario.
• La recogida de datos de carácter personal tendría que ser el mínimo necesario.
• En cuanto al período de conservación de los datos de las lecturas realizadas por los contadores inteligentes, debería coincidir con el período en que puede reclamarse una factura. No obstante, por vía de consentimiento se podrá tener en cuenta un período mayor  ”por ejemplo, para obtener un asesoramiento específico sobre energía.”
• Se debiera dar acceso a los interesados a los datos que se recojan a través de los contadores inteligentes, entre los que se incluirían “la extracción automática de datos, la publicación de los perfiles de las personas físicas y la lógica de todos los algoritmos utilizados para dicha extracción”.

Este nuevo riesgo sobre la privacidad está ya presente, porque en la actualidad las grandes distribuidoras eléctricas están sustituyendo los contadores convencionales (los de de la “ruedecita”) por estos contadores inteligentes. En Europa ya hemos visto que se han dado cuenta de este riesgo, pero en nuestro país parece que no. Sería muy útil conocer el criterio de la Agencia Española de Protección de Datos sobre esta materia, pero de momento, nos toca esperar, ya que el cloud y las cookies es lo que, para la privacidad, más riesgo conlleva, a tenor de los últimos eventos del mencionado organismo administrativo. Por ello, no perdamos de vista este tema de los contadores inteligentes, no vaya a ser que nos la “cuelen por la puerta de atrás”.

Gontzal Gallo

Especialista en Derecho de las TIC

Colegiado en el Ilustre Colegio de Abogados del Señorío de Vizcaya

Miembro de la Asociación de Expertos Nacionales de la Abogacía TIC (ENATIC)

http://www.gontzalgallo.com

Twitter: @gongaru

Linkedin: Gonzalo Gallo

Hablando de la Propuesta de Reglamento en el X Foro de la Salud

El pasado 20 de marzo, tuve el placer de compartir una Sesión en el X Foro de Seguridad y Protección de Datos de Salud, organizado por la Sociedad Española de Informática de la Salud (SEIS). Coordinados por Julián Prieto Hergueta (Subdirector General del Registro General de Protección de Datos de la Agencia Española de Protección de Datos), Mónica Arenas Ramiro (Profesora de Derecho Constitucional de la Universidad de Alcalá de Henares), Francisco Pérez Bes (Vicepresidente de la Asociación de Expertos Nacionales de la Abogacía TIC-ENATIC) y yo, compartimos una interesante Sesión con los asistentes, hablando de la “Nueva Protección de Datos que viene de Europa”. Dicho de otra manera, de la Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos).

Fotografía realizada por Pedro Alberto González (@paGonzalez)

Una vez realizada la introducción por Julián Ruiz y tras los agradecimientos de rigor, Mónica Arenas nos recordó la importancia de la Protección de Datos (que es uno de los Derechos Fundamentales) en nuestros días y cómo no debe caer en el olvido. También justificó el porqué de un Reglamento Europeo y no una Directiva (como la actual Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos). También nos enumeró los principios y los derechos de los interesados que se reflejan en la Propuesta de Reglamento, algunos de ellos nuevos, como el “archicomentado” derecho al olvido o el derecho a la portabilidad, pasando por el consentimiento “explícito” o el derecho a la transparencia en la información. Por último, hizo mención a cómo recoge la Propuesta de Reglamento el tema de la autorregulación. También nos habló de una posible fecha para la aprobación de lo que ya sería el Reglamento: enero de 2014.

La segunda parte de esta Sesión corrió de mi parte, y comencé hablando de la regulación de la seguridad en la Propuesta de Reglamento y de cómo ya no se recogen medidas específicas en niveles de seguridad, sino que cada responsable debe partir de una evaluación de riesgos. A continuación me referí a cómo, en determinados tratamientos de datos, se prevé que se deban realizar evaluaciones de impacto (las tan comentadas “PIAS”) y cual va a ser el papel de las autoridades de control, (ya que parece que la obligación de registrar ficheros se va a eliminar) en materia de autorizaciones en transferencias internacionales de datos y en materia materia de consultas previas, tras una evaluación de impacto en el que se detecte un riesgo específico. Por último y ya pasado de tiempo, hice mención al contundente régimen sancionador que recoge la Propuesta, que demuestra que la Comisión se ha tomado en serio la materia de Protección de Datos.

Por último, cerró la tanda de exposiciones de esta Sesión Francisco Pérez Bes, mostrando, en primer lugar una de las grandes novedades de la Propuesta de Reglamento: la privacidad desde el diseño y por defecto, o dicho de otra manera, que la protección de datos debe ser tenida en cuenta por los responsables a priori y no a posteriori, como lamentablemente sucede en bastantes ocasiones. También mostró a los asistentes la regulación de la transferencias internacionales de datos y que, aun cuando no existen grandes cambios conceptuales, sin que aparecen algunas novedades como la regulación de la normas corporativas vinculantes. Por último, se hizo mención también al llamado “one stop shop”  o cómo se han regulado determinados mecanismos de coherencia entre las autoridades de control.

Dado lo ajustado del tiempo, no hubo muchas preguntas de los asistentes, pero las que se plantearon hacía mención a la nueva regulación de la seguridad y la no existencia de medidas concretas, sino derivadas de una evaluación de riesgos. También algunos de los asistentes se mostraron “preocupados”, sobre todo en el sector de la PYME, por la más que probable eliminación de la obligación de la inscripción de ficheros, ya que si a día de hoy, en este sector la protección de datos es conocido por la actual obligación de inscripción de los ficheros.

Como conclusión, me gustaría añadir que, como siempre en este Foro, la Sesión fue interesante y, particularmente, creo que pudimos mostrar hacia donde se dirige la Protección de Datos en Europa. Ahora bien, no me gustaría acabar este pequeño resumen con unas reflexiones sobre la Propuesta de Reglamento: ¿Realmente es necesario un cambio tan profundo? Si nuestro Código Civil va camino de los 125 años (obviamente con adaptaciones en el tiempo), ¿porqué una norma tan específica, parece que apenas va a durar 20 años? ¿No hubiera sido mejor una adaptación de la normativa actual? ¿Supone esta Propuesta de Reglamento admitir que la actual normativa de protección de datos era inadecuada e insuficiente? Yo creo que la respuesta es clara: Si.

Gontzal Gallo

Especialista en Derecho de las TIC

Colegiado en el Ilustre Colegio de Abogados del Señorío de Vizcaya

Miembro de la Asociación de Expertos Nacionales de la Abogacía TIC (ENATIC)

http://www.gontzalgallo.com

Twitter: @gongaru

Linkedin: Gonzalo Gallo

Comercio electrónico: Los tracking y la LOPD

Últimamente me ha estado rondando en la cabeza, lo bien que funcionan algunos sitios en Internet que se dedican a la venta online (o al comercio electrónico). Está claro que la visión que hoy tenemos de la compra por Internet difiere mucho a la de hace algunos años. Antes, lo que más preocupaba era tener que dar el número de la tarjeta para comprar, cosa que ahora, ya no genera tanto miedo (a no ser que compres en la web http://www.mafiosos.tu).

Particularmente, además de la confianza por el uso de estas nuevas formas de comprar productos, creo que una de las cuestiones del éxito del comercio electrónico es el desarrollo de la logística. Las empresas de transportes siempre han existido, desde el antiguo monopolio de Correos y Telégrafos hasta el gigante FedEx (no puedo evitar que me venga a la cabeza, al hablar de esta compañía, Tom Hanks y su amigo Wilson y gracias Jon por el apunte). Pero últimamente, considero que hay un pequeño “boom” en este tipo de compañías. Sin ningún ánimo publicitario: SEUR, MRW, ChronoExpress, ASM,…. son algunos ejemplos que, o bien, han crecido exponencialmente, o bien han aparecido hace unos pocos años.

Pero ¿a que se debe? Pues sin duda, uno de los motivos es el comercio electrónico. Hace unas semanas estuve en una delegación de una de estas compañías y el 75% de la paquetería a repartir era BuyVip y Amazon. Sin duda ejemplificador.

Un procedimiento estándar en la compra por Internet es:

• Un usuario compra en la web. Y obviamente facilita unos determinados datos personales para la facturación y envío del producto comprado.
• Se procede al pago (generalmente mediante tarjeta de crédito).
• La web procesa el pago.
• Se envía un correo electrónico al usuario señalando que se ha realizado el envío. Habitualmente, estos correos electrónicos llevan consigo un “número de seguimiento” o tracking, para que el usuario pueda ver, en la web de la empresa transportista, cómo está su envío.
• El comprador recibe su producto.

Ese tracking no sólo da información puntual de si el envío está en almacén, está en transito o ya ha salido en reparto, sino que también, muestra los datos identificativos del usuario y su dirección. Hasta aquí todo correcto e, incluso, podíamos pensar que es un servicio de valor añadido al comprador, pero ¿y si entra en juego nuestra querida LOPD?

Me explico: Generalmente esos números (de unas 10 o más cifras) se suelen colocar en un buscador de la web del transportista para dar la información, pero ¿alguien ha probado a poner un número de seguimiento diferente al facilitado (por ejemplo sumando 1 o 2 al que nos han dado)? Pues nos podemos encontrar con la sorpresa de que nos de la información de otra persona. Esta situación ¿cómo encajaría con el artículo 10 de la LOPD? Conociendo a la Agencia de Protección de Datos, no sería difícil encontrarnos ante un incumplimiento del deber de secreto. Cuestión diferente es quien sería el incumplidor: ¿la web de comercio electrónico o la empresa de logística? Pero esto ya sería otro debate diferente al que quiero mostrar.

Desconozco si,  para evitar riesgos relacionados con la privacidad, o por otros motivos no jurídicos, algunas compañías, exigen un “plus” y exigen, además del número de seguimiento, otra información adicional, como pudiera ser en código postal donde se tiene que remitir el paquete. Está claro que esto mitigaría un acceso a información personal no consentida y, por tanto, un hipotético incumplimiento del deber de secreto, pero ¿cómo queda el deber de seguridad del artículo 9 de la LOPD? Y más concretamente, ¿se cumpliría con el artículo 93.2 del RLOPD?:

Artículo 93. Identificación y autenticación.

(…)

2. El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.

(…)

Así pues, con ese número de seguimiento, ¿no se estaría accediendo a un sistema de información con datos de carácter personal? Es más, ¿se podría considerar a ese tracking como un sistema de identificación y autenticación acorde a la LOPD? Yo creo que no.

Como conclusión, y como no podría ser de otra manera, debemos ser conscientes que las nuevas formas de negocio por Internet, no sólo tienen que dar un servicio añadido a sus clientes, sino que deben ser conscientes de los riesgos legales de ofrecerlos sin tener en cuenta las consecuencias jurídicas. En materia de protección de datos, se habla últimamente de privacy by design. En algunos sistemas de tracking, si se hubiera tenido en cuenta esto, no nos encontraríamos con lo que he expuesto en este post.

Gontzal Gallo

Especialista en Derecho de las TIC

Colegiado en el Ilustre Colegio de Abogados del Señorío de Vizcaya

Miembro de la Asociación de Expertos Nacionales de la Abogacía TIC (ENATIC)

http://www.gontzalgallo.com

Twitter: @gongaru

Linkedin: Gonzalo Gallo

Google+: +Gontzal Gallo

¿La LOPD permite a los abogados tratar datos penales de sus clientes?

La LOPD, en su artículo 7.5 regula el tratamiento de datos de infracciones penales (y administrativas) de la siguiente manera:

“Los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo podrán ser incluidos en ficheros de las Administraciones públicas competentes en los supuestos previstos en las respectivas normas reguladoras.”

Lo que viene a decir este artículo es que sólo las Administraciones Públicas podrán incluir en sus ficheros datos relacionados con infracciones penales (y administrativas), siempre y cuando lo prevea su normativa reguladora. Si esto es así, ¿puede existir otro supuesto en que se incluyan datos de infracciones penales en un fichero? ¿Qué sucede, por ejemplo, con los ficheros de los abogados?

Uno de los primeros Informes Juridicos de la Agencia Española de Protección de Datos (el relacionado con la Difusión de datos de sentencias condenatorias por negligencia médica) afirmaba lo siguiente:

“el artículo 7.5 de la Ley establece una regla específica para  este tipo de datos, que impide, en todo caso, su tratamiento por parte de cualquier entidad de derecho privado, quedando limitado dicho tratamiento a las Administraciones Públicas y, exclusivamente, cuando así lo establezca una norma con rango suficiente.”

Parece que con lo dispuesto en la normativa de protección de datos y la interpretación que realiza la Agencia sobre el artículo 7.5 de la LOPD, los Abogados no podrían recoger en sus ficheros datos sobre infracciones penales de sus clientes. Obviamente, esta visión sería muy simplista y únicamente desde el punto de vista de la LOPD, que recordemos, únicamente es una Ley que, entre otras cuestiones, regula un derecho fundamental.

Y siguiendo con los derechos fundamentales, quiero referirme al reflejado en el artículo 24.2 de la Constitución que señala:

“Asimismo, todos tienen derecho al Juez ordinario predeterminado por la Ley, a la defensa y a la asistencia de letrado, a ser informados de la acusación formulada contra ellos, a un proceso público sin dilaciones indebidas y con todas las garantías, a utilizar los medios de prueba pertinentes para su defensa, a no declarar contra sí mismos, a no confesarse culpables y a la presunción de inocencia. “

Vemos por tanto otro derecho fundamental, como es el de defensa y asistencia de letrado, que será realizada por los abogados cuyas funciones son, según la Ley Orgánica del Poder Judicial,  ”la dirección y defensa de las partes en toda clase de procesos, o el asesoramiento y consejo jurídico”.

Podríamos, por tanto, encontrarnos ante un conflicto (creo que de sencilla resolución) entre el derecho a la protección de datos y el derecho a la defensa y a la asistencia de letrado, teniendo, en mi opinión, más peso este último derecho y, por tanto, pudiéndose afirmar que para un correcto ejercicio del derecho a la defensa y a la asistencia letrada, los abogados podrán tratar datos personales sobre infracciones penales de sus clientes, siempre y cuando sirva para cumplir con sus funciones  ante sus clientes de dirección y defensa en los procesos judiciales o su asesoramiento y consejo jurídico.

Por último, quería recordar lo que ya comentaba en otro post hace algunos meses, la protección de datos no es ilimitada, omnipresente y omnipotente. “Sólo” es un derecho fundamental más y hay que “ponerla en juego” con el resto de los derechos fundamentales.

Gontzal Gallo

Especialista en Derecho de las TIC

Colegiado en el Ilustre Colegio de Abogados del Señorío de Vizcaya

Miembro de la Asociación de Expertos Nacionales de la Abogacía TIC (ENATIC)

http://www.gontzalgallo.com

Twitter: @gongaru

Linkedin: Gonzalo Gallo

Google+: +Gontzal Gallo

¡¡Quiero participar en la vida política!!

Reza el artículo 9.2 de la Constitución

“Corresponde a los poderes públicos promover las condiciones para que la libertad y la igualdad del individuo y de los grupos en que se integra sean reales y efectivas; remover los obstáculos que impidan o dificulten su plenitud y facilitar la participación de todos los ciudadanos en la vida política, económica, cultural y social.”

En definitiva que los poderes públicos, tienen sus obligaciones con los ciudadanos y una de ellas es facilitar su participación en la vida política. Dentro de estos Poderes tenemos al legislativo, es decir a las Cortes Generales.

Sirva estos primeros párrafos para introducir mi visión sobre “el caso de los  iPads”, en el que algunas de sus señorías han extraviado estos dispositivos, facilitados por el Congreso, para que sus tareas como representantes de los ciudadanos puedan realizarse de manera más cómoda y efectiva. Sobre este caso David Maeztu ya escribió hace algunos días en su blog “El control de los diputados (y otros representantes públicos) y la Protección de Datos” para ilustranos, entre otras cuestiones, sobre la negativa del Congreso a informar quiénes fueron los que los perdieron, utilizando la excusa de la LOPD no permitía saber quienes habían perdido los iPads. También Francisco Javier Sempere se refirió, en su día y en su blog, con un post titulado: “LOPD para todo:“De como la ignorancia y falta de rigor se apoderan de una ley”.

Al hilo de todo ello, quiero recordar, como ya escribí hace algún tiempo, que la LOPD no es ilimitada, y que en nuestro ordenamiento existen bienes jurídicos que, en ocasiones, entran en conflicto que es necesario resolver. Y particularmente, creo que, en este caso, hay un conflicto entre la LOPD (esgrimida por la Mesa del Congreso para no facilitar los nombres de los Diputados que han perdido sus iPads) y el artículo 9.2 de la Constitución. Y este conflicto no será por el “choque” de dos derechos fundamentales ya, que como bien señala el Tribunal Constitucional,  el artículo 9.2 de la Constitución, no otorga ningún derecho subjetivo a los ciudadanos que sirva para acudir a la vía del amparo constitucional (Sentencia 120/1990, de 27 de junio).

Una muestra de la participación ciudadana en la vida política, es el reconocimiento del sufragio activo del artículo 23.1 de la Constitución que según doctrina del Tribunal Constitucional significa que los representantes dan efectividad al derecho de los ciudadanos a participar (…), que la permanencia de los representantes dependerá de la voluntad de los electores que la expresan a través de las elecciones periódicas, como es propio de un Estado democrático (…) (Sentencia 5/1983, de 4 de febrero).

Es decir, que somos los ciudadanos, cada cuatro años, los que nos expresamos en las elecciones para elegir a nuestros representantes y, obviamente, somos libres en la elección que tomamos. Pero aquí la clave, para mí, es que tenemos que esperar cuatro años para expresar nuestra opinión política, y en ese tiempo, para poder participar activamente en la vida política, necesitamos saber que es lo que hacen nuestros representantes.

Está claro que hasta que no se publique de una vez por todas la Ley de Transparencia, está participación en la vida política tiene que darse por otros medios y, así, considero que los ciudadanos tenemos derecho a conocer que es lo que están haciendo nuestros representantes, para ayudar a formar nuestra opinión política que será expresada cada cuatro años.

Así, para que  todos los ciudadanos participemos activamente en la vida política, el Congreso, debe facilitarnos nuestra participación y, sinceramente, con su negativa a informar qué representantes han perdido sus iPads, creo que no nos facilita esta tarea. Así, si tuvieran a bien informarnos, podría permitir a los ciudadanos controlar las actividades de sus representantes y así, en este caso, o bien “perdonarles” este desliz de sus señorías, o bien, tenerlo en cuenta para que en las próximas elecciones obremos en consecuencia.

Gontzal Gallo

Especialista en Derecho de las TIC

Colegiado en el Ilustre Colegio de Abogados del Señorío de Vizcaya

http://www.gontzalgallo.com

Twitter: @gongaru

Linkedin: Gonzalo Gallo

Google+: +Gontzal Gallo