Categorías

Cómo hacer y cómo no hacer las cosas en protección de datos. Dos modelos antagónicos.

El post invitado de esta semana lo trae Susele Cortés, que no sólo es letrada en la diputación de Málaga, es que, además, se lanzó de cabeza como Delegada de Protección de Datos de su diputación, actividad sobre la que ha ido profundizando, innovando y compartiendo con todo el mundo interesado en la materia. Muestra de ello, este post.

Como sabemos, en el mundo existen diversos modelos de protección de datos que pueden entenderse circunscritos a diversas áreas geopolíticas: Europa, Norteamérica, América Latina y Asia-Pacífico. De estos modelos, el más desarrollado es el europeo, dado que es el que mayor nivel de detalle tiene, el más protector para los derechos de los afectados, y el que muestra un mayor grado de evolución de los principios de protección de datos acorde con sus fines y objetivos.

Cuadro de Yue Minjun con Mao Tse Tung nadando en la cabeza de una personas
Cuadro del pintor chino Yue Minjun. Fuente

Cuándo se pueden tratar datos personales en el modelo de gobernanza de datos europeo.

Es curioso lo determinante que es, para todo, el lugar donde has nacido o donde has elegido vivir. En Europa, en este campo, nos podemos sentir más “seguros” al tener una normativa -el Reglamento General de Protección de Datos (RGPD)- que intenta reforzar la protección de los datos personales y dar respuesta a los nuevos retos planteados por la rápida evolución tecnológica y la globalización. Y es que, tal y como expone CAMPOS ACUÑA, la inteligencia artificial, el big data, los tratamientos masivos de datos y, la imprudencia en la gestión de su propia privacidad en las redes sociales, puede convertir a las personas físicas en “ciudadanos de cristal”para las administraciones públicas, en particular.

Pero ¿qué es realmente lo que se protege en la protección de datos? BORJA ADSAURA VARELA plantea la pregunta de otra manera,¿nuestros datos son realmente nuestros?. Estoy totalmente de acuerdo con su respuesta: se es dueño de los propios datos personales en el sentido de que cada uno tiene -o debe tener- el control de esos datos, pero eso no quiere decir que los datos personales sean una propiedad. En realidad no se protegen los datos, se protege la identidad del titular o, como dice el propio Adsaura, “se protege la asociación de unos datos con una persona identificada o identificable, porque los datos aportan información sobre nuestro honor y nuestra intimidad y, esos son los verdaderos bienes jurídicos y derechos fundamentales que se protegen” en el art.18.4 de la Constitución -origen del derecho a la protección de datos-: “La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”. En este sentido, el Considerando 7 del RGPD afirma que “Las personas físicas deben tener el control de sus propios datos personales”.

No obstante, este control, no siempre dependerá del consentimiento de las personas físicas. Llegados a este punto, no cabe duda que la Administración pública recaba datos de sus ciudadanos porque, efectivamente, necesita tratarlos para cumplir las  funciones públicas que tiene encomendadas, pero los datos personales no puede tratarlos sin base legal, ni siquiera teniendo “permiso” del ciudadano. Las bases jurídicas del tratamiento son las condiciones que determinan su licitud y, si no concurren, simplemente se prohíbe su tratamiento.

¿Y cuáles son las bases de licitud del nuevo modelo de tratamiento de datos europeo? Sencillo, únicamente se permite el tratamiento de datos personales si existe una razón justificada en una de las bases jurídicas del art.6 del RGPD: consentimiento, ejecución de un contrato, obligación legal, interés vital, interés público e, interés legítimo.

Las bases jurídicas de tratamiento en las Administraciones Públicas

Es a partir del nuevo RGPD, cuando la Agencia Estatal de Protección de Datos (AEPD) entiende que, con carácter general, la base jurídica de los tratamientos de datos de las Administraciones será o el cumplimiento de una obligación legal o, el necesario cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos.Puede resultar muy taxativo pero es verdad que si seguimos la doctrina de la vinculación positiva de la Administración a la legalidad (del profesor García de Enterría), toda actuación de la Administración –de derecho público o de derecho privado- está guiada, en términos amplios, por el “interés público”. La Administración sólo puede realizar aquello que el ordenamiento jurídico le permite expresamente.

A efectos prácticos, las Administraciones Públicas actúan mediante actos administrativos dictados en virtud de procedimientos siempre y cuando tengan competencia para ello, actuando en el ejercicio de sus funciones o en cumplimiento de una misión de interés público. Por tanto, esta base legal siempre estará presente y será la prevalente, aunque las potestades públicas puedan desembocar en otras bases jurídicas específicas concurrentes. Un ejemplo típico es la potestad de contratar de las Administraciones, otorgada por Ley, y en cuyo tratamiento también concurre la base de licitud del cumplimiento necesario para la ejecución de un contrato.

¿Y el consentimiento? Pese a que la AEPD niega el consentimiento como base de licitud único para la Administración, el consentimiento sí será base de legitimación cuando una ley especial así lo determine (por ejemplo, la Ley 39/2015 establece el necesario consentimiento expreso del interesado para que un funcionario habilitado valide su identificación o firma electrónica en una Oficina de Asistencia en Materia de Registro) o, para que la Administración pueda ceder datos a un tercero del sector privado que no tenga interés legítimo.

Por último, referir que la AEPD considera que el interés legítimo nunca será base jurídica para los tratamientos realizados por las autoridades públicas en el ejercicio de sus funciones. ¿Y si no actúa en el ejercicio de sus funciones públicas? Tampoco. ¿Por qué? Porque interpreta el concepto “misión de interés público” en sentido amplio, lo que permitiría tratar los datos personales necesarios para las finalidades legítimas establecidas por el ordenamiento jurídico, incluso en el ámbito del derecho privado.

Otro modelo de gobernanza de datos y un gran ejemplo de cómo NO hacer las cosas

Sí. Estoy convencida de que el modelo europeo, aunque no sea perfecto, garantiza que el tratamiento de datos personales sólo se llevará a cabo si existe una base legal para tratarlos, con el conocimiento del titular de esos datos y, sea quien sea quien los trate. Pero esto no ocurre en otros modelos. De hecho, ahora expondré el ejemplo del modelo de gobernanza de datos que nunca debería seguirse, pero que existe.

Cuando leí el artículo “La tecnogobernanza china: ¿quién necesita democracia si tiene datos?”, quedé totalmente impactada y comprendí mucho mejor el porqué de la filosofía garantista del RGPD. En este artículo se relata como China gobierna mediante algoritmos opacos capaces de incluir a ciudadanos en listas negras o en campos de reeducación política y religiosa, usando una combinación de vigilancia, inteligencia artificial y big data, aplicada a los datos personales. Esto es, controla el comportamiento público utilizando la tecnología en red como herramienta de gestión pública.

Uno de estos proyectos del Gobierno chino es el Sistema de Crédito Social (o mejor llamado sistema de «confianza» o «reputación”), actualmente en fase de diseño, con implementación total prevista para el 2020 y, cuya principal herramienta son las listas negras. Las personas que no han pagado multas o no han cumplido sus sentencias, pasan a una lista negra que les impide pedir dinero prestado, reservar vuelos o, alojarse en hoteles de lujo ¿No os recuerda esto a la distopía de Black Mirror?

Pero eso no es todo, la tecnogobernanza china, tras tratar y evaluar flujos de datos aplicando algoritmos predictivos, forma listas negras con personas que son consideradas más propensas a delinquir o generar conflictos. Los afectados desconocen cuáles son los datos recopilados o cuáles son las reglas de aplicación a los datos; además, no existe un registro público ni responsabilidad de cómo se construyen o ponderan los cálculos de estos algoritmos ¿Y eso no os recuerda a la película “Minority report” de Tom Cruise?

También llama mucho la atención la existencia de ciudades chinas en las que, a través de cámaras con reconocimiento facial, se proyectan fotos de peatones imprudentes, con su nombre y su DNI en una valla publicitaria.

¿Demasiado “smart city”? Tal vez nunca es demasiado, pero literalmente es dar una patada a todos los principios que rigen el RGPD. Parece todo ciencia ficción, pero ahora puede ser real gracias a la inteligencia artificial y el big data, por eso es tan importante proteger los derechos de las personas físicas para que los datos generados y almacenados no sean “mal usados” privándole de derechos o incluso de libertades.

Ciertamente, el nuevo escenario que generan las ciudades inteligentes deberá crearse teniendo en cuenta las potenciales vulneraciones de derechos (protección de datos de carácter personal, libertad, intimidad, igualdad, etc.) que plantean los procesos de toma de decisiones basados en datos y la utilización de algoritmos y de herramientas de inteligencia artificial. Está claro que las garantías clásicas del consentimiento o la habilitación legal resultan insuficientes y será preciso reconfigurarlas. Más retos para un horizonte cercano.

Comparte este artículo

Acerca del autor

Susele Cortés

Susele Cortés

Licenciada en Derecho por la Universidad de Málaga. Máster en Derecho Fiscal (ESESA, 1999-2000) y, Máster en Derecho Concursal y Administración Pública (ISEL, Diputación de Málaga, 2012-2013). Desde 2005 es Técnico Jurídico Letrado en el Organismo recaudatorio de la Diputación Provincial de Málaga (Agencia Pública de Servicios Económicos Provinciales de Málaga. Patronato de Recaudación Provincial), desempeñando sus funciones en el Servicio de Asesoría Jurídica hasta julio de 2018. Por las particularidades funcionales del Organismo recaudatorio, y su ámbito de actuación, se ha especializado en derecho tributario local, administrativo y concursal. Desde el 25 de mayo de 2018 es la Delegada de Protección de Datos y Transparencia de la Agencia. Actualmente compatibiliza estas funciones con las asignadas como responsable del Registro General del Patronato de Recaudación.

Regístrate y consigue los últimos artículos en tu mail.

Deja un comentario

SUSCRÍBETE AL BOLETÍN DEL BLOG

y recibe novedades y material exclusivo sobre transformación digital en Administraciones Públicas
Analítica Pública usará esta información para mandarte el boletín y actualizaciones puntuales. Del mismo modo, si deseas señalar qué aspectos son los que te interesan de la Transformación Digital, lo tendremos en cuenta para trabajar más en esos campos. También tendremos en cuenta si abres o no los correos y si haces clic en ellos. No es por cotilleo, eso ayuda mucho a la hora de saber qué temas y enfoques son los que interesan y los que hacen que la gente nos regale un poco de su tiempo. En cumplimiento de lo establecido en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal le informamos que sus datos personales quedarán incorporados y serán tratados en los ficheros de Analítica Pública, con el fin de poderle prestar y ofrecer nuestros servicios, así como para informarle sobre novedades y nuevos proyectos en los que se encuentre trabajando la empresa. Le informamos de la posibilidad de que ejerza los derechos de acceso, rectificación, cancelación y oposición de sus datos de carácter personal en info@publilitica.es, mediante la utilización de un correo electrónico conforme se informa en la política de privacidad.»