Cuando usas por primera vez el mando a distancia sin leer las instrucciones, el mando funciona. Puedes cambiar de canal y ponerlo en modo DVD, aunque quizá estés perdiéndote posibilidades como saber cuál es el botón para activar los subtítulos. Llevado este uso intuitivo a lo digital, podemos decir que las personas se han lanzado a navegar, a activar cuentas y redes sociales, a usar aplicaciones e información y datos. Se han dado las herramientas y están utilizándose a un ritmo como si después de Internet no hubiera un mañana y sin una paralela cultura digital. Cuestión que no supondría grave problema si implicara, por ejemplo, no saber cómo se activan los subtítulos en un vídeo de Youtube.
Pero la realidad es que, si publicas, eres responsable. Es decir, que las acciones que los usuarios realizan en Internet -tanto a nivel doméstico como profesional y empresarial-, están reguladas legalmente por distintas normativas, por lo que tienen consecuencias. Y el desconocimiento no exime del cumplimiento. Para arrojar un poco de luz sobre la normativa legal digital, entre ellas la reciente aprobación del nuevo Reglamento Europeo de Protección de Datos, eldiario.es Andalucia entrevista a Jesús Acevedo, abogado sevillano especializado en TIC y privacidad en Internet.
Tras la llegada de Internet se han ido aprobando leyes para regular el entorno digital. ¿Cuáles son?
Las leyes básicas son la Ley de Protección de Datos, la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico, la Ley General de Publicidad, la Ley Orgánica de Protección Jurídica del Menor, la legislación en materia de Propiedad Intelectual e Industral y la normativa sobre Cookies. Estamos hablando de leyes como la de Protección de Datos que datan de los 90 (1999), con lo que no es verdad la creencia popular de que son leyes de reciente creación.
Las leyes digitales funcionan transversalmente respecto al resto de especialidades legislativas, por lo que a veces tenemos que recurrir también a otras como el derecho civil, el penal, el administrativo o ley que contemple el ámbito objetivo de dicho asunto concreto. Si una empresa tiene pruebas, por las redes sociales, de que un trabajador no acudió al trabajo por enfermedad y en realidad estaba de fiesta, entrarían en juego la ley de Protección de Datos y el Derecho Laboral. O si una empresa que vende alcohol muestra su publicidad a menores de 18 años, las leyes de Publicidad y de Consumo.
Entonces, ¿puede una empresa coger fotografías de un trabajador de las redes sociales y usarlas como prueba para despedirle?
No pueden coger las fotografías y decirle “¡te pillé!”, y despedirle así porque sí. Hay informaciones que, según el caso, se podrán utilizar o no. En la ley prima una norma: según el caso. Y ante todo es necesario informar y tener el consentimiento del afectado o poder acogerse a alguna de las excepciones.
¿Cuáles son los datos de carácter personal que recoge la Ley Orgánica de Protección de Datos en España?
Cualquier información que haga identificable a una persona física: nombre y apellidos, una fotografía, la IP, una silueta, un teléfono, un login y una contraseña, una voz…. Por no hablar de datos sensibles como pueden ser los de ideología, datos de salud o de vida sexual.
La privacidad de los datos es una de las cuestiones que más preocupa a los usuarios. ¿En qué deben tener especial cuidado?
Hay que leer lo que aceptamos, ser prudentes con lo que publicamos, ajustar bien la privacidad de nuestras las redes sociales y, si dejamos nuestros datos, que sea en empresas o entidades que tengan una buena política de privacidad.
¿Para qué quieren las empresas y entidades nuestros datos?
Normalmente para poder mejorar publicidad y la navegación del usuario. No deberían dar demasiados problemas siempre que informen adecuadamente de para qué quieren los datos y los usuarios podamos decidir dónde y cuándo, sí y no, aceptamos lo que nos ofrecen. El problema es que esto no ocurre casi nunca.
¿WhatsApp es una herramienta segura para el ámbito profesional?
Las herramientas gratuitas no se pueden utilizar de forma similar para el uso doméstico que para el profesional y empresarial, porque cuando actuamos profesionalmente nos estamos responsabilizando del tratamiento de datos de terceros. Si es para quedar con el cliente en un momento concreto sí, pero no está permitido para gestionar cualquier tipo de información comercial de un cliente, especialmente un contrato o una nómina. Igual que tampoco puedo utilizar Dropbox para hacer copia de seguridad de mis bases de datos. Y en lugar de Gmail, mejor optar por un servidor de correo propio. Las empresas tienen que cumplir con una normativa específica y a la vez elegir servidores y proveedores que también se ajusten a la normativa y cumplan de forma similar a lo que tienen que cumplir ellos. Tienen que gestionar los datos con herramientas de pago, seguras y con una buena política de privacidad.
WhatsApp no tiene publicidad, pero nuestros contactos han empezado a utilizarlo para enviar publicidad de sus trabajos y empresas. ¿Pueden hacerlo?
Se podría entender que en principio sí, si previamente nos han pedido permiso expresamente para ello y nosotros lo hemos aceptado. El problema es que en la mayoría de las ocasiones no es así, y suele ser ilegal porque están utilizando datos de terceros para una finalidad comercial sin su consentimiento.
Están saliendo noticias de menores que quieren denunciar a sus padres por publicar sus fotografías en internet. ¿Pueden llegar a hacerlo?
Ahora mismo no comparto esa visión, y lo estimaría como una resolución absolutamente excesiva que pudieran disponer de tal legitimidad, a menos que hablemos de un supuesto que sea denigrante, fotografías muy comprometidas o que atenten especialmente contra su honor, intimidad y dignidad. Por otra parte, los padres no están siendo conscientes de que se están excediendo, de que por mucho que sean sus hijos no pueden publicar a mansalva sus fotografías. Por ejemplo, publica una o dos pero no publiques veinte fotos del cumpleaños de turno. No se trata de publicarlo todo ni de publicar absolutamente nada, sino de hacerlo con sentido común y con mesura. Volvemos a lo que comentábamos antes, carecemos cultura digital.
Se difunden textos de copia-pega en los muros pidiéndole a Facebook que no use nuestros datos y fotografías. ¿Sirven de algo estas publicaciones?
Este tipo de mensajes que se difunden, sin saber muy bien quién los ha escrito, no sirven para nada. Cuando aceptamos los términos y condiciones, aceptamos los términos y condiciones. Si no queremos sujetarnos a ellos, o no creamos la cuenta o eliminamos la que tenemos o no aceptamos esos término. Y esto es aplicable a cualquier servicio. Me gusta mucho en la película de Snowden cuando una de los jefes excusa esas condiciones diciendo: “Si quieres jugar con juguetitos nuevos, tienes que jugar con las reglas con las que están diseñadas esos juguetitos”.
Para los despistados que “cogen prestadas” fotografías, textos, canciones, contenidos audiovisuales... ¿qué les comentarías?
La Ley de Propiedad Intelectual protege cualquier tipo de creación intelectual y artística fruto del intelecto humano, como por ejemplo las fotos. Si no tienes la autorización del autor, no utilices la obra. Existen alternativas como las bases libres de derechos o contenidos como las Creative Commons, que pueden estar libres de uso en ciertos supuestos. Mirando bien qué tipo de Creative Commons es y la finalidad con la que se utiliza la misma, podríamos utilizarla. Lo que no es admisible es que se utilice cualquier obra que encontramos en Internet de la forma que nos dé a nosotros la gana.
¿Qué son el derecho de cancelación y el derecho al olvido?
El derecho de cancelación es la supresión y borrado de los datos. Normalmente borras la aplicación de una red social pero tus datos se quedan en esa red social. Les pides que los eliminen, ejerciendo tu derecho de cancelación. Como haces con los datos que has dejado en tu gimnasio o en la Fnac, o si te han catalogado como moroso pero tú has pagado la supuesta deuda.
El derecho al olvido es un derecho aplicado a Internet, y se ha debatido mucho en relación a Google. Ponen tu nombre en el buscador y aparece vinculada información tuya, como puede ser una multa de tráfico en el BOE que te pusieron hace tiempo, un vídeo dándote una fiesta o una condena en la cárcel por ejemplo. A la hora de buscar trabajo, es un problema. A la hora de reintegrar en la sociedad a un pederasta que ha cumplido su pena en la cárcel es un problema. Con el derecho podemos solicitar a empresas como Google que la información no sea tan accesible como puede ser a golpe de un buscador y que por ejemplo retire el enlace o que deje de indexar esa información relacionada con tu persona. Es decir, tú no vas a cambiar un periódico, o una multa en el BOE o una condena de una sentencia judicial.. no puedes cambiar la historia a tu gusto. Ahora bien, si puedes conseguir con la información no aparezca indexada en Google sino que se dificulta que la encuentren a golpe de un click.
El pasado mayo se aprobó el nuevo Reglamento Europeo de Protección de Datos. ¿Quiénes están sujetos a su cumplimiento?
Se aprobó el pasado 4 de mayo, el día de Star Wars, y entró en vigor el día 24 para todos los países de la Unión Europea. Para adaptar la normativa se les da un período de dos años. Y están sujetos a él todo tipo de entidad pública o privada que trate cualquier tipo de información relacionada con las personas físicas. Todas tendrán que estar adaptadas antes del 24 de mayo de 2018.
¿España está ya adaptando la normativa al reglamento?
No, debido a la falta de Gobierno, y aunque aún tenemos tiempo, ya vamos tarde. En España tenemos que adaptar la Ley Orgánica de Protección de Datos (LOPD). El problema de ir tarde está en a partir de mayo de 2018, esté revisada o creada una nueva LOPD o no, en nuestro país habrá que cumplir con la normativa. Y todas las entidades públicas o privadas tienen que preocuparse en cumplir activamente con ese Reglamento.
¿En qué consiste el Reglamento?
Se resume en tres palabras: accesibilidad, prevención y proactividad.
¿Qué significa accesibilidad en el reglamento?
El reglamento pide que la información que se recaba sea de fácil acceso, cercano y comprensible para los usuarios. De forma muy próxima a la transparencia.
Por ejemplo, cuando informes y pidas datos a los usuarios de tu web, tienes que ser muy, muy claro con la finalidad que les vas a dar. Que cada vez que los usuarios usen un servicio o aplicación no se tengan que leer varios artículos para comprender lo que se les está diciendo, o tengan la sensación de que están firmando una hipoteca. Ya no valen los tochos de párrafos del estilo “usamos cookies para mejorar la experiencia de usuario”, que nos saltan cuando nos metemos en una web. Se tendrá que decir de forma clara y sencilla: usamos las cookies para saber información tuya, guardar tu sesión, elaborar publicidad, o geolocalizarte… Sabemos que te compras cada año el último Iphone y, si tú quieres, te avisaremos cuando salga el próximo modelo.
Tampoco valdrán los avisos legales de corta y pega, sino que tienen que ser un traje hecho a medida para cada entidad y empresa. Porque no es lo mismo tener comercio electrónico que no, ser una empresa pequeña que una grande. Si vendemos en Internet tienen que venir explicadas todas las condiciones de forma accesible para los usuarios. Y el aviso legal no estará ya en el pie de la página o escondido porque “es una cosa muy fea”, sino que tiene que estar de forma claramente visible bonito y estar adaptado al público. Esto permite un espacio de creatividad para los profesionales y empresas.
¿En qué consisten la prevención y el cumplimiento proactivo o compliance?compliance
Significa no actuar cuando nos denuncien, sino implantar una cultura para prevenir. Y eso es el cumplimiento activo: no quiero que me firmes un papel y me digas que cumples, sino que tomes medidas para evitar los problemas y delitos. Las empresas cumplen en las leyes que les protegen a ellas, pero aquí estamos hablando de delitos que afectan a los datos de terceros: usuarios, consumidores, pacientes…
¿Puedes ejemplificarlo con algunos casos concretos?
Por ejemplo, en empresas que gestionan datos de usuarios, prevención y cumplimiento activo es hacer campañas de concienciación, dar charlas y formación a los trabajadores para que sepan lo que pueden y no pueden hacer con esos datos. O, si un usuario tiene sus fotografías en nuestro portal y quiere llevárselas –porque tiene derecho a llevárselas-, le ofrezcas la posibilidad de portarlas. O si haces un concurso de obras literarias y se descubre que el que gana había plagiado, que la empresa no se desentienda porque el plagio lo haya cometido otro, sino que ofrezca un canal de comunicación en el que un usuario pueda quejarse por el plagio.
Supone un compromiso muy importante por parte de las entidades y empresas. Y cada una tendrá que hacerlo de forma personalizada porque una farmacia y una peluquería no pueden tener el mismo programa de prevención. El nuevo reglamento pide un cambio de mentalidad. Es difícil porque en España estamos acostumbrados a firmar el contrato de diez folios, pero estamos en ello.
¿Un ejemplo en el que haya faltado el cumplimiento activo?
Hace poco Yahoo informó de que les robaron los datos hace dos años. Eso no es cumplimiento activo. Sí lo es avisar a los usuarios cuando sucede y abrir un canal de comunicación con ellos para posibles dudas y quejas.
¿Qué es el compliance penal y cómo se traslada al reglamento?compliance
Tras la reforma del Código Penal en 2015 también las personas jurídicas podrán ser responsables de un delito. Llevado a los casos de abuso sexual o acoso escolar, hasta ese momento se responsabilizaba del delito penal a una persona física. Ahora, la empresa o el colegio también pueden ser responsables. El nuevo reglamento recoge esta idea, las entidades y empresas pueden ser cooperadoras y responsables del delito.
¿Un ejemplo?
Hace no mucho salió a la luz un vídeo de contenido sexual de unos jugadores de Eibar con una mujer, que se difundió por las redes sociales, causando gran rechazo. En el vídeo la mujer decía claramente que no querían que la grabaran, y ha denunciado a los jugadores por violar su derecho a la intimidad. Este vídeo puede ser motivo de un delito penal.
La pregunta es: ¿Tiene el equipo de fútbol responsabilidad penal? En este caso lo más factible es que se responsabilice a alguno de los jugadores, pero el equipo aquí no puede decir “no tenemos nada que ver”, porque su imagen también se ha visto afectada y en parte sí son responsables. Cumplimiento activo sería que el equipo comience a dar formación a los futbolistas, abrir un canal de comunicación para que los usuarios puedan comunicarse y dar formación al Community Manager para que tenga estrategias para resolver crisis de reputación como esta. Esta sensibilización es muy importante para proteger los datos de terceros.
¿Una empresa que no cumpla actualmente con la normativa en privacidad?
Pokemon Go. Tinder. Facebook. Sus políticas de privacidad son absolutamente nefastas. Estas aplicaciones deberían ofrecer más posibilidades a la hora de proteger tu privacidad. Por ejemplo, que te encuentren o no ciertos tipos de usuarios. Y una vía de contacto con ellos sin tener que registrarse primero. Imagínate que alguien te crea un perfil falso en esta red, ¿cómo lo denuncias?. Esto es lo que aplica el nuevo reglamento: accesibilidad, transparencia, información sencilla y clara, cumplimiento proactivo… Si alguien denunciase a Tinder ahora, le podría caer una multa curiosa.
¿Y un ejemplo de una empresa que sí cumpla?
El diario The Guardian. Tiene un correo exclusivo para casos de privacidad y un vídeo explicativo con sus políticas de cookies.
¿Y los abogados hacen prevención?
Sí, en vez de ser abogados exclusivamente reactivos, que resolvemos cuando el delito ya está cometido, algunos también trabajamos como abogados preventivos, que asesoramos para evitar que se cometan los delitos y se sucedan problemas. Evidentemente, esto no le interesa a todos los abogados.
¿Qué figura es el Delegado de Privacidad de Datos (DPO) en el Reglamento? ¿Qué entidades necesitarán de su labor?
En el Reglamento se pide que una persona cualificada en la materia gestione los elementos en privacidad de la entidad. En según qué caso, no todas las empresas están obligadas a tenerlo. Más bien todo un equipo entre abogados, ingenieros e informáticos. Por ejemplo, sí lo están las que trabajen con datos más sensibles (una farmacia, Tinder, administraciones públicas…) y las que gestionen un elevado número de usuarios, porque ante un ataque podrían comprometer la intimidad de millones de personas
DPO es el nombre en el reglamento y pide que tenga una base mínima de conocimientos jurídicos. Pero hasta que no se adapten la normativa, en España no sabremos cuál será el nombre y la formación que se le pedirá.
¿Entre la LOPD y el nuevo reglamento, algún cambio destacado más?
En la LOPD las administraciones públicas, por ejemplo los ayuntamientos o teatros, no tienen sanción económica. Con la Europea sí.
Hablando de multas, éstas ya no serán por cantidades, sino por porcentajes. ¿Puedes explicarlo?
Las sanciones actualmente van de los 900 a los 600.000 euros, en los casos más extremos que afecten a millones de usuarios o que sean temas de salud. La sanción media a las empresas suele ser de 1.000 a 50.000 euros. Se aplicaban a todas las empresas por igual, sin importar tus ingresos. Con el nuevo reglamento ha cambiado la fórmula: las multas son más justas porque se ajustan a la realidad de cada empresa y puede ser hasta el 4º de la facturación en el ejercicio fiscal anterior. No es lo mismo que multen con 3.000 euros al Corte Inglés que a una PYME. Este sistema de sanciones se empezará a aplicar a partir de mayo de 2018.
¿Los abogados están preparados para afrontar el Reglamento?
Los abogados digitales, así como los profesionales en materia de privacidad.
Black Mirror es la serie por excelencia para hablar del uso de las tecnologías llevado a su extremo. ¿Una película que nos hable de la privacidad, o no, de los datos en internet?Black Mirror
Te recomiendo Snowden, de Oliver Stone. Está ahora en cartelera.
¿Una frase para resumir esta entrevista?
Que el 24 de mayo de 2018, la fuerza de estar adaptado al reglamento te acompañe.
Jesús Acevedo está especializado en TIC y privacidad por la Universidad Carlos III de Madrid. Empezó su actividad en el Gabinete Jurídico de la Agencia Española de Protección de Datos y es Vicepresidente en la Asociación Profesional Española de Privacidad (APEP), socio fundador de la Asociación de Expertos en Abogacía TIC (ENATIC) y miembro de la Comisión TIC del Colegio de Abogados de Sevilla.