Hace ya unos meses, coincidiendo con el inicio de las actividades preparatorias para el proceso catalán y la celebración del referéndum, comenzó a hablarse de los problemas que podría tener la utilización de datos de ciudadanos y ciudadanas de Catalunya para la fijación del censo de personas que pudieran participar en la convocatoria de referéndum de la Generalitat que se celebrará el día uno de octubre. Es un tema que viene sonando desde hace un tiempo, pero que se ha materializado hace unos días, al anunciar la Agencia Española de Protección de Datos el inicio de un procedimiento de investigación previo en el que pretende aclarar si se ha producido una utilización indebida de datos personales.

El procedimiento que ha iniciado la Agencia Española de Protección de Datos se origina como consecuencia de una denuncia que un particular presentó el día 8 de septiembre de 2017 ante dicha institución.

Cualquier convocatoria como la que se ha producido recientemente en Cataluña para que la ciudadanía acuda acuda a opinar o decidir sobre una cuestión, tiene un requisito sustancial, cual es que exista un listado (llamémosle así por ahora) de personas que son susceptibles de participar en la misma.

Sin embargo, ¿cuál será la fuente a partir de la cual se elaborará este listado? Esto no está nada claro aún, las posibilidades son muy amplias, aunque no todas dentro de la legalidad. Y lo que no está tan claro es la fuente que permitirá la elaboración de esta lista, la cual es sin embargo el eje sobre el que pivotan las posibilidades de celebración del referéndum. Sin un listado, no podrá realizarse ningún proceso.

También durante esta semana hemos visto como la Generalitat hacía pública una página web que permitirá a los ciudadanos y ciudadanas, mediante la introducción de sus datos, comprobar su colegio electoral. Esto nos indica que el proceso de elaboración del listado de personas que podrán votar ya se ha realizado.

En distintas fases del proceso que ha desembocado en la convocatoria del referendum, hemos recibido noticias contradictorias sobre la utilización de fuentes distintas que permitan la utilización de bases de datos de ciudadanos y ciudadanas para la elaboración de este listado. Se ha barajado, entre otras, la posibilidad de que esta lista se elabore teniendo por ejemplo como referente la tarjeta sanitaria de los ciudadanos catalanes, lo que haría que serían las personas con tarjeta sanitaria las que podrán votar.

En unas elecciones ordinarias, basadas en la Ley Orgánica de Régimen Electoral General, se regula la elaboración del censo electoral, su distribución y utilización por los partidos políticos, la organización y utilización del censo en las mesas electorales, y su destrucción pasadas las elecciones y los correspondientes periodos de recurso frente a los resultados o al desarrollo de las mismas. Es por lo tanto, la ley reguladora del proceso electoral la que establece la forma de elaborar la “lista” de votantes potenciales, que establece por lo tanto el referente de personas participantes en dicho proceso.

Sin embargo, no estamos en una convocatoria ordinaria, sino en el ámbito de las denominadas consultas populares, y por lo tanto en un régimen distinto, en el que no operan estas previsiones.

Para poder utilizar un listado u otro o celebrar esta consulta, es preciso que haya una ley que lo permita, y que establezca ese referente a partir del cual elaboraremos la lista. Si no es así, estaremos en un supuesto de utilización ilícita de datos personales con las consecuencias que ello puede tener.

En el marco legal que tenemos en el momento actual, el artículo 33 de la Ley 19/2017, de 6 de septiembre del referéndum de autodeterminación, y el artículo 6 del Decreto 140/2017, de 6 de septiembre, de normas complementarias para la realización del referéndum de autodeterminación de Cataluña se prevé exclusivamente que será una competencia de la Generalitat la elaboración del censo electoral, sin que se ofrezca una explicación clara en dichas normas sobre el origen de los datos. También es preciso tener en cuenta que el Tribunal Constitucional, al admitir a trámite los recursos presentados por el Estado frente a dichas normas, ha acordado la suspensión de la eficacia de dichas normas, y por ende, de todos los actos de desarrollo de las mismas, lo que en la práctica invalida cualquier actuación basada en éstas.

Ante el desconocimiento del origen real de los datos necesarios para la elaboración del censo electoral, dado que ninguna norma lo aclara, y las páginas web analizadas tampoco, la Agencia Española analiza en su resolución las distintas posibilidades que pueden plantearse, como pueden ser la utilización del último censo electoral de las elecciones catalanas, la utilización del padrón municipal de los ayuntamientos catalanes, la utilización del Registro de Población de Cataluña, de los datos fiscales, de los datos de la seguridad social, o de los datos, como comentábamos anteriormente, sanitarios en relación con la tarjeta sanitaria de Cataluña.

En un dictamen de 39 páginas la Agencia Española de Protección de Datos alcanza la conclusión de que ninguna de estas fuentes de obtención de datos personales cumple la normativa de protección de datos, y por lo tanto, se trataría de una utilización ilegal de datos personales. Al mismo tiempo se abre una investigación para averiguar qué datos han sido los utilizados para la elaboración del censo correspondiente.

Así pues, con esta acción se abre un nuevo frente para el referéndum catalán, esta vez relacionado con la obtención de los datos, en el cual, en todo caso, deberá ser la Generalitat la que defienda, en su caso, la legalidad en la obtención y utilización de los datos personales, y si no lo consigue, afrontar evidentemente las consecuencias de la aplicación de la normativa de protección de datos.

Quizás sea conveniente reflexionar a la luz de los recientes atentados, sobre el papel que la imagen de las personas, ya sea mediante una fotografía o un video, tiene en distintas áreas de nuestra vida cotidiana.

La instalación de cámaras por empresas y administraciones públicas orientadas a la vigilancia de edificios, la instalación de medidas de vigilancia de trabajadores, las cámaras para la lucha contra la delincuencia en distintas zonas de las ciudades o para el control del tráfico, o las grabaciones que realizamos con nuestros teléfonos móviles, constituyen un ámbito que, en función de cómo se utilicen o para lo que sirvan, nos puede afectar en mayor o menor medida, o pueden ser más o menos útiles para la función que persiguen.

Uno de los debates tradicionales gira en torno a si es razonable “llenar” de cámaras las ciudades para evitar o perseguir hipotéticos delitos futuros, en el que probablemente podremos encontrar opiniones para todos los gustos. A la vista del actual contexto internacional, seguro que encontramos cada vez más personas dispuestas a soportar una mayor intromisión en su privacidad, frente a un incremento, por lo menos teórico, de la seguridad. Porque es importante tener en cuenta que instalar cámaras no provoca una mayor seguridad, sino exclusivamente una mayor sensación de seguridad, dado que se ha comprobado que la instalación de cámaras no reduce directamente la delincuencia, sino que la traslada. Además, supone una ingente inversión en personal para la vigilancia de las cámaras y su observación. Es innegable el valor que pueden tener las imágenes en la investigación posterior de algunos tipos de delitos.

Este tradicional debate seguirá existiendo, pero la normativa no avanza en el mismo sentido, ya mantiene la privacidad como un elemento esencial, limitando al máximo las grabaciones en las zonas públicas, tanto para empresas como para administraciones. La administración sigue necesitando una supervisión de la instalación de cada cámara, teniendo claro que su finalidad tiene que estar amparada en la persecución de delitos o la vigilancia del tráfico, no pudiendo afectar ni a la intimidad de las personas ni a la protección de datos, salvo que dicha vigilancia esté justificada y sea proporcional.

También recientemente se planteaba la posibilidad de instalar cámaras en los vehículos y en los cascos de los ciclistas como medida de protección frente a accidentes (objetivo bastante dudoso, dado que una cámara no previene nada) y sobre todo, para poder afrontar con éxito una reclamación frente a otro conductor o interviniente en el accidente (este objetivo sí que tiene interés directo para el sujeto que lleva la cámara). Las agencias de protección de datos ya han indicado que este tipo de cámaras y las imágenes que graban están sometidas a la normativa de protección de datos, y que por lo tanto, si la obtención de imágenes es simplemente para su visionado particular o doméstico, no plantean problemas, pero sí los plantearán cuando la finalidad es la preparación de demandas o detección de infracciones de terceros, supuesto en el cual la obtención de imágenes no se sujeta a las previsiones legales y puede ser sancionada.

Y en este breve repaso por la obtención de imágenes, nos quedaría la utilización que se realiza de las imágenes obtenidas por las personas mediante sus teléfonos móviles. Recientemente, y con ocasión de los atentados, hemos visto que numerosas personas han realizado grabaciones que luego han difundido mediante sistemas de mensajería instantánea o incluso mediante redes sociales, y que han sido luego también utilizadas para ilustrar noticias en medios de comunicación digitales o tradicionales. El resultado es la aparición de fotos de imágenes de personas fallecidas o heridas en dichas grabaciones, que resultan muy fáciles de realizar dado que todos disponemos de un dispositivo de grabación en nuestro teléfono móvil.

Al margen de valoraciones éticas y/o morales (que no es lo mismo), hay que precisar que las conclusiones son distintas en uno u otro caso. El medio de comunicación está amparado por un derecho constitucional, la libertad de expresión y comunicación con unas características muy amplias y reconocidas por el Tribunal Constitucional, mientras que las personas no disfrutamos más que de una libertad de expresión mucho más restringida, y que puede colisionar con los derechos de los demás, y en concreto en el caso que tratamos, con el derecho a la propia imagen y a la intimidad de las personas que son grabadas, así como su derecho a la protección de datos personales.

¿En qué se traduce todo ello? En que la obtención de imágenes en plena calle en el momento en que las personas afectadas se encontraban heridas o fallecidas afectaba a su imagen y a su intimidad, y una persona privada no debería obtener estas imágenes, el encontrarse afectando a esos derechos, y menos aún difundirlas a través de las redes. Otra cuestión bien distinta y que también ha sido tratada profusamente, es si los medios de comunicación debían mostrar o no este tipo de imágenes o videos, incluso videos sobre la detención y/o fallecimiento de los propios terroristas. En este caso, los parámetros son bien distintos y se centran en la existencia de una noticia objetivamente de interés, como era el caso, y que requiere de una atención mediática evidente. ¿Hasta dónde llegar y dónde poner el límite a la hora de mostrar imágenes? Como hemos podido comprobar, los medios tienen interpretaciones distintas de esta cuestión, y en mi opinión los medios deberían limitarse a imágenes directamente vinculadas a los hechos concretos, dirigidas a informar a la ciudadanía, sin llegar a emitir imágenes innecesarias o especialmente lesivas para el derecho a la intimidad que aparecen en ellas, si no aportan nada a la información que se está dando.

Así pues, nos toca lidiar con un mundo digital, en el que a pesar de que a veces parece que no hay reglas, sí que las hay y como ciudadanos o empresas nos toca respetarlas.

El virus WANNACRY (WANNACRYPT) nos ha puesto a prueba, apareció un día en nuestras vidas convirtiéndose en portada de informativos de televisiones, y portada de periódicos, y nos hizo sentir vulnerables, porque en mayor o menor medida lo somos.

Eso ha hecho que nos replanteemos si estamos protegiendo adecuadamente nuestra información, si adoptamos las medidas necesarias, pero también ha puesto en evidencia a aquellos que no consideran relevante adoptar estrategias de protección adecuadas con argumentos como “a mi no me va a pasar” o como abogados con los que he hablado que quitan relevancia a la información que tienen en su pequeño despacho, cuando tienen numerosos expedientes de personas con muchísima información de cada una de ellas y con un alto nivel de exposición a ataques como el que ha sucedido.

Vivimos una época difícil y compleja, en la que un virus elaborado por un ciberdelincuente (que no un hacker) en Ucrania o Corea pone en riesgo a un abogado, dentista o médico de Bilbao o Donosti, a la Diputación de Gipuzkoa o a Iberdrola o Telefónica. Y ello se debe al enorme grado de interrelación que hemos alcanzado gracias a la influencia de la tecnología en nuestras vidas. Esto supone que estamos mucho más relacionados, pero al mismo tiempo mucho más expuestos en nuestro día a día, y nos exige también esfuerzos más relevantes para gestionar adecuadamente todo ello.

Confiamos en empresas tecnológicas que nos proveen de las herramientas adecuadas, pero establecer un plan de actualización, o un plan de seguridad para los dispositivos móviles de nuestra empresa, o adoptar un plan de continuidad de negocio que permita a la empresa o a la administración actuar incluso en situaciones de crisis y no verse obligada a cerrar durante varios días perdiendo cantidades económicas importantes o información relevante, todo ello, es responsabilidad de la empresa o de la administración pública.

Así, vemos como se ha puesto a prueba no solo la tecnología, sino la organización de la empresa y las organizaciones; algunas de éstas, al enfrentarse a este problema, no tenían otra reacción que desconectar sus sistemas de internet. Por ejemplo, una adecuada política de copias de seguridad guardadas en un sitio seguro ha permitido a muchos actuar casi inmediatamente con total naturalidad.

Y la reacción de los órganos administrativos de control ha sido muy importante. Tanto el CERT del Centro Criptológico Nacional como el Instituto Nacional de Ciberseguridad han pasado un fin de semana y unos días de locura, y han desarrollado y puesto a libre disposición una herramienta para contrarrestar los efectos del virus WANNACRY que ha tenido y sigue teniendo miles de descargas en este tiempo, y cientos de profesionales de muchos ámbitos, como me consta en nuestras administraciones públicas vascas, han pasado estos días rehabilitando y comprobando los sistemas informáticos para que volvieran lo antes posible a funcionar. El periodo de tiempo que pasa entre el ataque sufrido y la vuelta a la normalidad lo marca haber adoptado una estrategia de seguridad adecuada en la empresa.

Por lo tanto, adoptar estas estrategias no es solo una cuestión de cumplimiento de una ley, sino de proteger nuestros activos, lo que evitará una crisis de alto nivel en las organizaciones.

Y que sirva para aprender sobre lo sucedido, autoevaluar cómo hemos reaccionado a esta situación, y mejoremos la protección; y que no se quede en una cuestión puntual, porque no es así. Todos los expertos estamos de acuerdo en que habrá más casos similares, cada vez mejor planteados y planificados y con mayores efectos.

Hay muchos análisis que hacer de la situación, y uno es el de la responsabilidad: los delincuentes que han iniciado este ataque incurren en varios delitos del Código Penal (daños informáticos entre otros), pero también existirán responsabilidades derivadas de la normativa de protección de datos, al no haber implementado medidas de protección en la empresa, tal y como obliga esta normativa

Buenas herramientas, buenos profesionales y planificación previa, anticipación en la medida de lo posible son elementos indispensables.

Y por supuesto, formar al personal, y no dejar en manos de una persona con escasa formación técnica decisiones comprometidas para la organización. El eslabón más débil de la cadena de la seguridad es la persona, y debemos invertir en formar a las personas y que conozcan estos riesgos: en el caso del virus que mencionamos, simplemente no abrir correos desconocidos o no relacionados con la empresa será suficiente, pero habrá otros más complejos. Y dejar de echar la culpa al usuario que abre el famoso correo o utiliza su dispositivo cuando nadie le ha enseñado o instruido sobre el uso correcto.

Así pues, la primera, pero no la última ocasión en que veremos algo con efectos tan desproporcionados y a escala mundial, y que nos sirva para estar mejor preparados la siguiente.

Recientemente hemos leído una noticia en la que Donald TRUMP, este impetuoso político estadounidense nos ponía en una situación de difícil solución, al anunciar que iba a dictar una próxima Orden Ejecutiva que limitara los derechos de acceso al sistema judicial estadounidense a las personas que no son de aquella nacionalidad.

Para comprender el alcance de esta decisión y valorar la relación con el derecho a la protección de los datos de carácter personal hay que remontarse al 6 de octubre de 2015. Este dia el Tribunal de Justicia de la Unión Europea dictó una sentencia en la que Maximilian Schrem, un ciudadano austríaco y activista en derechos humanos se enfrentaba al todopoderoso FACEBOOK poniendo en entredicho el tráfico de información que se daba entre la empresa FACEBOOK Irlanda y FACEBOOK Estados Unidos. Básicamente se ponía en tela de juicio que se autorizara sin más el tránsito de datos personales de ciudadanos europeos a Estados Unidos en base a un acuerdo adoptado entre la Comisión Europea y Estados Unidos adoptada en el año 2000. Esta decisión limitaba la competencia de las autoridades europeas de protección de datos que no podrían enjuiciar la corrección de estos envíos de datos. La sentencia nos puso en una situación crítica, en la que las empresas y administraciones europeas se encontraron con que la decisión de la Comisión Europea que daba validez a este acuerdo se convertía en papel mojado y era declarada nula.

Al día siguiente, y durante algunos meses, se negoció un nuevo acuerdo, basado en que los ciudadanos europeos debían tener mayores derechos a litigar o defender su derecho ante los tribunales estadounidenses, y que las autoridades europeas de protección de datos podrían enjuiciar los envíos de datos a Estados Unidos. Además, se negociaba con un incremente de la garantías de respeto de la privacidad y de los derechos de los ciudadanos en el contexto legal estadounidense.

Como consecuencia de este acuerdo, adoptado en tiempo record, resultó un nuevo marco jurídico, que resolvió el problema y que permitia a las empresas y administraciones públicas seguir exportando datos a Estados Unidos dentro de la legalidad. Estados Unidos tuvo que modificar su normativa procesal, y desde hace pocos meses, los ciudadanos europeos podíamos litigar en Estados Unidos en defensa de este derecho fundamental.

Pues este avance, logrado tras una negociación muy intensa, le parece demasiado garantista al nuevo presidente, y ya ha avanzado que lo quiere eliminar del panorama jurídico estadounidense. El problema que causaría esta decisión, si se materializa, es que, como ya ha dicho el Parlamento Europeo, si se modifica esta condición esencial, el acuerdo dejaría de tener sus contenidos tal y como fueron negociados, y debería dejar de aplicarse.

Las consecuencias serían nefastas para las empresas europeas que siguen utilizando servicios digitales de proveedores estadounidenses, ya que sin un marco jurídico, estas exportaciones de datos pasarían a ser ilegales, y exigirían revisar la utilización de proveedores americanos.

¿Qué pasará? Debemos seguir con mucha atención los siguientes pasos de este anuncio, que si es lo que parece provocará una nueva revolución en Europa y que exigirá soluciones imaginativas.

Y no menos problemático es el Brexit, proceso de separación del Reino Unido respecto de su pertenencia a la Unión Europea. Tras un periodo inicial de contenido eminentemente político, ahora vamos a analizar el caso por caso de la situación en la que queda el Reino Unido tras esta decisión, y nos enfrentamos a la pregunta de qué pasará con los datos que empresas europeas tienen en el Reino Unido y empresas británicas tienen en la Europa continental, en sus relaciones mutuas de provisión de servicios sobre todo en un contexto digital. No son pocas las empresas que tienen servidores en territorio británico debido sobre todo a las condiciones fiscales u otras. La salida del Reino Unido en ejecución del artículo 50 del tratado europeo, convertirá a todo movimiento de datos hacia este Estado en una transferencia internacional de datos, lo que hace muy complejo y dificulta enormemente este movimiento.

Así pues, tiempos dudosos en las relaciones con estos dos Estados que provocará que las empresas y administraciones tengan que reflexionar y reorientar sus flujos de datos personales, para respetar el derecho fundamental de los ciudadanos europeos.

Este chip se trae de Estados Unidos en un kit esterilizado (menos mal, por lo menos no es del todo a cien) y se implanta bajo la piel de los trabajadores. Y supuestamente, tenemos que estar más tranquilos porque nos indican que lo han implantado solo en aquellos personas que “voluntariamente” han querido aceptar el proyecto.

Espero que la empresa haya contado para la realización de este proyecto con un buen asesoramiento, que se haya hecho todo con un estudio previo en el que se justifique la finalidad y todo ello se base en argumentos sólidos, porque si no se pueden encontrar con una sanción importante (dentro de unos meses las sanciones aumentan de forma muy importante), y sobre todo que se haya recogido un consentimiento ajustado a la normativa europea, y sobre todo libre en su emisión. Lo digo porque el consentimiento en el ámbito laboral, al tener el empresario a priori una posición de superioridad, se presume que no es libre, no lo digo yo, lo dice la Agencia Española de Protección de Datos y el resto de agencias europeas en la materia.

Y no es una cuestión menor, el uso de los datos de los trabajadores y trabajadoras de una empresa se convierte actualmente, con los proyectos tecnológicos de incorporación de pulseras o relojes con geolocalización, o de uso por los trabajadores de pulseras de actividad a cuyos datos puede acceder la empresa, o de uso de tarjetas o aplicaciones móviles obligatoriamente por los trabajadores, en una cuestión de la máxima actualidad.

Dentro de unos meses cualquier proyecto de este tipo requerirá un estudio previo obligatorio de compatibilidad, deberemos saber antes de desarrollarlo o implantarlo en la empresa si la persona que trabaja allí debe o no asumirlo en el marco de la relación laboral. Las sentencias sobre este tema la verdad es que han definido con bastante precisión un ámbito de actuación para el empresario bastante grande, pero no absoluto: el trabajador sigue teniendo un espacio de privacidad, incluso en el contexto laboral. Seguiremos de cerca este tema, pero sigo insistiendo en el análisis previo por profesionales para comprobar su compatibilidad con la normativa.

Uso de fotografías y redes sociales

Y nos despertamos también con la noticia sobre la sentencia que trata las posibilidades de uso de las imágenes que una persona cuelga en su perfil de Facebook por parte de los medios de comunicación. Se ha puesto en conexión una ley del año 1982 con la situación actual de desarrollo de las redes sociales, cuestión que ya de por sí es un esfuerzo importante. Sin duda, necesitamos una nueva ley que defina el uso de imágenes en un contexto digital como el que tenemos actualmente. Tal y como indica el Tribunal Supremo la utilización de una red social en la que colgamos fotografías o información “es la comunicación de su titular con terceros y la posibilidad de que esos terceros puedan tener acceso al contenido de esa cuenta e interactuar con su titular, pero no que pueda publicarse la imagen del titular de la cuenta en un medio de comunicación”. Esto limita mucho el uso de fotografías obtenidas de redes sociales, como se puede ver a primera vista, y sobre todo excluye la publicación de estas fotografías en medios de comunicación.

En la sociedad actual debemos partir de un hecho cierto: de forma instantánea una fotografía o vídeo obtenidos con un teléfono móvil se convierte en objeto de envío y reenvío por decenas, cientos o miles de personas, y es evidente que debemos dar nuevas soluciones a estos nuevos problemas. El Código Penal ya se modificó el año 2015 y ahora tenemos unas cuantas nuevas conductas dentro del ámbito de sanción penal (hasta cinco años de cárcel), incluyendo cosas como el reenvío de vídeos obtenidos en la intimidad con consentimiento de otra persona, que nos autorizó a su obtención pero no a su reenvío a terceros. Sin embargo, la protección del derecho a la intimidad en el ámbito civil, no se modifica desde el año 1982 y esto obliga a los jueces a “inventar” o interpretar la norma en situaciones que se desarrolla en el contexto social actual que no existían entonces, con su consiguiente complejidad, así como con aciertos y desaciertos.

Debemos, como sociedad, exigir una normativa adaptada a los tiempos en que nos movemos y que esta normativa se elabore desde la perspectiva de la ciudadanía, no del Estado, que intente aglutinar las distintas posiciones en la materia y que ofrezca ámbitos de protección al ciudadano en sus relaciones sociales en el ámbito digital.

Y al mismo tiempo, mandar un mensaje a la Administración y a la empresa de que el cumplimiento de la normativa no es opcional, ni es una formalidad, es algo que debe estar dentro del “ADN” de la organización y mejorar el servicio o producto.

Un día como ayer hace 35 años (1981) se firmaba el primer tratado europeo de protección de datos personales en Estrasburgo dando inicio a unos años de evolución en el ámbito de la realidad social y de las normas dirigidas a proteger este derecho fundamental. Y este cumpleaños nos lleva a preguntarnos si sigue siendo necesario en nuestro contexto actual.

Ha llovido mucho desde entonces, en un mundo prácticamente sin ordenadores, en el que el único teléfono que teníamos era el de casa, y en un contexto en el que los que andamos en los treinta/cuarenta años teníamos un gran aliado para nuestra vida social en nuestra madre que era la que cogía el teléfono en casa y atendía los recados de los amigos, garantizando que nuestra vida social siguiera funcionando. Hoy en día y ya desde hace unos años, llevamos nuestra vida social siempre encima y hemos ganado en independencia y gestión de nuestra vida social, pero nos hemos ido dejando cosas por el camino que de vez en cuando merece la pena recordar.

En ese lejano 1981 un grupo de representantes de estados europeos firmaba un tratado internacional dirigido a la protección de las personas frente al uso de sus datos utilizando la informática, y los recordamos, desde la perspectiva actual, como visionarios por haber tenido la precaución de iniciar esta vía.

Para ver la incidencia que tiene actualmente, fijémonos sólo en que 35 años después, hace solo unos días, en el Congreso CES recientemente celebrado en Las Vegas y que marca las tendencias tecnológicas más importantes para este año y para el futuro, los elementos más destacados han sido los aparatos conectados a internet, que han triunfado entre el público y se han llevado el mayor interés por parte de los medios. Por ejemplo, el frigorífico con cámara que revisa lo que guardamos, supervisa sus fechas de caducidad y nos indica qué falta, además de ayudarnos proponiendo recetas que nos permitan evitar la caducidad de los productos, y para ello solo tenemos que escanear todo lo que introducimos en el mismo.

El sector automovilístico ha presentado grandes avances en el sector del coche conectado y autónomo, cada vez más cerca de aparecer en nuestras carreteras, ahora que las grandes marcas se encuentran probando prototipos en conducción real. Por supuesto, los móviles son las grandes estrellas del sector, con modelos con cada vez un mayor número de servicios con conexión a internet. Y también los asistentes virtuales de un número cada vez mayor de empresas que actúan por internet, la última aparición el asistente virtual de Amazon, que ayuda a que realicemos compras con mayor facilidad, pero que al mismo tiempo recoge de forma más interesante para la compañía datos sobre esta compra.

Cada vez mayores facilidades y “comodidades” en nuestra vida diaria, y en el ocio que se ofrece vinculado a la tecnología. Grandes avances en realidad virtual y realidad aumentada, vinculada de nuevo a los teléfonos móviles y a dispositivos que debemos usar (gafas) que permitan desarrollar todo su ámbito de aplicación. No olvidemos que el teléfono al que va vinculado el dispositivo recogerá toda la información que generemos cuando juguemos, nuestro perfil de jugador, nuestro comportamiento, con quién nos relacionamos cuando jugamos, dónde estamos y a donde vamos y toda esa información se guardará para elaborar un perfil de usuario en manos de las grandes compañías, lo que repercutirá en lo que hacemos y nos hace preguntarnos cómo gestionan esta información.

Treinta y cinco años después, nos enfrentamos a un gran desafío también en la actualidad, como es el de conseguir que Administraciones y empresas implementen las obligaciones del Reglamento Europeo de Protección de Datos que será obligatorio en menos de 500 días. Las empresas y la Administración debe ir preparándose para ello, porque el incremento de obligaciones es notable, y sobre todo la incorporación de principios preventivos, adoptar medidas de previsión sobre usos de la información personal no autorizados, o sobre la que hay que adoptar previsiones especiales o medidas de protección agravadas. Un banco alemán, con oficinas en toda Europa, acaba de adoptar una medida interna de prohibición de uso a sus trabajadores de una conocida aplicación de mensajería instantánea para fines profesionales, lo que nos indica la actualidad de este tema, en concreto, la seguridad.

Y treinta y cinco años después es nuevamente una norma europea la que obliga a ponernos las pilas. Y mi recomendación como profesional es ponerse a ello cuanto antes, contando con asesoramiento experto y cualificado y huyendo de asesores no profesionales que harán con toda probabilidad un trabajo defectuoso elevando el riesgo de sanciones, que por cierto, pasan a ser muy elevadas con este nuevo ámbito de protección (10,20 millones de euros o un porcentaje de la facturación de la empresa).

Como vemos, 35 años después, es necesario que nos detengamos un momento a reflexionar con motivo de este día, en si seguimos necesitando una protección de nuestro derecho a la privacidad y a la protección de datos, y creo que la respuesta a estas alturas está clara: sí.

Acabamos de dejar atrás las navidades, los días de regalos de Olentzero y los Reyes Magos, que nos dejan con un sabor de boca alegre, y con tres días seguidos de fiesta, a los que sumar el inicio de las rebajas. Los y las niñas han recibido todo tipo de regalos, entre ellos algunos que suponen un cierto riesgo para la privacidad e intimidad de las personas.

Hace algunos años tuvimos una cierta polémica con una empresa muy orientada al producto tecnológico para niños, que comercializó un oso de peluche con una cámara de video en uno de sus ojos. La idea era que pudiera grabar el hogar, a voluntad del usuario, cualquier ámbito que nos propusiéramos. Así, podríamos grabar que hacen nuestros hijos e hijas, pero también qué hace el resto de la familia. Estas imágenes se almacenaban sin ninguna cautela en un servidor de esta empresa, sin que se nos advirtiera como consumidores de los derechos que teníamos sobre ellas. Debíamos abrir un perfil en la empresa, y gestionar esas imágenes, que se encontraban fuera del ámbito de aplicación de las leyes europeas, y por lo tanto, en una situación de alto riesgo. El oso fue retirado del mercado, debido a las protestas que se realizaron en su momento.

Ahora nos vemos con un número importante de juguetes conectados a internet en el mercado, como una muñeca conectada a internet, y que mediante un sistema de inteligencia artificial permite tener “conversaciones” con los niños y niñas que juegan con ellas, o el juguete asistente para contar cuentos a los niños, y que también conectado a internet y con inteligencia artificial se comercializará en breve. Este juguete “aprende” de su relación con los niños, para poder ofrecer una mejor experiencia a los mismos. Rondará los 300 dólares en Estados Unidos, para la persona que esté interesada en adquirirlo.

¿Qué debemos tener en cuenta? Simplemente que estos juguetes están diseñados para impactar en el niño de forma importante e interrelacionarse con él o ella, pero también y sobre todo para adquirir un conocimiento importante de las costumbres, gustos y hábitos, para generar un mejor cliente y presentar mejores productos futuros, así como desarrollarlos con conocimiento previo del interés que pueden despertar.

La seguridad es importante, y no debemos olvidarla en ningún momento. Ni siquiera el propio Papa lo hace… Le hemos visto recientemente en una imagen de Twitter en la que tenía tapada la cámara de la Tablet que utilizar para relacionarse con los fieles por internet. Bravo por este comportamiento de autoprotección, tan importante. Decían en twitter con cierta ironía que la seguridad de los datos no se debe dejar en manos de Dios, tal y como hacía el Papa al proteger su webcam.

Pero no olvidemos tampoco que nos encontramos en un momento muy importante en la evolución de la tecnología en muchas otras áreas.

La empresa americana TESLA, de gran expansión en fabricación de coches eléctricos, acaba de iniciar la producción en su macrofactoría de Nevada, apostando por el coche eléctrico y autónomo, es decir, el coche que conduce de una forma independiente de las personas. Hay que recordar que hoy por hoy, el conductor asume aún una importante responsabilidad en la supervisión del vehículo, debiendo tomar la conducción en casos de error o problemas no previstos. Sin embargo, esta empresa, al igual que el resto de empresas del sector automoción, apuestan por el coche cien por cien autónomo en los próximos años, algunas antes que otras. Y entonces, cuando los coches conduzcan “solos” ¿quién será responsable de los accidentes? ¿El ingeniero de software que diseñó el sistema autónomo, la información que se le dio al vehículo que no era suficiente, la empresa que lo construyó, las cámaras y sensores que tiene el vehículo que no funcionaron adecuadamente, etc.? Y sobre todo, ¿quién pagará por la responsabilidad que genera un accidente? No creo que los seguros tradicionales estén preparados para este gran cambio que se avecina, y que tiene muchas variables a analizar. Y sobre todo, el elemento seguridad, tan valorado en el vehículo tradicional, y con tantas incógnitas en este vehículo autónomo, porque según dicen, es posible acceder al sistema informático de este tipo de vehículos y alterar sus condiciones, provocando accidentes o modificando sus parámetros.

Hoy por hoy, muchos vehículos que están en el mercado se ofrecen con conexión a internet, alegando motivos de lo más variado, pero todos relacionados con la seguridad del conductor: por ejemplo, vehículos que incorporan una tarjeta sim con conexión 3G para que en caso de accidente el propio vehículo conecte con emergencias y le asistan, proporcionando la geolocalización del vehículo. Por no hablar de los propios seguros, que comercializan sin rubor las bondades de la geolocalización permanente como una bondad, sin explicar que esto supone una invasión muy importante de la vida privada de las personas.

No se han planteado los conductores y las empresas que entregar la información sobre ubicación del vehículo 24 horas al día, es una información personal protegida por el Reglamento Europeo de Protección de Datos y que debemos ser informados de una forma muy concreta para que se pueda recabar y utilizar. Esta información es importantísima para las empresas de automóviles, que podrán desarrollar vehículos en una u otra línea en función de los comportamientos de conducción que tengamos los usuarios, pero también para las compañías aseguradoras, que pasarán de preguntarnos si el coche “duerme” en garaje, a saber dónde está ese coche y cuantos kilómetros recorre en todo momento 365 días al año, mejor incluso que nosotros mismos.

Hoy por hoy todo tipo de empresas persigue la elaboración de perfiles de usuario, que integren todos los comportamientos que tenemos en relación con esa empresa, y que puede registrar y tratar, y es importante que la empresa sepa que no todo vale, o por lo menos que debe afrontar una serie de cautelas cuando realiza este tipo de tratamientos de información personal.

Mientras tanto, el Parlamento Europeo acaba de aprobar unas normas sobre la aplicación de las normas de Derecho Civil a los robots, que persiguen regular la responsabilidad y los efectos de incorporar a distintos ámbitos de nuestra vida a máquinas que tienen un control informático.

Y qué impacto tendrá en el mercado laboral la implantación de robots en el sector productivo, sobre todo qué impacto económico y va a suponer una restricción en la contratación de trabajadores la industria 4.0. y por lo tanto afectará a la cotización a la seguridad social? Hace poco leía un artículo sobre si los robots deben cotizar a la seguridad social… Todo llegará.

Las autoridades de protección de datos alertan sobre los juguetes conectados a internet mediante wifi y que graban videos o audios de las personas que se encuentran alrededor

Nos despertamos con la adquisición por parte de MICROSOFT de la red de contactos profesionales LINKEDIN por 26.200 millones de dólares. Microsoft ya pagó 7.500 millones por los móviles de Nokia, 8.500 millones por controlar Skype, y 2.500 millones por el estudio del Minecraft, famoso juego de moda entre nuestros adolescentes. En febrero de 2014, Facebook abonó la cantidad de 14.000 millones de dólares cuando compró la empresa de mensajería instantánea Whatsapp.

Estas operaciones de concentración de empresas tecnológicas deben ser aprobadas en los distintos ámbitos en las que operan, y acaban de recibir el beneplácito de la Comisión Europea, lo que permitirá cerrar la operación a la mayor brevedad.

Quizás nuestros lectores no acaben de entender qué relevancia puede tener esto en el contexto de su día a día y en unos días dedicados, entre el Black Friday, el Cyber Monday y la preparación de las navidades, a una dinámica intensamente consumista.

Pues bien, tiene una relación muy importante con el día a día de las personas. Las empresas de las que hablamos tienen una base tecnológica centrada en la información, y por lo tanto nos afecta, como personas y como usuarios de esta información, y el valor económico que las mismas tienen en estas operaciones no proviene de la tecnología que utilizan, sino de la información que contienen en la actualidad, información que facilitamos con total naturalidad y que las plataformas tecnológicas tienden actualmente a integrar para obtener información lo más contextualizada posible y que permita anticipar posibles comportamientos futuros de las personas, así como sus gustos e intereses. Hace bien poco un representante de un banco español de ámbito internacional me decía que utilizaban precisamente esta red social, linkedin, para establecer parámetros personales que indicaban quién era un buen candidato a obtener un crédito o contratar un producto financiero y quien no lo era. Los procesos de big data permiten hacer este análisis, que si no tiene un control y un respeto a la normativa en vigor, corre el riesgo de ser peligroso e ilegal.

Whatsapp tiene más de un millón de descargas y protagoniza nuestra vida diaria de una forma muy intensa, utilizando esta aplicación para organizar nuestra agenda social, familiar e incluso en muchos casos y contra toda recomendación, profesional.

Linkedin es la base relacional profesional más utilizada en la actualidad, tanto para la búsqueda de trabajo como para la gestión de relaciones profesionales de todo tipo, comerciales o empresariales, y la información que posee la red es enorme, basada en lo que cada usuario indica como principales características personales, con total libertad.

Todas estas empresas se sitúan en Mountain View, en un contexto muy concreto en el que la vida diaria gira en torno a la aplicación y prueba de avances tecnológicos, son empresas muy particulares que tienen como elemento esencial

En este contexto tecnológico nos aproximamos a las navidades y hemos pasado los últimos festejos consumistas importados de Estados Unidos, con los aparatos tecnológicos como principal dedicación y objeto de deseo, con cifras de venta nunca vistas.

Y en estos últimos días, aparece una preocupación manifestada por las autoridades de protección de datos, en relación a juguetes conectados a internet mediante wifi y que graban videos o audios de las personas que se encuentran alrededor, tema que escapa a cualquier control o supervisión. Quizás nos parezca algo que no tenga mayor preocupación, pero si instalo en mi hogar un juguete conectado a internet que graba videos durante todo el día de lo que pasa en el contexto del domicilio, esos videos se acumulan en una empresa que no se dónde está ni para qué se utiliza esa información, la preocupación comienza a tener un cierto sentido verdad? Cuando adquiero un juguete con estas características, la recomendación es pensarlo dos veces, pensar si puedo conectar o desconectar el aparato, y comprobar dónde está esa información y si tengo algún control real sobre la misma.

Y las empresas que desarrollan producto tecnológico deben de incorporar ciertos controles a la producción y desarrollo de este tipo de productos, dado que si tienen un carácter invasivo o potencialmente controlador de comportamientos o decisiones de las personas, se arriesgan a sanciones y a la reprobación social, así como a problemas reputacionales de gran intensidad.

Dentro de poco más de un año entrará en vigor una normativa europea muy exigente en materia de privacidad, que va a obligar a que la industria se replantee su evolución y objetivos, así como elementos vinculados a proyectos que incluso tiene en marcha, cuanto antes se lo replantee mejor protegidos estaremos como ciudadanos.

Me consta que muchas de las empresas mencionadas aplican mecanismos de seguridad de la información muy importantes, y está dentro de sus principales preocupaciones, pero otras no lo contemplan o no centran su preocupación en este tema, esencial hoy en día.

Sin embargo, es evidente que la empresa debe afrontar grandes e importantes cambios en sus procesos y formas de actuar, tanto en la seguridad como en las finalidades para las que utiliza esta información de las personas. Y para nosotros, el sentido común como mejor aliado, para decidir qué utilizamos y qué no necesitamos.

Esta pasada semana las Agencias de Protección de Datos de los distintos estados europeos se han dirigido a whatsapp para comunicarle que la reciente campaña que esta empresa está siguiendo junto con Facebook en la que se intercambiarán los datos en poder de ambas, no respeta la legalidad vigente.

Y es así, dado que whatsapp nos ha presentado recientemente un mensaje para aceptar este intercambio de datos,  mensaje que no respeta los mínimos sobre los que debe ser informada una persona para que entienda y acepte esta nueva situación.

El resultado que se busca con este proceso será el intercambio completo de la información que tiene whatsapp sobre una persona (agenda, fotografías, vídeos, lugares visitados, y geolocalización completa, mensajes, contraseña, etc.) con otra empresa, como es Facebook, que tiene igualmente una información muy completa sobre las personas. El resultado será la recopilación de información esencial, que tendrá un valor comercial enorme para poder comercializarla. Y todo ello sin el más mínimo control por ninguna institución.

Si alguien tiene cierta preocupación con este tema, que siga leyendo.

El debate sobre si los datos de las personas deben estar protegidos viene de hace ya más de cuarenta años en el que las primeras leyes europeas comenzaron a reconocer este derecho. Desde entonces, numerosas Constituciones han incorporado este nuevo derecho a su contenido, confirmando que debe ser objeto de una protección importante.

Además, este derecho tiene una particularidad, y es que tiene una Agencia pública detrás, que controla y supervisa su ejercicio, y ante la cual se pueden presentar denuncias si observamos comportamientos abusivos. Si, como en el caso de whatsapp, damos toda esta información a empresas que se sitúan en un territorio ajeno a la Unión Europea, les damos todos los derechos y ninguna obligación, dado que evitan cumplir nuestras normas debido a su ubicación extracomunitaria.

Por ello es tan importante que las personas tengamos estemos alerta y detectemos todas las situaciones en que se incumplen las normas. Sobre todo teniendo en cuenta que muchos menores utilizan estas redes sociales y muchas otras, con una incidencia enorme en su vida diaria.

También esta semana, y en esta línea de proteger nuestra información personal que manejan las organizaciones públicas y privadas, se lanzó una alerta importante por el INCIBE (Instituto Nacional de Ciberseguridad) y la Agencia Española de Protección de Datos sobre el bajo nivel de cumplimiento sobre seguridad en los despachos de abogados, que son de las empresas con mayor nivel de incumplimiento en seguridad y protección de datos que podemos encontrar.

Los despachos de abogados no protegen adecuadamente los datos que les confiamos, sufren pérdidas de información y ya se están dando casos de fugas de información en despachos grandes o pequeños que no se saben gestionar adecuadamente; de hecho, la principal fuente de los llamados “papeles de Panamá” fue el despacho que custodiaba dicha información. Y no sólo los despachos de abogados, sino incluso las páginas web de políticos, que sufren ataques de denegación de servicio que afectan a su integridad y disponibilidad, pueden provocar un problema importante, como ha ocurrido con www.sanchezcastejon.es

La seguridad en la gestión de la información personal tiene una gran importancia, y ello en numerosos ámbitos. Tanto desde el punto de vista de su protección como de la investigación policial, y además ha cobrado especial fuerza desde el momento en que acumulamos grandes cantidades de datos en el teléfono móvil.

Este aparato se convierte en un elemento de gran utilidad para el seguimiento del delito, como hemos visto durante la investigación del crimen de DIANA QUER.

Primero tuvo una incidencia esencial la localización del móvil en las últimas horas en que se pudo triangular, y estos últimos días ha vuelto a cobrar relevancia su teléfono al ser hallado en el mar, encontrándose en proceso de restauración para recobrar toda la información que sea posible del mismo.

Un teléfono que fue destruido y arrojado al mar, acaba siendo determinante, dada la información que puede recuperarse del mismo, en una investigación como ésta.

El otro elemento importante en dicha investigación han sido las cámaras de grabación, tema que se encuentra muy regulado en España, de tal forma que cualquiera no puede instalar a su antojo cámaras y grabar donde quiera, hay que cumplir con unas estrictas reglas de comportamiento. En relación con esta cuestión, y hace bien poco, me decía una persona que no le importa que le graben, dado que “no había hecho nada malo”. El problema es quién va a decidir qué es “lo bueno” y “lo malo”, y sobre todo controlar qué utilización se vaya a hacer de las imágenes grabadas, para qué se van a utilizar. Y por lo tanto, decidir como sociedad si la persecución de un hecho hipotético que puede o no cometerse en una zona o ciudad determinada justifica la grabación masiva, como ocurre en muchas ciudades del mundo donde están instaladas estas cámaras.

En el fondo está la regulación de unas esenciales normas de convivencia entre las personas, las empresas y las administraciones públicas.

Vivimos en un contexto social eminentemente tecnologizado en el que las charlas sobre el colegio de los niños, las reuniones sociales, el deporte o las comunicaciones laborales se hacen utilizando un sistema tecnológico desarrollado y proporcionado por una empresa que tiene su sede en Estados Unidos. Nuestros hijos tienen Snapchat, Instagram y lo utilizan habitualmente. Nosotros, padres, colgamos fotografías nuestras, de nuestros amigos y de nuestros hijos en Facebook (ojo que tenemos ya reclamaciones de hijos mayores de edad contra padres por la sobreexposición de que fueron objeto por estos en las redes sociales durante su minoría de edad).

Este desarrollo se comienza a agravar debido a la interconexión de las distintas redes. Hemos asistido recientemente y con gran preocupación a la comunicación de información entre Facebook y Whatsapp, lo que supone que ambas empresas (las dos pertenecen al propietario de Facebook que adquirió Whatsapp previo pago de catorce mil millones de euros…. Sí, han leído bien, 14 y nueve ceros) trabajan sobre un conjunto de información que les suministramos gratuitamente y que les permite establecer perfiles de cada uno de nosotros. Whatsapp gestiona nada menos que mil millones de mensajes al día.

La normativa está evolucionando, en breve tendremos que aplicar un nuevo Reglamento Europeo, pero la tecnología evoluciona con enorme rapidez y antes de que podamos darnos cuenta tendremos más medios de comunicación entre las personas vinculados a internet.

El gran problema cuando vamos a un hotel ya no es la cama o el restaurante, sino la clave y la velocidad del wifi, y los nuevos temas de discusión con nuestros hijos adolescentes ya son el tiempo de uso del teléfono móvil (cada vez menos teléfono) y para qué lo usan. Y no sólo los adolescentes. Asistimos con frecuencia a situaciones en las que este sistema de mensajería es el utilizado por la cúpula de un partido para comunicarse entre sí, o para comunicar datos de salud entre médicos, para realizar comunicaciones entre empresas, u otras. Cada vez más nos comunicamos en nuestro entorno cotidiano por este tipo de herramientas, lo que provoca no pocos malentendidos, ya que la comunicación escrita tiene también sus limitaciones, al no recoger numerosos matices que la comunicación verbal sí contiene.

La telefonía móvil es el gran negocio hoy en día, que se contempla además desde las empresas como el elemento que nos permitirá llegar al destinatario de nuestro producto de la mejor manera posible. Todos tenemos un teléfono conectado, hasta el punto de que el 50 % de los niños de 11 años tienen teléfono móvil conectado a internet, ya observamos cómo la edad de adquisición del teléfono está bajando sensiblemente estos últimos años. Esto permite tener un público objetivo destinatario del producto cada vez mayor.

Cambios tecnológicos y sociológicos

“El Rubius”, el youtuber más famoso y más seguido en la actualidad tiene casi 21 millones de seguidores en su canal de youtube. Hace bien poco, opinando sobre la situación actual de los medios, decía que nuestros jóvenes entre 12 y 20 años no ven la televisión, sino que ven youtube, y allí encuentran todo lo que necesitan. Esta misma semana, vimos como un chaval de Torrevieja de 12 años había contratado publicidad para un video que colgaba en esta plataforma por importe de 100.000 euros que debía abonar; la empresa fue suficientemente inteligente para renunciar al cobro de esta factura, ganando así cierta aceptación social por ello.

Debemos afrontar estos cambios tecnológicos que son también cambios sociológicos y familiares con el mejor ánimo, estableciendo nuevos parámetros que permitan relacionarnos con fluidez sin perder espacio de privacidad. Es muy importante que rechacemos aquello que nos plantea dudas, ya que una masa crítica importante que no acepte estas condiciones preestablecidas provocará una modificación de las condiciones del servicio más respetuosas con nuestros derechos.

Y que aprendamos a preguntar cuando veamos situaciones extrañas; tenemos numerosas instituciones y profesionales que pueden asesorarnos, no podemos decir que los ciudadanos estemos desprotegidos, sólo tenemos que preguntar.

Por no hablar de la seguridad de este sistema de mensajería instantánea, cuyos fallos de seguridad han sido calificados por el Centro Nacional de Inteligencia como de muy altos, y que permite que se sustraiga información de cuentas de otras personas, o se intercepte esta información que enviamos a personas que conocemos.

Así pues, una actitud vigilante permitirá que minimicemos los riesgos y que afrontemos este nuevo panorama que se abre ante nosotros con optimismo.

E igualmente, una incorporación de tecnología en nuestras vidas de forma inteligente, sin despreciarla pero con sentido común, permitirá que no tengamos sustos o problemas en el futuro.