Lola Carranza es abogada experta en Derecho Digital y será la encargada de impartir la asignatura de Compliance Digital en el Master in Management de Negocios Digitales que comenzará el próximo mes de octubre.
Actualmente, asesora a diferentes empresas de base tecnológica en cumplimiento normativo de Derecho Digital e innovación tecnológica. Hablamos con ella de diferentes cuestiones que suscitan grandes debates en la actualidad como la necesidad de establecer límites éticos al uso de la tecnología, el difícil equilibrio entre privacidad y protección de la salud, o los riesgos digitales a los que se enfrentan las empresas con la creciente digitalización, entre otros temas.
Pregunta (P): El Gobierno ha puesto en marcha la elaboración de una Carta de Derechos Digitales con la constitución de un grupo de expertos para recoger algunos relacionados con la protección de colectivos vulnerables, las nuevas relaciones laborales o el impacto de nuevas tecnologías como la inteligencia artificial ¿Cómo valora esta iniciativa?
Respuesta (R): Considero que era algo necesario. Los Derechos Digitales se regularon en el título X de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) en 2018 y, si bien la regulación de algunos aspectos era necesaria e interesante, desde mi punto de vista, esta norma ni era el lugar más adecuado para incluirlos ya que pertenecían a otras disciplinas jurídicas o ramas del derecho, ni habían sido suficientemente desarrollados para ser implementados y exigibles.
A raíz de las nuevas situaciones derivadas del uso de la tecnología durante la pandemia del coronavirus, han surgido nuevas realidades sociales y laborales, y se ha tomado conciencia de la necesidad de acelerar el desarrollo de los derechos ya incluidos en la LOPDGDD y la de regular otros derechos que no estaban recogidos en dicha norma como los referidos a la protección de algunos colectivos vulnerables, a las nuevas relaciones laborales o el impacto de nuevas tecnologías como la inteligencia artificial.
Hay bastante expectación con el resultado de esta Carta de Derechos Digitales y esperemos que vea pronto la luz. Para mi, uno de los aspectos más interesantes que se van a analizar y regular es el del impacto de las nuevas tecnologías y de la inteligencia artificial (IA), ya que considero que es un asunto que merece una pausada reflexión.
Desde la firma de la “Declaración Digital” en el Foro Mundial de Davos del pasado año, cada vez se ve más la necesidad de que se establezca un equilibrio entre la capacidad de las nuevas tecnologías –Internet de las Cosas (IoT), Inteligencia Artificial (IA), redes sociales o Big Data– y el derecho a la privacidad, en el que deben estar involucrados gobiernos, instituciones, corporaciones y usuarios a fin de establecer límites éticos en el uso de la tecnología por los riesgos que puede conllevar en relación a derechos fundamentales.
En este sentido, la “ética digital” será objeto de estudio en la asignatura de «Compliance Digital» del Master in Management de Negocios Digitales que impartiré en la Universidad Loyola, ya que los alumnos deben reflexionar sobre un asunto que es necesidad y tendencia global.
(P): La monitorización de usuarios por parte de las autoridades para el seguimiento y control de la pandemia ha vuelto a reabrir el debate sobre la privacidad. ¿Puede la crisis del coronavirus llegar a cambiar para siempre nuestra visión sobre la privacidad y el uso de nuestros datos?
(R): Durante esta crisis estamos asistiendo a distintas situaciones en las que la tecnología y el tratamiento de nuestros datos se han visto como medida necesaria para afrontar la pandemia del Covid-19. Son muchas las herramientas de las que se ha hablado tanto de titularidad púbica, ya sean estatales o autonómicas (APP de diagnósticos, APP de control de cuarentena, etc.) como privada (pasaportes sanitarios para procesos de selección, tomas masivas de temperatura, etc.).
Muchas de estas herramientas incumplían con los principios del tratamiento de datos regulados en el RGPD, lo que en muchas ocasiones ha podido dar a entender que estas medidas, al ser necesarias para proteger la salud, justificaban la suspensión de otros derechos como el derecho a la protección de datos.
Sin perjuicio del uso o no de herramientas tecnológicas, no cabe duda que todas las entidades se tendrán que enfrentar a un problema común como es el de preservar y garantizar la salud de sus empleados e intentar evitar los contagios en sus instalaciones. Esto requerirá el tratamiento de datos de salud (test, cuestionarios de salud e, incluso, toma de temperatura) de sus empleados y/o de terceros que accedan a las instalaciones de la compañía o contactos de éstos.
Debemos tener en cuenta que los datos de salud constituyen una categoría especial de datos conforme al RGPD y que, en principio, su tratamiento está prohibido por ley, salvo que se den las excepciones previstas en dicha norma. Todo ello ha requerido que la autoridad de control española en esta materia –la Agencia Española de Protección de Datos (AEPD)– haya mostrado su preocupación declarando que el derecho fundamental a la protección de datos sigue aplicándose con normalidad y que la normativa vigente establece suficientes bases jurídicas para amparar este tratamiento de datos en una de ellas.
Por lo tanto, ni la lucha contra el coronavirus como tampoco lo fueron otras crisis que suscitaron esta cuestión de prevalencia de otros derechos frente a la privacidad, como por ejemplo los atentados terroristas islamistas, no deben ser excusa para poder mermar nuestro derecho a la protección de datos o invadir nuestra privacidad, debiendo realizarse este tratamiento conforme a la normativa vigente, con todas las garantías para los interesados y atendiendo especialmente a los principios de licitud, lealtad y transparencia, de limitación de la finalidad, principio de exactitud, y por supuesto, y hay que hacer especial hincapié en ello, al principio de minimización de datos.
(P): ¿Cuáles son los principales riesgos digitales a los que se enfrentan las empresas y cuáles son sus consecuencias?
(R): El mayor riesgo que afrontan las empresas con la digitalización es la protección de su información, entendiéndose en sentido amplio, como: sus conocimientos, sus datos, sus activos tecnológicos y empresariales, etc. Vivimos en un mundo complejo que ha transformado la forma en la que se hacen los negocios. Las redes sociales, el móvil, la computación y servicios en la nube, han aumentado la facilidad y la velocidad de la comunicación y la automatización de los procesos.
Cada vez son más las organizaciones que se están digitalizando, lo que ha conllevado, dependiendo de la posición de la organización como prestador y/o receptor de servicios, la contratación de productos o servicios tecnológicos a terceros; la comercialización de sus productos y servicios por comercio electrónico y la prestación de servicios de forma masiva.
Todo este proceso de digitalización debe realizarse en atención a la normativa vigente que sea de aplicación, realizando la oportuna adecuación a la misma, suscribiendo los documentos oportunos con usuarios, clientes y terceros proveedores, formando a los empleados y adoptando las medidas técnicas oportunas. En este sentido, las organizaciones deben tener muy presente el riesgo que supone no tener una estrategia jurídica y técnica en la que se evalúe el riesgo, la probabilidad de que ocurra y el impacto que tendrían en la organización.
En los planes de viabilidad de las compañías, el Compliance Digital debe ir encontrando su hueco y estar entre las prioridades de la agenda de los directivos, ya que los servicios y actividades se pueden externalizar y subcontratar, pero la responsabilidad no, y en esto está en juego la cuenta de resultados de la compañía porque las sanciones y las crisis de reputación que pueden derivarse de las infracciones en seguridad de la información pueden dejar a las organizaciones fuera del mercado.
La mayor y mejor protección que puede tener una empresa es la prevención, y está en manos de sus directivos la oportunidad de ser proactivos y definir una estrategia de seguridad y Compliance Digital; o ser reactivos y, cuando ocurran las vulnerabilidades, pagar rescates, sanciones, o resignarse a perder una información que puede ser crucial no sólo para su negocio sino para su continuidad.
(P): ¿Cree que somos conscientes -empresas y usuarios- de las implicaciones y consecuencias jurídicas de las acciones realizadas en el Internet? ¿O sigue habiendo una cierta sensación de “impunidad”?
(R): En Internet existe una falsa sensación de impunidad que considero viene motivada por dos factores: el anonimato y el secreto. Muchas personas amparadas bajo estas circunstancias utilizan la red para difamar, insultar, revelar secretos, suplantar identidades, amenazar, etc.; pensando que estos hechos no tendrán más consecuencias que las que desea el propio autor.
Estos comportamientos no pueden estar amparados en la libertad de expresión, ya que esta colisiona directamente con otros derechos regulados en la Constitución Española como son el derecho al honor, a la intimidad personal y familiar y a la propia imagen. Asimismo, estos comportamientos también pueden ser constitutivos de delitos regulados en nuestra legislación.
La legislación española regula y ha introducido elementos de tipificación de estas conductas. Los Cuerpos y Fuerzas de Seguridad del Estado están cada vez más preparados y diligentes para erradicar todo lo que de delictivo se produce desde las redes sociales y si bien se deben destinar más recursos técnicos y humanos, debemos ser conscientes que nos encontramos ante una complicada realidad puesto que la ciberdelincuencia sigue su auge exponencial y se ha convertido en un lucrativo negocio que es muy difícil de combatir y perseguir ya que los autores se pueden esconder detrás de una conexión desde cualquier parte del mundo, incluso desde terceros países con los que ni España ni Europa tienen colaboración en este sentido.
(P): Otro aspecto que suscita cierta controversia es el de la huella digital. Parece imposible hacer cualquier cosa en Internet, por nimia que sea, que no deje rastro. ¿Cómo hacer compatible el derecho a la información y a la libertad de expresión con el derecho al olvido o a la privacidad?
(R): Este tema ha llevado a muchas discusiones, pero considero que la jurisprudencia es clara al respecto. El derecho a la libertad de información prima sobre la privacidad siempre que la publicación de datos de carácter personal aporte valor noticiable a la información difundida. Con respecto al derecho al olvido, debemos tener en cuenta que es un derecho regulado en la normativa vigente en materia de protección de datos que también nos otorga otros recursos y derechos para proteger nuestra privacidad e intimidad.
Debemos tener en cuenta que la normativa vigente de protección de datos nos da derecho a saber y a acceder a los datos que se tratan sobre nosotros, a oponernos a determinados tratamientos como los publicitarios sin que ello menoscabe prestaciones de servicios, tenemos derecho a limitar nuestro tratamiento y, por supuesto, el derecho de supresión o derecho al olvido.
No obstante, y sin perjuicio de lo anterior, me permito apelar a la responsabilidad de cada usuario de la Red. Es nuestra propia responsabilidad proteger nuestra privacidad y nuestra intimidad. Entiendo que la rápida evolución tecnológica y la globalización nos han planteado nuevos retos a nivel personal. Las tecnologías y las redes sociales son elementos esenciales y eficientes hoy en día: búsquedas de empleo, compras fáciles y búsqueda de cualquier información. Pero debemos ser responsables y cautelosos con lo que publicamos, “retuiteamos”, “favoriteamos”, etc.; porque esa información puede trazar nuestro perfil sobre gustos, preferencias, hábitos, ideología, creencias, etc. y generar consecuencias que no prevemos.
Una fórmula que nos permite conocer la imagen que proyectamos en Internet es el “egosurfing” y practicarlo nos permite ver quiénes somos en la Red y poder adoptar las medidas que consideremos oportunas al respecto y/o ejercer los derechos que las normas nos reconocen.
