Pen­sa­mien­to crí­ti­co. ¿De ver­dad sabe­mos qué hace­mos cuan­do acep­ta­mos «coo­kies» u otros consentimientos?

Por Ele­na Gil Gon­zá­lez. Resu­men Lati­no­ame­ri­cano, 20 de febre­ro de 2021.

La digi­ta­li­za­ción de nues­tras rela­cio­nes coti­dia­nas pro­vo­ca que ceda­mos datos per­so­na­les infi­ni­dad de veces al día. Y los cam­bios cons­tan­tes no per­mi­ten que lo haga­mos de for­ma cons­cien­te e infor­ma­da.

En los últi­mos años hemos asis­ti­do a acon­te­ci­mien­tos de gran pro­fun­di­dad en mate­ria de pro­tec­ción de datos. Des­de la actua­li­za­ción de las prin­ci­pa­les nor­mas en la mate­ria has­ta escán­da­los y san­cio­nes a gran­des cor­po­ra­cio­nes por incum­pli­mien­tos de la nor­ma­ti­va. Por otro lado, el avan­ce tec­no­ló­gi­co es expo­nen­cial, de modo que la rapi­dez de los cam­bios y de los nue­vos retos sur­gi­dos con ellos hacen que deba­mos replan­tear­nos cier­tas cues­tio­nes sóli­da­men­te asen­ta­das en mate­ria de pro­tec­ción de datos, como la tra­di­cio­nal pre­va­len­cia del con­sen­ti­mien­to como base de lici­tud bajo la idea de que es la que mejor garan­ti­za los dere­chos de la persona.

Pero ¿es el con­sen­ti­mien­to como base de lici­tud un ins­tru­men­to amplia­men­te efec­ti­vo para la pro­tec­ción de datos de carác­ter per­so­nal en entor­nos de uti­li­za­ción de tec­no­lo­gías big data? ¿Exis­ten alter­na­ti­vas den­tro de nues­tro orde­na­mien­to jurídico?

Comen­ce­mos por el principio

El obje­ti­vo de la nor­ma­ti­va de pro­tec­ción de datos no es limi­tar el tra­ta­mien­to de datos per­so­na­les, úni­ca­men­te su uso injus­ti­fi­ca­do. Para ello, el artícu­lo 6 del Regla­men­to Gene­ral de Pro­tec­ción de Datos (RGPD) con­tie­ne las deno­mi­na­das “bases de lici­tud del tra­ta­mien­to”, es decir, cau­sas jurí­di­cas bajo las que se per­mi­te uti­li­zar datos personales.

Una de estas bases es el con­sen­ti­mien­to. Una per­so­na o empre­sa pue­de tra­tar datos per­so­na­les si ha obte­ni­do el per­mi­so para hacer­lo. El usua­rio medio está cada día más con­cien­cia­do de la impor­tan­cia de ejer­cer con­trol sobre el uso de sus datos y de pres­tar el con­sen­ti­mien­to. Pero tam­bién exis­ten situa­cio­nes en las que el con­sen­ti­mien­to no es el títu­lo jurí­di­co que debe sus­ten­tar un tra­ta­mien­to. Por ello, exis­ten otras bases de lici­tud, por ejem­plo, la nece­si­dad para eje­cu­tar un con­tra­to –así, una tien­da pue­de uti­li­zar tus datos ban­ca­rios para eje­cu­tar el pago con tar­je­ta de débi­to sin nece­si­dad de soli­ci­tar­te el con­sen­ti­mien­to – . De for­ma simi­lar, Hacien­da pue­de acce­der a tu infor­ma­ción fis­cal sin con­sen­ti­mien­to, con base en un inte­rés público.

Pues bien, jun­to con todas las bases de lici­tud ante­rio­res, el artícu­lo 6 del RGPD per­mi­te tra­tar datos sin nues­tro con­sen­ti­mien­to con base en un “inte­rés legítimo”.

¿De ver­dad sabes lo que aceptas?

Antes de la lle­ga­da del RGPD, el con­sen­ti­mien­to era la base de legi­ti­ma­ción uti­li­za­da de for­ma pre­fe­ren­te en el sec­tor pri­va­do. Su popu­la­ri­dad deri­va­ba de que este per­mi­te que las per­so­nas ejer­zan con­trol sobre sus datos per­so­na­les, así como de la faci­li­tad que las orga­ni­za­cio­nes tenían de jus­ti­fi­car que había exis­ti­do este con­sen­ti­mien­to, por­que ser­vía con obte­ner­lo de for­ma táci­ta –por ejem­plo, pre­mar­car una casi­lla que el usua­rio no recha­za­ba era con­si­de­ra­do válido – .

Esta pro­pen­sión cris­ta­li­zó en el hecho de que el con­sen­ti­mien­to se con­vir­tió en el ins­tru­men­to jurí­di­co por exce­len­cia, y no se pres­tó el mis­mo gra­do de aten­ción a otras bases, como el inte­rés legí­ti­mo. Sin embar­go, el avan­ce tec­no­ló­gi­co comen­zó a poner en jaque estas pre­sun­cio­nes de consentimiento.

El con­sen­ti­mien­to pre­su­po­ne que la per­so­na ha leí­do la infor­ma­ción, la ha com­pren­di­do, es capaz de ima­gi­nar­se las con­se­cuen­cias futu­ras y esto le per­mi­te tomar una deci­sión racio­nal que mani­fies­ta de for­ma libre.

Cier­ta­men­te, este pue­de ser el caso en situa­cio­nes sen­ci­llas y pre­vi­si­bles. Pero la digi­ta­li­za­ción de nues­tras rela­cio­nes coti­dia­nas pro­vo­ca que las soli­ci­tu­des de con­sen­ti­mien­to se pro­duz­can infi­ni­dad de veces al día, duran­te el cur­so de acti­vi­da­des coti­dia­nas cuyo obje­ti­vo prin­ci­pal no está rela­cio­na­do direc­ta­men­te con el pro­ce­so men­tal de deci­dir sobre el futu­ro de los datos per­so­na­les. Des­de com­prar una entra­da de tea­tro por inter­net, has­ta ver un pro­gra­ma en nues­tra fla­man­te tele inte­li­gen­te o leer las noti­cias en una pági­na web o app.

Todo ello gene­ra datos, muy valio­sos en el mer­ca­do, y para mone­ti­zar­los nos piden con­sen­ti­mien­tos cons­tan­te­men­te. Esta mone­ti­za­ción impli­ca com­par­tir o ven­der datos a infi­ni­dad de inter­me­dia­rios, crear patro­nes y per­fi­les de cada uno de noso­tros, agre­gar infor­ma­ción y cons­truir mode­los algo­rít­mi­cos cada vez más com­ple­jos e impre­de­ci­bles. ¿De ver­dad tene­mos todo eso en men­te cada vez que hace­mos click acep­tan­do coo­kies y otros tra­ta­mien­tos? Ese click es un con­sen­ti­mien­to jurí­di­ca­men­te váli­do, pero que en reali­dad es ilusorio.

El con­sen­ti­mien­to con­lle­va que la per­so­na es quien mani­fies­ta haber toma­do la deci­sión, una deci­sión que no ter­mi­na de com­pren­der por­que las prác­ti­cas de la indus­tria van años por delan­te de lo que conocemos

Es decir, el avan­ce de la tec­no­lo­gía crea entor­nos coti­dia­nos que son rápi­da­men­te cam­bian­tes y lo sufi­cien­te­men­te com­ple­jos como para que una per­so­na media no sea capaz de man­te­ner un nivel de cono­ci­mien­to actua­li­za­do sobre los poten­cia­les bene­fi­cios y ries­gos de dichos tra­ta­mien­tos de datos. De este modo, es más com­pli­ca­do poder asu­mir el rol de deci­dir de mane­ra con­ve­nien­te­men­te infor­ma­da y con consciencia.

El RGPD ha tra­ta­do de ata­jar estos pro­ble­mas endu­re­cien­do las con­di­cio­nes del con­sen­ti­mien­to, así como los debe­res de infor­ma­ción y trans­pa­ren­cia. Sin embar­go, las polí­ti­cas de pri­va­ci­dad más lar­gas no apor­tan una solu­ción real a los pro­ble­mas que hemos señalado.

El con­sen­ti­mien­to con­lle­va que la per­so­na es quien mani­fies­ta haber toma­do la deci­sión. Es decir, se hace res­pon­sa­ble a la per­so­na de su deci­sión; una deci­sión que no ter­mi­na de com­pren­der por­que la tec­no­lo­gía avan­za de for­ma tan rápi­da que las prác­ti­cas de la indus­tria van años por delan­te de lo que conocemos.

Ade­más, es fre­cuen­te encon­trar patro­nes oscu­ros en las soli­ci­tu­des de con­sen­ti­mien­to. Se tra­ta de prác­ti­cas con las que se pre­ten­de orien­tar de for­ma arti­fi­cial el com­por­ta­mien­to del usua­rio para que este mues­tre su acuer­do. Por ejem­plo, escon­der la opción más pro­tec­to­ra bajo una letra peque­ña y de color poco visi­ble, crear pane­les de con­fi­gu­ra­ción poco intui­ti­vos que pro­vo­quen fati­ga en el usua­rio, etc. al tiem­po que las opcio­nes para con­sen­tir se ofre­cen de for­ma visi­ble y sencilla.

¿Y si no tuvié­ra­mos que pres­tar el consentimiento?

Como decía­mos al prin­ci­pio, el con­sen­ti­mien­to es solo una base más de todas las que reco­no­ce el art. 6 RGPD. En con­cre­to, el art. 6.1.f) reco­ge aque­lla del inte­rés legítimo.

No es un con­cep­to nue­vo, sino que ya exis­tía en la nor­ma­ti­va ante­rior –Direc­ti­va de pro­tec­ción de datos de 1995 – . A pesar de ello, se tra­ta de uno de los con­cep­tos más con­fu­sos de la nor­ma, apre­cia­do, odia­do e incom­pren­di­do a par­tes iguales.

En tér­mi­nos sim­pli­fi­ca­dos, la base de lici­tud se apli­ca en tres pasos. En pri­mer lugar, una orga­ni­za­ción debe ale­gar la exis­ten­cia de un bene­fi­cio o uti­li­dad real y pre­sen­te, para sí mis­ma, un ter­ce­ro o un bene­fi­cio social más amplio, que res­pe­te el orde­na­mien­to jurí­di­co. Es decir, debe exis­tir un inte­rés legí­ti­mo. Se tra­ta de un con­cep­to bas­tan­te amplio. En segun­do lugar, el tra­ta­mien­to debe ser “nece­sa­rio” para la fina­li­dad que la orga­ni­za­ción infor­ma que desea con­se­guir. Se tra­ta tam­bién de un con­cep­to con mati­ces en el que no entra­re­mos aquí. Ade­más, recor­de­mos que la nor­ma obli­ga a infor­mar de cuá­les son estos intere­ses y finalidades.

El inte­rés legí­ti­mo como base de lici­tud para el tra­ta­mien­to de datos vuel­ve a poner el foco de res­pon­sa­bi­li­dad en la orga­ni­za­ción, en lugar de en la persona

En ter­cer lugar, y este es el quid de la cues­tión, la nor­ma exi­ge que dicho inte­rés legí­ti­mo y nece­sa­rio sea pon­de­ra­do con los intere­ses y dere­chos de los clien­tes. La pon­de­ra­ción de intere­ses es cla­ve en la apli­ca­ción del inte­rés legí­ti­mo y es lo que otor­ga dis­tin­ti­vi­dad a esta base de lici­tud. En caso de que en dicha balan­za pesen más los dere­chos de los clien­tes, la orga­ni­za­ción debe imple­men­tar medi­das de pro­tec­ción y miti­ga­ción de ries­gos has­ta supe­rar esa pon­de­ra­ción, o abs­te­ner­se de lle­var a cabo el tra­ta­mien­to. Esto obli­ga a la orga­ni­za­ción a tomar en con­si­de­ra­ción un amplio aba­ni­co de intere­ses y dere­chos de todas las par­tes invo­lu­cra­das en el tra­ta­mien­to de datos, que ya no que­dan en manos de la sola com­pren­sión del usua­rio. Es decir, vuel­ve a poner el foco de res­pon­sa­bi­li­dad en la orga­ni­za­ción, en lugar de en la persona.

Por últi­mo, el usua­rio tie­ne la capa­ci­dad de opo­ner­se a dicho tra­ta­mien­to. Así por ejem­plo, una enti­dad ban­ca­ria ten­drá un inte­rés legí­ti­mo para tra­tar datos a gran esca­la con fines de pre­ven­ción del frau­de o de blan­queo de capi­ta­les. De for­ma simi­lar, la obten­ción de un bene­fi­cio comer­cial o eco­nó­mi­co sería, en mi opi­nión, un ejem­plo cla­ro de inte­rés legí­ti­mo –aun­que la Agen­cia Espa­ño­la de Pro­tec­ción de Datos ha mos­tra­do su reti­cen­cia a con­si­de­rar­lo así – . Todo ello, siem­pre que se supere el ejer­ci­cio de pon­de­ra­ción, se apli­quen medi­das miti­gan­tes y se ofrez­ca el dere­cho de oposición.

Una de las prin­ci­pa­les crí­ti­cas al inte­rés legí­ti­mo devie­ne de con­si­de­rar que se tra­ta de un cajón de sas­tre, un como­dín que con­fie­re la facul­tad de rea­li­zar un tra­ta­mien­to de datos per­so­na­les que no sería líci­to en otra circunstancia.

Sin embar­go, la nece­si­dad de jus­ti­fi­car por escri­to la pon­de­ra­ción de intere­ses se con­vier­te en una garan­tía que no exis­te en las demás bases. Esta docu­men­ta­ción podrá ser revi­sa­da en cual­quier momen­to por la auto­ri­dad de con­trol. De este modo, si la auto­ri­dad apre­cia que la orga­ni­za­ción obvió ele­men­tos rele­van­tes, se decla­ra­ría la fal­ta de legitimación.

No podía ser todo perfecto

Pero ojo, pese a todo lo dicho, este ins­tru­men­to no es per­fec­to. Exis­ten vacíos que pue­den crear un “efec­to Gru­yè­re”, es decir, peque­ñas lagu­nas cuyo impac­to con­jun­to pue­de ser mayor.

En pri­mer lugar, la correc­ta apli­ca­ción del inte­rés legí­ti­mo no es ni sen­ci­lla ni direc­ta. Es una figu­ra ambi­gua, poco desa­rro­lla­da para su apli­ca­ción a entor­nos de tra­ta­mien­to masi­vo de datos y requie­re un ase­so­ra­mien­to jurí­di­co madu­ro y complejo.

Esto pue­de lle­var a que deter­mi­na­das cues­tio­nes sean ins­tru­men­ta­li­za­das por una orga­ni­za­ción para difi­cul­tar el con­trol de una per­so­na sobre sus datos. Por ejem­plo, la nor­ma no obli­ga a que el ejer­ci­cio de pon­de­ra­ción sea públi­co. Ello tie­ne sen­ti­do por­que casi siem­pre inclui­rá ele­men­tos con­fi­den­cia­les o sen­si­bles, pero tam­bién pue­de pro­vo­car una fal­ta de trans­pa­ren­cia res­pec­to de los ries­gos del tratamiento.

Por otro lado, al menos en un pri­mer momen­to, el ejer­ci­cio de pon­de­ra­ción pue­de ter­mi­nar sien­do algo sub­je­ti­vo, pues lo rea­li­za el pro­pio res­pon­sa­ble. Sin embar­go, la pre­sión de saber que esto debe que­dar por escri­to y es sus­cep­ti­ble de inves­ti­ga­ción ser­vi­ría como contrapeso.

Asi­mis­mo, ya hemos men­cio­na­do el dere­cho de opo­si­ción que va uni­do al inte­rés legí­ti­mo. No se tra­ta de un dere­cho abso­lu­to, y las orga­ni­za­cio­nes pue­den ter­mi­nar por empu­jar su mar­gen de manio­bra para dene­gar este dere­cho de for­mas cuestionables.

Se tra­ta de limi­ta­cio­nes sal­va­bles a tra­vés de la publi­ca­ción de direc­tri­ces que desa­rro­llen este pre­cep­to y de vías inter­pre­ta­ti­vas. Por ejem­plo, inter­pre­tar el dere­cho de opo­si­ción en sen­ti­do amplio.

Bre­cha de confianza

En este deba­te hay un fac­tor más. La cre­cien­te sen­sa­ción de vigi­lan­cia o la sos­pe­cha de que los datos son uti­li­za­dos para fina­li­da­des no anun­cia­das a los intere­sa­dos han pro­vo­ca­do una rup­tu­ra de la con­fian­za de las per­so­nas en el mode­lo digital.

La elec­ción de la base de lici­tud para el tra­ta­mien­to de datos per­so­na­les resul­ta solo una de las múl­ti­ples face­tas de ello.

Así, soli­ci­tar el con­sen­ti­mien­to a pesar de las gra­ves defi­cien­cias y poner la car­ga de la res­pon­sa­bi­li­dad en el intere­sa­do no ayu­da­rá a sol­ven­tar el pro­ble­ma. El inte­rés legí­ti­mo, siem­pre que sea apli­ca­do de mane­ra leal y estric­ta, sí podría res­tau­rar esta confianza.

La cre­cien­te sen­sa­ción de vigi­lan­cia o la sos­pe­cha de que los datos son uti­li­za­dos para fina­li­da­des no anun­cia­das han pro­vo­ca­do una rup­tu­ra de la con­fian­za en el mode­lo digital

El intere­sa­do ya no hace depen­der su con­fian­za de la capa­ci­dad de con­trol enten­di­do como ser infor­ma­do y pos­te­rior­men­te pre­gun­ta­do acer­ca de si auto­ri­za o no deter­mi­na­dos tra­ta­mien­tos, pues en muchas oca­sio­nes no alcan­za a com­pren­der­los. Por ello, el con­cep­to tra­di­cio­nal de con­trol como obje­ti­vo de la nor­ma­ti­va de pro­tec­ción de datos debe desa­rro­llar­se y repensarse.

El inte­rés legí­ti­mo como base de lici­tud podría ver­se como una alter­na­ti­va que per­mi­ti­ría vol­ver a gene­rar con­fian­za en que el res­pon­sa­ble, como máxi­mo cono­ce­dor de los por­me­no­res del tra­ta­mien­to, los ha teni­do en cuen­ta y mitigado.

La inno­va­ción y las téc­ni­cas de inte­li­gen­cia arti­fi­cial o tra­ta­mien­to masi­vo de datos son una fuen­te de bene­fi­cios socia­les y eco­nó­mi­cos que no debe­mos des­apro­ve­char. Por eso se hace nece­sa­rio bus­car solu­cio­nes que per­mi­tan fle­xi­bi­li­zar el tra­ta­mien­to de datos, al mis­mo tiem­po que se pro­te­gen los dere­chos de los indi­vi­duos, y foca­li­zar las limi­ta­cio­nes al tra­ta­mien­to de los datos en fun­ción del con­tex­to espe­cí­fi­co en lugar de hacer­lo de mane­ra generalizada.

El sis­te­ma aquí defen­di­do nece­si­ta un alto gra­do de madu­rez de los res­pon­sa­bles de datos, así como un fuer­te com­pro­mi­so para adop­tar están­da­res de segu­ri­dad ele­va­dos. Esto refuer­za de nue­vo la idea de que ya no es el usua­rio el cen­tro de res­pon­sa­bi­li­dad de los datos, sino las orga­ni­za­cio­nes que quie­ren hacer uso de ellos.

Fuen­te: ctxt

Itu­rria /​Fuen­te

Artikulua gustoko al duzu? / ¿Te ha gustado este artículo?

Share on facebook
Share on Facebook
Share on twitter
Share on Twitter

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *