Pen­sa­mien­to crí­ti­co. ¿De ver­dad sabe­mos qué hace­mos cuan­do acep­ta­mos «coo­kies» u otros consentimientos?

Por Ele­na Gil Gon­zá­lez. Resu­men Lati­no­ame­ri­cano, 20 de febre­ro de 2021.

La digi­ta­li­za­ción de nues­tras rela­cio­nes coti­dia­nas pro­vo­ca que ceda­mos datos per­so­na­les infi­ni­dad de veces al día. Y los cam­bios cons­tan­tes no per­mi­ten que lo haga­mos de for­ma cons­cien­te e infor­ma­da.

En los últi­mos años hemos asis­ti­do a acon­te­ci­mien­tos de gran pro­fun­di­dad en mate­ria de pro­tec­ción de datos. Des­de la actua­li­za­ción de las prin­ci­pa­les nor­mas en la mate­ria has­ta escán­da­los y san­cio­nes a gran­des cor­po­ra­cio­nes por incum­pli­mien­tos de la nor­ma­ti­va. Por otro lado, el avan­ce tec­no­ló­gi­co es expo­nen­cial, de modo que la rapi­dez de los cam­bios y de los nue­vos retos sur­gi­dos con ellos hacen que deba­mos replan­tear­nos cier­tas cues­tio­nes sóli­da­men­te asen­ta­das en mate­ria de pro­tec­ción de datos, como la tra­di­cio­nal pre­va­len­cia del con­sen­ti­mien­to como base de lici­tud bajo la idea de que es la que mejor garan­ti­za los dere­chos de la persona.

Pero ¿es el con­sen­ti­mien­to como base de lici­tud un ins­tru­men­to amplia­men­te efec­ti­vo para la pro­tec­ción de datos de carác­ter per­so­nal en entor­nos de uti­li­za­ción de tec­no­lo­gías big data? ¿Exis­ten alter­na­ti­vas den­tro de nues­tro orde­na­mien­to jurídico?

Comen­ce­mos por el principio

El obje­ti­vo de la nor­ma­ti­va de pro­tec­ción de datos no es limi­tar el tra­ta­mien­to de datos per­so­na­les, úni­ca­men­te su uso injus­ti­fi­ca­do. Para ello, el artícu­lo 6 del Regla­men­to Gene­ral de Pro­tec­ción de Datos (RGPD) con­tie­ne las deno­mi­na­das “bases de lici­tud del tra­ta­mien­to”, es decir, cau­sas jurí­di­cas bajo las que se per­mi­te uti­li­zar datos personales.

Una de estas bases es el con­sen­ti­mien­to. Una per­so­na o empre­sa pue­de tra­tar datos per­so­na­les si ha obte­ni­do el per­mi­so para hacer­lo. El usua­rio medio está cada día más con­cien­cia­do de la impor­tan­cia de ejer­cer con­trol sobre el uso de sus datos y de pres­tar el con­sen­ti­mien­to. Pero tam­bién exis­ten situa­cio­nes en las que el con­sen­ti­mien­to no es el títu­lo jurí­di­co que debe sus­ten­tar un tra­ta­mien­to. Por ello, exis­ten otras bases de lici­tud, por ejem­plo, la nece­si­dad para eje­cu­tar un con­tra­to –así, una tien­da pue­de uti­li­zar tus datos ban­ca­rios para eje­cu­tar el pago con tar­je­ta de débi­to sin nece­si­dad de soli­ci­tar­te el con­sen­ti­mien­to – . De for­ma simi­lar, Hacien­da pue­de acce­der a tu infor­ma­ción fis­cal sin con­sen­ti­mien­to, con base en un inte­rés público.

Pues bien, jun­to con todas las bases de lici­tud ante­rio­res, el artícu­lo 6 del RGPD per­mi­te tra­tar datos sin nues­tro con­sen­ti­mien­to con base en un “inte­rés legítimo”.

¿De ver­dad sabes lo que aceptas?

Antes de la lle­ga­da del RGPD, el con­sen­ti­mien­to era la base de legi­ti­ma­ción uti­li­za­da de for­ma pre­fe­ren­te en el sec­tor pri­va­do. Su popu­la­ri­dad deri­va­ba de que este per­mi­te que las per­so­nas ejer­zan con­trol sobre sus datos per­so­na­les, así como de la faci­li­tad que las orga­ni­za­cio­nes tenían de jus­ti­fi­car que había exis­ti­do este con­sen­ti­mien­to, por­que ser­vía con obte­ner­lo de for­ma táci­ta –por ejem­plo, pre­mar­car una casi­lla que el usua­rio no recha­za­ba era con­si­de­ra­do válido – .

Esta pro­pen­sión cris­ta­li­zó en el hecho de que el con­sen­ti­mien­to se con­vir­tió en el ins­tru­men­to jurí­di­co por exce­len­cia, y no se pres­tó el mis­mo gra­do de aten­ción a otras bases, como el inte­rés legí­ti­mo. Sin embar­go, el avan­ce tec­no­ló­gi­co comen­zó a poner en jaque estas pre­sun­cio­nes de consentimiento.

El con­sen­ti­mien­to pre­su­po­ne que la per­so­na ha leí­do la infor­ma­ción, la ha com­pren­di­do, es capaz de ima­gi­nar­se las con­se­cuen­cias futu­ras y esto le per­mi­te tomar una deci­sión racio­nal que mani­fies­ta de for­ma libre.

Cier­ta­men­te, este pue­de ser el caso en situa­cio­nes sen­ci­llas y pre­vi­si­bles. Pero la digi­ta­li­za­ción de nues­tras rela­cio­nes coti­dia­nas pro­vo­ca que las soli­ci­tu­des de con­sen­ti­mien­to se pro­duz­can infi­ni­dad de veces al día, duran­te el cur­so de acti­vi­da­des coti­dia­nas cuyo obje­ti­vo prin­ci­pal no está rela­cio­na­do direc­ta­men­te con el pro­ce­so men­tal de deci­dir sobre el futu­ro de los datos per­so­na­les. Des­de com­prar una entra­da de tea­tro por inter­net, has­ta ver un pro­gra­ma en nues­tra fla­man­te tele inte­li­gen­te o leer las noti­cias en una pági­na web o app.

Todo ello gene­ra datos, muy valio­sos en el mer­ca­do, y para mone­ti­zar­los nos piden con­sen­ti­mien­tos cons­tan­te­men­te. Esta mone­ti­za­ción impli­ca com­par­tir o ven­der datos a infi­ni­dad de inter­me­dia­rios, crear patro­nes y per­fi­les de cada uno de noso­tros, agre­gar infor­ma­ción y cons­truir mode­los algo­rít­mi­cos cada vez más com­ple­jos e impre­de­ci­bles. ¿De ver­dad tene­mos todo eso en men­te cada vez que hace­mos click acep­tan­do coo­kies y otros tra­ta­mien­tos? Ese click es un con­sen­ti­mien­to jurí­di­ca­men­te váli­do, pero que en reali­dad es ilusorio.

El con­sen­ti­mien­to con­lle­va que la per­so­na es quien mani­fies­ta haber toma­do la deci­sión, una deci­sión que no ter­mi­na de com­pren­der por­que las prác­ti­cas de la indus­tria van años por delan­te de lo que conocemos

Es decir, el avan­ce de la tec­no­lo­gía crea entor­nos coti­dia­nos que son rápi­da­men­te cam­bian­tes y lo sufi­cien­te­men­te com­ple­jos como para que una per­so­na media no sea capaz de man­te­ner un nivel de cono­ci­mien­to actua­li­za­do sobre los poten­cia­les bene­fi­cios y ries­gos de dichos tra­ta­mien­tos de datos. De este modo, es más com­pli­ca­do poder asu­mir el rol de deci­dir de mane­ra con­ve­nien­te­men­te infor­ma­da y con consciencia.

El RGPD ha tra­ta­do de ata­jar estos pro­ble­mas endu­re­cien­do las con­di­cio­nes del con­sen­ti­mien­to, así como los debe­res de infor­ma­ción y trans­pa­ren­cia. Sin embar­go, las polí­ti­cas de pri­va­ci­dad más lar­gas no apor­tan una solu­ción real a los pro­ble­mas que hemos señalado.

El con­sen­ti­mien­to con­lle­va que la per­so­na es quien mani­fies­ta haber toma­do la deci­sión. Es decir, se hace res­pon­sa­ble a la per­so­na de su deci­sión; una deci­sión que no ter­mi­na de com­pren­der por­que la tec­no­lo­gía avan­za de for­ma tan rápi­da que las prác­ti­cas de la indus­tria van años por delan­te de lo que conocemos.

Ade­más, es fre­cuen­te encon­trar patro­nes oscu­ros en las soli­ci­tu­des de con­sen­ti­mien­to. Se tra­ta de prác­ti­cas con las que se pre­ten­de orien­tar de for­ma arti­fi­cial el com­por­ta­mien­to del usua­rio para que este mues­tre su acuer­do. Por ejem­plo, escon­der la opción más pro­tec­to­ra bajo una letra peque­ña y de color poco visi­ble, crear pane­les de con­fi­gu­ra­ción poco intui­ti­vos que pro­vo­quen fati­ga en el usua­rio, etc. al tiem­po que las opcio­nes para con­sen­tir se ofre­cen de for­ma visi­ble y sencilla.

¿Y si no tuvié­ra­mos que pres­tar el consentimiento?

Como decía­mos al prin­ci­pio, el con­sen­ti­mien­to es solo una base más de todas las que reco­no­ce el art. 6 RGPD. En con­cre­to, el art. 6.1.f) reco­ge aque­lla del inte­rés legítimo.

No es un con­cep­to nue­vo, sino que ya exis­tía en la nor­ma­ti­va ante­rior –Direc­ti­va de pro­tec­ción de datos de 1995 – . A pesar de ello, se tra­ta de uno de los con­cep­tos más con­fu­sos de la nor­ma, apre­cia­do, odia­do e incom­pren­di­do a par­tes iguales.

En tér­mi­nos sim­pli­fi­ca­dos, la base de lici­tud se apli­ca en tres pasos. En pri­mer lugar, una orga­ni­za­ción debe ale­gar la exis­ten­cia de un bene­fi­cio o uti­li­dad real y pre­sen­te, para sí mis­ma, un ter­ce­ro o un bene­fi­cio social más amplio, que res­pe­te el orde­na­mien­to jurí­di­co. Es decir, debe exis­tir un inte­rés legí­ti­mo. Se tra­ta de un con­cep­to bas­tan­te amplio. En segun­do lugar, el tra­ta­mien­to debe ser “nece­sa­rio” para la fina­li­dad que la orga­ni­za­ción infor­ma que desea con­se­guir. Se tra­ta tam­bién de un con­cep­to con mati­ces en el que no entra­re­mos aquí. Ade­más, recor­de­mos que la nor­ma obli­ga a infor­mar de cuá­les son estos intere­ses y finalidades.

El inte­rés legí­ti­mo como base de lici­tud para el tra­ta­mien­to de datos vuel­ve a poner el foco de res­pon­sa­bi­li­dad en la orga­ni­za­ción, en lugar de en la persona

En ter­cer lugar, y este es el quid de la cues­tión, la nor­ma exi­ge que dicho inte­rés legí­ti­mo y nece­sa­rio sea pon­de­ra­do con los intere­ses y dere­chos de los clien­tes. La pon­de­ra­ción de intere­ses es cla­ve en la apli­ca­ción del inte­rés legí­ti­mo y es lo que otor­ga dis­tin­ti­vi­dad a esta base de lici­tud. En caso de que en dicha balan­za pesen más los dere­chos de los clien­tes, la orga­ni­za­ción debe imple­men­tar medi­das de pro­tec­ción y miti­ga­ción de ries­gos has­ta supe­rar esa pon­de­ra­ción, o abs­te­ner­se de lle­var a cabo el tra­ta­mien­to. Esto obli­ga a la orga­ni­za­ción a tomar en con­si­de­ra­ción un amplio aba­ni­co de intere­ses y dere­chos de todas las par­tes invo­lu­cra­das en el tra­ta­mien­to de datos, que ya no que­dan en manos de la sola com­pren­sión del usua­rio. Es decir, vuel­ve a poner el foco de res­pon­sa­bi­li­dad en la orga­ni­za­ción, en lugar de en la persona.

Por últi­mo, el usua­rio tie­ne la capa­ci­dad de opo­ner­se a dicho tra­ta­mien­to. Así por ejem­plo, una enti­dad ban­ca­ria ten­drá un inte­rés legí­ti­mo para tra­tar datos a gran esca­la con fines de pre­ven­ción del frau­de o de blan­queo de capi­ta­les. De for­ma simi­lar, la obten­ción de un bene­fi­cio comer­cial o eco­nó­mi­co sería, en mi opi­nión, un ejem­plo cla­ro de inte­rés legí­ti­mo –aun­que la Agen­cia Espa­ño­la de Pro­tec­ción de Datos ha mos­tra­do su reti­cen­cia a con­si­de­rar­lo así – . Todo ello, siem­pre que se supere el ejer­ci­cio de pon­de­ra­ción, se apli­quen medi­das miti­gan­tes y se ofrez­ca el dere­cho de oposición.

Una de las prin­ci­pa­les crí­ti­cas al inte­rés legí­ti­mo devie­ne de con­si­de­rar que se tra­ta de un cajón de sas­tre, un como­dín que con­fie­re la facul­tad de rea­li­zar un tra­ta­mien­to de datos per­so­na­les que no sería líci­to en otra circunstancia.

Sin embar­go, la nece­si­dad de jus­ti­fi­car por escri­to la pon­de­ra­ción de intere­ses se con­vier­te en una garan­tía que no exis­te en las demás bases. Esta docu­men­ta­ción podrá ser revi­sa­da en cual­quier momen­to por la auto­ri­dad de con­trol. De este modo, si la auto­ri­dad apre­cia que la orga­ni­za­ción obvió ele­men­tos rele­van­tes, se decla­ra­ría la fal­ta de legitimación.

No podía ser todo perfecto

Pero ojo, pese a todo lo dicho, este ins­tru­men­to no es per­fec­to. Exis­ten vacíos que pue­den crear un “efec­to Gru­yè­re”, es decir, peque­ñas lagu­nas cuyo impac­to con­jun­to pue­de ser mayor.

En pri­mer lugar, la correc­ta apli­ca­ción del inte­rés legí­ti­mo no es ni sen­ci­lla ni direc­ta. Es una figu­ra ambi­gua, poco desa­rro­lla­da para su apli­ca­ción a entor­nos de tra­ta­mien­to masi­vo de datos y requie­re un ase­so­ra­mien­to jurí­di­co madu­ro y complejo.

Esto pue­de lle­var a que deter­mi­na­das cues­tio­nes sean ins­tru­men­ta­li­za­das por una orga­ni­za­ción para difi­cul­tar el con­trol de una per­so­na sobre sus datos. Por ejem­plo, la nor­ma no obli­ga a que el ejer­ci­cio de pon­de­ra­ción sea públi­co. Ello tie­ne sen­ti­do por­que casi siem­pre inclui­rá ele­men­tos con­fi­den­cia­les o sen­si­bles, pero tam­bién pue­de pro­vo­car una fal­ta de trans­pa­ren­cia res­pec­to de los ries­gos del tratamiento.

Por otro lado, al menos en un pri­mer momen­to, el ejer­ci­cio de pon­de­ra­ción pue­de ter­mi­nar sien­do algo sub­je­ti­vo, pues lo rea­li­za el pro­pio res­pon­sa­ble. Sin embar­go, la pre­sión de saber que esto debe que­dar por escri­to y es sus­cep­ti­ble de inves­ti­ga­ción ser­vi­ría como contrapeso.

Asi­mis­mo, ya hemos men­cio­na­do el dere­cho de opo­si­ción que va uni­do al inte­rés legí­ti­mo. No se tra­ta de un dere­cho abso­lu­to, y las orga­ni­za­cio­nes pue­den ter­mi­nar por empu­jar su mar­gen de manio­bra para dene­gar este dere­cho de for­mas cuestionables.

Se tra­ta de limi­ta­cio­nes sal­va­bles a tra­vés de la publi­ca­ción de direc­tri­ces que desa­rro­llen este pre­cep­to y de vías inter­pre­ta­ti­vas. Por ejem­plo, inter­pre­tar el dere­cho de opo­si­ción en sen­ti­do amplio.

Bre­cha de confianza

En este deba­te hay un fac­tor más. La cre­cien­te sen­sa­ción de vigi­lan­cia o la sos­pe­cha de que los datos son uti­li­za­dos para fina­li­da­des no anun­cia­das a los intere­sa­dos han pro­vo­ca­do una rup­tu­ra de la con­fian­za de las per­so­nas en el mode­lo digital.

La elec­ción de la base de lici­tud para el tra­ta­mien­to de datos per­so­na­les resul­ta solo una de las múl­ti­ples face­tas de ello.

Así, soli­ci­tar el con­sen­ti­mien­to a pesar de las gra­ves defi­cien­cias y poner la car­ga de la res­pon­sa­bi­li­dad en el intere­sa­do no ayu­da­rá a sol­ven­tar el pro­ble­ma. El inte­rés legí­ti­mo, siem­pre que sea apli­ca­do de mane­ra leal y estric­ta, sí podría res­tau­rar esta confianza.

La cre­cien­te sen­sa­ción de vigi­lan­cia o la sos­pe­cha de que los datos son uti­li­za­dos para fina­li­da­des no anun­cia­das han pro­vo­ca­do una rup­tu­ra de la con­fian­za en el mode­lo digital

El intere­sa­do ya no hace depen­der su con­fian­za de la capa­ci­dad de con­trol enten­di­do como ser infor­ma­do y pos­te­rior­men­te pre­gun­ta­do acer­ca de si auto­ri­za o no deter­mi­na­dos tra­ta­mien­tos, pues en muchas oca­sio­nes no alcan­za a com­pren­der­los. Por ello, el con­cep­to tra­di­cio­nal de con­trol como obje­ti­vo de la nor­ma­ti­va de pro­tec­ción de datos debe desa­rro­llar­se y repensarse.

El inte­rés legí­ti­mo como base de lici­tud podría ver­se como una alter­na­ti­va que per­mi­ti­ría vol­ver a gene­rar con­fian­za en que el res­pon­sa­ble, como máxi­mo cono­ce­dor de los por­me­no­res del tra­ta­mien­to, los ha teni­do en cuen­ta y mitigado.

La inno­va­ción y las téc­ni­cas de inte­li­gen­cia arti­fi­cial o tra­ta­mien­to masi­vo de datos son una fuen­te de bene­fi­cios socia­les y eco­nó­mi­cos que no debe­mos des­apro­ve­char. Por eso se hace nece­sa­rio bus­car solu­cio­nes que per­mi­tan fle­xi­bi­li­zar el tra­ta­mien­to de datos, al mis­mo tiem­po que se pro­te­gen los dere­chos de los indi­vi­duos, y foca­li­zar las limi­ta­cio­nes al tra­ta­mien­to de los datos en fun­ción del con­tex­to espe­cí­fi­co en lugar de hacer­lo de mane­ra generalizada.

El sis­te­ma aquí defen­di­do nece­si­ta un alto gra­do de madu­rez de los res­pon­sa­bles de datos, así como un fuer­te com­pro­mi­so para adop­tar están­da­res de segu­ri­dad ele­va­dos. Esto refuer­za de nue­vo la idea de que ya no es el usua­rio el cen­tro de res­pon­sa­bi­li­dad de los datos, sino las orga­ni­za­cio­nes que quie­ren hacer uso de ellos.

Fuen­te: ctxt

Itu­rria /​Fuen­te

Artikulua gustoko al duzu? / ¿Te ha gustado este artículo?

Twitter
Facebook
Telegram

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *