Por Henry Velasquez Yanez, Asociado Senior de EcixGroup
“La mejor forma de predecir el futuro, es crearlo”. Peter Drücker
Estamos en verano y todos los que de alguna u otra manera participamos en el mundo del “Compliance” y la protección de datos personales, estamos a la expectativa de tres acontecimientos que, en el presente año, han suscitado, al menos, inquietud entre usuarios, autoridades de control, juristas, consultores, desarrolladores y fabricantes de dispositivos inteligentes.
Tales acontecimientos guardan una relación entre sí, ya que, probablemente, en un futuro próximo, han de coincidir en el escenario del cumplimiento normativo, que se gesta en el ámbito de las nuevas tecnologías.
Se trata de: (i) el tan anunciado lanzamiento al mercado y comercialización de las Google Glasses previsto para el próximo año; (ii) la regulación de la “Privacy by Design” contemplada en Reglamento Europeo de Protección de Datos, cuya aprobación se prevé también para el 2014; y finalmente, (iii) la Sentencia del Tribunal de Justicia de la Unión Europea (TJUE) que recaería sobre al asunto C-131/12, en el marco del Procedimiento que disputan, la Agencia Española de Protección de Datos (AEPD), Google Spain, S.L. y Google Inc., cuya publicación está prevista para diciembre del presente año.
Gafas inteligentes para percibir los temores de una realidad aumentada.
A menos de un año de su lanzamiento definitivo, las SmartGlasses diseñadas por Google, ya se han despertado reacciones que van desde las críticas y paranoias Orwellianas de sectores ultraconservadores, hasta la casi indiferencia de quienes equiparan el uso de las gafas inteligentes al de otros dispositivos (p.e. Smatphones) actualmente existentes en el mercado, minimizando el posible impacto de los mismos en la privacidad de los usuarios, o trasladando dicho impacto a las consecuencias de su uso.
La inquietud ha llegado a tal punto, que tanto el Congreso de Estados Unidos, Organismos gubernamentales de Canadá, como las propias Autoridades de Protección de Datos de los Estados miembros de la Unión Europea (GT 29), han manifestado sus preocupaciones, solicitando a Google explicaciones sobre las medidas implementadas para garantizar la privacidad de los usuarios.
No es cuestión baladí ya que el catálogo de aplicaciones y funcionalidades integradas en las Glasses parecen aumentar día tras día, permitiendo al usuario, entre otras cosas: (i) ejecutar órdenes de voz y mostrar los resultados a través del dispositivo; (ii) reproducir en el Smartphone, las imágenes que el usuario ve a través del dispositivo; (iii) realizar búsquedas a través Google; (iv) tomar fotografías; (v) grabar vídeos (predeterminando la duración del mismo); (vi) enviar un SMS o incluso realizar videollamadas; (vii) consultar las apps instaladas en el dispositivo; (viii) compartir contenidos en las redes sociales en las que el usuario se haya registrado; (ix) e incluso, no se descarta que en el futuro, puedan incorporarse mecanismos de reconocimiento facial y de seguimiento ocular, que permitan mostrar iconos o estadísticas sobre las personas a quienes se ha efectuado el reconocimiento facial.
Aunque Google ha manifestado que ha tenido en cuenta la privacidad como una prioridad desde el momento en que comenzaron a diseñar el dispositivo, y que, entre otros aspectos, han previsto que las gafas indiquen “señales explícitas” que permitirán a un tercero reconocer cuando está siendo fotografiado o grabado (a través de iluminación de pantalla, y comandos de voz), aún se mantienen las dudas sobre si tales aspectos son suficientes para garantizar la privacidad de los usuarios y si, en cualquier supuesto podrían satisfacer las crecientes exigencias que la normativa europea procura imponer tanto a los fabricantes de dispositivos inteligentes, como a los desarrolladores de aplicaciones incorporados en los mismos.
Crónica de una Sentencia anunciada.
Se ha escrito mucho sobre las consecuencias que podrían derivarse de la Sentencia del TJUE, sobre el asunto C-131/12, que disputan la AEPD, Google Spain, S.L. y Google Inc., y en particular, a las conclusiones manifestadas el pasado 25 de Junio por el Abogado General del TJUE, Nilo Jääskinen.
En el citado “Escrito de Conclusiones” se hacía referencia a un aspecto que, a los efectos del presente artículo, conviene destacar. Recordemos que, entre otros aspectos, en este Procedimiento se planteaban una serie de cuestiones sobre el papel de los proveedores de servicios de motores de búsqueda en Internet, a la luz de la normativa de la Directiva 95/46/CE; así como determinar el ámbito territorial de aplicación de las normas de protección de datos de la Unión Europea, cuando dichos proveedores tengan su sede social fuera del ámbito europeo (como sería el caso de Google Inc., con sede social en California).
Al respecto, el Abogado General del TJUE concluyó que: “se lleva a cabo tratamiento de datos personales en el marco de las actividades de un «establecimiento» del responsable del tratamiento (…) cuando la empresa que provee el motor de búsqueda establece en un Estado miembro, con el fin de promover y vender espacios publicitarios en su motor de búsqueda, una oficina o una filial que orienta su actividad hacia los habitantes de dicho Estado”.
De dicha conclusión se desprende que sería aplicable la normativa de protección de datos española (LOPD) a Google, independientemente que se trate de Google Inc., o de Google Spain, en la medida en que ésta última entidad, tendría la consideración de “establecimiento” y, por tanto, deberá cumplir con la legislación española para tratar datos de españoles, o bien, en su caso, con las disposiciones normativas aplicables en el ámbito europeo (p.e. las que previsiblemente estarían contempladas en el Reglamento Europeo de Protección de Datos).
Aunque el Dictamen del Abogado General, reúne conclusiones generales que no tienen un carácter vinculante, se sabe que éstas influyen en el 80% de los casos, por lo tanto, conviene tener en cuenta este precedente ya que quizás anticipe, lo que serían “las nuevas reglas del juego”, para una entidad con sede social fuera de la UE, pero respecto de la cual se considere que existen “establecimientos” ubicados en los estados miembros.
Privacidad desde el Diseño en el Reglamento Europeo de Protección de Datos.
Ya se sabe que el Reglamento Europeo de Protección de Datos, cuya aprobación se prevé para el 2014, supondrá una regulación uniforme y centralizada en el ámbito del derecho a la privacidad.
Entre otros aspectos dicho reglamento contempla un apartado concerniente al “Privacy by Design”, o “Privacidad desde el Diseño”. A mayor abundamiento, el art. 23 impone al responsable la obligación de implementar las medidas vinculadas a la protección de datos desde la génesis de cualquier proyecto que implique un tratamiento de datos de carácter personal, tanto en el momento de la determinación de los medios de tratamiento como en el del tratamiento propiamente dicho.
Al respecto, conviene señalar que la “Privacidad desde el Diseño” ya venía siendo señalada por el GT 29, que en su Dictamen 02/2013 sobre las aplicaciones de los dispositivos inteligentes, ya advertía que la normativa europea resultaba de aplicación cada vez que una aplicación se lanzaba al mercado europeo, a pesar de que el desarrollador de la aplicación en sí esté situado a nivel mundial.
No obstante, con la entrada en vigor del citado Reglamento, lo anterior supondrá que las entidades sobre las que recaiga tal responsabilidad, deberán pensar en función de la protección de datos y de su cumplimiento normativo, desde la concepción de la idea de negocio y de esta manera ajustar su actuación con un carácter preventivo, diseñando los parámetros necesarios para conseguir el respeto y cumplimiento del derecho de protección de datos.
El papel del “Compliance” como elemento catalizador.
Los tres acontecimientos a los que hemos hecho referencia vienen a reflejar las órbitas a través de las cuales giran los protagonistas de este Universo Compliance, y ponen de relieve el reto que supone encontrar el equilibrio entre el cumplimiento de la normativa aplicable y el desarrollo del negocio apoyado en el avance tecnológico, ante los cambios que se avecinan y que afectan tanto a fabricantes, desarrolladores, entidades responsables de tratamiento, e incluso a los propios usuarios.
Como se ha expuesto, tanto fabricantes de un dispositivo inteligente (Smartphone, SmartGlass, SmartWatch), como en su caso, los desarrolladores de las app integrados en el mismo, en la medida en que dirijan sus productos/servicios al mercado europeo (y/o que se considere que los mismos tengan un “establecimiento” en el territorio europeo), deberán cumplir la nueva normativa europea, aplicable en materia de protección de datos personales.
Dicha circunstancia conllevaría la necesidad de realizar un adecuado “análisis de riesgos” de incumplimiento normativo, valorando, desde el inicio (Privacy by Design), si la arquitectura funcional y diseño del dispositivo inteligente, o de la plataforma sobre la cual se incorporaran las aplicaciones, se ajustan a las disposiciones normativas aplicables.
A tal efecto, una adecuada prestación de servicios de “Compliance”, permitiría identificar probabilidades de impacto derivadas del incumplimiento normativo, contextualizando el análisis dentro de cada sector implicado, identificando la normativa que resulta vinculante, así como la aplicabilidad de dichas normas y el análisis porcentual del ejercicio de la potestad sancionatoria por parte del Órgano regulador. En resumen, es el resultado de la siguiente fórmula:
Riesgo Legal= Impacto X Probabilidad
Todo lo anterior lleva a concluir que, en el escenario que hemos detallado y ante los cambios normativos que se avecinan, el “Compliance” se convierte en una necesidad y en un “elemento catalizador”, sinónimo de apoyo y refuerzo en la toma de decisiones corporativas, que permitirá identificar y gestionar, adecuadamente, los riesgos identificados bajo criterios de probabilidad objetiva.