Desde hace unos años, la liga española de futbol profesional impone un sistema de pre requisito de inscripción en la misma a través de la necesidad de la existencia de un plan de compliance en los clubs de fútbol que participan en la misma. A a raíz de dicha exigencia, me resulta muy curioso todo lo ocurrido con la Real Federación Española de Fútbol y el caso de la supercopa, ya que se ha puesto por su presidente, como justificación para la realización del contrato, que su Compliance Officer había justificado y acreditado la operación sin que el mismo haya visto un posible conflicto de interés. Y siendo sincero dicho extremo me parece como poco, extraño.
Para intentar aclarar esto debemos empezar por analizar que es lo que ha sucedido realmente en el ámbito de los conflictos de interés, dado que no hay sólo un comportamiento susceptible de tener encuadre en dicho concepto jurídico, sino dos.
Por un lado, debemos analizar el mero hecho del acuerdo entre un futbolista profesional en activo y que participa en competiciones organizadas por la propia RFEF y por otro, y sin perjuicio del ya indicado, las condiciones que tiene dicho acuerdo, dado que en este caso tiene una trascendencia propia.
Antes de eso, debemos empezar aclarando que es un conflicto de interés y si dicha conducta puede ser considerada como delito o ilícito alguno. En este sentido, la definición de intereses es: Una situación generada por la colisión entre las competencias de decisión que tiene un individuo y sus intereses privados. Esta colisión, en muchas ocasiones, afecta a la objetividad de la decisión adoptada.
Si esto nos lo llevamos al ámbito netamente jurídico, encontramos dos acepciones jurídicas que engloban este concepto:
En el ámbito Administrativo. Colisión entre las competencias decisorias que tiene el titular de un órgano administrativo y sus intereses privados, familiares o de otro orden, que pueden afectar a la objetividad de las decisiones que adoptan. El conflicto de intereses determina ordinariamente el deber de abstención en la toma de decisiones, o incluso la incompatibilidad para mantener la titularidad de un determinado cargo. Ley 3/2015, de 30 de marzo, reguladora del ejercicio del alto cargo de la Administración General del Estado, art. 11.
En el ámbito mercantil . Conflicto de los intereses de un accionista representado y su representante en una sociedad cotizada cuando el representante es un accionista de control de la sociedad, un miembro de su consejo de administración, un auditor de la sociedad, o una persona vinculada a las anteriormente mencionadas. LSC , art. 523, reformada por la Ley 25/2011.
Dado este contexto, si bien la actuación en lo sucedido en el ámbito de la Supercopa, no encuentra un encuadre legal claro en el conflicto de interés, ya que la misma ni se trata de una sociedad y tampoco es una administración pública , sino entidad asociativa privada, de utilidad pública, regulada por la Ley del Deporte, dicha actuación y sobre todo sus consecuencias si que entran dentro de la definición de la misma, toda vez que las dudas son más que razonables al momento de pensar si la RFEF hubiera tomado la misma decisión en caso de que otra persona hubiera sido quien ofreciera el contrato, o de si existían otras posibles ofertas para llevarse la Supercopa fuera del pais, extremos que se desconocen dada la vinculación existente entre un futbolista profesional, internacional absoluto con la selección Española y la Federación Española de fútbol. Y no sólo eso, ya que una vez que dicha actuación se ha llevado a cabo, es normal que surjan dudas sobre extremos que son competencia de la propia federación, como puede ser la designación arbitral.
Ahora bien, si el acuerdo con el futbolista per se, no tiene encuadre legal por mucho que la actuación tenga una consideración desde mi punto de vista, al menos eticamente cuestionable, las condiciones de dicho contrato si que pueden suponer un incumplimiento del propio código ético de la liga, toda vez que si acudimos al mismo, en su artículo 22, recoge lo siguiente en lo relativo a conflictos de interés:
Las personas sujetas a este código no podrán ejercer sus funciones, en situaciones en las que haya un conflicto de interés que pueda afectar a su actuación, sea este conflicto real o posible. Un conflicto de intereses surge cuando las personas sujetas al presente Código tienen o dan la impresión de tener intereses secundarios que puedan influir en el cumplimiento independiente, integro y objetivo de sus obligaciones.
Y es aquí donde si que se encuentra un incumplimiento grave del propio código ético de la federación, toda vez que el acuerdo firmado, determina un valor superior del mismo en caso de que jugaran la final de la supercopa Real Madrid y Barcelona, con lo cual, como el propio código ético indica, puede existir un interés en que dichos clubs jueguen la misma, y más aun, cuando el presidente de la federación obtiene sus ingresos en función de los beneficios obtenidos por la misma.
Y volviendo al tema que nos ocupa, dada la situación planteada, que el compliance officer de la Real Federación Española de Fútbol una vez que se le plantea la situación, no hiciera ningún tipo de salvedad o recomendación negativa me resulta como poco extraño, ya que si bien, como he dicho, no entiendo que exista comisión de delito alguno, si que existe un claro incumplimiento del código ético de la entidad.
Hoy 8 de Marzo me ha apetecido recuperar el blog, eso que hago más o menos una vez al año o cuando se cruzan los astros para que se dé un tema del que me apetezca y tenga tenga tiempo para escribir, y eso ha sucedido.
Como ya podréis haber adivinado, dichas circunstancias son que hoy se celebre el dia de la mujer y que ayer entraba en vigor el Decreto 901/2020, de 13 de octubre, por el que se regulan los planes de igualdad y su registro , haciendo más que adecuado hacer un paseo por la norma y entender su necesidad, no sólo desde un punto de vista jurídico, sino también desde un punto de vista social.
Este Decreto viene a regular la necesidad de tener un plan de igualdad dentro de las empresas con más de 50 trabajadores (No vamos a entrar aquí en que si hay más de dos trabajadores ya el plan de igualdad debería ser necesario), dando cabida con ello a una reivindicación histórica y más que justificada del feminismo, la igualdad en el ámbito laboral. Para ello la norma plantea una serie de puntos que coinciden en muchos casos, con los grandes problemas de la mujer en el ámbito laboral y que han sido históricamente rechazados por la sociedad heteropatriarcal en la que vivimos, y sobre algunos de los cuales vamos a ahondar, intentando darle un poco de sentido del humor a los efectos de ejemplificar las políticas asociadas a cada elemento que vamos a analizar.
- PROCESO DE SELECCIÓN Y CONTRATACIÓN.
«Pero es que las mujeres se van a dar de baja más que los hombres porque se quedan embarazadas, como va a ser igual para contratarlas» y «Claro, van a contratar antes a una mujer que a mi» A ver Jose Luis, no todas las mujeres quieren ser madres ni se van a dar de baja más que un hombre por ser mujer, que tu eres el primero que se coge una gripe y ya está cogiendo la baja y llamando a la familia para hacer tus últimas voluntades, además en ese caso, el sistema de seguridad social español lo tiene más que previsto para que no te cueste el dinero, y lo de que contraten antes a una mujer… a ver Jose Luis, es que lo mismo es mejor que tu para el puesto pero por ser mujer no se la tiene en consideración por eso que acabas de decir de darse de bajar, dale una vueltecita a ver si lo pillas.
Como es obvio, la mujer se encuentra en una situación desfavorable en los procesos de selección y contratación, dada la tradición de encargarle el cuidado de la familia y la casa, de ahí que no sea extraño que en muchos procesos laborales se planteen cuestiones como si la mujer quiere ser madre, si tiene pareja estable o preguntas similares, que debemos recordar, son ilegales de plantear en dichos procesos, y por eso, la necesidad de plantear estas cuestiones en estos planes de igualdad.
- FORMACIÓN.
«En mi empresa no hace falta formación, aquí ni machismo ni feminismo, ya hay igualdad». José Luis, tu no has visto la igualdad ni en los libros, si me dices eso es que te hace falta no una formación, sino 100, el feminismo busca la igualdad entre hombres y mujeres por lo que o nos formamos desde una perspectiva feminista o poca igualdad va a poder existir.
Este tipo de frases hace patente que la formación en la empresa sea otro de los puntos esenciales del plan de igualdad toda vez que, no nos engañemos, vivimos en una sociedad machista lo cual hace imprescindible formar al personal en determinadas conductas machistas que están más que normalizadas dentro de la empresa desde una perspectiva eminentemente feminista, como el otorgar determinados roles a las mujeres, el acoso laboral por el mero hecho de ser mujer y un largo extremo de puntos en los que hay que incidir en el dia a dia de cada empresa.
- PROMOCIÓN PROFESIONAL Y CONDICIONES DE TRABAJO.
«Claro, ahora una mujer va a tener que ascender más rápido que yo o tener mejores condiciones de trabajo» No Jose Luis, una mujer no va a ascender más rápido que tu ni tener mejores condiciones por ser mujer, que le tienes más miedo que Pinocho en una candela, si asciende sera porqué es mejor que tu y lo que se busca es que no se le discrimine por el hecho de ser mujer como viene sucediendo a la hora de ascender en la empresa.
En este sentido creo que los datos son más que ejemplificantes de la necesidad de que medidas en este sentido se apliquen, ya que en España, el techo de cristal existente es más que patente, por datos como los siguientes:
– La tasa de paro de las mujeres es del 17% por el 13% de los hombres
– Hay más de 2 millones de mujeres trabajando a tiempo parcial, frente a algo más de 700.000 hombres
– La mujer cobra por hora una media de 10,29 euros frente a los 12,05 de los hombres.
Todo esto sin entrar en la infrarrepresentación en cargos directivos de empresas, consejos de administración o cargos de responsabilidad, circunstancias que hacen más que patente la necesidad de abordar estos extremos en los planes de igualdad de las empresas.
- PLANES DE CONCILIACIÓN LABORAL.
«Claro, eso si, pero planes de conciliación para todo el mundo» A ver José Luis, que en tu casa eres más flojo que un muelle de guita, que sigues diciendo que ayudas en tu casa por hacer de comer un sábado de cada dos en vez de asumir que son corresponsabilidades de la pareja.
Obviamente, y por mucho que no debiera ser así, la mayor parte de las responsabilidades familiares y hogareñas recaen sobre la mujer, por lo que es necesario a los efectos de poder llevar una vida personal, familiar y laboral óptimas crear unos planes reales de conciliación laboral donde los distintos aspectos de la vida tengan cabida y no generen situaciones de desequilibrio como las existentes por mucho que si bien la conciliación debe ser para ambos sexos, por estos motivos no se puede afrontar la aplicación de los mismos de la misma forma.
- PREVENCIÓN DEL ACOSO SEXUAL Y POR RAZÓN DE SEXO.
«Pero si en mi empresa no se acosa a nadie» dice José Luis acto seguido de estar hablando con sus colegas del trabajo acerca de lo buena que está la chica nueva de contabilidad mientras la miran libidinosamente en la cafetería o mientras intenta quedar por sexta vez (Todas las anteriores ha sido rechazado) con su compañera de trabajo. Todo este tipo de conductas son en mayor o menor grado tipos de acoso laboral que están más que normalizados en la empresa y que deben ser erradicados de las mismas, de ahí lo imprescindible de tomar medidas en este sentido.
Como conclusión, cabe resaltar que no es la mejor norma del mundo y que deja muchos flecos pendientes de aplicar, el primero, ya lo hemos mencionado, su aplicación objetiva, y el segundo, la cuantía de las sanciones, para mi, sumamente reducidas en un ámbito tan importante como este, pero al menos, nos encontramos con una norma que sienta el principio de unas bases óptimas para la igualdad en el trabajo y que un día como hoy, 8 de Marzo, debe traerse a la palestra como ejemplo de lo mucho que nos queda por hacer para que la igualdad sea real y ejemplo de la necesidad de este 8M
Si bien mi especialidad es el derecho tecnológico, siempre especialista, nunca inespecialista, perdón, quiero decir nunca experto, por las distintas funciones que llevo a cabo, y más específicamente, por mi labor como mentor en distintas aceleradoras de Startups dentro de los proyectos Open Future me he visto obligado a ampliar el ámbito que abarco, en especial, al ámbito mercantil societario vinculado a las startups, la importancia de ello no es menor, ya que si bien, una startup no deja de ser una empresa, aunque en principio pequeña, por sus características (Aunque no en todo caso son así), suelen ser de poco número de personas, con un perfil tecnológico muy marcado , con una alta flexibilidad de gestiones internas lo que las lleva a que determinadas clausulas dentro del pacto de socios, no le sean tan útiles como pueden ser para una empresa convencional, de ahí, que en su ámbito, se hayan generado especialidades propias y entre ellas y entre las muchas existentes y a las que haremos referencia en próximas publicaciones, en los últimos tiempos han cobrado especial relevancia, las Phantom Shares, una herramienta para Startups que vamos a ver a continuación.
Lo primero que debemos tener claro es que las phantom shares, oh Spoiler, no son propiamente una clausula dentro del pacto de socios, sino una herramienta parasocial consistente en el traspaso a un socio o empleado de la sociedad del valor económico de una serie participaciones hasta un momento o condición determinados, sin que con ello, se traspasen los derechos económicos de dichas participaciones, vamos, que en ningún caso, el titular de dchas phantom va a ser socio de la sociedad, pero tranquilos, que lo vamos a ver detenidamente.
Pongamos un ejemplo, que suele ser el más común para las phantom shares:
La startup X quiere contratar a un nuevo CTO, pero no tiene una caja suficiente como para poder pagarle todo lo que pide, entonces, en Junta general de Socios, decide emitir phantom shares por valor de un 10 por ciento del valor del capital social, que será abonado al momento de la compraventa de participaciones o ampliación de capital de la sociedad, sobre el valor de mercado de las mismas
En este caso, lo que se ha determinado es un porcentaje de las participaciones, que se pagará cuando suceda un hecho determinado, que también puede ser un plazo de tiempo, en función a un valor determinado, su valor de mercado (Que también es susceptible de ser valorado en función a los dividendos obtenidos por esa operación o por el propio valor nominal de las mismas), es decir, cuando pase esta circunstancia, vas a cobrar una cantidad a determinar en dicho momento.
De este ejemplo, podemos sacar las características principales de las phantom y los inconvenientes y beneficios de las mismas:
- Pueden estar condicionadas a una fecha determinada o a que se cumpla una condición, en este sentido, dicha condición es de plena disposición por las partes, pudiendo ser incluso a partir de un determinado importe de ampliación de capital social por ejemplo. Obviamente, al finar una condición y no un plazo, la phantom tendrá menos seguridad en su cumplimiento pudiendo llegar a ser papel mojado, no obstante lo anterior, en dicho caso, el valor de las mismas suele ser potencialmente mayor
- Su valor puede fijarse libremente por las partes, desde optando por el valor nominal de las participaciones ordinarias, hasta determinando que el valor de las mismas será igual al valor de mercado de estas cuando se cumpla un plazo o una condición. En este sentido, es recomendable que si se opta por la opción del valor a un momento determinado, se debe fijar un criterio de valoración de las mismas. Con respecto a estas opciones debemos destacar que en el caso de fijar un precio determinado como el nominal de la acción, o un precio fijo nos aporta un amplio beneficio en lo relativo a la ejecución de las mismas, mientras que dejar su fijación a futuro, puede hacer que las mismas supongan un grave perjuicio para el beneficiario de las mismas.
Por último, teniendo claro con que opciones podemos jugar, tan sólo recordar que a nivel contable, estas participaciones pasan a formar parte del pasivo de la sociedad, y por tanto que se tendrán que ir actualizando en función a las características que se hayan otorgado a las mismas, así como que a nivel fiscal, se deberán computar y declarar, al momento de ejecución de las mismas, según el criterio actual existente.
Y con esto terminamos este post, para cualquier duda, están los comentarios donde también podéis decir si os interesa algún otro tipo de clausula como el caso del vesting, el apple pie o similar, para que los tratemos por aquí.
Con la llegada de los medios digitales allá por los años 80 y los primeros ordenadores comenzaron a aparecen nuevas necesidades y retos en la sociedad, que no han dejado de evolucionar hasta la actualidad. Con el uso de esos primeros equipos, la aparición de Internet, y su generalización a través de los smartphones se han venido produciendo cambios sociales, la aparición de nuevas conductas y comportamientos e incluso, como es normal, la aparición de nuevos delitos.
Como no podía de ser de otra manera, el sector jurídico, ha sufrido la misma evolución y con ella, la aparición de nuevos retos, desde la adaptación de los propios medios de la Justicia, digamos, con dudosos resultados como el caso de Lexnet, o la necesidad de regular nuevas conductas como es el caso del ciberbullyng o Stalking, así como la adaptación de tipos existentes con anterioridad como pueden ser las injurias, calumnias o la estafa, eso sin salirnos del mero ámbito penal, pero incluso en órdenes jurisdiccionales como el social, cada vez son más frecuentes reclamaciones derivadas de publicaciones en redes sociales a la vez que dicha tendencia empieza a influir en todos los ámbitos legales, a poca gente se le podia ocurrir que elementos como el geoposicionamiento en tiempo real, allá por los años 80 iba a ser en la actualidad un elemento de prueba que se puede obtener con cierta facilidad, o como con la tecnología actual y herramientas como las desarrolladas través de OSINT (Open Source Inteligent), pueden facilitar una cantidad ingente de información de cualquier usuario que esté en Internet y que dicha información, obviamente pueda ser usada en un juicio.
En este mismo sentido en la práctica diaria de la abogacía, con la aparición de dichas tecnologías hemos encontrado también novedades en el día a día, y entre ellas, una de las más destacadas es la práctica probatoria asociada a dichos medios digitales, que va a ser objeto de la presente monografía.
La falta de una regulación propia más allá de una regulación parcial y sectorizada (a continuación veremos cómo se aplican en el presente ámbito normas tan dispares como La Ley de Enjuiciamiento Civil, el reglamento europeo de protección de datos o la Ley de Conservación de Datos y, el desconocimiento de las tecnologías existentes por la mayor parte de los operadores jurídicos (Sigue siendo muy complicado explicar qué son los metadatos o la facilidad para modificar una prueba electrónica), han hecho que la realización de la prueba asociada a la tecnología se haya convertido en un elemento en principio complicado para la mayor parte de la abogacía.
Dado este problema para la abogacía, y por qué no decirlo, también esta oportunidad como veremos a continuación, con la presente monografía, se tratará, primero, de entender que es la prueba electrónica, para a continuación, y a través de distintos ejemplos, analizar cómo la misma debe aportarse e impugnarse en caso de ser necesario, en el procedimiento, buscando que con ello, se le pueda sacar más partido al uso de este método probatorio.
- Concepto de Prueba Tecnológica
Visto los inconvenientes que plantea la prueba digital, lo primero que se debe plantear es en que consiste la prueba tecnológica, y si tanto la Ley de enjuiciamiento civil como penal la prevén en su articulado.
Con respecto a lo primero, es decir, su concepto, podemos definir la prueba electrónica o digital como:
“toda información de valor probatorio contenida en un medio electrónico o transmitida por dicho medio “
De dicha definición, podemos extraer dos claras ideas:
La primera, que se refiere a toda información que se haya creado, generado, transmitido o almacenado en formato electrónico, de lo cual, a su vez , podemos apreciar una diferencia sustancial en cuanto a su origen, toda vez que la información que haya sido creada o generada por medios electrónicos, tendrá una mayor fuerza probatoria que la meramente almacenada o transmitida con respecto a su integridad y cadena de custodia como veremos más adelante.
La segunda, que su valor probatorio no está limitado a ningún orden jurisdiccional, sino vinculado a probar hechos con independencia de su calificación jurídica, alejándolo de la idea preconcebida en muchos casos de que la misma es sólo útil en el ámbito penal, cuando cada vez son más comunes en ámbitos como el mercantil o el laboral, o el caso de Whatsapp y similares aplicaciones de mensajería instantánea en los procedimientos civiles.
Antes de abordar el contenido de la definición debemos entender a qué se refiere la ley cuando dice «medio electrónico». Por medio electrónico podemos entender cualquier medio que de soporte a información contenida en formato electrónico, mientras que el formato electrónico no es más que aquella información compuesta de unos y ceros pero que se visibilizan en formato inteligible a través de un equipo informático, definición similar a la del documento electrónico.
Esta definición no puede sino hacernos acudir a la Ley de firma electrónica, donde recoge la definición de documento electrónico, en su Artículo 3.5:
5. Se considera documento electrónico la información de cualquier naturaleza en forma electrónica, archivada en un soporte electrónico según un formato determinado y susceptible de identificación y tratamiento diferenciado.
Por tanto, podemos definir la prueba electrónica como cualquier información con valor probatorio suficiente recogida en un documento electrónico.
Si continuamos acercándonos a las normas positivas que contemplan la prueba electrónica debemos acudir a los artículos 382 y siguientes de la Ley de enjuiciamiento civil, que contempla , en su Sección 8.ª , De la reproducción de la palabra, el sonido y la imagen y de los instrumentos que permiten archivar y conocer datos relevantes para el proceso, de donde podemos extraer como elemento relevante, la necesidad de guardado de la información por parte del letrado de la administración de Justicia , dando pie a la cadena de custodia de la que nos ocuparemos más adelante.
Esta dispersión normativa la seguimos encontrando en varias normas adicionales, como la Ley Orgánica de Protección de datos y Garantía de los Derechos digitales (Ley orgánica 3/2018), que vinculará la licitud de la prueba en su obtención como también veremos en breve, el Real Decreto 1619/2012 , que fija como debe ser aportada para considerarse válida una factura en soporte electrónico o incluso el Reglamento Notarial, que tendrá especial trascendencia en lo relativo a la aportación de prueba electrónica notarial, ya que habilita a su aportación con validez acreditada en un procedimiento, así que, mejor, pasemos a las fases de las que se compone dicha prueba, para entrar en detalle, una vez que ya hemos conseguido una definición viable de la misma:
“cualquier información con valor probatorio suficiente recogida en un documento electrónico”
Si hablamos acerca de IOT y su relevancia en la privacidad, tal vez lo primero que haya que hacer es identificar a que hacemos referencia con el concepto de IOT o Internet of Things (Internet de las cosas en castellano). Si acudimos a la wikipedia, IOT se define como:
Internet de las cosas (en inglés, Internet of things, abreviado IoT)12 es un concepto que se refiere a la interconexión digital de objetos cotidianos con internet. Se trata de un proyecto originalmente creado por CISCO, aunque el creador del concepto fuese Kevin Ashton en el Auto-ID Center del MIT en 1999,7 donde se realizaban investigaciones en el campo de la identificación por radiofrecuencia en red (RFID) y tecnologías de sensores.
En cristiano, podemos definir el IOT como el sistema de interconexión de dispositivos a Internet a través de conexiones de baja frecuencia (No entran aquí el bluetooth o wifi por definición, aunque en la actualidad, también se consideran dichas conexiones dentro del concepto de IOT), que permite una interacción directa entre los dispositivos de la vida diaria e Internet.
Algunos de los ejemplos más claros de este IOT son por ejemplo los sistemas de domótica para las viviendas, los relojes inteligentes o los asistentes virtuales como Google Home o Alexa de Amazon o los conocidos como B-Commerce, dispositivos para hacer la compra a través de Internet con tan sólo pulsar un botón.
Sus beneficios son múltiples, imaginemos por ejemplo que nuestra nevera nos haga la compra por Amazon al ver necesarios los productos marcados como indispensables por nosotros, pero también son foco de riesgos, como reconoció el informe de la empresa Hewlett Packard en 2015, reportando el 70% de dispositivos IOT tiene vulnerabilidades de seguridad en sus contraseñas, hay problema con el cifrado de los datos o los permisos de acceso.
Por tanto nos encontramos con una tecnología sumamente útil, a la par de que es potencialmente peligrosa para la privacidad del usuario (Pero bueno, esto no es nada nuevo, cualquier cosa conectada a Internet lo es), y no sólo por los riesgos de ciberseguridad que hemos comentado anteriormente, sino porque igual que otros dispositivos almacenan datos personales con carácter general, como por ejemplo un teléfono móvil, estos sistemas lo hacen desde dentro de tu propio domicilio con el doble riesgo que ello conlleva.
Por un lado, estamos cediendo información personal con un alto valor, que puede parecer una tontería, pero no os imagináis el valor que tiene para una eléctrica saber a que hora llegas casa o para una cadena de televisión, a que hora enciendes exactamente la televisión por sólo poner dos ejemplos, pero a su vez estamos almacenado en dichos dispositivos una información que sale de la escala virtual, por así decirlo, para hacerlo a una escala real, porqué, os imagináis el valor para una banda de atracadores de poder acceder a tu sistema de domótica, ver tus cámaras de seguridad y saber exactamente cuando estás en casa y cuando no…. Ahí os dejo la reflexión.
Pero pongamos un ejemplo real que sucedió no hace mucho, y es que la serie South Park decidió «trollear» los dispositivos Google Now y Echo de Amazon a través de un capítulo de su serie, llegando a verse situaciones tan surrealistas como escuchar a Alexa repetir la siguiente frase, que mejor no traduzco «Alexa, Simon says, suck my big balls in your hairy b—hole» o incluso en algunos casos, se llegaron a encontrar productos en sus cestas de la compra de Amazon, y al parecer, no de primera necesidad…..
Y visto lo que es el IOT, toca pasar a su parte legal (Ya que, recordemos que esto es un blog de derecho, por muy friki que sea yo), y que mejor que hacerlo sobre los propios ejemplos que ya hemos visto aquí y para eso, que mejor, que partir de los ejemplos expuestos anteriormente para ver que puntos debemos revisar respecto a un dispositivo IOT y que el mismo cumpla con las medidas de privacidad necesarias conforme a la normativa .
Por un lado y desde el punto de la privacidad, lo primero que llama la atención es la infinidad de datos que se están almacenando a través de dichos dispositivos (Desde gustos musicales con las ordenes de spotify a cosas bastante más serias como hora de entrada y salida del domicilio, hora de acostarse, e incluso según parece, hasta el humor o el estrés del usuario en función del tono de voz , y que depende de como los mismos se estructuren, pueden ser o no datos personales, en este sentido, el dispositivo debe informarnos de todos los datos que está almacenando, como es obvio.
Para esto depende básicamente del conocido como Privacy by design y Privacy by default, (privacidad desde el diseño y privacidad por defecto), para este caso, que en la toma de datos ya se tengan en consideración los principios de la privacidad que en este caso se traduce en que dichos datos sean pseudoanonimizados desde el momento de su toma, haciendo así que dicha información sea plenamente útil para la empresa (Ya que seguirá asociada a una ID, no a una persona), pero no estará vinculada a un usuario determinado, sino que le pregunten a la empresa de vibradores que fue denunciada por ello… Ahora bien, en cualquier caso, es imprescindible que la información que se está tomando por parte del dispositivo nos sea informada y sea objeto de consentimiento su recogida.
Centrándonos en a mi parecer,el elemento más relevante en este ámbito, la pseudoanonimización, no está de más explicar un poco de que se trata:
Lo primero es saber que es anonimizar, y no es otra cosa que hacer a través de sistemas de segmentación de la información que los datos personales no sean identificables de forma irreversible conforme dejó claro el Grupo de trabajo del Artículo 29 en su resolución 5/2014 sobre técnicas de anonimización, no obstante, el RGPD no hace referencia dicho proceso, sino a la pseudoanonimización, que a mi entender es lo mismos, pero sin que sea de forma irreversible. Esto se debe a que dado el alto volumen de datos posible en la actualidad derivado de herramientas como el almacenamiento cloud, el big data o los algoritmos de machine learnig, hacen que dicha anonimización no sea irreversible, ya que al cruzar tanta información se puede volver a identificar al titular de la misma en muchos casos (Aunque no en todos), de ahí que en la actualidad lo requerido sea dicha pseudoanonimización. Claro lo que es, obviamente, al realizar tratamientos masivos de información en la mayoría de los casos de IOT (Por no decir en todos), es imprescindible esta medida con la finalidad de proteger la privacidad del usuario.
Dentro de este mismo ámbito otro de los elementos que tenemos que tener en consideración es el de las medidas de seguridad implementadas en el sistema, y para eso que mejor que volver al ejemplo de los dispositivos Echo y Home antes mencionado, dado que durante la «broma» antes mencionada, se descubrieron las medidas de seguridad de los mismos, si es que las había, ya que en el caso del dispositivo de Google si que existía una medida prevista para tal tipo de circunstancia (Repetición de una misma orden desde multitud de dipositivos a la par), con lo que el dispositivo paró su funcionamiento, mientras que en el caso de Amazon, dicha medida no estaba prevista, lo que llevó a que muchos usuarios se encontraran incluso productos en su cesta de la compra de Amazon. Y como decía, esto no es más que un ejemplo de dichas medidas, el cifrado de la información que se está obteniendo, tanto a través del canal de comunicación como de la base de datos donde se almacene, procesos de comunicación de las incidencias detectadas, existencias de contraseñas de acceso a los mismos y que dichas contraseñas sean reales (nada de 0000, 1234, etc..) y un largo etcétera de medidas han de ser puestas en este tipo de dispositivos
Una vez que sabemos que información está almacenando, debemos también prestar atención acerca de que de tratamientos pueden llevarse a cabo con respecto a la información personal recabada con dichos dispositivos, ya que a mayor cantidad de información acumulada, mayor cantidad de tratamientos posibles, y más peligrosidad de los mismos, toda vez que al tener mayor cantidad de información personal más fácil es que dicha información pueda ser utilizada, a la vez que dada la fuente de la información, que puede ir desde nuestra casa como ya comentaba a los juguetes sexuales, hacen que se trate de una información íntima y personal (Nunca mejor dicho con el último ejemplo). Así, se nos debe informar por parte del responsable del tratamiento acerca de cuales son los tratamientos que se van a llevar a cabo con la información obtenida por el dispositivo.
Otro de los elementos relevantes en este sentido es saber donde se está haciendo ese tratamiento, es decir, si existe o no una transferencia internacional de datos, ya que en muchos casos la misma puede ser sorpresiva para nosotros, dado que tus datos pueden acabar en China o la India, por citar dos de los destinos más comunes, sobre todos cuando los dispositivos son de marcas poco conocidas, caso en el cual, los riesgos que estamos asumiendo son aun mayores en su uso.
Estos son en resumen los principales puntos de interés que el IOT, obviamente, les son aplicables muchos más elementos como por ejemplo la necesidad de un DPO para la empresa (Dado el tratamiento masivo de datos), todos los nuevos derechos, etcétera, pero estos son a mi parecer los principales puntos que tiene dentro del ámbito de la privacidad, lo que si es obvio que , al igual que con las redes sociales o Google, estamos de nuevo regalando datos personales al por mayor, pagando por un dispositivo que lo hace, y con poca contraprestación para nosotros en muchos casos, así que andad con ojo
El reglamento europeo de protección de datos trae no pocas novedades, desde la figura del DPO (O al parecer DPD en castellano), hasta las temidas certificaciones (Temidas por saber por donde van a salir las mismas), pero uno de los aspectos más interesantes que se han tratado en el mismo es el reconocimiento de una serie de nuevos derechos para los ciudadanos que van a cambiar en gran parte las posibilidades existentes en los mismos a los efectos de poder gestionar sus datos personales.
Anteriormente estos derechos no eran más que cuatro, los conocidos como derechos ARCO, acceso, rectificación, cancelación y oposición, los cuales entiendo que ya son más que conocidos (Y sino, total, a partir de Mayo ya no van a estar en vigor, y además vuelven con esta norma…), por lo que pasemos a centrarnos en los nuevos derechos reconocidos en el reglamento a partir de su artículo 12. Todo esto sin perjuicio de como después la reforma de la LOPD lo vuelva a regular, pero que en ningún caso, podrá ser contrariamente a lo aquí expresado.
Derecho a la transparencia:
Como en el caso del derecho a la información, nos encontramos ante un derecho que supone una obligación absoluta por parte del responsable del tratamiento (No como por ejemplo los derechos de acceso o limitación, solo ejercitables a instancia del interesado). Este derecho tiene una vital importancia para el esquema de derechos ya que sirve de base y de regulador para el ejercicio de los siguientes, de tal modo que establece las siguientes obligaciones:
- facilitar la información de forma clara , precisa y comprensible de los arts. 13 y 14, así como 15 a 22 y 34.
- Facilitar al interesado información para el ejercicio de sus derechos, salvo en el supuesto del art. 11.2 (Imposibilidad de identificación)
- Establece el plazo de un mes para contestar a peticiones de interesado, para en caso contrario, abrir vía de la reclamación ante la autoridad .
- Carácter gratuito de las peticiones , salvo que por reiteración o carácter infundado o excesivo, donde podrá establecer un canon o negarse a ellas
- Para el ejercicio de los derechos de los artículos 15 a 21, puede solicitar información adicional
Ya con las normas establecidas, pasamos a los derechos propiamente:
Derecho de información:
Conceptuado como la información que ha de darse a aquella persona de la que se han obtenido los datos personales al momento de la obtención de estos, es un derecho reconocido, pero no ejercitable, al menos con las mismas características que el resto, como el propio artículo reconoce al igual que indicábamos en referencia al derecho a la transparencia, a diferencia de los que veremos más adelante y que debemos considerar doble, ya que por un lado enumera la información a facilitar en el caso de que sea el interesado quien facilita la información, y en el caso de que no sea el mismo quien lo lleve a cabo. A su vez, este derecho no deja de ser una proyección preventiva, por así decirlo, del derecho de acceso, ya que va a permitir tener conocimiento de como y que información se está almacenando con carácter previo a su tratamiento
Este derecho por un lado reconoce el derecho a la información, para el supuesto de que se obtenga la información del propio interesado, y en la medida en que este no lo sepa previamente (Es decir, opera tan sólo en la primera obtención de dicha información del interesado)
Con esto, un breve resumen de los derechos a los que nos enfrentamos/disfrutamos con este nuevo reglamento, que no son pocos y algunas de sus consecuencias directas.
A veces en el mundo de la informática y el derecho pasan cosas que son como poco, curiosas, y es que un técnica tan antigua como el webscrapping vuelve ahora a estar de moda entre muchos modelos de negocio a los efectos de poder rellenar de contenido su páginas webs y dar servicios a sus usuarios, como una de las otras muchas utilidades que puede tener esta técnica, y surge la duda de siempre, es legal el webscraping?
Lo primero, definamos que es el web scrapping, para ello, si acudimos a la wikipedia, esta técnica informática se define como:
Web scraping es una técnica utilizada mediante programas de software para extraer información de sitios web. Usualmente, estos programas simulan la navegación de un humano en la World Wide Web ya sea utilizando el protocolo HTTP manualmente, o incrustando un navegador en una aplicación.
Es decir, que si lo traducimos consiste en copiar información de otra pagina web para el uso propio, y si esta conducta, es o no ilegal, pues como diría un gallego (Y perdónenme por el tópico), depende.
Lo primero, cabe decir que los Juzgados españoles ya se proclamaron allá por el 2012 sobre ello, con especial relevancia de la Sentencia del Tribunal Supremo de 9 de octubre de 2012 número 572/2012, de Ryanair contra Atrápalo, donde determinaba que ese tipo de webscrapping era legal, pero que no todo el webscrapping lo era, para ello, más que el comportamiento realizado, debemos analizar cuales son las consecuencias del uso del mismo desde un punto de vista triple :
- Por un lado, a nivel de competencia, si la conducta que se está llevando a cabo supone una competencia desleal al respecto de la página web sobre la que se está llevando a cabo el webscrapping, que en el caso de autos, se determina que no existe dicha competencia desleal, toda vez que para ello, se debe entender que con el webscrapping se genere una duda razonable para el consumidor de asociación respecto a la web escrapeada, es decir, pensar que la web que hace uso del scrapping tiene vinculación con la escrapeada o con dicho scrapeo, se use la reputación de esta para favorecer la web que usa los contenidos no propios.
- Por otro lado debemos considerar si la conducta es ilegal desde un punto de vista de propiedad intelectual, cuestión en este caso incluso más peliaguda, ya que puede llegar a ser considerado delito. Desde este punto de vista a su vez debemos contemplar.
En este sentido debemos hacer a su vez varias precisiones, lo primero identificar sobre que protección de la propiedad intelectual estamos hablando, ya que al realizar el webscraping podemos estar vulnerando la propiedad intelectual de las siguientes maneras (o de ninguna), en función al caso.
Por un lado se puede estar escrappeando elementos sujetos a propiedad intelectual y protegidos por la misma como puede ser un libro, una imagen etc…, aquí obviamente , y salvo que dichos contenidos por su licencia de uso permitan que sean reproducidos y/o puestos a disposición libremente, nos encontramos ante una conducta plenamente ilegal, que puede ser considerada incluso delito.
Por otro lado puede ser que el webscrapping se lleve a cabo sobre una base de datos, en este sentido, deberíamos acudir de nuevo a la LPI en su artículo 12 donde reconoce la protección a las bases de datos, conforme al cual «únicamente a su estructura en cuanto forma de expresión de la selección o disposición de sus contenidos, no siendo extensiva a éstos» se deriva la protección existente, es decir, que si a través del webscrapping copiamos una estructuración a efectos de su explotación, entraríamos en este supuesto, aunque con una serie de especialidades, dado que por ejemplo, en el citado caso de Ryanair ya se determino que dicha información contenida en la web, a pesar de su estructuración, no constituye objeto de protección como base de datos.
No obstante este supuesto con la aparición de herramientas como el Big Data y en especial con la trascendencia económica que tienen en la actualidad los datos personales, de los que nos haremos eco a continuación en su vertiente relativa a la LOPD, esta estructuración de los datos personales a los que se pueda llegar a tener acceso a través del scrapping (Porque por ejemplo de acceso a su perfil a través de su usuario y contraseña), si que , en el supuesto de que se tenga una estructuración relativa a esa información, objeto de protección y por tanto, susceptible de llegar a ser incluso un delito
Por último dentro del ámbito de la propiedad intelectual debemos acudir para cerrar el círculo al supuesto previsto en artículo 133 de la citada norma, donde se contempla lo siguiente:
El derecho «sui generis» sobre una base de datos protege la inversión sustancial, evaluada cualitativa o cuantitativamente, que realiza su fabricante ya sea de medios financieros, empleo de tiempo, esfuerzo, energía u otros de similar naturaleza, para la obtención, verificación o presentación de su contenido.
Mediante el derecho al que se refiere el párrafo anterior, el fabricante de una base de datos, definida en el artículo 12.2 del presente texto refundido de la Ley de Propiedad Intelectual, puede prohibir la extracción y/o reutilización de la totalidad o de una parte sustancial del contenido de ésta, evaluada cualitativa o cuantitativamente, siempre que la obtención, la verificación o la presentación de dicho contenido representen una inversión sustancial desde el punto de vista cuantitativo o cualitativo. Este derecho podrá transferirse, cederse o darse en licencia contractual.
En este sentido, se hace referencia al hacer uso de la base de datos de un tercero cuando la misma haya supuesto una inversión económica (Independientemente de como se compute dicha inversión), toda vez que la protección en este sentido va encaminada a proteger lo que ha costado dicha base de datos. Para saber si el scrapping en este caso es o no legal debemos observar sobre que elemento a nivel mercantil estamos accediendo, toda vez que retomando la sentencia del caso Ryanair y todas las asociadas, al final lo que se viene a valorar es si esa inversión está realizada a los efectos del «core» del negocio, que hagan que su utilidad sea que la información sea comunicada públicamente por la web (El caso de los vuelos en empresas de viajes en avión o las prendas de ropa en un E-commerce por ejemplo), o en cambio, sea un elemento incidental que se da como un valor añadido, toda vez que la finalidad de dicha inversión no es que la información sea pública sino una utilidad propia para la empresa (Caso de nuevo en el que se pueda acceder al back office de cliente si dicha prestación no es esencial en el negocio de la empresa por ejemplo), supuesto que si tendría cabida de protección en el artículo 133 de la Ley de Propiedad Intelectual.
- El tercer aspecto en el que puede ser ilegal el webscrapping es en el ámbito de la protección de datos, toda vez que a través de la misma se pueden estar accediendo a datos de terceros sobre los que no se tiene consentimiento para su almacenamiento y tratamiento, con lo cual, nos encontraríamos ante el supuesto previsto por el artículo 44.3, apartado b, de la LOPD es sancion grave tratar datos para los que no se ha sido autorizado, siendo obviamente completamente ilegal este comportamiento. Otro comportamiento que puede generar más dudas, pero que a mi entender también es ilegal es el acceso a información por parte de una plataforma tercera a pesar de tener el consentimiento del usuario (Como por ejemplo Fintonic, aunque esta última parece que si tiene acuerdos en este sentido con las entidades bancarias que alberga), dado que no aparece en esta relación el contrato de encargado del tratamiento, ya que la web que realiza el webscrapping es un encargado del tratamiento desconocido para la web que lo soporta, con lo cual es imposible fijar los límites y características del mismo, en especial, con la entrada en vigor del nuevo reglamento de protección de datos.
Por todo ello, y a pesar de que podemos decir que el webscrapping es más legal que ilegal, hay que estar a cada caso concreto para poder identificar si el comportamiento es susceptible de ser ilegal o no, y por que vía, ya sea administrativa en virtud de la LOPD, via penal por delitos contra la propiedad intelectual o por vía mercantil.
Si hace unos días nos hacíamos eco de los cambios normativos con respecto al nuevo reglamento de protección de datos, en el sentido de como los mismos afectaban a la practica diaria del abogado en su versión más física (Y si hay alguien que piensa que el trabajo de una abogado no es físico, que se pegue todo un día de guardia, a ver que me cuenta), en este artículo vamos a centrarnos en lo que sería la parte más virtual o tecnológica del ejercicio de la abogacía, y con esto no me refiero al cosas como Watson o su inteligencia artificial, sino a esos elementos tecnológicos que se han introducido ya en la práctica diaria del abogado como pueden ser el correo electrónico o los programas de gestión, en los cuales, también podemos poner en riesgo la privacidad de nuestros clientes.
1-Las copias de seguridad
Lo primero, aclarar para algún despistado que no lo sepa que las copias de seguridad son las copias que realizamos de nuestros sistemas informáticos de una manera estable en el tiempo, o al menos que deberíamos hacer. Una de las novedades de este nuevo reglamento y que implica el principio del privacy by design y by default es que nosotros mismos seremos quienes determinemos la importancia de los datos personales que almacenemos y esa importancia se le dará en función de las medidas de seguridad que le apliquemos a dichos datos, pasamos por tanto de un sistema donde era el propio reglamento español de protección de datos el que fijaba las medidas necesarias (Pongo español para que no hay confusión con el europeo que ahora nos ocupa) para ser ahora nosotros mismos los que debemos determinar en función de los datos que tratemos y como los tratemos (Es decir, que datos almacenemos y que hagamos con ellos) cual es su importancia y dicha importancia vendrá determinada por las medidas de seguridad que fijemos a los mismos.
Una de estas medidas y que se debe volver imprescindible no es otra que las copias de seguridad de nuestros archivos digitales y es algo que he encontrado que en más de un despacho no se lleva a cabo por la falta de importancia de las mismas. Realizar la copia de seguridad es en la actualidad algo sumamente fácil ya que prácticamente todos los sistemas operativos, tanto móviles como de equipos informáticos te permiten hacer copias de seguridad de la información con carácter periódico, ya se realicen en la nube (Que es lo más habitual y de lo que hablaremos más adelante) o se realicen en otro servidor o sistema de almacenamiento que tengamos disponible, y que ya comenzará a generar nuestro propio sistema de privacidad con muy poco esfuerzo, ya que se realizan de manera automática.
A su vez, tenemos que tener en consideración que si tratamos datos especialmente protegidos (Datos sexuales, religiosos, políticos, sindicales, junto con las novedades del reglamento, datos genéticos y datos biométricos) es imprescindible que estas copias de seguridad se lleven a cabo en un lugar físico distinto a donde se encuentran los servidores principales donde guardamos la información.
2-El correo electrónico y las opciones de copia del mensaje.
Dentro del mundo de la abogacía uno de los elementos que usamos más asiduamente no es otro que el correo electrónico, asociados al mismo encontramos algún que otro error en lo que concierne al apartado de privacidad y en este sentido debemos hacer varias consideraciones:
Respecto al correo en si, gran parte de nosotros usamos cuentas de correo de google, el servicio conocido como Gmail o en su caso, un mapeado de nuestro dominio a través de google aps (Es decir usamos una cuenta de correo profesional, que está vinculada a nuestro despacho, pero que se aloja en los servidores de Google y tiene una apariencia similar a Gmail). Este tipo de comportamientos que no son en si un incumplimiento de la LOPD, ya que con ello se realizamos una transferencia internacional de datos autorizada tras la entrada en vigor del Privacy Shield (O escudo de privacidad en castellano, pero me vais a permitir que deje el nombre en inglés, primero, porqué mola más, y segundo, porque no puedo evitar que tras el caso Snowden, el nombre me suene a pitorreo) pero el uso de este tipo de cuentas, aunque legal, no nos debe hacer olvidar un dato más que relevante, todos esos correos están siendo leídos por Google (Al que definitivamente se le olvidó eso del Don’t Be Evil) y es un hecho, que en función a la información que tratemos, no debemos olvidar bajo ningún concepto.
No obstante no está demás saber que las cuentas que pone a disposición el CGAE a través de aquí nos permiten cumplir con la normativa (Al menos desde la parte de transferencia de datos por lo que parece), te permiten recuperar correos más antiguos de lo habitual (Lo cual nos puede ser más que útil a efectos de usarlos como práctica probatoria) y son gratuitas, por lo que no está de más echarles un ojo (Conste que esto no es emplazamiento publicitario)
Visto primero el tema de los servidores de correo, otro de los errores comunes es a la hora de mandar correos el tema de las copias, es decir, parece que aun hay mucha gente a la que el tema de CCO o Con Copia Oculta no le suena, y es que si vamos a mandar un correo a varias personas y son nuestros clientes, no podemos darle el correo de los mismos a un tercero sin su consentimiento, por lo que la mejor manera de hacerlo es tramitarlo con la opcíon de copia oculta de tal modo que no cederemos a terceros la dirección de correo electrónico de ningún modo y nos cubriremos así en salud y también, la de la privacidad de nuestros clientes.
3- Uso de Whatsapp
Si antes decíamos que el correo electrónico se utiliza de una manera muy amplia, de whatsapp que decir, pues que es el servicio de mensajería instantánea más utilizado en todo el mundo, y nosotros y nuestros clientes no van a ser menos de tal modo que es más que frecuente ver como muchos abogados se comunican con sus clientes a través de este sistema, sobre ello, mas que enrollarme más, os dejo este artículo aquí, donde veréis porque el uso de este sistema es ilegal a efectos de privacidad en nuestro apis, situación que no cambia con el nuevo reglamento, que sintetizando mucho, se circunscribe a que realiza transferencia internacional de datos no autorizada, no hay contrato de encargado del tratamiento ninguno al respecto y mucho menos con las mismas medidas que las que nosotros establezcamos, por no hablar de la posibilidad de uso publicitario de nuestras cuentas con la última actualización de la aplicación (Aunque ahora hayan reculado, al menos, formalmente)
4- Sistemas de almacenamiento en la nube
Antes hacía referencia , con respecto a las copias de seguridad a los sistemas de almacenamiento en la nube o Cloud, este no deja de ser un sistema a través del cual podemos almacenar información en un sistema de almacenamiento virtual, o como dice mi amiga Iurisfriky, guardar las cosas en el ordenador de otra persona, porque al fin y al cabo, no dejan de ser lo mismo, a través del sistema Cloud, lo que hacemos es almacenar la información en servidores de empresas terceras a lo largo del mundo que nos posibilitan su acceso, subida y descarga de información a través de Internet. Esta genialidad, porque nadie puede negar que cómodo es un buen rato, no está exenta de determinados riesgos a efectos de privacidad, ante todo, estamos almacenando y tratando información en los servidores de un tercero, por lo que debemos saber que medidas de seguridad se van a implantar en el mismo, y que como poco, sean las mimas que nosotros tenemos implantadas, donde se almacenará dicha información y como queda reflejada esa situación contractualmente, es decir, necesitamos tres elementos a los efectos de poder hacer un uso legal de este tipo de herramientas, que deben venir recogidos en el contrato de encargado del tratamiento.
Este contrato puede definirse conforme al artículo 3 G de la LOPD como:
Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.
El nuevo reglamento de protección de datos por su parte establece lo siguiente con respecto a la figura del responsable delñ tratamiento:
El tratamiento por el encargado se regirá por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable. Dicho contrato o acto jurídico estipulará, en particular, que el encargado:
- a) tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, inclusive con respecto a las transferencias de datos personales a un tercer país o una organización internacional, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al encargado; en tal caso, el encargado informará al responsable de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público;
- b) garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria;
- c) tomará todas las medidas necesarias de conformidad con el artículo 32;
- d) respetará las condiciones indicadas en los apartados 2 y 4 para recurrir a otro encargado del tratamiento;
- e) asistirá al responsable, teniendo cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados establecidos en el capítulo III;
- f) ayudará al responsable a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36, teniendo en cuenta la naturaleza del tratamiento y la información a disposición del encargado;
- g) a elección del responsable, suprimirá o devolverá todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembros;
- h) pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable.
En relación con lo dispuesto en la letra h) del párrafo primero, el encargado informará inmediatamente al responsable si, en su opinión, una instrucción infringe el presente Reglamento u otras disposiciones en materia de protección de datos de la Unión o de los Estados miembros.
En este sentido podemos ver como se han ampliado las responsabilidades y funciones de dicho encargado del tratamiento, aunque para lo que nos interesa, son 3 los elementos fundamentales que debemos considerar en este sentido:
- La existencia del contrato, ya sea en un contrato propiamente inter partes, ya sea en las condiciones de contratación del propio servicio, donde se determine datos a tratar y como se hará dicho tratamiento, su nivel de protección y medidas de seguridad a implementar.
- La ubicación física de los servidores donde se va a almacenar la información, ya que de encontrarse fuera del territorio de la UE, sería ilegal, salvo que estuviese vinculado a Privacy Shield, esto, lo podemos mirar en la web http://www.privacyshield.gov/list
- Que las medidas de seguridad sean al menos, las mismas, a las que tu tienes establecidas en tus sistemas, dada la obligación que antes hemos mencionado que se establece con respecto a las mismas con los encargados del tratamiento
5- Contraseñas y demás medidas de seguridad
Que las normas establecidas a efectos de protección de datos son casi imposibles de cumplir no creo que extrañe a nadie, simplemente con ver el listado que el Reglamento Español de protección de datos establece, conozco más de uno que se marea o bosteza, o incluso las dos por partes iguales, no obstante, si que existen determinadas opciones que podemos llevar a cabo de forma cómoda y sin complicarnos mucho que nos pueden ayudar con este requisito del privacy by design and by defalult a la vez le sacamos más rendimiento a los datos que almacenamos de nuestros clientes.
a) Uso y cambio de contraseñas: Si bien no vamos a conseguir otro valor añadido que la consecución de la privacidad de los clientes, el hecho de tener distintas contraseñas para cada servicio o aplicación es un deber para un abogado, y si ya las cambiamos cada determinado tiempo, pues mejor que mejor. Y no, contraseñas como 1234, secreta o password no son buenas contraseñas para nada, si quieres saber como de segura es tu contraseña o aun mejor, como conseguir una contraseña segura, utiliza mayúsculas, letras, números y símbolos. Para hacer pruebas, nada mejor que https://howsecureismypassword.net/, donde puedes ir haciendo pruebas sobre como de segura es tu contraseña.
b) Custodia: El deber de diligencia a la hora de tratar los datos nos obliga a que usemos usuario y contraseña a la hora de acceder a los mismos, a no dejar nuestro equipo informático (Portátil , pc o incluso el móvil) disponible sin contraseña , es decir, tener diligencia a la hora de tratar los datos personales de nuestros clientes. A su vez, nos permitirá mantener la calidad de los datos que tan importante deben ser para nuestro trabajo.
C) Cifrado: Por cifrado debemos entender el hecho de que el contenido sólo sea accesible si se tiene la contraseña para poder ver la información, es decir, que no se transmita por texto plano. El ejemplo más claro y fácil es al momento de envíar información sobre nuestros clientes a terceros por correo electrónico, la misma debe estar cifrada, es decir, no ir en texto plano, circunstancia que podemos solventar de forma tan fácil como comprimiendo la información en un archivo .rar o .zip donde la contraseña sea sólo conocible por el receptor del correo electrónico.
Y respecto a medidas de seguridad podríamos estar largo rato hablando, las medidas de custodia, comunicación de datos etc… también son más que recomendables, no obstante, para empezar, con estas es más que suficiente.
Y con esto, que no es poco, os dejo hasta la próxima
Creo que es la primera vez que un amigo, después de tantos años con esto abierto, me pide escribir en mi blog, y por tanto no me podía negar. Y la verdad es que no puedo sino darle las gracias por gastar su tiempo dando unas lineas acerca del derecho tecnológico por alguien que lo ve desde los ojos de un recién llegado y que me «culpa» de haberle descubierto esta rama del derecho, tras haber disfrutado un increible Notartic, donde salvo por mi, hubo un nivel impresionante 😉 .
Así que sin más , os dejo con Ernesto Martínez Mezquita:
Recién acabadas las primeras Jornadas de Notartic en Sevilla tengo un impulso incontrolable a escribir. Es la primera vez que me pasa y como dicen por ahí “si no lo suelto, reviento”.
En la excepcional ponencia de territorialidad de internet de Francisco Pérez Bes del pasado sábado hubo una frase que me ha hecho reflexionar. No la puedo citar textualmente pero básicamente era que “una persona por el hecho de nacer en un territorio tiene una nacionalidad y se le aplica unas normas, cosa que no se ocurre en el nacimiento digital”. Eso me ha hecho pensar en que » el internet » -ese el lugar que el español medio considera ese sitio de ordenadores (ahora de móviles y tablets) donde mandas fotos, ves vídeos, compras barato y envías correos- es en esencia libertad.
Cuando naces, da igual el sitio, ya se te asignan una serie de etiquetas, que en algunos casos estigmatizan (con demasiada habitualidad) o benefician. Por ejemplo, en mi caso particular por nacer en X población, levo el sambenito de flojo, de ser amante de las tapitas, de los toros, de cantar, y -en el mejor de los casos- tener gracia (o ir de gracioso que es peor). Esas “tags” las llevas allá donde vayas y te acompaña en todas las facetas de la vida. Hasta el extremo que, cuando se te empieza a reconocer por cualquier talento (o a criticar, aunque sea por envidia a esa virtud) se dice no parece que sea andaluz, madrileño, gallego, lo que sea. Lo mismo ocurre con la familia, da igual lo que te esfuerces, da igual que sea cierto o no, siempre serás el hijo de, el hermano de, el amigo de, el vecino de…
Y eso me hace pensar en que la red es todo lo contrario, y es igual o más decisivo que en la vida real. Hace años, con lo que podemos llamar la democratización de internet que se produjo por el año 2000 se gestaba el mundo 2.0, Para mí, la mayor revolución en la historia de la tierra desde la revolución industrial.
Por primera vez es posible volver a “nacer”, o rectificar cosas del pasado que no nos gustan (o vengarnos de aquéllos a los que les guardamos rencor). Esto nos afecta/afectará de manera determinante de por vida, y únicamente a la especie humana Y además de manera inmediata. Es un cambio trascendental que nunca antes, ni probablemente volverá a ocurrir en el futuro: Podemos cambiar de un plumazo nuestra reputación, nuestra identidad. Y además al ritmo que decidamos, está en nuestra mano.
Podemos decidir guardar prudencia y opinar de manera ecuánime, pero con habitualidad, controlando la opinión a formar. También podemos adoptar otra estrategia -por gusto o tiempo- como ser más contundente, llamar más la atención, generando una opinión. Pero pocas personas tienen en cuenta que de cualquiera de las dos formas podemos convertirnos en un tonto, una estrella, un visionario, un estúpido… Nosotros mismos somos capaces de destruir (para bien o para mal) todo aquello que nos ha costado toda la vida construir como es la opinión que tienen los demás de mí.
Y ese “poder” afecta en todos los aspectos porque la técnica ha acercado a la humanidad, y ésta de manera consciente o inconsciente, ha cambiado la realidad de lo que se percibe en un cara a cara diario.
Ya no solo vas a tal colegio/guardería por lo que dicen tus padres, o por lo que dice tu familia o cercanos. Ni tampoco sabes de Madrid por lo que dice “paco, el hijo de Loli que vive en Madrid que le ha contado a su madre no sé qué”. Hasta la revolución industrial la sociedad formaba su opinión así. El mundo se volvió 1.0 cuando los que contaban sus experiencias eran los que estaban allí (mediante cartas y/o periódicos). Luego pudimos oírlo (radio), posteriormente pudimos verlo fijamente (fotografías) y finalmente en movimiento (televisión). Pero con internet llega la revolución 2.0. A lo anterior se añade lo nunca vista, podemos hacer que sea igual de relevante lo que se transmite, como quien lo transmite.
En palabras del mundo del seguro del que vengo, el continente y el contenido. Aquí no hay prelación, no es más importante uno que otro. Nosotros decidimos que es lo importante. Tenemos la capacidad de generar una opinión en todos los niveles. A modo de ejemplo si tengo interés en ser conocido y tener repercusión, lo más fácil– y barato- es armar el taco hablando de un tema candente, por ejemplo.
Está claro, para tener buenas oportunidades en la vida, quien te la dá lo hará finalmente por la entrevista personal (excepcionamos los casos de enchufismo puro). Eso es una obviedad y es así de momento. Y remarco de momento porque llegara el día en el que sean robots los que, erradicando los sentimientos y atendiendo preferentemente a criterios productividad-eficiencia, los que decidan. Incurro en el error de pensar que será en el futuro cuando esto ya está en el presente de hoy en día. Si alguien quiere hacerse una idea puede buscar en internet para saber de una persona y formar una opinión.
Y aquí es cuando, el heroico que ha llegado hasta aquí después del tocho escrito antes piensa en el título y piensa o dice en alto algo similar a: y ahora vas y te haces la picha un lio después de la frikada que te ha marcado. ¿Qué pinta el derecho en todo esto?
Para quien escribe aquí el derecho entra de lleno, esas normas que deciden como se regula las relaciones sociales, tiene que tender a proteger lo 2º más importante de la vida, tras lo esencial que es la salud, que es quien eres, tienen que proteger tu reputación.
Debes ser tú y solo tu quien decida que se sabe o quien debe poder saber de ti. Espero que a quien lea esto le salga sola la misma frase que a mí. El problema es que esa sentencia tiene un triple sentido con el simple hecho de introducir dos signos ortográficos, estando dos de ellos íntimamente relacionados.
La primera respuesta ¡TENEMOS DERECHO! Expresado de este modo podemos interpretarlo como una evidencia, algo indiscutible. Empleando las palabras que me repite en nuestras continuas charlas mi suegro, el Doctor Rafael de Lara García, «debatir eso es como debatir sobre la transparencia del agua” y por tanto no merece mucho más desarrollo.
¿tenemos derecho? No la planteo como pregunta reflexiva, sino en el sentido más robótico o googleriado de la palabra, dicha pregunta se contesta con la misma frase, tenemos derecho. Podría enumerar bajo estas líneas la normativa que de un modo u otro regula lo que suscita este artículo la reputación (sin diferenciar entre digital y real porque ya es la misma) pero esa es una tarea que me dejo para más adelante.
Como mandan los canones de introducción nudo y desenlace tengo que ir sacando conclusiones (y acabar esta agonía). Me sorprendo, llegando otra vez de nuevo a ¡continente y contenido!! No se te ocurre mejor metáfora Ernesto, Serás inculto.! ¿Esa es tu conclusión? ¡Y además de inculto eres (que el lector elija el adjetivo), que has dicho tu nombre y llevas evitando todo el artículo que te reconozcan! Te van a juzgar si esto tiene repercusión, ¡a saber, que van a opinar de ti! Con una sonrisa me digo a mí mismo “bueno puedo corregirla con otro texto, o con una entrevista, o una charla, o una ponencia” De nuevo asoma un miedo. ¿Y si eso no sucede? O peor ¿y si en lugar de arreglarlo meto la pata aún más?
Vamos a intentar responder a la pregunta que titula este post con las enseñanzas de Notartic. El título proviene de la frase «¿dentro de unos años el derecho TIC será tan importante como el derecho civil?». Me la pronunció en la primera reunión legal hackers Sevilla -entre cervezas temperatura ambiente- mi compañero letrado y asistente al congreso Daniel Tinoco. Y con el feedback de Notartic he llegado a la conclusión de que la respuesta es NO. Hay que ser más ambicioso. El Derecho digital es tan importante como los derechos humanos pues afecta de manera tan transcendental a la totalidad de las personas y sus relaciones que solo puede abordarse desde esa perspectiva.
Respondida la pregunta (y sin entrar en disquisiciones del estilo ¿Qué es el derecho digital realmente? etc.), me planteo para el futuro los siguientes interrogantes:
¿Nuestras normas protegen nuestro derecho a controlar nuestra reputación? ¿Hay medios efectivos para corregir/ perseguir a quien vulnera esos derechos? Como bien señaló Sara molina en su intervención en las jornadas Notartic ¿Es más castigo/educativo en algunos casos privar a un menor temporalmente de acceso a internet que ingresarlo en un centro de menores o imponer una multa a sus padres/tutores? ¿El derecho al olvido consiste en borrar la información o solo en cortar las vías fáciles de acceso a dicha información? ¿Tienen las empresas que hacer públicos y acreditar fehaciente los criterios y parámetros de selección instaurados en su algoritmo? ¿Es discriminación que una Inteligencia Artificial analice los datos y llegue a la conclusión de que una etnia, un gremio, etc. es contraria al perfil que busca? ¿Hay que aceptar que sea un software automatizado el que discrimine que se sabe de uno mismo?
Nuestra libertad, nuestro desarrollo como persona esta inevitablemente ligado a frases tan simple como ¿qué dirá internet de mí? ¿que pensara una inteligencia artificial que es relevante para los demás? (en palabras del pueblo ¿saldré en las primeras páginas de bing o google?), ¿cómo interpreta esa inteligencia artificial que soy? ¿el empleo de palabras nunca o siempre implicaran que la inteligencia artificial me catalogue como autoritario? ¿publicar post críticos o de protesta me identifica como de trato social?
Por todo lo anterior ¿Qué más da quien escriba este artículo?, el emisor es irrelevante. El fin es que pueda ser cualquiera. Para mí lo importante es el contenido y espero que así sea para todo aquel que lo lea.
Como colofón quiero aprovechar para dar las gracias a mi amigo y compañero Rubén Vázquez, en primer lugar, por permitirme escribir esta entrada en su blog. Le estoy profundamente agradecido por todo. Es el culpable de que yo quiera buscar mi sitio en este mundillo. Fue quien me dijo que reactivará con prudencia mi yo de las redes sociales. Quien me animo a mantener el contacto con su amigo y gran profesional Jesús Acevedo Quien me aconsejó que leyera a David Maetzu en su blog del derecho y las normas. Quien que me presentó a Paco rosales, quien me hablo de Sara Molina, quien me descubrió a Javier de la Cueva, a Francisco Perez Bes, a Javier Gonzalez Granados, a Silvia barrera, a Rodolfo Tesone, a Julián Inza, a Justito el notario (que poca gente sabe su nombre real), y a otros tantos que me olvido ahora pero que son igual de importantes.
Pd: Espero que el trabajo y la vida en general me permita dar continuad en el futuro a estas líneas. Ya se me están ocurriendo nuevos temas para el futuro.
Aquellos que nos dedicamos al derecho digital o o derecho tecnológico tendemos a ir siempre subiendo el listón y dejarnos llevar por las tendencias, de tal modo que a veces nos olvidamos de la base y no debemos obviar que una buena casa siempre se basa en unas buenos cimientos, es por ello por lo que he decidido hacer un listado de los 10 errores más habituales que solemos cometer los abogados (Yo el primero) respecto al ámbito de la privacidad de los clientes, junto con las medidas que se deberían adoptar para tratar de remediarlos dentro del marco del nuevo reglamento de protección de datos, para, por un lado, actualizar nuestros procesos al respecto o en su caso, para los más despistados, que empiecen a implementar dichos procesos de privacidad en pos de sus clientes. En este post tendremos los 5 primeros (Como os ponga los 10 no se los lee nadie, que os conozco y después os da pereza y lo dejais a medias, y las cosas no se pueden dejar a medias…)
Esto a su vez se debe a que con el nuevo reglamento, que os recuerdo que ya está en vigor aunque no sea exigible hasta 2018, se establecen los principios de privacidad por diseño y por defecto, es decir, no basta con tener ya los ficheros dados de alta y un documento de seguridad cogiendo polvo en el cajón (Aunque antes tampoco valía), sino que ahora es necesario tener unos procesos en pos de la privacidad de nuestros clientes establecidos por defecto y en pos de cumplir con la misma.
En este primer post sólo nos centraremos en lo que sería la parte más «física del cumplimiento» dejando para el próximo post la parte más digital o virtual.
Justificado el motivo de este post (Aunque creo que acabarán siendo varios), empecemos con estos 5 errores
1) Los expedientes en la sala de espera:
Es más que habitual cuando vamos a un abogado, encontrarnos en la sala de espera del mismo una serie de armarios llenos de expedientes con los asuntos archivados del despacho, y entendiendo que en algún sitio deberán estar (Aunque también es cierto que en pleno siglo XXI tampoco estaría de más proceder a la digitalización de los documentos con lo que ocuparían mucho menos espacio, pero allá cada cual).
Si bien es cierto que los expedientes si no queremos escanearlos y digitalizarlos , en algún lugar deben estar, no es lo más recomendable que se encuetren fuera de la zona de trabajo directa del letrado, el motivo, en función del despacho, estaremos tratando datos especialmente protegidos como son para el nuevo reglamento:
- Origen étnico o racial
- Opiniones políticas
- Convicciones religiosas o filosóficas
- afiliación sindical
- Datos genéticos
- Datos biométricos orientados a la identificación personal
- Datos de Salud, vida sexual u orientación sexual
Dichos datos, al estar fuera del control del abogado, están disponibles para ser accesibles por cualquier persona que pase por allí, desde un posible cliente a la persona de la limpieza, con lo cual se incumple por un lado, el deber de secreto profesional, y por otro, la necesidad de custodia y protección de dichos datos especialmente protegidos.
Visto el problema, la manera de cumplir con las necesidades de nuestros clientes es almacenando dichos expedientes con los datos personales de nuestros clientes en la zona propiamente de trabajo del despacho, y en caso de imposibilidad física para ello, es decir, falta de espacio, que al menos dichos expedientes estén conservados bajo llave, la cual debe estar en posesión del titular del despacho, no vale con dejarla puesta en la cerradura como me he encontrado en gran cantidad de ocasiones.
2) El documento de seguridad:
Con la llegada del nuevo reglamento de protección de datos el documento de seguridad pasa a desaparecer, pero a la vez, pasa a ser más importante que nunca, esta teórica contradicción se debe a como comentaba en la introducción de este artículo, la necesidad de establecer un sistema de privacidad por diseño y por defecto hace, entre otras cosas, necesaria la centralización de la información de los procesos, contratos y procedimientos vinculados a la privacidad y que mejor sitio para centralizarlos que en el documento de seguridad, entendiendo por el mismo, ya no ese A-Z donde compilábamos documentos, sino cualquier tipo de soporte donde vayamos recopilando los procesos y documentos vinculados, desde los ficheros con los que trabajemos, hasta los contratos de encargados del tratamiento o los consentimientos para el tratamiento de los clientes.
Históricamente, si históricamente que esto viene del 95, son más de 20 años, el documento de seguridad era eso que tenían los despachos que decían cumplir con la LOPD (Distingo los que dicen cumplir y los que cumplen) un AZ en el ultimo cajón del armario sin darle más importancia que cuando lo hicieron o un tercero se los hizo, en la actualidad como ya he dicho, no será necesario dicho documento como tal, pero si la centralización de los procesos y documentos así como la previsión de las medidas para la toma de los datos de nuestros clientes y su tratamiento así como los procesos para el ejercicio de sus nuevos derechos, ya no sólo acceso, rectificación, cancelación u oposición, sino también portabilidad o limitación del tratamiento, y es por ello que este nuevo documento de seguridad (Por llamarle de algún modo, también podría llamarse Pepe por ejemplo) cobra una nueva trascendencia, por todo ello, la solución es simple debemos empezar a concienciarnos en privacidad, en la de nuestros clientes y documentar correctamente las gestiones.
3) El domicilio a efecto de notificaciones
Un error que también he encontrado en muchos casos con clientes despachos de abogados es la costumbre de establecer como domicilio a efecto de notificaciones el del cliente, independientemente que sea de un tipo procesal u otro o se actúe con o sin procurador, este detalle, que a mi parecer hace bastante más incomoda la gestión del despacho con respecto a las notificaciones, no queda ahí, sino que puede dar lugar a algún que otro dolor de cabeza como el que nos llegó, una cliente de violencia de género en una vivienda protegida, que por determinar dicho dato como a efectos de notificación, se encontró a su exmarido pidiendo disculpas en su casa, y gracias a que fue sólo eso.
Al momento de fijar el domicilio a efectos de notificaciones, primero tenemos que tener el consentimiento de nuestro cliente para determinar el suyo a dichos efectos , lo cual debe introducirse entre otros elementos en la hoja de encargo como indicaré a continuación, ya que estamos por un lado, cediendo los datos de nuestro cliente a un tercero, la parte contraria en el pleito, sin ser un elemento imprescindible para la relación jurídica toda vez que tanto la Ley de enjuiciamiento penal como la Ley de enjuiciamiento civil no obligan, salvo excepciones penales, a establecer dicho s domicilios, y a su vez, debemos en casos como el ámbito penal, o datos especialmente protegidos intentar en la manera de lo posible no divulgar datos especialmente protegidos salvo que sean imprescindibles para un procedimiento, por lo cual, siempre es recomendable establecer el domicilio a dichos efectos el de nuestro despacho.
4) La mesa
Cuenta la leyenda que la mesa del abogado es aquello que se encuentra bajo unas doscientas toneladas de folios donde se acumulan notificaciones, carpetas, folios expedientes y un largo etcétera de documentos y elementos de oficina, y digo que cuenta la leyenda porque en muy pocas ocasiones he tenido la oportunidad de ver la mesa de un despacho de abogados completamente libre de estos elementos.
Esto que puede pasar por una curiosidadd tiene una trascendencia jurídica bastante importante, toda vez que en dichos documento que se encuentran en torno a esa mesa están los datos personales de nuestros clientes y se produce los mismo que en el punto 1 del presente artículo, están a mano para que cualquier curioso que pase por allí pueda echarle un ojo y conseguir información al respecto, con lo cual, estaríamos incumpliendo nuestro deber de secreto, de confidencialidad y a se vez cediendo a un tercero los datos de nuestros clientes a través de la comunicación pública de dichos datos dentro del espacio de nuestro despacho.
En este sentido, no obstante, debemos diferenciar entre lo que seria la zona de trabajo propiamente y lo que no, ya que en alguna ocasión me han justificado esta práctica con dicho motivo.
Zona de trabajo a los efectos de protección de datos puede entenderse que sean dos, tres o cuatro expedientes en la mesa y no por más de un día en la misma, que no es lo mismo que tener todos los expedientes del último mes en la mesa, que suele ser lo habitual, ni que dicho expedientes aun se encuentren en la mesa con los datos visibles al momento de atender a un cliente, por ello la solución a tomar en estos casos es tener al menos un pequeño archivador dentro de esa zona de trabajo, a poder ser con llave, a los efectos de alamacenar ahí la información que debamos tener más a mano, fuera parte del expediente/carpeta con la que estemos trabajando, ya que con ello, conseguiremos dar una mejor impresión al cliente a la vez que cumplimos con la legalidad..
La otra opción, utilizar programas de gestión de despachos que nos permitan almacenar, gestionar y digitalizar documentos , de modo que no sean necesarias sus copias en papel, asegurándonos obviamente, que dichos programas cumplen con la normativa al respecto, porque todo no vale, aunque de eso hablaremos más adelante.
5) La primera hoja de la carpeta del cliente
Muy relacionado con el punto anterior de la mesa, aunque en este caso aun más grave, ya que normalmente la carpeta no se queda en nuestro despacho exclusivamente sino que tendemos a pasearla por nuestra ciudad y en especial por el juzgado es el que tengamos el pleito. Este heccho que per se no tiene mayor relevancia, si lo analizamos más a fondo vereemos que si la tiene, por un lado porque llevamos información confidencial del cliente dentro de la carpeta, pero sobre todo, porque tendemos a poner todos los datos del cliente en esa primera hoja de la carpeta, normalmente, nombre y apellidos, número de teléfono, materia del pleito y tipo de asunto, es decir, si llevamos por ejemplo un tema de violencia de genero, y entra un cliente al despacho y esa carpeta está a la vista o la dejamos en lo alto de un banco (Esto lo he visto más de una y dos veces) cualqueira puede ver como se llama nuestro cliente, su número de teléfono y clasificarlo como un maltratatador, sin que eso tenga porque ser cierto, pero con esa información, es el análisis que van a sacar, de ahí la necesidad de que dichos datos tratemos de no dejarlos visibles al público.
En este sentido, la mejor opción es tratar de identificar los expedientes con un número o con el mismo número de proceso, para después a nivel interno, nosotros identificar cual es el proceso o cliente al cual nos referimos, eso que el nuevo reglamento identifica como pseudoanonimización, pero que no es más que hacer que los datos de nuestros clientes no sean identificable por si mismos, aunque nosotros posteriormente podamos identificar dicho cliente.
Con esto terminamos este primer post, terminamos este primer post , en breve tendréis el segundo referente al ámbito más digital, hasta tanto, intentad poner en marcha algunas de estas medidas, que al fin y al cabo, tampoco son tan complicadas 😉
Diario de un E-Letrado 