Fuente: Alexandra Juanas Fabeiro. Abogado en Castañeda Abogados. Especialista en Derecho Tecnológico y Privacidad. Twitter: @Xandra_j
Actualmente, cuando estamos pendientes de la aprobación del Reglamento Europeo de Protección de Datos, cuando se acaba de transponer la Directiva sobre cookies a través del Real Decreto Legislativo 13/2012, de 30 de marzo, en general, cuando se está empezando a regular y a promulgar leyes encaminadas a proteger a los ciudadanos en esa tierra de nadie que es Internet, surge una afirmación innegable, que necesitamos esa regulación, que hay que proteger los derechos de los ciudadanos en Internet, pero, ¿los usuarios de Internet son conscientes de la importancia de estas leyes en su día a día? Mi opinión, la cual os adelanto, es que no.
Concienciación
Cada día hay más usuarios de Internet, más servicios, más opciones a nuestro alcance a través de un clic. Cada día los usuarios de Internet aceptamos condiciones generales, términos de uso y políticas de privacidad en muchas ocasiones sin ni tan siquiera leerlas consintiendo tratamientos de nuestros datos personales o cediendo derechos de propiedad intelectual “a ciegas”.
“A ciegas”, no hay otra forma de definirlo. Pero no a ciegas porque los proveedores no avisen en sus términos de uso, en sus políticas de privacidad o incluso a través de pop ups. Claro ejemplo de esto son los mensajes de Facebook a través de los cuales el usuario acepta expresamente compartir sus datos personales con la aplicación y/o terceros, incluso permitir que la aplicación pueda publicar en su muro, con tal de poder jugar a Farm Ville, City Ville o cualquier aplicación social.
Ejemplo más reciente lo encontramos en los Términos y Condiciones del nuevo servicio de almacenamiento web de Google, Drive1, a través de los cuales el usuario concede una licencia para “usar, almacenar, reproducir, modificar, crear obras derivadas, comunicar, publicar y distribuir” los contenidos subidos al servicio. Lo más preocupante de todo no es que los Términos del Servicio incluyan estas cláusulas, al fin y al cabo Google es una empresa privada, sino que un gran porcentaje de usuarios los acepta, sin haberlos leído y por consiguiente, sin ser realmente conscientes de qué están aceptando ni de las consecuencias que puede depararles tal consentimiento.
Esta circunstancia fue comprobada el 1 de abril de 2010 por la empresa británica de videojuegos Game Station, la cual incluyó una cláusula en sus términos y condiciones legales, a través de la cual los usuarios aceptaban ceder sus almas a la empresa, la cual podría reclamarlas “en cualquier momento”. Esta prueba, que fue realizada como broma por el April Fools´ Day y de la que se hizo eco la prensa internacional2, consiguió recabar 7.500 almas de 7.500 usuarios inconscientes que no leyeron las condiciones del sitio web.
A la vista de estos ejemplos, queda de manifiesto que los usuarios cuando aceptan unos Términos y Condiciones o una política de privacidad no son conscientes de que están suscribiendo un contrato de adhesión en el que se pueden ver involucrados aspectos tan relevantes como la propiedad intelectual, el derecho a la imagen o el tratamiento de sus datos personales, y por consiguiente, su falta de conciencia les hace esclavos de los consentimientos prestados y de las consecuencias que puedan derivarse de los mismos, es decir, Internet está plagado de usuarios “sin alma”, prácticamente zombies que se guían por sus instintos primarios de “quiero un servicio determinado y me da igual lo que me pidas a cambio”. Ni tan siquiera la posibilidad de poder retirar ese consentimiento en cualquier momento les salva de haber sido zombies ni de seguir siéndolo en un futuro.
Menores
La Ley de Protección de Datos, así como su Reglamento de desarrollo, establecen una gran protección sobre los datos de menores, no siendo posible tratar sus datos personales hasta los 14 años sin el consentimiento de sus padres. Previsión similar prevé, pero hasta los 13 años3, el borrador de Reglamento europeo. Pero, ¿qué pasa si son los propios padres los que realizan un tratamiento inconsciente de los datos de sus hijos?, o peor aún, ¿qué pasa si ese tratamiento lo realiza otro adulto que no son los tutores del menor?, ¿a quién habría que responsabilizar en este caso, al padre del menor, al adulto o al proveedor de servicios?
No hay más que echar un vistazo a las redes sociales, cuántos de nosotros no tenemos un amigo que sube fotos de menores que son sus primos, sobrinos, amigos o simplemente los hijos de un conocido. Socialmente esta práctica es aceptada, nadie ve nada de malo en el uso de datos personales de un menor, en particular la imagen o algún dato adicional como el nombre, edad o fecha de nacimiento, sin contar con el consentimiento de sus progenitores.
El artículo 13 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD establece que “podrá procederse al tratamiento de los datos de los mayores de catorce años con su consentimiento, salvo en aquellos casos en los que la Ley exija para su prestación la asistencia de los titulares de la patria potestad o tutela. En el caso de los menores de catorce años se requerirá el consentimiento de los padres o tutores.” Y en su apartado 4 se indica que “corresponderá al responsable del fichero o tratamiento articular los procedimientos que garanticen que se ha comprobado de modo efectivo la edad del menor y la autenticidad del consentimiento prestado en su caso, por los padres, tutores o representantes legales.”
Es decir que los proveedores de servicios de Internet están obligados a contar con el consentimiento de los padres para poder tratar el consentimiento de menores y poder demostrar que cuentan con él y que el mismo es auténtico, así como contar con procedimientos adecuados para comprobar la edad del menor en caso de declarar que es mayor de 14 años.
Pero en la práctica… vemos un escenario completamente distinto, imágenes de menores en todas las redes sociales, subidas por los propios tutores de los menores o incluso por terceros que no son necesariamente los titulares de la patria potestad o tutela del menor, incluso en ocasiones sin que éstos lo sepan. De modo que los responsables de estas redes sociales tratan datos de menores sin las garantías adecuadas previstas en el mencionado artículo 13 debido a la falta de conciencia de los usuarios adultos de las redes sociales, por lo que volvemos al punto anterior.
En conclusión nos encontramos con un problema similar al expuesto en el apartado anterior, los usuarios de Internet no son conscientes de la importancia de facilitar datos de un menor, sino que simplemente comparten su imagen o algo de su información con sus “amigos” (las comillas tienen su explicación más adelante) sin haber tenido en cuenta la política de privacidad, los consentimientos necesarios ni las consecuencias de sus actos con el agravante de que esos datos no son suyos, son de un tercero que además es menor de edad.
Derecho al olvido y derecho al recuerdo
El artículo 17 del borrador del Reglamento del Parlamento Europeo y del Consejo relativo a la protección de datos de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos) regula el Derecho al olvido, el cual a grosso modo y sin entrar en pormenores, permitirá a los ciudadanos eliminar información sobre ellos de sitios web, buscadores, o de toda la red.
Mucho se está hablando del derecho al olvido y realmente es una figura necesaria en un entorno como Internet, donde una vez publicada una información e indexada en un buscador es prácticamente imposible hacerla desaparecer.
No obstante, como ya expuso Eneko Delgado en su artículo para la Revista de Protección de Datos de la Comunidad de Madrid titulado “Derecho al Recuerdo”4, vivimos en una sociedad en la que “Internet dice qué somos” porque en Internet hemos depositado nuestros recuerdos, nuestras experiencias, nuestras fotografías, incluso nuestras relaciones, “siendo la vida digital una realidad y la memoria digital otra realidad que debe ser igualmente protegida”.
El comportamiento de los usuarios de redes sociales es, en algunos casos, lo que podemos llamar “divulgativo-compulsivo”. Por ejemplo, hay personas que se hacen un perfil en Facebook, que cuentan con cientos de “amigos”, mejor dicho, cuentan con cientos de contactos de Facebook, de los que puede que conozca en persona a unas decenas y tenga una relación cercana con una veintena a lo sumo. Este hipotético usuario de Facebook comparte información sobre cada evento de su vida, su información personal, incluyendo su religión, aficiones, fotografías y comentarios con cientos de personas y, dependiendo del grado de privacidad de su perfil y la viralidad de la red social, puede que con miles de personas.
Actualmente vivimos en una sociedad en la que parece que si no tienes cientos de amigos en Facebook y cientos de seguidores en Twitter no eres nadie. El ser humano es gregario por naturaleza, necesita vivir en grupo y la aceptación de ese grupo. La pertenencia y uso de las redes sociales es una forma de agrupación, sentirse parte de un grupo y de ser aceptado como miembro de una comunidad. Dentro de esta visión, lo peor que puede pasarle al individuo, es que su perfil en Twitter o en Facebook desaparezca de la noche a la mañana, así como las referencias en los buscadores, puesto que significaría que ya no perteneces a ese grupo, o peor aún, que simplemente ya no existes.
Esto nos lleva al derecho al olvido, que partiendo de este análisis, su ejercicio puede significar principalmente dos cosas: 1) que el usuario quiere dejar de formar parte de esa comunidad; 2) que el usuario no se siente identificado con la información publicada (por ejemplo un comentario negativo en un foro) o con la comunidad con la que se le relacionaba. Es decir, es el derecho de toda persona a “desaparecer” de determinado sitio web en el que simplemente ya no quiera estar o a que se le deje de relacionar con determinada información si le da la gana.
En un entorno, en el que hemos visto que los usuarios son en ocasiones inconscientes, que puede que no conozcan, o mejor dicho, no se han molestado en conocer, las implicaciones de su consentimiento, es necesaria una figura como el derecho al olvido. En este contexto, es inevitable pensar en esta figura tan reciente no sólo como un garante del derecho fundamental a la intimidad personal, sino también en un garante del derecho fundamental a la libertad, libertad a que nuestro “yo digital” con su “vida digital” decida libremente dónde estar o dónde aparecer en ese mundo paralelo que llamamos Internet.
Análisis de la situación actual
Actualmente contamos con una normativa en materia de protección de datos obsoleta. La Directiva del año 95, la Ley Orgánica del año 99, y en menor medida su Reglamento de desarrollo de 2007 no son herramientas óptimas para afrontar por sí solas algo tan “vivo”, en constante evolución y con un alcance tan extenso como es Internet.
Empezando por el ámbito de aplicación territorial de la Ley y el Reglamento, el cual podemos calificar de ridículo, en lo que a Internet se refiere, si tenemos en cuenta que el responsable del fichero puede estar en cualquier parte del mundo y al igual que los usuarios, y siguiendo por los procedimientos de información y consentimiento previstos en la Ley, que están demasiado encorsetados y en ocasiones pensados para una determinada situación que ha sido sobrepasada por el devenir de la propia tecnología.
Es como si el legislador hubiera intentado hacer una traducción literal de procedimientos y formas de hacer las cosas que eran válidas cuando la informática e Internet eran herramientas básicamente de trabajo y el tratamiento de datos estaba restringido a empresas que hacían un tratamiento con una finalidad profesional o comercial de los mismos, por lo que era evidente que los destinatarios de las Leyes eran los prestadores de servicios más que el ciudadano de a pie.
Esta traducción literal, que en un primer momento fue útil, ahora requiere algo distinto, tal vez la creación de “nuevas palabras” para poder expresar la misma idea en un entorno nuevo en constante evolución, tal vez dejar de intentar encajar la realidad en un texto que no fue pensado para ello y empezar a trabajar en una legislación que se adapte a los sinuosos caminos que nos está marcando la tecnología.
El borrador del nuevo Reglamento de Protección de Datos tiene en cuenta este cambio de escenario, así por ejemplo amplía el ámbito de aplicación de la norma, de modo que el usuario europeo estará protegido por las disposiciones de éste, incluso si el responsable del tratamiento no se encuentra en la Unión, y abre la posibilidad de sancionar a personas físicas que realicen tratamientos de datos sin interés comercial tras una advertencia por escrito5. Es decir, el nuevo Reglamento tiene en cuenta que no únicamente las empresas se encuentran en disposición de tratar datos personales, sino que las personas físicas también lo hacen y pueden vulnerar derechos de terceros, como se ha puesto de manifiesto a lo largo de esta exposición.
Vuelta a la concienciación (Conclusión)
Quería terminar igual que empecé. El borrador de Reglamento de protección de datos es una norma que no podemos dejar que caiga en el pozo de desconocimiento de los usuarios de Internet como ha pasado con nuestra LOPD.
Las empresas europeas por seguro que conocerán, cumplirán e implementarán las disposiciones recogidas en este nuevo reglamento una vez sea aprobado, aunque habrá que ver cómo queda la redacción final mismo y cómo es recibido por los responsables de fichero no comunitarios que en un primer momento se verían afectados por él. Independientemente de esta circunstancia, la cual es capital para el éxito de la norma, no podemos permitirnos que los usuarios medios sigan aceptando a lo loco políticas de privacidad y términos de uso como si fueran zombies, no podemos permitirnos que los usuarios europeos no sean conscientes de sus derechos, pero también de sus obligaciones en materia de protección de datos, no podemos en general, permitirnos que los ciudadanos europeos dejen de ser libres de decidir qué hacer con sus datos personales, sus derechos de imagen y sus derechos de propiedad intelectual y menos por inconsciencia y ese será un trabajo a realizar por todos los que nos dedicamos a la privacidad en cualquiera de sus formas, ya sea en calidad de prestador de servicios, administración o profesional.
En este caso, al contrario de lo que le dijo Gordon a Batman en esa gran película6 puede que este Reglamento que se está preparando no sea el que se merecen los usuarios europeos de Internet, demasiado inconscientes en ocasiones, tal vez, pero es lo que necesitamos ahora.
1 https://www.google.com/intl/en/policies/
2 http://www.elmundo.es/mundodinero/2010/04/20/economia/1271784338.html
http://blogs.telegraph.co.uk/technology/shanerichmond/100004946/gamestation-collects-customers-souls-in-april-fools-gag/
3 Artículo 8 del borrador del Reglamento del Parlamento Europeo y del Consejo relativo a la protección de datos de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos). http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:ES:PDF
4 http://www.madrid.org/cs/Satellite?c=CM_Revista_FP&cid=1142656413170&esArticulo=true&idRevistaElegida=1142652066397&language=es&pagename=RevistaDatosPersonales%2FPage%2Fhome_RDP&siteName=RevistaDatosPersonales
5 Artículo 79 del borrador del Reglamento del Parlamento Europeo y del Consejo relativo a la protección de datos de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos). http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:ES:PDF
6 The Dark Knight, 2008, Christopher Nolan “Porque es el héroe que se merece la ciudad, pero no el que necesitamos ahora. Así que lo perseguiremos, hasta el final de los días. Porque no es un héroe. Es un guardián silencioso, un vigilante protector... Un caballero oscuro.”
No hay comentarios:
Publicar un comentario