España

¿Son discriminatorias las decisiones automatizadas de Movistar-España?

Tengo un amigo.

Este amigo ha vivido en España desde hace más de 10 años, cuando cambió de residencia desde su país de nacimiento.

Hace poco, obtuvo la nacionalidad española y lleva varios meses recordando todos los sitios y trámites donde dejó su Número de Identidad de Extranjero (NIE), para cambiarlo por su nuevo DNI (el número de su Documento Nacional de Identidad).

Para los que no están familiarizados con los conceptos de NIE y DNI, sepan que se trata de unos de los datos personales identificativos más relevantes en España; son usados en todo tipo de trámites públicos y privados.

Pero les estaba diciendo… desde hace 8 años, este amigo es cliente de Movistar y hasta donde él alcanza a jurar y re-jurar, siempre ha pagado puntualmente todas sus facturas; además, a día de hoy tiene todo con ellos: el móvil, el teléfono fijo, la banda ancha y la televisión.

Era feliz mi amigo, cuando hace un año quiso cambiar de móvil y, por primera vez en todo este tiempo, pensó en pedir financiación a Movistar para adquirir su nuevo equipo; algo nada caro, un móvil de menos de 400 euros.

En la tienda, el empleado de Movistar le informó que para financiar su equipo tenía que solicitar autorización a “la financiera de Movistar”: “Una cosa rápida. En menos de 5 minutos sabremos si te autorizan la financiación”.

La cosa comenzó “mal” cuando, después de pedirle su DNI, mi amigo indicó que tenía NIE. “En tal caso necesitamos tu nómina”, a lo que mi amigo respondió con mucha honra “Soy autónomo” y preguntó qué se hacía en estos casos “tan raros”.

Con un poco de displicencia, le dijeron que “entonces” tendría que presentar una copia de su última declaración de la renta. Estaban de suerte, justo traía una copia en el móvil y pudo facilitarla por correo electrónico. Sin embargo, hasta donde él sabe, nunca usaron los datos de su declaración, por las razones que ahora explicaré.

Cuando hubo indicado el modelo del móvil que deseaba, el empleado de la tienda ingresó el NIE de mi amigo en “el sistema”, espero algunos segundo y acto seguido sentenció: “No ha sido autorizada, no han autorizado tu financiación”.

Mi amigo le dijo al empleado: “¿No autorizaron una financiación de 13 euros al mes? ¿Sabes que he sido cliente por muchos años de Movistar y que nunca he tenido ningún problema con ellos? Cada mes les pagó más de 80 euros”. La respuesta fue emblemática: “No es cosa de Movistar. Tu relación con ellos es independiente; la que autoriza o niega es “la financiera”. “No les interesa tu historial con Movistar”.

Lo cierto es que mi amigo se quedó con una sensación incomoda; una cierta seguridad de que “algo” no había salido bien debido a que era autónomo, extranjero o ambos al mismo tiempo. Cuando lo analizó con más calma en su casa, se fue a la cama con una idea en la cabeza: “la financiera de Movistar” no le concedió la financiación debido a un criterio previo y automatizado.

Un año después, y como ya les he contado, este amigo ya contaba con la nacionalidad española y se vio en la necesidad de comunicar su nueva condición a cuantas personas e instituciones puedan imaginar; no obstante, y por raro que parezca, olvidó comunicar su cambio de NIE a DNI a los amigos de Movistar.

¿Cómo se dio cuenta de su error? Pues porque un año después volvió a intentarlo, un año después volvió a pedir a Movistar (a la financiera de Movistar) que le financiera la adquisición de un móvil “nuevecito”.

Cuando el empleado de turno le pidió sus datos, mi amigo proporcionó su nuevo número de identificación, es decir, su DNI. Después de comprobar varias veces, el empleado le preguntó: “Es usted el titular de la línea, ¿verdad? Porque asociado a esta línea, me aparece su nombre, pero otro número de identificación, un NIE.” Y entonces, mi amigo explicó que ese había sido su NIE, y que por lo visto había olvidado actualizar el dato ante Movistar.

El empleado le respondió: “Pues entonces no puedo hacer otra cosa. Tengo que pedir la autorización de la financiación usando el NIE, porque ese es el número que aparece asociado a la línea”. Mi amigo preguntó si además necesitaba aportar su declaración de la renta, a lo que el empleado le contestó: “No es necesario, con el NIE ya nos dice en automático si lo autorizan o no.”

Por supuesto, ustedes ya saben qué sucedió…

Por segunda vez consecutiva, “la financiera de Movistar” negó a mi amigo la financiación de su teléfono móvil y, convencido de lo que estaba pasando, se giró a ver su novia para decirle: “Me lo niegan por ser extranjero… si ingresan un NIE, en automático te niegan la financiación.” El empleado escuchó su comentario y le dijo de manera espontánea: “¡Hombre, eso no es laaaaaaa regla!” “Alguna vez sí conceden financiación si tienes un NIE”. Silencio a continuación.

Sin ánimo de confrontación, mi amigo preguntó cómo podía cambiar su información y el empleado le dijo que tendría que llamar a Movistar para solicitar la actualización de sus datos personales; tarea que logró concluir dos días después, tras comprobar en la web de Movistar que sus datos fiscales indicaban que su NIF correspondía con su DNI.

Con la convicción reforzada, y a pesar de no contar con tiempo para estos menesteres, mi amigo acudió a otra tienda Movistar, y solicitó financiación para un nuevo móvil. En esta ocasión lo atendió una empleada, quien con toda naturalidad le pidió sus datos de identificación y comprobó “en el sistema” la titularidad de la línea móvil… y comprobó que tiene un contrato Fusión… y comprobó una vez más la titularidad de la línea, y mi amigo supo que en esa pantalla aparecía, asociado a su número móvil, un DNI.

Para terminar de comprobar sus sospechas, mi amigo le ofreció a la empleada de Movistar su última declaración de la renta. Ésta le respondió: “¡Ohhhh!, ¡No!, No es necesario. Con tu DNI es suficiente; de inmediato nos dicen si autorizan o no la financiación” … Y regresó la mirada a la pantalla del ordenador.

Después de unos segundos de expectación, la empleada, sin decir nada, dio media vuelta y entró en un pequeño cuarto que estaba a sus espaldas; cuando salió portaba en sus manos una cajita negra, acompañada de una sonrisa: “El último que nos quedaba”. Y a partir de ahí, todo fue miel sobre hojuelas: copia del DNI, firma por aquí, firma por allá… y un móvil nuevo financiado, en poder de mi amigo.

La misma persona, pero con dos números de identificación diferentes, obtuvo resultados igualmente diferentes. Cuando pidió su financiación con un NIE: RECHAZADA, sin mediar explicación. Dos días después, la misma operación con su DNI: AUTORIZADA sin mayor trámite.

Por su puesto, mi amigo soy YO.

Es evidente, ¿no?

Lo que acabo de contar lo he vivido en primera persona; todas las sospechas y todos los cabreos asociados a la sensación de haber sido discriminado por el hecho de ser extranjero, los he vivido yo. No tengo la menor duda que así funcionan las cosas con “la financiera de Movistar”. Esta empresa denegó las financiaciones que solicité, en dos ocasiones, porque en su sistema se ingresó un NIE; y cuando solicité lo mismo, con un DNI en la mano, ¡sorpresa! financiación concedida.

Para completar “la experiencia del usuario” (lector de este blog), voy a pedir a Telefónica Consumer Finance (la financiera de Telefónica) que me proporcione información con fundamento en los artículos 13 de la Ley Orgánica 15/1999 (LOPD) y 36 del Reglamento de la LOPD, en relación con la última financiación que denegó al titular del NIE X0000000X. En concreto, deseo conocer cuáles han sido los criterios de valoración utilizados para rechazar la financiación que solicité, y en última instancia el programa usado para hacerlo.

¿Y qué dicen esos artículos?

Pues aquí los tienen:

Artículo 13 Impugnación de valoraciones

1. Los ciudadanos tienen derecho a no verse sometidos a una decisión con efectos jurídicos, sobre ellos o que les afecte de manera significativa, que se base únicamente en un tratamiento de datos destinados a evaluar determinados aspectos de su personalidad.

2. El afectado podrá impugnar los actos administrativos o decisiones privadas que impliquen una valoración de su comportamiento, cuyo único fundamento sea un tratamiento de datos de carácter personal que ofrezca una definición de sus características o personalidad.

3. En este caso, el afectado tendrá derecho a obtener información del responsable del fichero sobre los criterios de valoración y el programa utilizados en el tratamiento que sirvió para adoptar la decisión en que consistió el acto.

4. La valoración sobre el comportamiento de los ciudadanos, basada en un tratamiento de datos, únicamente podrá tener valor probatorio a petición del afectado.

Artículo 36 Derecho de oposición a las decisiones basadas únicamente en un tratamiento automatizado de datos

Los interesados tienen derecho a no verse sometidos a una decisión con efectos jurídicos sobre ellos o que les afecte de manera significativa, que se base únicamente en un tratamiento automatizado de datos destinado a evaluar determinados aspectos de su personalidad, tales como su rendimiento laboral, crédito, fiabilidad o conducta.

No obstante, los afectados podrán verse sometidos a una de las decisiones contempladas en el apartado 1 cuando dicha decisión:

a) Se haya adoptado en el marco de la celebración o ejecución de un contrato a petición del interesado, siempre que se le otorgue la posibilidad de alegar lo que estimara pertinente, a fin de defender su derecho o interés. En todo caso, el responsable del fichero deberá informar previamente al afectado, de forma clara y precisa, de que se adoptarán decisiones con las características señaladas en el apartado 1 y cancelará los datos en caso de que no llegue a celebrarse finalmente el contrato.

b) Esté autorizada por una norma con rango de Ley que establezca medidas que garanticen el interés legítimo del interesado.

Para más inri, deben saber que en ningún momento se me proporcionó la información a que se refiere el artículo 26.2.a) del Reglamento de la LOPD; es decir, no se me informó que la decisión sobre la financiación que solicitaba sería tomada a partir del tratamiento automatizado de mis datos personales y que se evaluarían características de mi persona, a partir de dicha información.

Creo que será interesante conocer la respuesta del responsable y, si vale la pena, compartiré en este espacio la respuesta (o el silencio) que reciba por parte de la famosa financiera. También, espero seguir contando con conexión a Internet, para actualizar este blog. Hay mucho de donde cortar, y desde luego puedo estar equivocado en mis sospechas… pero como dicen en estas tierras ibéricas desde las que ahora escribo: “blanco y en botella”.

Mientras eso sucede, deseo dejar claro que no tengo nada en contra del uso de medios automatizados para la toma de decisiones que pueden afectar de manera significativa a los interesados o que tienen efectos jurídicos sobre ellos; sin embargo, y más allá de lo que les he contado el día de hoy, sí soy contrario (y la ley, también lo es), a que los criterios empleados para la toma de esas decisiones tengan carácter discriminatorio.

Como es obvio, existen numerosas razones por las cuales cualquier entidad financiera puede negar la solicitud de financiación, a cualquier persona… lo importante es dejar claro si el primer y gran filtro que utiliza para determinar su decisión final es la nacionalidad del solicitante y si existe en su operación, como regla general, la negación automática de cualquier solicitud proveniente de este tipo de interesados/afectados.

PD. Si eres de México, debería interesarte leer el artículo 112 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares:

Tratamiento de datos personales en decisiones sin intervención humana valorativa

Artículo 112. Cuando se traten datos personales como parte de un proceso de toma de decisiones sin que intervenga la valoración de una persona física, el responsable deberá informar al titular que esta situación ocurre.

Asimismo, el titular podrá ejercer su derecho de acceso, a fin de conocer los datos personales que se utilizaron como parte de la toma de decisión correspondiente y, de ser el caso, el derecho de rectificación, cuando considere que alguno de los datos personales utilizados sea inexacto o incompleto, para que, de acuerdo con los mecanismos que el responsable tenga implementados para tal fin, esté en posibilidad de solicitar la reconsideración de la decisión tomada.

¡Hasta el próximo post!

Anuncios
Image courtesy of adamr at FreeDigitalPhotos.net

¿¡Qué estás mirando!?

En el último post, me referí a la obligación que existe a partir de nuestra normativa de protección de datos personales, para que los responsables que captan imágenes a través de sistemas de videovigilancia para finalidades de seguridad y análogas, informen sobre este tratamiento de datos a través de los Avisos cortos a que se refieren los Lineamientos del Aviso de Privacidad y el modelo recomendado por el propio INAI.

Pues bien, tal y como mencioné, existen otras varias cuestiones a tomar en cuenta cuando de videograbar se trata, y de hacerlo conforme a los principios relativos al tratamiento de datos personales.

En esta ocasión, quiero traer a colación a una situación tan común en nuestro entorno, algo que se da por hecho de forma tan automática, que las propias autoridades perfectamente asumen como posible y, al parecer, lícito.

Me refiero a las imágenes captadas por sistemas de videovigilancia privados que en función de la orientación y sofisticación de las videocámaras del sistema, permiten la obtención de imágenes de la vía pública y de personas que transitan por ese espacio público; imágenes que, podemos fácilmente recordar, en ocasiones son utilizadas para la investigación de delitos, gracias a la información que permiten obtener debido precisamente a esa orientación.

No quiero ser agorero, pero debo decir que esas imágenes son ilegales, y que llegado el caso, un buen abogado podría desvirtuar su validez como prueba en un procedimiento determinado. De hecho, quien capta imágenes de tan amplio contenido, pudiendo alcanzar la finalidad de seguridad que la mayoría de estos sistemas persigue, grabando una porción menor de la vía pública y de las personas que por ella transitan, está violando la LFPD, y podría ser multado por ello.

Pero vayamos por partes para entendernos.

La captación de imágenes a través de sistemas de videovigilancia, en la medida en que éstas se refieran, entre otro contenido, a personas físicas identificadas o identificables, debe cumplir con todos los principios relativos al tratamiento de datos personales, de los cuales voy a destacar el de proporcionalidad.

Conforme a dicho principio, para alcanzar la finalidad (lícita) de cualquier tratamiento de datos personales, deberemos tratar únicamente aquéllos que resulten necesarios y relevantes en relación, precisamente, con dicha finalidad.

En este sentido, si la finalidad de un sistema de videovigilancia es la seguridad de un edificio de oficinas o de viviendas, resulta necesario asegurar que para conseguir esa finalidad no se recabe más información de la estrictamente necesaria para alcanzarla, lo cual se asegura grabando exclusivamente el entorno protegido y, excepcionalmente, la vía pública, dado que no resulta indispensable hacerlo para lograr la finalidad indicada. Si las cámaras de un sistema específico graban espacios públicos que resultan innecesarios para asegurar el espacio que se pretende proteger, trataríamos información desproporcionada y violaríamos la Ley.

Al respecto, quiero indicar que estas consideraciones no son gratuitas, sino que se trata de cuestiones que en otros lares ya han sido ampliamente analizadas y definidas.

Así por ejemplo, en el Reino Unido la ICO ha emitido un Código de Conducta sobre Circuitos Cerrados de Televisión (CCTV Code of Practice) en el que se advierte a los responsables de datos personales que pretenden instalar un sistema de videovigilancia, que “la información recogida por un sistema de vigilancia debe ser adecuada para el propósito por el cual [el responsable] está recabando esa información. El tipo de sistema [elegido] y la ubicación en la que opera también debe lograr los fines para los [se está usando]” (pág. 23).

En el mismo Código de Conducta, también se indica que “las cámaras deberán ser colocadas y el sistema deberá tener las especificaciones técnicas necesarias para asegurar que no sean visibles ni se graben imágenes innecesarias, y las que se graben sean de la calidad adecuada” y se recomienda a los responsables preguntarse: “¿Ha elegido cuidadosamente la ubicación de la cámara para minimizar los espacios de visualización que no son de interés para los fines para los que está utilizando el CCTV?” (pág. 24).

En España, su Agencia de Protección de Datos ha emitido la Instrucción 1/2006 sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras, en la que se establecen cuestiones específicas como:

 “2. Sólo se considerará admisible la instalación de cámaras o videocámaras cuando la finalidad de vigilancia no pueda obtenerse mediante otros medios que, sin exigir esfuerzos desproporcionados, resulten menos intrusivos para la intimidad de las personas y para su derecho a la protección de datos de carácter personal

3. Las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos salvo que resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas. En todo caso deberá evitarse cualquier tratamiento de datos innecesario para la finalidad perseguida.”

De estas breves consideraciones, y con independencia de un análisis pormenorizado de situaciones específicas, cabe concluir que si un sistema de videovigilancia privado ha llevado a cabo la grabación de una persona identificada o identificable en la vía pública, donde cabe demostrar que ese sistema obtuvo estas imágenes de forma ilícita, por haber captado un espacio público que no era necesario grabar para asegurar la finalidad del sistema, esta grabación y la información en ella contenida vulnera nuestra normativa de protección de datos personales.

En estos casos, cabe igualmente concluir que el alcance y sentido de lo dispuesto por el artículo 16 de nuestra Constitución, en relación con el secreto de las comunicaciones y las “intervenciones autorizadas”, brinda también protección a las personas respecto de aquellas grabaciones obtenidas por sistemas de videovigilancia, debiendo carecer de cualquier valor probatorio aquellas imágenes de personas físicas identificadas o identificables que hubiesen sido obtenidas en contravención a los principios sobre el tratamiento de datos personales que contempla la LFPD.

Finalmente, para aquellos de ustedes que quieran conocer un poco más sobre las recomendaciones e informes jurídicos que al respecto se han emitido en los dos países de referencia, los invito a visitar:

  1. De la Information Commissioner’s Office: Guide to Data Protection – CCTV, y
  2. De la Agencia Española de Protección de Datos, su sección de Informes Jurídicos sobre Videovigilancia.

Hasta el próximo post…

(Imagen cortesía de adamr en FreeDigitalPhotos.net)

¿Aviso o Registro? Cómo, cuándo y qué informar

Lo que hoy pretendo comentar en el blog es una cuestión relativamente simple que, sin embargo, creo que se ha cuestionado poco desde la entrada en vigor de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPD) y del resto de normativa que paulatinamente ha sido publicada y entrado en.

Esta cuestión, relacionada con el principio de información sobre el tratamiento de datos personales, pasa por preguntarse:

  • ¿Es el Aviso de Privacidad el mejor medio para que los titulares sean informados sobre todos los aspectos relativos al tratamiento de sus datos personales?,
  • ¿Resulta razonable pensar que en todos los casos los titulares leerán un Aviso de Privacidad Integral cuando éste se pone a su disposición, cada vez que proporcionan sus datos a un responsable?,
  • ¿En la práctica, la obligación de informar a través de Avisos de Privacidad ha supuesto una facilidad para los responsables para cumplir con su obligación de informar a los titulares sobre el tratamiento de sus datos personales?
  • ¿Existían alternativas prácticas y efectivas para el cumplimiento del principio de información, distintas a la generación y puesta a disposición de Avisos de Privacidad (en cualquiera de sus modalidades)?

Para responder a lo anterior, partamos de lo obvio: la LFPD no nos ofrece alternativas.

Su artículo 15 es meridianamente claro: “El responsable tendrá la obligación de informar a los titulares de los datos, la información que se recaba de ellos y con qué fines, a través del aviso de privacidad.” Ese ha sido el medio elegido por el legislador mexicano y personalmente he comprobado que pocos abogados cuestionan la idoneidad del medio elegido (y el posterior “desarrollo” que esta elección ha supuesto).

De hecho, creo que en México se ha dado una desmedida importancia al Aviso de Privacidad (principio de información) frente a la difusión y exigencia de cumplimiento de los otros SIETE principios que rigen el tratamiento de los datos personales. Tanto es así, que entre responsable transferente y responsable receptor debe existir un intercambio de Avisos de Privacidad; el responsable también debe comunicar al encargado el (los) aviso(s) que regulen el tratamiento de los datos personales a los que éste tenga acceso por virtud del servicio que preste al primero.

¿Por qué percibo como desmedida dicha importancia? Veamos:

Adicionalmente a la LFPD, a día de hoy podemos encontrar la siguiente normativa, publicaciones, videos y herramientas relacionadas con “el” Aviso de Privacidad:

Sin lugar a dudas, alguien le está dando su importancia al tema. Es importante hacerlo, desde luego, aunque el resultado personalmente constatado es que los sujetos obligados circunscriben el alcance de la ley y la extensión de sus obligaciones a contar con UN aviso de privacidad… y nada más. Obviamente, nada más alejado de la realidad.

Pero hablando de alternativas, creo que resulta práctico saber que éstas existen y que quizás pudieran resultar más eficaces de lo que inicialmente podíamos imaginar (y menos costosas de lo que algunos vendieron cuando la LFPD era apenas un proyecto).

El Registro de Bases de Datos que tratan datos personales se constituye como una alternativa (casi indispensable en países con poca cultura sobre protección de datos) que, por una parte, incrementa la atención y necesidad que los responsables asumen en relación con el cumplimiento de la normativa sobre protección de datos y que, por otro lado, facilita la comunicación de información hacia los ciudadanos sobre aspectos fundamentales relativos a quién y para qué se tratan sus datos.

Después de todo, cuando existe un Registro, resulta muy fácil acreditar si se ha cumplido o no con la obligación de inscribir las bases de datos en posesión de cualquier responsable y, en su caso, sancionar a aquellos obligados que no cumplieron con este mínimo deber de registro.

Asimismo, cuando existe, la obligación de inscribir nuestras bases de datos en un Registro (de acceso público) disminuye la cantidad de recursos que deben destinarse para informar a los titulares sobre aspectos como el tipo o categoría de datos que deben tratarse en relación con finalidades determinadas; los aspectos formales relacionados con el ejercicio de los derechos ARCO; las finalidades originarias del tratamiento y aquéllas que no lo son; la existencia de transferencias de datos, entre otros aspectos. Lo anterior es posible si tomamos en cuenta que la identificación de un número de registro y un hiperenlace a la información de nuestras bases de datos registradas podría proporcionarse a través de una cláusula mucho más corta que los actuales Avisos de Privacidad integrales que deben generarse en México.

Además, al día de hoy, podemos afirmar que la identificación del momento que legalmente resulta procedente poner a disposición de los titulares el Aviso de Privacidad correspondiente, y la definición de la modalidad adecuada (y apropiada) para hacerlo, de entre aquellas disponibles, se ha vuelto un dolor de cabeza para muchos responsables; sin contar además con la posible infracción en que éstos pueden incurrir en caso de no haber redactado adecuadamente sus Avisos de Privacidad (art. 63, fracc. V de la LFPD).

Algunos responsables comienzan a percibir que la redacción y puesta a disposición de los Avisos de Privacidad se ha convertido en una obligación de difícil (y a veces costoso) cumplimiento que, en el peor de los casos, puede transformarse (aun teniendo la intención de cumplir con la ley) en un medio que ponemos a disposición de la autoridad para acreditar, precisamente, que la hemos violado al omitir elementos informativos que deben constar en estos Avisos.

El hecho es que, en nuestro país, se optó por evitar a los responsables “la carga administrativa” que, según se mire, constituye la inscripción de bases de datos en un Registro a cargo de la autoridad de control y sanción (el INAI) y, en su lugar, en el contexto de un Principio de Responsabilidad que aún no acaba de arraigar, se dejó en sus manos la obligación de poner a disposición de los titulares toda la información relativa al tratamiento de sus datos personales.

Por no apartarme del ejercicio comparativo que deseo ejercer en este blog, analicemos dos casos que aún continúan vigentes en países de la Unión Europea:

  1. El “Registro General de Protección de Datos” de la Agencia Española de Protección de Datos, y
  2. El “Register of data controllers” de la Information Commissioner’s Office del Reino Unido.

En el primero, los interesados podrán encontrar información sobre los ficheros (bases de datos) de responsables (públicos o privados) consistente en:

  • Nombre o razón social del responsable del fichero,
  • Nombre del fichero,
  • Finalidad y usos declarados,
  • Dirección en la que el interesado puede ejercitar los derechos de oposición, acceso, rectificación y cancelación de la información contenida en el fichero,
  • Identificación y finalidad del fichero,
  • Origen y procedencia de datos,
  • Tipos de datos, estructura y organización del fichero,
  • Cesión y comunicación de datos, y
  • Transferencias internacionales.

En el segundo deben inscribirse los responsables (no las bases de datos) que no están exentos de hacerlo por cualquier motivo establecido por la ley (por ejemplo, organizaciones sin fines de lucro); y es de llamar la atención que existe un costo anual general de 35 libras esterlinas por estar inscrito. En este registro de responsables podemos encontrar la siguiente información:

  • Número de registro,
  • Fecha de registro y fecha de expiración,
  • Identificación y domicilio del responsable,
  • Actividad del responsable,
  • Descripción del tratamiento de los datos,
  • Finalidades del tratamiento,
  • Tipos o clases de datos tratados,
  • Colectivos de titulares sobre los cuales se tratan datos personales,
  • Cesiones de datos, y
  • Transferencias de datos.

Como podemos observar, en un Registro de Bases de Datos como el que actualmente existe a cargo de la Agencia Española de Protección de Datos, se pone a disposición de los titulares casi la misma información que actualmente debemos incluir en un Aviso de Privacidad, con excepción clara de la información relativa a los requisitos, plazos y procedimientos para el ejercicio de los derechos ARCO, revocación del consentimiento y limitaciones para la divulgación de los datos personales, que en México debe incluirse en dicho Aviso; mientras que de manera menos exhaustiva se proporciona información similar en el registro inglés en relación con el responsable y no con las bases de datos como elemento de registro.

Llegados a este punto, y antes de agotar al lector, cabe preguntar: ¿son la panacea los registros de bases de datos o responsables?

La respuesta es un contundente NO y, de hecho, si la propuesta de Reglamento General de Protección de Datos es aprobada en cuanto a esta formalidad de inscripción, podemos comenzar a cantar “Las Golondrinas” a este tipo de registros, puesto que se consideran innecesarios frente a la existencia de un Principio de Responsabilidad (accountability) que aún no existe de forma extendida en el la Unión Europea en materia de protección de datos personales.

Pero, desde mi particular punto de vista, aunque en determinados países se perciba que no han aportado todos los resultados que de ellos se esperaba, creo que durante el tiempo que han existido estos registros en la Unión Europea, éstos han aportado al menos dos resultados concretos:

  1. La conciencia (no generalizada, seamos honestos) de una obligación de cumplimiento, por parte de los responsables, que en mayor o menor medida saben que incumplen la normativa si sus bases de datos (o ellos mismos) no están debidamente inscritos, y
  2. La posibilidad de que los responsables no tengan que redactar enormes avisos o políticas de privacidad en cada canal de entrada de datos personales, pudiendo hacer referencia o generando enlaces a la información electrónica de sus registros, como parte de la información preceptiva que sí deben publicar en dichos canales.

Como efecto colateral, aunque en las páginas web de miles de responsables europeos podamos encontrar políticas de privacidad que informan sobre el tratamiento de los datos personales que éstos recaban, los titulares se ven (felizmente) liberados de la posibilidad de encontrar en cada formulario que rellenan un Aviso de Privacidad Integral que, por su extensión, invita –precisamente– a no ser leído.

Como es obvio, todo lo anteriormente dicho no cambia ni una sola coma de nuestra legislación, por lo que seguirá siendo necesario que los responsables desarrollen aquellos Avisos de Privacidad que preceptivamente deben poner a disposición de los titulares en el momento de recabar sus datos o antes de aprovecharlos si los obtuvieron de forma indirecta.

Sin embargo, poner de relieve que existen otros modelos, alternativas que podrían facilitar y alentar el cumplimiento de la obligación de informar a los titulares sobre el tratamiento de sus datos personales, puede consistir en una pequeña aportación para impulsar una reflexión sobre el modelo que hemos adoptado y, en su caso, el planteamiento de una modificación de nuestra normativa para evitar que la próxima vez que acudamos al supermercado, no nos ataque un Aviso de Privacidad como el que hace tiempo me encontré:

Ataque de API

Ataque de API

Hasta el próximo post…