Aplicación del principio de responsabilidad proactiva al tratamiento de los datos personales en el ámbito del proyecto Securhome
Este informe se dividirá en tres partes. la primera tiene como finalidad el análisis del marco teórico en el que se analizarán las obligaciones del responsable del tratamiento a través del estudio del régimen normativo teniendo en cuenta las orientaciones y directrices de la autoridad de control (la agencia española de protección de datos), así como los informes y dictámenes del comité de protección de datos (antiguo grupo de trabajo del artículo 29 y en adelante gt29); una segunda parte, en la que se aplicarán dichos principios jurídicos a los tratamientos concretos necesarios para el desarrollo del dispositivo securhome. en tercer lugar, se dedicará un apartado específico a cómo debería adaptarse el requisito de consentimiento informado a los participantes en la investigación y, en su caso, en una fase posterior de comercialización de los dispositivos por razón de la edad de los participantes y posibles usuarios u otras circunstancias como una posible discapacidad.
Primera parte: Marco teórico y requisitos de la legislación en materia de protección de datos personales
i. El principio de responsabilidad proactiva
Una de las novedades más relevantes del reglamento 2016/679, general de protección de datos (rgpd) es la inclusión del principio de responsabilidad proactiva. se encuentra recogido en el apartado segundo del artículo 5 y establece que el responsable del tratamiento será responsable del cumplimiento de los principios relativos al mismo (art. 5.1) y capaz de demostrarlo. Este principio se encuentra desarrollado en el artículo 24 del rgpd y en los artículos 28 y siguientes de la lopdgdd1 al establecer la obligación general del responsable del tratamiento de aplicar las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el reglamento, teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas.
El principio de responsabilidad proactiva supone un cambio de paradigma que exige pasar de un sistema de protección reactivo, frente al incumplimiento, a un modelo preventivo y proactivo2. Este principio requiere que el responsable del tratamiento realice un análisis de los datos que trata y de las demás circunstancias del tratamiento para después adoptar las medidas reales y eficaces que garanticen que el mismo cumple los requisitos legales. Para ello deberá tener en cuenta “la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas”. estas medidas habrán de revisarse y actualizarse siempre que sea necesario.
Con anterioridad a la aprobación del rgpd, el gt293 (actualmente comité europeo de protección de datos) ya había propuesto la introducción de un nuevo principio de responsabilidad “que reclamaría de los responsables del tratamiento de datos la aplicación de medidas apropiadas y eficaces que garantizaran la observancia de los principios y obligaciones que dispone la directiva y la demostraran cuando se lo solicitaran las autoridades de control”4.
Para el gt29, este principio cuenta con dos elementos principales:
“i) La necesidad de que el responsable del tratamiento adopte medidas adecuadas y eficaces para aplicar los principios de protección de datos;
ii) La necesidad de demostrar, si así se requiere, que se han adoptado medidas adecuadas y eficaces; así pues, el responsable del tratamiento de datos deberá́ aportar pruebas de (i).”5
El gt29 considera que, por ejemplo, se podrían aplicar las siguientes medidas: medidas revisión interna, evaluación, establecimiento de políticas escritas y vinculantes de protección de datos para asegurar el cumplimiento de los criterios de calidad de datos; establecimiento de procedimientos que garanticen la identificación correcta de todas las operaciones de tratamiento de datos y el mantenimiento de un inventario de operaciones de tratamiento; nombramiento de un responsable de protección de datos (en el rgpd, el delegado de protección de datos); realización de evaluaciones de impacto sobre la privacidad en circunstancias específicas; formación a los miembros del personal, en especial a los directores de recursos humanos y a los administradores de tecnologías de la información; establecimiento de un mecanismo interno de tratamiento de quejas; etc.6.
El cambio de modelo implica en la práctica que habremos de implementar una serie de medidas para garantizar que los tratamientos de datos son conformes con la legislación vigente, instaurando unos procedimientos que nos permita demostrarlo7, ya que el simple cumplimiento normativo es condición necesaria, pero no suficiente8, para entender que el tratamiento no vulnera la legislación vigente. en este sentido, el considerando 74 del rgpd recuerda que el responsable del tratamiento ha de poder demostrar la conformidad de las actividades de tratamiento con el reglamento, así como la eficacia de las medidas adoptadas para garantizarlo, teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas físicas.
El principio de responsabilidad proactiva está directamente relacionado con un enfoque que se base en el riesgo, que el tratamiento de los datos personales pudiera implicar para los interesados y, como ha señalado el gt29, no debe suponer un debilitamiento de los derechos de las personas, sino que, al contrario, incorpora nuevos instrumentos de garantía como la implementación de los principios de privacidad desde el diseño o la realización de evaluaciones de impacto en la protección de los datos personales. un enfoque basado en los riesgos requerirá medidas adicionales cuando se identifiquen riesgos específicos9 y, por lo tanto una adecuada diligencia por parte del responsable del tratamiento10.
El rgpd en sus considerandos 75 y 76 se refiere a los posibles riesgos y a su gravedad para los derechos y libertades de las personas derivados del tratamiento de sus datos y que pueden constituir “daños y perjuicios físicos, materiales o inmateriales, en particular en los casos en los que el tratamiento pueda dar lugar a problemas de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico o social significativo”; cuando se prive a los interesados de sus derechos y libertades o se les impida ejercer el control sobre sus datos personales o revelen datos sensibles, se evalúen aspectos personales con el fin de crear o utilizar perfiles personales o cuando “se traten datos personales de personas vulnerables, en particular niños; o en los casos en los que el tratamiento implique una gran cantidad de datos personales y afecte a un gran número de interesados” (considerando 75).
Para determinar la probabilidad y la gravedad del riesgo para los derechos y libertades del interesado habrá ponderarse, sobre la base de una evaluación objetiva, en que deberá atenderse “a la naturaleza, el alcance, el contexto y los fines del tratamiento de datos”.
Derivadas del principio de responsabilidad proactiva, en este momento nos interesa atender a las siguientes obligaciones del responsable del tratamiento11:
• Las obligaciones derivadas de los principios y derechos establecidos en la normativa de protección de datos personales:
- El respeto a los principios relativos al tratamiento (calidad de los datos);
- Determinar la base de legitimación del tratamiento;
- Garantizar el tratamiento de los datos sensibles de acuerdo con la legislación vigente;
- Garantizar el principio de transparencia y establecer el procedimiento para atender correctamente las obligaciones derivadas de los derechos de los interesados; o
- Respetar las garantías para las transferencias internacionales de datos.
• Las obligaciones que suponen adoptar las medidas técnicas y organizativas bajo el principio de responsabilidad proactiva:
- Llevanza del registro de actividades del tratamiento;
- Adopción e implementación de medidas de protección de datos por defecto y desde el diseño;
- Establecimiento de las adecuadas medidas de seguridad;
- Realización, en su caso, de evaluaciones de impacto y consulta previa;
- Contratar con encargados del tratamiento que ofrezcan garantías adecuadas y suficientes;
- Notificación de violaciones de seguridad;
- En su caso, nombramiento de un delegado de protección de datos y elaboración de códigos de conducta y esquemas de certificación.
ii. El principio de privacidad desde el diseño y por defecto
Una de las novedades del rgpd fue la introducción del principio de privacidad desde el diseño. se trata de un principio que debe integrarse en el desarrollo de los dispositivos, aplicaciones o modelos de negocio, que se basen o necesiten del tratamiento de los datos personales. pero antes de entrar propiamente en el análisis de este principio conviene hacer una reflexión previa sobre su relación con otro más amplio: el principio de neutralidad tecnológica.
En el considerando 15 del reglamento europeo se afirma que, “a fin de evitar que haya un grave riesgo de elusión, la protección de las personas físicas debe ser tecnológicamente neutra y no debe depender de las técnicas utilizadas”. el principio de neutralidad tecnológica ya aparecía recogido en el considerando 46 de la directiva 2002/58 sobre privacidad en las comunicaciones electrónicas en los siguientes términos: “la protección de los datos personales y la intimidad del usuario de los servicios de comunicaciones electrónicas disponibles al público debe ser independiente de la configuración de los distintos componentes necesarios para prestar el servicio y de la distribución de las funcionalidades necesarias entre dichos componentes. la directiva 95/46/ce cubre cualquier forma de tratamiento de datos personales con independencia de la tecnología utilizada. la existencia de normas específicas para los servicios de comunicaciones electrónicas, junto a las normas generales para los demás componentes necesarios para la prestación de tales servicios, podría no facilitar la protección de los datos personales y la intimidad de modo tecnológicamente neutro. por consiguiente, puede resultar necesario adoptar medidas que exijan a los fabricantes de determinados tipos de equipos utilizados en los servicios de comunicaciones electrónicas que fabriquen sus productos de manera que incorporen salvaguardias para garantizar la protección de los datos personales y la intimidad del usuario y el abonado”.
El principio de neutralidad de la tecnología surge para contrarrestar el desequilibrio existente entre el usuario de los productos tecnológicos, que no tiene conocimientos específicos, y los responsables de la tecnología, que predisponen los sistemas de tratamiento de datos personales. si la tecnología no es neutra se condiciona la autonomía de su destinatario e impone “formas onerosas de ejercer los derechos (...), se convierte en un factor de dominación”12. el principio de neutralidad está íntimamente conectado con los principios de privacidad desde el diseño y por defecto, ya que lo que se requiere es una mayor responsabilidad en la planificación y el diseño tecnológico para garantizar el derecho a la vida privada de los usuarios de esa tecnología. a través de este principio se trataría de contrarrestar la técnica contraria, tan común en muchos servicios de internet y aplicaciones, que consiste en “deshabilitar al máximo la privacidad de las aplicaciones por sus titulares”13. el principio de neutralidad supone, por lo tanto, incluir dentro de las previsiones técnicas una más: la consideración de que esa tecnología debe ser respetuosa con los derechos humanos. en el ámbito del diseño industrial no resultan extrañas las exigencias de que los diseños deban incorporar una serie de requerimientos técnicos con el objeto, por ejemplo, de asegurar la integridad física de quienes utilizan una maquinaria concreta, ni tampoco resultan ajenas la necesidad de obtener determinadas evaluaciones y certificaciones que garanticen la seguridad de los productos finales. los principios de neutralidad tecnológica y de privacidad desde el diseño responden a una filosofía semejante, pues si bien no está en juego la integridad física o la salud del usuario, lo está su vida privada y el riesgo de que su información personal acaba siendo utilizada por terceros para fines que le puedan perjudicar y, en último término su autonomía y dignidad.
Así pues, el principio de neutralidad de la tecnología debería concretarse en permitir la máxima autonomía del usuario del dispositivo securhome estableciendo medidas adecuadas para contrarrestar el desequilibrio existente entre el usuario y el desarrollador del sistema, que es quien en último término predisponen los procedimientos de tratamiento de datos personales. si la tecnología no es neutra, condiciona la autonomía de su destinatario e impone sistemas que pueden dañar los derechos y las libertades de las personas (en nuestro caso, sobre todo, pero no exclusivamente, la protección de datos personales). está claro que el diseño de la tecnología condiciona siempre al usuario, primero por los límites de la propia tecnología, que condiciona lo que se puede y no se puede hacer, pero, por otra parte, y esto es lo importante, porque condiciona el comportamiento del usuario (lo orienta). por ejemplo, uno de los objetivos de los servicios de redes sociales es que los usuarios pasen el mayor tiempo posible en su plataforma y para que estos expongan la mayor cantidad de información personal propia y de terceros y que mantengan el mayor número de interacciones posibles para poder hacer un seguimiento sobre su comportamiento online, y, su diseño, está orientado para conseguir esos objetivos. este diseño no sería transparente, en la medida en la que el usuario no sepa cómo se le rastrea, quién accede a esos datos o cómo funciona el algoritmo que pretende condicionar su conducta y “seducirlo” para que la publicidad en la plataforma sea más efectiva. de eso se trata, ya que cuanto más sutil sea el sistema, será más efectivo14.
En el reglamento de protección de datos, los principios de neutralidad tecnológica y privacidad por defecto y desde el diseño requieren que el desarrollador de la tecnología asuma una mayor responsabilidad en la planificación y el diseño tecnológico para garantizar el derecho a la vida privada de los usuarios y, que desde el momento inicial, “en el momento en el que se están definiendo cómo serán los medios del tratamiento”15.
El principio de privacidad desde el diseño aparece en la década de los noventa promovido por ann cavoukian, comisionada de información y privacidad de ontario y se extendería a una «trilogía» de aplicaciones que englobarían los sistemas de tecnologías de la información, las prácticas de negocio responsable y el diseño físico e infraestructura en red16. esta filosofía se basa en 7 principios fundamentales17:
1. Proactivo, no reactivo; preventivo no correctivo, es decir, deben adoptarse medidas proactivas que prevengan los riesgos y no reactivas en forma de remedios una vez que se ha producido la invasión de la vida privada.
2. Privacidad como la configuración predeterminada o privacidad por defecto18. parte de la evidencia de que la opción mayoritaria del usuario es la que viene predeterminada «por defecto» en el sistema, servicio o aplicación y exige que los datos personales estén protegidos automáticamente, de forma predeterminada, en cualquier sistema de información dado o en cualquier práctica de negocio, de forma que no sea necesaria ninguna acción por parte del usuario.
3. Privacidad incrustada. la privacidad debe formar parte del diseño y de la arquitectura de los sistemas de tecnologías de información, convirtiéndose en un componente esencial del sistema, sin disminuir su funcionalidad.
4. Funcionalidad total – «todos ganan», no «si alguien gana, otro pierde». Este principio busca el equilibrio de todos los intereses legítimos.
5.Seguridad extremo-a-extremo. la privacidad desde el diseño se extiende a través del ciclo de vida completo de los datos involucrados, garantizando su seguridad desde que se obtienen hasta que se destruyen.
6. Visibilidad y transparencia. cualquiera que sea la práctica de negocios o tecnológica involucrada, se debe proporcionar una información clara, sujeta a verificación independiente. todas las partes del proceso y las operaciones deben permanecer transparentes para usuarios y proveedores. 7. respeto por la privacidad de los usuarios, que requiere que los desarrolladores y operadores mantengan los intereses de las personas en un nivel superior.
La privacidad desde el diseño se presenta como “una vía esencial para ejercer la autodeterminación, la herramienta para facilitar la aplicación de la ley de conformidad con sus principios”19. se parte de la idea de que la protección de los datos personales y los derechos relativos a la vida privada deben incorporarse en la construcción de los sistemas de información, negocios, dispositivos, aplicaciones, etc., evaluando “todos los procesos y flujos de información previstos en el sistema, analizando sus implicaciones en privacidad desde un punto de vista holístico, preventivo y con un foco más allá del marco jurídico vigente”20. en resumen, “los objetivos de la privacidad por diseño se centran en asegurar la privacidad y en obtener el control personal de la propia información”21.
En el reglamento se recoge el principio de protección de datos desde el diseño y por defecto. en el considerando 78 se afirma que la protección de los derechos fundamentales con respecto al tratamiento de datos personales hace necesaria “la adopción de las oportunas medidas de carácter técnico y organizativo con el fin de garantizar el cumplimiento de lo dispuesto en el presente reglamento”, debiéndose adoptar políticas internas y aplicar medidas adecuadas que cumplan especialmente los principios de protección de datos desde el diseño y por defecto. a modo de ejemplo se recogen algunas medidas posibles en dicho considerando. así, entre otras, podrán consistir en “en reducir al máximo el tratamiento de datos personales, seudoanonimizar lo antes posible los datos personales, dar transparencia a las funciones y el tratamiento de datos personales, permitiendo a los interesados supervisar el tratamiento de datos y al responsable del tratamiento crear y mejorar elementos de seguridad”. el reglamento quiere que cuando se desarrolle, diseñe o se usen aplicaciones, que estén basados en el tratamiento de datos personales o que traten datos personales para cumplir su función, se “tengan en cuenta el derecho a la protección de datos cuando desarrollan y diseñen estos productos, servicios y aplicaciones, y que se aseguren, con la debida atención al estado de la técnica, de que los responsables y los encargados del tratamiento están en condiciones de cumplir sus obligaciones en materia de protección de datos”. en el artículo 25 se establecen las obligaciones concretas en esta materia aunque se las hace depender “de la tecnología existente, así como del coste de implementación que le suponga al responsable” 22 . en virtud de este principio corresponde al responsable del tratamiento:
1. Valorar los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas.
2. Igualmente, habrá de valorarse, para aplicar el principio de privacidad desde el diseño, no solo los riesgos del tratamiento sino también el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento. por lo tanto, esta evaluación habrá realizarse conjuntamente con la evaluación de riesgos.
3. Una vez realizada la evaluación anterior, deberán adoptarse medidas técnicas y organizativas apropiadas, como la seudonimización.
4. Las medidas que se adopten deberán servir para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos e integrar todas las garantías necesarias para cumplir las exigencias del rgpd y proteger los derechos de los interesados. por ejemplo, hay que establecer medidas organizativas y tecnológicas que garanticen la integridad de la información y la confidencialidad de los datos, que sólo se recojan y se traten los datos necesarios y adecuados para el objetivo que justifica su recogida, que se conserven durante el tiempo necesario para esa finalidad, etc.
5. ¿Cuándo debemos hacerlo? en el momento de determinar los medios de tratamiento y durante el propio tratamiento de los datos personales23.
En el artículo 25 del rgpd se recoge también otro principio relacionado con los anteriores, el de privacidad por defecto, que exige que el responsable del tratamiento:
1. La aplicación medidas técnicas y organizativas apropiadas para que, por defecto, “solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento”. esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad.
2. Respecto de la accesibilidad, habrá de establecerse un sistema que, por defecto, “los datos no sean accesibles a un número indeterminado de personas”24; solo a aquellas que deban tener acceso para cumplir con las finalidades del tratamiento.
La privacidad por defecto complementa y persigue la efectividad de los principios de calidad de los datos del artículo 5 del rgpd. la obtención y los tratamientos a los que sea sometida cualquier información de carácter personal habrá de respetar los principios anteriores para garantizar la suficiente calidad de los datos y de su tratamiento y por ello, a través de la implementación de estos principios, establezcamos “un sistema preventivo de tutela de la persona frente al tratamiento de sus datos personales, estableciendo un equilibrio entre los avances de la sociedad de la información y el respeto a la libertad de los ciudadanos”25.
Segunda parte: aplicación del principio de responsabilidad proactiva al proyecto securhome
Tal y como dispone el rgpd, la legislación relativa a la protección de datos se aplica a las autoridades públicas. las administraciones públicas actúan, no en pocas ocasiones, como responsables del tratamiento y les corresponde aplicar el principio de responsabilidad proactiva. la lopdgdd establece un listado de autoridades públicas u organismos públicos a las que resulta aplicable la legislación, mencionando de forma expresa a las universidades públicas26.
En relación con los proyectos de investigación vinculados a las universidades que impliquen el tratamiento de datos personales será dicho organismo el que actúe como responsable del tratamiento. en el ámbito de proyecto están previstas la creación de tres bases de datos diferenciadas. la unidad carlos iii será la responsable del tratamiento de los datos vinculados al proyecto 1 –dispositivo sensorial para hogares- mientras que la universidad de aveiro será la responsable del tratamiento de los datos vinculados al proyecto 2 – aplicación móvil encargada de la interacción doméstica por medio de la televisión-. si se entiende el programa de forma conjunta como parece deducirse de la convocatoria y no por proyectos separados estaríamos en un supuesto de corresponsabilidad en el tratamiento de los datos 27. La base legal para el tratamiento de los mismos se integra en el cumplimiento de la función de creación, desarrollo, transmisión y crítica de la ciencia, de la técnica y de la cultura y de difusión, valorización y transferencia del conocimiento al servicio de la cultura, de la calidad de la vida, y del desarrollo económico, que la ley orgánica de universidades 6/2001 atribuye a éstas (art. 1.2 letras a y d)28. Se entiende como “responsable del tratamiento”, tal y como estable el artículo 4.7 del rgpd, la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento. al responsable del tratamiento le corresponde, según el artículo 25, apartado segundo, de la citada norma, la aplicación de las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios “para cada una de los fines específicos del tratamiento”.
El proyecto securhome pretende desarrollar un dispositivo no invasivo que, por medio del análisis del comportamiento diario, pueda detectar, mediante técnicas de ia, si una persona mayor de 65 años se encuentra en riesgo o no a través del análisis de su actividad diaria, recogiendo los datos y tratándolos para prevenir cualquier eventualidad. a continuación, se analizarán las obligaciones que el rgpd señala respecto a este tratamiento de datos y se detallan respecto al proyecto securhome, según los datos que se disponen en el momento de la elaboración de este informe.
i. El registro de actividades del tratamiento
El artículo 5 del rgpd establece los principios relativos al tratamiento de datos personales cuyo respeto resulta imprescindible de cara al cumplimiento normativo: licitud, lealtad y transparencia, legitimización de la finalidad, minimización de datos, exactitud, limitación del plazo de conservación, integridad y confidencialidad. para un cumplimiento adecuado de este precepto resulta esencial definir las actividades de tratamiento.
El 25 de mayo de 2018 se sustituyó la obligación de inscripción de ficheros por la necesidad de contar con un registro de actividades. el artículo 30 establece, con carácter general, la obligación de los responsables y encargados del tratamiento de llevar un registro de actividades con la finalidad de poder demostrar la conformidad con el rgpd que ha de constar por escrito29. El objetivo es identificar las amenazas y riesgos a los que se encuentran expuestos el tratamiento de datos para minimizarlos. se trata de un cambio de perspectiva en la materia de protección de datos, en la que se pasa de tener en cuenta un catálogo de medidas concretas a la adopción de aquellas más idóneas para la privacidad.
En el proyecto securhome, el registro de actividad parece resultar obligatorio, teniendo en cuenta la información facilitada por el coordinador del programa y el ip del proyecto 2, por el tratamiento de algunos datos sensibles, por lo que no resulta de aplicación la excepción contenida en el 30.5 del rgpd. aunque la agencia española de protección de datos, con la finalidad de determinar si un tratamiento entraña escaso riesgo ha puesto a disposición de los responsables del tratamiento la herramienta facilita, no ha resultado posible su utilización por las necesidades propias del proyecto. Con la finalidad de generar la documentación básica se realizará la gestión del riesgo por parte de los responsables para cumplir con lo previsto en el rgpd y la lopdgdd. Como señala el artículo 30, cada responsable y, en su caso, su representante llevará un registro de las actividades efectuadas bajo su responsabilidad. este registro debe contener toda la información que se indica a continuación respecto al proyecto securhome:
a) Datos de la personas intervinientes:
Datos del responsable: universidad carlos iii datos del corresponsable: universidad de aveiro datos del delegado: dpd@uc3m.es
b) Base jurídica del tratamiento:
El artículo 6.1 del rgpd prevé, de forma genérica, diferentes condiciones para determinar la base jurídica del tratamiento. sin embargo, teniendo en cuenta, según la información aportada por el coordinador del proyecto, que sería necesario, para poner en marcha el dispositivo, el tratamiento de ciertos datos biométricos (como la identificación por voz) así como de ciertos datos médicos, resulta de aplicación, para determinar la base jurídica del tratamiento, el artículo 9.2, apartado a, del reglamento: consentimiento explícito del interesado para los fines especificados en el apartado siguiente30.
Teniendo en cuenta la base jurídica del tratamiento y para garantizar el consentimiento libre específico, informado e inequívoco es imprescindible proporcionar la información en el momento de recoger los datos de los interesados, adaptando la misma a las necesidades concretas y a las personas implicadas. El derecho a la información se presenta como facultad esencial del individuo, puesto que condiciona el posterior control de los datos y el ejercicio de los derechos de acceso, rectificación y cancelación. en relación con el consentimiento informado explícito en el proyecto, no solo parece necesario tener en cuenta el tipo de datos, sino también la categoría de interesados en la investigación, especialmente dirigida a personas mayores de 65 años que, en algún caso, pudiera tener algún grado de discapacidad o no, pero que debe de ser valorado específicamente a la hora de recabar el consentimiento explícito, adaptando el procedimiento de solicitud a cada caso y realizando, si resulta preciso, los correspondientes ajustes razonables, especialmente en lo que a la comprensión de la información se refiere. se trata de medidas tendentes a evitar un posible desequilibrio entre el interesado y el responsable del tratamiento, garantizando el libre consentimiento en relación con los tratamientos de datos personales realizados por organismos públicos (considerando 43 rgpd)31.
Esta cuestión, que ha sido objeto de estudio y análisis específico en la parte tercera de este informe, detalla las connotaciones propias a tener en cuenta cuando estemos ante personas con discapacidad teniendo en cuenta la posible incidencia en sus derechos y libertades.
Así si bien, se anexa un modelo de consentimiento (anexo i). este modelo es provisional y deberá ser revisado, especialmente en lo que respecta a la salvaguarda de la información que condiciona su validez, en cada caso, por lo investigadores responsables de los proyectos i y ii.
c) Finalidades del tratamiento:
Según los datos aportados por el coordinador del proyecto, la finalidad es la puesta en marcha de un dispositivo no invasivo que utiliza el reconocimiento de modelos de comportamiento de los usuarios para enviar avisos o alerta a los cuidadores y alerta a los usuarios sobre sus necesidades médicas.
Se trata de una finalidad muy específica que requiere un análisis diferenciado, teniendo en cuenta que la atribución de modelos de comportamiento a un sujeto puede derivar en la elaboración de perfiles. en este caso, por la información facilitada, los datos pueden dar lugar a la elaboración de perfiles de comportamiento32.
Los datos no podrán ser tratados de manera incompatible con los fines descritos. no obstante, teniendo en cuenta que se trata de un proyecto de investigación cabe recordar que el rgpd señala que los fines “de investigación científica e histórica y las finalidades estadísticas no son incompatibles con las finalidadesinicialmente previstas –artículo 5.1.b) rgpd-. d) categorías de interesados:
Personas mayores de 65 como requisito imprescindible.
e) Categorías de datos de carácter personal.
Según los datos aportados para la elaboración de este estudio las categorías de datos personales que se manejarán en el proyecto son las siguientes:
1.Datos identificativos del usuario:
• Datos del usuario.
• Perfil del usuario (nombre, sexo, fecha de nacimiento, localidad, foto de perfil, intereses y aptitudes).
• Dirección postal.
2. Satos identificativos del cuidador (persona que recibirá las alertas)
• Datos de perfil del cuidador (nombre, sexo, fecha de nacimiento, localidad, foto de perfil, intereses y aptitudes)
• Lista de dependientes
• Mensajes enviados
• Dirección postal, correo electrónico y teléfono móvil
3. Datos biométricos
• Dato de voz (análisis básico de órdenes y detección e identificación del hablante)
4. Datos relativos a la salud:
• Lista de medicamentos y posología
• Lista de consultas médicas futuras
• Lista de exámenes médicos marcados
• Historial de medicación con hora de toma y estado (toma / no toma)
5. Otros datos (acceso por domicilio)
• Lista de inicio de sesión
• Hora del último dato enviado.
• Datos de carácter personal relativos al movimiento, intensidad de luz, infrarrojo, consulta del consumo e interacción con televisión (a través de sensores).
f) Categorías de destinatarios para comunicación
Las comunicaciones de datos que se prevé realizar están directamente relacionadas con el fin de la actividad del tratamiento, destinadas a la investigación.
Aunque los fines “de investigación científica e histórica y las finalidades estadísticas no son incompatibles con las finalidades inicialmente previstas – artículo 5.1.b) rgpd-, con el objeto de garantizar el respeto a los derechos de los usuarios se recomienda añadir una cláusula informativa con indicación de la comunicación y el consentimiento para la realización de la misma.
g) Transferencia internacional de datos
En principio, no están previstas.
h) Plazos previstos para suprimir los datos.
Los datos se conservarán durante la duración del proyecto, julio 2020. asimismo, se prevé la conservación de los datos con finalidad de investigación durante el plazo mínimo de dos años. esta conservación con fines de investigación resulta posible sin el consentimiento de los afectados de conformidad con el artículo 9.2 j) del rgpd. asimismo, tal y como señala el artículo 89.1 del rgpd, en estos casos, la utilización será posible siempre y cuando se dispongan de las medidas técnicas y organizativas adecuadas para respetar el principio de minimización de los datos. en el caso del proyecto securhome parece posible la inclusión de la seudonimización para alcanzar las finalidades de investigación.
i) Descripción general de las medidas técnicas y organizativas
(Si resulta posible)
Los responsables enumerados en el artículo 77.1 de la lopdgdd, en el que se encuentran las universidades públicas, deben aplicar a los tratamientos las medidas de seguridad que correspondan previstas en el esquema nacional de seguridad.
En esta fase de ejecución del proyecto no resulta posible una descripción general de las medidas técnicas y organizativas de seguridad a que se refiere el artículo 32, apartado 1.
Esta documentación básica deberá ser completada y analizada por el responsable del tratamiento, especialmente cuando avance el proyecto, con el fin de demostrar en todo momento que los tratamientos se llevan a cabo de conformidad con los requisitos que establece el rgpd. el listado de cumplimiento normativo se incluye como anexo ii de este trabajo.
ii. Análisis básico de riesgos
Teniendo en cuenta que entre los datos que se van a ser objeto de tratamiento se encuentran datos biométricos33 (datos de voz con análisis básico de órdenes así como detección e identificación del hablante) y datos médicos o relativos a la salud (tipo de medicación, citas médicas e historial de medicación)34 y que se toman decisiones individuales automatizadas, incluida la elaboración de perfiles, que se basan en las categorías especiales de datos personales porque se cuenta con el consentimiento del interesado, se ha procedido a la realización de un análisis de riesgos con el objetivo de obtener las pautas adecuadas para salvaguardar los derechos y libertades y los intereses legítimos del interesado. la organización del registro, como conjunto estructurado de datos, se ha realizado siguiendo la guía práctica de análisis de riesgos en los tratamientos de datos personales sujetos al rgpd, elaborada por la aepd teniendo en cuenta la posible identificación de amenazas y la evaluación de riesgos para su tratamiento se acompaña como anexo iii.
iii. Evaluación de impacto
La evaluación de impacto se encuentra recogida en el artículo 35 rgpd en los siguientes términos:
“1. Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares.
2. El responsable del tratamiento recabará el asesoramiento del delegado de protección de datos, si ha sido nombrado, al realizar la evaluación de impacto relativa a la protección de datos.
3. La evaluación de impacto relativa a la protección de los datos a que se refiere el apartado 1 se requerirá en particular en caso de:
a) evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;
b) tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10, o
c) observación sistemática a gran escala de una zona de acceso público.”
La agencia española de protección de datos acaba de publicar, de acuerdo con lo establecido en el apartado 4 del artículo 35 rgpd, una lista de los tipos de operaciones de tratamiento que requieran una evaluación de impacto relativa a la protección de datos y que debe entenderse como una lista no exhaustiva:
1. “Tratamientos que impliquen perfilado o valoración de sujetos, incluida la recogida de datos del sujeto en múltiples ámbitos de su vida (desempeño en el trabajo, personalidad y comportamiento), que cubran varios aspectos de su personalidad o sobre sus hábitos.
2. Tratamientos que impliquen la toma de decisiones automatizadas o que contribuyan en gran medida a la toma de tales decisiones, incluyendo cualquier tipo de decisión que impida a un interesado el ejercicio de un derecho o el acceso a un bien o un servicio o formar parte de un contrato.
3. Tratamientos que impliquen la observación, monitorización, supervisión, geolocalización o control del interesado de forma sistemática y exhaustiva, incluida la recogida de datos y metadatos a través de redes, aplicaciones o en zonas de acceso público, así como el procesamiento de identificadores únicos que permitan la identificación de usuarios de servicios de la sociedad de la información como pueden ser los servicios web, tv interactiva, aplicaciones móviles, etc.
4. Tratamientos que impliquen el uso de categorías especiales de datos a las que se refiere el artículo 9.1 del rgpd, datos relativos a condenas o infracciones penales a los que se refiere el artículo 10 del rgpd o datos que permitan determinar la situación financiera o de solvencia patrimonial o deducir información sobre las personas relacionada con categorías especiales de datos.
5. Tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de manera única a una persona física.
6. Tratamientos que impliquen el uso de datos genéticos para cualquier fin.
7. Tratamientos que impliquen el uso de datos a gran escala. para determinar si un tratamiento se puede considerar a gran escala se considerarán los criterios establecidos en la guía wp243 “directrices sobre los delegados de protección de datos (dpd)” del grupo detrabajo del artículo 29.
8. tratamientos que impliquen la asociación, combinación o enlace de registros de bases dedatos de dos o más tratamientos con finalidades diferentes o por responsables distintos.
9. Tratamientos de datos de sujetos vulnerables o en riesgo de exclusión social, incluyendo datos de menores de 14 años, mayores con algún grado de discapacidad, discapacitados, personas que acceden a servicios sociales y víctimas de violencia de género, así como sus descendientes y personas que estén bajo su guardia y custodia.
10. Tratamientos que impliquen la utilización de nuevas tecnologías o un uso innovador de tecnologías consolidadas, incluyendo la utilización de tecnologías a una nueva escala, con un nuevo objetivo o combinadas con otras, de forma que suponga nuevas formas de recogida y utilización de datos con riesgo para los derechos y libertades de las personas.
11. Tratamientos de datos que impidan a los interesados ejercer sus derechos, utilizar un servicio o ejecutar un contrato, como por ejemplo tratamientos en los que los datos han sido recopilados por un responsable distinto al que los va a tratar y aplica alguna de las excepciones sobre la información que debe proporcionarse a los interesados según el artículo 14.5 (b,c,d) del rgpd”35.
Como se ha señalado la eipd no siempre es necesaria, sino que debe ser objeto de valoración previa, realizando un análisis de las listas de tratamiento previstas en la regulación y determinando la naturaleza, alcance, contexto y fines de tratamiento36. teniendo en cuenta la fase de elaboración en la que se encuentra el proyecto y los datos aportados, se han analizado ambas cuestiones:
a) análisis de las listas de tratamientos previstos en la regulación.
El artículo 35.3 del rgpd establece los tres casos, ya citados, en los que resulta obligatorio la realización de la evaluación de impacto. respecto al proyecto securhome, de la información que en estos momentos se posee, cabe indicar que no se producen. el desarrollo del proyecto no implica observación sistemática a gran escala de una zona de acceso público ni tratamiento a gran escala de los denominados “datos sensibles”. Si bien se recaban ciertas informaciones médicas, estas se limitan a las fechas de citas y a la toma regular de medicamentos de un número en principio bajo de sujetos determinados. Asimismo, aunque la aplicación a través de un mecanismo de inteligencia artificial elabore un cierto perfil de comportamiento del sujeto, el objetivo de este perfil no es la toma de decisiones con efectos jurídicos, sino que tiene una finalidad muy concreta y determinada especificada en el registro de tratamiento. el perfilado no implica el análisis de múltiples ámbitos de la vida, sino de aspectos muy concretos que encajan en la finalidad.
Más dudas sobre la necesidad o no de realización eipd presenta el tratamiento de los citados datos sensibles en virtud del listado publicado por la aepd, teniendo en cuenta que figura en el listado dos posibles tratamientos de datos que pueden implicar riesgos graves para los derechos y libertades del sujeto: “tratamientos que impliquen el uso de categorías especiales de datos a las que se refiere el artículo 9.1 del rgpd, datos relativos a condenas o infracciones penales a los que se refiere el artículo 10 del rgpd o datos que permitan determinar la situación financiera o de solvencia patrimonial o deducir información sobre las personas relacionada con categorías especiales de datos” y “tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de manera única a una persona física”. Respecto al primer supuesto, cabe recordar que el proyecto securhome trata determinadas informaciones relativas a la salud, entendiéndose por tales los datos relativos a la salud física o mental de las personas que revelen información sobre el estado de salud, como puede ser la toma de los medicamentos, incluida la prestación de servicios de atención sanitario37. En relación con los datos biométricos, el rgpd incluye su definición como datos personales obtenidos a través de un tratamiento técnico específico, relativo a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona38. Al respecto, se confirma por el coordinador del proyecto la necesidad del uso del dato de voz como elemento biométrico distintivo de cada usuario con la finalidad de realizar un análisis básico de órdenes y detección e identificación del hablante.
Sobre este punto, cabe señalar que, si bien la licitud del tratamiento del proyecto securhome se basa fundamentalmente en el consentimiento del usurario del sistema, podría encontrarse parcialmente amparado el tratamiento de los datos aquí señalado por los artículos 6.1 d) del rgpd: la protección del interés vital y la necesidad de garantizar la seguridad de las personas. asimismo, en esta fase del proyecto, la utilización de los datos sensibles se presenta como incidental y no como tratamiento principal, implicando un riesgo residual. en sentido, y especialmente respecto a la utilización de sistemas de biometría que identifiquen a la persona, resulta esencial estudiar si dicho sistema es adecuado, pertinente y limitado a lo necesario en relación a estos datos, especialmente en lo que respecta a la grabación del dato. Asimismo, se presenta pertinente la reflexión sobre si resultaría posible para lograr el mismo resultado un mecanismo técnico igualmente eficaz y menos intrusivo para la privacidad39. de los datos inicialmente aportados, parece deducirse que la orden de voz tiene una finalidad clara: la alerta de emergencia por la presencia de un riesgo para la salud, existiendo una evaluación previa sobre si se instala solamente un “botón de pánico” o también una activación de la emergencia con una orden de voz. la no grabación y no conservación minimiza notablemente el riesgo. Dicha evaluación ha sido tenida en cuenta en el análisis de riesgos dando como resultado un riesgo aceptable por lo que, en esta fase del proyecto, no se realiza la evaluación de impacto. no obstante, si en la siguiente fase del proyecto se considera que ha habido cambios que supongan un incremento del riesgo, se procedería a su realización.
b) análisis de la naturaleza, alcance, contexto y fines del tratamiento.
La segunda fase de análisis se centra en evaluar los aspectos expuestos según lo señalado en el artículo 35.1 del rgpd.
Sobre éstos, se han tenido en cuenta los siguientes cuestiones:
- Naturaleza del tratamiento: cuestión ya analizada en el apartado anterior. en esta fase del proyecto, según la información aportada, se tratan determinados datos sensibles a pequeña escala, sin que implique un seguimiento masivo de personas. Respecto a la recogida de datos en lo que se refiere a personas de especial vulnerabilidad se ha realizado un informe de riesgos específicos a tener en cuenta en la evolución del proyecto.
- Alcance del tratamiento: del análisis de la información, el tratamiento no implica directamente una toma de decisión con efectos jurídicos. no obstante, de cara al futuro se presenta como precisa la valoración de ciertos riesgos con posibles efectos jurídicos, especialmente los relacionados con la discriminación, señalados en el siguiente apartado del informe realizado por los profesores migle laukyte y rafael de asís.
- Contexto de tratamiento: aunque dentro del proyecto securhome la recogida de datos se realiza a través de nuevas tecnologías, se ha procurado que el dispositivo resulte lo menos invasivo posible para la privacidad de las personas. asimismo, no se prevén transferencias internacionales de datos ni cesiones a terceros al margen de los previstos para la realización de tareas de investigación.
- Finalidad del tratamiento: la finalidad del tratamiento de datos en el proyecto resulta concreta y clara, debiendo tenerse en cuenta en el avance de la investigación, la necesaria adopción de medidas tendentes a minimizar los riesgos en relación con la elaboración de perfiles y monitorización.
Una cuestión que deberá ser analizada con posterioridad y de forma exhaustiva, si finalmente se produce la comercialización del dispositivo, de cara a la necesidad de realizar una evaluación de impacto, es el tratamiento de datos relativos a interesados vulnerables por el posible incremento del desequilibrio de poder entre el interesado y el responsable del tratamiento (considerando 75 rgpd), debido a la consideración de las personas mayores entre la población sujeta a una especial protección. si en el futuro, por la evolución del proyecto, resulta necesaria la realización de una eipd, ha de tenerse en cuenta la necesidad de realización de consulta previa al inicio de tratamientos de riesgo alto previsto en el artículo 36 del rgpd ante las autoridad de control, cuyo trámite está dirigido exclusivamente al responsable del tratamiento que detecte que éste implica un alto riesgo para los derechos, una vez aplicadas las correspondientes garantías y medidas de seguridad.
Como señala la aepd resultan condiciones imprescindibles para acceder al trámite: j ser el responsable del tratamiento j haber completado una eipd j que la eipd muestre un riesgo alto para los derechos y libertades de las personas tras haber aplicado medidas para mitigarlo
v. La seguridad de los datos personales
En materia de seguridad cabe recordar que el rgpd introduce los conceptos de “protección de datos desde el diseño y por defecto” ya analizados- artículo 25.2 rgpd-. el responsable del tratamiento debe establecer los procedimientos de control que garanticen estos principios.
Con el objetivo de establecer la relación entre los conceptos de privacidad desde el diseño y por defecto y, siguiendo la guía práctica de análisis de riesgo en los tratamientos de datos personales sujetos al rgpd de la agencia española de protección de datos, se ha seguido el siguiente flujo de trabajo, con la finalidad de identificar amenazas y evaluar y tratar los riesgos.
En el proyecto securhome se han definido los datos iniciales de la actividad de tratamiento. no ha sido posible utilizar la herramienta facilita de la aepd, especialmente por dos motivos: por la utilización de ciertos datos sensibles, en particular, por los datos de salud, y por la necesidad de análisis de riesgos derivado de la elaboración de perfiles de comportamiento; este análisis inicial ha tenido como resultado un “riesgos aceptable” por lo que no parece oportuno, en este momento, realizar, como se ha señalado en el apartado anterior, una evaluación de impacto. no obstante, el avance del proyecto y el desarrollo del dispositivo podrán hacer necesaria esta evaluación en el futuro.
El artículo 32 del rgpd regula la seguridad del tratamiento, estableciendo en el apartado 1, la necesidad de que el responsable del tratamiento y el encargado apliquen las medidas técnicas y organizativas precisas para garantizar el nivel de seguridad adecuado para el riesgo. dichas medidas deben incluir:
- La seudonimización y el cifrado de los datos personales.
- Los mecanismos para garantizar las confidencialidad, integridad, disponibilidad y la resiliencia permanente del sistema.
-Los mecanismos para restaurar la disponibilidad de la información en caso de incidencia técnica o física. j el proceso para verificar y evaluar la eficacia de las medidas técnicas y organizativas de seguridad.
Teniendo en cuenta los datos aportados y el estado del proyecto, se anexa el documento de análisis de riesgos provisionalmente efectuado.
Respecto a la ulterior utilización de los datos obtenidos con fines de investigación resulta procedente señalar la aplicación de técnicas y medidas de anonimización por lo que se presenta recomendable una reevaluación periódica del riesgo residual en aras a la inclusión de parámetros que mejoren la calidad de la anonimización41.
Tercera parte: estudio sobre las especiales condiciones para el consentimiento informado por razón de la categoría de interesados y análisis de riesgos específicos .
i. Se estudia si sería necesario adaptar la solicitud del consentimiento informado a la categoría de interesados en la investigación para el diseño del dispositivo (y posteriormente para la comercialización del mismo) teniendo en cuenta que se trata de personas mayores de 65 años que, en algún caso, pudiera tener algún grado de discapacidad.
Sí, es necesario adaptar la solicitud de consentimiento informado a la categoría de interesados en la investigación para diseño del dispositivo y posteriormente para la comercialización del mismo.
Como es sabido, en el ámbito de la protección de datos se entiende por consentimiento informado del interesado “toda manifestación de voluntad libre, específica, informada e inequívoca por la que este acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen” (art. 6 de la ley orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales -en adelante lpdp; en el mismo sentido se expresa el art. 4,11 del reglamento 2016/679 del parlamento europeo y del consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos- en adelante rgdp).
Se trata así de una exigencia derivada del deber de informar y del principio de la autonomía de la voluntad que en determinados ámbitos, como por ejemplo el sanitario42, se ha convertido en un verdadero derecho.
En todo caso, como hemos visto, cuatros son los requisitos del consentimiento válido: libre, específico, informado e inequívoco. se trata de cuatro elementos que, aunque implican exigencias generales (como por ejemplo la exigencia de una información suficiente, inteligible y de fácil acceso, realizada en un lenguaje claro y sencillo), deben adaptarse a circunstancias concretas y adecuarse a las personas implicadas.
Así, en relación con el tratamiento de datos, la lpdp, en su art. 28 (obligaciones generales del responsable y encargado del tratamiento) dispone que tienen que adoptarse “las medidas técnicas y organizativas apropiadas que deben aplicar a fin de garantizar y acreditar que el tratamiento es conforme” con el rgpd, la ley orgánica y otras normas aplicables. en este artículo se establece que los encargados y responsables tienen que tener en cuenta los riesgos mayores que se producen en una serie de supuestos, entre los cuales incluye los casos en los que “se lleve a cabo el tratamiento de datos de grupos de afectados en situación de especial vulnerabilidad y, en particular, de menores de edad y personas con discapacidad”.
Esto quiere decir que la prestación del consentimiento informado, cuando estemos ante personas con discapacidad, adquiere unas connotaciones propias. antes de exponer algunas de estas connotaciones es importante aclarar a qué está haciendo referencia la norma cuando se refiere a personas con discapacidad.
Pues bien, para aclarar esta cuestión podemos seguir dos caminos. uno de ellos viene representado por la convención sobre los derechos de las personas con discapacidad (en adelante cdpd); el otro es el que nos plantea la ley general de derechos de las personas con discapacidad y de su inclusión social de 2013 (en adelante lgdpd).
En virtud de la primera, la discapacidad es la suma de dos factores que acompañan a la persona y que podemos entender como condición y situación43. Hablamos de condición para hacer referencia a rasgos personales o, en términos de la cdpd, deficiencias. Hablamos de situación para referirnos a las barreras con las que se encuentran las personas a la hora de satisfacer sus derechos. se trata de barreras en el entorno pero también de barreras actitudinales y sociales. así, el artículo 1 de la cdpd señala: “las personas con discapacidad incluyen a aquellas que tengan deficiencias físicas, mentales, intelectuales o sensoriales a largo plazo que, al interactuar con diversas barreras, puedan impedir su participación plena y efectiva en la sociedad, en igualdad de condiciones con las demás”.
Por su parte, la lgdpd, en su artículo 4,1, maneja una visión parecida de persona con discapacidad al afirmar: “son personas con discapacidad aquellas que presentan deficiencias físicas, mentales, intelectuales o sensoriales, previsiblemente permanentes que, al interactuar con diversas barreras, puedan impedir su participación plena y efectiva en la sociedad, en igualdad de condiciones con los demás”. sin embargo, en el punto 2 de ese mismo precepto se señala: “además de lo establecido en el apartado anterior, y a todos los efectos, tendrán la consideración de personas con discapacidad aquellas a quienes se les haya reconocido un grado de discapacidad igual o superior al 33 por ciento...”. en este sentido, el reconocimiento como persona con discapacidad va unido a la posesión de un grado que se determina, principalmente, por factores médicos que tienen que ver con rasgos o, si se quiere, con condición44.
Pues bien, entre los dos caminos, parece que el primero encuentra un mejor acomodo con el significado que posee el consentimiento informado. como hemos señalado, el consentimiento informado debe adaptarse a las particularidades de cada persona y esto no parece compatible con la determinación de grados generales. por otro lado, esta determinación puede tener sentido a la hora de establecer medidas administrativas pero difícilmente si hacemos referencia a satisfacción de derechos.
De esta manera, podemos afirmar que cuando la lpdp, hace referencia a las personas con discapacidad no está incluyendo solo a aquellas que tienen un grado del 33% reconocido, sino a cualquier persona que se encuentre con barreras, en este caso, a la hora de prestar su consentimiento.
De todo lo anterior se deduce que las personas mayores pueden ser incluidas dentro de la referencia a las personas con discapacidad que hace la lpdp, al enfrentarse, en muchas ocasiones, a barreras sensoriales, intelectuales o del entorno. las personas mayores tienen más dificultades para desarrollar capacidades informáticas, entender el funcionamiento de distintos dispositivos y gestionarlos. en este sentido, el art. 81 de la lpdp, al referirse al acceso a internet, señala: “el acceso a internet procurará la superación de la brecha generacional mediante acciones dirigidas a la formación y el acceso a las personas mayores”45.
Así, y en relación con estas personas, la prestación de consentimiento deberá adaptarse para superar estas barreras, para lo cual tanto la cdpd como la lgdpd, establecen la posibilidad de acomodos generales y de acomodos individuales. los primeros dentro del diseño universal y los segundos como ajustes razonables46. Así la lgdpd, prácticamente en los mismos términos que la cdpd, establece, en su art. 2, que se entiende por diseño universal, “la actividad por la que se conciben o proyectan desde el origen, y siempre que ello sea posible, entornos, procesos, bienes, productos, servicios, objetos, instrumentos, programas, dispositivos o herramientas, de tal forma que puedan ser utilizados por todas las personas, en la mayor extensión posible, sin necesidad de adaptación ni diseño especializado”. y continua: afirmando que el diseño universal “no excluirá los productos de apoyo para grupos particulares de personas con discapacidad, cuando lo necesiten”. Y en ese mismo artículo se entienden como ajustes razonables, “las modificaciones y adaptaciones necesarias y adecuadas del ambiente físico, social y actitudinal a las necesidades específicas de las personas con discapacidad que no impongan una carga desproporcionada o indebida, cuando se requieran en un caso particular de manera eficaz y práctica, para facilitar la accesibilidad y la participación y para garantizar a las personas con discapacidad el goce o ejercicio, en igualdad de condiciones con las demás, de todos los derechos”.
Pues bien, de los cuatro elementos del consentimiento a los que hacíamos referencia antes, seguramente es el que tiene que ver con la exigencia de que sea informado, el que más connotaciones tiene con las personas con discapacidad. este elemento exige en primer lugar información completa y transparencia y, en segundo lugar, información comprensible. Así, cuando sea una persona con discapacidad la que deba otorgar el consentimiento, la información se le ofrecerá́ en formatos adecuados, según las reglas marcadas por el principio de diseño para todos, de manera que le resulte accesible y comprensible, y se arbitrarán las medidas de apoyo pertinentes47. La prestación del consentimiento informado puede requerir de adaptaciones para que este sea prestado de manera correcta por cualquier persona; adaptaciones que pueden ser mas necesarias cuando nos referimos a personas con discapacidad.
No en vano, el artículo 6 de la lgdpd, referido al respeto a la autonomía de las personas con discapacidad, afirma:
1. El ejercicio de los derechos de las personas con discapacidad se realizará de acuerdo con el principio de libertad en la toma de decisiones.
2. Las personas con discapacidad tienen derecho a la libre toma de decisiones, para lo cual la información y el consentimiento deberán efectuarse en formatos adecuados y de acuerdo con las circunstancias personales, siguiendo las reglas marcadas por el principio de diseño universal o diseño para todas las personas, de manera que les resulten accesibles y comprensibles. en todo caso, se deberá tener en cuenta las circunstancias personales del individuo, su capacidad para tomar el tipo de decisión en concreto y asegurar la prestación de apoyo para la toma de decisiones”.
Así, el proceso de prestación del consentimiento y todo lo relativo al tratamiento de sus datos, debe realizarse de tal manera que la persona comprenda la información y pueda generar su propio juicio, aunque sea con los apoyos pertinentes.
Con todo ello, garantizamos el ejercicio del derecho al consentimiento informado, restringimos la posible discriminación que puedan sufrir (art. 14 ce, art. 5 cdpd, art. 63 lgdpd) y protegemos otros derechos, como por ejemplo la intimidad (y no hay que pasar por lato que la falta de respeto de la intimidad — que forma parte del derecho a la protección de datos y a la privacidad— de una persona mayor es también una de las formas de maltrato48).
Algunas técnicas que pueden facilitar el entendimiento por parte de las personas mayores del consentimiento informado, adaptándolo además distintos niveles y formas de discapacidad que habrá entre las personas mayores seleccionadas para participar en la investigación:
• Utilizar un material gráfico: dibujos, fotografías, colores, ... ;
• Utilizar un lenguaje sencillo, cotidiano, y sin términos técnicos;
• Utilizar ejemplos prácticos para explicar lo que se hará con los datos que se recogen y para qué sirven esos datos y cómo funciona el dispositivo. por ejemplo, puede no quedar claro por qué se necesita la foto de perfil de una persona, y los datos sobre sus intereses y aptitudes.
Subrayar que hay datos que no se van a pedir nunca para este dispositivo y que si alguien le pidiera, por ejemplo, el numero de cuenta bancaria u otro dato irrelevante para este dispositivo, la persona tiene que informar inmediatamente a los responsables. o explicar bien que parámetros del dispositivo son modificables y cómo (por ejemplo, lo del control del tiempo entre las interacciones con el dispositivo), o establece quién va a ser alertado en concreto si los sensores del dispositivo notan algo raro.
- Crear un espacio de dialogo: explicar las cosas que los interlocutores no entienden y responder a las preguntas, por ejemplo, cuanto tiempo van a ser conservados sus datos o explicar que el registro de voz de la persona mayor es necesaria para poder enviar la solicitud de emergencia a través el dispositivo, etc.:
- Crear un canal de diálogo continuo (también por correo electrónico o teléfono) antes, durante y después del tratamiento, basado sobre preguntas abiertas, y otras medidas que garantizan la comprensión del anciano, como, por ejemplo, preguntar qué ha entendido sobre como van a ser utilizados sus datos, o crear una pagina web del dispositivo con opciones para personas de edad avanzada o con discapacidad, o tener en cuenta que las personas mayores con o sin discapacidad pueden necesitar más tiempo para leer, comprender, activar, o hacer otras cosas; o identificar los riesgos particulares en el caso de las personas mayores y preparar un plan para gestionarlos.
- Colaborar con la familia, su representante o servicios de asistencia de confianza y los terceros que participan en la vida de la persona mayor, como voluntarios de distintas asociaciones, etc.; en esta esfera se incluyen también las personas mayores en la situación de dependencia descrita en la ley 39/2006, de 14 de diciembre, de promoción de la autonomía personal y atención a las personas en situación de dependencia.
- Técnicas de lectura facil (imágenes, letras grandes, frases cortas...) en el material escrito, como prospecto sobre el dispositivo, donde se explica para qué sirve el dispositivo, como podrá afectar la persona (¿dispositivo se puede oír u ocupa espacio?), a quien llamar si hay un problema con el dispositivo, que hacer si al dispositivo le sucede algo (cae por tierra, etc.).
Pero el que sea el elemento de la información el que más proyecciones tenga sobre las personas con discapacidad entendidas en el sentido amplio que estamos utilizando, no significa que el resto de elementos no tengan también alguna incidencia. las exigencias de consentimiento libre, específico e inequívoco poseen también importancia y singularidad.
Así, por ejemplo, y en relación con el consentimiento libre, no hay que pasar por alto que estamos en presencia de personas en situación de vulnerabilidad y que se enfrentan a barreras, en muchos casos de carácter social, que tienen su origen en discriminaciones. Esto hace que en muchos casos, su relación con otras personas no pueda considerarse como una relación entre iguales, existiendo una diferencia de poder que debe ser tenida en cuenta. y esto se acrecienta en espacios técnicos que acrecientan la situación de vulnerabilidad y las diferencias entre las partes.
ii. Riesgos específicos para los derechos y las libertades de estas personas en la medida en que la agencia española de protección de datos ha incluido entre los tratamientos que requieren evaluación de impacto relativa a protección de datos los "tratamientos de datos de sujetos vulnerables o en riesgo de exclusión social, incluyendo datos de menores de 14 años, mayores con algún grado de discapacidad, discapacitados, personas que acceden a servicios sociales y víctimas de violencia de género, así como sus descendientes y personas que estén bajo su guardia y custodia.”
Riesgos específicos para los derechos y libertades de estas personas:
1. Riesgo de ser objeto de manipulación o explotación por parte de terceros: por ejemplo, pidiendo a la persona de edad avanzada datos que no son pertinentes para el funcionamiento del dispositivo con el objetivo de acceder a su cuenta bancaria;
2. Riesgo para el derecho a la privacidad (por ejemplo, como garantizar el derecho a la accesibilidad a los datos personales por parte de esas personas, cómo facilitarles el derecho de retirar el consentimiento informado, accesibilidad a la información sobre el dispositivo en el sitio web de empresa, etc.);
3. Riesgo para el derecho a la autonomía personal, y libertad de tomar las decisiones sobre su vida, su integridad física y mental. por ejemplo, como el dispositivo se basa en los perfiles que el dispositivo crea para cada una de las personas mayores y además sobre los patrones de comportamiento, hay riesgo de crear un perfil de la persona que no se corresponde con la realidad (riesgo también pare el derecho de rectificación, mirar el riesgo en el punto 2. de esta lista);
4. Riesgo para la dignidad humana por ser tratado como un objeto (generador) de datos y no una persona humana; además las personas mayores corren el riesgo de ser consideradas un lastre y no un recurso para la investigación tecnológica. en otras palabras, la investigación informática tiene que empoderar las personas mayores y considerarlas (y ayudarles a adoptar esta visión) como sujetos activos de la investigación y no sujetos pasivos;
5. Riesgo de no garantizar un acceso universal a los servicios de la sociedad de información: hay un peligro de marginar a las personas mayores solo porque tienen dificultades de adaptarse a los nuevos medios y recursos digitales y informáticos;
6. Riesgo para el derecho de no ser sujeto a la discriminación no solo por tener discapacidad, sino también por pertenecer también a cualquier otro grupo en situación de vulnerabilidad (por ejemplo, ser mujer con discapacidad: en este caso podemos hablar de una discriminación múltiple o interseccional);
7. Riesgo para el derecho a no ser discriminado por razón de edad (“edadismo”);
8. Riesgo para el derecho de asistencia (médica) porque con este dispositivo arriesgamos proveer una supervisión medica a distancia y aumentamos el riesgo de un menor contacto entre la persona mayor y el personal humano médico especializado. de esta forma, corremos el riesgo de no garantizar a la persona de mayor edad el derecho a “vivir con dignidad a través de una atención médica adecuada y centrada en la persona, a largo plazo y accesible para todos” como nos advierte el manifiesto de age (la red de asociaciones europeas de las personas mayores).
9. Riesgo de incrementar el aislamiento y la soledad de la persona que va a ser visitada o atendida en persona por profesionales humanos sí y solo sí ocurre algo malo y/o sí y solo sí el dispositivo señala las irregularidades.
10. Riesgo para su autonomía individual. por ejemplo, en el caso en el que no se informe de manera comprensible sobre el alcance del proyecto o del tratamiento de los datos.
1ley orgánica 3/2018, de 5 de diciembre de protección de datos personales y garantía de los derechos digitales (lopdgdd).
2 lorenzo cabrera, sara: “posición jurídica de los intervinientes en el tratamiento de datos personales. medidas de cumplimiento”, en aa.vv.: protección de datos, responsabilidad activa y técnicas de garantía, reus, madrid, 2018, p. 123 y ss.
3grupo de trabajo del artículo 29.
4dictamen 3/2010 sobre el principio de responsabilidad del gt29, p. 2.
5ibídem, p. 9.
6ibídem, p. 12 y 13.
7núñez garcía, josé l.: “responsabilidad y obligaciones del responsable y del encargado del tratamiento, en rallo lombarte, artemi (dir.): tratado de protección de datos, tirant lo blanch, valencia, 2019, p. 355. 8lópez álvarez, luis f.: “la responsabilidad del responsable”, en piñar mañas, josé l. (dir.): reglamento general de protección de datos. hacia un nuevo modelo europeo de privacidad, editorial reus, madrid, 2016, p. 291.
9statementonthe role of a risk-basedapproach in data protection legal frameworks, adoptado el 30 de mayo de 2014.
10 vid. lópez álvarez, luis f.: “la responsabilidad del responsable”, ob. cit., p. 291.
11se sigue el esquema propuesto por sara lorenzo cabrera: “posición jurídica de los intervinientes en el tratamiento de datos personales. medidas de cumplimiento”; en aa.vv.: protección de datos, responsabilidad activa y técnicas de garantía, ob. cit., pp. 126 y 127.
12llácer matacás, maría rosa: la autodeterminación informativa en la sociedad de la vigilancia: ubiquitous computing, en llácer matacás, maría rosa (coord.): protección de datos personales en la sociedad de la información y la vigilancia, la ley, madrid, 2011, p. 89.
13touriño, alejandro: el derecho al olvido y a la intimidad en internet, catarata, madrid, 2014, p. 23.
14 sobre este tema, que se utiliza como ejemplo por tratarse de un servicio muy popular y conocido, puede verse, entre otros, lanier, j.; diez razones para borrar tus redes sociales de inmediato, editorial debate, barcelona, 2018.
15 miralles lópez, ramón: “protección de datos desde el diseño y por defecto (art. 25 rgpd. art. 28 lopdgdd)”, en lópez, calvo, josé. (coord.): la adaptación al nuevo marco de protección de datos tras el rgpd y la lopdgg, wolkers kluwer, segunda edición, madrid, 2019, p. 421.
16cavoukian, ann: privacy by design. the 7 foundational principles implementation and mapping of fair information practices, information and privacy commissioner of ontario, canadá, 2010.puede consultarse en: https://www.iab.org/wp-content/iab-uploads/2011/03/fred_carter.pdf.
17 ibídem.
18 megías terol, javier: “privacy by desing, construcción de redes sociales garantes de la privacidad”, en rallo lombarte, artemi y martínez martínez, ricard (coord..): derecho y redes sociales, civitas, madrid, 2010, p. 320.
19llácer matacás, maría rosa: la autodeterminación informativa en la sociedad de la vigilancia: ubiquitous computing, ob. cit., p. 90.
20 megías terol, javier: “privacy by desing, construcción de redes sociales garantes de la privacidad, ob. cit., p. 320.
21 miralles lópez, ramón: “protección de datos desde el diseño y por defecto (art. 25 rgpd. art. 28 lopdgdd)”, ob. cit., p. 424.
22 arenas ramiro, mónica: reforzando el ejercicio del derecho a la protección de datos personales, en rallo lombarte, artemi y garcía mahamut, rosario: hacia un nuevo derecho europeo de protección de datos, tirant lo blanch, valencia, 2015, p. 360.
23artículo 4.2 del rgpd: «tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
24 lorenzo cabrera, sara: “posición jurídica de los intervinientes en el tratamiento de datos personales. medidas de cumplimiento”, ob. cit., p. 149.
25 lesmes serrano, carlos (coord.): la ley de protección de datos. análisis y comentario de su jurisprudencia, ob. cit., p. 139.
26artículo 77 lopdgdd.
27artículo 26 rgpd.
28sobre los retos de la protección de datos en el ámbito universitario, algunos pendientes en la actualidad, vid. martínez martínez, ricard: “la protección de datos en la universidad: retos para el 25 de mayo de 2018”, en la articulación de la gestión universitaria a debate, thomson reuters aranzadi, 2018.
29se ha considerado que no opera en este supuesto la excepción del artículo 30.5 rgpd.
30 la lopdgdd, en su artículo 9, regula también las categorías especiales de datos, si bien no hace una referencia expresa en particular a los datos biométricos, omitiendo, de esta forma, la propuesta ya antigua, formulada por la comisión de libertades e informática (cli) que señalaba la necesidad, en una futura reforma de la lopdp, de incluir claras referencias a los datos genéticos y biométricos en aras a la efectiva protección del derecho a la privacidad. comisión de libertades e informática: “la necesidad de una reforma de la ley orgánica 15/1999 de protección de datos personales”, datospersonales.org, la revista de la agencia de protección de datos de la comunidad de madrid, núm. 15, 2005.
31se trata, en palabras del tribunal constitucional español, de uno de los elementos característicos de la configuración constitucional del derecho a la autodeterminación informativa, que permite al individuo precisar qué datos sobre su persona pueden obtenerse o tratarse, por quién y para qué finalidades. fundamento jurídico octavo, stc 292/2000, de 30 de noviembre.
32sobre las consecuencias jurídicas de elaboración de perfiles, vid. garriga domínguez, ana: “la elaboración de perfiles y su impacto en los derechos fundamentales. una primera aproximación a su regulación en el reglamento general de protección de datos de la unión europea”, derechos y libertades: revista del instituto bartolomé de las casas, núm. 38, 2018, págs. 107-139.
33según el artículo 4, apartado 14, del rgpd son “datos biométricos”: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos.
34 según el artículo 4, apartado 15, del rgpd son “datos médicos”: datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud.
35 agencia española de protección de datos (aepd):listas de tipos de tratamientos de datos que requieren evaluación de impacto relativa a protección de datos (art 35.4). https://www.aepd.es/media/criterios/listas-dpia-es-35-4.pdf. consultada el 3 de junio de 2019.
36 algunas cuestiones sobre la eipd, davara fernández de marcos, elena: “la evaluación de impacto en protección de datos: aspectos de interés”, en actualidad administrativa, num. 4, 2018.
37la legislación de protección de datos utiliza un concepto amplio de dato relativo a la salud, resultando indiferente que se trate de una persona de buena o mala salud. se encuentran incluidas en esta categoría las informaciones relativas al abuso de alcohol o al consumo de drogas. es decir, cualquier dato que tenga una clara y estrecha relación con la salud. al respecto, vid. recomendación 5/1997, de 13 de febrero de 1997, del comité de ministros del consejo de europa a los estados miembros sobre protección de datos médicos. esta interpretación amplia del concepto de dato médico ha sido amparada por el tjue - sentencia de 6 de noviembre de 2003 (caso lindqvist)-”.
38así, parece que el rgpd incluye en esta categoría a los datos biométricos dirigidos a identificar a una persona de forma univoca y no aquellos que implican cierto grado de probabilidad, que no dejan de ser datos biométricos pero que no reciben la calificación de sensibles.
39informe 0065/2015 aepd.
40 flujo de trabajo previsto en la guía práctica de análisis de riesgo en los tratamientos de datos personales sujetos al rgpd.
41sobre este proceso resulta de interés las orientaciones y garantías en los procedimientos de anonimización de datos personales publicadas por la agencia española de protección de datos, así como el dictamen 05/2014 del grupo de trabajo del artículo 29 sobre técnicas de anominización, de 10 de abril de 2014. asimismo, teniendo en cuenta el marco legislativo actual, la agencia española de protección de datos ha publicado un documento orientado a organizaciones que aborden procesos de anonimización sobre conjuntos de datos, “la k-anonimidad como medida de la privacidad.
42 ver sentencia del tribunal constitucional 37/2011, de 28 de marzo de 2011; sentencia del tribunal supremo de 12 de enero de 2001, sala de lo civil.
43 ver de asís, r., sobre discapacidad y derechos, dykinson, madrid 2013.
44 ver real decreto 1971/1999, de 23 de diciembre, de procedimiento para el reconocimiento, declaración y calificación del grado de minusvalía.
45 a mayor abundamiento, conviene recordar que el criterio de edad avanzada es uno de los que se utilizan para saber si una persona puede considerarse vulnerable en el ámbito del derecho penal. sobre el tema ver perianes lozano, a. y alia ramos, m.j. “medidas jurídicas de prevención y protección” en personas mayores vulnerables: maltrato y abuso directores c. ganzenmuller y carmen sanchez carazo, consejo general de poder judicial, centro de documentación judicial, 2009, disponible en: https://www.cermi.es/sites/default/files/docs/colecciones/personasmayor… .
46 sobre el diseño universal y los ajustes ver la sentencia del tribunal constitucional 3/2018 de 22 de enero.
47 ver barranco, m.c., cuenca, p. y ramiro, m.a., “capacidad jurídica y discapacidad: el artículo 12 de la convención de derechos de las personas con discapacidad”, en anuario de la facultad de derecho, universidad de alcala, v, 2012, pp. 53 y ss.
48san segundo manuel, t., “como se detecta el maltrato” en personas mayores vulnerables: maltrato y abuso, cit. disponible en https://www.cermi.es/sites/default/files/docs/colecciones/personasmayor…;