(Madrid, 21 de enero de 2021). La Agencia Española de Protección de Datos ha lanzado el Pacto Digital para la Protección de las Personas, una iniciativa que forma parte del Marco de Responsabilidad Social y Sostenibilidad de la Agencia y que promueve un gran acuerdo por la convivencia en el ámbito digital. Su objetivo es tanto fomentar el compromiso con la privacidad en los modelos de negocio de empresas y organizaciones, compatibilizando el derecho a la protección de datos con la innovación, la ética y la competitividad empresarial, como concienciar a los ciudadanos, y en especial a los menores, de las consecuencias de difundir contenidos sensibles en Internet.

El desarrollo del proyecto ha contado con la colaboración de las principales organizaciones empresariales, fundaciones, asociaciones de medios de comunicación y grupos audiovisuales, que lo han ratificado adhiriéndose al Pacto. A través de esta adhesión, las entidades se han comprometido a implantar los principios y recomendaciones recogidas en el mismo, así como a difundir entre su personal trabajador, clientes y personas usuarias el Canal prioritario para solicitar la eliminación urgente de contenidos sexuales y violentos difundidos sin consentimiento en internet, y otros recursos y herramientas de la AEPD para ayudar a la concienciación sobre el valor de la privacidad y la importancia del tratamiento de los datos personales.

El Pacto Digital para la Protección de las Personas promueve la privacidad como un activo para organizaciones. Con él la Agencia pretende concienciar de que junto a un derecho puede existir también una obligación. Para ello, es necesario que todos los actores implicados en el ámbito digital, los ciudadanos y las organizaciones, sean conscientes de las consecuencias que puede suponer en la vida de la persona afectada la difusión de contenidos especialmente sensibles y también las responsabilidades en que pueden incurrir aquellos que los difunden (civiles, penales y administrativas).

Entre los principios del Pacto también se encuentra impulsar la transparencia para que los ciudadanos conozcan qué datos se están recabando y para qué se emplean, promover la igualdad de género y la protección de la infancia y las personas en situación de vulnerabilidad, o promover la innovación garantizando que las nuevas tecnologías eviten perpetuar sesgos o aumentar las desigualdades existentes, evitando la discriminación algorítmica por razón de raza, procedencia, creencia, religión o sexo, entre otras.

Documentos que componen el Pacto

El Pacto está compuesto por tres documentos: la carta de adhesión, el compromiso por la responsabilidad en el ámbito digital y el Decálogo de buenas prácticas en privacidad para medios de comunicación y organizaciones con canales de difusión propios.

Mediante la Carta de adhesión, la entidad firmante se compromete a implantar en su organización los principios y recomendaciones contempladas en el Pacto y, como compromiso adicional, a difundir el Canal prioritario y otros recursos y herramientas que la AEPD ha lanzado para ayudar a la sensibilización sobre el valor de la privacidad y la importancia del tratamiento de los datos personales, también en el entorno laboral.

El Compromiso por la responsabilidad en el ámbito digital contiene las obligaciones de las organizaciones. Este compromiso no pretende que las organizaciones adheridas asuman más obligaciones de las que legalmente le corresponden, sino precisar un compromiso específico y ajustado al ámbito digital. Además, el documento enumera las responsabilidades, especialmente ante las conductas relacionadas con la llamada violencia digital, e incorpora algunos principios que, desde la perspectiva de la ética y la protección de datos, la llamada ética digital, deberían tenerse en cuenta a la hora de diseñar e implantar los nuevos desarrollos tecnológicos, que no pueden implementarse sin tener en cuenta los derechos fundamentales de los ciudadanos.

Por último, el Pacto integra un Decálogo de buenas prácticas en privacidad para medios de comunicación y organizaciones con canales de difusión propios, con el que la Agencia quiere promover la lucha contra la violencia digital tanto entre los medios de comunicación como con todas aquellas organizaciones que disponen de canales de difusión para informar sobre temas de interés para sus públicos. Entre los puntos del decálogo, que todas las entidades firmantes se han comprometido a respetar, se incluye que los adheridos se abstendrán de identificar a las víctimas de la difusión de contenidos sensibles o de publicar información de la que, con carácter general, pudiera inferirse su identidad cuando se trate de personas sin relevancia pública. Asimismo, también recoge que cuando los firmantes del Pacto ofrezcan información sobre difusión digital de este tipo de contenidos evitarán la repetición sistemática de imágenes y tratarán de advertir, en la medida de sus posibilidades, sobre la responsabilidad disciplinaria, civil, penal y administrativa que podrían acarrear la difusión de este tipo de contenidos, así como a informar de que se puede denunciar esa difusión en el Canal prioritario de la AEPD.

Foro de Privacidad, Innovación y Sostenibilidad

El Pacto Digital para la Protección de las Personas contará con una presentación pública en un evento que llevará por título I Foro de Privacidad, Innovación y Sostenibilidad, una iniciativa que cuenta con la Presidencia de Honor de SSMM los Reyes y que se celebrará el próximo 28 de enero con ocasión del Día Internacional de la Protección de Datos. El Foro, que se retransmitirá por streaming, contará con la participación del Ministro de Justicia, Juan Carlos Campo; la Fiscal General del Estado, Dolores Delgado, y los representantes de las asociaciones empresariales y de medios de comunicación más relevantes del país.

Asimismo, el Pacto Digital para la Protección de las Personas está abierto a todas aquellas organizaciones que quieran asumir los compromisos reflejados en la carta de adhesión, por lo que, además de las entidades que lo han suscrito inicialmente, a partir del 28 de enero se habilitará un formulario para que puedan adherirse todas aquellas entidades que quieran comprometerse de forma pública con sus principios.

Listado de entidades adheridas a la iniciativa

• Asociación de Directivos de Relaciones Laborales (ADIRELAB)
• Asociación de Medios de Información (AMI)
• Asociación Española de Banca (AEB)
• Asociación Española de Compliance (ASCOM)
• Asociación Española de Fundaciones (AEF)
• Asociación Española de la Economía Digital (ADIGITAL)
• Asociación para el Fomento de la Seguridad de la Información (ISMS Forum)
• Asociación Española para la Digitalización (digitalES)
• Asociación Multisectorial de la Información (ASEDIE)
• Asociación Nacional de grandes Empresas de Distribución (ANGED)
• Asociación para el Progreso de la Dirección (APD)
• Asociación Profesional Española de Privacidad (APEP)
• Atresmedia
• AUTOCONTROL-Asociación para la Autorregulación de la Comunicación Comercial
• Cámara de Comercio de España
• CECA
• Confederación Española de Organizaciones Empresariales (CEOE)
• Confederación Española de la Pequeña y Mediana Empresa (CEPYME)
• Círculo de Empresarios
• Club Abierto de Editores (CLABE)
• Corporación RTVE
• Cruz Roja Española
• ENATIC-Abogacía Digital
• Farmaindustria
• Federación de Asociaciones de Periodistas de España (FAPE)
• Fundación Acción Contra El Hambre
• Fundación ANAR
• Fundación Endesa
• Fundación Alicia Koplowitz
• Fundación Montemadrid
• Fundación Mutua Madrileña
• Fundación Telefónica
• Fundación Tomillo
• Fundación Unicef
• Fundación Universitaria San Pablo CEU
• IAB Spain
• Mediaset
• Plataforma Del Tercer Sector
• Unión Española de Entidades Aseguradoras y Reaseguradoras (UNESPA)
• Women in a Legal World (WLW)

(Madrid, 19 de noviembre de 2020). La Agencia Española de Protección de Datos (AEPD) ha publicado la Guía Tecnologías y Protección de Datos en Administraciones Públicas, en la que analiza algunas de las tecnologías que están aplicándose en las AAPP, los riesgos inherentes a su uso en lo relativo a la protección de datos personales y las salvaguardas que deben ser implementadas por estas. La Guía examina cookies y otras tecnologías de seguimiento, uso de las redes sociales, cloud computing, big data, inteligencia artificial, blockchain y smart cities. Su contenido se ampliará en versiones sucesivas, extendiéndolo a otras tecnologías específicas.

Los servicios implementados en las AAPP están guiados por el servicio público, si bien el tratamiento de datos personales que realizan tiene un riesgo característico derivado de la cantidad de datos recogidos, el volumen de personas afectadas, la imposibilidad de oponerse al tratamiento en muchos casos y el desequilibrio existente entre Administración y ciudadanía. Las AAPP, como entidades responsables del tratamiento de los datos de los ciudadanía, antes de poner en marcha nuevas actividades de tratamiento o modificar servicios ya prestados, deben identificar los riesgos a los que puede estar expuesto el tratamiento y adoptar las medidas técnicas y organizativas que permitan eliminar o al menos mitigar los daños que pudieran derivarse del mismo para los derechos y libertades de las personas.

En cuanto al cloud computing, con sus indudables ventajas, presenta riesgos como la privacidad de la información almacenada, la continuidad de los servicios, los cambios legales y la pérdida de control de la infraestructura y las aplicaciones utilizadas. En el caso de las AAPP, por el volumen y la sensibilidad de los datos que gestionan, estos riesgos deben ser objeto de un riguroso análisis. No es improbable que en los servicios en la nube se produzcan brechas de seguridad que pongan en peligro la disponibilidad, la integridad o la confidencialidad de los datos personales, con consecuencias para los derechos y libertades de las personas físicas. Un ciberataque, un mal funcionamiento del sistema o un error humano pueden poner en peligro los datos de la ciudadanía. La gestión del riesgo de seguridad de la información no recae de forma exclusiva en la empresa proveedora del servicio que actúa como encargada de tratamiento, sino que corresponde a la Administración determinar las medidas de seguridad que debe de exigir al encargado y que, obligatoriamente, han de quedar reflejadas de forma contractual.

Por otro lado, en la fase de diseño de los tratamientos de Big Data hay que analizar de forma objetiva qué cantidad de datos es necesaria y suficiente, ajustarse al principio de minimización de datos y no adoptar estrategias en las que se recurre a recoger la máxima cantidad posible de datos. La Guía recoge que este problema se puede ver acentuado en el caso de recopilación masiva de datos soportada por sensores en contextos de tratamiento, como los realizados en las Smart Cities. El tratamiento masivo de datos de carácter personal es uno de los supuestos para los que el RGPD exige una evaluación del riesgo, requiriendo la realización de una evaluación de impacto relativa a la protección de datos y, en función del resultado obtenido, de una consulta previa a la Autoridad de Control.

Además, el documento alerta del enriquecimiento de la información de una misma persona con datos de distintas fuentes, lo que puede derivar en nuevas conexiones o matices de su personalidad que por separado no se habrían manifestado. “Es posible incluso que, al cruzar varias fuentes de datos que supuestamente eran anónimas, por agregación de datos, se revele la identidad de personas concretas”, añade. La Agencia recomienda medir, evaluar y gestionar los riesgos de reidentificación, tomando las medidas necesarias para reducir la probabilidad de esa reidentificación, con consecuencias de gran impacto en caso de categorías especiales de datos como los datos médicos, de menores o de personas en condiciones de especial vulnerabilidad.

Parte de estos riesgos también se aplican a las smart cities: “incluso cuando se recogen datos inicialmente anonimizados, la extensión, frecuencia, combinación y enriquecimiento de datos pueden resultar en una reidentificación de las personas”. La Agencia aconseja tomar medidas para mitigar ese riesgo como aplicar técnicas de privacidad diferencial o el empleo de estrategias de agregación de información para evitar correlaciones, a la vez que señala que la instalación de sensores de forma masiva incrementa la probabilidad de que se produzcan fallos de seguridad que también pueden provenir de ataques intencionados. Por tanto, la Agencia recomienda prestar atención al análisis de riesgos de seguridad desde el punto de vista de protección de datos, de forma que ofrezca “las máximas garantías para que no se puedan producir accesos no autorizados que permitan monitorizar a las personas de forma individual o dar lugar un filtrado masivo de datos personales”.

Las personas destinatarias de esta Guía son principalmente las personas Delegadas de Protección de Datos de las AAPP y las empleadas y empleados públicos encargados de promover, gestionar y utilizar estas tecnologías en la Administración, aunque también puede ser útil a empresas que trabajen como encargadas de tratamiento o desarrolladoras de aplicaciones para las AAPP, así como a la propia ciudadanía, para entender cómo les afectan estas tecnologías en los servicios que les presta la Administración.

Guías específicas para ampliar información

Este documento tiene el propósito de exponer algunos aspectos característicos de estas tecnologías con relación a la protección de datos cuando son empleadas por las AA.PP. y que vienen a complementar lo ya establecido en el RGPD, la normativa nacional y sectorial y las guías específicas ya publicadas como la Guía y listado de Cumplimento Normativo, Guía de protección de datos y Administración Local, Código de buenas prácticas en proyectos Big Data, Guía para clientes que contraten servicios de Cloud Computing, Guía sobre el uso de Cookies, Guía de adecuación al RGPD de los tratamientos que incorporen IA, Guía de Privacidad desde el Diseño, Guía de Protección de Datos por Defecto, Guía práctica para el Análisis de Riesgos y Guía práctica para la realización de Evaluaciones de Impacto en protección de datos o Guía para la gestión de las Brechas de Seguridad.