17 noviembre 2017

La economía colaborativa y el nuevo Reglamento. ¿Qué ocurre con mis datos?

En los últimos tiempos, el avance de la designada economía colaborativa ha comportado un auge de las denominadas startups a lo largo de toda Europa, y muy concretamente en nuestro país, en ciudades como Barcelona y Madrid. Adyacente a ello, ha venido acompañado un auge de fluctuación masiva de datos personales, que fluyen a la velocidad de vértigo de una manera global y virtual, sin dar tiempo a su propietario de amparar su privacidad. Pero ¿cuál es el papel del nuevo Reglamento de Protección de Datos en dicho contexto?

1.Economía colaborativa: concepto y evolución.

En la actualidad, cada vez hay más compañías que utilizan la sociedad de la información como medio para alcanzar sus metas. La Revolución Tecnológica supone para el siglo XXI lo que la Revolución Industrial comportó en la segunda mitad del siglo XVIII. De ambas se puede decir que existe un denominador común, las dos nacen siendo: “un proceso de transformación económica, social y tecnológica[1]

Desde el ámbito privado hasta el ámbito corporativo, el uso de las nuevas tecnologías se ha hecho indispensable a lo largo de nuestras vidas. Pero ¿qué conlleva con ello? En una sola palabra: Globalización. Lo que antes estaba lejos ahora está cerca, lo que antes podíamos vender en nuestro vecindario ahora se vende en la otra punta del mundo, con tan sólo un abrir y cerrar de ojos,  con tan sólo un click.

En los últimos años hemos visto aparecer alrededor de la sociedad de la información nuevos conceptos. Entre ellos debemos destacar el término de economía colaborativa. Pero, ¿de qué se trata?  Tal y cómo dice Eduardo López-Román en su artículo “Economía colaborativa, competencia y mercado único[2], se entiende por economía colaborativa “aquellos negocios basados en el uso de la TIC[3] cuyas plataformas permiten que comunidades de usuarios participen de la forma activa y masiva con la finalidad de disponer y compartir ciertos servicios o bienes”.

Así bien, muchas de estas plataformas tienen su origen en startups, una idea de empresa que nació en la costa oeste de los Estados Unidos pero que desde hace poco inunda Europa y sí, como uno se imagina, ha venido para quedarse. Tanto es así que, según European Digital City Index[4], en los últimos datos de 2016, Barcelona y Madrid se encuentran dentro de las 15 primeras ciudades, tanto en creación de startups (9º y 14º puesto) como en crecimiento empresarial (13º y 14º puesto respectivamente)[5],  tan sólo por detrás de grandes ciudades, como Londres, Estocolmo, Berlín o Ámsterdam, entre otras.

Con la aparición de las nuevas tecnologías, la información ha pasado a ser el oro del siglo XXI, y por consecuencia el primer activo de toda empresa, sin información no hay negocio.

Pero, ¿qué ocurre con nuestros datos? ¿Qué pasa con aquellas empresas que se encuentran fuera de Europa? De todos es sabido que muchas de ellas, entre otras Facebook, Whatsapp o Instagram, venden parte de nuestros datos sin nuestro consentimiento a terceros, y de ello sacan buena parte de sus ganancias. Pero, ¿cuánto valen nuestros datos? ¿Cuánto vale nuestra privacidad?

Facebook, sin ir más lejos, fue multada en septiembre de 2017 por la Agencia Española de Protección de Datos (AEPD)[6], con una multa de 1,2 millones de euros por usar información de sus usuarios con fines comerciales, sin el conocimiento y consentimiento de éstos. Con el nuevo Reglamento de Protección de Datos en la mano, dicha multa habría llegado a los 20 millones de euros o el 4% de la cifra del volumen de negocio global, optándose por la mayor cuantía. Es por tanto que la nueva economía global, y con ella la economía colaborativa, debe andarse con ojo. A partir del 2018 no todo vale con nuestros datos. Esto es sólo un aviso.

Pero aún así, ¿cómo podemos mantener un control sobre nuestros datos,  y por consecuencia sobre nuestra privacidad? ¿Qué mecanismos pone a nuestra disposición el nuevo reglamento de protección de datos de la Unión Europea, enfrente a estos?

2.El nuevo Reglamento y la economía colaborativa

Como bien sabemos todos, en 2016 entró en vigor el nuevo REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD)[7], el cual tiene plena eficacia a partir del 25 de mayo de 2018.

Dicho reglamento tiene como objeto, en su artículo 1.1, “establecer las normas relativas a la protección de personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos”. Asimismo sólo se aplica al tratamiento “total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero”[8] siempre y cuando no se indique expresamente en el segundo apartado del artículo 2 RGPD; y sin perjuicio de la aplicación de la Directiva 2000/31/CE en relación con la responsabilidad de prestadores de servicios intermediarios[9] [10].  Pero, ¿qué tiene que ver esto con el tratamiento de mis datos personales? Pues bien, mucho.

El presente Reglamento nace con el objeto de armonizar y homogenizar todas las legislaciones de la Unión Europea en relación con la protección de datos. Se pretende que en todo su ámbito territorial, a partir de mayo de 2018, se apliquen las mismas medidas y garantías para la protección de todos nuestros datos personales, eso sí, siempre y cuando el tratamiento de dichos datos cumpla los siguientes requisitos en relación a su actividad:

  • Que dicha actividad se encuentre en un establecimiento del responsable o del encargado en la Unión Europea, independientemente de donde se realiza este tratamiento, si dentro o fuera de la UE (ejemplo: una mediana empresa con sede en uno de los estados miembros la UE).
  • Que aun cuando el responsable o encargado de tratamiento de los datos del interesado no esté establecido en la UE, dicha actividad se encuentre en relación con:
  • Ofertas de bienes o servicios a dichos interesados en la UE.
  • Cuando el control de comportamiento tenga lugar en la UE.

Un ejemplo familiar sería Facebook o Whatsapp.

  • Que aun cuando el responsable de dicha actividad no esté establecido en la UE, a éste se le aplique el derecho de la UE en virtud del Derecho Internacional Público[11]. Como pueden ser el caso de Noruega, Islandia o Liechtenstein, por ejemplo[12].

Dichos requisitos, conjuntamente con el advenimiento de nuevos derechos en el RGPD, como el derecho a la limitación de tratamiento, el derecho a la portabilidad de los datos u el derecho a no ser objeto de decisiones individualizadas[13] que se añaden a los tradicionalmente conocidos como derechos ARCO, buscan por parte de los estados miembros que el interesado tenga un mayor control y protección sobre sus datos, y por tanto, de su privacidad.

3.La económica colaborativa y el tratamiento de mis datos personales

Como se ha comentado con anterioridad, el uso de la economía colaborativa se ha convertido en algo habitual en nuestras vidas cotidianas así, en un mismo día, podemos utilizar Skype tanto en nuestra vida familiar como corporativa, Facebook y/o Instagram para nuestros hobbies, WhatsApp para comunicarnos con nuestros amigos y familia, comer algo mediante Deliveroo o bien comprar ese libro o esos zapatos que tanto nos gustan a través de Amazon o Zalando. Sin darnos cuenta, a lo largo del día aportamos una cantidad de millones de data a la red, que nos describe tal cual somos sin decir nada.

Junto con estos datos que nosotros aportamos de manera directa (nombre, datos bancarios…) hay otros que emanan de forma indirecta, gracias en parte, al uso de las cookies[14].  Del mismo modo que la tecnología nos aporta facilidad, esta nos comporta nuevos riesgos día a día a nuestras vidas. Desde el uso de correo electrónico hasta el uso del cloud para almacenar nuestra información, nos encontramos con nuevas amenazas y riesgos, un día sí y otro también. Palabras como leaks, malwares, phishing o ciberataques[15] se han convertido sin quererlo en algo habitual para nosotros, pero lo peor, una amenaza directa para nuestra información. Pero ¿cómo podemos controlar el uso que se hace de nuestra información por la llamada economía colaborativa?

Para ello, en mi opinión, sin entrar al detalle y en grandes rasgos:

  1. Debemos diferenciar entre el concepto de derecho de portabilidad de datos (artículo 20 RGPD). El cual establece:

Artículo 20. Derecho a la portabilidad de los datos.

  1. El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, cuando:
  2. a) el tratamiento esté basado en el consentimiento con arreglo al artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), o en un contrato con arreglo al artículo 6, apartado 1, letra b), y
  3. b) el tratamiento se efectúe por medios automatizados.
  4. Al ejercer su derecho a la portabilidad de los datos de acuerdo con el apartado 1, el interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.
  5. El ejercicio del derecho mencionado en el apartado 1 del presente artículo se entenderá sin perjuicio del artículo 17. Tal derecho no se aplicará al tratamiento que sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
  6. El derecho mencionado en el apartado 1 no afectará negativamente a los derechos y libertades de otros

Y el de transferencia de datos personales a terceros países u organizaciones internacionales (artículo 44 y ss. RGPD):

Artículo 44. Principio general de las transferencias

Solo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, a reserva de las demás disposiciones del presente Reglamento, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional. Todas las disposiciones del presente capítulo se aplicarán a fin de asegurar que el nivel de protección de las personas físicas garantizado por el presente Reglamento no se vea menoscabado.”

A excepción, éste último,  de lo que estipula el artículo 49 del RGPD.

  1. Así mismo, además de discernir entre ambos conceptos, debemos contemplar las diferentes situaciones que nos otorga de manera directa o indirecta el RGPD, atendiendo, en mi opinión, a través de dónde se realiza la portabilidad o transferencia de datos del interesado. A este respecto podemos diferenciar:
  • Ésta se produce entre diferentes compañías[16], pero ambas sitas dentro de la UE. En dicho caso se aplica lo que estipula básicamente el RGPD, en armonía con lo que establezca la legislación interna de cada país en relación a protección de datos.
  • Ésta se produce dentro del mismo grupo empresarial pero en sedes diferentes, independientemente que ambas, estén dentro de la UE o el establecimiento principal se encuentre en la UE y el secundario fuera. En dicho caso deberemos prestar atención a la legislación interna de cada país, como lo establecido en el nuevo RGPD en relación a portabilidad de datos y la transferencia de datos a terceros países, y más concretamente, a lo estipulado en su artículo 47 (Binding Corporate Rules– Normas corporativas vinculantes)[17], sin olvidar en ningún caso si existen clausulas contractuales.

Pero, ¿qué se entiende por Binding Corporate Rules[18]? Según la Comunidad Europea (CE) son aquellas normas internas adoptadas por un grupo multinacional, similares a un código de conducta, las cuales definen una política global en relación a la transferencia de datos personales dentro de un mismo grupo corporativo pero ubicado en diferentes países. Con ello se inquiere que toda información transferida a otro centro de la misma corporación, tenga el mismo nivel de protección.

  • Por último, ésta se produce entre una compañía sita en la UE y otra en un país fuera de la UE. Un claro ejemplo es la transferencia de datos entre Europa y los EEUU, donde residen las principales plataformas de la denominada economía colaborativa. Pero ¿qué ocurre con ellas y nuestros datos?

Como se ha mencionado con anterioridad, son muchas las empresas que tienen sus headquarters en los EEUU, casos como Facebook[19] o Whatsapp[20] lo estipulan en su política de privacidad. ¿Cómo podemos controlar nuestros datos desde Europa? ¿Cómo aplican sus políticas de privacidad y cuáles son las consecuencias para el interesado? Si no lo habéis leído nunca os invito a leerlas, os sorprenderán.

Para transferir información entre Europa y EEUU caben diferentes herramientas, desde clausulas contractuales, hasta BCR, o lo que se denomina Privacy Shields (en substitución del Safe harbour).

Privacy Shields es un acuerdo/garantía creado por EEUU y Europa, en concordancia con el nuevo RGPD, por el cual empresas de EEUU se adhieren[21] voluntariamente a estos a través del Departamento de Comercio de los EEUU, en orden de cumplir con la legislación en materia de protección de datos con empresas sitas en Europa. Tales acuerdos entraron en vigor en verano de 2016, y tienen como objetivo valerse de más transparencia, afianzar una protección de más alto nivel, así como facilitar la resolución de quejas por parte del interesado ante empresas americanas, con un período de 45 días para las reclamaciones que hagan un mal uso de los datos y 90 días para interponer denuncia ante la autoridad local de protección de datos, con independencia de que el sujeto sea europeo o no.

Por encima de todo, y ante todas y cada una de las situaciones expuestas anteriormente, debe prevalecer el deber de cumplir las medidas pertinentes en concepto de garantías y seguridad para proteger dichos datos.

Ante una vulneración de los derechos del interesado sujeto a materia de protección de datos, el nuevo RGPD estipula en sus artículos 82, 83 y 84 una serie de indemnizaciones, multas y sanciones llegando a ser estas hasta “20 millones de euros, como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la mayor cuantía.”

4.Conclusiones

Como se ha relatado a lo largo de este articulo, son muchas las nuevas empresas que están creciendo entorno al uso de la sociedad de la información, en el ámbito de la denominada economía colaborativa. Es por ello que, para protegernos de “la gallina de los huevos de oro”, la información, resurge el nuevo Reglamento General de Protección de Datos, con la voluntad de otorgar más protección y más mecanismos, dentro y fuera de la Unión Europea, para proteger a sus ciudadanos europeos y no europeos, pero también a su economía. Ahora bien es obligación y deber de los estados miembros, las empresas, como de los ciudadanos, poner la primera piedra y velar por un uso responsable de nuestros datos y de nuestra privacidad. Y ¿ahora qué? ¡¿Empezamos?!

Àngela Lleixà Alsina

ICT Lawyer- International Consultant

Asociada ENATIC

@ngelalleixa

https://es.linkedin.com/in/angelalleixaialsina

_______________________________________________________________________________________________________________________________

[1] Véase, Wikipedia, Revolución Industrial https://es.wikipedia.org/wiki/Revoluci%C3%B3n_Industrial

[2] Véase, Diario  La Ley, nº 8691, Sección Tribuna, 28 de Enero de 2016, Ref.  D-45, Editorial  LA LEY.

[3] Entiéndase TIC  como “tecnología de la información y la comunicación”.

[4] Véase, https://digitalcityindex.eu

[5] En dicha lista también se encuentra Valencia en el puesto 42 en creación de startups y el puesto 47 en crecimiento de startups.

[6] Véase, http://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2017/notas_prensa/news/2017_09_11-ides-idphp.php

[7]Véase,http://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/union_europea/reglamentos/common/pdfs/Reglamento_UE_2016-679_Proteccion_datos_DOUE.pdf

[8] Véase, Artículo 2.1 del RGPD.

[9] Véase, Artículo 2.4 del RGPD.

[10] Tal y como establece el art 2.3 del RGPD, el Reglamento (CE) nº 45/2001 es de aplicación al tratamiento de datos de carácter personal por parte de las instituciones, órganos y organismos de la Unión. Éste se debe adaptar a los principios y normas del RGPD de conformidad con el artículo  98.

[11] Véase, Artículo 3 del RGPD.

[12]  Véase, http://ec.europa.eu/justice/data-protection/international-transfers/index_en.htm

[13] Véase, Capítulo III, Derechos de los interesados, articulo 12 y ss. Del RGPD.

Juntamente con la AEPD https://www.agpd.es/blog/que-derechos-tendre-cuando-se-aplique-el-nuevo-reglamento-ides-idPhp.php

[14]  Se entiende por cookies “una pequeña información enviada por un sitio web y almacenado en el navegador del usuario, de manera que el sitio web puede consultar la actividad previa del usuario. Sus principales funciones son: llevar el control de usuarios y conseguir información sobre los hábitos de navegación del usuarios”, definición extraída de Wikipedia https://es.wikipedia.org/wiki/Cookie_(inform%C3%A1tica)

[15] Véase, Lleixà Alsina, Angela, “La evidencia digital ante riesgos y amenazas en el Cloud Computing. ¿Cómo afecta a mi empresa?”, especial sobre el cloud computing. La revista  el Jurista, junio 2015. http://www.eljurista.eu/2015/06/02/la-evidencia-digital-ante-riesgos-y-amenazas-en-el-cloud-computing-como-afecta-a-mi-empresa

[16]  Se entiende este concepto como individuos, tanto particular como empresa.

[17]  Véase, http://ec.europa.eu/justice/data-protection/international-transfers/binding-corporate-rules/index_en.htm

[18] Información extraída en  http://ec.europa.eu/justice/data-protection/international-transfers/binding-corporate-rules/index_en.htm

[19] Véase, https://www.facebook.com/privacy/explanation

[20] Véase, https://www.whatsapp.com/legal/?l=es#privacy-policy

[21] Para comprobar si una empresa se ha adherido el departamento de Comercio de los EEUU ha habilitado una website. Véase,  https://www.privacyshield.gov/welcome

Comparte: