#DatosPorLiebre – Propuestas de XNet sobre Privacidad, Protección de Datos y Abusos Institucionalizados

DATOS POR LIEBRE*

Por Xnet

Transparencia para las instituciones, privacidad para las personas
Reformas de las políticas de datos para corregir la asimetría y desprotección de las personas frente a las instituciones

Primera versión Beta y abierta a enmiendas ciudadanas recogidas en: contact@xnet-x.net

 

ÍNDICE

INTRODUCCIÓN


MODO DE USO: CÓMO ACTUAR EN LA VIDA REAL UTILIZANDO LO QUE EXPLICAMOS EN #DATOSPORLIEBRE

1 – ABUSO DE IDENTIFICACIÓN POR PARTE DE LAS INSTITUCIONES vs MINIMIZACIÓN DE DATOS DESDE EL DISEÑO Y POR DEFECTO

2 – DERECHO A GRABAR ABUSOS PARA SU DENÚNCIA PÚBLICA Y POLÍTICAS DE PROTECCIÓN DE DATOS

3 – LA MANCADA TRANSPOSICIÓN DEL ARTÍCULO 85 EN ESPAÑA – LA DESPROTECCIÓN DE LA LIBERTAD DE INFORMACIÓN EN LA LEY ORGÁNICA DE PROTECCIÓN DE DATOS

4 – ABUSOS EN EL ÁMBITO ELECTORAL (FUTURA ENTREGA)

5 – ABUSOS EN EL ÁMBITO LABORAL (FUTURA ENTREGA)
 

De cada apartado el presente informe aporta:

– RECOMENDACIONES

    – QUÉ PIDE XNET A LA Y AL LEGISLADOR
    – RECOMENDACIONES DE BUENAS PRÁCTICAS PARA LAS INSTITUCIONES Y EMPRESAS SISTÉMICAS ANTES Y DESPUÉS DE LA MODIFICACIÓN LEGISLATIVA

– ENMIENDAS DE LEY
 

En anexo por cada apartado:

– ANÁLISIS DEL DESARROLLO LEGISLATIVO
(Excepción: en la parte 1 este apartado va en el cuerpo principal, no en anexo)

– ANÁLISIS DE LA JURISPRUDENCIA Y RESOLUCIONES RELEVANTES NACIONALES E INTERNACIONALES

– LISTADO DE LEGISLACIONES Y ARTÍCULOS RELEVANTES

 


INTRODUCCIÓN

El derecho a la protección de datos personales es un derecho fundamental relacionado con la privacidad que garantiza a la persona el control sobre sus datos, sobre su uso y destino. En pocas palabras, hablar de datos es hablar de control; es preguntarse sobre quién puede saber quiénes somos, dónde vivimos, qué hacemos durante el día y durante la noche; qué gustos, convicciones, vicios, placeres, dolores tenemos, etc. Es un derecho que debería ser respetado tanto por parte de organismos públicos como privados.
Se ha hablado mucho de los abusos con los datos personales por parte de Facebook y otras compañías privadas, pero en cambio, se han comentado poco los incumplimientos por parte de Administraciones públicas o instituciones, las políticas que socavan la privacidad del conjunto de la ciudadanía, los pequeños (o grandes) abusos cotidianos a los que se somete a las personas.

En este contexto, en Xnet venimos denunciado desde hace tiempo un uso perverso de la «protección de datos»(1): en muchas ocasiones se utiliza la protección de datos como excusa tanto para esconder y proteger la corrupción como para tapar malas prácticas o inercias, incompetencias o abusos institucionales.

El Reglamento Europeo de Protección de Datos (conocido por las siglas RGPD), cuya entrada en aplicación ha culminado en mayo de 2018, que todos recordamos por los infinitos mensajes de consentimiento que hemos empezado a recibir desde entonces, ha sido en realidad el resultado de más de una década de lucha de la sociedad civil organizada para que se garanticen los derechos a la privacidad de las personas y se actualicen al entorno digital(2). La más beligerante ha sido la sociedad civil alemana que sabe lo que significa que los poderes establecidos tengan todos tus datos; sufrió a mano de la Stasi la más grande operación de vigilancia y recolección de datos personales jamás conocida en época predigital.

Con el RGPD conseguimos poner un primer freno -mejorable, pero firme- a los intereses corporativos o del Estado de control en la explotación del nuevo oro que son nuestros datos personales.

Pero es solo la primera piedra. Debemos seguir. Debemos utilizar esta primera e importante victoria para afianzar la lucha por nuestra privacidad y al mismo tiempo para que no sea excusa ni refugio para malas prácticas ni para impedir el derecho a la información y la denuncia de abusos.

Como herramienta para conseguirlo, Xnet presentamos el presente informe. Son 170 páginas que quieren explicar qué flancos están descubiertos y qué debemos hacer para protegerlos.

Se compone de 5 partes de las que ahora publicamos las primeras tres.

    1 – ABUSO DE IDENTIFICACIÓN POR PARTE DE LAS INSTITUCIONES vs MINIMIZACIÓN DE DATOS DESDE EL DISEÑO Y POR DEFECTO

    2 – DERECHO A GRABAR ABUSOS PARA SU DENÚNCIA PÚBLICA Y POLÍTICAS DE PROTECCIÓN DE DATOS

    3 – LA MANCADA TRANSPOSICIÓN DEL ARTÍCULO 85 EN ESPAÑA – LA DESPROTECCIÓN DE LA LIBERTAD DE INFORMACIÓN EN LA LEY ORGÁNICA DE PROTECCIÓN DE DATOS

    4 – ABUSOS EN EL ÁMBITO ELECTORAL (FUTURA ENTREGA)

    5 – ABUSOS EN EL ÁMBITO LABORAL (FUTURA ENTREGA)

Cada una de estas partes va acompañada de propuestas jurídico-legislativas para cambiar la situación. Cada una de estas entregas implica pedir al o a los Gobiernos, al Congreso o a los Parlamentos y a los órganos competentes cambios en la legislación o en las políticas necesarios para que la ley de protección de datos sirva para proteger la privacidad de la ciudadanía y no para garantizar la impunidad de los poderosos.

Publicamos estas medidas abiertas a comentarios y enmiendas para que fueran mejoradas. Ahora están listas para ser reclamadas hasta conseguirlas.

En todo este trabajo hay tres hilos conductores fundamentales:

    • El primero es una fuerza que nos da el RGPD. Es el principio de minimización. Nadie nos debe pedir o sonsacar más datos de los necesarios. Debemos saber que podemos ampararnos con fuerza en este principio. A día de hoy pedir a qué hora abre una ventanilla o llamar a una empresa de suministros para saber las tarifas requiere que te identifiques, por no hablar de cuando se pide información más compleja para destapar abusos o injusticias. Esto tiene que acabar.

    • El segundo hilo conductor es una debilidad del RGPD. Permite que se nos pidan todo tipo de datos personales alegando “intereses legítimos”. Los países como el nuestro que no han delimitado cuáles son estos “intereses legítimos” ni piden que afloren y se detallen para poder ser puestos en discusión, abren la puerta a todo tipo de arbitrariedades y abusos. Esta fórmula se utiliza cuando no se dispone de base jurídica sólida o suficientemente justificada. Por respeto a los derechos, libertades e intereses de las personas no debería ser posible escudarse en extremos que sirven de cajón de sastre y que acaban invalidado el espíritu de la normativa. Los “intereses legítimos” que considere esta o aquella empresa o institución, no deben primar por encima de los derechos e intereses de las personas. Queremos que se garantice el principio de privacidad desde el diseño y por defecto.

    • Por último, la protección de datos no puede ser excusa para limitar el derecho a la información y la lucha contra la corrupción y los abusos: desde los discos duros del PP que podían ser prueba de un posible caso de corrupción y que destruyeron alegando protección de datos(3), a la votación que se perdió para la publicación de hoja de servicio de Billy el Niño porque quien votó en contra lo hizo eximiendo protección de datos(4), nos encontramos esta “motivación” una y otra vez. Para los periodistas y los activistas contra la corrupción, estas escusas son los muros que nos encontramos a diario.

 

RESUMEN DEL CONTENIDO

    Parte 1 – Abuso de identificación por parte de las instituciones vs minimización de datos desde el diseño y por defecto

En España existe una tendencia abusiva a pedir más datos de los necesarios cuando alguien lleva a cabo una simple petición a cualquier institución, algo que la aprobación en 2015 de la Ley de Procedimiento Administrativo e incluso la Ley de Transparencia agravan al establecer la verificación de la identidad de las y los interesados como obligatoria. Esto se debe a que, por defecto, toda relación entre ciudadanía y administración se considera “trámite administrativo”, y eso incluye pedir información que por ley debería ser pública. Bien, por qué no. Si no fuera que “trámite administrativo” todavía significa poder, subordinación y jerarquía. El motivo de que esto ocurra no está en la lógica y menos en la lógica ágil de la era digital; tampoco en una idea de demo-cracia actualizada: es la sociedad civil que debe poder vigilar sus instituciones y no al revés.

Así Xnet denuncia que nuestras leyes administrativas colisionan con un principio básico de una Ley superior: el principio de minimización del Reglamento Europeo de Protección de Datos que establece que sólo deben recogerse los datos adecuados, pertinentes y no excesivos de acuerdo con los fines para los que son recogidos, y que se ha de explicar qué datos se recogen y por qué.
Se debe proteger al débil y controlar al fuerte ya que existe una clara asimetría entre los poderes establecidos, que nos pueden vigilar, y la ciudadanía de a pie que debe luchar y exponerse para acceder a información que debería ser suya por democracia (además de porque la pagamos entre todxs). 

Parte de la lucha para una democracia real es la de acabar con esta asimetría. O sea: conquistar el acceso libre y sin amenazas a la información, sin el cual no podemos vigilar y decidir ni luchar contra la corrupción y los abusos, y ponerlo en equilibrio con el derecho a la privacidad, desenmascarando falsas ambigüedades.

     

    Parte 2 – Derecho a grabar abusos para su denuncia pública y políticas de protección de datos

Y aquí la otra cara de la moneda. Si por un lado se nos piden muchos datos, por el otro a los poderes establecidos mucho les cuesta dar los suyos. Es otro clásico: apelar a la protección de datos para sancionar el uso (es decir, divulgación) de información como las grabaciones de funcionarios cometiendo excesos (policías, por ejemplo). Entre 2016 y 2018 se impusieron 113 sanciones en aplicación de la Ley Mordaza que supusieron un total de 70.522 euros contra los afectados. Este marco normativo ha ejercido un poderoso efecto disuasorio para la denuncia de abusos sistémicos. Pero, contrariamente a lo que se cree, el obstáculo más monolítico para grabar y sobre todo para difundir la comisión de abusos institucionales o sistémicos no es solo la Ley mordaza, sino la jurisprudencia de la Ley Orgánica de Protección de Datos.

Pero atención, el diablo está en los detalles: desde Xnet valoramos positivamente todo avance hacia agilizar las denuncias de personas víctimas de la difusión de contenido de carácter privado sin su consentimiento. Xnet apoya la campaña #PuedesPararlo de la Agencia Española de Protección de Datos que fortalece la interpretación de su homólogo europeo al no aplicar la excepción de uso doméstico en estos casos cuando hay viralización (o sea, la información circula de forma que trasciende el ámbito doméstico).

Dicho esto, hay un detalle importante: es necesario diferenciar estos casos de aquellos en los que las grabaciones de las personas se hayan captado en su desempeño de un servicio al público, en lugar público o en actos públicos. En ningún caso podemos equiparar esta situación a la violación de la intimidad. Se ha de recalcar con énfasis que es muy pernicioso para cualquier democracia que se precie utilizar el primer caso – el de vulneración de derechos en la difusión de información íntima – para impedir lo segundo – la libertad de información en el interés público para divulgar abusos.

     

    Parte 3 – La desprotección de la libertad de información en la Ley Orgánica de Protección de Datos

Por todo ello es imprescindible por parte del legislador la correcta transposición del artículo 85 del RGPD que exige la armonización de la privacidad con la libertad de información y de expresión.

Cuando en 2018 se adaptó el ordenamiento jurídico español al RGPD con la Ley Orgánica Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), Xnet intentó sin éxito que se llevara a cabo. La LOPDGDD tiene algunas características embrionarias novedosas y loables respecto a los derechos digitales, pero también numerosas fragilidades, como veremos. Sobre la transposición del artículo 85, la negativa que recibió Xnet por parte del legislador fue que “esto lo resuelven los tribunales”. Los periodistas saben bien que no son pocas las veces que aquellos perjudicados por sus investigaciones pleitean para desgastar a los medios, aunque el caso acabe sobreseyéndose. Ante una querella, un medio se ve obligado a movilizar recursos para defenderse: y eso compromete la investigación periodística, algo de lo que no vamos precisamente sobrados. Peor todavía es la situación de la o el alertador, persona corriente que desvela un abuso (véase: https://xnet-x.net/proposicion-ley-proteccion-integral-alertadores/).

La aproximación de “esto lo resuelven los tribunales” es una aproximación peligrosa y elitista ya que implica que la defensa de la libertad de expresión e información es garantizada solo para quién pueda permitirse pleitear. Preferimos que se establezcan criterios claros para que todo el mundo pueda ejercer sus derechos con seguridad y sin temor a ser sancionado.

La protección de datos es demasiadas veces un pretexto para invalidar pruebas. A parte de los ejemplos patrios anteriormente mencionados, el agravio democrático de no transponer la defensa de la libertad de información en ámbito de la protección de datos se ha hecho de manifiesto en toda su envergadura en la UE, en Rumanía, donde periodistas que investigaban corrupción gubernamental han sido amenazados con una sanción de 20 millones de euros por la Ley de protección de datos (los datos de los presuntos corruptos). Es por todo esto que la Association for Technology and Internet (ApTI) en colaboración con Privacy International y Xnet entre otras organizaciones europeas de defensa de derechos digitales, presentaron una queja ante la Comisión Europea hace un año. En aquella ocasión el portavoz de la Comisión Europea, Margaritis Schinas dijo: “Es sumamente importante que las autoridades de Rumanía implementen esta obligación [art.85] en el derecho nacional para (…) proteger las fuentes periodísticas (…) cuando sea necesario para respetar la libertad de información y expresión de los medios. (…) La protección de datos no puede utilizarse como una puerta trasera para forzar a los periodistas (…)”.

Una pena que la queja, un año después, todavía esté a la espera de respuesta.

     

    Entregas 4 y 5

Xnet ha guardado las últimas dos partes de su informe para publicarlas en próximas entregas. La primera hablará de abusos de los datos en ámbito electoral porque, aparte de los ya conocidos y notorios de la publicidad electoral que recibimos a casa, hay otros. La siguiente nos trasportará al inagotable mundo de los abusos a los trabajadores.

Como Xnet defendemos que la democracia sea entre otras cosas la vigilancia ciudadana sobre sus instituciones. Por esto se debe proteger al débil y controlar al fuerte ya que existe una clara asimetría entre los poderes establecidos y la ciudadanía. 
Consideramos que parte de la lucha para una democracia real es la de acabar con esta asimetría.

Usando el nuevo Reglamento General de Protección de Datos, conquista de la sociedad civil organizada, vamos a empezar diversas acciones para seguir en el camino hacia una mayor y mejor democracia.

Manos a la obra.

 


MODO DE USO:
CÓMO ACTUAR EN LA VIDA REAL UTILIZANDO LO QUE EXPLICAMOS EN #DATOSPORLIEBRE

1.- EXIGE LA MINIMIZACIÓN DE DATOS QUE RECOGEN LAS INSTITUCIONES Y CORPORACIONES

    • Cuando te pidan tus datos personales, tanto mediante un formulario en papel, por Internet o incluso telefónicamente, asegúrate de que los datos que te requieren y que proporcionas son los mínimos indispensables para llevar a cabo el servicio que van a prestarte o la tarea que van a realizar (art. 5.1.c) del Reglamento General de Protección de Datos).

    • Si no es así, tienes derecho a negarte y no pueden no prestarte el servicio por no querer dar más datos de los necesarios (art. 6.3 de la Ley Orgánica 3/2018 de Protección de Datos y garantía de los derechos digitales (5)). Si piden datos que no parecen adecuados y pertinentes de acuerdo con lo anterior y consideras que por ello piden más datos de los necesarios, infórmales de que el principio de minimización del Reglamento Europeo de Protección de Datos dice que no pueden pedirte tantos datos.

    • ATENCIÓN, en el caso de las entidades públicas, la Ley 39/2015 del Procedimiento Administrativo (LPAC), exige acreditar la identidad de quienes realicen cualquier actuación ante las mismas comprobando el DNI o documento equivalente, y en el ámbito digital mediante Cl@ve PIN, Cl@ve Permanente o DNI electrónico. Por lo tanto, ante estas entidades, y hasta que se modifique la ley, se considera “normal” solicitar nombre, apellidos y DNI para la realización de cualquier trámite. Pero nada más. Si te piden más tienes derecho a negarte y no pueden no prestarte el servicio por no querer dar más datos de los necesarios.

 

2.- NO DEJES QUE LA PROTECCIÓN DE DATOS SEA UNA EXCUSA PARA NO DAR INFORMACIÓN QUE DEBE SER PÚBLICA

En caso de que una entidad niegue el acceso a información pública alegando protección de datos, debe tenerse en cuenta que esto no es siempre un motivo válido por el que no deba proporcionarse.
Si la información solicitada contiene datos personales, aun así, la institución podrá proporcionar la información si se disocian o anonimizan los datos de carácter personal, es decir, se impida identificar a las personas que aparecen en la información solicitada.
 

DENUNCIAR LAS MALAS PRÁCTICAS
Si te encuentras en uno de estos casos, avísales de que comunicaras su mal proceder / mala praxis a la AEPD (solo si es sector público, puedes también acudir a la Autoridad autonómica en Cataluña, País Vasco y Andalucía). Para interponer una reclamación puedes hacerlo en los siguientes enlaces y puedes decir que lo haces siguiendo las directrices de Xnet, así será más eficaz, podremos reagrupar consultas para crear precedentes generales y tendrán más claro de qué estás hablando:

Si puedes, envíanos la respuesta que recibes a contact@xnet-x.net
 

___________________________________________________________

(1)
https://blogs.publico.es/otrasmiradas/15834/proteccion-datos-obstaculo-lucha-corrupcion/

(2)
https://xnet-x.net/breve-guia-nuevo-reglamento-europeo-proteccion-datos-batalla-de-cuatro-anos/

(3)
https://www.elmundo.es/espana/2019/06/27/5d14b2a1fdddff95718b465f.html

(4)
https://elpais.com/politica/2020/02/04/actualidad/1580834062_879620.html

(5)
Considerando (43) del RGPD: “Para garantizar que el consentimiento se haya dado libremente, este no debe constituir un fundamento jurídico válido para el tratamiento de datos de carácter personal en un caso concreto en el que exista un desequilibro claro entre el interesado y el responsable del tratamiento, en particular cuando dicho responsable sea una autoridad pública y sea por lo tanto improbable que el consentimiento se haya dado libremente en todas las circunstancias de dicha situación particular. Se presume que el consentimiento no se ha dado libremente cuando no permita autorizar por separado las distintas operaciones de tratamiento de datos personales pese a ser adecuado en el caso concreto, o cuando el cumplimiento de un contrato, incluida la prestación de un servicio, sea dependiente del consentimiento, aún cuando este no sea necesario para dicho cumplimiento.”

 

Proyecto de Xnet coordinado por Simona Levi con Míriam Carles y con la colaboración de los investigadores del posgrado dirigido por Simona Levi y Cristina Ribas sobre Tecnopolítica y Derechos en la Era Digital, Rubén Bujalance, César Manso-Sayao y otras participantes que han pedido no hacer públicos sus nombres.

*Título propuesto durante el Posgrado en Tecnopolítica y Derechos en la Era Digital por Víctor Pérez Berruezo.

Primera versión Beta, actualizada el 15 de febrero de 2020 y abierta a enmiendas ciudadanas recogidas en: contact@xnet-x.net

Ninguna publicación de versiones anteriores es autorizada por las y los autores.
Publicado bajo licencia CC by-sa 4.0
https://creativecommons.org/licenses/by-sa/4.0/deed.es


Investigación realizada en parte con el apoyo de la Agència de Transparència del Àrea Metropolitana de Barcelona (AMB) y del Ajuntament de Barcelona (En ambos casos, subvenciones).
Parte de la investigación se incorporará y continuará en el proyecto Gavius de la UIA.

Sólo expresa la opinión de Xnet. La Agencia de Transparencia del Área Metropolitana de Barcelona y demás instituciones no son responsables del uso que pueda hacerse de la información facilitada.