Última edición del post: septiembre 2023
https://blogs.publico.es/xnet-procedimientos-bruselas-mejora-proteccion-datos-legislacion-espanola/
Y extractos de los dos procedimientos aquí:
https://xnet-x.net/lagunas-legislacion-espanola-ce-proteccion-datos/
DATOS POR LIEBRE*
Por Xnet
Transparencia para las instituciones, privacidad para las personas
Reformas de las políticas de datos para corregir la asimetría y desprotección de las personas frente a las instituciones
Versión actualizada a 20 de diciembre de 2022
– RECOMENDACIONES
-
– QUÉ PIDE XNET A LA Y AL LEGISLADOR
– RECOMENDACIONES DE BUENAS PRÁCTICAS PARA LAS INSTITUCIONES Y EMPRESAS SISTÉMICAS ANTES
Y DESPUÉS DE LA MODIFICACIÓN LEGISLATIVA
– ENMIENDAS DE LEY
En anexo por cada apartado:
– ANÁLISIS DEL DESARROLLO LEGISLATIVO
(Excepción: en la parte 1 este apartado va en el cuerpo principal, no en anexo)
– ANÁLISIS DE LA JURISPRUDENCIA Y RESOLUCIONES RELEVANTES NACIONALES E INTERNACIONALES
INTRODUCCIÓN
El derecho a la protección de datos personales es un derecho fundamental relacionado con la privacidad que garantiza a la persona el control sobre sus datos, sobre su uso y destino. En pocas palabras, hablar de datos es hablar de control; es preguntarse sobre quién puede saber quiénes somos, dónde vivimos, qué hacemos durante el día y durante la noche; qué gustos, convicciones, vicios, placeres, dolores tenemos, etc. Es un derecho que debería ser respetado tanto por parte de organismos públicos como privados.
Se ha hablado mucho de los abusos con los datos personales por parte de Facebook y otras compañías privadas, pero en cambio, se han comentado poco los incumplimientos por parte de Administraciones públicas o instituciones, las políticas que socavan la privacidad del conjunto de la ciudadanía, los pequeños (o grandes) abusos cotidianos a los que se somete a las personas.
En este contexto, en Xnet venimos denunciado desde hace tiempo un uso perverso de la «protección de datos»(1): en muchas ocasiones se utiliza la protección de datos como excusa tanto para esconder y proteger la corrupción como para tapar malas prácticas o inercias, incompetencias o abusos institucionales.
El Reglamento Europeo de Protección de Datos (conocido por las siglas RGPD), cuya entrada en aplicación ha culminado en mayo de 2018, que todos recordamos por los infinitos mensajes de consentimiento que hemos empezado a recibir desde entonces, ha sido en realidad el resultado de más de una década de lucha de la sociedad civil organizada para que se garanticen los derechos a la privacidad de las personas y se actualicen al entorno digital(2). La más beligerante ha sido la sociedad civil alemana que sabe lo que significa que los poderes establecidos tengan todos tus datos; sufrió a mano de la Stasi la más grande operación de vigilancia y recolección de datos personales jamás conocida en época predigital.
Con el RGPD conseguimos poner un primer freno -mejorable, pero firme- a los intereses corporativos o del Estado de control en la explotación del nuevo oro que son nuestros datos personales.
Pero es solo la primera piedra. Debemos seguir. Debemos utilizar esta primera e importante victoria para afianzar la lucha por nuestra privacidad y al mismo tiempo para que no sea excusa ni refugio para malas prácticas ni para impedir el derecho a la información y la denuncia de abusos.
Como herramienta para conseguirlo, Xnet presentamos el presente informe. Son más de 200 páginas que quieren explicar qué flancos están descubiertos y qué debemos hacer para protegerlos.
-
1 – ABUSO DE IDENTIFICACIÓN POR PARTE DE LAS INSTITUCIONES vs MINIMIZACIÓN DE DATOS DESDE EL DISEÑO Y POR DEFECTO
2 – DERECHO A GRABAR ABUSOS PARA SU DENÚNCIA PÚBLICA Y POLÍTICAS DE PROTECCIÓN DE DATOS
3 – LA FALTA DE TRANSPOSICIÓN DEL ARTÍCULO 85 EN ESPAÑA – LA DESPROTECCIÓN DE LA LIBERTAD DE INFORMACIÓN EN LA LEY ORGÁNICA DE PROTECCIÓN DE DATOS
4 – ABUSOS EN EL ÁMBITO ELECTORAL: CÓMO HEMOS LLEGADO A QUE NOS PAREZCA NORMAL QUE LOS DATOS DEL PADRÓN MUNICIPAL ACABEN EN MANOS DE LOS PARTIDOS POLÍTICOS
5 – ABUSOS EN EL ÁMBITO LABORAL: LA VENTA DE LOS DATOS DE LAS PERSONAS EN RÉGIMEN DE AUTÓNOMOS
Cada una de estas partes va acompañada de propuestas jurídico-legislativas para cambiar la situación. Cada una de estas entregas implica pedir al o a los Gobiernos, al Congreso o a los Parlamentos y a los órganos competentes cambios en la legislación o en las políticas necesarios para que la ley de protección de datos sirva para proteger la privacidad de la ciudadanía y no para garantizar la impunidad de los poderosos.
Publicamos estas medidas abiertas a comentarios y enmiendas para que fueran mejoradas. Ahora están listas para ser reclamadas hasta conseguirlas.
En todo este trabajo hay tres hilos conductores fundamentales:
-
• El primero es una fuerza que nos da el RGPD. Es el principio de minimización. Nadie nos debe pedir o sonsacar más datos de los necesarios. Debemos saber que podemos ampararnos con fuerza en este principio. A día de hoy pedir a qué hora abre una ventanilla o llamar a una empresa de suministros para saber las tarifas requiere que te identifiques, por no hablar de cuando se pide información más compleja para destapar abusos o injusticias. Esto tiene que acabar.
• El segundo hilo conductor es una debilidad del RGPD. Permite que se nos pidan todo tipo de datos personales alegando “intereses legítimos”. Los países como el nuestro que no han delimitado cuáles son estos “intereses legítimos” ni piden que afloren y se detallen para poder ser puestos en discusión, abren la puerta a todo tipo de arbitrariedades y abusos. Esta fórmula se utiliza cuando no se dispone de base jurídica sólida o suficientemente justificada. Por respeto a los derechos, libertades e intereses de las personas no debería ser posible escudarse en extremos que sirven de cajón de sastre y que acaban invalidado el espíritu de la normativa. Los “intereses legítimos” que considere esta o aquella empresa o institución, no deben primar por encima de los derechos e intereses de las personas. Queremos que se garantice el principio de privacidad desde el diseño y por defecto.
• Por último, la protección de datos no puede ser excusa para limitar el derecho a la información y la lucha contra la corrupción y los abusos: desde los discos duros del PP que podían ser prueba de un posible caso de corrupción y que destruyeron alegando protección de datos(3), a la votación que se perdió para la publicación de hoja de servicio de Billy el Niño porque quien votó en contra lo hizo eximiendo protección de datos(4), nos encontramos esta “motivación” una y otra vez. Para los periodistas y los activistas contra la corrupción, estas escusas son los muros que nos encontramos a diario.
RESUMEN DEL CONTENIDO
Parte 1 – Abuso de identificación por parte de las instituciones vs minimización de datos desde el diseño y por defecto
En España existe una tendencia abusiva a pedir más datos de los necesarios cuando alguien lleva a cabo una simple petición a cualquier institución, algo que la aprobación en 2015 de la Ley de Procedimiento Administrativo e incluso la Ley de Transparencia agravan al establecer la verificación de la identidad de las y los interesados como obligatoria. Esto se debe a que, por defecto, toda relación entre ciudadanía y administración se considera “trámite administrativo”, y eso incluye pedir información que por ley debería ser pública. Bien, por qué no. Si no fuera que “trámite administrativo” todavía significa poder, subordinación y jerarquía. El motivo de que esto ocurra no está en la lógica y menos en la lógica ágil de la era digital; tampoco en una idea de demo-cracia actualizada: es la sociedad civil que debe poder vigilar sus instituciones y no al revés.
Así Xnet denuncia que nuestras leyes administrativas colisionan con un principio básico de una Ley superior: el principio de minimización del Reglamento Europeo de Protección de Datos que establece que sólo deben recogerse los datos adecuados, pertinentes y no excesivos de acuerdo con los fines para los que son recogidos, y que se ha de explicar qué datos se recogen y por qué.
Se debe proteger al débil y controlar al fuerte ya que existe una clara asimetría entre los poderes establecidos, que nos pueden vigilar, y la ciudadanía de a pie que debe luchar y exponerse para acceder a información que debería ser suya por democracia (además de porque la pagamos entre todxs).
Parte de la lucha para una democracia real es la de acabar con esta asimetría. O sea: conquistar el acceso libre y sin amenazas a la información, sin el cual no podemos vigilar y decidir ni luchar contra la corrupción y los abusos, y ponerlo en equilibrio con el derecho a la privacidad, desenmascarando falsas ambigüedades.
Parte 2 – Derecho a grabar abusos para su denuncia pública y políticas de protección de datos
Y aquí la otra cara de la moneda. Si por un lado se nos piden muchos datos, por el otro a los poderes establecidos mucho les cuesta dar los suyos. Es otro clásico: apelar a la protección de datos para sancionar el uso (es decir, divulgación) de información como las grabaciones de funcionarios cometiendo excesos (policías, por ejemplo). Entre 2016 y 2018 se impusieron 113 sanciones en aplicación de la Ley Mordaza que supusieron un total de 70.522 euros contra los afectados. Este marco normativo ha ejercido un poderoso efecto disuasorio para la denuncia de abusos sistémicos. Pero, contrariamente a lo que se cree, el obstáculo más monolítico para grabar y sobre todo para difundir la comisión de abusos institucionales o sistémicos no es solo la Ley mordaza, sino la jurisprudencia de la Ley Orgánica de Protección de Datos.
Pero atención, el diablo está en los detalles: desde Xnet valoramos positivamente todo avance hacia agilizar las denuncias de personas víctimas de la difusión de contenido de carácter privado sin su consentimiento. Xnet apoya la campaña #PuedesPararlo de la Agencia Española de Protección de Datos que fortalece la interpretación de su homólogo europeo al no aplicar la excepción de uso doméstico en estos casos cuando hay viralización (o sea, la información circula de forma que trasciende el ámbito doméstico).
Dicho esto, hay un detalle importante: es necesario diferenciar estos casos de aquellos en los que las grabaciones de las personas se hayan captado en su desempeño de un servicio al público, en lugar público o en actos públicos. En ningún caso podemos equiparar esta situación a la violación de la intimidad. Se ha de recalcar con énfasis que es muy pernicioso para cualquier democracia que se precie utilizar el primer caso – el de vulneración de derechos en la difusión de información íntima – para impedir lo segundo – la libertad de información en el interés público para divulgar abusos.
Parte 3 – La desprotección de la libertad de información en la Ley Orgánica de Protección de Datos
Por todo ello es imprescindible por parte del legislador la correcta transposición del artículo 85 del RGPD que exige la armonización de la privacidad con la libertad de información y de expresión.
Cuando en 2018 se adaptó el ordenamiento jurídico español al RGPD con la Ley Orgánica Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), Xnet intentó sin éxito que se llevara a cabo. La LOPDGDD tiene algunas características embrionarias novedosas y loables respecto a los derechos digitales, pero también numerosas fragilidades, como veremos. Sobre la transposición del artículo 85, la negativa que recibió Xnet por parte del legislador fue que “esto lo resuelven los tribunales”. Los periodistas saben bien que no son pocas las veces que aquellos perjudicados por sus investigaciones pleitean para desgastar a los medios, aunque el caso acabe sobreseyéndose. Ante una querella, un medio se ve obligado a movilizar recursos para defenderse: y eso compromete la investigación periodística, algo de lo que no vamos precisamente sobrados. Peor todavía es la situación de la o el alertador, persona corriente que desvela un abuso (véase: https://xnet-x.net/proposicion-ley-proteccion-integral-alertadores/).
La aproximación de “esto lo resuelven los tribunales” es una aproximación peligrosa y elitista ya que implica que la defensa de la libertad de expresión e información es garantizada solo para quién pueda permitirse pleitear. Preferimos que se establezcan criterios claros para que todo el mundo pueda ejercer sus derechos con seguridad y sin temor a ser sancionado.
La protección de datos es demasiadas veces un pretexto para invalidar pruebas. A parte de los ejemplos patrios anteriormente mencionados, el agravio democrático de no transponer la defensa de la libertad de información en ámbito de la protección de datos se ha hecho de manifiesto en toda su envergadura en la UE, en Rumanía, donde periodistas que investigaban corrupción gubernamental han sido amenazados con una sanción de 20 millones de euros por la Ley de protección de datos (los datos de los presuntos corruptos). Es por todo esto que la Association for Technology and Internet (ApTI) en colaboración con Privacy International y Xnet entre otras organizaciones europeas de defensa de derechos digitales, presentaron una queja ante la Comisión Europea hace un año. En aquella ocasión el portavoz de la Comisión Europea, Margaritis Schinas dijo: “Es sumamente importante que las autoridades de Rumanía implementen esta obligación [art.85] en el derecho nacional para (…) proteger las fuentes periodísticas (…) cuando sea necesario para respetar la libertad de información y expresión de los medios. (…) La protección de datos no puede utilizarse como una puerta trasera para forzar a los periodistas (…)”.
Una pena que la queja, un año después, todavía esté a la espera de respuesta.
Parte 4 – Cómo hemos llegado a que nos parezca normal que los datos del padrón municipal acaben en manos de los partidos políticos
Ya están muy extendidas las protestas para no recibir propaganda electoral a casa. No es suficiente.
Xnet niega la mayor.
El derecho a la protección de datos es un derecho fundamental que garantiza a las personas el control sobre sus datos, sobre su uso y su destino. Debe ser respetado tanto por parte de entidades públicas como privadas. Hay excepciones previstas por la normativa. Pero deberían ser las estrictamente necesarias para proteger algún bien superior.
Así que ¿cómo hemos llegado a que nos parezca normal que los datos del padrón municipal acaben en manos de los partidos políticos? Nombre y apellidos, provincia y municipio de residencia, distrito, sección y mesa electoral, domicilio, fecha de nacimiento y nacionalidad para los electores extranjeros. Increíble.
Al aprobar la nueva Ley Orgánica de Protección de Datos sólo se ha previsto la posibilidad de oponerse a que los datos sean enviados a los partidos (cosa que, por cierto, además no se cumple). Migajas de nuestros derechos legítimos.
Debería ser al revés si queremos ser fieles al principio de privacidad desde el diseño y por defecto: en el caso de querer ceder nuestros datos a los partidos para recibir la publicidad electoral, se debería tener que pedirlo.
Las personas ni tan solo son informadas cuando se inscriben al Padrón Municipal de habitantes. Esto vulnera otro de los principios esenciales del Reglamento Europeo de Protección de Datos, el principio de transparencia, que implica el conocimiento por parte de las personas, cuando proporcionan sus datos, de los usos a los que estos estarán destinados y a quienes serán comunicados en su caso, además de la obligación de ofrecer la posibilidad de oponerse a ello.
Xnet ofrece soluciones que pueden aplicarse de inmediato. Una pena que sean los únicos beneficiados de este atropello, los partidos, los que deben decidir si asumirlas.
Parte 5 – Abusos en el ámbito laboral: la venta de los datos de las personas en régimen de autónomos
Hemos hecho hincapié en nuestra vida cotidiana donde, tanto en el mundo físico como en el digital, utilizamos y permitimos que otros utilicen nuestros datos personales, y muchas veces no podemos escoger si queremos proporcionarlos. Estos casos deben ser motivados por el bien común, de lo contrario socavarían el derecho fundamental a nuestra privacidad.
Las y los autónomos, incluso antes de iniciar su actividad, se ven obligados a realizar declaraciones, inscripciones y registros ante diversas organizaciones para poder trabajar. La principal y coincidente en todo caso es la Agencia Tributaria; con las nuevas obligaciones de prevención de blanqueo de capitales, para quienes prestan ciertos servicios a empresas, también el Registro Mercantil.
Creemos que debe limitarse la posibilidad de difundir y vender los datos de los autónomos y más cuando estos datos no se han hecho manifiestamente públicos por los mismos, ni sean, en la mayoría de los casos, necesarios para comunicarse con ellos.
En cumplimiento del principio de minimización de datos, al no ser necesaria esta información, no debería estar disponible públicamente.
Existe un doble rasero en la aplicación de la protección de datos: mientras se oculta la propiedad de las empresas en paraísos fiscales, se venden los datos personales de los autónomos con menor poder adquisitivo.
La transparencia debe ser un instrumento para equilibrio de poderes y no está reñida con la preservación de la privacidad personal. Es absolutamente posible incluir las debidas salvaguardas para quiénes no tengan ingresos suficientes (3,5 veces el IPREM) para permitirse un domicilio profesional, mientras se permite conocer la titularidad de actividades profesionales.
Hemos propuesto modificaciones legales y recomendaciones para respetar la privacidad a la vez que la transparencia que debe guiar toda actuación empresarial por no ocultar posibles casos de corrupción o malas praxis.
En Xnet defendemos que la democracia sea entre otras cosas la vigilancia ciudadana sobre sus instituciones. Por esto se debe proteger al débil y controlar al fuerte ya que existe una clara asimetría entre los poderes establecidos y la ciudadanía.
Consideramos que parte de la lucha para una democracia real es la de acabar con esta asimetría.
Usando el nuevo Reglamento General de Protección de Datos, conquista de la sociedad civil organizada, vamos a empezar diversas acciones para seguir en el camino hacia una mayor y mejor democracia.
MODO DE USO:
CÓMO ACTUAR EN LA VIDA REAL UTILIZANDO LO QUE EXPLICAMOS
A.- EXIGE LA MINIMIZACIÓN DE DATOS QUE RECOGEN LAS INSTITUCIONES Y CORPORACIONES
-
• Cuando te pidan tus datos personales, tanto mediante un formulario en papel, por Internet o incluso telefónicamente, asegúrate de que los datos que te requieren y que proporcionas son los mínimos indispensables para llevar a cabo el servicio que van a prestarte o la tarea que van a realizar (art. 5.1.c) del Reglamento General de Protección de Datos).
• Si no es así, tienes derecho a negarte y no pueden no prestarte el servicio por no querer dar más datos de los necesarios (art. 6.3 de la Ley Orgánica 3/2018 de Protección de Datos y garantía de los derechos digitales (5). Si piden datos que no parecen adecuados y pertinentes de acuerdo con lo anterior y consideras que por ello piden más datos de los necesarios, infórmales de que el principio de minimización del Reglamento Europeo de Protección de Datos dice que no pueden pedirte tantos datos.
• ATENCIÓN, en el caso de las entidades públicas, la Ley 39/2015 del Procedimiento Administrativo (LPAC), exige acreditar la identidad de quienes realicen cualquier actuación ante las mismas comprobando el DNI o documento equivalente, y en el ámbito digital mediante Cl@ve PIN, Cl@ve Permanente o DNI electrónico. Por lo tanto, ante estas entidades, y hasta que se modifique la ley, se considera “normal” solicitar nombre, apellidos y DNI para la realización de cualquier trámite. Pero nada más. Si te piden más tienes derecho a negarte y no pueden no prestarte el servicio por no querer dar más datos de los necesarios.
B.- NO DEJES QUE LA PROTECCIÓN DE DATOS SEA UNA EXCUSA PARA NO DAR INFORMACIÓN QUE DEBE SER PÚBLICA
En caso de que una entidad niegue el acceso a información pública alegando protección de datos, debe tenerse en cuenta que esto no es siempre un motivo válido por el que no deba proporcionarse.
Si la información solicitada contiene datos personales, aun así, la institución podrá proporcionar la información si se disocian o anonimizan los datos de carácter personal, es decir, se impida identificar a las personas que aparecen en la información solicitada.
C.- DENUNCIAR LAS MALAS PRÁCTICAS
Si te encuentras en uno de estos casos, avísales de que comunicaras su mal proceder / mala praxis a la AEPD (solo si es sector público, puedes también acudir a la Autoridad autonómica en Cataluña, País Vasco y Andalucía). Para interponer una reclamación puedes hacerlo en los siguientes enlaces y puedes indicar que lo haces “siguiendo las directrices de la web de Xnet”, así será más eficaz, podremos reagrupar consultas para crear precedentes generales y tendrán más claro de qué estás hablando:
-
– AEPD:
https://sedeagpd.gob.es/sede-electronica-web/vistas/formNuevaReclamacion
– APDCAT (Cataluña):
https://apdcat.gencat.cat/ca/seu_electronica/tramits/denuncia/
– AVPD (País Vasco):
https://www.avpd.euskadi.eus/s04-5273/es/contenidos/informacion/contacto/es_9493/es_contacto.html
– CTPDA (Andalucía):
https://www.ctpdandalucia.es/sites/default/files/inline-files/formulario_de_reclamacion_pd.pdf
Si puedes, envíanos la respuesta que recibes a contact@xnet-x.net
___________________________________________________________
(1)
https://blogs.publico.es/otrasmiradas/15834/proteccion-datos-obstaculo-lucha-corrupcion/
(2)
https://xnet-x.net/breve-guia-nuevo-reglamento-europeo-proteccion-datos-batalla-de-cuatro-anos/
(3)
https://www.elmundo.es/espana/2019/06/27/5d14b2a1fdddff95718b465f.html
(4)
https://elpais.com/politica/2020/02/04/actualidad/1580834062_879620.html
(5)
Considerando (43) del RGPD: “Para garantizar que el consentimiento se haya dado libremente, este no debe constituir un fundamento jurídico válido para el tratamiento de datos de carácter personal en un caso concreto en el que exista un desequilibro claro entre el interesado y el responsable del tratamiento, en particular cuando dicho responsable sea una autoridad pública y sea por lo tanto improbable que el consentimiento se haya dado libremente en todas las circunstancias de dicha situación particular. Se presume que el consentimiento no se ha dado libremente cuando no permita autorizar por separado las distintas operaciones de tratamiento de datos personales pese a ser adecuado en el caso concreto, o cuando el cumplimiento de un contrato, incluida la prestación de un servicio, sea dependiente del consentimiento, aún cuando este no sea necesario para dicho cumplimiento.”
Proyecto de Xnet coordinado por Simona Levi con Míriam Carles y con la colaboración de los investigadores del posgrado dirigido por Simona Levi y Cristina Ribas sobre Tecnopolítica y Derechos en la Era Digital, Rubén Bujalance, César Manso-Sayao y otras participantes que han pedido no hacer públicos sus nombres.
*Título propuesto durante el Posgrado en Tecnopolítica y Derechos en la Era Digital por Víctor Pérez Berruezo.
Versión actualizada a 20 de diciembre de 2022
Ninguna publicación de versiones anteriores es autorizada por las y los autores.
Publicado bajo licencia CC by-sa 4.0
https://creativecommons.org/licenses/by-sa/4.0/deed.es
Investigación realizada en parte con el apoyo de la Agència de Transparència del Àrea Metropolitana de Barcelona (AMB) y del Ajuntament de Barcelona (En ambos casos, subvenciones).
Parte de la investigación se incorporará y continuará en el proyecto Gavius de la UIA.
Sólo expresa la opinión de Xnet. La Agencia de Transparencia del Área Metropolitana de Barcelona y demás instituciones no son responsables del uso que pueda hacerse de la información facilitada.
Últimos posts sobre:
Derechos digitales, datos, IA y neutralidad de la Red
- Organizamos la Conferencia Europea 4D – Digitalización Democrática y Derechos Digitales
- Presentamos nuevo libro -> Digitalización Democrática – Soberanía Digital para las Personas
- Pedimos la retirada del Reglamento CSA
- Sobre la ”Cartera Digital Beta” del Gobierno para ver porno
- #ChatControl – Lanzamos campaña contra la ley de monitorización automatizada de las conversaciones íntimas de la ciudadanía europea – CSAR