1. Número 1 · Enero 2015

  2. Número 2 · Enero 2015

  3. Número 3 · Enero 2015

  4. Número 4 · Febrero 2015

  5. Número 5 · Febrero 2015

  6. Número 6 · Febrero 2015

  7. Número 7 · Febrero 2015

  8. Número 8 · Marzo 2015

  9. Número 9 · Marzo 2015

  10. Número 10 · Marzo 2015

  11. Número 11 · Marzo 2015

  12. Número 12 · Abril 2015

  13. Número 13 · Abril 2015

  14. Número 14 · Abril 2015

  15. Número 15 · Abril 2015

  16. Número 16 · Mayo 2015

  17. Número 17 · Mayo 2015

  18. Número 18 · Mayo 2015

  19. Número 19 · Mayo 2015

  20. Número 20 · Junio 2015

  21. Número 21 · Junio 2015

  22. Número 22 · Junio 2015

  23. Número 23 · Junio 2015

  24. Número 24 · Julio 2015

  25. Número 25 · Julio 2015

  26. Número 26 · Julio 2015

  27. Número 27 · Julio 2015

  28. Número 28 · Septiembre 2015

  29. Número 29 · Septiembre 2015

  30. Número 30 · Septiembre 2015

  31. Número 31 · Septiembre 2015

  32. Número 32 · Septiembre 2015

  33. Número 33 · Octubre 2015

  34. Número 34 · Octubre 2015

  35. Número 35 · Octubre 2015

  36. Número 36 · Octubre 2015

  37. Número 37 · Noviembre 2015

  38. Número 38 · Noviembre 2015

  39. Número 39 · Noviembre 2015

  40. Número 40 · Noviembre 2015

  41. Número 41 · Diciembre 2015

  42. Número 42 · Diciembre 2015

  43. Número 43 · Diciembre 2015

  44. Número 44 · Diciembre 2015

  45. Número 45 · Diciembre 2015

  46. Número 46 · Enero 2016

  47. Número 47 · Enero 2016

  48. Número 48 · Enero 2016

  49. Número 49 · Enero 2016

  50. Número 50 · Febrero 2016

  51. Número 51 · Febrero 2016

  52. Número 52 · Febrero 2016

  53. Número 53 · Febrero 2016

  54. Número 54 · Marzo 2016

  55. Número 55 · Marzo 2016

  56. Número 56 · Marzo 2016

  57. Número 57 · Marzo 2016

  58. Número 58 · Marzo 2016

  59. Número 59 · Abril 2016

  60. Número 60 · Abril 2016

  61. Número 61 · Abril 2016

  62. Número 62 · Abril 2016

  63. Número 63 · Mayo 2016

  64. Número 64 · Mayo 2016

  65. Número 65 · Mayo 2016

  66. Número 66 · Mayo 2016

  67. Número 67 · Junio 2016

  68. Número 68 · Junio 2016

  69. Número 69 · Junio 2016

  70. Número 70 · Junio 2016

  71. Número 71 · Junio 2016

  72. Número 72 · Julio 2016

  73. Número 73 · Julio 2016

  74. Número 74 · Julio 2016

  75. Número 75 · Julio 2016

  76. Número 76 · Agosto 2016

  77. Número 77 · Agosto 2016

  78. Número 78 · Agosto 2016

  79. Número 79 · Agosto 2016

  80. Número 80 · Agosto 2016

  81. Número 81 · Septiembre 2016

  82. Número 82 · Septiembre 2016

  83. Número 83 · Septiembre 2016

  84. Número 84 · Septiembre 2016

  85. Número 85 · Octubre 2016

  86. Número 86 · Octubre 2016

  87. Número 87 · Octubre 2016

  88. Número 88 · Octubre 2016

  89. Número 89 · Noviembre 2016

  90. Número 90 · Noviembre 2016

  91. Número 91 · Noviembre 2016

  92. Número 92 · Noviembre 2016

  93. Número 93 · Noviembre 2016

  94. Número 94 · Diciembre 2016

  95. Número 95 · Diciembre 2016

  96. Número 96 · Diciembre 2016

  97. Número 97 · Diciembre 2016

  98. Número 98 · Enero 2017

  99. Número 99 · Enero 2017

  100. Número 100 · Enero 2017

  101. Número 101 · Enero 2017

  102. Número 102 · Febrero 2017

  103. Número 103 · Febrero 2017

  104. Número 104 · Febrero 2017

  105. Número 105 · Febrero 2017

  106. Número 106 · Marzo 2017

  107. Número 107 · Marzo 2017

  108. Número 108 · Marzo 2017

  109. Número 109 · Marzo 2017

  110. Número 110 · Marzo 2017

  111. Número 111 · Abril 2017

  112. Número 112 · Abril 2017

  113. Número 113 · Abril 2017

  114. Número 114 · Abril 2017

  115. Número 115 · Mayo 2017

  116. Número 116 · Mayo 2017

  117. Número 117 · Mayo 2017

  118. Número 118 · Mayo 2017

  119. Número 119 · Mayo 2017

  120. Número 120 · Junio 2017

  121. Número 121 · Junio 2017

  122. Número 122 · Junio 2017

  123. Número 123 · Junio 2017

  124. Número 124 · Julio 2017

  125. Número 125 · Julio 2017

  126. Número 126 · Julio 2017

  127. Número 127 · Julio 2017

  128. Número 128 · Agosto 2017

  129. Número 129 · Agosto 2017

  130. Número 130 · Agosto 2017

  131. Número 131 · Agosto 2017

  132. Número 132 · Agosto 2017

  133. Número 133 · Septiembre 2017

  134. Número 134 · Septiembre 2017

  135. Número 135 · Septiembre 2017

  136. Número 136 · Septiembre 2017

  137. Número 137 · Octubre 2017

  138. Número 138 · Octubre 2017

  139. Número 139 · Octubre 2017

  140. Número 140 · Octubre 2017

  141. Número 141 · Noviembre 2017

  142. Número 142 · Noviembre 2017

  143. Número 143 · Noviembre 2017

  144. Número 144 · Noviembre 2017

  145. Número 145 · Noviembre 2017

  146. Número 146 · Diciembre 2017

  147. Número 147 · Diciembre 2017

  148. Número 148 · Diciembre 2017

  149. Número 149 · Diciembre 2017

  150. Número 150 · Enero 2018

  151. Número 151 · Enero 2018

  152. Número 152 · Enero 2018

  153. Número 153 · Enero 2018

  154. Número 154 · Enero 2018

  155. Número 155 · Febrero 2018

  156. Número 156 · Febrero 2018

  157. Número 157 · Febrero 2018

  158. Número 158 · Febrero 2018

  159. Número 159 · Marzo 2018

  160. Número 160 · Marzo 2018

  161. Número 161 · Marzo 2018

  162. Número 162 · Marzo 2018

  163. Número 163 · Abril 2018

  164. Número 164 · Abril 2018

  165. Número 165 · Abril 2018

  166. Número 166 · Abril 2018

  167. Número 167 · Mayo 2018

  168. Número 168 · Mayo 2018

  169. Número 169 · Mayo 2018

  170. Número 170 · Mayo 2018

  171. Número 171 · Mayo 2018

  172. Número 172 · Junio 2018

  173. Número 173 · Junio 2018

  174. Número 174 · Junio 2018

  175. Número 175 · Junio 2018

  176. Número 176 · Julio 2018

  177. Número 177 · Julio 2018

  178. Número 178 · Julio 2018

  179. Número 179 · Julio 2018

  180. Número 180 · Agosto 2018

  181. Número 181 · Agosto 2018

  182. Número 182 · Agosto 2018

  183. Número 183 · Agosto 2018

  184. Número 184 · Agosto 2018

  185. Número 185 · Septiembre 2018

  186. Número 186 · Septiembre 2018

  187. Número 187 · Septiembre 2018

  188. Número 188 · Septiembre 2018

  189. Número 189 · Octubre 2018

  190. Número 190 · Octubre 2018

  191. Número 191 · Octubre 2018

  192. Número 192 · Octubre 2018

  193. Número 193 · Octubre 2018

  194. Número 194 · Noviembre 2018

  195. Número 195 · Noviembre 2018

  196. Número 196 · Noviembre 2018

  197. Número 197 · Noviembre 2018

  198. Número 198 · Diciembre 2018

  199. Número 199 · Diciembre 2018

  200. Número 200 · Diciembre 2018

  201. Número 201 · Diciembre 2018

  202. Número 202 · Enero 2019

  203. Número 203 · Enero 2019

  204. Número 204 · Enero 2019

  205. Número 205 · Enero 2019

  206. Número 206 · Enero 2019

  207. Número 207 · Febrero 2019

  208. Número 208 · Febrero 2019

  209. Número 209 · Febrero 2019

  210. Número 210 · Febrero 2019

  211. Número 211 · Marzo 2019

  212. Número 212 · Marzo 2019

  213. Número 213 · Marzo 2019

  214. Número 214 · Marzo 2019

  215. Número 215 · Abril 2019

  216. Número 216 · Abril 2019

  217. Número 217 · Abril 2019

  218. Número 218 · Abril 2019

  219. Número 219 · Mayo 2019

  220. Número 220 · Mayo 2019

  221. Número 221 · Mayo 2019

  222. Número 222 · Mayo 2019

  223. Número 223 · Mayo 2019

  224. Número 224 · Junio 2019

  225. Número 225 · Junio 2019

  226. Número 226 · Junio 2019

  227. Número 227 · Junio 2019

  228. Número 228 · Julio 2019

  229. Número 229 · Julio 2019

  230. Número 230 · Julio 2019

  231. Número 231 · Julio 2019

  232. Número 232 · Julio 2019

  233. Número 233 · Agosto 2019

  234. Número 234 · Agosto 2019

  235. Número 235 · Agosto 2019

  236. Número 236 · Agosto 2019

  237. Número 237 · Septiembre 2019

  238. Número 238 · Septiembre 2019

  239. Número 239 · Septiembre 2019

  240. Número 240 · Septiembre 2019

  241. Número 241 · Octubre 2019

  242. Número 242 · Octubre 2019

  243. Número 243 · Octubre 2019

  244. Número 244 · Octubre 2019

  245. Número 245 · Octubre 2019

  246. Número 246 · Noviembre 2019

  247. Número 247 · Noviembre 2019

  248. Número 248 · Noviembre 2019

  249. Número 249 · Noviembre 2019

  250. Número 250 · Diciembre 2019

  251. Número 251 · Diciembre 2019

  252. Número 252 · Diciembre 2019

  253. Número 253 · Diciembre 2019

  254. Número 254 · Enero 2020

  255. Número 255 · Enero 2020

  256. Número 256 · Enero 2020

  257. Número 257 · Febrero 2020

  258. Número 258 · Marzo 2020

  259. Número 259 · Abril 2020

  260. Número 260 · Mayo 2020

  261. Número 261 · Junio 2020

  262. Número 262 · Julio 2020

  263. Número 263 · Agosto 2020

  264. Número 264 · Septiembre 2020

  265. Número 265 · Octubre 2020

  266. Número 266 · Noviembre 2020

  267. Número 267 · Diciembre 2020

  268. Número 268 · Enero 2021

  269. Número 269 · Febrero 2021

CTXT necesita 15.000 socias/os para seguir creciendo. Suscríbete a CTXT

Big data

¿De verdad sabemos qué hacemos cuando aceptamos ‘cookies’ u otros consentimientos?

La digitalización de nuestras relaciones cotidianas provoca que cedamos datos personales infinidad de veces al día. Y los cambios constantes no permiten que lo hagamos de forma consciente e informada

Elena Gil González 18/02/2021

<p>Persona manejando un ordenador.</p>

Persona manejando un ordenador.

Étienne Boulanger / Unsplash

A diferencia de otros medios, en CTXT mantenemos todos nuestros artículos en abierto. Nuestra apuesta es recuperar el espíritu de la prensa independiente: ser un servicio público. Si puedes permitirte pagar 4 euros al mes, apoya a CTXT. ¡Suscríbete!

En los últimos años hemos asistido a acontecimientos de gran profundidad en materia de protección de datos. Desde la actualización de las principales normas en la materia hasta escándalos y sanciones a grandes corporaciones por incumplimientos de la normativa. Por otro lado, el avance tecnológico es exponencial, de modo que la rapidez de los cambios y de los nuevos retos surgidos con ellos hacen que debamos replantearnos ciertas cuestiones sólidamente asentadas en materia de protección de datos, como la tradicional prevalencia del consentimiento como base de licitud bajo la idea de que es la que mejor garantiza los derechos de la persona.

Pero ¿es el consentimiento como base de licitud un instrumento ampliamente efectivo para la protección de datos de carácter personal en entornos de utilización de tecnologías big data? ¿Existen alternativas dentro de nuestro ordenamiento jurídico?

Comencemos por el principio

El objetivo de la normativa de protección de datos no es limitar el tratamiento de datos personales, únicamente su uso injustificado. Para ello, el artículo 6 del Reglamento General de Protección de Datos (RGPD) contiene las denominadas “bases de licitud del tratamiento”, es decir, causas jurídicas bajo las que se permite utilizar datos personales.

Una de estas bases es el consentimiento. Una persona o empresa puede tratar datos personales si ha obtenido el permiso para hacerlo. El usuario medio está cada día más concienciado de la importancia de ejercer control sobre el uso de sus datos y de prestar el consentimiento. Pero también existen situaciones en las que el consentimiento no es el título jurídico que debe sustentar un tratamiento. Por ello, existen otras bases de licitud, por ejemplo, la necesidad para ejecutar un contrato –así, una tienda puede utilizar tus datos bancarios para ejecutar el pago con tarjeta de débito sin necesidad de solicitarte el consentimiento–. De forma similar, Hacienda puede acceder a tu información fiscal sin consentimiento, con base en un interés público.

Pues bien, junto con todas las bases de licitud anteriores, el artículo 6 del RGPD permite tratar datos sin nuestro consentimiento con base en un “interés legítimo”.

¿De verdad sabes lo que aceptas?

Antes de la llegada del RGPD, el consentimiento era la base de legitimación utilizada de forma preferente en el sector privado. Su popularidad derivaba de que este permite que las personas ejerzan control sobre sus datos personales, así como de la facilitad que las organizaciones tenían de justificar que había existido este consentimiento, porque servía con obtenerlo de forma tácita –por ejemplo, premarcar una casilla que el usuario no rechazaba era considerado válido–.

Esta propensión cristalizó en el hecho de que el consentimiento se convirtió en el instrumento jurídico por excelencia, y no se prestó el mismo grado de atención a otras bases, como el interés legítimo. Sin embargo, el avance tecnológico comenzó a poner en jaque estas presunciones de consentimiento.

El consentimiento presupone que la persona ha leído la información, la ha comprendido, es capaz de imaginarse las consecuencias futuras y esto le permite tomar una decisión racional que manifiesta de forma libre.

Ciertamente, este puede ser el caso en situaciones sencillas y previsibles. Pero la digitalización de nuestras relaciones cotidianas provoca que las solicitudes de consentimiento se produzcan infinidad de veces al día, durante el curso de actividades cotidianas cuyo objetivo principal no está relacionado directamente con el proceso mental de decidir sobre el futuro de los datos personales. Desde comprar una entrada de teatro por internet, hasta ver un programa en nuestra flamante tele inteligente o leer las noticias en una página web o app.

Todo ello genera datos, muy valiosos en el mercado, y para monetizarlos nos piden consentimientos constantemente. Esta monetización implica compartir o vender datos a infinidad de intermediarios, crear patrones y perfiles de cada uno de nosotros, agregar información y construir modelos algorítmicos cada vez más complejos e impredecibles. ¿De verdad tenemos todo eso en mente cada vez que hacemos click aceptando cookies y otros tratamientos? Ese click es un consentimiento jurídicamente válido, pero que en realidad es ilusorio.

El consentimiento conlleva que la persona es quien manifiesta haber tomado la decisión, una decisión que no termina de comprender porque las prácticas de la industria van años por delante de lo que conocemos

Es decir, el avance de la tecnología crea entornos cotidianos que son rápidamente cambiantes y lo suficientemente complejos como para que una persona media no sea capaz de mantener un nivel de conocimiento actualizado sobre los potenciales beneficios y riesgos de dichos tratamientos de datos. De este modo, es más complicado poder asumir el rol de decidir de manera convenientemente informada y con consciencia.

El RGPD ha tratado de atajar estos problemas endureciendo las condiciones del consentimiento, así como los deberes de información y transparencia. Sin embargo, las políticas de privacidad más largas no aportan una solución real a los problemas que hemos señalado.

El consentimiento conlleva que la persona es quien manifiesta haber tomado la decisión. Es decir, se hace responsable a la persona de su decisión; una decisión que no termina de comprender porque la tecnología avanza de forma tan rápida que las prácticas de la industria van años por delante de lo que conocemos.

Además, es frecuente encontrar patrones oscuros en las solicitudes de consentimiento. Se trata de prácticas con las que se pretende orientar de forma artificial el comportamiento del usuario para que este muestre su acuerdo. Por ejemplo, esconder la opción más protectora bajo una letra pequeña y de color poco visible, crear paneles de configuración poco intuitivos que provoquen fatiga en el usuario, etc. al tiempo que las opciones para consentir se ofrecen de forma visible y sencilla.

¿Y si no tuviéramos que prestar el consentimiento?

Como decíamos al principio, el consentimiento es solo una base más de todas las que reconoce el art. 6 RGPD. En concreto, el art. 6.1.f) recoge aquella del interés legítimo.

No es un concepto nuevo, sino que ya existía en la normativa anterior –Directiva de protección de datos de 1995–. A pesar de ello, se trata de uno de los conceptos más confusos de la norma, apreciado, odiado e incomprendido a partes iguales.

En términos simplificados, la base de licitud se aplica en tres pasos. En primer lugar, una organización debe alegar la existencia de un beneficio o utilidad real y presente, para sí misma, un tercero o un beneficio social más amplio, que respete el ordenamiento jurídico. Es decir, debe existir un interés legítimo. Se trata de un concepto bastante amplio. En segundo lugar, el tratamiento debe ser “necesario” para la finalidad que la organización informa que desea conseguir. Se trata también de un concepto con matices en el que no entraremos aquí. Además, recordemos que la norma obliga a informar de cuáles son estos intereses y finalidades.

El interés legítimo como base de licitud para el tratamiento de datos vuelve a poner el foco de responsabilidad en la organización, en lugar de en la persona

En tercer lugar, y este es el quid de la cuestión, la norma exige que dicho interés legítimo y necesario sea ponderado con los intereses y derechos de los clientes. La ponderación de intereses es clave en la aplicación del interés legítimo y es lo que otorga distintividad a esta base de licitud. En caso de que en dicha balanza pesen más los derechos de los clientes, la organización debe implementar medidas de protección y mitigación de riesgos hasta superar esa ponderación, o abstenerse de llevar a cabo el tratamiento. Esto obliga a la organización a tomar en consideración un amplio abanico de intereses y derechos de todas las partes involucradas en el tratamiento de datos, que ya no quedan en manos de la sola comprensión del usuario. Es decir, vuelve a poner el foco de responsabilidad en la organización, en lugar de en la persona.

Por último, el usuario tiene la capacidad de oponerse a dicho tratamiento. Así por ejemplo, una entidad bancaria tendrá un interés legítimo para tratar datos a gran escala con fines de prevención del fraude o de blanqueo de capitales. De forma similar, la obtención de un beneficio comercial o económico sería, en mi opinión, un ejemplo claro de interés legítimo –aunque la Agencia Española de Protección de Datos ha mostrado su reticencia a considerarlo así–. Todo ello, siempre que se supere el ejercicio de ponderación, se apliquen medidas mitigantes y se ofrezca el derecho de oposición.

Una de las principales críticas al interés legítimo deviene de considerar que se trata de un cajón de sastre, un comodín que confiere la facultad de realizar un tratamiento de datos personales que no sería lícito en otra circunstancia.

Sin embargo, la necesidad de justificar por escrito la ponderación de intereses se convierte en una garantía que no existe en las demás bases. Esta documentación podrá ser revisada en cualquier momento por la autoridad de control. De este modo, si la autoridad aprecia que la organización obvió elementos relevantes, se declararía la falta de legitimación.

No podía ser todo perfecto

Pero ojo, pese a todo lo dicho, este instrumento no es perfecto. Existen vacíos que pueden crear un “efecto Gruyère”, es decir, pequeñas lagunas cuyo impacto conjunto puede ser mayor.

En primer lugar, la correcta aplicación del interés legítimo no es ni sencilla ni directa. Es una figura ambigua, poco desarrollada para su aplicación a entornos de tratamiento masivo de datos y requiere un asesoramiento jurídico maduro y complejo.

Esto puede llevar a que determinadas cuestiones sean instrumentalizadas por una organización para dificultar el control de una persona sobre sus datos. Por ejemplo, la norma no obliga a que el ejercicio de ponderación sea público. Ello tiene sentido porque casi siempre incluirá elementos confidenciales o sensibles, pero también puede provocar una falta de transparencia respecto de los riesgos del tratamiento.

Por otro lado, al menos en un primer momento, el ejercicio de ponderación puede terminar siendo algo subjetivo, pues lo realiza el propio responsable. Sin embargo, la presión de saber que esto debe quedar por escrito y es susceptible de investigación serviría como contrapeso.

Asimismo, ya hemos mencionado el derecho de oposición que va unido al interés legítimo. No se trata de un derecho absoluto, y las organizaciones pueden terminar por empujar su margen de maniobra para denegar este derecho de formas cuestionables.

Se trata de limitaciones salvables a través de la publicación de directrices que desarrollen este precepto y de vías interpretativas. Por ejemplo, interpretar el derecho de oposición en sentido amplio.

Brecha de confianza

En este debate hay un factor más. La creciente sensación de vigilancia o la sospecha de que los datos son utilizados para finalidades no anunciadas a los interesados han provocado una ruptura de la confianza de las personas en el modelo digital.

La elección de la base de licitud para el tratamiento de datos personales resulta solo una de las múltiples facetas de ello.

Así, solicitar el consentimiento a pesar de las graves deficiencias y poner la carga de la responsabilidad en el interesado no ayudará a solventar el problema. El interés legítimo, siempre que sea aplicado de manera leal y estricta, sí podría restaurar esta confianza.

La creciente sensación de vigilancia o la sospecha de que los datos son utilizados para finalidades no anunciadas han provocado una ruptura de la confianza en el modelo digital

El interesado ya no hace depender su confianza de la capacidad de control entendido como ser informado y posteriormente preguntado acerca de si autoriza o no determinados tratamientos, pues en muchas ocasiones no alcanza a comprenderlos. Por ello, el concepto tradicional de control como objetivo de la normativa de protección de datos debe desarrollarse y repensarse.

El interés legítimo como base de licitud podría verse como una alternativa que permitiría volver a generar confianza en que el responsable, como máximo conocedor de los pormenores del tratamiento, los ha tenido en cuenta y mitigado.

La innovación y las técnicas de inteligencia artificial o tratamiento masivo de datos son una fuente de beneficios sociales y económicos que no debemos desaprovechar. Por eso se hace necesario buscar soluciones que permitan flexibilizar el tratamiento de datos, al mismo tiempo que se protegen los derechos de los individuos, y focalizar las limitaciones al tratamiento de los datos en función del contexto específico en lugar de hacerlo de manera generalizada.

El sistema aquí defendido necesita un alto grado de madurez de los responsables de datos, así como un fuerte compromiso para adoptar estándares de seguridad elevados. Esto refuerza de nuevo la idea de que ya no es el usuario el centro de responsabilidad de los datos, sino las organizaciones que quieren hacer uso de ellos.

-----------------------

Elena Gil González es abogada y doctoranda. Premio de Investigación de la Agencia Española de Protección de Datos.

Autora >

Elena Gil González

Suscríbete a CTXT

Orgullosas
de llegar tarde
a las últimas noticias

Gracias a tu suscripción podemos ejercer un periodismo público y en libertad.
¿Quieres suscribirte a CTXT por solo 6 euros al mes? Pulsa aquí

Artículos relacionados >

Deja un comentario


Los comentarios solo están habilitados para las personas suscritas a CTXT. Puedes suscribirte aquí