la regulaciÓn de la privacidad y su impacto en el

87

Resumen

La evolución tecnológica de los últimosaños ha incrementado la capacidad de reco-gida, uso y almacenamiento de datos perso-nales en un ecosistema digital en el queInternet ha difuminado por completo las barreras territoriales y, por ende, la legislaciónque regula la privacidad. Ante esta situación,la Comisión Europea ha propuesto un Regla-mento general de protección de datos quetiene como reto compaginar los derechos delos ciudadanos con un marco favorable parala industria europea. En este artículo se analizael posible impacto del futuro Reglamento europeo en los nuevos servicios del ecosiste-ma digital.

Palabras clave: privacidad, ecosistemadigi tal, Internet, Reglamento general de pro-tección de datos.

Abstract

Technological evolution over the past fewyears has increased the capacity to collect,use and store personal data in a digitalecosystem where the Internet has blurred territorial boundaries, and thus, the legislationthat regulates privacy. In this situation, the European Commission has proposed a GeneralData Protection Regulation which faces thechallenge of combining citizen’s rights and an advantageous framework for the Europeanindustry. This article analyzes the possible im-pact of the future European Regulation on di-gital ecosystem new services.

Key words: privacy, digital ecosystem,Internet, General Data Protection Regulation.

JEL classification: L96.

I. INTRODUCCIÓN

DURANTE la última décadase han producido fenóme-nos tan relevantes como el

crecimiento exponencial del número de usuarios de Internet, laproliferación de ordenadores,smartphones y otros dispositivosavanzados, la extensión de labanda ancha móvil, y la multipli-cación de servicios como correo ycomercio electrónicos, cloud computing, redes sociales y mu - chos otros directamente asociadosa la web. Todo ello ha generadoimportantes beneficios económi-cos y sociales, al punto de haberseincorporado como parte funda-mental de la vida diaria de los ciudadanos y permitido mayoresposibilidades de comunicación,colaboración y compartición.

La evolución tecnológica haincrementado, al mismo tiempo,la capacidad de recogida, uso yalmacenamiento de datos perso-nales, en gran medida por moti-vos de eficiencia, comerciales ode seguridad, por parte de múl-tiples agentes públicos y priva-dos. Un proceso que tiene lugaren un entorno abierto y global,donde se difuminan las barrerasterritoriales y los sistemas legalesque regulan la privacidad y el in-tercambio de datos de índolepersonal.

A medida que el tratamientode los datos personales se ha ido

desplazando hacia posiciones demayor relevancia para el desarro-llo de nuevos servicios —sea paraobtener ingresos a través de pu-blicidad o generar servicios máseficientes y competitivos—, la re-gulación asociada ha pasado deser un elemento lateral, que eranecesario cumplir, a constituirsecomo factor fundamental, almenos en dos aspectos: para pre-servar el derecho individual a laintimidad bajo los nuevos pará-metros de la realidad, pero tam-bién como potencial obstáculo ala actividad de los agentes, impo-niéndoles sobrecostes indebidos.

En ese contexto se está llevan-do a cabo la actualización delmodelo regulador europeo, cuyanorma fundamental, la Directivade protección de datos de 1995,lleva sometida desde 2007 a pro-ceso de revisión y consulta. La re-ciente propuesta de Reglamentogeneral de protección de datos,realizada a principios de 2012,supone el inicio del proceso le -gislativo ordinario por el que laComi sión, el Parlamento y el Con-sejo avanzarán hacia la configu-ración del nuevo marco europeode protección de datos que seprevé entrará en vigor entre 2015y 2016.

Este artículo presenta el mo-delo regulador de protección dedatos en Europa (sección II), asícomo la propuesta de la Comi-sión (sección III) y la situación

LA REGULACIÓN DE LA PRIVACIDADY SU IMPACTO EN EL

ECOSISTEMA DIGITAL (*)Jorge PÉREZ MARTÍNEZ

Arturo VERGARA PARDILLO

Zoraida FRÍAS BARROSOUniversidad Politécnica de Madrid

D

06 La regulación - Pérez Vergara Frías_advantia 11/06/13 11:02 Página 87

actual del trámite legislativo de lapropuesta (sección IV). Posterior-mente, se analiza el posible im-pacto de la propuesta sobre eldesarrollo de algunos de los prin-cipales servicios y aplicaciones delecosistema digital como el cloudcomputing, la publicidad online,las redes sociales o las aplicacio-nes móviles (sección V). Por últi-mo (sección VI), se presentan lasconclusiones.

II. EL MODELO REGULADORDE PROTECCIÓN DEDATOS EN EUROPA

La protección de datos es underecho fundamental en Europaconsagrado por el artículo 8 de laCarta de los Derechos Funda-mentales de la Unión Europea asícomo por el artículo 16(1) delTratado de Funcionamiento de laUnión Europea (TFUE). El marcole gislativo de protección de datospersonales en la Unión Europea sebasa en la Directiva 1995/46/EC,conocida como la Directiva deprotección de datos.

La Directiva de protección dedatos se aplica a cualquier trata-miento automático de datos per-sonales. La Directiva estipula quelos Estados miembros deberánasegurar que los datos perso -nales sean recogidos para fines determinados, explícitos y legíti-mos, siendo adecuados, per -t inentes y no exces ivos conrelación a los fines para los quese recaben y para los que se tra-ten posteriormente.

La Directiva establece la figurade responsable del tratamien -to de los datos, que queda sujetaa un conjunto de obligacionesentre las que destacan las si-guientes: garantizar la calidad delprocesado de los datos, propor-cionar a los titulares de los datosinformación sobre la identidad

del propio responsable del trata-miento y sobre los fines por losque se procesan los datos, asícomo obligaciones sobre confi-dencialidad, notificaciones obli-gatorias a la Autoridad Nacionalde Protección de Datos (ANPD) yel establecimiento de controlesprevios en los casos que puedansuponer riesgos específicos paralos derechos y libertades de los titulares de los datos.

La Directiva establece tambiénlos derechos de los que disfru-tan los titulares de los datos, de-signando a los Estados miembroscomo garantes de su cumpli-miento. Entre ellos están los de-rechos de acceso, rectificación,oposición, el derecho a un recur-so judicial y el derecho a recibiruna reparación por parte del res-ponsable de datos en casos deperjuicios como consecuenciade un tratamiento ilícito.

Para articular la supervisión yel control de las disposiciones es-tablecidas en la Directiva de 1995se dispone la creación de autori-dades independientes, las Auto-ridades Nacionales de Protecciónde Datos, dotadas de poderes deinvestigación e intervención. Ade-más, se establece un grupo detrabajo de protección de las per-sonas en lo que respecta al trata-miento de datos personales, eldenominado Grupo de Trabajosobre Protección de Datos del Ar-tículo 29 o GT29. El Grupo tienecomo cometido el estudio de lascuestiones relativas a la aplica-ción de la Directiva, la emisión dedictámenes, recomendaciones yasesoría a la Comisión Europea.

La protección de datos en elámbito de las telecomunicacio-nes está regulada, además de porla Directiva de protección dedatos de 1995, por la Directiva2002/58/EC sobre la privacidad ylas comunicaciones electrónicas,

enmendada en 2006 (2006/24/EC)y en 2009 (2009/136/EC).

La Directiva sobre la privaci-dad y las comunicaciones electró-nicas y sus enmiendas posteriorestienen como objetivo la protec-ción de los datos personales y laprivacidad de los usuarios en elcontexto de los avances de lastecnologías digitales, Internet ylos servicios de comunicacioneselectrónicas fijos y móviles reali-zados a través de redes públicasde comunicaciones.

La Directiva establece un con-junto de obligaciones y salva-guardas mayores que en loscasos donde solo es de aplicaciónla Directiva de protección dedatos, entre las que destacanmayores requisitos de seguridady confidencialidad, prestar infor-mación en relación a los riesgosexistentes, informar a la autori-dad nacional competente en casode una violación de los datos per-sonales, restringir las comunica-ciones no deseadas, limitar lacapacidad de almacenamiento ytratamiento de los datos de tráfi-co, así como establecer la obliga-ción de un consentimiento previopara poder utilizar dichos datoscon motivos de promoción co-mercial.

Este marco normativo supusoun hito en la historia de la pro-tección de datos. Se armonizaronlas normas sobre protección dedatos y se establecieron los prin-cipios para la transmisión dedatos personales fuera de la UEteniendo en cuenta las infraes-tructuras de telecomunicacio-nes existentes. También permitiódotar de mayor confianza y pro tección a los servicios de co-municaciones electrónicas, favo-reciendo el rápido desarrollo delos servicios de telecomunicacio-nes y fomentando el desarrollode Internet.

LA REGULACIÓN DE LA PRIVACIDAD Y SU IMPACTO EN EL ECOSISTEMA DIGITAL

PAPELES DE ECONOMÍA ESPAÑOLA, N.º 136, 2013. ISSN: 0210-9107. «LAS TELECOMUNICACIONES EN ESPAÑA»

88


Sin embargo, la falta de armo-nización durante la implementa-ción del marco de protecciónde datos, junto a la necesidad deadap tarlo a los nuevos retos plan-teados por el avance tecnológicoy la globalización, han llevado ainiciar un proceso de revisión dela legislación en materia de pro-tección de datos. La propia comi-saria Viviane Reding reconoceque «dentro del nuevo y compli-cado entorno digital actual, estasnormas ya no ofrecen el nivel dearmonización requerido ni son losuficientemente eficientes comopara garantizar el derecho a laprotección de los datos persona-les. Y ese es el motivo por el cualla Comisión Europea ha propues-to una reforma fundamental delmarco europeo sobre la protec-ción de datos».

El proceso de revisión, iniciadoen 2007, ha contado con diver-sas consultas públicas, foros dedebate y comunicaciones de laComisión Europea y del Parla-mento Europeo. En enero de2012, la Comisión Europea pro-puso un Reglamento general deprotección de datos para quesustituya a la Directiva de protec-ción de datos de 1995.

III. EL NUEVO MARCOREGULADOR. LAPROPUESTA DE LACOMISIÓN EUROPEA

El 25 de enero de 2012 la Co-misión Europea hizo pública supropuesta para sustituir a la Di-rectiva de protección de datos de1995. Dicha propuesta inicia elproceso legislativo ordinario quepermitirá la configuración delnuevo marco europeo de protec-ción de datos que entrará envigor entre 2015 y 2016.

El marco planteado por la Co-misión se compone de un Regla-

mento para la protección de losindividuos en relación al trata-miento de sus datos personales yal libre movimiento de dichosdatos (conocido como Regla-mento general de protección dedatos), y que reemplazará a la Di-rectiva 95/46/EC, y de una Direc-tiva de protección de datos en losámbitos de la cooperación poli-cial y judicial en materia penal,que reemplazará a la DecisiónMarco 2008/977/JHA. Este nuevomarco para la protección dedatos introduce dos cambios sig-nificativos de manera inmediata.

En primer lugar, la utilizaciónde un Reglamento en lugar deuna Directiva como instrumentolegal para definir las reglas relati-vas a la protección de datos. A di-ferencia de las directivas, cuyafunción prescriptiva debe sertranspuesta por cada uno de losEstados miembros a su propia le-gislación nacional, dando portanto lugar a posibles divergen-cias entre la implementación rea-lizada por distintos países, elreglamento supone la forma másdirecta de ley en la Unión Euro-pea, al ser directamente vincu -lante en los distintos Estadosmiembros. Una vez que el Re -glamento sea aprobado, pasará aformar parte de los sistemas le-gales de los distintos países, ase-gurando la armonización delmarco regulador de la privacidady la protección de datos.

En segundo lugar, la existen-cia de una Directiva que permitearmonizar el tratamiento de losdatos personales en materia deinvestigación policial y judicialpor primera vez tras el cambiogenerado por la entrada en vigordel artículo 16 del Tratado de Lis-boa, facilitando así el trabajo po-licial y la lucha contra el crimen.

El alcance del Reglamento esel conjunto de los ciudadanos de

la Unión Europea de manera di-recta, así como todas las empre-sas que dirijan sus servicios aestos, sin importar la radicaciónde la empresa en cuestión.

El Reglamento se refiere tam-bién a cuestiones relacionadascon la ampliación de derechospara los ciudadanos de la UniónEuropea e incluye los siguientesaspectos:

— El reconocimiento del dere-cho al olvido mediante la obli -gación expl íc i ta de que losresponsables del tratamiento dedatos los eliminen cuando se so-licita expresamente y cuando noexista un motivo legítimo para re-tenerlos.

— La configuración de la pri-vacidad por defecto, de formaque los parámetros por defectosean la no compartición de datos.

— El refuerzo del derecho a lainformación de manera que losindividuos comprendan por com-pleto cómo se manipulan susdatos personales, en especialcuando las actividades de trata-miento afecten a menores.

— La garantía de acceso fácila los datos propios y el derecho ala portabilidad de los datos y, enconcreto, conceder el derecho aobtener una copia de los datosalmacenados por el responsabledel tratamiento así como a la li-bertad de desplazarlos de un pro-veedor de servicios a otro, sinobstáculos.

En relación con las empresasque lleven a cabo procesos de re-copilación, almacenamiento, ges-tión y procesamiento de datosdeberán:

— Reforzar sus medidas deseguridad para evitar posiblesviolaciones de datos personales.

89PAPELES DE ECONOMÍA ESPAÑOLA, N.º 136, 2013. ISSN: 0210-9107. «LAS TELECOMUNICACIONES EN ESPAÑA»

JORGE PÉREZ MARTÍNEZ · ARTURO VERGARA PARDILLO · ZORAIDA FRÍAS BARROSO


— Comunicar la existencia deuna filtración de datos personalesa la ANPD competente y a los in-dividuos afectados sin demora(normalmente veinticuatro horas).

— Minimizar el volumen dedatos personales que se recabany procesan.

— Garantizar un consenti-miento explícito, es decir, que seotorgue mediante declaración omediante acción afirmativa porparte de la persona en cuestión,y que se conceda libremente.

— Obligar a los responsablesdel tratamiento de los datos aque designen un encargado deprotección de datos en empresascon más de 250 empleados y enlas que lleven a cabo procesa-mientos arriesgados.

— Efectuar «evaluaciones deimpacto sobre protección de da -tos» para aquellas empresas quelleven a cabo procedimientosarriesgados.

— Extender el alcance de lasnormas anteriores a grupos de em-presas que puedan compartir datospersonales.

En relación con los principiosadministrativos de seguimiento,control, ejecución y aplicación, elReglamento introduce las si-guientes novedades destinadas ala creación de un verdadero mer-cado único:

— Una simplificación del en -torno regulatorio al anular forma -lidades burocráticas como losrequisitos generales de notificación.

— La creación de un sistemade «ventanilla única» para la pro-tección de datos en la UE que ga-rantizará que los responsables dedatos de las sociedades europeassolo tengan que tratar con una

única Autoridad Nacional de Protección de Datos (ANPD) corres-pondiente a la del Estado miem-bro donde esté situada su sede.

— El establecimiento de meca-nismos para la colaboración, coor-dinación y coherencia entre todaslas ANPD europeas, incluyendo laobligación de que una ANPD inicieinvestigaciones si así lo solicitaraotra de ellas y el principio de reco-nocimiento mutuo de las decisio-nes adoptadas en cumplimientode la legislación europea sobreprotección de datos, para garan -tizar así el cumplimiento siste -mático de los derechos deprotección de todos los ciudada-nos europeos.

— La conversión del Grupo deTrabajo del Artículo 29 (1) en unConsejo Europeo de Protecciónde Datos con el fin de mejorar sucontribución a la aplicación siste-mática de las leyes sobre protec-ción de datos y de ofrecer unabase sólida de cooperación entrelas ANPD, incluyendo al supervi-sor europeo de Protección deDatos, lo cual fomentará las si-nergias y la efectividad.

— El incremento de los recur-sos administrativos y judicialescorrespondientes ante infraccio-nes relativas a los derechos de laprotección de datos. En particu-lar, las asociaciones cualificadaspodrán emprender medidas lega-les en nombre del individuo.

— El establecimiento de san-ciones administrativas de hasta el2 por 100 de la facturación mun-dial de la empresa, que las ANPDestán facultadas para imponer.

IV. EL TRÁMITE LEGISLATIVODE LA PROPUESTA

Tras la presentación de la pro-puesta de la Comisión, a princi-

pios de 2012, se inició el trámiteparlamentario con la presenta-ción de informes y opiniones conenmiendas a la propuesta. Du-rante el otoño de 2012, diferen-tes comisiones parlamentariaspublicaron proyectos de dictá -menes sobre el Reglamento ge-neral de protección de datos(Comisión de Mercado Interno yProtección del Consumidor, Co-misión de Asuntos Jurídicos,Comi sión de Empleo y AsuntosSociales y Comisión de Industria,Investigación y Energía) y sobre laDirectiva (Comisión de AsuntosLegales). Uno de los asuntos se-ñalados por los ponentes detodas las comisiones son losactos delegados, proponiéndoseen muchos casos la supresión debuena parte de ellos.

La Comisión de Mercado In-terno y Protección al Consumidoraplaude en su dictamen el esfuer-zo realizado para el fortaleci-miento de los derechos de losconsumidores, especialmente enrelación con el consentimiento.Sin embargo, considera que senecesitan aún detalles y aclara-ciones. Estas puntualizacionesabarcan una ampliación del dere-cho de supresión, el desarrollo deprotección específica para losmenores de 14 años, la revisiónde la definición propuesta de«datos personales», una mayorclarificación de las responsabili-dades de las figuras de «respon-sable de los datos» y «encargadodel tratamiento de los datos», yreevaluar el impacto de la regula-ción en relación con la creaciónde perfiles.

Por su parte, la Comisión deEmpleo y Asuntos Sociales pro-pone aumentar la consideraciónde la protección de datos de losempleados, al que se dedica pocaatención en el nuevo Reglamen-to. La interpretación del Regla-mento para su aplicación a los



90


trabajadores no es senci l la. Además considera que el Regla-mento debería ser el pilar fun -damental, pero que pudieran desarrollarse disposiciones adi-cionales de carácter nacional queampliaran los derechos efectivos.Manifiesta, asimismo, la impor-tancia de reforzar la plena inde-pendencia de los delegados deprotección de datos con respectoa las organizaciones, de modoque no puedan verse sometidosa presiones en el ejercicio de susfunciones.

La Comisión de Asuntos Jurí -dicos apoya mantener una defi -nición ampl ia de «datosper sonales» y del principio delconsentimiento explícito, asícomo fortalecer la protección delos niños y el derecho al olvido.Considera, además, que se nece-sita introducir explícitamente unprincipio general de responsabili-dad del responsable de los datos,así como un sistema de recono-cimiento mutuo para las Autori-dades Nacionales de Protecciónde Datos. Esta Comisión apoya lamagnitud de las sanciones admi-nistrativas, pero muestra reservasacerca de la capacidad de las autoridades de supervisión paraimponerlas.

La Comisión de Industria, In-vestigación y Energía solicita unarevisión de los plazos y las condi-ciones para las responsabilidadesy notificaciones de violaciones dedatos. Enfatiza además en elpapel que juegan las solucionestécnicas, como la «privacidaddesde el diseño» y la anonimiza-ción de datos, insistiendo en quedeben establecerse prioridadespara proteger aquellos datos mássensibles. Además, el ponente dela Comisión hace especial hinca-pié en la importancia de evitarconsecuencias no deseadas en laaplicación del nuevo Reglamen-to, que puedan derivar en per -

juicio de otras libertades (la deprensa), o actividades para la jus-ticia (lucha contra el crimen fi-nanciero, contra el fraude en eldeporte) o para la investigación(smart grids, sistemas de trans-porte inteligente).

En diciembre de 2012, los ponentes del Comité de Justicia,Derechos Fundamentales y Ciu-dadanía dieron su apoyo total almarco de protección de datospropuesto por la Comisión Euro-pea en sus objetivos de estable-cer un marco global de protec-ción de datos, acabando con lafragmentación legislativa y re-forzando los derechos de losciu da danos sobre la privacidadonline.

No obstante, los ponentesplantearon enmiendas a la pro-puesta en la línea del fortaleci-miento de los derechos individua-les, entre los que se incluye elderecho al olvido. En el informedel eurodiputado Albrecht, po-nente del Comité de Justicia, Derechos Fundamentales y Ciu-dadanía, en relación con el Regla-mento, cabe destacar su insisten-cia en que este sea de aplicacióntanto en el sector público comoen el privado, en contra de lo quedefienden otros agentes. Ade-más, respecto a los mecanismosy herramientas que provee el Re-glamento, se apunta a las si-guientes mejoras:

— Que el sistema de «ven -tanilla única» esté apoyado porla creación de una Agenciade Protección de Datos europeae independiente, que puedatomar decisiones legalmente vinculantes para las AutoridadesNacionales de Protección deDatos.

— Que se favorezca el uso enlas empresas de seudónimos y dedatos anónimos y que se refuerce

la idea del consentimiento explí-cito para el procesado de datos,insistiendo en la inteligibilidad delas políticas de privacidad. Tam-bién se considera el refuerzo delderecho al olvido haciendo a lascompañías que hayan transferidodatos a terceros sin una baselegal legítima que procedan a borrar los.

— Que se refuerce la aplica-ción de la normativa europea aempresas cuyos servicios vayandirigidos a ciudadanos europeoshaciendo énfasis en que no senecesita que exista un pago delusuario al proveedor de serviciospara que esta normativa sea deaplicación.

— Que se garantice la provi-sión de recursos humanos y otrosrecursos por parte de las ANPDpara poder hacer cumplir la legis-lación europea.

— Que se eviten, en la medi-da de lo posible, los actos dele-gados, haciendo las provisionesmás detalladas en el propio Re-glamento, a lo que la ComisiónEuropea ya ha mostrado su dis-posición a considerar (2).

— En relación con la Directiva,que se proporcione a las ANPDmás capacidad para cooperar encasos transfronterizos.

En el momento de la redac-ción, la Comisión Europea ha cerra do el plazo de presentaciónde enmiendas y se encuentra en per iodo de discusión de las mismas. Se espera que en eltranscurso de la pri mavera de2013 la Eurocámara puedavotar un texto, que pasará a dis-cutirse con los Estados miembrospara tener finalmente un Regla-mento antes de que acabe la le-gislatura europea, a principiosde 2014.




V. IMPACTO DELA PROPUESTADE REGLAMENTO DE PROTECCIÓN DE DATOS EN EL ECOSISTEMA DIGITAL

En esta sección se analiza elposible impacto que la propues-ta de Reglamento general deprotección de datos de la Comi-sión Europea, descrito en la sec-ción anterior, puede tener sobrealgunos de los principales servi-cios del ecosistema digital. Enconcreto, se analizan los casosde las tecnologías de cloud computing, la publicidad online,las redes sociales y las aplicacio-nes móviles.

1. Cloud computing

El cloud computing se presen-ta como una nueva oleada detecnología de la información quepermite a ciudadanos, empresasy administraciones un acceso rá-pido, flexible y escalable a ca -pacidad de almacenamiento ytratamiento de la información.Consiste en el almacenamien -to de datos (tales como archivosde texto, imágenes y vídeo)y de software en ordenadoresremo tos a los que los usuarios ac-ceden vía Internet a través de losdispositivos de su elección.

El cloud computing permitetrasladar mayores economías deescala a la prestación de serviciosdigitales, consiguiendo mayorflexibilidad y menor precio final.La Comisión Europea ha estima-do que el uso masivo de estos sis-temas por parte de empresas ydel sector público permitirá lacreación de 2,5 mil lones de nuevos puestos de trabajo en Eu ropa, así como un incrementoanual del PIB en la UE igual a160.000 millones de euros (entorno a un 1 por 100 del PIB) deaquí a 2020.

Para fomentar el desarrollo delcloud computing en Europa, laComisión Europea publicó el 27de diciembre de 2012 una estra-tegia para «liberar el potencial dela computación en la nube en Europa». La Comisión identifica la incertidumbre generada por elmarco de protección de datos de1995 como una de las principalesbarreras al desarrollo del cloud yapuesta por una rápida adopcióndel nuevo marco de protección dedatos propuesto por la Comisión.

Sin embargo, algunos análisisrealizados (Queen Mary University,2012) señalan que la aplicacióndel Reglamento mantendrá y, enalgunos casos, incrementará lasincertidumbres y cargas a las quese ven sometidos los proveedoresde servicios cloud. A continua-ción se describen las principalescuestiones problemáticas identi-ficadas hasta ahora y se analiza elpotencial impacto de la propues-ta de Reglamento general de pro-tección de datos.

1.1. Transferencia internacionalde datos personales

Los servicios de cloud se carac-terizan, entre otros elementos,por estar distribuidos en diferen-tes zonas geográficas. La ubica-ción de los servidores y de losdatos no afecta, en principio, alos servicios prestados. Sin em-bargo, la existencia de marcos deprotección de datos distintos endiferentes regiones geográficasgenera limitaciones en la presta-ción de los mismos e incertidum-bres entre usuarios, gobiernos ylos propios proveedores de cloud.

En el caso europeo, la transfe-rencia de datos personales fuerade las fronteras está limitadasalvo para casos de países quegaranticen un nivel de protecciónadecuado, o en el caso del cum-

plimiento de cláusulas específicascomo es el acuerdo de Puerto Se-guro con Estados Unidos (SafeHarbour). A diferencia de losgrandes agentes en este segmen-to como Amazon, Apple, Googleo Microsoft, no está tan claroque otros agentes de menor ta-maño como Pro Softnet o Dropboxdispongan de servidores fuera desu mercado natural ni que hayanobtenido acuerdos de Puerto Se-guro (3). Estas cuestiones puedenlimitar el desarrollo de centros dedatos en mercados de menor ta-maño y suponer una barrera a lainnovación.

La propuesta de Reglamentodefine su ámbito de aplicaciónsegún un criterio de oferta deservicios, introduciendo el con-cepto de establecimiento princi-pal cuya aplicación práctica esincierta (Queen Mary University,2012). De esta forma, es impro-bable que la redacción actual dela propuesta del Reglamentoconsiga resolver las incertidum-bres sobre la aplicabilidad o node la regulación de protección dedatos para aquellos casos en losque usuarios externos a la UE uti-licen un proveedor de servicioscloud o un centro de datos den-tro de la UE.

Además, el Reglamento impo-ne como requisito adicional a losya existentes la necesidad deaprobación de las transferenciaspor parte de los organismos reguladores correspondientes,crean do mayores cargas paraaquellas empresas europeas queutilicen servicios cloud.

1.2. Clarificación de los rolesde responsable deltratamiento y encargadodel tratamiento

El Foro Económico Mundial(World Economic Forum, 2011)



92


señala la necesidad de clarificar elreparto de responsabilidad entreel prestador de los servicios decloud, habitualmente un agenteintermediario para el que losdatos almacenados o procesadosen sus servidores son transparen-tes, y el responsable del trata-miento, que es quien utiliza elservicio cloud para realizar el tra-tamiento de los datos personales.

El marco europeo solo distin-gue dos tipos de agentes involu-crados en el tratamiento de losdatos personales: el «responsabledel tratamiento» (4), que esquien determina los fines y losmedios del tratamiento de datospersonales; y el «encargado deltratamiento» (5), quien tratadatos personales por cuenta delresponsable del tratamiento. Lacuestión en este caso es si elagente de cloud será consideradocomo responsable o encargadodel tratamiento, caso en el quecontraería responsabilidadessobre los datos personales quepueden impedir el desarrollo desus servicios.

En Queen Mary University(2012) y en Renda y Guido (2012)se argumenta que el modelo deresponsabilidades de la propues-ta de Reglamento de la Comisiónno encaja bien con la naturalezade los proveedores de servicioscloud, quienes deberían ser con-siderados meros «auxiliares».

1.3. Problemas de seguridaden el cloud computing

La confianza de usuarios yempresas en la seguridad de losservicios cloud se sitúa como unode los elementos principales quefrenan la adopción de los mis-mos. En este sentido, los temasde seguridad señalados por elForo Económico Mundial se cen-tran en mejorar la seguridad, in-

tegridad y disponibilidad de losdatos, así como la garantía de quelos datos se eliminan una vezque no son necesarios o cuandolo solicitan los responsables deltratamiento.

El futuro Reglamento puedejugar un papel muy importanteen este sentido, gracias a los re-quisitos de notificación de las violaciones de datos y las sancio-nes económicas, que contribui-rán a la mejora de la seguridad yla confianza en estos nuevos ser-vicios.

2. Publicidad online

La publicidad online se sitúacomo una de las principales fuen-tes de ingresos para un gran nú-mero de modelos de negocioasociados a servicios en Internety como un elemento central yclave para el desarrollo del eco-sistema. La evolución tecnológicay el propio desarrollo de Internethan permitido pasar de los pri-meros banners genéricos a unaoferta de publicidad personaliza-da, basada en la observación delcomportamiento del individuo através de sus acciones. Las princi-pales ventajas de este tipo de publicidad radican en que los in-dividuos reciben una publicidadmás útil y que los anunciantesrea lizan una mejor selección desu audiencia, permitiendo a lossitios web incrementar su valor eingresos.

Los principales agentes involu-crados en la provisión de publici-dad son los proveedores de redespublicitarias (conocidos como adnetworks), quienes conectan alos anunciantes con múltiples pá-ginas web o interfaces (comoaplicaciones móviles) que entre-gan la publicidad a los usuariosfinales. Entre estos agentes sepuede encontrar a Google

AdSense o Yahoo! AdvertisingSolutions.

La inversión en publicidad me-diante banners y en sitios web enEstados Unidos superó los11.000 millones de dólares en2011 ( Internet Advert is ing Bureau, 2012), lo que supuso un34,8 por 100 de toda la inversiónen publicidad en Internet y un aumento del 15 por 100 sobre2010. De estas cifras de inversiónonline en Estados Unidos, Googlecaptura más del 40 por 100,mientras que Yahoo o Microsoftse limitaban a una cuota del mer-cado estadounidense del 11 y del6 por 100 respectivamente (6).

Los problemas asociados ala pri vacidad online surgen de lautilización de tecnologías de mo-nitorización del comportamientopara la elaboración de perfiles deusuario que permitan personali-zar la publicidad. Estas tecnolo-gías se basan habitualmente enel uso de cookies, que son insta-ladas por los ad networks en elnavegador o equipo de usuario.

Los perfiles de usuarios se ge-neran mediante la combinaciónde perfiles explícitos, creados apartir de los datos proporciona-dos directamente por los usua-rios —por ejemplo durante elregistro en un servicio web—, yperfiles predictivos, que se creana partir de técnicas de minería dedatos (data mining) sobre la in-formación del comportamientoalmacenado. Asimismo, en lacrea ción de los perfiles de usuariose utiliza información adicionalcomo puede ser la localización—por ejemplo obtenida a partirde la dirección IP—, informacióndisponible por la integración deotros servicios web del mismoproveedor o por integración oacuerdos con terceros, o bases dedatos de comportamiento adqui-ridas por el ad network.




De esta forma, la prestaciónde servicios de publicidad basadaen el comportamiento generadistintas cuestiones relacionadascon la privacidad y con el trata-miento de los datos personalescomo son la gestión del consen-timiento, la creación de perfiles yla distribución de responsabilida-des. Estas cuestiones se abordana continuación, analizando paracada una de ellas el posible im-pacto que puede tener la entradaen vigor del nuevo Reglamento.

2.1. Gestión del consentimiento

La mayoría de los usuarios noson conscientes de que su com-portamiento al navegar en Internetpuede ser monitorizado por lasredes publicitarias. Por ello, la revisión de la Directiva sobrela privacidad y las comunicacio-nes electrónicas de 2009 esta -bleció el requisito de obtener elconsentimiento informado delusuario para poder almacenar in-formación o para acceder a infor-mación previamente almacenadaen el terminal del usuario.

Estos requisitos, que implicanun mecanismo de consentimientopositivo u opt-in, suponen uncambio relevante frente al funcio-namiento de los mecanismos demonitorización del comporta-miento online, que en general rea -lizan la instalación de cookies enlos navegadores configuradospara no rechazarlas (7) y permi-ten mecanismos de opt-out enlos que los usuarios se puedendar de baja de los servicios volun-tariamente.

Este cambio de enfoque ha re-cibido el rechazo frontal de la in-dustria de la publicidad y losmedios (8), considerándolo muyperjudicial para la experiencia deusuario —al ver interrumpidaconstantemente su navegación—

así como para el atractivo de laInternet europea y su capacidadde innovación. En términos delimpacto sobre el negocio, la in-troducción de la obligación deconsentimiento previo disminui-ría la efectividad de la publicidadonline sobre el cambio de inten-ción de compra en un 65 por100, lo que podría generar unatendencia negativa en la inver-sión publicitaria en Internet (9).

2.2. Datos personalesy creación de perfiles

El Grupo de Trabajo del Ar tículo29 considera que, en aquelloscasos en los que la infor macióncapturada permite la identifica-ción del individuo (10), el uso detécnicas de monitorización delcomportamiento online está su-jeto tanto al cumplimiento de laDirectiva sobre la privacidad y lascomunicaciones electrónicascomo a la Directiva de Protecciónde Datos (Article 29 Data ProtectionWorking Party, 2010).

En este sentido, es probableque la propuesta de Reglamentoafecte a la publicidad online, limi-tando la elaboración de perfilesal consentimiento positivo porparte del interesado. Además, lapropues ta recoge tambiénel derecho de oposición para eltratamien to de datos para finesde mercadotecnia directa, lo quepodría tener un impacto signifi-cativo en los ingresos de los pro-veedores de servicios financiadoscon publi cidad.

2.3. Clarificación de los rolesde responsable deltratamiento y encargadodel tratamiento

La aplicación del Reglamentopuede tener impacto, además deso bre las redes de publicidad, so -

bre los propios anunciantes ysobre aquellos sitios web que pu-bliquen los anuncios. El GT29considera que son estos últimosagentes quienes inician el trata-miento de los datos personales yque, por tanto, tienen cierta res-ponsabilidad en el tratamientode los mismos.

En aquellos casos en los que elsitio web no se limite a la redirec-ción a la red de publicidad sinoque activamente recoja ciertosdatos y los envíe, el sitio webpodrá ser considerado como responsable conjunto del trata-miento y verse sometido a lasobliga cio nes pertinentes. Por suparte, los anunciantes pueden serconsiderados como responsablesdel tratamiento de los datos personales si también capturan información de la clasificación delusuario y la combinan con elcomportamiento del mismo durante la visita o con los datosde registro.

La industria europea de publi-cidad cree (11) que la aplicaciónde la propuesta de Reglamen -to de la Comisión Europea tendrácomo consecuencia el incremen-to de las cargas administrativas ylos costes asociados al conside-rarse como datos personales lainformación utilizada para la mo-nitorización del comportamiento.Han manifestado que, además, laamplitud en la definición de losdatos personales considerada enla propuesta de la Comisión im-plicará que, en la mayoría de loscasos, los agentes involucradossean considerados como respon-sables del tratamiento cuando enmuchos casos el objetivo no es laidentificación de los afectados.En ese sentido, este sector ha so-licitado la consideración de unanueva categoría de datos que re-fleje esta situación y equilibre lasobligaciones con los riesgos exis-tentes.



94


3. Redes sociales

Las redes sociales representanuna nueva generación de plata-formas colaborativas y de interac-ción social entre individuos. Estetipo de redes, que agrupan ausuarios con intereses y objetivoscomunes y que permiten la co-municación con otros usuarios(conocidos o desconocidos), hanalcanzado más de 4.300 millonesde usuarios (12) y copan cada vezuna mayor parte del tiempo quelos usuarios dedican a Internet.

El contenido principal de lasredes sociales es proporcionadopor los propios usuarios a travésdel desarrollo de sus perfiles, fo-tografías, vídeos, comentarios orecomendaciones. El número deusuarios, el tipo y la cantidadde información disponible sobrelos mismos, la visibilidad de losdatos y la capacidad de la pla -taforma para integrar dicha in -formación con terceras partes oaplicaciones suponen algunos delos elementos más relevantes quedeterminarán el éxito de una redsocial.

La mayor parte de las redessociales basan parte de sus ingre-sos en la publicidad online, ya seaprestada a través de plataformaspublicitarias propias o a través deacuerdos con redes de distribu-ción de publicidad. De hecho, lainversión en publicidad en lasredes sociales alcanzó los 6.000millones de dólares en 2011,entre las que destaca principal-mente Facebook (13) con más deun 67 por 100.

Los problemas de privacidaden las redes sociales se han incre-mentado respecto a otro tipo deservicios online debido a la facili-dad con la que los usuarios reve-lan información personal, asícomo a la falta de percepción delos mismos sobre los riesgos aso-

ciados y a la dificultad de algunosusuarios para configurar adecua-damente estas herramientas.

Los principales temas de pri -vacidad en relación con las redes sociales han sido analizadas endistintos informes a nivel europeo,entre los que se pueden destacarlos elaborados por ENISA, TheEuropean Network and InformationSecurity Agency (ENISA, 2007;2010; 2012). Por su parte, elGrupo de Trabajo del Artículo 29de la Directiva de Protección deDatos publicó en 2009 su opi-nión sobre las obligaciones querecaen sobre los proveedoresde redes sociales para cumplircon la regulación europea de pro-tección de datos (Article 29 DataProtection Working Party, 2009).Mientras, a nivel internacionaldestaca el informe adoptado porel International Working Groupon Data Protection in Telecom-munications en 2008, conocidocomo el Memorándum de Roma(International Working Group onData Protection in Telecommuni-cations —IWGDPT—, 2008).

La revisión del marco regula-dor europeo y el debate que estásiguiendo a la propuesta de laComisión suponen una granoportunidad para alinear la de-fensa de los derechos de losusuarios con mecanismos másflexibles que faciliten el desarrollode los servicios prestados por lasredes sociales. La propuesta de laComisión para la revisión delmarco regulador europeo incor-pora cambios relevantes queplantean diversos problemas.Muchos son similares a los pre-sentados en el caso de la publici-dad online, por lo que a conti-nuación se describen los queresultan más específicos por lanaturaleza de las redes sociales.

Uno de los problemas quemayor alcance puede tener es la

modificación del ámbito de apli-cación del Reglamento, pasandoa afectar las disposiciones previs-tas a todas las empresas quepresten servicio en Europa. En elcaso de las redes sociales, estecambio resulta muy relevante alestar un gran número de ellas es-tablecidas fuera de las fronteraseuropeas.

3.1. Recogida de datospersonales

Uno de los principales proble-mas de privacidad en las redessociales es el tipo y cantidad deinformación recogida por estas.En ese sentido, existe un desaco-ple entre el principio de minimi-zación de datos, que requiere alos responsables del tratamientoque limiten los datos recogidos aaquellos «adecuados, pertinentesy no excesivos con relación a losfines para los que se recaben ypara los que se traten posterior-mente» (14), con la naturaleza delas mismas, que tratan de reco-ger la mayor cantidad de datospara permitir la construcción deperfiles más ricos y precisos queincrementen su valor como pla-taforma bilateral.

La propuesta de Reglamentode la Comisión Europea introdu-ce un requisito explícito que obli-ga a las redes sociales (comoresponsables del tratamiento delos datos) a minimizar el volu-men de datos personales de losusuarios que se recaban y proce-san, lo cual puede estar en muchoscasos en clara contraposición a lapropia naturaleza de la red social.

3.2. Derecho al olvido

Otro de los aspectos más pro-blemáticos es el relacionado conel tiempo que una red socialmantiene almacenados los datos




de los usuarios y con la capaci-dad de estos de eliminar definiti-vamente una información quepreviamente se ha publicado enlas redes sociales.

Según la Directiva de protec-ción de datos, los datos persona-les deberán ser «conservados […]durante un periodo no superioral necesario para los fines paralos que fueron recogidos o para losque se traten ulteriormente» (15).Este principio es de aplicacióntanto a la información creada porel usuario —que puede quererconservar indefinidamente (16)—,como a la basada en su compor-tamiento.

Asimismo, algunas de las re dessociales de mayor éxito —comoFacebook o Google+— se en-cuentran establecidas en EstadosUnidos, por lo deben adherirse alTratado de Puerto Seguro parapoder transferir datos personalesde ciudadanos europeos fuera delas fronteras de Europa. Sin em-bargo, los principios establecidosen este tratado no incluyen laobligación de eliminar los datostras un periodo de tiempo, lo queha generado problemas en laaplicación del principio de al -macenamiento planteado en la Directiva, y ha impulsado el de -sarrollo del derecho al olvido enla propuesta de Reglamento de laComisión Europea.

Empresas como Facebook(17) han defendido públicamenteel derecho de los usuarios a eli-minar su cuenta y sus conteni-dos. Sin embargo, insisten enque el alcance de esta supre-sión que la propia red social escapaz de garantizar queda confi-nado a la misma, no pudiendoejercerse sobre aquellos conteni-dos que hayan sido extraídos ypublicados en lugares externos.Sin embargo, el nuevo Regla-mento incluye la obligación del

responsable del tratamiento delos datos de informar a tercerossobre la solicitud de supresión to-mando todas las medidas «razo-nables», lo que puede resultartremendamente ambiguo en unared social. Además, Facebook haadvertido (Allan, 2012) que enuna red social, donde suele habercontenido que pertenece a variosusuarios, la implementación delderecho al olvido puede entrar enconflicto con otros derechos,como el de la libertad de expre-sión, excepción que está contem-plada en la propuesta de laComisión.

3.3. Visibilidad de los datosy configuración por defecto

La visibilidad de la informaciónproporcionada por los usuariossupone uno de los princi palesriesgos para su privacidad, y laconfiguración que la plataformaproporcione para los distintos niveles, ya sean contactos o «ami-gos» del usuario, otros usuariosde la red social o información dis-ponible desde fuera de la red so-cial —por ejemplo accesibledesde buscadores—, se ha situa-do como un elemento de conflic-to potencial.

Los riesgos para la privacidadpueden surgir de un uso no de-seado por terceras partes de losdatos personales que se hacen vi-sibles por los propios usuarios,hecho cada vez más común (18).Aunque la legislación europeaprohíbe el tratamiento de datospersonales sin el consentimientode los usuarios, la mayor disponi-bilidad de datos públicamente vi-sibles y la falta de percepción delos usuarios de los riesgos supo-nen un problema añadido.

En este sentido, los superviso-res de protección de datos pre-sionan para que la configuración

de privacidad por defecto seamás restrictiva, pues es previsibleque un número significativo deusuarios no la modifique. La pro-puesta de Reglamento estableceen su artículo 23 que «[…] pordefecto, los datos personales nosean accesibles a un número in-determinado de personas». Porsu parte, Facebook (Allan, 2012)asegura que los ajustes por de-fecto en la actualidad están esta-blecidos para que los usuariospuedan encontrar a sus amigosfácilmente y protejan al mismotiempo los datos más sensibles.Sin embargo, actualmente losparámetros por defecto permitenla búsqueda de usuarios a travésde su correo electrónico o teléfo-no, y la muestra del perfil en losmotores de búsqueda, por citaralgunos.

3.4. Integración con terceros

Las redes sociales pueden ac-tuar como plataformas en las queterceras partes prestan servicios yen las que el acceso a la informa-ción de los usuarios depende delos permisos prestados y de lasAPI implementadas. Existe ungran abanico de aplicaciones dis-ponibles entre las que se incluyenjuegos, aplicaciones de gestiónde chats, de integración de pre-ferencias (por ejemplo Spotify),etcétera.

Los principales problemas eneste sentido pueden derivar de lafalta de transparencia sobre eluso de los datos personales, deuna falta de proporcionalidad enlos permisos requeridos por ter-ceros, o de la ausencia de unagranularidad suficiente en el acceso a los datos por parte deterceros y, fundamentalmente,de la falta de mecanismos deconsentimiento que permitan di-ferenciar los permisos prestados,siendo la cesión de datos el único



96


modo de poder utilizar una de-terminada aplicación.

El GT29 (Article 29 Data Pro-tection Working Party, 2009) con-sidera que en los casos en los quesea la red social quien medie paraprestar el acceso a los datos, de-berá asegurar que las aplicacionescumplen con las Directivas euro-peas. Mientras, en el caso en elque sea el usuario el que hayamediado para que una aplicacióntercera tenga acceso a sus datos,la responsabilidad recaerá exclusi-vamente sobre las terceras partes.

En cualquier caso, el impactodel Reglamento en el funciona-miento actual de las aplicacionesintegradas en las redes socia -les abarca muchas de las cues -tiones problemáticas tratadasanteriormente como el derechoal olvido, la gestión del consenti-miento, el derecho de oposicióny la minimización de los datos re-cogidos y procesados.

3.5. Usuarios de las redessociales como responsablesdel tratamiento de datospersonales

La distribución de responsabili-dades en las redes sociales es máscompleja que en otros casos por-que los propios usuarios puedenser considerados responsables deltratamiento de los datos al publi-car datos propios o de tercerosusuarios (Article 29 Data ProtectionWorking Party, 2009), lo quepuede resultar problemático en laaplicación de la normativa.

Las casuísticas principales res-ponden a situaciones que exce-den la exención de «actividadesdomésticas» implementada porla Directiva de protección dedatos y contemplada en el Regla-mento, como son: 1) el uso de lasredes sociales para actividades

empresariales, colaborativas, co-merciales, políticas, etc.; 2) enaquellos casos en los que la infor-mación del perfil se encuentra enuna esfera de visibilidad abierta atodos los usuarios de la red socialo indexable desde buscadores ex-ternos (19); y 3) cuando se pro-duce el tratamiento o publicaciónde datos de terceras partes.

4. Aplicaciones móviles

Las aplicaciones móviles se encuentran en un mercado na-ciente y dinámico con una altacapacidad de trasladar los bene-ficios de la innovación a los usua-rios finales. Este mercado haex perimentado un crecimientoex plosivo en los últimos tres añosy medio, pasando de cerca de las600 aplicaciones disponibles enel lanzamiento de las tiendas deaplicaciones de Apple y Android,al más de medio millón de apli-caciones en el App Store deApple y más de 380.000 aplica-ciones disponibles en AndroidMarket en 2012 (FTC, 2012).

El rápido crecimiento del mer-cado proporciona oportunidadesy beneficios muy significativospara los usuarios, pero tambiénpuede generar problemas en re-lación a la privacidad. Las aplica-ciones móviles pueden acceder aun amplio abanico de informa-ción sobre el usuario, como datosde geolocalización muy precisos,número telefónico, agenda decontactos, registros de llamadas,identificadores de usuario y delterminal, así como otra informa-ción almacenada en el dispositivoentre las que se pueden encon-trar vídeos o fotografías.

El manejo de los datos perso-nales y de otra información aso-ciada a los individuos es uno delos factores competitivos en estemercado por tres motivos princi-

pales. En primer lugar por la ca-pacidad de innovación que supo-ne, ya que un uso adecuado dela información accesible puedepermitir el diseño de aplicacionesnovedosas capaces de atraer a losusuarios. En segundo lugar por lacapacidad de mejorar la moneti-zación de las aplicaciones móviles,en muchos casos basadas en eluso de publicidad cuya eficienciaaumenta con la personali za -ción basada en el comportamien-to, y en otros casos mediante lapuesta a disposición de los datosa terceros. Y en tercer lugar, porla propia imagen y confianza per-cibida por los usuarios en las apli-caciones, cuya adopción tieneuna fuerte dependencia en la opi-nión de otros usuarios al verse reflejada durante su compra o ins-talación la puntuación otorgada ylos comentarios realizados porotros usuarios (sean estos buenoso malos).

De esta forma, si bien los dis-tintos agentes tienen incentivospara realizar un uso intenso delos datos personales en las apli-caciones móviles, el rechazo a di-chas prácticas o la desconfianzade los usuarios puede suponeruna desventaja competitiva rele-vante. No es por tanto de extra-ñar que, pese a lo incipiente deeste mercado, ya se hayan gene-rado algunos conflictos en rela-ción a la privacidad de los datospersonales (20) y de los derechosde los usuarios (21), y previsible-mente irán en aumento.

La problemática que afecta alas aplicaciones móviles es similara la de la publicidad online (dehecho, la publicidad supone laprincipal fuente de ingresos deeste mercado). Sin embargo, estaproblemática se ve magnificadadebido a la inmensa cantidad dedatos a la que se puede tener acceso, dadas las capacidades delos nuevos teléfonos inteligentes.




Por lo tanto, afecta a la transpa-rencia y control del usuario, lagestión del consentimiento, elderecho de oposición y la minimi-zación de los datos recogidos. Símerece especial mención el casode la distribución de responsabi-lidades entre los distintos agentesque participan en este mercado.

4.1. Distribución deresponsabilidades

En un ecosistema tan comple-jo como el de las aplicacionesmóviles, resulta muy relevante ladistribución de las responsabi -lidades en relación a la privacidadde los datos personales entre losdesarrolladores de las mismas,los sistemas operativos que lesdan acceso a los distintos recur-sos, los fabricantes de terminalesy los operadores móviles. En estetipo de entornos, resulta relevan-te que los distintos intermediariosentre el usuario y la aplicaciónimplementen protecciones parasalvaguardar frente a un mal usode los datos personales (como lasolicitud de consentimiento al acceso a los recursos previo a lainstalación, o la disponibilidad deuna opción fácil de ejecutar quebloquee el acceso de las apps alos datos de localización), pero elhacerles responsables del uso delos datos personales realizadospor terceros puede suponer unimportante impacto negativo aldinamismo de este mercado.

Al igual que en el caso delcloud computing, la división deresponsabilidades que figura enla propuesta de Reglamento de laComisión Europea no es fácil deidentificar en el negocio de lasaplicaciones móviles. El responsa-ble del tratamiento de los datosdebería ser, a priori, el gestor dela aplicación, es decir, quien lapublica en las tiendas de aplica-ciones. Sin embargo, la platafor-

ma intermediaria, propietaria dedicha tienda y vinculada al siste-ma operativo del teléfono, podríaser también considerada, en cier-tas circunstancias, responsabledel tratamiento.

VI. CONCLUSIONES

La propuesta de Reglamentogeneral de protección de datosde la Comis ión Europea se en frenta a la difícil labor de equi -librar los derechos de los ciuda-danos en materia de protecciónde datos —y su cumplimientoefectivo—, con la necesidad deimpulsar el desarrollo de los nue-vos servicios en el ecosistema di-gital. A continuación se enume-ran las principales conclusionesde este trabajo.

1. Necesidad de cambio regu-lador y mayor armonización. Lanecesidad de actualizar los mar-cos de regulación, asumiendo losnuevos parámetros y circunstan-cias que impone el carácter ma-sivo de Internet, es común atodos, por lo que es momentooportuno para establecer unaconvergencia reguladora, sin ne-cesidad ni riesgo de situar unaconcepción o tradición históricapor encima de las demás.

2. Mantener el factor compe-titivo entre los distintos agentes.Cualquier asimetría reguladoradeviene en ventaja/desventajacompetitiva, con un potencial al-tamente distorsionante para lasoportunidades de presencia activaen los distintos negocios. Europadebe estar particularmente aten-ta, habida cuenta de precedentes—poco favorables— ya consoli-dados en el mundo Internet.

3. Incrementar la seguridad ju-rídica. De una parte, se aprecianecesario para las empresas conpresencia activa en distintos mer-

cados; de otra, para los propiosusuarios, de forma que no veanlimitada la capacidad de ejercitarsu derecho a la protección.

4. Evitar la aparición de «paraí -sos» relativos a la privacidad y protección de datos. Parece impor-tante evitar cualquier posible situa-ción de extraterritorialidad, seafísica o sectorial, que propicie laconsolidación de sitios con capaci-dad competitiva incrementada porquedar al margen de la norma.

5. Mejorar transparencia y se-gur idad . La consecución deambos efectos, sin duda precisospara que el usuario sienta efica-ces las garantías, solo se antojafactible si existe un marco comúnde obligada observancia paratodos los agentes, con indepen-dencia de cuál sea su ubicación.

6. Consentimiento transpa-rente. La falta de conciencia e in-cluso conocimiento del usuariosobre los datos que está vertien-do en la Red se suele extender alalcance del consentimiento tácitao explícitamente otorgado. Pare-ce, pues, preciso fijar estándarescomunes de transparencia sobrela captura de datos y nuevas for-mas de otorgar consentimientoque sean lo más asequibles posi-ble al usuario medio, sin obligarlea la realización de procedimien-tos o trámites complejos ni exi girleun conocimiento es pecializado,sea técnico o jurídico.

NOTAS

(*) La investigación realizada en este ar tículo ha sido financiada por Fundación Te-lefónica. Se puede encontrar una versión másamplia del mismo en el libro El debate sobrela privacidad y seguridad en la Red: Regula-ción y mercados, Cuaderno 36, EditorialAriel, 2012.

(1) Véase www.agpd.es/portalwebAGPD/internacional/Europa/grupo_29_europeo/index-ides-idphp.php.

(2) Véase http://europa.eu/rapid/press-release_SPEECH-12-764_en.htm.



98


(3) En el caso de Dropbox, este alcanzó elcumplimiento del acuerdo SafeHarbour con laUE en febrero de 2012 (http://blog.dropbox.com/?p=972). Hasta ese momento no cum-plía con los requisitos para realizar transferen-cia de datos personales entre Europa yEE.UU., forzando a dicha empresa a instalarservidores para prestar servicio en Europa o alimitar su actividad en Europa a usos pura-mente domésticos (excepción de uso domés-tico del art. 3 de la Directiva de Protección deDatos).

(4) Conocido también como el controla-dor de los datos derivado de la traducción deltérmino en inglés data controller.

(5) Conocido también como el procesa-dor de los datos derivado de la traducción deltérmino en inglés data processor.

(6) Véase http://www.emarketer.com/blog/index.php/tag/online-ad-revenues/.

(7) La opinión 2/2010 del ARTICLE 29 DATAPROTECTION WORKING PARTY sobre publicidad ba-sada en el comportamiento considera que eluso de un navegador configurado para acep-tar cookies no representa el consentimientoinformado que requiere el artículo 5(3) de laDirectiva de Privacidad de las ComunicacionesElectrónicas. Para que el consentimientopueda darse a través de la configuración delnavegador, el GT29 considera que debendarse las siguientes condiciones: 1) que el na-vegador esté configurado para rechazar pordefecto todas las cookies de terceras partes yque obligue al usuario a aceptar de forma ac-tiva la configuración y la transmisión conti-nuada de información a un tercero; y 2) queel navegador, en combinación con las redesde publicidad, presente de forma visible, claray comprensible la información necesaria parahacer de dicha decisión una decisión informa-da. Asimismo, el GT29 considera que los na-vegadores deberían estar configurados pordefecto para rechazar el almacenamiento y latransmisión de cookies de terceras partes. Eneste contexto, el desarrollo de estándares téc-nicos como el Do-Not-Track puede suponerun impulso relevante para resolver la proble-mática de privacidad relacionada con la pu-blicidad online.

(8) En 2009 se presentó una posiciónconjunta al Parlamento durante el proceso derevisión del Marco Regulador Europeo (véasehttp://www.epceurope.org/issues/epc-joint-industry-position-on-the-european-parlia-ment-amendments-regarding-cookies-e-privacy-directive.pdf). Posteriormente, la industriaeuropea se opuso frontalmente a la interpre-tación realizada por el Grupo de Trabajo delArtículo 29 en su opinión 2/2010 sobre laobligatoriedad del consentimiento previo(véase http://www.iabeurope.eu/public-af-fairs/e-privacy-directive/europe%E2%80%99s-data-privacy-regulators%E2%80%99-latest-opinion-on-cookies-is-out-of-step-with-online-businesses-and-their-consumers.aspx).

(9) Según FORRESTER, la inversión en publi-cidad en Europa Occidental es una cuartaparte inferior a la de Estados Unidos. Esta di-ferencia es más notable si se tiene en cuentael mayor número de usuarios de Internet en

Europa (373 millones frente a 213 en EE.UU.).La combinación de una regulación de publi-cidad más estricta junto con el mayor númerode contenidos en páginas estadounidensespueden justificar parte de esta diferenciaciónen inversión publicitaria.

(10) En este sentido, la opinión del GT29es que la utilización de este tipo de técnicasde monitorización suele involucrar el trata-miento de datos personales, ya sea porque seutiliza la dirección IP de los sujetos, o porquela información obtenida está relacionada conlas características de una persona o de sucomportamiento.

(11) Como ejemplo se puede observar larespuesta de la delegación de Reino Unido dela IAB (INTERNET ADVERTISING BUREAU) a la peti-ción de comentarios y evidencias realizada porel gobierno de Reino Unido sobre el impactode la propuesta de la Comisión Europea. Dis-ponible en: http://www.iabuk.net/sites/default/files/EC%20Data%20Protection%20Rules%20%20IAB%20UK%20response%20to%20MoJ%20Call%20for%20Evidence.pdf.

(12) Véase http://vincos.it/social-media-statistics/.

(13) Véase http://www.socialmediapor-tal.com/News/2011/01/Social-media-ad-spend-to-hit-6-billion-worldwide-in-2011.aspx.

(14) Artículo 6(1)(c) de la Directiva de pro-tección de datos.

(15) Artículo 6(1)(e) de la Directiva de protección de datos.

(16) Por ejemplo, Facebook planteó en surespuesta a la consulta pública de la ComisiónEuropea sobre la revisión del marco reguladorde protección de datos, que sus usuarios utili-zan Facebook como una plataforma de alma-cenamiento de contenido a largo plazo, y quela eliminación de dichos datos sin el permisode los usuarios podría generar un perjuicio re-levante para los usuarios y para el funciona-miento y reputación de la propia red social.

(17) Para más información véasehttps://www.facebook.com/help/359046244166395/.

(18) Véase http://www.bits.blogs.nyti-mes.com/2012/03/30/girls-around-me-ios-app-takes-creepy-to-a-new-level/.

(19) El Grupo de Trabajo del Artículo 29recuerda que si bien estos casos no estaríanexentos por la cláusula de «actividades domés-ticas», sí podrían estarlo por otras, como poractividades periodísticas, artísticas o literarias.

(20) Por ejemplo la polémica surgida en2011 por el almacenamiento de los datos delocalización producido en terminales de Appley algunos de los basados en el sistema opera-tivo Android. Véase http://www.huffington-post.com/2011/05/10/senate-panel-apple-google-location-data-privacy_n_860155.html.

(21) Por ejemplo, el caso de Instagram,cuya nueva política de privacidad y términos ycondiciones se anunciaron a final de 2012 re-sultando en una pérdida espectacular de usua-rios de la aplicación por considerarlas abusivas.

BIBLIOGRAFÍA

ALLAN, R. (2012), «La posición de Facebooksobre la privacidad y la seguridad», enThe debate on privacy and security over thenetwork. Regulation and markets, Funda-ción Telefónica, pp. 143-147.

ARTICLE 29 DATA PROTECTION WORKING PARTY(2009), Opinion 5/2009 on online socialnetworking, WP163.

— (2010), Opinion 2/2010 on online behaviouraladvertising.

ENISA (2007), Security issues and recommendationsfor online social networks.

— (2010), Online as soon as it happens.

— (2012), Study on data collection and storage in the EU.

EUROPEAN COMMISSION (2010), Communicationfrom the Commission to the EuropeanParliament, the Council, the Economicand Social Committe and the Commiteeof the Regions. A comprehensive approachon personal data protection in the EuropeanUnion. COM(2010)609 final.

— (2011a), ePrivacy Directive: circumstances,procedures and formats for personal databreach notifications. http://ec.europa.eu/information_society/policy/ecomm/library/public_consult/data_breach/index_en.htm.

— (2011b), Cloud computing: public consulta-tion report.

EUROPEAN PARL IAMENT (2011), European Parliament resolution of 6 July 2011 ona comprehensive approach on personaldata protection in the European Union.2011/2025(INI).

GOLDFARB, A., y TUCKER, C. (2011), «Privacy regulation and online advertising», Management Science, 57-71.

GSMA (2011), Privacy design guidelines formobile application development.

INTERNATIONAL WORKING GROUP ON DATA PROTECTIONIN TELECOMMUNICATIONS (IWGDPT) (2008),Report and guidance on social networkservices («Rome Memorandum»).

INTERNET ADVERTISING BUREAU (2012), InternetAdvertising Revenue Report, 2011 fullyear report.

MMA (2011), Mobile application privacy policiy framework.

QUEEN MARY UNIVERSITY (2012), Cloud LegalProject. Centre for Commercial Law Studies.

RENDA, A., y GUIDO, L. (2012), The economicsof cloud computing. CEPS Digital Forum.

WORLD ECONOMIC FORUM (2011), AdvancingCloud Computing: What to do now?Priorities for Industry and Governments.World Economic Forum in partnershipwith Accenture.




la regulaciÓn de la privacidad y su impacto en el

Documents