El delegado de protección de datos, en el punto de mira

A partir de mayo, ciertas empresas están obligadas a nombrar un delegado de protección de datos. Hay bastantes comentarios hechos ya por internet con sus funciones, el problema de su independencia, formación y un largo etcétera. Pero no he visto ningún comentario relativo a la exposición pública a la que se van a ver sometidos los individuos que ocupen esta posición.

Tanto los responsables como los encargados tienen que publicar los datos de contacto de este sujeto, tal y como se dice en el artículo 37.7 del Reglamento:

El responsable o el encargado del tratamiento publicarán los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control

Además hay que comunicárselos a la autoridad de control. En nuestro caso, a la Agencia Española de Protección de Datos.

El proyecto de Ley Orgánica de protección de datos dice en el apartado IV de su exposición de motivos que “La designación del delegado de protección de datos ha de comunicarse a la autoridad de protección de datos competente. La Agencia Española de Protección de Datos mantendrá una relación pública y actualizada de los delegados de protección de datos, accesible por cualquier persona. Y así lo establece en el punto 4 de su artículo 34:

La Agencia Española de Protección de Datos y las autoridades autonómicas de protección de datos mantendrán, en el ámbito de sus respectivas competencias, una lista actualizada de delegados de protección de datos que será accesible por medios electrónicos.

No cabe duda de que es un buen ejercicio de transparencia, a primera vista suena muy bien esto de conocer al sujeto que es el responsable del sistema de protección de datos que tiene en marcha una empresa.

Ahora enlacemos esta bondad del nuevo sistema con la también transparente publicación de las resoluciones sancionadoras por parte de la Agencia Española de Protección de Datos. Como resultado, nuestro afortunado delegado se verá expuesta su competencia o incompetencia profesional ante la opinión pública cuando la empresa en la que desempeña sus funciones sea sancionada.

Cuando este sistema lleve funcionando un tiempo, cualquier departamento de recursos humanos tendrá un elemento más de juicio sobre la eficacia profesional de estos individuos solo con mirar en una página web.

Sí, ya sé que soy muy retorcido; ya sé que hay sanciones que no serán atribuibles directamente al mal ejercicio de la profesión, y que juegan muchas circunstancias… Pero es una situación que se va a presentar,  y creo que debiéramos reflexionar sobre ella.

Por cierto, ¿dónde se dice en el Reglamento que la autoridad de control tenga que publicar los datos del delegado de protección de datos? Porque solo menciona los datos de contacto, que no tienen por qué ser los datos personales del delegado… ¿No está yendo el legislador más allá de lo que toca?

Anteproyecto de ley orgánica de protección de datos

El viernes 23 de junio el Ministerio de Justicia publicó una nota de prensa donde se afirma que el Gobierno impulsa el anteproyecto de Ley Orgánica de protección de datos para adaptar la legislación española al Reglamento 2016/679 antes de que este entre en vigor el próximo 18 de mayo de 2018.

Esperemos que este ejercicio de transposición legislativa se haga mejor que los dos anteriores, ya que tanto la antigua LORTAD, como la vigente LOPD y su Reglamento vieron cómo su articulado terminó en el Constitucional.

Es de destacar que, aunque tanto la directora de la AEPD, como el secretario general técnico del Ministerio de Justicia aseguraron que tendríamos nueva Ley, el ahora diputado socialista d. Artemi Rallo, cuestionó que fuera a aprobarse a tiempo.

Acceso a préstamos: tu círculo de amigos en Facebook puede influir

Está demostrado que mi comportamiento en Internet puede determinar que las empresas puedan subirme o bajarme el precio de un producto o servicio si tienen la información suficiente. Es discriminación de precios pura y dura, y así actúan por ejemplo las compañías aéreas usando las “cookies”.

En 2012 escribí el siguiente comentario, en un post sobre precios basados en el comportamiento, a propósito de un más que probable empleo de nuestra información de nuestros perfiles en las redes sociales:

En muchas páginas web además nos permiten identificarnos con los mismos credenciales de acceso a esas redes, así que con eso se facilita la exploración y posterior explotación de nuestro perfil.

Se veía venir y además me quedé corto.

Guardo en mi Diigo un enlace a una patente de Facebook que se llama “Autorización y autenticación basada en la red social de un individuo”. A priori, si consultas con tus colegas técnicos, el nombre no dice nada del otro mundo, pero como vamos a ver a continuación, esconde algo bastante interesante.

En la explicación de la patente, en un párrafo recóndito, dice lo siguiente:

In a fourth embodiment of the invention, the service provider is a lender. When an individual applies for a loan, the lender examines the credit ratings of members of the individual’s social network who are connected to the individual through authorized nodes. If the average credit rating of these members is at least a minimum credit score, the lender continues to process the loan application. Otherwise, the loan application is rejected.

Cuando alguien use sus credenciales de Facebook para identificarse en la solicitud de un crédito a través de Internet, el prestamista podrá acceder a las calificaciones de crédito de los amigos del solicitante.

Impresionante, y a la vez, tan sencillo que resulta brillante. Gracias a esto se abre la posibilidad de evaluar no sólo el perfil crediticio del solicitante, sino añadir a éste una evaluación de sus amistades, lo que afectará a la decisión final de la concesión o no del crédito. Todo el mundo tiene un círculo de amistades con parecidas circunstancias sociales y económicas, pero hasta ahora creo que ese criterio jamás había entrado bajo la lupa de los prestamistas.

A la vista de ello, cobra sentido que Facebook haya impuesto una política de uso de nombres reales desde hace un tiempo, poniendo las bases para servicios de este tipo donde es esencial la correcta identificación del individuo, llegando incluso a la suspensión de cuentas anónimas bajo denuncia.

Los usuarios lo interpretarán como una invasión más en su privacidad. Los prestamistas defenderán que esto les da mayor seguridad en sus transacciones y una consiguiente disminución del riesgo. Ahora sólo queda esperar a la puesta en marcha esta funcionalidad, que supongo que primero se hará en EE.UU. Luego vendrán las consecuencias prácticas, ya que estoy seguro de que las habrá.