Saltar al contenido

akademik :: SIQURË

Pacto Digital para la Protección de las Personas

¿Qué es el Pacto Digital para la protección de las personas?

El Pacto Digital, promovido por la Agencia Española de Protección de Datos (AEPD), es un gran acuerdo por la convivencia ciudadana en el ámbito digital, compatibilizando la protección de datos con la innovación, la ética y la competitividad profesional o empresarial.

Nuestra adhesión a esta iniciativa es una manifestación pública del compromiso que SIQURË mantiene con la protección de datos y el respeto a la privacidad de las personas, mediante un uso responsable y ético de la tecnología.

Este compromiso nos implica y conlleva asumir compromisos en nuestro quehacer cotidiano como son:

Impulsar la transparencia.
Promover la igualdad de género, la protección de la infancia y de las personas en situación de vulnerabilidad.
Garantizar que las tecnologías eviten perpetuar sesgos o aumentar las desigualdades existentes, evitando la discriminación algorítmica por razón de raza, procedencia, creencia, religión o sexo, entre otras.

Una de las acciones importantes dentro de estos compromisos es la de difundir la existencia de un canal prioritario de la Agencia Española de Protección de Datos creado para atender las denuncias y solicitar la eliminación urgente de contenidos sexuales y violentos:

Si tienes conocimiento de la existencia de fotografías, vídeos o audios de contenido sexual o violento que circulan por Internet sin el consentimiento de las personas afectadas, solicita su retirada en el Canal prioritario de la AEPD.

Compromiso por la responsabilidad en el ámbito digital.

La protección de las personas en relación con el tratamiento de datos personales es un derecho fundamental.

La Constitución española garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen. Como derecho fundamental distinto reconoce el derecho a la autodeterminación informativa o libertad informática, que es el derecho a la protección de datos personales, complementario del anterior, pero que no se reduce sólo a los datos íntimos, sino que abarca todos aquellos que identifiquen o permitan la identificación de la persona, pudiendo servir para la confección de su perfil ideológico, racial, sexual, económico o de cualquier otra índole, o que sirvan para cualquier otra utilidad que en determinadas circunstancias constituya una amenaza para el individuo (STC 292/2000).

Los principios de igualdad, dignidad, no discriminación y el derecho a la integridad física y moral son principios jurídicos universales, consagrados en la Constitución Española, que asigna a los poderes públicos la obligatoriedad de promover las condiciones necesarias para que la igualdad y no discriminación sean efectivas.

El artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea y el artículo 16, apartado 1, del Tratado de Funcionamiento de la Unión Europea establecen que toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan.

El Reglamento General de Protección de Datos -Reglamento (UE) 2016/679 (RGPD)– y la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) configuran conjuntamente el desarrollo del derecho fundamental a la protección de datos de carácter personal.

La mayor novedad que presenta el RGPD es la evolución de un modelo basado en el control, fundamentalmente de carácter formal, del cumplimiento de la normativa de protección de datos a otro que descansa en el principio de responsabilidad activa, que exige una previa valoración por el responsable o por el encargado del tratamiento del riesgo que pudiera generar el tratamiento de los datos personales para, a partir de esa valoración, adoptar las medidas que procedan.

Así, con carácter general, el responsable deberá aplicar medidas adecuadas y eficaces y poder demostrar la conformidad de las actividades de tratamiento con la normativa aplicable (RGPD y LOPDGDD), incluida la eficacia de las medidas adoptadas, que se revisarán y actualizarán cuando sea necesario.

Dichas medidas deberán tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertades de las personas físicas (artículos 24.1 RPGD y 28 LOPDGDD).

SIQURË, como responsable de tratamientos de datos personales, adopta, por tanto, una actitud proactiva, incorporando el valor de la privacidad en su actividad ordinaria, garantizando el cumplimiento de este derecho como un activo de su organización y un elemento distintivo de su competencia en este ámbito.

Obligaciones específicas en el ámbito digital.

SIQURË, como responsable del tratamiento de datos de carácter personal, ha venido cumpliendo con las obligaciones establecidas en el Reglamento UE 2016/679, General de Protección de Datos (RGPD) y en la Ley Orgánica 3/2018, de Protección de Datos Personales y Garantía de Derechos Digitales (LOPDyGDD).

Ahora, con su adhesión al Pacto Digital para la Protección de las Personas, este cumplimiento deviene en un compromiso público por reforzar cada una de estas obligaciones desde la perspectiva de nuestra propia “responsabilidad proactiva”, incorporando el valor de la privacidad en todos los ámbitos de nuestra actividad y garantizando el cumplimiento de este derecho:

Informando a los usuarios y usuarias sobre el tratamiento de sus datos y el ejercicio de sus derechos.

Nos preocupamos por informar de forma clara y sencilla sobre los aspectos más importantes de los distintos tratamientos de datos que hace SIQURË, ya sea como responsable o como encargada del tratamiento identificando quién los trata, con qué base jurídica, para qué finalidad, y sobre la forma que tienen las personas de ejercer sus derechos.
Ponemos a disposición de las personas diferentes modelos que facilitan su cumplimentación y, en definitiva, el ejercicio de sus derechos sin que su uso sea obligatorio. No podrá denegarse el ejercicio de estos derechos en el caso de que la persona quiera ejercitarlos por un procedimiento o cauce diferente al que se le ofrezca (artículos 13 y 14 RGPD y 11 LOPDGDD).
Encontrarás amplia información en https://www.siqure.es/politica-de-privacidad/

Aplicando los principios relativos al tratamiento de datos.

Nos esforzamos en la aplicación a los tratamientos de datos de nuestros clientes y alumnos, trabajadores y colaboradores, instituciones y entidades con las que mantenemos relaciones de cooperación y colaboración, y proveedores, los principios de licitud, lealtad, transparencia, limitación de la finalidad, minimización, exactitud, limitación del plazo de conservación, integridad, confidencialidad y responsabilidad proactiva, con el alcance dado a los mismos por el artículo 5 del RGPD.

Garantizando la licitud del tratamiento.

Todos nuestros tratamientos de datos se realizan bajo el amparo de alguna de las causas establecidas en los arts. 6 y 9 RGPD, garantizando la licitud de su tratamiento.

Contando con el asesoramiento de un Delegado de Protección de Datos.

SIQURË cuenta con un Delegado de Protección de Datos (privacy@siqure.es) desde julio de 2018, aun sin estar dentro de los supuestos contemplados por RGPD o LOPDGDD.

Aplicando la privacidad “desde el diseño”  y por “defecto”.

Una obligación importante es la de aplicar, tanto a la hora de determinar los medios de tratamiento como en el momento del propio tratamiento, es decir, “desde el diseño”, medidas técnicas y organizativas apropiadas, e integrar las garantías necesarias en el tratamiento, a fin de cumplir eficazmente las obligaciones legales y proteger los derechos de las personas afectadas (artículo 25.1 RGPD).
A su vez, hay que promover la aplicación de las medidas técnicas y organizativas que, por defecto, sólo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento.
Aplicar la privacidad desde el diseño y por defecto son obligaciones a aplicar tanto en la recogida de datos como en su tratamiento, plazo de conservación y accesibilidad (artículo 25.2 RGPD).
La Agencia Española de Protección de Datos (AEPD) cuenta con numerosas Guias y Herramientas para facilitar este cumplimiento: https://www.aepd.es/sites/default/files/2019-11/guia-privacidad-desde-diseno.pdf

Responsabilidades como personas adultas.

El derecho fundamental a la protección de datos obliga a quienes tratan datos personales a adoptar una serie de medidas para garantizar la privacidad y seguridad de los datos, como son las indicadas en el apartado anterior.

Su incumplimiento puede dar lugar a distintas responsabilidades, que alcanzan tanto a la organización como a sus empleados. Aquí indicamos un breve resumen:

Responsabilidad administrativa por infracción de la normativa de protección de datos.

Entre los hechos que constituirían una infracción a la normativa de protección de datos y que serían, por tanto, susceptibles de sanción, se encuentran:

No facilitar la información que permita a las personas usuarias conocer quién y para qué tratarán sus datos personales.
Conseguir los datos personales de una persona de manera ilícita, engañosa o fraudulenta, en particular, mediante la suplantación de la identidad.
Utilizar los datos de carácter personal de una persona o comunicarlos a terceros sin una base jurídica que lo permita, en particular si se trata de datos sensibles como la ideología, religión, creencias, origen étnico, salud, vida y orientación sexual.
Utilizar los datos de carácter personal de una persona para fines distintos e incompatibles de aquellos para los que fueron recogidos.
Las víctimas de violencia de género gozan de especial protección que alcanza a la utilización, acceso y difusión de sus datos personales, a fin de evitar verse expuestas a   nuevos   riesgos   de   dicha naturaleza.
En particular, la difusión de datos especialmente sensibles de una persona física (en contenidos tales como imágenes, audios o videos de carácter sexual o violento que permitan identificarla) publicados a través de los diferentes servicios de internet sin consentimiento, se considera un tratamiento ilícito de datos personales y, por tanto, puede constituir una infracción de la normativa de protección de datos sancionable por la Agencia Española de Protección de Datos con multas que en los casos más graves pueden alcanzar los 20 millones de euros o el 4% del volumen global de facturación de la compañía (art. 83.5 RGPD).

Responsabilidad civil.

Los ciudadanos y ciudadanas podrían tener que indemnizar a la persona afectada por los daños y perjuicios, materiales y morales, que se deriven de su conducta ilícita en materia de protección de datos personales (artículos 82 RGPD; 1.101 y 1.902 Código civil).
Los padres, tutores, acogedores y guardadores legales o de hecho podrían tener que responder igualmente por los daños y perjuicios causados por sus hijos   y tutelados menores con sus dispositivos móviles (artículo 1.903 Código Civil).

Responsabilidad penal.

La evolución de las tecnologías de la información y la comunicación y la extensión de su uso a través de los servicios y aplicaciones de Internet, como redes sociales,   mensajería   instantánea o correo electrónico en dispositivos inteligentes, ha llevado a que se utilicen como un cauce habitual no sólo para la comisión de infracciones en materia de protección de datos, sino también hechos tipificados como delitos.
Expresiones como ciberacoso, ciberbullying, sexting, grooming, phishing, pharming o carding, que cada vez nos resultan más familiares, son términos en inglés que identifican situaciones de acoso, amenazas, coacciones, revelación de secretos, delitos sexuales, violencia de género o estafas.
El código penal tipifica determinadas conductas en el ámbito digital como delitos, como los que atentan a la integridad moral, de descubrimiento y revelación de secretos, de amenazas, coacciones, acoso; calumnias e injurias, de violencia de género, suplantación de identidad, o de daños informáticos, entre otros.

Responsabilidad para la empresa por infracciones en materia de relaciones laborales.

La Ley sobre Infracciones y Sanciones en el Orden Social tipifica como infracciones muy graves: “Los actos del empresario que fueren contrarios al respeto de la intimidad y consideración debida a la dignidad de los trabajadores” (artículo 8.11).
“El acoso sexual, cuando se produzca dentro del ámbito a que alcanzan las facultades de dirección empresarial, cualquiera que sea el sujeto activo de la misma” (artículo 8.13).
“El acoso por razón de origen racial o étnico, religión o convicciones, discapacidad, edad y orientación sexual y el acoso por razón de sexo, cuando se produzcan dentro del ámbito a que alcanzan las facultades de dirección empresarial, cualquiera que sea el sujeto activo del mismo, siempre que, conocido por el empresario, éste no hubiera adoptado las medidas necesarias para impedirlo” (artículo 8.13 bis).

Las infracciones muy graves se sancionan por la Inspección de Trabajo y Seguridad Social con multas que van desde 6.251 a 187.515 euros.

Se tipifican como infracciones graves en materia de prevención de riesgos laborales: “No llevar a cabo las evaluaciones de riesgos y, en su caso, sus actualizaciones y revisiones, así como los controles periódicos de las condiciones de trabajo y de la actividad de los trabajadores que procedan, o   no realizar aquellas actividades de prevención que hicieran necesarias los resultados de las evaluaciones, con el alcance y contenido establecidos en la normativa sobre prevención de riesgos laborales” (artículo 12.1.b).

Las infracciones graves se sancionan por la Inspección de Trabajo y Seguridad Social con multas que van desde 626 a 6.250 euros.

Infracciones en materia de igualdad.

La Ley Orgánica 3/2007, de 22 de marzo, para la igualdad efectiva de mujeres y hombres, en sus artículos 45 y 46, establece la obligación de que las empresas que reúnan ciertos requisitos (más de 50 trabajadores, cuando así lo establezca el convenio colectivo o lo acuerde la autoridad laboral en un procedimiento sancionador) dispongan de un plan de igualdad que contenga un conjunto de medidas tendentes a alcanzar la igualdad de trato y oportunidades entre mujeres y hombres, así como a eliminar la discriminación por razón de sexo.
Mediante el Real Decreto-Ley 6/2019, de 1 de marzo, se establecieron nuevas obligaciones, en especial en lo relativo a la constitución, características y condiciones para la inscripción y acceso al Registro de Planes de Igualdad.

 Responsabilidad para los empleados y empleadas.

Los trabajadores podrán ser sancionados por incumplimientos laborales, de acuerdo con la graduación de faltas y sanciones establecidas en las disposiciones legales o en los convenios colectivos aplicables, que, en caso de faltas muy graves, pueden llegar incluso al despido disciplinario (artículo 58 del Estatuto de los Trabajadores).
En el caso de personal funcionario, puede implicar el traslado, suspensión de funciones o incluso la separación del servicio (artículos 93 y siguientes del Estatuto Básico del Empleado Público).

Responsabilidades de los mayores de 14 y menores de 18 años.

La LOPDGDD establece que los mayores de 14 y menores de 18 años pueden prestar su consentimiento para la recogida y tratamiento de sus datos personales sin necesidad de contar con la previa autorización de los padres y pueden ejercitar por sí mismos los derechos que la ley confiere en este ámbito.

Esta facultad les confiere también distintos ámbitos de responsabilidad por sí mismos o, como en el caso de la responsabilidad civil, a través de sus padres.

Responsabilidad civil.

La responsabilidad de los menores de edad se gradúa por la edad. Así, los daños y perjuicios, tanto materiales como morales, causados a terceros originados por menores de edad, pero mayores de 14 años, dan lugar a la exigencia de responsabilidad civil con arreglo al siguiente esquema:

Los padres o tutores responden de manera solidaria cuando los daños y perjuicios se deriven de conductas tipificadas como delito.
Los padres o tutores responden igualmente cuando los daños y perjuicios se deben a actos que no sean delitos cometidos por quienes están bajo su guarda (culpa “in vigilando”), pero que se produzcan como consecuencia de una infracción a la normativa de protección de datos, con independencia de la responsabilidad administrativa en que por tal infracción se haya podido incurrir.

Responsabilidad penal.

La Ley Orgánica 5/2000, reguladora de la responsabilidad penal de los menores (LORPM) se aplica a las conductas tipificadas como delitos o faltas en el Código Penal o en leyes penales especiales cometidas por menores de edad entre 14 y 17 años.

Entre las medidas que se pueden imponer por los Jueces de Menores están el internamiento; el tratamiento ambulatorio; la asistencia a un centro de día para realizar actividades de apoyo, educativas, formativas, laborales o de ocio; la permanencia de fin de semana en el domicilio o en un centro; la libertad vigilada, etc.

Responsabilidad disciplinaria en el ámbito educativo.

En el ámbito educativo también dan lugar a responsabilidad disciplinaria, cuando se producen en los centros escolares, conductas como el acoso al alumnado, su intimidación, humillación, las ofensas graves, discriminación, o la violencia realizadas a través de las redes sociales y servicios equivalentes en internet y que en ocasiones responden a alguno de los delitos antes expuestos.

Responsabilidad laboral de los mayores de 16 años y menores de 18.

Los mayores de 16 y menores de 18 años tienen capacidad para contratar la prestación de sus trabajos con arreglo a los artículos 6 y 7 del Estatuto de los Trabajadores (siempre que vivan de forma independiente, con consentimiento de sus padres o tutores, o con autorización de la persona o institución que les tenga a su cargo) y, en esa medida, les es de aplicación idéntica responsabilidad que a las personas trabajadoras mayores de edad.

Responsabilidades de los menores de 14 años.

Los menores de 14 años carecen de responsabilidad penal, pero no por ello dejan de responder de los daños y perjuicios materiales y morales causados por sus actos.

Responsabilidad civil.

 La responsabilidad civil por los daños y perjuicios causados por menores de 14 años es exigible a los padres o tutores que los tengan bajo su guarda (culpa “in vigilando”).

Responsabilidad disciplinaria en el ámbito educativo.

Los menores de 14 años tienen la misma responsabilidad disciplinaria que la que se recoge para los mayores de 16 y menores de 18 años.

Compromiso con la Innovación, la Protección de Datos y la Ética.

La privacidad ha de entenderse como un valor, no como una mercancía que puede ser objeto de monetización.

La ética de la IA persigue proteger valores como la dignidad, la libertad, la democracia, la igualdad, la autonomía del individuo y la justicia frente al gobierno de un razonamiento mecánico.

Orientar la innovación y la toma de decisiones desde la perspectiva del respeto a la privacidad y bajo los principios de la ética y la responsabilidad digital, constituye un compromiso que debemos garantizar para las generaciones futuras.

La responsabilidad digital está estrechamente vinculada con el respeto por los derechos humanos. Así, respetar la privacidad, la intimidad y la confidencialidad de los datos personales, pero también promover la toma de decisiones libre e informada y la equidad, la transparencia y la rendición de cuentas son condiciones necesarias para evitar las prácticas discriminatorias, los usos no deseados (y también encubiertos), así como posibles asimetrías y vulnerabilidades, y en especial la toma de decisiones desde la opacidad.

La convergencia de tecnologías como por ejemplo la IA, el Big Data, el Internet de las Cosas, la biometría, el blockchain, el 5G o el uso de datos genéticos debe aplicarse de forma responsable analizando de forma anticipada los riesgos y los eventuales impactos que puedan tener en las personas destinatarias (individuos, colectivos, sociedad en su conjunto).

Resulta, pues, necesaria la toma de decisiones ética anticipando escenarios que puedan generar riesgos para la privacidad, en especial el de reidentificación, y que aumentan a medida que las tecnologías emergentes convergen.

Para ello, se considera una práctica recomendable fomentar la formación en ética y privacidad de los distintos agentes implicados, en especial aquellos que programan algoritmos y que toman decisiones, así como la alfabetización digital con carácter transversal.

En particular, los nuevos desarrollos tecnológicos deberán tener especialmente en cuenta los siguientes principios:

Impulsar la mayor transparencia posible para que los usuarios y usuarias conozcan qué datos se están recabando, cuándo se registran y para qué se emplean. Para alcanzar un nivel significativo de transparencia, las personas deberán contar con acceso a sus datos personales de un modo sencillo y fácil de utilizar.
Promover la igualdad de género, la protección de la infancia, de las víctimas y de las personas en situación de vulnerabilidad.
Garantizar que las tecnologías eviten perpetuar los sesgos o aumentar las desigualdades existentes, evitando la discriminación algorítmica por razón de raza, procedencia, creencia, religión, sexo o cualquier otra razón.
Realizar la minima intrusion en la vida e intimidad de las personas, garantizando un tratamiento proporcional y necesario que preserve las libertades individuales.
Implementar mecanismos de verificación, validad y acreditación que garanticen un tratamiento leal y la rendición de cuentas.

La perspectiva ética de la Inteligencia Artificial (IA), como una parte de la “ética digital”, es uno de los aspectos que más inquietud despierta.

La ética de la IA persigue proteger valores como la dignidad, la libertad, la democracia, la igualdad, la autonomía individual y la justicia frente al gobierno de un razonamiento mecánico.

Estos requisitos deben ser evaluados a lo largo de todo el ciclo de vida de un sistema de IA de forma continua y considerarse el posible impacto colateral de dichos tratamientos en un entorno social, más allá de las limitaciones concebidas inicialmente de propósito, de duración en el tiempo y de extensión.

En particular, un aspecto crítico de los sistemas de IA es el de la posible existencia de sesgos y en aceptar, sin espíritu crítico, los resultados de una IA como ciertos e inamovibles, asumiendo un “principio de autoridad” derivado de las expectativas creadas por dichos sistemas.

Una Inteligencia Artificial confiable y centrada en el ser humano ha de cumplir con siete requisitos clave: 

acción y supervisión humanas,
solidez técnica y seguridad,
gestión de la privacidad y los datos,
transparencia,
diversidad, no discriminación y equidad,
bienestar social y ambiental,
rendición de cuentas.

Decálogo de Buenas Prácticas en Privacidad para medios de comunicación y organizaciones con canales de fisusión propios

Como firmante del Pacto Digital para la protección de las personas, SIQURË se compromete a respetar en todos los canales de difusión propios el Decálogo de Buenas Prácticas en Privacidad, elaborado por la Agencia Española de Protección de Datos con la finalidad de fomentar la privacidad de las personas y, en especial, proscribir las diferentes formas de ciberviolencia o violencia digital:

Abstenerse de identificar de forma alguna a las víctimas de agresiones, hechos violentos o de contenido sexual en sus informaciones o de publicar información de la que, con carácter general, pueda inferirse su identidad.
Las informaciones difundidas por los medios no incluirán imágenes innecesarias desde el punto de vista puramente informativo, ya sea de forma cualitativa o cuantitativa, evitándose por tanto la repetición sistemática de las imágenes.
La Agencia Española de Protección de Datos tiene deber de confidencialidad y no facilitará información alguna sobre las víctimas o las personas que, sin serlo, han puesto en conocimiento de la Agencia la difusión de esos contenidos sensibles a través del Canal prioritario.
La AEPD respetará la protección de datos de los denunciados si fueran personas físicas, salvo que ellos mismos lo hubieran hecho público.
Cuando se ofrezca información sobre difusión digital de contenidos violentos, se advertirá sobre la responsabilidad disciplinaria, civil, penal y administrativa que podrían acarrear este tipo de conductas
No se disculpará o justificará de forma alguna al agresor que ha difundido contenidos sensibles de terceros sin consentimiento.
Se incorporará en lugar destacado, dentro de la página web de SIQURË, una referencia y enlace al Canal Prioritario de la Agencia Española de Protección de Datos.
En los contenidos publicados en internet que traten de violencia digital también se destacará que todas las personas afectadas por la difusión de dichos contenidos pueden efectuar la denuncia correspondiente a través del Canal Prioritario para solicitar la retirada de los contenidos.
El conocimiento de algún caso de violencia digital en el seno de SIQURË comportará la apertura del correspondiente procedimiento en averiguación de las responsabilidades a que hubiere lugar asegurando la privacidad de la víctima en todos los ámbitos.
Las medidas mencionadas en el punto anterior serán aplicables aunque los perfiles de las redes sociales de la víctima se encontrasen en abierto.

La relación completa de las entidades adheridas al mismo, así como la información completa sobre el mismo, se puede consultar en el site de la AEPD: https://www.aepd.es/es/pactodigital.

Este post Pacto Digital para la Protección de las Personas apareció originalmente en SIQURË Safety & Security.