El Derecho

Conócenos

CIVIL / PROTECCIÓN DATOS

Información sobre tratamiento de datos en la era digital: iconos y guantes

Por Gonzalo Félix Gállego Higueras

Hogan Lovells.

  • Imprimir

Proporcionar información "precisa" e "inequívoca" como exige el art. 5.1 de la LOPD, puede ser un reto en la era digital, donde muchos servicios se prestan a través de pantallas, en ocasiones muy pequeñas. En este texto se analiza brevemente esta problemática y se apunta una solución consistente en el uso de iconos informativos, tal y como ocurre en otros ámbitos como el cine o los videojuegos. 

El derecho a la protección de datos descansa en la información

El deber de información se erige como uno de los pilares básicos del derecho a la protección de datos, siendo considerado "indispensable" por nuestro Tribunal Constitucional en su célebre y decisiva Sentencia 292/2000, de 30 de noviembre de 2000[1].

La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal ("LOPD"), no escatima esfuerzos para situar a dicho deber de información en la posición preeminente que le corresponde, objetivo que logra a través de dos vías siempre discretas e indirectas.

En primer lugar, la LOPD reduce a la mínima expresión los supuestos de excepción que permiten al responsable exonerarse del cumplimiento de la obligación de información. Ello convierte al suministro de información sobre el tratamiento, en una obligación perenne, cuasi pétrea que jamás (o prácticamente jamás) puede soslayarse. Ello resulta notorio si comparamos la regulación sobre información del artículo 5 LOPD con otro de los pilares de la protección de datos como es el consentimiento.

Mientras que el artículo 6.2 de la LOPD prevé excepciones al consentimiento que son utilizadas prácticamente por cualquier responsable como (Ej. el tratamiento de datos de partes de un contrato cuando el tratamiento es necesario para su cumplimiento), las excepciones al deber de información contempladas en el artículo 5.2 de la misma Ley Orgánica, tienen un carácter cuasi marginal y no alcanzan a la actividad de la mayor parte de responsables.

Junto a ello, la LOPD convierte a la información en elemento fundamental de la materia de la que está hecho ese otro pilar de la protección de datos que es el consentimiento (que debe ser "informado"), de suerte tal que sin tal elemento, dicho segundo pilar deviene inconsistente e incapaz de sustentar y legitimar un tratamiento de datos.

Este extremo queda patente en el artículo 3(h) de la LOPD, que alude expresamente a la "manifestación de voluntad […] informada" al definir lo que debe entenderse por "consentimiento del interesado", o también en el artículo 11.3 LOPD que, en sede de comunicación de datos, declara nulo el consentimiento "cuando la información que se facilita al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquel a quien se pretenden comunicar".

Viendo el carácter preeminente que la mentada Ley Orgánica confiere al deber de información, es lógico que su cumplimiento se sitúe en el primer lugar de la agenda de todo aquel responsable del tratamiento sujeto a la LOPD.

El vago contenido del deber de información – para gustos, hay colores…

La regulación sobre el contenido de la información que debe ser proporcionada a los interesados se regula fundamentalmente en el artículo 5.1 de la LOPD. Tal precepto, además de identificar los extremos a ser cubiertos por dicha información, establece dos atributos que debe tener la misma, a saber: "precis[a] e inequívoc[a]".

La regulación citada es una paradoja en sí misma: es harto difícil encontrar términos menos "precisos" e inequívocos" para caracterizar a la información, que los escogidos por ese artículo de la LOPD. No existiendo estándares sobre lo que debe entenderse por "preciso" o "inequívoco",  la apreciación de la concurrencia de estos atributos en una información sobre tratamiento de datos, no puede responder sino que a criterios subjetivos.

En la práctica, ello quiere decir que, al igual que ocurre con los colores y los gustos,  podrá haber tantas opiniones acerca de lo que es "preciso" o "inequívoco" en una información, como sujetos  proporcionen (en el supuesto del responsable), reciban (en el supuesto del interesado) o valoren (en el supuesto del regulador o tribunales) la misma.

Sin embargo, a diferencia de lo que sucede con los colores, donde la disparidad de opinión o criterio no suele tener transcendencia, en el caso del deber de información del art. 5.1 LOPD, la diferente apreciación del responsable y, por ejemplo, la Agencia Española de Protección de Datos ("AEPD"), respecto a lo precisa o imprecisa de determinada información, puede dar lugar a una merma considerable en la pecunia del primero que, no habiendo atinado a dar con el criterio de la Agencia, debe ser sancionado al haber infringido la LOPD.

A consecuencia de ello, no es infrecuente que los responsables del tratamiento que operan en España (aunque tampoco es que esta actitud sea endémica de nuestro país) se "curen en salud" a la hora de redactar sus políticas de privacidad o cláusulas informáticas sobre el tratamiento de datos, deviniendo éstas extensos textos prolijos en detalles acerca del tratamiento de datos.

Ello puede ser especialmente acusado en el caso de servicios Web o prestados vía smartphones o tablets, donde los tratamientos de datos pueden ser especialmente intensos y el número de entidades que acceden a los datos elevado[2], dando lugar a múltiples flujos de datos que pueden tener finalidades diversas, dar lugar a cesiones de datos y transferencias internacionales, etc., de las que el usuario debe ser informado.

Con carácter general, nunca es recomendable que una política de privacidad sea larga y/o compleja. Sin embargo,  tales características son especialmente perniciosas en el caso de datos recabados a través de servicios Web y, más aun, mediante dispositivos smartphone o tablet. Si la lectura de una larga política de protección de datos ya puede ser un ejercicio duro  cuando está impresa en papel, la tarea se torna en hercúlea cuando la política debe ser visualizada en vertical en la pantalla de ordenador, más aún si dicha pantalla es la de un smartphone, con un tamaño mucho más reducido que el de una hoja de papel y que obliga al interesado a leer una letra minúscula y/o a desplazarse  a través de innumerables pantallas (scroll).

A la postre, la tarea es tan afanosa que raras son las ocasiones en que los interesados se animan a enfrentarla, no siendo pocos (posiblemente algunos lectores se reconozca entre estos) los que simplemente aceptan la política de privacidad sin leerla, es decir, a ciegas, amancillando de esta forma el objetivo al que toda política de protección de datos está llamada: ser transparente sobre cómo se tratan los datos.

Si el destinatario no "se entera", no hay información

El Diccionario de Lengua Española de la Real Academia Española define "informar" en su primera acepción como "enterar". Nos parece relevante traer a colación esta definición puesto que pone el foco de la información en el receptor del mensaje (que debe "enterarse") y no tanto en el emisor (que divulga determinado aspecto). En definitiva, con la definición citada, la "información" se aprecia como algo indisolublemente unido a la "comprensión" del receptor de la misma.

Puesto en clave de protección de datos, diríamos que si los detalles que se proporcionan sobre un tratamiento de datos no son asimilables por el destinatario de la información (por más detallados, precisos y exactos que sean), realmente no se está informando de nada. En la práctica, tan "inadecuada" puede ser la información sobre el tratamiento proporcionada en un pequeño Post-it®, que en quinientos folios llenos de detalles: tan poco informa lo que no se escribe, como lo que, estando escrito, nadie lee por excesivo y tedioso.

Por ello, desde nuestro punto de vista, a la hora de juzgar cuando una información sobre tratamiento de datos es "precis[a] e inequivoc[a]" como reclama el artículo 5.1 LOPD, es necesario abandonar la tendencia  - que en ocasiones se observa en algún regulador -  a considerar como elemento crítico la cantidad de información que se proporciona sobre un tratamiento de datos.

Aunque el elemento cuantitativo es relevante, no es ni mucho menos el crucial, debiendo quedar siempre modulado por otros factores como son el perfil medio del destinatario de la información (Ej. adolescente, adulto, sofisticada empresaria, etc.) (es decir, el "quién"), por un lado, y el vehículo a través del cual tal información es suministrada (Ej. papel, letrero, monitor de ordenador, teléfono móvil, televisión, locución telefónica, etc.) (esto es, el "cómo"), por otro.

Solo cuando conocemos estos dos extremos, podemos juzgar si la cantidad de información proporcionada es adecuada, es decir, es previsible que permita que el destinatario "se entere" de cómo se utilizarán sus datos.

Pues bien, si tratamos de aplicar lo indicado al universo de los servicios digitales  - que antes comentábamos que concentra buena parte de los tratamientos de datos personales que se llevan a cabo en la actualidad -  observamos que ese "quién" se caracteriza, en general, por un perfil de persona acostumbrada a trabajar en entornos multitarea, que "salta" de una aplicación/ventana/servicio a otra con facilidad y que tiene una notable capacidad para seleccionar los contenidos que observa en pantalla, discriminando aquello que "busca" de aquello accesorio o que es un "medio" para lograr el fin.

En cuanto al "cómo" se accede a la información, en el caso de las apps para smartphone/tablet  es evidente que estamos hablando de dispositivos de pantalla reducida (al menos si las comparamos con un folio). En el supuesto de las páginas Web accedidas por ordenador, los monitores pueden tener un tamaño considerable, mucho más grande que un folio. Sin embargo, ello no ocurre siempre y, de hecho, estudios recientes[3] apuntan a que cada vez más se accede a servicios Web a través de  smartphone y tablets con pantalla pequeña.

Como se aprecia, tanto desde el punto de vista subjetivo (quién) como modal (cómo), las circunstancias de acceso a información sobre el tratamiento de datos en el contexto de los servicios digitales, no pueden considerarse idóneas como para facilitar la comprensión de textos largos y complejos.

Como antes indicábamos, el usuario tipo de este tipo de servicios, es selectivo en el contenido que desea y su mirada tiende a omitir información accesoria, donde puede incluirse, por ejemplo, publicidad, otros contenidos y también avisos legales o políticas de privacidad. Cuando además se tienen varias ventanas/servicios abiertos, esta capacidad de selección/discriminación es todavía mayor.

Junto a ello, hay que tener en cuenta que este tipo de servicios (y, por lo tanto, la información legal asociada a ellos) cada vez se consumen más a través de dispositivos de pantalla pequeña y que incluso cuando se usan monitores de ordenador con pantalla grande, el hecho de leer el texto en pantalla y en posición vertical, reduce la capacidad de atención/comprensión con respecto a la lectura en papel, alcanzando la lectura en pantalla hasta solo un 25% de la información disponible tal y como confirman ciertos estudios[4].

Continuando con la línea de razonamiento antes enunciada y una vez definidas las circunstancias subjetivas y modales que rodean al suministro de información en el contexto de servicios Web o prestados mediante smartphones y/o tablets,  procede analizar ahora como de extensa o detallada debe ser la información que permita cumplir el fin apetecido por el artículo 5.1 LOPD, es decir, que el interesado "se entere" de cómo se trataran sus datos.

Logrando que el usuario digital "se entere" – de "multi-capas" a "iconos"

Si, como se ha indicado, el receptor de información de servicios digitales no parece estar en la mejor disposición de leer textos y, además, el dispositivo de lectura que utiliza no es tampoco el más idóneo para tal fin, parece que la información a suministrarle no podrá ser, al menos de entrada, prolija en detalles acerca del tratamiento.

De lo contrario, correremos el riesgo de hacer una política de privacidad demasiado extensa o compleja como para ser leída por un usuario que, por ejemplo, acceda al servicio a través de un smartphone. Solo en aquellos casos donde el usuario manifieste un interés especial en profundizar en determinado aspecto del tratamiento, deberá facilitársele mayor nivel de detalle, todo ello sobre la base de que ese usuario "especialmente interesado" está ya desposeído de las circunstancias (al menos las subjetivas) que decíamos que disminuían su atención: si solicita mayor información, es de suponer que su atención se centra en su lectura.

Lo indicado concuerda totalmente con el concepto de política de privacidad "multi-capa" o "multi-nivel", originada inicialmente en Estados Unidos de América ("EE.UU.") en 2003 y que fue rápidamente acogido en el ámbito de la Unión Europea por el Grupo de Trabajo del Artículo 29 en su Dictamen 10/2004 sobre una mayor armonización de las disposiciones relativas a la información y también, aunque más recientemente, por la misma AEPD, por ejemplo, en la Guía sobre el uso de las cookies[5], fruto de la colaboración de la industria del sector de la publicidad digital y la AEPD.

Las políticas de privacidad multi-capa se basan precisamente en suministrar al usuario información más detallada a medida que la solicita. Así, en un primer momento, solo se le ofrece información mínima (las más relevante) sobre el tratamiento de datos, pero en un formato  - que es posible gracias a lo reducido de la información -  que es fácilmente legible (Ej. que pueda leerse cómodamente en una pantalla de smartphone sin tener que desplazarse haciendo scroll). Posteriormente, si el usuario desea obtener mayor información sobre algún aspecto del tratamiento de datos, se le ofrece la posibilidad de obtenerla simplemente "haciendo clic" en el campo correspondiente de la información simple inicialmente mostrada. Seguidamente se muestra un ejemplo del funcionamiento estás políticas multi-capa obtenido en la página Web de Truste®[6], donde se ofrece un servicio de creación de este tipo de políticas:


En el ejemplo, el usuario accede en primer lugar a un esquema de la política que puede leerse fácilmente. Seguidamente, si el usuario quiere ampliar mayor información sobre "location services" puede hacerlo, mostrándose más información pero también en un formato fácilmente legible.

Esta estructura de políticas multi-capa concilia la rapidez de lectura de la información básica sobre el tratamiento de datos (en un formato fácil de leer y sin ser necesario que el usuario dedique mucho tiempo) con la posibilidad de aclarar detalles en el caso de usuarios que, por cualquier razón, deseen ampliar la información.

Sin embargo, la sofisticación de los sistemas de información en la era digital no acaba aquí. Como evolución de estas políticas de privacidad multi-capa se abre paso también desde EE.UU. otra forma de suministro de información sobre tratamiento de datos que se basa en el uso de iconos, es decir, representaciones gráficas asociadas a determinado concepto.

La utilización de iconos para informar se encuentra sumamente extendido en España (y, en realidad, en el resto del mundo), existiendo, de hecho, diversas disposiciones normativas que recurren a iconos con fines informativos. Entre otros muchos ejemplos, podemos citar los pictogramas destinados a mostrar la calificación por edades de las películas de cine distribuidas en España[7]:

O las mismas señales de tráfico[8], que también son iconos (y que omitimos reproducir por ser sobradamente conocidas).

Incluso en el ámbito de la protección de datos, tenemos "nuestro icono". Así es, la cámara del popular "cartel amarillo" indicativo de la existencia de un sistema de videovigilancia aprobado por la Instrucción 1/2006 de la AEPD[9], no es sino que un icono destinado, precisamente a informar de la existencia de un tratamiento de datos, en este caso, la recogida de datos mediante videocámaras de seguridad:

Es interesante observar las circunstancias en las que la normativa se apoya en iconos o pictogramas como vehículo para suministrar información. En general, se trata de situaciones poco propicias para la lectura de textos y donde la atención que el destinatario de la información puede prestar a la misma, se encuentra mermada.

Recurriendo a los ejemplos indicados en el párrafo precedente, tal sería el caso de un persona que observa la cartelera mostrada en la pared de un cine para seleccionar una película o el de un conductor que circula en coche por una carretera de montaña o, finalmente, el de una persona que traspasa el umbral de la puerta de un establecimiento comercial con video-vigilancia.

En cualquiera de estas tres circunstancias, la información sobre el tratamiento de datos se sitúa en un lugar periférico respecto de la atención del usuario, normalmente centrado en otros aspectos que en ese momento se le antojan más relevantes como ver a qué hora empieza la película a la que desea acudir, tomar bien la siguiente curva de la carretera o ver si hay algún cartel anunciador de una promoción en el establecimiento comercial al que acaba de entrar.

Parece claro que cuando el legislador diseña los cauces para suministrar información, tiene en cuenta las circunstancias subjetivas (¿quién es el destinatario de la información?) y modales (¿cómo  se accede a la información?) que antes comentábamos que era preciso considerar a la hora de definir como proporcionar la información del artículo 5.1 de la LOPD. También se observa que cuando tales circunstancias dificultan la lectura de textos, se recurre a iconos como la mejor forma para que el destinatario de la información "se entere".

Aplicando el mismo criterio en el ámbito de la protección de datos, parece que en todos aquellos casos  - como los del uso de servicios Web o apps de smartphone  o tablet, anteriormente citados – donde el sujeto es esperable que preste poca atención a la información en forma de texto y/o tenga dificultad para leerla, la utilización de iconos, debería ser considerado como la mejor forma de proporcionar información "precisa" e "inequívoca" acerca del tratamiento de datos a los efectos del artículo 5.1 de la LOPD.

Sin embargo, ello no es así. En nuestro país -aunque, en realidad, hasta donde conocemos, la situación no es muy distinta en el resto de Europa-  la información sobre el tratamiento de datos personales parece estar indisolublemente unida al uso de textos. La única excepción a ello es el caso de la video-vigilancia antes aludido y ello con reservas dado que el uso de carteles con el icono de la cámara no excusa al responsable de "[t]ener a disposición de los/las interesados/as impresos en los que se detalle la información prevista en  el artículo 5.1 de la Ley Orgánica 15/1999" (art. 3(b) de la Instrucción 1/2006 de la AEPD), es decir, que el icono es "además" del impreso informativo.

Como antes comentábamos, la situación es distinta en EE.UU donde se empieza a abrir paso  -aunque tímidamente-  una corriente que propugna el uso de iconos para informar acerca del tratamiento de datos de carácter personal.

Como era de esperar, está corriente tiene origen en la industria de Internet, donde ya van cristalizando experiencias de elaboración de catálogos de iconos de privacidad, como el que están realizando las compañías Disconnect, Mozilla y Ocupop, que actualmente cuenta con un catálogo de ocho iconos como los dos que se muestran a continuación[10]:


O también el proyecto que está elaborando la Association for Competitive Technology en el ámbito del proyecto Appstrust, donde pueden encontrarse iconos como estos[11]:

Pero es más, en territorio norteamericano el uso de iconos en privacidad está ya superando los límites de la autorregulación a nivel industria, y empieza a contar con el respaldo de autoridades gubernamentales. Así, en su informe Mobile Privacy Disclosures[12], la Federal Trade Commission, al analizar las formas de proporcionar información sobre protección de datos en el ámbito de las apps de smartphone, aboga por el uso de iconos y apunta como ejemplos los indicadores de geolocalización que muestran los sistemas operativos de smartphone como los de Android®:

Sin salir del espacio de EE.UU, también puede citarse el reciente informe titulado Privacy on the Go – Recommendations for the Mobile Ecosystem[13], de la Abogada General del Departamento de Justicia del Estado de California, Kamala D. Harris, que también invita a los desarrolladores de apps a utilizar iconos para informar sobre el tratamiento de los datos personales de los usuarios.

"Recoger el guante" que invita a usar iconos

Al igual que ocurrió con las políticas de privacidad multi-capa que también se originaron en Estados Unidos y que después se fueron aceptando en la UE, es esperable  - o, desde luego, deseable -   que el uso de iconos informativos para informar sobre el tratamiento de datos personales, también encuentre su sitio en la Unión. Algunas señales de ello se otean a lo ancho del horizonte de la normativa comunitaria.

Efectivamente, en su Informe a la Propuesta de Reglamento General de Protección  de Datos (el "Reglamento General")[14], el Ponente de la Comisión de Libertades Civiles, Justicia y Asuntos de Interior del Parlamento Europeo, Jan Philipp Albrecht, introdujo diversas enmiendas destinadas a incorporar el uso de iconos en las políticas de información del tratamiento de datos.

Entre otras, es relevante reproducir la Enmienda 118 al artículo 11 del Reglamento General dedicado a la transferencia de la información, donde el citado ponente solicita que se añada el siguiente apartado tercero: "3. La información destinada a los interesados deberá facilitarse en un  formato que ofrezca a estos la información necesaria para entender su posición y tomar decisiones de forma adecuada. Por lo tanto, el responsable del tratamiento ofrecerá y comunicará sus políticas de protección de datos mediante un modo de descripción fácilmente comprensible basado en iconos para los diferentes tipos de tratamiento de datos, sus condiciones y sus consecuencias. La información completa se facilitará previa petición con arreglo a lo dispuesto en el artículo 14".

La justificación que da Jan Philipp Albrecht a esta enmienda es también esclarecedora y merece ser reproducida: "Las políticas de protección de datos se describen en documentos complejos que contienen una  cantidad ingente de detalles específicos en función de las situaciones. El sistema de cláusulas por estratos tiene por objeto contribuir a mejorar la calidad de la información sobre protección de datos recibida, centrando cada estrato en la información que necesita el interesado para comprender su posición y adoptar decisiones. Estos formatos con varios estratos pueden mejorar la legibilidad de las cláusulas. Sin necesidad de ocuparse de todos los detalles de una política de protección de datos, el interesado puede saber, con un simple vistazo a los iconos, si sus datos se están utilizando y, de ser así, de qué manera".

Como se aprecia, el citado ponente del Parlamento Europeo, no solo aboga por el uso de iconos en las políticas de privacidad, sino que incluso convierte su uso en un requisito.

En todo caso, el modelo que se plantea en el Informe a la Propuesta de Reglamento General, es un modelo híbrido entre el de "icono puro" (que se plantea en EE.UU.) y el de "información textual pura" (que hasta ahora parece que tenemos en España). En este sentido, Jan Philipp Albrecht propone un sistema de suministro de información a través de iconos que sean "enlazables", es decir, que al ser "pulsados", proporcionen mayor información sobre el tratamiento de datos personales. No se esconde que es un modelo que tiene clara inspiración en el sistema de políticas multi-capa, donde la primera capa (es decir, la de información más simple) se transforma en iconos.

Recientemente escuchaba al Profesor Ricard Martínez Martínez, presidente de la Asociación Profesional Española de Privacidad (APEP)[15], en su conferencia inaugural del II Congreso Nacional de Privacidad APEP, afirmar que se aprobase o no el Reglamento General, lo cierto es que su elaboración había suscitado y estaba suscitando debates sobre cuestiones relevantes cuyo poso permanecería para siempre y había revolucionado la forma en que se afrontaba la protección de datos personales en la Unión Europea, tales como la privacidad desde el diseño, la figura del DPO, etc.

Estamos de acuerdo con ello y desde aquí invitamos a la industria a añadir a estos debates el relativo al uso de iconos para informar del tratamiento de datos de carácter personal  -  que hasta ahora parece que no ha suscitado tanto interés como creemos que merece -  y a unirse en la elaboración de un catálogo de iconos informativos en materia de protección de datos que se alinee con la propuesta del ponente del Parlamento Europeo.

La cooperación de la industria en esta tarea es imprescindible. Es ella la que debe liderar la creación de los iconos adecuados y es ella la que debe alcanzar un acuerdo que los convierta en estándar. El poder informador de los iconos reside en el hecho de ser únicos para todos los servicios de Web, apps, etc. Sólo así los usuarios pueden aprender su significado e identificarlos de forma rápida. Por ello, el éxito del uso de iconos está condicionado a que toda la industria camine al mismo paso y en la misma dirección.

Como ejemplo inspirador, puede citarse el caso de éxito de los iconos de calificación por edades y contenido PEGI[16], que pueden encontrarse en prácticamente todos los videojuegos de Europa:

A pesar de que su gran implantación podría hacer pensar que se trata de un sistema aprobado a nivel normativo, no es así. PEGI se creó por la Federación de Software Interactivo de Europa[17], una organización sin ánimo de lucro nacida para defender los intereses de la industria del software interactivo. Es decir, fue un sistema de iconos creado por la industria del videojuego, como vehículo para proporcionar información relevante a los compradores de estos productos. Una vez creado, el sistema PEGI recibió el apoyo de la Comisión Europea, pero ello no evita que siempre haya sido y siga siendo un sistema de autorregulación de la industria.

Dos aspectos pueden extraerse de este caso de éxito: en primer lugar, cuando existe un interés común, la industria puede alinear voluntades y consensos en torno a una misma idea, en el caso de PEGI y en el supuesto que ahora comentamos, unos únicos iconos informativos. Por otro, cuando la industria plantea soluciones consensuadas, es más sencillo obtener el respaldo gubernativo o de la Administración (en el caso de PEGI, el de la Comisión Europea y en nuestro caso el de la AEPD o, tal vez, otras entidades o instituciones europeas).

Apliquemos estas dos enseñanzas en el caso que nos ocupa para elaborar un set de iconos de privacidad únicos  - preferiblemente a nivel EU -  que pueda ser "bendecido" por la AEPD  - si nos limitamos a España -  y por entidades como el Grupo de Trabajo del Art. 29, si contemplamos una perspectiva europea.

Desde nuestro punto de vista, la solución que se adopte deberá estar en línea con el modelo propuesto por el ponente del Parlamento Europeo, es decir, mostrar iconos que permitan ser "pulsados" para obtener mayor información acerca del tratamiento de datos. No parece que una solución que se base solo en iconos tenga cabida en nuestro ordenamiento  - ni, en realidad, en el comunitario -   a la vista de lo previsto en el artículo 5.1 de la LOPD y la necesidad de proporcionar detalles no estandarizables como el nombre del responsable.

En todo caso, el hecho de que los iconos deban ser "enlazables" y permitir obtener mayor información, no resta eficacia al sistema como cauce adecuado para proporcionar información "de un vistazo" a usuarios que accedan a servicios Web o a apps que capten datos personales, cosa que el objetivo real del sistema en cuestión.

Con su Enmienda 118 a la Propuesta de Reglamento General, el Ponente del Parlamento Europeo ha lanzado un guante muy oportuno que la industria que presta servicios digitales (en realidad, cualquiera que tenga una página Web y/o comercialice y/o explote apps, con independencia del sector) debería recoger para convertir la posibilidad del uso de iconos informativos en materia de protección de datos, en una realidad y ello con independencia de que se apruebe no el Reglamento General o cuando se apruebe éste. Aceptemos el reto.



[1] Donde puede leerse lo siguiente: "ese derecho a consentir el conocimiento y el tratamiento, informático o no, de los datos personales, requiere como complementos indispensables […], la facultad de saber en todo momento quién dispone de esos datos personales y a qué uso los está sometiendo […]".

[2] Por ejemplo, en el caso de las apps, unos mismos datos captados pueden ser accedidos y tratados por el desarrollador, titular del sistema operativo, titular de la "tienda" de apps, terceros involucrados en generar publicidad para app, etc. Para mayor información al respecto, léase el Dictamen 13/2011, sobre los servicios de geolocalización en los dispositivos móviles inteligentes, del Grupo de Trabajo del Artículo 29, accesible en esta URL:

http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2011/wp185_es.pdf

[3] Véase a este respecto, los artículos accesibles a través de estas dos URL de Internet:

http://www.marketingdirecto.com/actualidad/digital/las-jovenes-prefieren-navegar-por-internet-a-traves-del-movil/

http://www.cadenaser.com/tecnologia/articulo/triplica-acceso-internet-movil/csrcsrpor/20130110csrcsrtec_2/Tes

[4] Véanse los estudios de Nielsen Norman Group sobre seguimiento ocular en pantallas de ordenador, disponibles en esta URL:

http://www.nngroup.com/topic/eyetracking/

[5] Guía sobre el uso de las cookies

[6] http://www.truste.com/free-mobile-privacy-policy/

[7] Resolución de 16 de febrero 2010, del Instituto de Cinematografía y Artes Audiovisuales, por la que se establecen los criterios para la calificación por grupos de edad de las películas cinematográficas y otras obras audiovisuales, así como pictogramas informativos.

[8] Reglamento General de Circulación para la aplicación y desarrollo del texto articulado de la Ley sobre tráfico, circulación de vehículos a motor y seguridad vial, aprobado por Real Decreto 1428/2003, de 21 de noviembre.

[9] Instrucción 1/2006 de la AEPD

[10] Puede obtenerse mayor información sobre el proyecto así como el catálogo de iconos en estas URL de Internet:

https://icons.disconnect.me/ y https://wiki.mozilla.org/Privacy_Icons

[11] Puede obtenerse mayor información sobre el proyecto en esta URL de Internet:

http://apptrustproject.com/#privacy-icons

[12] Informe disponible en esta URL de Internet:

http://www.ftc.gov/os/2013/02/130201mobileprivacyreport.pdf

[13] Informe disponible en esta URL de Internet:

http://oag.ca.gov/sites/all/files/pdfs/privacy/privacy_on_the_go.pdf

[14] Informe a la Propuesta de Reglamento General de Protección  de Datos

[15] Véase

http://www.apep.es/

[16] Véase más información sobre PEGI en:

http://www.pegi.info

[17] http://www.isfe.eu/

Lefebvre - EL Derecho no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación

Widgets Magazine
feedburner

Suscríbase a nuestros contenidos

Atención al cliente: De lunes a viernes de 8:30 a 20:00 horas ininterrumpidamente. Tel 91 210 80 00 - 902 44 33 55 Fax. 915 78 16 17