7 Lecciones de protección de datos aprendidas en agosto
Because "Art never sleeps" (F.F. Coppola)
Este verano me puse a dieta de RGPD para estudiar otras normas.
Pero de vez en cuando leía cosas que tenía que comentar: era superior a mí.
Me ha pasado unos cuantos días:
.- Con dos historias que permiten diferenciar perfectamente privacidad e intimidad, algo que solía hacer tirando de mi mejor hanésdota: la de Fraga en Cambados. Hoy la tienen en texto y en vídeo.
.- Con un programa del siempre tronchante John Oliver ("Garbage in, garbage out").
.- Con el ejercicio por Cecilia Sopeña de su "derecho al olvido".
.- Con la sentencia Deldits (el principio de exactitud debe aplicarse en función del contexto"), un caso de marzo que me llegó este agosto.
.- Ter Stegen y tratamiento de datos de salud de deportistas profesionales.
.- La realidad supera a la ficción.
.- Bonus Track: En la UE, Coldplay se habrían llevado buenas collejas por lo de la KissCam.
Vamo al lío:
Estás leyendo ZERO PARTY DATA. La newsletter sobre datos, inteligencia artificial y derecho de Jorge García Herrero y Darío López Rincón.
En los ratos libres que nos deja esta newsletter, nos gusta resolver movidas complicadas de IA y protección de datos personales. Si tienes de alguna de esas, haznos así con la manita. O contáctanos por correo en jgh(arroba)jorgegarciaherrero.com
¡Gracias por leer Zero Party Data! Apúntate!
1.- Tres historias tres, para distinguir Privacidad e Intimidad personal
Mis hanésdotas favoritas son las que permiten explicar cosas complejas de un plumazo, y de forma indeleble para el que las escucha.
Llevo años abusando de la de Manuel Fraga en pelotas para explicar en un minuto la diferencia entre los derechos de "protección de datos personales" e "intimidad personal y familiar", que parece sencilla, pero es escurridiza para el que lo explica y muuuy poco interesante para el que escucha.
Pero este verano, por esas ironías del destino, me encontré con OTRAS DOS -casi- igual de buenas. Casi por que es imposible igualarla.
a.) La IA puede proteger tu intimidad, pero llevándose por delante tu privacidad. ¿Esto cómo se come?
La primera surge de este comentario de Ethan Mollick sobre las (ejem, teóricas) bondades de un caso de uso de LLMs bastante exótico: invidentes que, para enterarse del contenido de documentos confidenciales sin (ejem, teóricamente) intermediarios, los fotografían con el móvil y piden a asistente IA de confianza que les resuma su contenido.
Un invidente que, en vez de contar de su familiar o cuidador de confianza, muestra un documento confidencial a ChatGPT para enterarse de su contenido protege su intimidad frente a sus cuidadores (algo que cualquiera puede entender), pero no privacidad: desde que los desvela a OpenAI, sus datos han dejado ya de estar sólo en las mejores manos, que eran las suyas.
Excepto (obvio) que utilice un LLM en local.
b.) ¿Serán las mirillas electrónicas las nuevas cámaras de videovigilancia?
Las denuncias en materia de videovigilancia representaron el 19% del total de acuerdo con la última Memoria de la AEPD.
Quien más, quien menos en el mundillo de la privacidad, alucina ante una realidad demoledora: la gente comparte con naturalidad las fotos de sus vacaciones, ligues, hijos menores, problemas de salud física o psicológica, monetarios, etc sin pensarlo demasiado, y no hacen absolutamente nada ante situaciones en las que manifiestamente se ha abusado de sus datos (esto se suele denominar “paradoja de privacidad”).
Eso sí, como el vecino o el ayuntamiento les ponga una cámara apuntando medianamente cerca de su ventana… denuncia que te crió.
Por eso, no me parece baladí la noticia de la sentencia del Tribunal Supremo ordenando desinstalar una de esa puñeteras "mirillas electrónicas" e indemnizar a quienes vivían en la puerta de enfrente... por lesión de su derecho de intimidad. Cuando la Agencia Española de Protección de Datos - AEPD -en una resolución que ya tal- había declarado que no tenían problema de privacidad "porque sólo ven lo que el propio vecino podía ver".
c.) Lo de Fraga:
Es mi anécdota favorita y la he contado un montón de veces. Lo hice delante del entonces Jefe del Gabinete Jurídico de la AEPD y nos descojonamos todos juntos. Como debe ser. Lo pueden ver en el vídeo enlazado exactamente desde este punto.
O bien leerla a continuación:
Un jovencísimo Manuel Fraga estaba inaugurando nosequé con Pío Cabanillas en Galicia durante un día de calor infernal, y se les ocurrió acercarse a una cala poco conocida, discreta, para quitarse la caló.
La caló y todo lo demás, porque sucedía que no habían llevado bañador.
Y en esa cala estaban «braceando como cachalotes», cuando llegó un autobús lleno de tiernas colegialas regentadas por unas monjitas, con las mismas intenciones que ellos, pero seguramente, con bañador.
Al ver venir a las colegialas Fraga salió del agua despavorido rumbo hacia las piedras donde había dejado su ropa, tapándose con las manos sus partes pudendas, pero Cabanillas, que se había quedado discretamente en el agua, le gritó una lección inmortal de privacidad:
"¡¡La cara, Manolo, la cara!! Tápese la cara, que por los cojones no le reconocerá nadie"
Trasfondo jurídico: Fraga podía elegir entre proteger su derecho de intimidad tapándose los cojones con las manos, o su derecho de protección de datos personales, tapándose la cara.
Y evitando así que monjas y colegialas vincularan al audaz bañista en pelotas con el joven Ministro de Información y Turismo.
Es decir, controlando el flujo de sus datos personales a terceros.
2.- Cecilia Sopeña: derecho de olvido y supresión en el caso de contrato.
Cecilia Sopeña se hizo famosa como creadora de contenido (profe de mates y ciclista) y desde ahí, saltó a OnlyFans donde empezó a vender el contenido propio de esa plataforma.
La noticia es que este verano decidió ejercer su "derecho al olvido". Es decir, en sus propias palabras "el derecho a eliminar de Internet todo aquello que ya no refleja quién soy ni cómo deseo ser recordada”.
Varios problemas aquí (y esta es la lección agostí).
1.- Lo que se denomina popularmente como "derecho al olvido" consiste en exigir a los buscadores desindexar todos los enlaces -para que el buscador no los devuelva ante una solicitud de búsqueda- a determinadas informaciones (que permanecen intactas en sus webs de origen: diarios digitales normalmente o lo que sea) porque dicha información resulta incorrecta, obsoleta o poco significativa, entre otros casos.
2.- Por otro lado está el derecho de supresión propiamente dicho. Con él, -sustancialmente y sin entrar en muchos matices- cualquier interesado puede exigir el borrado de los datos personales cuyo tratamiento esté basado en el consentimiento o en un contrato.
3.- El quid de esta cuestión es que, cuando media contrato (y ese es el caso de Sopeña, cuyos contenidos estaban regulados por (i) el contrato con OnlyFans y (ii) el contrato entre OnlyFans y los "Fans" de Sopeña) no hay supresión hasta que no se extingue o resuelve el contrato. Y el caso de la resolución, sin duda conllevará una compensación.
Compensación mayor, si cabe, si se pretende con efectos retroactivos.
Así que, aparte del evidente problema de borrar "contenidos" liberados en la web -porque cualquier puede haberlos almacenado en local y volver a subirlos a mil sitios, en el típico juego del gato y el ratón- existe otro, menos evidente que es el de la indemnización a la contraparte de la que se obtenían rendimientos económicos.
Rendimientos que no eran otra cosa que el precio de algo que cediste y pretendes recuperar.
Somehow. So to speak.
Y recuerden, recuerden dejar a un lado cualquier heurístico o prejuicio moral al valorar jurídicamente un caso de derechos fundamentales: sólo les ayudará a equivocarse.
3.- "Garbage in, garbage out" by John Oliver.
"Garbage in, garbage out" es un importante tópico en el terreno de los datasets: si los datos con los que entrenas tu modelo de IA (o haces cualquier otra cosa, vaya) no son buenos... bien, eso otro es lo único que vas a conseguir.
Si quieres aprender de la forma más amena y divertida posible cómo NO se recopila y cura una base de datos, te recomiendo este programa del gamberro y divertidísimo John Oliver, sobre las "gang databases" de los departamentos de policía de muchos estados de EEUU.
Veo harto posible que tengas veinte minutillos en lo que te embutes tu agostí desayunín.
Super pedagógico. Además, sería todo grasiosísimo, si los sesgos y errores de selección de brocha gorda de los que se ríen en el programa, no tuvieran consecuencias terribles para las personas fichadas (en su enorme mayoría -lo han adivinado- negros e hispanos).
4.- Caso Deldits: La exactitud del dato se mide en función de la finalidad del tratamiento
Context is king en protección de datos personales. Uséase la privacidad es rabiosamente contextual: me duele la boca de decirlo.
VP, una persona iraní, obtuvo en 2014 el estatuto de refugiado en Hungría alegando su identidad transgénero.
¿Por qué? Porque en Irán sencillamente matan a las personas que sienten (y sobre todo: manifiestan) sentir un sexo distinto del del cuerpo con el que han nacido.
A pesar de fundamentar su solicitud de asilo en su condición de persona trans -con certificados médicos que indicaban que, aunque nacida mujer, su identidad de género era masculina-, VP fue inscrita como mujer en el registro de asilo húngaro.
En 2022, VP ejerce su derecho de rectificación, en plan, “Parece que se han equivocado ustedes, queridos húngaros: han inscrito mal el dato de mi género: precisamente la razón por la que me otorgaron asilo. Me lo cambien”.
La Autoridad competente denegó la solicitud, condicionándola a la certificación de una cirugía de cambio de sexo.
Para complicar más el tema, desde 2020, no sólo los refugiados, es que ni siquiera los propios nacionales húngaros pueden rectificar legalmente su identidad de género ya registrada.
El tema llegó al TJUE que, aplicando los derechos reconocidos en la Carta Europea, resolvió:
La exactitud del dato debe apreciarse en función de los fines del tratamiento.
En este contexto, “la actualización de los datos tratados constituye un aspecto esencial de la protección de la persona en cuestión en relación con el tratamiento de esos datos”.
La autoridad nacional debe rectificar los datos personales relativos al sexo de una persona física cuando no sean exactos (Arts 5.1.d) y 16 del RGPD, y 8.2 de la Carta).
La exigencia administrativa de certificación de cirugía es insuficiente, innecesaria y desproporcionada: La limitación de derechos fundamentales (que es lo que aquí sucede) requiere una disposición legislativa que, además, respete la esencia del derecho a la integridad de la persona y el derecho al respeto de la vida privada y familiar (arts 3 y 7 de la Carta).
5.- “Sólo sí es sí”, by Ter Stegen.
Los futbolistas también son animalitos de Dios y tienen derecho de protección de datos.
¿El contrato de jugador profesional -que sustancialmente implica…. “jugar al furbo”-se puede cumplir sin que sea objetivamente necesario que hasta el último cuñao de Forocoches se entere de la última hora del estado de salud de un portero?
Sí, mi ciela.
Ergo hace falta el consentimiento del jugador para ceder sus datos de salud a la organización que sea, para hacerlo público en prensa o para las plataformas esas que calculan su valor de cotización como si fueran atunes o criptos.
6.- La realidad siempre SIEMPRE supera a la ficción
En tema “brechas de seguridad doméstica” la serie Machos Alfa de Netflix es la referencia.
La tablet de los niños configurada con las mismos privilegios de acceso de la cuenta de la madre, el pelele que guarda cosas en carpetas de la oficina sin darse cuenta de que son compartidas, Siri manifestando “parece que estás montando a caballo” basándose en los sensores de la pulsera de actividad (y no, no es un caballo).
Los productores y guionistas de la serie dicen que todas esas pifias están basadas en la realidad.
Y al leer el artículo de la captura de ahí arriba, queda claro que la realidad siempre (SIEMPRE) supera la ficción…
7.- Bonus track (esta es de julio): En la UE, Coldplay se habrían llevado buenas collejas por lo de la KissCam
Todos vimos la ya mítica imagen del concierto de Coldplay.
La “Kiss cam” sacó en 4K la imagen de unos tortolitos entrados en años que, bueno, ya estaban casados, pero no entre sí. “Don´t panic”.
¿Esto sería legal en Europa con el RGPD en la mano?
No, mi ciela.
Para tratar y difundir tu imagen necesitan tu consentimiento. Por eso firmas un contrato con la guardería de tus hijos y luego te piden consent aparte para publicar las mierdas que hacen en su web y tal.
“Trouble”: La pareja pillada podría denunciar ante la AEPD y demandar indemnización civil a
(i) Coldplay y
(ii) a la promotora del concierto (la empresa que maneja la infraestructura de la Kiss cam y la proyección en las pantallas gigantes) como mínimo.
.- No vale que al comprar una entrada “aceptes” unos términos y condiciones: en Europa estamos protegidos.
Es posible que la promotora del concierto se cubra en su política de privacidad, pero lo que hace Coldplay con su puñetera “Kiss cam” requiere consentimiento previo de los “agraciados”.
.- No vale que los perjudicados hayan sido moralmente “malos”: no importa aquí que sean “adúlteros”, ni que han hecho ciervos de sus cónyuges: no es así como funciona el derecho fundamental de protección de datos, afortunadamente. “Viva la vida”
.- Chris Martin hace de “director del chou” y ni siquiera acierta a salir decentemente de la situación y encima hace escarnio de nuestros protagonistas. Peor aún, cuatro segundos después, asume su culpabilidad “espero que no hayamos fastidiado nada aquí”.
En fin.
Coldplay y la promotora (como mínimo, repito) son “corresponsables” de la difusión masiva e inconsentida de una imagen que es un dato personal con consecuencias irreparables para los interesados.
Estos dos ahora son dos estrellas más en “A sky full of stars”, pero no de la forma que imaginaban.
Mención aparte merecen los habituales “hacktivistas OSINT”, siempre prestos a hacer leña del árbol caído, que funcionaron a “the speed of the sound” para identificar a los tortolitos: su identidad, empresa, cargo y la de sus familias se revelaron en poco tiempo.
Si se les puede identificar a ellos (y siempre se puede: lo que buscan es casito), también asumirían multa y -esto es menos claro- responsabilidad civil.
Jorge García Herrero
Abogado y Delegado de protección de datos
Si crees que esta newsletter puede gustar e incluso ser útil a alguien, reenvíasela.
Si echas de menos algun doc, comentario o chorradón que manifiestamente debería haber estado en el Zero Party Data de la semana, escríbenos o deja un comentario y lo valoraremos para la próxima.