Documento de conclusiones Seminario “Privacidad y Comunicaciones Electrónicas”. Centro de Formación de la Cooperación Española en Montevideo. 22 y 23 de noviembre de 2017 ------------------------------------------------------------------------------------------1- INTRODUCCIÓN Y CONTEXTO EN EL QUE SE ENMARCA LA ACTIVIDAD. En los llamados servicios de comunicaciones electrónicas se engloban los servicios de acceso a Internet y los servicios de comunicaciones interpersonales, como los servicios de voz sobre IP, los de mensajería instantánea y los de correo electrónico basados en la web. Este tipo de servicios han sufrido una evolución tecnológica tan acelerada estos últimos años que resulta necesario adaptar la normativa vigente para seguir brindando a los ciudadanos la mayor protección posible en sus derechos. Una de las cuestiones que más afectan a la protección efectiva de la privacidad son los equipos terminales, por la gran cantidad de información personal que almacenan -derivada de su creciente utilización por los usuarios-, y por el uso y control de la misma por parte de los operadores de telecomunicaciones. Con la actividad proyectada se ha tratado de impulsar un debate a fondo entre los principales actores implicados (Autoridades de protección de datos, organismos reguladores en materia de comunicaciones, Academia, y sector privado empresarial) sobre aquellas cuestiones relativas a las comunicaciones electrónicas que suscitan una mayor inquietud desde la perspectiva de la normativa de protección de datos, a la luz del nuevo Reglamento General de Protección de Datos (RGPD) y, especialmente, del proyecto de Reglamento sobre Privacidad y Comunicaciones Electrónicas (conocido como Reglamento EPrivacy) que está previsto aprobar por la Unión Europea el próximo año 2018. El contenido de las comunicaciones electrónicas puede revelar información muy delicada acerca de los usuarios finales que intervienen en ellas, tales como experiencias personales y emociones, problemas de salud, preferencias sexuales y opiniones políticas, cuya divulgación podría causar perjuicios personales y sociales, e incluso pérdidas económicas. Asimismo, los metadatos derivados de las comunicaciones electrónicas pueden también revelar información muy delicada y de carácter personal, como ha reconocido expresamente el Tribunal de Justicia de la Unión Europea. Entre esos metadatos figuran los números a los que se ha llamado, los sitios web visitados, la localización geográfica o la hora, la fecha y la duración de una llamada, además de información que permitiría extraer conclusiones precisas sobre la vida privada de las personas participantes en la comunicación electrónica -tales como sus relaciones sociales, sus costumbres y actividades de la vida cotidiana, sus preferencias, etc-. 1
Pero al mismo tiempo que se trata de atender esta problemática, hay que garantizar un funcionamiento adecuado del mercado de las telecomunicaciones, de modo que la protección de los derechos de los usuarios no suponga en modo alguno una barrera o una interferencia en el desarrollo de ese mercado, ni tampoco restricciones de los flujos transfronterizos de datos relacionados con la utilización de los servicios de comunicaciones electrónicas, dado que Internet y las tecnologías digitales no conocen fronteras. La adopción de pautas comunes de actuación que sirvan a las Autoridades iberoamericanas de Protección de Datos para afrontar los problemas que para la privacidad plantean las futuras regulaciones en la Región en los temas objeto del Seminario, además de ser un factor positivo de homogeneización de dicha legislación conforme a los (altos) parámetros europeos de protección de datos, supone reafirmar y seguir aumentando la influencia y la posición de liderazgo que ocupa la RIPD en la Región. Los conocimientos y experiencias adquiridos en el Seminario se pretenden que tengan una proyección en el ámbito legislativo, posibilitando una adaptación de las normas sectoriales iberoamericanas lo más ajustada posible a los parámetros europeos, pero también en el de las autoridades de control en materia de protección de datos, para dotarlas de unos criterios de actuación claros y coordinados en este tema. 2- CONCLUSIONES DEL EVENTO. Los días 22 y 23 de noviembre del corriente año 2017 se desarrolló en el Centro de Formación de Montevideo de AECID el Seminario “Privacidad y Comunicaciones Electrónicas”, auspiciado por la Red Iberoamericana de Protección de Datos, la Agencia Española de Protección de Datos -en su calidad de Secretaría Permanente de la Red- y la Embajada de España en Uruguay. El evento se inició con la presencia de representantes de la Presidencia y la Secretaría Permanente de la Red y del Centro de Formación, destacándose la participación de representantes de autoridades iberoamericanas de protección de datos y reguladores en materia de telecomunicaciones, Academia y sector privado. Se contó además en parte del evento con la presencia de la señora Embajadora de El Salvador en el Uruguay, quien asistió a las exposiciones realizadas en los Paneles desarrollados en la tarde del día 23. Por lo que se refiere al contenido de las intervenciones que tuvieron lugar a lo largo de los nueve paneles en que se estructuró el evento, cabe destacar como aspectos más relevantes los siguientes:
En el Panel I se discutieron temas vinculados a los modelos de regulación existentes en materia de comunicaciones y protección de datos personales, tanto a nivel nacional cómo a nivel internacional, 2
destacándose aspectos puntuales de la materia en el nuevo Reglamento General Europeo de Protección de Datos. En particular, se discutieron las cuestiones asociadas a las dificultades para conciliar las necesidades de seguridad interna y combate del terrorismo con la privacidad, y la naturaleza de los datos obtenidos por parte de las compañías de telecomunicaciones, la importancia del reconocimiento de los derechos no sólo sobre los datos obtenidos sino también sobre los metadatos, así como las potestades de las autoridades de control y de las restantes autoridades públicas a nivel nacional para la obtención de esa información a los efectos del cumplimiento de sus cometidos específicos.
El Panel II permitió un intercambio fluido en materia de comunicaciones electrónicas no deseadas, en las que se reconoció expresamente que ese tipo de comunicaciones ya no requiere de una línea telefónica, observando la necesidad de actualizar la normativa vigente, y regular concretamente la identificación de los emisores, la forma de la comunicaciones y las alternativas para evitarlas, considerando la imposición de sanciones más estrictas a los incumplidores.
El Panel III, sobre quiebras de seguridad, trató sobre la definición de los incidentes de seguridad, los incidentes más comunes que se han reportado y las facultades de las autoridades encargadas del contralor, monitorización y subsanación de estos incidentes. Se destacó puntualmente la importancia de proteger los activos digitales ante los intentos de explotación de la información personal obtenida y los mecanismos para aumentar esa protección.
En el Panel IV sobre las evaluaciones de impacto en protección de datos en el ámbito de las telecomunicaciones se hizo especial hincapié en la nueva normativa europea en la materia, destacándose la existencia de mecanismos y técnicas para realizar estas evaluaciones de forma correcta y ajustada a las normas.
El Panel V sobre perfilado y decisiones automatizadas permitió una enriquecedora discusión sobre las ventajas y desventajas del perfilado, y la posibilidad de los titulares de los datos que se ven sujetos a decisiones automatizadas y a la elaboración de perfiles puedan oponerse a este tipo de tratamiento de su información. Se planteó la necesidad de contar con herramientas que permitan minimizar los riesgos para la privacidad de estas actividades, a la necesidad eventual de intervención humana en alguna instancia del proceso -aún a instancia de parte- y a la legitimidad para el tratamiento de los datos, proveniente en muchos casos de normas que no se vinculan a la necesaria obtención del previo consentimiento. 3
En el Panel VI sobre protección de la información almacenada en equipos terminales y relativa a equipos se hizo referencia a los desafíos para la protección de datos personales de la existencia de múltiples terminales asociados a una persona, a las normas existentes en la materia y a la problemática planteada en algunos países de Iberoamérica vinculada al tratamiento de la información contenida en celulares con respecto a las potestades asignadas a las autoridades nacionales y a las obligaciones asignadas a las empresas de telecomunicaciones sobre el alcance de la información que deben almacenar. En este punto en particular, parece necesario continuar avanzando en el tema de los alcances de las obligaciones de almacenamiento y restantes operaciones de tratamiento de los datos por parte de las compañías de telecomunicaciones.
En el Panel VII se analizó el derecho a la portabilidad, considerando la evolución que ha tenido la portabilidad de los datos, y las nuevas disposiciones consagradas en la normativa europea y en proyectos de modernización de las legislaciones en materia de protección de datos personales en Iberoamérica. Se plantearon además los desafíos, no necesariamente legales sino muchas veces tecnológicos para garantizar el efectivo ejercicio de este derecho.
El Panel VIII sobre monitorización en el ámbito laboral permitió la discusión sobre los alcances de las potestades de los empleadores con respecto al control de los correos de sus empleados, destacándose particularmente el deber de informar en todos los casos, y la limitación de la monitorización a situaciones predefinidas. Se consideraron normas internacionales en la materia laboral y su vinculación con las disposiciones en materia de protección de datos personales.
Finalmente, el Panel IX trató un tema de sumo interés como es la inteligencia artificial, machine learning y Big Data, además de la transparencia de los algoritmos. Al respecto se destacaron los beneficios y riesgos de esta forma de tratamiento de la información, generándose una instancia de discusión fundada sobre el ejercicio de los derechos ARCO en los casos de tratamientos automatizados basados en algoritmos, su alcance, y las dificultades de implementación, lo que motivó a los presentes a continuar con el desarrollo de estas discusiones en estos temas en futuras instancias.
El cierre de la actividad fue realizado por la Presidencia de la RIPD, destacándose el nivel de las exposiciones y las discusiones generadas, así como la necesidad de seguir avanzando en los temas pendientes y los que se generaron en el decurso de los intercambios realizados.
4
3- LISTADO DE PARTICIPANTES (Nombre completo, país, cargo e institución) A cargo del CFCE
5