Cuando aceptamos ‘cookies’ u otros consentimientos: ¿De verdad sabemos qué hacemos?

En los últimos años hemos asistido a acontecimientos de gran profundidad en materia de protección de datos. Desde la actualización de las principales normas en la materia hasta escándalos y sanciones a grandes corporaciones por incumplimientos de la normativa. Por otro lado, el avance tecnológico es exponencial, de modo que la rapidez de los cambios y de los nuevos retos surgidos con ellos que debamos replantearnos ciertas cuestiones sólidamente asentadas en materia de protección de datos, como la tradicional prevalencia del consentimiento como base de licitud bajo la idea de que es la que mejor garantiza los derechos de la persona.

Pero ¿es el consentimiento como base de licitud un instrumento ampliamente efectivo para la protección de datos de carácter personal en entornos de utilización de tecnologías de big data? ¿Existen alternativas dentro de nuestro ordenamiento jurídico?

Comencemos por el principio

El objetivo de la normativa de protección de datos no es limitar el tratamiento de datos personales, únicamente su uso injustificado. Para ello, el artículo 6 del Reglamento General de Protección de Datos (RGPD) contiene las denominadas “bases de licitud del tratamiento”, es decir, causas jurídicas bajo las que se permiten utilizar datos personales.

Una de estas bases es el consentimiento. Una persona o empresa puede tratar datos personales si ha obtenido el permiso para hacerlo. El usuario medio está cada día más concienciado de la importancia de ejercer control sobre el uso de sus datos y de prestar el consentimiento. Pero también existen situaciones en las que el consentimiento no es el título jurídico que debe sustentar un tratamiento. Por ello, existen otras bases de licitud, por ejemplo, la necesidad para ejecutar un contrato –así, una tienda puede utilizar tus datos bancarios para ejecutar el pago con tarjeta de débito sin necesidad de solicitar el consentimiento–. De forma similar, Hacienda puede acceder a tu información fiscal sin consentimiento, con base en un interés público.

Pues bien, junto con todas las bases de licitud anteriores, el artículo 6 del RGPD permite tratar datos sin nuestro consentimiento con base en un “interés legítimo”.

¿De verdad sabes lo que aceptas?

Antes de la llegada del RGPD, el consentimiento era la base de legitimación usada de forma preferenciante en el sector privado. Su popularidad derivaba de que este permite que las personas ejerzan control sobre sus datos personales, así como de la facilitad que las organizaciones tenían de justificar que había existido este consentimiento, porque servía con obtenerlo de forma tácita –por ejemplo, premarcar una casilla que el usuario no rechazaba era considerado válido–.

Esta propensión cristalizó en el hecho de que el consentimiento se convirtió en el instrumento jurídico por excelencia, y no se prestó el mismo grado de atención a otras bases, como el interés legítimo. Sin embargo, el avance tecnológico comenzó a poner en jaque estas presunciones de consentimiento.

El consentimiento presupone que la persona ha leído la información, la ha comprendido, es capaz de imaginarse las consecuencias futuras y esto le permite tomar una decisión racional que manifiesta de forma libre.

Ciertamente, este puede ser el caso en situaciones sencillas y previsibles. Pero la digitalización de nuestras relaciones cotidianas provoca que las solicitudes de consentimiento se produzcan infinidad de veces al día, durante el curso de actividades cotidianas cuyo objetivo principal no está relacionado directamente con el proceso mental de decidir sobre el futuro de los datos personales. Desde comprar una entrada de teatro por internet, hasta ver un programa en nuestra flamante tele inteligente o leer las noticias en una página web o app.

Todo ello genera datos, muy valiosos en el mercado, y para monetizarlos nos piden consentimientos constantemente. Esta monetización implica compartir o vender datos a infinidad de intermediarios, crear patrones y perfiles de cada uno de nosotros, agregar información y construir modelos algorítmicos cada vez más complejos e impredecibles. ¿De verdad tenemos todo eso en mente cada vez que hacemos clic en aceptar cookies y otros tratamientos? Ese clic es un consentimiento jurídicamente válido, pero que en realidad es ilusorio.

El consentimiento conlleva que la persona es quien manifiesta haber tomado la decisión, una decisión que no termina de comprender porque las prácticas de la industria van años por delante de lo que conocemos

Es decir, el avance de la tecnología crea entornos cotidianos que son rápidamente cambiantes y lo suficientemente complejos como para que una persona media no sea capaz de mantener un nivel de conocimiento actualizado sobre los posibles beneficios y riesgos de dichos tratamientos de datos. De este modo, es más complicado poder asumir el rol de decidir de manera convenientemente informada y con consciencia.

El RGPD ha tratado de atajar estos problemas endureciendo las condiciones del consentimiento, así como los deberes de información y transparencia. Sin embargo, las políticas de privacidad más largas no aportan una solución real a los problemas que hemos señalado.

El consentimiento conlleva que la persona es quien manifiesta haber tomado la decisión. Es decir, se hace responsable a la persona de su decisión; una decisión que no termina de comprender porque la tecnología avanza de forma tan rápida que las prácticas de la industria van años por delante de lo que conocemos.

Además, es frecuente encontrar patrones oscuros en las solicitudes de consentimiento. Se trata de prácticas con las que pretende orientar de forma artificial el comportamiento del usuario para que este muestre su acuerdo. Por ejemplo, esconder la opción más protectora bajo una letra pequeña y de color poco visible, crear paneles de configuración poco intuitivos que provoquen fatiga en el usuario, etc. al tiempo que las opciones para consentir se ofrecen de forma visible y sencilla.

¿Y si no tuviéramos que prestar el consentimiento?

Como decíamos al principio, el consentimiento es solo una base más de todas las que reconoce el art. 6 RGPD. En concreto, el art. 6.1.f) recoge aquella del interés legítimo.

No es un concepto nuevo, sino que ya existe en la normativa anterior –Directiva de protección de datos de 1995–. A pesar de ello, se trata de uno de los conceptos más confusos de la norma, apreciado, odiado e incomprendido a partes iguales.

En términos simplificados, la base de licitud se aplica en tres pasos. En primer lugar, una organización debe alegar la existencia de un beneficio o utilidad real y presente, para sí misma, un tercero o un beneficio social más amplio, que respete el ordenamiento jurídico. Es decir, debe existir un interés legítimo. Se trata de un concepto bastante amplio. En segundo lugar, el tratamiento debe ser “necesario” para la finalidad que la organización informa que desea conseguir. Se trata también de un concepto con matices en el que no entraremos aquí. Además, recordemos que la norma obliga a informar de resultados son estos intereses y finalidades.

El interés legítimo como base de licitud para el tratamiento de datos vuelve a poner el foco de responsabilidad en la organización, en lugar de en la persona

En tercer lugar, y este es el quid de la cuestión, la norma exige que dicho interés legítimo y necesario sea ponderado con los intereses y derechos de los clientes. La ponderación de intereses es clave en la aplicación del interés legítimo y es lo que otorga distintividad a esta base de licitud. En caso de que en dicha balanza pesen más los derechos de los clientes, la organización debe implementar medidas de protección y mitigación de riesgos hasta superar esa ponderación, o abstenerse de llevar a cabo el tratamiento. Esto obliga a la organización a tomar en consideración un amplio abanico de intereses y derechos de todas las partes involucradas en el tratamiento de datos, que ya no quedan en manos de la sola comprensión del usuario. Es decir, vuelve a poner el foco de responsabilidad en la organización, en lugar de en la persona.

Por último, el usuario tiene la capacidad de oponerse a dicho tratamiento. Así por ejemplo, una entidad bancaria tendrá un interés legítimo para tratar a gran escala con multas de prevención del fraude o de blanqueo de capitales. De forma similar, la obtención de un beneficio comercial o económico sería, en mi opinión, un ejemplo claro de interés legítimo –aunque la Agencia Española de Protección de Datos ha mostrado su reticencia a considerarlo así–. Todo ello, siempre que se supere el ejercicio de ponderación, se apliquen medidas mitigantes y se ofrezca el derecho de oposición.

Una de las principales críticas al interés legítimo deviene de considerar que se trata de un cajón de sastre, un comodín que confiere la facultad de realizar un tratamiento de datos personales que no sería lícito en otra circunstancia.

Sin embargo, la necesidad de justificar por escrito la ponderación de intereses se convierte en una garantía que no existe en las demás bases. Esta documentación podrá ser revisada en cualquier momento por la autoridad de control. De este modo, si la autoridad aprecia que la organización obvió elementos relevantes, se declararía la falta de legitimación.

No podía ser todo perfecto

Pero ojo, pese a todo lo dicho, este instrumento no es perfecto. Existen vacíos que pueden crear un “efecto Gruyère”, es decir, pequeñas lagunas cuyo impacto conjunto puede ser mayor.

En primer lugar, la correcta aplicación del interés legítimo no es ni sencilla ni directa. Es una figura ambigua, poco desarrollada para su aplicación a entornos de tratamiento masivo de datos y requiere un asesoramiento jurídico maduro y complejo.

Esto puede llevar a cabo una que determinadas cuestiones sean instrumentalizadas por una organización para dificultar el control de una persona sobre sus datos. Por ejemplo, la norma no obliga a que el ejercicio de ponderación sea público. Ello tiene sentido porque casi siempre incluirá elementos confidenciales o sensibles, pero también puede provocar una falta de transparencia respecto de los riesgos del tratamiento.

Por otro lado, al menos en un primer momento, el ejercicio de ponderación puede terminar siendo algo subjetivo, pues lo realiza el propio responsable. Sin embargo, la presión de saber que esto debe quedar por escrito y es susceptible de investigación serviría como contrapeso.

Asimismo, ya hemos mencionado el derecho de oposición que va unido al interés legítimo. No se trata de un derecho absoluto, y las organizaciones pueden terminar por empujar su margen de maniobra para denegar este derecho de formas cuestionables.

Se trata de limitaciones salvables a través de la publicación de directrices que desarrolló este precepto y vías interpretativas. Por ejemplo, interpretar el derecho de oposición en sentido amplio.

Brecha de confianza

En este debate hay un factor más. La creciente sensación de vigilancia o la sospecha de que los datos son utilizados para finalidades no anunciadas a los interesados ​​han provocado una ruptura de la confianza de las personas en el modelo digital.

La elección de la base de licitud para el tratamiento de datos personales resulta solo una de las múltiples facetas de ello.

Así, solicitar el consentimiento a pesar de las graves deficiencias y poner la carga de la responsabilidad en el interesado no ayudar a resolver el problema. El interés legítimo, siempre que sea aplicado de manera leal y estricta, sí podría restaurar esta confianza.

La creciente sensación de vigilancia o la sospecha de que los datos son utilizados para finalidades no anunciadas han provocado una ruptura de la confianza en el modelo digital

El interesado ya no ha dependido de su confianza de la capacidad de control entendido como informado y posteriormente preguntado acerca de si autoriza o no determinados tratamientos, pues en muchas ocasiones no alcanza a comprenderlos. Por ello, el concepto tradicional de control como objetivo de la normativa de protección de datos debe desarrollarse y repensarse.

El interés legítimo como base de licitud podría verse como una alternativa que permitiría volver a generar confianza en que el responsable, como máximo conocedor de los pormenores del tratamiento, los ha tenido en cuenta y mitigado.

La innovación y las técnicas de inteligencia artificial o tratamiento masivo de datos son una fuente de beneficios sociales y económicos que no debemos desaprovechar. Por eso se hace necesario buscar soluciones que flexibilizar el tratamiento de datos, al mismo tiempo que se protegen los derechos de los individuos, y focalizar las limitaciones al tratamiento de los datos en función del contexto específico en el lugar de hacerlo de manera generalizada.

El sistema aquí defendido necesita un alto grado de maduración de los responsables de datos, así como un fuerte compromiso para adoptar estándares de seguridad altos. Esto refuerza de nuevo la idea de que ya no es el usuario el centro de responsabilidad de los datos, sino las organizaciones que quieren uso de ellos.

Fuente: Artículo en ctxt.es de Elena Gil González abogada y doctoranda. Premio de Investigación de la Agencia Española de Protección de Datos.

Foto: Tumisu en pixabay

consentimientoscookiesinternetRGPD