Los tratamientos específicos de Datos Personales como límite a los derechos reconocidos por el RGPD. El artículo 89 RGDP.

 

LOS TRATAMIENTOS ESPECÍFICOS DE DATOS PERSONALES COMO LÍMITE A LOS DERECHOS RECONOCIDOS EN EL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS. 

Artículo 89 RGPD. Tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos.

Arnau Gómez Echeverría - Entrada Nº5.

Introducción.

    El Capítulo IX del RGPD prevé una serie de “disposiciones relativas a situaciones específicas de tratamiento”. (Arts. 85 y ss. RGPD) En ellas se contienen previsiones normativas relativas a tratamientos de datos personales en distintos contextos: tratamiento y libertad de expresión e información (art. 85); tratamiento y acceso al público de documentos oficiales (art. 86); tratamiento del número nacional de identificación (art. 87) etc. Esta quinta entrada del Blog se centrará en el tratamiento previsto en el artículo 89 del RGPD, su fundamento, virtualidad y sentido. En especial, se analizará cómo el tratamiento con fines de archivo en interés público, fines de investigación científica o histórica, o fines estadísticos (art. 89 RGPD), puede suponer un límite a los derechos que el RGPD reconoce a los interesados del tratamiento, habiendo de manterse vigentes, en todo caso, los principios inspiradores de la Protección de Datos de carácter personal. 

El artículo 89 RGPD. Fundamento y justificación de los distintos tratamientos específicos.

    El Reglamento General de Protección de Datos se ocupa de justificar y fundamentar la necesidad del artículo 89 RGPD en los considerandos 156 y ss. del texto. Resumiendo, en ellos se contiene la siguiente lógica argumental: Los Estados Miembros, en el marco del artículo 89, y atendiendo a la importancia de los fines perseguidos por los tratamientos específicos de datos personales que en el citado artículo se contienen, pueden establecer excepciones y limitaciones a los derechos reconocidos por el RGPD. Del análisis de cada uno de los considerandos, así como de cada uno de los tratamientos específicos previstos en el art. 89 RGDP, se extrae lo siguiente:

• Combinando información procedente de registros, los investigadores pueden obtener nuevos conocimientos de gran valor sobre condiciones médicas extendidas, como las enfermedades cardiovasculares, el cáncer y la depresión. Partiendo de registros, los resultados de las investigaciones pueden ser más sólidos, ya que se basan en una población mayor. (…) Los resultados de investigaciones obtenidos de registros proporcionan conocimientos sólidos y de alta calidad que pueden servir de base para la concepción y ejecución de políticas basada en el conocimiento, mejorar la calidad de vida de numerosas personas y mejorar la eficiencia de los servicios sociales. - Considerando 157) del Reglamento General de Protección de Datos. 

• Las autoridades públicas o los organismos públicos o privados que llevan registros de interés público deben ser servicios que están obligados, con arreglo al Derecho de la Unión o de los Estados miembros, a adquirir, mantener, evaluar, organizar, describir, comunicar, promover y difundir registros de valor perdurable para el interés público general y facilitar acceso a ellos (…) a fin de ofrecer información específica relacionada con el comportamiento político bajo antiguos regímenes de Estados totalitarios, el genocidio, los crímenes contra la humanidad, en particular el Holocausto, o los crímenes de guerra. - Considerando 158) del Reglamento General de Protección de Datos. 

• El presente Reglamento también debe aplicarse al tratamiento datos personales que se realice con fines de investi­gación científica. El tratamiento de datos personales con fines de investigación científica debe interpretarse, a efectos del presente Reglamento, de manera amplia, que incluya, por ejemplo, el desarrollo tecnológico y la demostración, la investigación fundamental, la investigación aplicada y la investigación financiada por el sector privado. - Considerando 159) del Reglamento General de Protección de Datos.

• El presente Reglamento debe aplicarse asimismo al tratamiento datos personales que se realiza con fines de investigación histórica. Esto incluye asimismo la investigación histórica y la investigación para fines genealógicos. - Considerando 160) del Reglamento General de Protección de Datos.

    En definitiva, y con todo, los tratamientos específicos de datos personales del artículo 89 RGPD son tratamientos que, dada su naturaleza y trasfondo, pueden dotar a la sociedad de un valor añadido, en tanto de los mismos se reportan una serie de beneficios que, en última instancia, son favorecedores para el conjunto de los ciudadanos. (Beneficios que se mencionan y analizan en los considerandos 156 y ss. RGPD)

Virtualidad y dicotomía del art. 89 RGPD. Limitación de derechos vs. efectivo e íntegro cumplimiento de los principios inspiradores del RGPD. 

    Precisamente, es esto último que se ha puesto de relieve lo que permite que los tratamientos específicos previstos en el artículo 89 RGPD hagan de “limite” a los derechos reconocidos y garantizados por el propio texto, en sus artículos 15, 16, 17, 18, 19 20 y 21. (Adjunto esquema/imagen al final del texto). En este sentido, el artículo 89.2 RGPD dice lo siguiente: 

“Cuando se traten datos personales con fines de investigación científica o histórica o estadísticos el Derecho de la Unión o de los Estados miembros podrá establecer excepciones a los derechos contemplados en los artículos 15, 16, 18 y 21, (…) siempre que sea probable que esos derechos imposibiliten u obstaculicen gravemente el logro de los fines científicos y cuanto esas excepciones sean necesarias para alcanzar esos fines.”

 Lo mismo es aplicable, ex art. 89.3 al tratamiento de datos personales con fines de archivo en interés público: 

“Cuando se traten datos personales con fines de archivo en interés público, el Derecho de la Unión o de los Estados miembros podrá prever excepciones a los derechos contemplados en los artículos 15, 16, 18, 19, 20 y 21, (…) siempre que esos derechos puedan imposibilitar u obstaculizar gravemente el logro de los fines científicos y cuanto esas excepciones sean necesarias para alcanzar esos fines.”

    Tenemos, por tanto, en los artículos 89.2 y 89.3, dos realidades que limitan sobremanera los derechos reconocidos en el RGPD, y sobre los que la normativa de Protección de Datos se estructura, en tanto son el salvoconducto, o si se prefiere, la herramienta que el interesado del tratamiento tiene para protegerse, efectivamente, de posibles vulneraciones en materia de PD.

    No obstante, esta limitación que parece operar en detrimento de los derechos reconocidos por el RGPD, y a favor de los tratamientos de datos específicos en el marco del art. 89, no es aplicable a los principios inspiradores de la Protección de Datos. Es decir, independientemente de la naturaleza “específica” de los tratamientos que puedan efectuarse en virtud del artículo 89 RGPD, los principios que inspiran y sobre los que se estructura la normativa de protección de datos han de cumplirse íntegra, total y efectivamente, para lo cual, los responsables del tratamiento, deberán implementar medidas técnicas y organizativas óptimas, a fin de garantizar el cumplimiento de los ya referidos principios. Así se extrae de la lectura del considerando 156 (última parte) y del propio artículo 89, apartado primero: 

• Considerando 156 RGPD: Las condiciones y garantías en cuestión pueden conllevar procedimientos específicos (…) junto con las medidas técnicas y organizativas destinadas a minimizar el tratamiento de datos personales atendiendo a los principios de proporcionalidad y necesidad.

• Artículo 89.1 RGPD: El tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos estará sujeto a las garantías adecuadas, con arreglo al presente Reglamento (…) Dichas garantías harán que se disponga de medidas técnicas y organizativas, en particular para garantizar el respeto del principio de minimización de los datos personales. Tales medidas podrán incluir la seudonimi­zación. 

    Es decir, la dicotomía que nace del artículo 89 del Reglamento, y que ha de tenerse en especial consideración a la hora de abordar los tratamientos específicos de datos personales, es la que sigue: Es cierto, al así decirlo la propia norma, que los derechos previstos en el Capítulo III, Sección segunda del RGPD (arts.15 y ss.) se verán, o podrán verse limitados en el marco de los tratamientos específicos del art. 89, pero, tal limitación, en ningún caso podrá extenderse a los principios del tratamiento de datos personales (principios de minimización, proporcionalidad y necesidad), debiendo el responsable acreditar el cumplimiento y respeto de los mismos, mediante medidas técnicas y organizativas óptimas. (Seudonimización) 

Los Regulatory Sandbox en la Propuesta Inicial de Reglamento de Inteligencia Artificial.

 

LOS REGULATORY SANDBOX EN LA PROPUESTA INICIAL DE REGLAMENTO DE INTELIGENCIA ARTIFICIAL DEL PARLAMENTO EUROPEO

Arnau Gómez Echeverría - Entrada Nº4.

1.- Introducción

    Hace no más de 3 semanas, el Parlamento Europeo (PE) alcanzó un compromiso sobre el borrador de enmiendas de la Propuesta inicial de Reglamento de Inteligencia Artificial. (Propuesta inicial de Reglamento IA, que os adjunto al final del Post)

    Para los agentes económicos del mercado, la regulación propuesta por la Unión Europea, basada, fundamentalmente, en el riesgo de los distintos sistemas de IA, puede llegar a constituir una barrera o un límite a la innovación. De esta dicotomía que, principalmente, preocupa a empresas desarrolladoras de IA, (Innovación vs. Regulación basada en parámetros de riesgo), nacen los Regulatory Sandbox, de los que hablaremos y sobre los que reflexionaremos en esta cuarta Entrada del Blog. ¿Qué son? ¿Cuál es su origen? ¿Qué pueden aportar? ¿Cómo funcionan?… Son algunas de las preguntas a las que, a lo largo del Post, trataremos de dar respuesta. 

2.- Los Regulatory Sandbox en la Propuesta Inicial de Reglamento de Inteligencia Artificial del PE. Art. 53.

    El artículo 53 de la Propuesta del PE (en relación con los apartados 71, 72, 72a y 72b) bajo el Título (V) “Medidas para dar soporte a la Innovación”, recoge la obligación, dirigida a cada uno de los 27, de “establecer, al menos, un Sandbox Regulatorio de IA a nivel estatal, al tiempo que la regulación de IA sea aplicable en los Estados Miembro.”

    Pero, ¿qué es y cómo funciona exactamente un Regulatory Sandbox? Se trata, como bien dice la Propuesta del Parlamento Europeo de IA en sus apartados 71 y ss., de un “espacio para experimentar”, y al mismo tiempo una manera de “facilitar el desarrollo y las pruebas de sistemas innovadores de Inteligencia Artificial bajo una estricta supervisión reglamentaria antes de su comercialización o puesta en servicio.” En Derecho Comparado, se trata de una práctica muy extendida, sobre todo, en los Estados Unidos. Por ejemplo: En 2018, se habilitaron determinadas carreteras en el estado de Arizona para que, bajo la supervisión y control de las autoridades, pudieran circular coches de conducción autónoma. (Compañías como Uber o Toyota se valieron de esta iniciativa del gobierno de Arizona para testear sus proyectos)

    En un plano más teórico, Dragos Tudorache, eurodiputado del Grupo Renew Europe en el Parlamento Europeo, y miembro del Comisión de Libertades Civiles, Justicia y Asuntos de Interior, define los Regulatory Sandbox como grandes impulsores de la innovación tecnológica, que tienen, principalmente, 3 objetivos (¿Para qué sirven? ¿Cuál es su virtualidad?) 

• Permitir y facilitar la interacción directa con la autoridad en un entorno cuya base la constituye una filosofía de ensayo-error. 

• Llegar a un producto que dé confianza, tanto al desarrollador como al consumidor, con anterioridad de su puesta en el mercado. 

• Garantizar el cumplimiento de las normas en materia de Inteligencia Artificial, detectando, especialmente, cuales son los riesgos que se derivan de la implantación de dichos sistemas, y evitando materializarlos.

Los objetivos sobre los que, ilustrativa y muy claramente, reflexiona Dragos Tudorache, están previstos en el apartado 72 de la Propuesta del Parlamento Europeo del Reglamento de IA, al decir que “los objetivos de los Regulatory Sandbox deben ser:

• Para las autoridades de establecimiento comprender mejor los avances técnicos, mejorar los métodos de supervisión y orientar a los desarrolladores y proveedores de sistemas de IA para lograr (efectivamente) el cumplimiento normativo del Reglamento, o en su caso, de otra legislación de la Unión y de los Estados Miembros, así como con la Carta de los Derechos Fundamentales. 

• Para los proveedores y desarrolladores, permitir y facilitar el ensayo y desarrollo de soluciones innovadoras relacionados con los sistemas de IA.”

• Y, en general, fomentar “el desarrollo de soluciones innovadoras relacionadas con los sistemas de IA en la fase previa a la comercialización; aumentar la seguridad jurídica; permitir un mayor aprendizaje normativo estableciendo autoridades en un entorno controlado para desarrollar mejores orientaciones e identificar posibles mejoras futuras del marco jurídico a través del procedimiento legislativo ordinario”. 

    Los Regulatory Sandbox son, en definitiva, una suerte de “oasis normativos”, o si se prefiere, entornos normativamente más flexibles, en los que, bajo la supervisión de Autoridades de Control, y en una interacción y cooperación directa con ellos, se permiten prácticas de determinados Proyectos (bien de IA, bien de cualquier otra naturaleza) antes de su lanzamiento o comercialización. De esta manera, se fomenta la innovación, y las empresas y agentes del mercado pueden testear sus Proyectos, detectar debilidades de los mismos, y saber, de la mano de las Autoridades de Control, si su funcionamiento se adecúa a las disposiciones normativas vigentes en ese momento. Por decirlo de otra manera: Los Regulatory Sandbox son espacios que permiten a las empresas y agentes económicos no acudir “a ciegas” al mercado. 

3. La propuesta de España. El borrador de Real-Decreto que establece un entorno controlado de pruebas en materia de Inteligencia Artificial (Sandbox)

    El pasado 29 de mayo el Ministerio de Asuntos Económicos y Transformación Digital publicó un borrador de Real-Decreto, en el que se prevé un entorno controlado de pruebas (Sandbox), dirigido, fundamentalmente, a determinar como se van a aplicar, controlar, y en definitiva, utilizar, los sistemas de Inteligencia Artificial que el Reglamento IA (Propuesta del Parlamento Europeo) prevé en su articulado.

    La Propuesta de Sandbox IA del Ministerio tiene como objeto “estudiar la operatividad de los requisitos establecidos en la propuesta de Reglamento europeo, así como la autoevaluación de cumplimiento y la prueba de sistemas de supervisión de los sistemas de inteligencia artificial de alto riesgo de los participantes durante su funcionamiento.” (Art. 1 del borrador Real-Decreto)

    Entre otros, el borrador de Real-Decreto establece un procedimiento de acceso al espacio del entorno controlado de pruebas, abierto a los proveedores de sistemas de Inteligencia Artificial ubicados en España. (Arts. 6 y ss. RD, en los que se prevén figuras como “órgano instructor, etc.) 

    Además, el artículo 11 del texto establece una serie de requisitos que los sistemas de IA deberán cumplir para participar del sistema de Sandbox previsto, (en línea con lo que prevé la Propuesta de Reglamento de IA del PE) entre los que destacan especialmente, los siguientes:  

• Establecimiento, implementación, documentación y mantenimiento de un sistema de gestión de riesgo que se refiera al proyecto de Inteligencia Artificial en cuestión.

• Registros automáticos de eventos. “Logs”.

• Instrucciones de uso del sistema de Inteligencia Artificial en formato electrónico, que además, deberán incluir información técnica, información sobre las características y prestaciones del sistema, etc. Todo ello de manera clara, actualizada, concisa, accesible y comprensible para los usuarios (finales) del sistema.

    Así, las inicativas en materia de Sandbox Regulatorios en los distintos Estados Miembros permitirán conectar a las autoridades competentes con las entidades desarrolladoras de inteligencia artificial para definir de forma conjunta buenas prácticas y obtener conclusiones que puedan servir de base para la implementación del futuro Reglamento europeo de Inteligencia Artificial.

Fuentes consultadas: (Links abajo)

- Borrador RD Ministerio de Asuntos Económicos y Transformación Digital. 

- Vídeo de Youtube: Dragos Tudorache & IA Act.

- Propuesta Reglamento IA PE. 

Enlaces a Bibliografía: 

- Borrador RD Ministerio de Asuntos Económicos y Transformación Digital: https://portal.mineco.gob.es/RecursosArticulo/mineco/ministerio/participacion_publica/audiencia/ficheros/Proyecto_RD_Sandbox_IA-1.pdf

- Vídeo de Youtube: Dragos Tudorache & IA Act: https://www.google.es/url?sa=i&rct=j&q=&esrc=s&source=web&cd=&ved=0CAIQw7AJahcKEwiYwILyq6T_AhUAAAAAHQAAAAAQAg&url=https%3A%2F%2Fwww.youtube.com%2Fwatch%3Fv%3DBBmq4T_550U&psig=AOvVaw2rWm6reS_0ciepcCaNhlak&ust=1685786942988663 

- Propuesta de Reglamento IA PE: https://www.europarl.europa.eu/resources/library/media/20230516RES90302/20230516RES90302.pdf

La tutela civil de la Protección de Datos. La indemnización ex art. 82 RGPD.

 

LA TUTELA CIVIL DE LA PROTECCIÓN DE DATOS

La indemnización ex art. 82 del Reglamento General de Protección de Datos.

Arnau Gómez Echeverría - Entrada Nº3.

Introducción.

    El artículo 82 del Reglamento General de Protección de Datos, aplicable directamente en los Estados Miembros dada su naturaleza (principio básico de Derecho de la UE), establece, bajo el título “derecho a indemnización y responsabilidad”, que “toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos”.

    No obstante, a pesar de esta previsión en la normativa comunitaria de Protección de Datos, y a pesar de su aplicabilidad directa por razón de la propia naturaleza del Reglamento, a día de hoy (de momento, quiero decir) no hay ninguna resolución civil que reconozca una indemnización en materia de Protección de Datos. En esta tercera Entrada se analizará la viabilidad de accionar ex art. 82 RGPD, teniendo en consideración, la postura del TJUE respecto del referido artículo (conclusiones Abogado General TJUE en el Asunto C-300/21 - UI contra Österreichische Post AG), y se tratará de dar respuesta a la siguiente pregunta: ¿Es suficiente el mero incumplimiento de la normativa comunitaria de Protección de Datos para colmar las exigencias indemnizatorias del art. 82 RGPD, o es preciso un daño concreto, sea este material o inmaterial?

Antecedentes. El Asunto C-300/21 - UI contra Österreichische Post AG.

    Österreichische Post AG, una empresa austríaca que se dedica a editar guías de direcciones, recogió, a partir de 2017, información sobre las afinidades políticas de la población austríaca, para, posteriormente, procesar dicha información mediante un algoritmo, que, haciendo uso de ciertas variables sociodemográficas, era capaz de poder definir las “direcciones de los grupos destinatarios” de publicidad electoral. 

    UI es una persona física sobre la que la editora austríaca aplicó el referido algoritmo, para determinar su clasificación dentro de los potenciales grupos destinatarios de publicidad electoral. Del análisis y extrapolación de datos dimanantes del algoritmo, pudo determinarse como UI presentaba una elevada afinidad con un partido político en concreto. No obstante, UI que en ningún momento había dado su consentimiento para el tratamiento de sus datos personales, (art. 6.1 a. RGPD.- Licitud del tratamiento; consentimiento del interesado) se sintió contrariado y ofendido, como consecuencia de la conservación -y posterior tratamiento- de datos personales (sensibles), relativos a sus simpatías políticas. 

    Como consecuencia de tal indignación, UI acudió a los Tribunales, haciendo uso de la acción prevista en el artículo 82 del Reglamento General de Protección de Datos, solicitando, en su virtud, una indemnización de 1000 euros, por daños y perjuicios inmateriales, consistentes en un “malestar interno”. UI alegaba que la “afinidad política asignada es un insulto y una vergüenza, además de ocasionar un daño a su buen nombre, y que la conducta de la editora le ha causado un sentimiento de exposición pública.” 

    El tribunal de primera instancia desestimó la pretensión de indemnización de UI, y el Tribunal de apelación confirmó la sentencia de primera instancia, declarando que “una indemnización por daños y perjuicios inmateriales no acompaña automáticamente a toda infracción del RGPD.” 

    La sentencia del tribunal de apelación fue recurrida ante el Oberster Gerichtshof (Tribunal Supremo de lo civil y penal, Austria), que, a su vez, elevó al Tribunal de Justicia una serie de cuestiones prejudiciales. A los efectos de esta Entrada, es la siguiente pregunta la que interesa especialmente: ¿El reconocimiento del derecho a una indemnización por daños y perjuicios con arreglo al artículo 82 del RGPD […], además de una violación de las disposiciones del RGPD exige que el demandante haya sufrido daños y perjuicios, o la violación de las disposiciones del RGPD es suficiente por sí misma para el reconocimiento del derecho a una indemnización por daños y perjuicios?

La naturaleza acumulatoria de la indemnización ex art. 82 del RGPD y las Conclusiones del Abogado General TJUE. ¿Es suficiente el mero incumplimiento del RGDP para colmar las exigencias indemnizatorias del art. 82 RGPD?

    La acción que el Reglamento General de Protección de Datos prevé en su artículo 82 es acumulable a otras acciones indemnizatorias. En este sentido, El artículo 79 del Reglamento («Derecho a la tutela judicial efectiva contra un responsable o encargado del tratamiento»), apartado 1, establece que “sin perjuicio de los recursos administrativos o extrajudiciales disponibles, incluido el derecho a presentar una reclamación ante una autoridad de control en virtud del artículo 77, todo interesado tendrá derecho a la tutela judicial efectiva cuando considere que sus derechos en virtud del presente Reglamento han sido vulnerados como consecuencia de un tratamiento de sus datos personales.”

    En la misma línea, y sin salirnos de la órbita de la acumulación, el considerando 146 del RGPD establece que “el concepto de daños y perjuicios debe interpretarse en sentido amplio a la luz de la jurispru­ dencia del Tribunal de Justicia, de tal modo que se respeten plenamente los objetivos del presente Reglamento. Lo anterior se entiende sin perjuicio de cualquier reclamación por daños y perjuicios derivada de la vulneración de otras normas del Derecho de la Unión o de los Estados miembros.” 

   Al margen de todo lo anterior, y para dar respuesta a la pregunta que se ha planteado al principio de esta Entrada, han de tenerse en especial consideración las conclusiones del Abogado General Manuel Campos Sánchez Bordona, en el seno del Asunto C-300/21 - UI contra Österreichische Post AG. (Adjunto link directo: https://eur-lex.europa.eu/legal-content/ES/TXT/HTML/?uri=CELEX:62021CC0300). ¿Es suficiente el mero incumplimiento de la normativa comunitaria de Protección de Datos para colmar las exigencias indemnizatorias del art. 82 RGPD, o es preciso un daño concreto, sea este material o inmaterial?

    En líneas generales, de las conclusiones del Abogado General que han sido referidas, se extrae que la mera vulneración de la normativa comunitaria de Protección de Datos no es suficiente para accionar ex art. 82 RGPD, exigiéndose así no sólo una molestia o un mero sentimiento de desagrado en el interesado, sino un efectivo daño, que habrá de ser acreditado por quien demande la tutela jurisdiccional. Se analizan, seguidamente, los argumentos principales del Abogado General M. Campos Sánchez Bordona, en el Asunto C-300/21 - UI contra Österreichische Post AG. 

    En el marco de la cuestión prejudicial en que se desenvuelve el Asunto, el Abogado General, mediante sus conclusiones, aclara al tribunal de reenvío si en el RGPD, el reconocimiento de los daños y perjuicios inmateriales se condiciona a una «vulneración de derechos que tenga al menos cierto peso y que vaya más allá de la contrariedad causada por la misma». En este sentido, el Abogado General considera que “a la (…) pregunta prejudicial se debe responder en sentido afirmativo.” Analicemos en que fundamenta su respuesta. 

    I. En primer lugar, el AG del TJUE pone de manifiesto la diversidad de objetivos de la normativa comunitaria en materia de Protección de Datos, haciendo constar que “el RGPD no tiene como único objetivo la salvaguarda del derecho fundamental a la protección de datos personales,” añadiendo que “su sistema de garantías incorpora mecanismos de tipología diversa.”

II. Principalmente, el AG del TJUE fundamenta su argumentación en que, “como regla, cualquier violación de una norma sobre protección de datos personales generará alguna reacción negativa del interesado. Una indemnización derivada del mero sentimiento de desagrado ante la falta de respeto ajeno por la ley se confunde fácilmente con una compensación sin daño, que ya he rechazado antes.” Es decir, el sistema de responsabilidad civil que se esructura bajo la normativa comunitaria no prevé la llamada “indemnización sin daño”, y exige, en todo caso, que quien demande la tutela jurisdiccional como consecuiencia de un incumplimiento de la normativa comunitaria sea capaz, como mínimo, de acreditar un daño concreto.

    Al hilo de lo anterior, el AG Manuel Campos Sánchez Bordona pone de manifiesto la delgada línea que separa dos conceptos que, muchas veces, pueden llegar a diluirse entre sí: “es pertinente la distinción, sugerida al Tribunal de Justicia, entre daños inmateriales indemnizables y otros inconvenientes derivados de la falta de respeto a la legalidad que, por su escasa entidad, no necesariamente darían derecho a compensación.”

    III. Con todo, y a la espera de lo que resuelva el TJUE sobre la cuestión, el Abogado General del TJUE M. Campos Sánchez, considera que, la interpretación que merece el artículo 82 del Reglamento General de Protección de Datos es la que sigue: 

“Para el reconocimiento del derecho a una indemnización por daños y perjuicios sufridos por una persona como consecuencia de una vulneración del mencionado Reglamento no es suficiente la mera infracción de la norma, por sí misma, si no va acompañada de los correspondientes daños y perjuicios, materiales o inmateriales.”

(…) 

“La indemnización de los daños y perjuicios inmateriales que regula no se extiende a la mera contrariedad que la persona afectada pueda sentir a causa de la infracción de los preceptos del Reglamento 2016/679. Compete a los órganos jurisdiccionales nacionales discernir cuándo, por sus características, la sensación subjetiva de desagrado puede reputarse, en cada caso, un daño y perjuicio inmaterial.”

Para concluir…

    Es innegable que el artículo 82 del Reglamento General de Protección de Datos reconoce un remedio uniforme de responsabilidad -civil- en todo el territorio de la UE. No obstante, este régimen de responsabilidad deberá ser aplicado por los tribunales de cada uno de los Estados Miembro, con arreglo a sus reglas procesales, pero sobre todo, y en lo que se refiere a la delimitación y concreción del daño concreto, el régimen que dimana del artículo 82 RGPD deberá adecuarse a las las reglas sustantivas internas, bajo la influencia de la experiencia acumulada en esta materia (RC) en cada jurisdicción. (En este sentido, es interesante el asunto C-33/76, sobre el Principio de Autonomía en Derecho UE)

    Con todo, y sintetizando, el artículo 82 del Reglamento General de Protección de Datos contiene un régimen de responsabilidad que es de aplicación directa en todos y cada uno de los Estados Miembro de la UE, pero su prosperabilidad está supeditada a que el reclamante acredite los siguientes extremos: A) La condición de responsable o encargado del tratamiento de la persona a quien se reclama; B) una infracción de la normativa sobre protección de datos personales prevista en el RGPD; C) daños y perjuicios (bien materiales, bien inmateriales, pero concretos) que dicha infracción le ha causado al reclamante; y D) un nexo causal, o si se prefiere, la relación de causalidad entre la infracción cometida y el resultado dañoso. No hemos de olvidar que se trata de requisitos cumulativos, esto es, que es necesaria la concurrencia de todos y cada uno de ellos para que la reclamación en vía judicial tenga posibilidades de prosperar.

    Por tanto, no parece en absoluto viable, accionar ex art. 82 RGPD, basando nuestra demanda o pretensión en un mero incumplimiento de la normativa comunitaria de Protección de Datos, ya que, si no acreditamos un daño concreto, (al margen de un incumplimiento de la normativa comunitaria de Protección de Datos) el interesado no podrá gozar de la tutela jurisdiccional que solicita y pretende se haga efectiva. 

El derecho de información previa (arts. 11 LOPD y 12 RGPD) en el ámbito de la videovigilancia laboral. Análisis de la STS 285/2022 de 30 de marzo.

DERECHO LABORAL Y NUEVAS TECNOLOGÍAS

EL DERECHO DE INFORMACIÓN PREVIA (ARTS. 11 LOPDPGDD Y 12 RGPD) EN EL ÁMBITO DE LA VIDEOVIGILANCIA LABORAL. ANÁLISIS DE LA STS 285/2020, DE 30/03/2022.

Arnau Gómez Echeverría - Entrada Nº2. 

Introducción.

    El efectivo cumplimiento de la normativa en materia de Protección de Datos en el ámbito de las relaciones laborales ha constituido siempre una cuestión más que controvertida, máxime teniendo en consideración que, la implementación de los sistemas de videovigilancia en el ámbito laboral ha dado pie a un debate, con opiniones muy diversas: ¿Qué prima más, el poder de control del empresario, o el derecho a la Protección de Datos de las personas trabajadoras? 

    En esta segunda entrada del Blog, se tratará esta cuestión mediante el estudio jurisprudencial de la Sentencia del Tribunal Supremo 285/2022, de 30 de marzo, y además, se analizarán, de manera gráfica y genérica, las claves prácticas de la videovigilancia en el ámbito laboral, mediante una breve aportación de la Guía Práctica de la AEPD en lo referente a la videovigilancia en el ámbito de las relaciones laborales. 

A) Análisis de la STS 285/2022, de 30 de marzo.

1. Antecedentes y recorrido judicial del caso. 

    El procedimiento del que posteriormente dimanará la Sentencia que es objeto de análisis en este artículo se inicia en 2019, ante el Juzgado de lo Social nº8 de Madrid. La persona trabajadora que interpuso la demanda contaba con más de 30 años de antigüedad, y la prestación de servicios se llevaba a cabo en el servicio de Cafetería y Hostelería del Aeropuerto de Barajas, en Madrid. 

    En 2009, la empresa decide colocar dentro del centro de trabajo varias cámaras de vigilancia, concretamente sobre las cajas registradoras, con tal de identificar al personal que, en ese momento, se encontraba haciendo operaciones de cobro. La finalidad de la instalación de los dispositivos de videovigilancia no era otra que, según la empresa, garantizar la seguridad tanto de los empleados, como de los bienes de la empresa. Además, la empresa colocó carteles adhesivos y avisos gráficos en la entrada del establecimiento, con tal de informar sobre la existencia de dispositivos de videovigilancia a los clientes y usuarios del negocio.

    No obstante, y a pesar de que la empleadora notificase a la representación legal de los trabajadores (en fechas 17 de enero de 2014 y 31 de julio de 2015) el cambio y nueva ubicación de las cámaras de seguridad, la empresa no notificó a la persona trabajadora: A) La existencia de las cámaras activas de videovigilancia que captaban su imagen durante el desarrollo de la actividad laboral. B) La posibilidad de utilizar las imágenes con fines disciplinarios.

    En fecha 9 de mayo de 2018, la empresa comunica a la persona trabajadora la extinción del contrato de trabajo por motivos disciplinarios, ya que, gracias a la revisión de las cámaras de vigilancia instaladas, la empresa pudo comprobar la comisión de una serie de actos ilícitos por parte de la persona trabajadora, en reiteradas ocasiones, en las fechas 14, 17, 18, 19 y 23 de marzo de 2018. 

    Ha de tenerse en consideración que los hechos ocurren con anterioridad a la entrada en vigor de la vigente LOPDPGDD, y que por tanto, la ley aplicable en mayo de 2018, era la LOPRODA. 

    Sentado este extremo, el TSJ de Madrid, en recurso de suplicación, entiende que no se da cumplimiento a lo dispuesto en el art. 5 de la LOPRODA (Ley aplicable en ese momento), ya que, no se ha podido acreditar que la empresa informase previamente a la persona trabajadora de la existencia del sistema de grabación, ni que ésta tuviera conocimiento de ello, ni que la empresa hubiera colocado los distintivos genéricos de la Agencia de Protección de Datos”. 

    En la misma línea, el TSJ declara como elemento decisivo para resolver el pleito (en favor de la persona trabajadora despedida) “la total ausencia de conocimiento y de comunicación expresa así como la inexistencia de las advertencias públicas y genéricas obligatorias, respecto a la instalación de un sistema de grabación de imágenes, sin que sea relevante ni el consentimiento del trabajador. 

    La representación recurrida aportó al procedimiento como Sentencia de contraste la Sentencia del Tribunal Superior de Justicia de Madrid, 10 de enero de 2020, resolución de la que se extrae el enjuiciamiento de un caso muy parecido, y en la que se analiza un despido disciplinario de un trabajador de la misma empresa, con la misma categoría profesional. En este caso, la STSJ de Madrid de 10 de enero de 2020 admitió la prueba de videovigilancia y, tras atribuirle un carácter lícito a la grabación efectuada por parte de las cámaras de la empresa, declaró procedente el despido, en contra de lo resuelto por el juzgador de instancia. 

    En este caso, razona la STSJ de Madrid de 10 de enero de 2020, quedó debidamente acreditado que “las cámaras instaladas en el centro de trabajo cumplían la normativa en materia de protección de datos, tal y como se deduce del hecho probado cuarto, teniendo como objeto garantizar la seguridad de los empleados y bienes de la empresa. Existían carteles adhesivos informando de la existencia de cámara a la entrada de los establecimientos y en el interior de los mismos, y los representantes de los trabajadores fueron informados de la ubicación de las cámaras en todo momento”.     

    La resolución de contraste se fundamenta, entre otros, en la Instrucción 1/2006 de la Agencia Española de Protección de Datos, así como en la LOPRODA, texto aprobado en 1999, y que constituye la antesala a la normativa actualmente vigente de Protección de Datos, inexistente en la fecha en que ocurrieron estos hechos. 

2. La STS 285/2022 de 30 de marzo, y su posterior cristalización en el artículo 89 de la LOPD. 

    La dualidad de resoluciones referentes a una misma cuestión hizo que el caso llegase al Tribunal Supremo, vía recurso para la unificación de doctrina. El Tribunal Supremo dictó la Sentencia 285/2022, de 30 de marzo, y lo recogido por el Alto Tribunal en esta resolución es de capital importancia, ya que, este razonamiento jurisprudencial, así como la conclusión a la que llega el Juzgador, se incluirán posteriormente en el texto de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, en concreto, en su artículo 89, en el que se concreta el régimen específico de la videovigilancia en el ámbito laboral.

    La resolución del TS desdice la dictada por el TSJ de Madrid en suplicación, alegando, fundamentalmente, que las exigencias del deber de información previa al trabajador se entienden cumplidas por la mera existencia del distintivo informativo colocado a la entrada del establecimiento. El TS alude a que “en el año 2009 se dictó resolución de la Agencia de Protección de Datos por la que archivaba sus actuaciones en la que se dejaba constancia, entre otras cuestiones, de que se colocaban carteles adhesivos informando de la existencia de cámara a la entrada de los establecimientos y en el interior de los mismos”.

    Además, el Tribunal Supremo, tras llevar a cabo el pertinente juicio de proporcionalidad (medida adoptada vs. Derechos Fundamentales de la persona trabajadora) declaró la licitud de la medida adoptada por el empresario, ya que, la instalación de dispositivos de videovigilancia cumple con los parámetros constitucionales exigidos, al estar orientada a un fin legítimo y justificado (como puede ser el de evitar los hurtos). La medida es también idónea, pues está orientada a dejar constancia de la relación causa-efecto entre el acto ilícito llevado a término por el empleador y las consecuencias que de él se derivan para la empresa. 

    Con todo, dice el Tribunal Supremo, la medida es en sí misma proporcionada, ya que, la captación de imágenes tiene un fin concreto y específico, sin que el mismo, además, sea ajeno a la relación laboral que une a las partes. 

    La lógica de la doctrina jurisprudencial que subyace de la STS 285/2022, de 30 de marzo de 2022, fue introducida por el legislador en el artículo 89 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales: 

“Artículo 89. Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo. 

1. Los empleadores podrán tratar las imágenes obtenidas a través de sistemas de cámaras o videocámaras para el ejercicio de las funciones de control de los trabajadores o los empleados públicos”. 

                    ¡OJO! El precepto tiene límites, en el apartado siguiente del mismo: 

“2. En ningún caso se admitirá la instalación de sistemas de grabación de sonidos ni de videovigilancia en lugares destinados al descanso o esparcimiento de los trabajadores o los empleados públicos, tales como vestuarios, aseos, comedores y análogos”. 

No obstante, y términos del derecho de información previa a los trabajadores sobre los dispositivos de videovigilancia, ha de estarse a lo que el Tribunal Supremo declaro en su Sentencia, y es que, el deber de información previa ex art. 11 LOPDPGDD y 12 RGPD no es absoluto, y puede decaer a un régimen de mínimos cuando se esté hablando sobre comisión de hechos ilícitos, entendiéndose colmadas las exigencias de información en virtud de lo previsto en el artículo 22.4 de la LOPDPGDD, referente al marco general de videovigilancia, y no sólo a aquella en el ámbito laboral. 

De la lectura de la Sentencia se extrae que, lo relevante a efectos de tener por informado o no informado previamente al trabajador, es la concurrencia o no de un acto ilícito, siendo ello determinante a la hora de aplicar o no aplicar el régimen de información “mínima”, contenida en el marco general, en el art. 22.4 de la LOPDPGDD. Es decir, el TS sienta como criterio o norma general la obligación de informar previa y expresamente al trabajador de la existencia de sistemas de videovigilancia, sin perjuicio de que, esta norma general, pueda verse reducida a una información mínima en el caso de concurrir o advertirse hechos ilícitos. (Aplicación del régimen general de videovigilancia art. 22.4 LOPDPGDD)

B) Guía Práctica de la Agencia Española de Protección de Datos (AEPD) en materia de videovigilancia en el ámbito de las relaciones laborales.

    Al margen del análisis jurisprudencial -referente sobre todo al derecho de información previa al trabajador ex art. 89 LOPD y art. 22.4 del mismo texto- esta segunda entrada del Blog pretende ofrecer al lector una serie de consideraciones prácticas sobre la videovigilancia en el ámbito laboral. Se aporta, para ello, un esquema práctico de la AEPD, en el que se analizan mínimamente las implicaciones prácticas más importantes en materia de videovigilancia laboral, con relevancia, en este caso, a efectos de Protección de Datos.

    Lo expuesto hasta ahora hace referencia a la excepción que el esquema de la AEPD no menciona en lo relativo al derecho de información previa (subrayado en el esuqema de amarillo), pero considero el resto de cuestiones prácticas de sumo interés, por lo que, se adjuntan mediante el esquema de la AEPD, sin perjuicio de que, a futuro, podáis encontrar alguna entrada independiente -y más profunda- sobre las cuestiones a las que se refiere la guía práctica de la Agencia. 

          

                         Fuente: Agencia Española de Protección de Datos. (AEDP)

La autoría en obras creadas por la Inteligencia Artificial.

    PROPIEDAD INTELECTUAL E INTELIGENCIA ARTIFICIAL

LA AUTORÍA EN OBRAS CREADAS POR LA INTELIGENCIA ARTIFICIAL

 

Arnau Gómez Echeverría. - Entrada Nº1. 

    Como no podía ser de otra manera, el fenómeno de la Inteligencia Artificial (IA) ha terminado explotando. Durante los primeros meses de 2023, se ha dado un boom mediático de esta tecnología, principalmente como consecuencia de la viralización del Software de OpenAI ChatGPT, que ha dado la vuelta al mundo.

    A pesar de este boom mediático (en mi opinión, algo tardío) la Inteligencia Artificial lleva planteando problemas de carácter jurídico desde hace ya varios años. En concreto, la cuestión que se tratará y analizará en esta primera entrada del Blog ocurrió en el año 2016, y a día de hoy, aún se discute, ya que es, cuanto menos, una cuestión interpretable: ¿A quién corresponde la autoría de una obra creada por un Software o Algoritmo de Inteligencia Artificial?

    En 2016, en el marco de un proyecto patrocinado por el banco ING y la tecnológica Microsoft, un Software programado con un Algoritmo de Inteligencia Artificial fue capaz de crear, mediante un sistema de píxeles, un retrato de Rembrandt Harmenszoon Van Rijn, el pintor más famoso e importante de la historia de Países Bajos. El algoritmo creado y programado por ING y Microsoft analizó, durante más de 18 meses, los datos de 346 obras de Rembrandt, y el resultado fue un retrato que constaba de 148 millones de píxeles, y se basaba en más de 168.000 fragmentos originales del artista neerlandés. 

    Y aquí es donde surge la pregunta: ¿A quién corresponde la autoría de una obra creada por un Software o un Algoritmo de Inteligencia Artificial? En este caso, ¿corresponde a ING y Microsoft? ¿Corresponde al Software de IA como sujeto de derecho independiente de las entidades que lo han programado? ¿Corresponde a Rembrandt, quien murió hace más de 350 años? ¿Es necesaria una reformulación del concepto de Autoría, tal y como la entiende la Ley de Propiedad Intelectual, como consecuencia del avance de tecnologías como la Inteligencia Artificial?

    De las preguntas planteadas nacen (al menos) 3 escenarios distintos: 

• Opción Jurídica A): Reconocer al Software o Algoritmo de Inteligencia Artificial como Autor de la obra creada, conforme al artículo 5 de la Ley de Propiedad Intelectual.

• Opción Jurídica B): No proteger mediante Derechos de Autor las obras creadas por un mecanismo o sistema de Inteligencia Artificial. 

• Opción Jurídica C): Hacer valer la protección “intermedia” del artículo 133 de la Ley de Propiedad Intelectual, que, en el ámbito de las Bases de Datos, otorga al fabricante de la misma un derecho sui generis, que protege, entre otros, la inversión sustancial, el tiempo empleado, y, lo que es más importante, prohíbe la extracción y/o reutilización de la totalidad o de una parte sustancial del contenido de la Base de Datos (en este caso, del Algoritmo en sí mismo)

    A pesar de que sea una cuestión interpretable, discutible y opinable, los distintos cuerpos normativos (internacionales, comunitarios y estatales, que a continuación se analizan mínimamente) se inclinan, de momento, por la Opción Jurídica B): No proteger mediante Derechos de Autor las obras creadas por un mecanismo o sistema de Inteligencia Artificial. 

1. Convenio de Berna para la protección de las Obras Literarias y Artísticas, de 9 de septiembre de 1886.

El artículo 3 del Convenio habla de “nacionalidad”, entendiéndose, por tanto, que el Convenio protege obras creadas por Personas Físicas (máxime teniendo en consideración que, en 1886, era prácticamente imposible imaginar que “algo” que no fuera una Persona Física pudiera llegar a crear una obra) 

    2.  Ley de Propiedad Intelectual.

El artículo 5 de la Ley de Propiedad Intelectual contempla como autor de una obra a una persona natural.

Además, el artículo 10 de la LPI exige el requisito de la originalidad para que una obra sea susceptible de ser protegida por vía de la Propiedad Intelectual. ¿Es realmente original una creación artística que, si bien es nueva, parte directamente de fragmentos y obras ya existentes?

Al margen de estas dos circunstancias, el hecho de aceptar que el Software o Algoritmo de IA merece la condición de autor del Rembrandt, como sujeto independiente, generaría problemas a la hora de reconocer los Derechos Morales que dimanan de la obra, ya que, ex art. 14 LPI se trata de derechos personalísimos. 

     3. Derecho Comparado. 

Como norma general, la mayoría de países de la Comunidad Internacional (Francia, Alemania, Italia, Portugal, etc.) están operando de igual manera, y de momento, no reconocen protección vía Propiedad Intelectual a obras que no sean de creación humana. 

No obstante, en Reino Unido se configura una suerte de “protección intermedia” (una especie de art. 133 LPI, que ha sido puesto de manifiesto anteriormente), vía artículo 9.3 de la Copyright Design and Patent Act, de 1988. En el ámbito de los Computer Created Works, la norma reconoce como autores a aquellos que hayan creado “arreglos necesarios” (necessary arrangements)

     4. Normativa Comunitaria. Directiva 2009/24/CE. “Directiva Software”.

El artículo 2.1 de la referenciada Directiva vincula el concepto de autor, únicamente, a personas físicas. 

  

    Concluyendo…

    No hay (por el momento) ningún texto legal, ni internacional, ni comunitario, ni estatal, que reconozca como autor de una obra original a un Software o Algoritmo de Inteligencia Artificial, lo que supone, (también de momento) una desprotección de estas obras vía Propiedad Intelectual/Derechos de Autor. 

    Además, la Propuesta de Resolución del Parlamento Europeo, de 2 de octubre de 2020, sobre derechos de Propiedad Intelectual para el desarrollo de tecnologías relativas a la Inteligencia Artificial descarta dotar de personalidad jurídica propia a las Tecnologías de IA, descartando, a su vez, la protección de las obras creadas por las mismas mediante Derechos de Autor, al no cumplirse (dice la UE) el requisito de originalidad (art. 10 LPI) que sólo es apreciable en Personas Físicas. 

    A pesar de que esta primera entrada del Blog se haya centrado en un tipo de obra muy concreto (un cuadro de Rembrandt, creado por una IA de ING y Microsoft), lo expuesto es igualmente aplicable a un poema redactado por Chat GPT, una receta elaborada por un Software de Inteligencia Artificial o un libro escrito por un Algoritmo entrenado para ello. 

    La desprotección de obras creadas por IA tiene los días contados. El constante avance de esta tecnología, las distintas posibilidades que ofrece, y sobre todo, lo accesible que en un futuro será la IA, son factores que provocarán la intervención de las instituciones, y la configuración de una protección de las creaciones inteligentes, que, en mi opinión, consistirá en una suerte de “protección intermedia” como la que ya prevé el sistema anglosajón, y que en España (y en el conjunto de la Unión Europea) podría articularse sobre herramientas ya existentes, como el artículo 133 de la Ley de Propiedad Intelectual. 

Fuente: El País.