¿Qué implica para las empresas, organizaciones y entes de la administración pública suscribir el Pacto Digital para la protección de las personas? En principio, adherirse a esta iniciativa de la Agencia Española de Protección de Datos (AEPD) supone formalizar un compromiso ético para preservar la privacidad y otros derechos digitales de los usuarios de Internet.
La principal intención de este instrumento es reforzar los derechos de los ciudadanos en el entorno digital. Con este propósito, las mismas personas y las organizaciones deben ser conscientes de cómo puede afectar a un individuo la difusión de contenidos particularmente sensibles. Así como también de las responsabilidades civiles, penales, administrativas e, incluso, educativas y laborales (si fuere el caso) en que incurren quienes publican dicho contenido.
De manera concreta, adherirse al Pacto Digital de la AEPD implica asumir un conjunto de obligaciones planteadas en los tres documentos que lo componen:
- La Carta de Adhesión.
- El compromiso por la responsabilidad en el ámbito digital.
- Un Decálogo de buenas prácticas en privacidad para medios de comunicación y organizaciones con canales de difusión propios.
En este resumen conocerás en qué consiste cada uno de estos elementos mencionados. Por igual, subrayaremos las consecuencias legales del incumplimiento de las premisas expuestas.
Suscribir la Carta de Adhesión, primer paso para cumplir el Pacto Digital
Cuando una entidad privada o pública firma la Carta de Adhesión al Pacto Digital, acepta formal y públicamente su compromiso con el derecho fundamental a la protección de los datos y la privacidad, tanto de sus clientes y/o usuarios como de su recurso humano. Asimismo, asume el empleo responsable y ético de las tecnologías disponibles. Para este propósito, la entidad promoverá en el contexto de sus competencias acciones que faciliten el logro de tal objetivo.
Por un lado, al suscribir la mencionada carta, el ente acepta su adhesión a:
- El Compromiso por la responsabilidad en el ámbito digital, que reúne las obligaciones definidas que deben cumplir las organizaciones en el entorno digital. Más aún, incluye las responsabilidades en las que incurriría por el incumplimiento de las mismas, que conlleva la promoción y difusión del referido compromiso a lo interno de la entidad y frente a terceros. En el mismo momento, implica crear un marco de condiciones requeridas de convivencia basado en el respeto a la privacidad en el contexto digital.
- De igual manera, la entidad aceptará y cumplirá el Decálogo de buenas prácticas en privacidad que desglosaremos más adelante.
Otros compromisos asumidos al firmar la Carta de Adhesión del Pacto Digital
Aparte de lo anterior, al formalizar la adhesión al Pacto Digital, el ente firmante acepta una serie de compromisos inherentes; entre otros:
- Difundir mediante los recursos disponibles, la información referida al Canal Prioritario auspiciado por la AEPD. Esta plataforma guía a los ciudadanos para actuar en los casos graves de violencia digital. Por igual, dicha plataforma promueve buenas prácticas dirigidas a evitar la violencia digital, que afecta en mayor medida a niñas y mujeres.
- Generar un entorno laboral libre de acoso, en particular dentro del ámbito digital. Esto implica oponerse decididamente al uso y publicación de datos personales que representen tratamientos ilícitos de información que pueda quebrantar el derecho a la privacidad de los integrantes del equipo de trabajo. La Constitución Española consagra los principios de igualdad, dignidad, no discriminación y el derecho a la integridad física y moral.
- Auspiciar la innovación y la transformación digital apoyadas en principios éticos, de responsabilidad y transparencia, en especial con los productos y servicios que ameriten el tratamiento masivo de datos, tanto en cantidad de usuarios como en la de datos solicitados a cada persona. Particularmente, aquella información que involucre el uso de Inteligencia Artificial (IA).
- Definir normativas de teletrabajo respetuosas de la privacidad de los propios trabajadores y trabajadoras, que aseguren la menor intrusión posible en su vida personal.
- Incorporar la protección de los datos personales como parte de las políticas de sostenibilidad y responsabilidad social empresarial. A esto deben sumarse acciones dirigidas a garantizar el cumplimiento de este derecho fundamental como elemento diferencial de la competitividad. De acuerdo a dicho objetivo, se tendrá como buena práctica incluir dentro de los Principios de Negocio Responsable o del Código Ético de la organización el rechazo contundente a conductas y prácticas de acoso laboral, sexual o de discriminación en el contexto digital (ciberacoso).
El Pacto Digital formaliza el compromiso con la responsabilidad en el ámbito digital
En España, la Constitución consagra el derecho al honor, a la intimidad personal y familiar y a la propia imagen. Por otro lado reconoce como derecho fundamental aparte la autodeterminación informativa o libertad informática o lo que vendría a ser el derecho a la protección de datos personales, como un complemento del anterior. Aunque este no se limita únicamente a los datos íntimos, sino que engloba toda la información que identifique o permita identificar a un individuo.
En este punto, los datos podrían facilitar la elaboración de un perfil que define el nivel socio económico, ideología, tipología racial, preferencia sexual u otros o bien tener otros propósitos que en determinadas circunstancias represente una amenaza para las personas.
Como parte del marco legal en esta materia contamos con el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). La novedad del RGPD está en el principio de responsabilidad activa que exige a los responsables o encargados de datos la valoración previa de los eventuales riesgos que generaría el tratamiento de los datos personales. A partir de dicha evaluación, tendrán que aplicar las medidas adecuadas. Más específicamente, deberán cumplir con las obligaciones que detallaremos a continuación.
Obligaciones específicas en el ámbito digital
- Informar a los usuarios de manera clara y sencilla sobre los aspectos más relevantes del tratamiento de sus datos y las opciones para ejercer sus derechos. Esta última prerrogativa no podrá ser denegada aun si el usuario la hace efectiva mediante un procedimiento diferente al ofrecido (artículos 13 y 14 del RGPD y 11 del LOPDGDD).
- Las organizaciones aplicarán los principios de licitud, transparencia, lealtad, integridad, limitación de la finalidad, exactitud, minimización, limitación del plazo de conservación, confidencialidad y responsabilidad proactiva, al tratamiento de los datos de clientes, sus empleados, proveedores y ciudadanos en general. Para ello se tendrá en cuenta el alcance otorgado a estos en el artículo 5 del RGPD.
- Los entes que suscriben el Pacto Digital se comprometen a garantizar la licitud del tratamiento de datos personales que gestionen, considerando cualquiera de las causas contempladas en el artículo 6 y de las categorías especiales de datos personales (salud, tendencia política o sindical, sexualidad, etc.), previstos en el artículo 9 (ambos del RGPD).
Delegado de protección de datos y privacidad desde el diseño
- Las organizaciones designarán un delegado de protección de datos, conforme a lo previsto en la sección 4, artículos del 37 al 39 del RGPD y de los artículos 34 a 36 de la LOPDGDD. A este funcionario se le proporcionará todo el apoyo que requiera a fin de atender en condiciones óptimas las reclamaciones que interpongan los ciudadanos por esta vía, antes de plantearla ante la AEPD, o en los casos en que esta instancia decida su traslado a la persona responsable.
- Los entes que suscriben el pacto están en el deber de aplicar la privacidad desde el diseño. Es decir, están obligadas a implementar todas las medidas técnicas y organizativas adecuadas e incorporar las garantías necesarias en el tratamiento de datos personales. Esto con el propósito de cumplir las obligaciones de ley y proteger los derechos de las personas afectadas. De manera similar, aplicarán las medidas que permitan asegurar que, por defecto, sólo sean tratados los datos requeridos para cada objetivo específico. Todo ello, de acuerdo a lo previsto en el artículo 25 del RGPD.
Responsabilidades en el ámbito digital
El incumplimiento de las obligaciones arriba señaladas, generará otras responsabilidades:
- Responsabilidad administrativa por infringir la normativa de protección de datos. Para los distintos casos se impondrán las multas previstas en el artículo 83 del RGPD.
- Responsabilidad civil. Esto supondría indemnizar a la o las personas afectadas por daños y perjuicios, materiales y morales derivados del incumplimiento (ver artículos 82 del RGPD y 1.101 y 1.902 del Código Civil de España). Por si fuera poco, los padres, tutores, acogedores y guardadores legales o de hecho tendrían que responder igualmente por los daños que causen sus hijos y tutelados menores mediante sus dispositivos móviles (artículo 1.903 Código Civil).
- Responsabilidad penal. El Código Penal español tipifica determinadas conductas en el contexto digital como delitos. En concreto, aquellos que atentan contra la integridad moral, o de descubrimiento y revelación de secretos; amenazas, coacciones, acoso, calumnias e injurias, violencia de género, suplantación de identidad, o de daños informáticos, entre otros. Dentro de estos podemos incluir: ciberacoso, ciberbullying, sexting, grooming, phishing, pharming o carding, anglicismos que sirven para denominar diversas situaciones de acoso, amenazas, coacciones, revelación de secretos, delitos sexuales, violencia de género o estafas.
Responsabilidades en materia laboral y de menores
- Responsabilidad disciplinaria por infracción en el entorno laboral. En el caso de las empresas, estas pueden incurrir en infracciones en materia de relaciones laborales, de prevención de riesgos y en materia de igualdad de género. Mientras que los empleados podrían ser penalizados por incumplimiento de disposiciones laborales, acorde con el grado de las faltas previstas en disposiciones legales y convenios colectivos (artículo 58 del Estatuto de los Trabajadores).
- Responsabilidad administrativa, civil y penal por infracción de la normativa de protección de datos en el caso de menores de edad. Así como también responsabilidad disciplinaria en el ámbito educativo, incluyendo el caso de menores de 14 años. Por otra parte, se contempla Responsabilidad laboral de los mayores de 16 años y menores de 18.
Pacto Digital y compromiso con la innovación, la protección de datos y la ética
La responsabilidad digital está muy asociada con el respeto por los derechos humanos. En esta perspectiva, varias prácticas son fundamentales para prevenir la discriminación y los usos no deseados o encubiertos. Al igual que para evitar asimetrías y vulnerabilidades o la toma de decisiones no transparentes. Algunas de estas prácticas son:
- El respeto por la privacidad, la intimidad y la confidencialidad de los datos personales.
- Generar la toma de decisiones de forma libre e informada.
- La equidad, la transparencia y la rendición de cuentas.
En este contexto de transformación digital, tecnologías como Big Data, Machine Learning, Inteligencia Artificial, Internet de las Cosas, 5G, biometría, blockchain y hasta el empleo de datos genéticos deben implementarse de forma responsable. Es decir, evaluando y anticipándose a los riesgos e impactos que puedan tener en individuos, colectivos, o en toda la sociedad.
Decálogo de buenas prácticas para la privacidad y difusión, principios del Pacto Digital
La AEPD incluye en el Pacto Digital el siguiente decálogo de buenas prácticas en medios de comunicación y organizaciones con canales de difusión propios. Su objetivo es orientar las acciones conducentes a proteger los derechos de las personas en relación con el tratamiento de sus datos:
- Abstenerse de identificar de cualquier manera a las víctimas de agresiones, hechos violentos o de contenido sexual en sus informaciones. Tampoco publicarán datos genéricos mediante los que pueda inferirse su identidad, en el caso de personas sin relevancia pública. Si personas no públicas están involucradas en hechos noticiosos, la cobertura informativa será sólo la necesaria para cumplir con el derecho a la información, considerando las particularidades de cada caso.
- Evitar la difusión por los medios de imágenes innecesarias desde la perspectiva puramente informativa, bien de forma cualitativa o cuantitativa. Al respecto, se insta a no repetir de manera sistemática las imágenes.
- La AEPD mantendrá la confidencialidad y no facilitará ninguna información sobre las víctimas o de quienes denuncien la difusión de contenidos sensibles ante la Agencia mediante el Canal Prioritario. Tampoco contactará a las víctimas o denunciantes para comunicarles un eventual interés de los medios de comunicación en entrevistarlos.
- La AEPD respetará la protección de datos de los presuntos infractores en caso de ser personas físicas. A excepción de que ellos mismos lo hicieran público. Culminado el procedimiento, las informaciones publicadas pondrán de relieve la sanción impuesta a quien grabó o difundió las imágenes como herramienta pedagógica.
- Cuando ofrezcan información sobre difusión digital de contenidos violentos, quienes suscriban la carta de adhesión se comprometen a advertir, en la medida de sus posibilidades, sobre la responsabilidad disciplinaria, civil, penal y administrativa que acarrearían este tipo de conductas.
No justificación del infractor y promoción del Canal Prioritario
- De ninguna manera los suscriptores del pacto podrán justificar o disculpar al infractor que difunda contenidos sensibles de terceros sin consentimiento. El desconocimiento de la ley no inhibe su aplicación. La grabación voluntaria de imágenes de contenido sexual no implica su difusión posterior, si la misma se efectúa sin consentimiento de todos los participantes en tales imágenes.
- En la medida de las posibilidades de cada medio, las informaciones que traten la difusión de contenido sexual o violento de víctimas de ciberviolencia o violencia digital mediante Internet, deben incluir una referencia al Canal Prioritario de la AEPD.
- Por otro lado, cuando se publiquen contenidos en Internet que refieran algún tipo de violencia digital es obligatorio advertir que todas las personas afectadas por la difusión de los mismos pueden hacer la denuncia correspondiente mediante el Canal Prioritario. Aún sin aparecer en las imágenes, textos o audios, los denunciantes podrán solicitar por esta plataforma la retirada de los contenidos.
- Si un medio de comunicación llega a conocer la identidad de una presunta víctima de violencia digital, debe abstenerse de publicar o difundir contenidos o imágenes tomados directamente de las redes sociales de las que sea usuaria la víctima. Menos aún hará valoraciones en base a dichas imágenes. Las imágenes compartidas en social media previamente difundidas por cualquier medio serán empleadas siguiendo las reglas y principios ya establecidos.
- Las medidas expuestas en el punto 9 se aplicarán aunque los perfiles de RRSS de la víctima se encuentren en abierto.
Legal Veritas te proporciona el asesoramiento necesario para suscribir el Pacto Digital
¿Tu empresa ya suscribió o está por suscribir el Pacto Digital de la AEPD? Adherirse a este documento posiciona a tu organización como ente confiable en materia de tratamiento y protección de datos. ¿Tienes algunas dudas o preguntas? En Legal Veritas estamos dispuestos a responderte y asesorarte en este tema en particular y en todo lo relacionado al marco legal que rige la materia.
Consulta con nuestros profesionales especializados y conoce los servicios de adaptación de tus canales web a las exigencias de normativas como: RGPD, LOPDGDD y LSSI CE. En este sentido, contamos con soluciones tecnológicas que te ayudarán a cumplir con las obligaciones contempladas en las legislaciones actuales de España y la UE.
¡Contáctanos ahora mismo y resuelve todas tus dudas sobre el Pacto Digital y cualquier otra cuestión en materia de protección de datos!
Deja una respuesta