Los Derechos de los Interesados en el Marco de la Protección de Datos

Este elemento es un complemento de los cursos y guías de Lawi. Ofrece hechos, comentarios y análisis sobre los “Derechos de los Interesados en el Marco de la Protección de Datos”. [aioseo_breadcrumbs]

Nota: Véase también la información sobre la Economía de los datos, el derecho a la información, el derecho de acceso, el derecho al olvido y la portabilidad de los datos.

Los Derechos de los Interesados en el Marco del GDPR

En 2018, el GDPR inició una revolución en el mundo de la protección de datos. Una de las novedades de mayor alcance del nuevo reglamento fue la parte sobre los derechos de los interesados. Se reforzaron y ampliaron los antiguos derechos y se introdujeron varios nuevos. Para los sujetos de los datos que se sentían abrumados por la sobrecarga de información, el RGPD supuso una promesa de mayor control individual sobre los datos. En combinación con severas sanciones económicas, los derechos revisados aportaron el potencial de convertirse en un vehículo de aplicación de la ley de protección de datos. Sin embargo, todavía existen muchas incertidumbres relacionadas con los derechos de los interesados debido a que el RGPD sólo ha entrado en vigor recientemente. El Tribunal de Justicia de la UE y otras autoridades gubernamentales de la UE aún no han tenido tiempo de proporcionar una orientación exhaustiva y actualizada (aunque el tribunal ha estado resolviendo activamente sobre estos derechos individuales desde que se adoptó el GDPR). No sólo la falta de orientación es un problema, sino que la aplicabilidad de los derechos de los interesados está fuertemente influenciada por el contexto económico y social (impulsado por los datos).

La falta de control individual en la economía basada en los datos

Desde finales del siglo XX, el enorme crecimiento de la cantidad de información y de los medios por los que puede difundirse ha impulsado la transición de unas economías basadas en la industria a otras basadas en la información. La transformación de los datos en un activo de gran valor ha tenido profundas consecuencias. Esta transformación ha afectado a la forma en que las empresas valoran los datos que poseen y a quién permiten acceder a ellos. Ha permitido -e incluso obligado- a las empresas a cambiar sus modelos de negocio. Ha alterado la forma en que las organizaciones piensan sobre los datos y cómo los utilizan. Todas las grandes empresas de Internet -Google, Facebook, Amazon, eBay, Microsoft- tratan los datos como un activo importante y una fuente de creación de valor. Además de los gigantes tecnológicos, la revolución de los macrodatos también ofrece espacio para la expansión de las empresas de nueva creación, las pequeñas y medianas empresas (PYME) y las grandes corporaciones tradicionales, especialmente las que despliegan software analítico altamente especializado capaz de escudriñar los datos en tiempo real. El intercambio, la venta y la concesión de licencias de macrodatos se consideran a menudo la gran oportunidad de negocio de esta era.

La prueba más clara del estallido de los datos puede verse en la vida cotidiana. La mensajería instantánea a través de los teléfonos móviles, el fácil acceso a los documentos a través del servicio en la nube y los anuncios personalizados son avances basados en la disponibilidad y reutilización generalizadas de los datos.

En la literatura, estos avances se han descrito a veces como la revolución de los grandes datos. El cambio fundamental se refleja en dos términos acuñados recientemente: data-driven y big data. Estos términos transmiten dos tendencias comunes. La primera tendencia es la existencia de una cantidad extraordinariamente grande de datos disponibles. Estos datos son demasiado grandes (volumen), llegan con demasiada rapidez (velocidad), cambian con demasiada rapidez (variabilidad) o son demasiado diversos (variedad) para ser procesados dentro de una estructura informática local utilizando enfoques y técnicas tradicionales. Las iteraciones posteriores de la definición se han ampliado para incluir nuevas características como la veracidad y el valor. En particular, el “valor”, como factor de los big data, ha crecido en importancia. Ciertamente, el debate actual sobre los grandes datos suele tener una orientación económica. La cuestión candente se refiere a cómo los grandes datos ayudan a las empresas a superar a sus competidores y cómo crean valor al liberar el potencial del conocimiento oculto.

Esto nos lleva a la segunda tendencia: la analítica de datos. Mientras que, tradicionalmente, la analítica se ha utilizado para encontrar respuestas a preguntas predeterminadas (la búsqueda de las causas de determinados comportamientos, es decir, buscar el “por qué”), la analítica de los grandes datos lleva a encontrar conexiones y relaciones entre los datos que son inesperadas y que antes se desconocían. Mediante el uso de herramientas analíticas modernas, los macrodatos permiten ver patrones donde en realidad no los hay, ya que grandes cantidades de datos pueden ofrecer conexiones que irradian en todas direcciones. Al emplear técnicas analíticas sofisticadas, el valor de los datos se desplaza de su uso primario a sus posibles usos futuros o reutilizaciones.

Las empresas impulsadas por los datos han mostrado especial interés por los datos personales. Aunque este tipo de datos es relativamente fácil de monetizar, por ejemplo a través de la publicidad basada en el comportamiento, también está estrictamente regulado y protegido en el plano de los derechos humanos. Esto se ha demostrado notablemente en la UE, donde se considera que tener control sobre los datos personales es un derecho fundamental. Los derechos humanos se caracterizan tradicionalmente por los principios de inalienabilidad, universalidad, indivisibilidad, interdependencia, e interrelación, también en el derecho primario de la UE.

El individuo en la economía impulsada por los datos (big data)

A la hora de estimar las repercusiones de la economía de los datos sobre los individuos, los autores del ámbito económico parecen contradecirse. Algunos creen que los datos pueden desempeñar un papel económico importante en beneficio tanto del comercio privado como de las economías nacionales y ven un gran beneficio de la economía impulsada por los datos para el bienestar de los ciudadanos. Por el contrario, otros advierten de que la economía de los grandes datos disminuye de hecho el excedente del consumidor. Su argumento coincide con el de aquellos que cuestionan los beneficios de la economía de los datos debido a que socavan los derechos y libertades fundamentales (en consonancia con las preocupaciones expresadas en otras partes de esta plataforma digital).

Para describir los riesgos que corre un individuo en una economía impulsada por los datos, el análisis que sigue se centra en un número limitado de valores fundamentales (privacidad, transparencia, autonomía, igualdad y simetría de poder) que pueden verse comprometidos como resultado de las prácticas empresariales impulsadas por los datos. Cuando los cinco valores no pueden perseguirse adecuadamente, los individuos pueden ser incapaces de controlar eficazmente los datos personales, por lo que pueden ser necesarios mecanismos legales para mitigar el riesgo.

Privacidad comprometida

La privacidad es un concepto que admite múltiples definiciones. Se ofrece, por la literatura, un análisis detallado del término y rastrea los intentos de captar su significado. Por ahora, basta con entender la privacidad en su sentido ordinario: como un atributo de las cosas que afectan o pertenecen a personas privadas, que son generalmente distintas del público y que se mantienen confidenciales y secretas (por ejemplo, no se revelan a otras personas y se mantienen alejadas del conocimiento o la observación pública).

La economía impulsada por los datos da a menudo la impresión de que la privacidad ha sido eliminada o incluso está muerta. Mark Zuckerberg, consejero delegado de Facebook, argumentó que la privacidad ha evolucionado fundamentalmente en los últimos años y ya no puede considerarse una norma social. Si bien es cierto que la privacidad como norma social se ha transformado, no ha perdido ni un ápice de su fuerza.

Al contrario, teniendo en cuenta los muchos nuevos tipos de violaciones de la privacidad, algunas de las cuales se mencionan a continuación, la privacidad nunca ha sido tan relevante. El propio Zuckerberg es la prueba. En una foto compartida a través de Twitter en el verano de 2016, se puede ver su ordenador, en el que la cámara y la toma de auriculares están cubiertas con cinta adhesiva, y el cliente de correo electrónico que utiliza es Thunderbird (un cliente de correo electrónico muy popular entre los expertos en tecnología). El ejemplo de Zuckerberg puede parecer anecdótico, pero es un indicador de una tendencia más amplia, que sugiere que la gente se preocupa cada vez más por mantener su trabajo y sus conversaciones en privado.

En la economía impulsada por los datos, la datavigilancia es lo que más parece poner en peligro la privacidad. La datavigilancia es el uso sistemático de sistemas de datos personales en la investigación o el seguimiento de las acciones o comunicaciones de una o varias personas. En la economía de los datos, en la que el comportamiento de los individuos y todas sus acciones están cada vez más informatizados, la datavigilancia es fácil y barata de llevar a cabo. Como resultado, se puede vigilar a más individuos y a poblaciones más grandes.

La vigilancia de datos puede ser especialmente peligrosa porque permite interferir en hechos que alguien preferiría mantener en secreto. Por ejemplo, una persona puede compartir información sobre sus aficiones o sus libros favoritos, pero no información sobre su orientación sexual. Sin embargo, utilizando técnicas de big data, esta información puede predecirse de todos modos. Varios autores han demostrado cómo una serie de características personales muy sensibles -como la orientación sexual, el origen étnico, las opiniones religiosas y políticas, los rasgos de personalidad, la inteligencia, la felicidad, el consumo de sustancias adictivas y la separación de los padres- pueden predecirse con gran exactitud basándose en los “me gusta” de Facebook.

En la economía de los grandes datos, ni siquiera los datos anonimizados pueden garantizar la privacidad. De hecho, los datos anonimizados pueden ser tan útiles como los datos personales en muchos casos. Un ejemplo típico puede ser el de una empresa que quiere personalizar sus campañas de marketing con la ayuda de la elaboración de perfiles. El uso de datos personales puede ser útil para evaluar qué personas están potencialmente interesadas en productos o servicios específicos, pero los datos agregados a nivel de calle o de barrio pueden ser igualmente útiles y más baratos de procesar.

La inferencia de información a partir de perfiles de grupo permite hacer predicciones sobre las circunstancias personales de alguien. En cuanto tres o cuatro puntos de datos de una persona concreta coinciden con los datos inferidos (un perfil), que no tienen por qué ser datos personales, es posible predecir con precisión las características de los usuarios individuales.

El flujo de datos entre los actores de la economía basada en los datos aumenta el riesgo de intrusiones en la privacidad. Por este motivo, Nissenbaum considera que satisfacer las expectativas individuales sobre el flujo de información personal constituye el núcleo de la privacidad. Los datos personales se adquieren a menudo de varias fuentes de datos, incluidos los corredores de datos, mediante la combinación de datos. Por ejemplo, las propias bases de datos de Facebook se combinaban con expedientes detallados obtenidos de corredores de datos comerciales sobre la vida fuera de línea de los usuarios. De esta forma, Facebook mejora sus propios datos con categorías que los usuarios no compartían o no querían revelar en Facebook. Si la información se utiliza en contextos contrarios a las expectativas de los individuos, esto puede provocar sentimientos de incomodidad.

Falta de transparencia

La transparencia describe algo que es fácil de percibir o detectar y que está abierto al escrutinio. Por el contrario, la falta de transparencia puede ilustrarse con la metáfora de una caja negra: un sistema o dispositivo complejo cuyo funcionamiento interno está oculto o no se comprende fácilmente. En el contexto de la toma de decisiones basada en datos, la metáfora de la caja negra representa los resultados que surgen sin una explicación satisfactoria. La transparencia es el segundo valor en peligro en la era de la economía impulsada por los datos. Aunque los macrodatos prometen hacer el mundo más transparente, su recopilación es a menudo invisible y sus herramientas y técnicas opacas, cercadas por capas de protección física, legal y técnica.

El tratamiento no transparente de los datos se produce en todas las fases de la llamada cadena de valor impulsada por los datos: cuando se adquieren, cuando se analizan y cuando se utilizan. La recopilación omnipresente y automatizada de datos en la economía impulsada por los datos es opaca. Aunque la ley suele exigir a los recopiladores de datos que expliquen las formas y circunstancias en las que se recopilan, utilizan y comparten los datos personales, se ha demostrado que las personas tienen dificultades para comprender lo que se les ha presentado y lo que han consentido.

En la fase de análisis, el problema clave es que se sabe poco sobre los procesos utilizados para obtener todo tipo de conclusiones y que los algoritmos ocultos están envueltos en el secreto y la complejidad. Casi nadie puede captar completamente cómo funcionan los algoritmos y supervisar sus acciones. Por ejemplo, los mercados de datos en línea pueden utilizarse como fuente de numerosos puntos de datos para que un algoritmo determine la solvencia de un cliente. Debido a una mala puntuación crediticia calculada sobre la base de la información agregada, a un consumidor se le cobrará más, pero nunca entenderá cómo se calculó exactamente esta cantidad ni sabrá qué información proporcionaron los mercados. A veces, ni siquiera los ingenieros que trabajan con los algoritmos son plenamente capaces de captar su naturaleza y supervisar sus acciones.

El problema de la caja negra se duplica en el entorno de la computación en nube, principalmente debido al almacenamiento indefinido y no transparente. En la mayoría de los casos, los individuos desconocen lo que ocurre en una nube y cómo se puede dar un uso (secundario) a los datos. Los datos pueden compartirse con terceros, venderse a anunciantes o entregarse al gobierno. Esta pérdida de transparencia en Internet puede provocar un sentimiento de impotencia.

Elección limitada y autonomía

Faden y Beauchamp definen la autonomía en términos prácticos como el gobierno personal de uno mismo mediante un entendimiento adecuado, permaneciendo al mismo tiempo libre de las interferencias controladoras de otros y de las limitaciones personales que impiden la elección. De esta definición se derivan tres dimensiones de la autonomía: libertad frente a las interferencias de otros, libre elección y autogobierno. Los ejemplos siguientes muestran cómo los macrodatos socavan cada una de ellas.

La autonomía, en particular el aspecto de la libre elección, puede verse restringida como consecuencia de la limitada confidencialidad y privacidad de los rastros de datos personales en Internet. Conocer los poderes de vigilancia masiva de la Agencia de Seguridad Nacional de Estados Unidos (NSA) puede disuadirnos de utilizar un servicio en línea estadounidense. La abstención de una acción o comportamiento debido a la sensación de ser observado se describe como un efecto escalofriante. Sin embargo, en algunos casos, la sensación de ser observado crea un impulso para que los individuos actúen. Por ejemplo, la investigación ha demostrado que la gente paga más por el café según el sistema de honor si se observan los ojos sobre la caja de cobro.

Otro ejemplo de autonomía comprometida está relacionado con el procesamiento de datos y la toma de decisiones no transparentes. En 2009, Eli Pariser observó que las noticias que recibía y los resultados de búsqueda que aparecían en Google diferían sustancialmente de los que veían sus colegas. Pronto se dio cuenta de que la razón era su sitio web de noticias personalizado. Basándose en su perfil de usuario y en los perfiles de grupo correspondientes, el sitio web era capaz de conocer sus intereses políticos inferidos, lo que a su vez significaba que podía dar más prominencia a los artículos de los medios de comunicación de su grupo político favorito. Describió la situación como una burbuja de filtros: “un sinónimo de un universo único de información para cada uno de nosotros”. La burbuja de filtros plantea el riesgo de limitar seriamente la libre elección de alguien. Por ejemplo, cuando los usuarios de estos servicios personalizados forman sus ideas políticas, pueden encontrarse con menos opiniones o argumentos políticos.

Discriminación

El objetivo clave de la toma de decisiones basada en datos (personales) es diferenciar entre individuos. Evidentemente, estas decisiones pueden tener consecuencias importantes para los individuos y pueden funcionar tanto en su beneficio como en su perjuicio. Ciertas prácticas están legalmente permitidas, aunque podría argumentarse que son éticamente discutibles. Por ejemplo, algunas plataformas en línea son capaces de utilizar la información recopilada por los consumidores en su detrimento: al fijar el precio lo más cerca posible del precio máximo que alguien está dispuesto a pagar, son capaces de explotar la sensibilidad al precio de los consumidores. Este es un ejemplo de discriminación de precios, que puede llegar a ser cada vez más agresiva dado el nivel de vigilancia de datos en Internet.

Además, las decisiones basadas en datos también pueden dar lugar a prácticas discriminatorias que traspasen los límites de lo legalmente aceptable. La discriminación que se produce cuando se trata a las personas de forma diferente por motivos protegidos está, en principio, prohibida, independientemente de que se produzca de forma directa o indirecta. Un empresario puede rechazar a una candidata porque una búsqueda en Internet (redes sociales) revele su edad. Puede que tenga más de 60 años y, por tanto, esté demasiado cerca de la jubilación, o puede que tenga más de 30 y, por tanto, sea demasiado probable que se quede embarazada. Esto constituiría una discriminación ilegal por motivos de edad o sexo.

La toma de decisiones basada en datos también puede conducir a una discriminación oculta. Los perfiles de grupo inferidos a partir de big data se utilizan a menudo como herramienta para tomar decisiones sobre los miembros del grupo, pero no todas las características de grupo pueden justificar un trato diferente. Características como el código de dirección pueden ser factores legítimos de diferenciación, pero pueden enmascarar la etnia o la religión, ambos motivos protegidos.

Asimetrías de poder y control

En la economía basada en los datos, el poder está vinculado a dos dimensiones:

• el acceso a los datos y el control sobre los mismos; y
• la capacidad de procesamiento sofisticado de los datos.

Los individuos se encuentran en desventaja con respecto a ambas dimensiones: tienen problemas para controlar sus datos personales y son incapaces de comprender cómo pueden procesarse, por no hablar de procesarlos realmente.

En gran medida, la asimetría entre los responsables del tratamiento de datos y los particulares se deriva de la arquitectura de las plataformas de recopilación de datos. Debido al diseño de estas plataformas, les resulta fácil apropiarse por completo de las aportaciones de los usuarios, por ejemplo, fotos, comentarios y textos. En tales circunstancias, el control de los usuarios sobre los datos se desvanece. Hasta 2016, se pedía a los usuarios de la aplicación de citas Tinder que cedieran el control de sus fotos, vídeos y registros de chat para siempre. Aunque los particulares se benefician sin duda de la economía digital, por ejemplo, al poder utilizar la herramienta de compra en línea de Amazon, pagan (a menudo sin saberlo) por estos servicios con sus activos no monetarios, y su aportación no siempre se evalúa de forma justa. Además, la arquitectura de las plataformas impide la transparencia. Como ya se ha explicado, los algoritmos que impulsan el funcionamiento de las plataformas están envueltos en el secreto y la complejidad, y pocas personas pueden captar plenamente cómo funcionan.

La asimetría se hace aún más evidente cuando los datos personales se procesan como parte de la toma de decisiones. Los responsables del tratamiento pueden aprovechar los datos personales recopilados cuando toman decisiones comerciales, mientras que los individuos tienen poca visión de conjunto del proceso. Por ejemplo, basándose en un análisis de datos personales, los empresarios pueden determinar la puntuación de los empleados en función de su rendimiento. En consecuencia, los individuos pueden enfrentarse a un salario más bajo o correr el riesgo de ser despedidos. Dado que este tipo de decisiones suelen tomarse basándose en un análisis de los datos de los trabajadores con múltiples factores y niveles, un individuo puede tener problemas para identificar qué se incluye exactamente en la revisión del rendimiento que le ha llevado a ese “veredicto”.

La necesidad de mejorar el control y los derechos de los interesados: respuesta normativa

A principios de la década de 2010, como respuesta a los efectos potencialmente peligrosos de la revolución de la información en rápido desarrollo, la Comisión Europea (CE) comenzó a contemplar la posibilidad de introducir cambios en la Directiva 95/46/CE del Parlamento Europeo y del Consejo relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (la Directiva de Protección de Datos (DPD)), el primer marco de la UE sobre protección de datos adoptado en 1995. En 2012, la CE publicó la propuesta de Reglamento relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (la Directiva General de Protección de Datos (GDPR)). El objetivo de la nueva ley era reforzar la protección de datos y adaptarla a las nuevas circunstancias del mundo globalizado e interconectado. La visión de que la protección de datos es un derecho fundamental fue una de las filosofías subyacentes que impulsaron el proceso legislativo. El reglamento fue adoptado y publicado en el diario oficial de la UE en mayo de 2016. Comenzó a aplicarse dos años después, el 25 de mayo de 2018.

Al igual que muchos otros instrumentos jurídicos de protección de datos, incluido el DPD, el RGPD contiene una sección sobre los derechos que la ley concede a los interesados (es decir, las personas cuyos datos se (re)utilizan). Estos derechos -incluidos el derecho a ser informado, el derecho de supresión, el derecho de oposición y el derecho de acceso- son avances legales significativos que se introdujeron en la década de 1970, cuando se adoptaron las primeras directrices exhaustivas de protección de datos. Un informe de 1974 de la OCDE fue uno de los primeros documentos destacados sobre protección de datos que propuso un cambio de política desde el enfoque del acceso limitado al enfoque del control. Véase OCDE, ‘Policy Issues in Data Protection and Privacy: Concepts and Perspectives’ (Actas del seminario de la OCDE, junio de 1974). Al mismo tiempo, EE.UU. desarrolló los llamados “principios de prácticas de información justas”, una mezcla de principios sustantivos (por ejemplo, calidad de los datos, limitación del uso) y de procedimiento (por ejemplo, consentimiento, acceso) que establecen normas para facilitar tanto la privacidad individual como la promesa de flujos de información en una sociedad global cada vez más dependiente de la tecnología.

Se sustentan en una visión importante, a saber, que el control de los individuos sobre sus datos personales es una parte constitutiva del derecho a la protección de datos, que debe mantenerse a pesar de las nuevas y desafiantes circunstancias. De hecho, la idea de un fuerte control individual sobre los datos personales se ha destacado como una de las mejoras clave del RGPD. En la ficha informativa de la Comisión Europea se afirmaba: “En este entorno de rápidos cambios, los individuos deben conservar un control efectivo sobre sus datos personales. Se trata de un derecho fundamental para todos en la UE y debe salvaguardarse”.

Para los interesados que se sienten abrumados por la sobrecarga de información, el marco jurídico reforzado y ampliado del RGPD supuso la promesa de un mayor control individual sobre los datos y una estrategia de mitigación contra el riesgo de la economía de los grandes datos. En combinación con severas sanciones económicas, el renovado derecho al olvido, el derecho a la información y al acceso, y el derecho a la portabilidad de los datos tienen el potencial de convertirse en un vehículo de aplicación de la ley de protección de datos. De hecho, ya hemos visto que algo de esto ocurre en las recientes acciones de defensores de la privacidad como Max Schrems (y la organización no gubernamental que fundó: noyb.eu).

Sin embargo, todavía existen muchas incertidumbres relacionadas con los derechos de los interesados como respuesta jurídica a los riesgos de la economía basada en los datos. Las orientaciones del Tribunal de Justicia de la UE y de otras autoridades gubernamentales de la UE aún están en desarrollo (aunque el Tribunal de la UE y los tribunales de los Estados miembros se han pronunciado activamente sobre estos derechos individuales desde que se adoptó el RGPD). Además, la aplicabilidad de los derechos de los interesados está fuertemente influenciada por el cambiante contexto económico y social (impulsado por los datos).

El alcance del análisis jurídico: Europa

Este texto se ocupa principalmente de las implicaciones de la economía impulsada por los datos para los derechos de los interesados y no se centra en profundidad en otros dilemas relevantes de la ley de protección de datos o de cualquier otra ley relacionada con la economía de los datos.

El alcance del análisis jurídico se limita a la legislación de la UE. No se extiende a las legislaciones de fuera de la zona del EEE ni considera las especificidades nacionales de los Estados miembros de la UE, aunque en ocasiones reflexiona sobre algunas de ellas para ilustrar mejor una disposición europea. El Convenio Europeo de Derechos Humanos (CEDH) y la jurisprudencia relacionada se entienden como parte integrante del derecho de la UE.

Elegir el derecho de la UE como base de este estudio parece apropiado por dos razones principales. En primer lugar, aunque la UE es una unión de Estados soberanos con sus propias leyes nacionales, las normas a nivel de la UE son comunes a todos los Estados miembros y actúan como reflejo del consenso de la UE sobre las normas jurídicas adecuadas. Este planteamiento ha sido confirmado por la doctrina del efecto directo de la legislación de la UE. A través de esta doctrina, el Tribunal de Justicia de la UE (TJUE) ha establecido que las normativas de la UE, como el RGPD, son directamente aplicables y deben interpretarse, salvo excepciones limitadas, de forma coherente en toda la Unión. En segundo lugar, aunque es evidente que el mercado europeo está hasta cierto punto fragmentado desde el punto de vista jurídico, económico y cultural, la percepción general y la tendencia política es considerarlo un mercado único. En los últimos años, la idea de un mercado digital único ha ocupado un lugar destacado en la agenda política de la UE. Se cree que unas disposiciones legales más armonizadas en el ámbito digital reducirían los costes de administración para las empresas europeas y otorgarían más protección a los ciudadanos.

Este texto se centra en la aplicación de los derechos de los interesados en el sector privado y comercial. No aborda específicamente su aplicación en el contexto de la aplicación de la ley o de cualquier otro servicio público. No obstante, se reconoce que el procesamiento comercial de datos está a menudo fuertemente entrelazado con la intervención estatal en los mercados de datos. El Estado desempeña varios papeles en este mercado: establece las normas, supervisa el comportamiento de los actores y utiliza los datos para sus propios fines, como la seguridad nacional. Por ejemplo, el Estado puede colaborar con los actores comerciales, instándoles a compartir los datos que se generan o colocan en el curso de sus actividades comerciales. (El informe de transparencia de Facebook revela que entre enero y junio de 2017 la empresa recibió 32.716 solicitudes de información por parte de distintas autoridades estatales estadounidenses. ‘Solicitudes gubernamentales de datos de usuarios’ (Transparencia de Facebook). En el mismo periodo, Twitter recibió más de 2.000 solicitudes. ‘Solicitudes de información’ (Transparencia de Twitter). Las autoridades estadounidenses no son las únicas que hacen uso de los datos de los actores privados. Como demuestran los sitios web de Facebook y Twitter, prácticamente todos los Estados colaboran con los grandes poseedores de datos).

Este fenómeno, que Schneier denomina “colaboración público-privada en la vigilancia de datos”, suscita algunas preocupaciones importantes, la más aparente en relación con la privacidad de los ciudadanos.

No todos los derechos de control (de los interesados) enumerados en el RGPD son objeto de análisis en este texto, y en parte de esta plataforma digital: sólo algunos se analizan y comentan en detalle. En concreto, se excluyen del ámbito de aplicación el derecho de rectificación del artículo 16 del RGPD y el derecho de limitación del tratamiento del artículo 18 del RGPD. Sin embargo, esto no quiere decir que estos derechos sean irrelevantes para el debate sobre los macrodatos. La razón de la exclusión es que comparten similitudes con el derecho de supresión (artículo 17) y el derecho de oposición (artículo 21). Así, sus limitaciones y perspectivas se reflejan, en gran medida, en el análisis de los derechos de los artículos 17 y 21.

Por último, este texto no investiga (sistemáticamente) la aplicación legal de los derechos, aparte de los casos que ya han sido juzgados por el TJUE y ejemplos de sentencias de diferentes Estados miembros. Esto se debe a que un análisis exhaustivo de la aplicación legal en todos los Estados miembros requeriría un estudio considerablemente más amplio y prolongado que excede el alcance de esta obra. Dicho esto, un análisis en profundidad de los esfuerzos nacionales de aplicación de la ley podría ser objeto de una importante investigación de seguimiento.

Introducción a los conceptos principales

En este texto se manejan algunos conceptos clave. Por lo tanto, es necesario aclarar su significado desde el principio. Estos conceptos son los sujetos de los datos, los derechos de los sujetos de los datos y la economía basada en los datos.

Los sujetos de datos son personas físicas identificadas o identificables que pueden, en particular, ser identificadas, directa o indirectamente, por referencia a un número de identificación o a uno o más factores específicos de su identidad física, fisiológica, mental, económica, cultural o social. En otro lugar de esta plataforma se explica cada componente de la definición de sujeto de datos tal y como se establece en la legislación de la UE. En esta plataforma, en relación a este tema, se utiliza el término “interesados” indistintamente de los términos “individuos” y “consumidores” ya que, en la mayoría de las situaciones, se solapan. Sin embargo, cuando la diferencia es decisiva, así se indica.

Basado en la experiencia de varios autores, mis opiniones, perspectivas y recomendaciones se expresarán a continuación (o en otros lugares de esta plataforma, respecto a las características en 2026 o antes, y el futuro de esta cuestión):

Los derechos de los interesados (también denominados derechos de control, microderechos o derechos subjetivos) se refieren normalmente al conjunto de derechos que la ley de protección de datos concede a los individuos, como el derecho de acceso y el derecho de oposición. Estos derechos han constituido el núcleo de la ley de protección de datos desde sus inicios y han encontrado su lugar en un gran número de estatutos de protección de datos de todo el mundo. La literatura especializada describe su desarrollo histórico, sus justificaciones éticas y económicas y el marco jurídico actual.

La economía impulsada por los datos sirve como término paraguas para las empresas que realizan la (re)utilización de datos como su actividad principal. Dado que el término, economía impulsada por los datos, sólo ha aparecido recientemente, su definición aún no se ha establecido por completo. No obstante, es importante tener en cuenta que el enfoque de la economía impulsada por los datos se centra siempre en el uso secundario de los datos, es decir, en modelos empresariales que buscan utilizar los datos existentes de forma innovadora y rentable. Por lo tanto, las actividades empresariales en las que sólo se generan, recopilan o almacenan datos son de menor interés.

Los términos economía impulsada por los datos, economía de los grandes datos y economía de los datos se utilizan indistintamente en esta plataforma digital en relación a esta cuestión. Sin embargo, impulsada por los datos no siempre es sinónimo de big data. La economía impulsada por los datos se refiere a los modelos empresariales que utilizan los datos como recurso, independientemente del tipo de datos que sean (estructurados o no estructurados, manejados manualmente o procesados por ordenador, datos personales o industriales, etc.). Big data se refiere específicamente a grandes cantidades de datos que resultan especialmente útiles como fuente para la analítica y la toma de decisiones basada en datos. Así pues, los big data son sólo una parte de todos los tipos y usos posibles de los datos. Sin embargo, en la realidad económica actual, los conjuntos de big data son los que tienen más probabilidades de acumular valor y en los que los resultados secundarios se producen con mayor facilidad, por ejemplo, como predicciones de marketing o ventas de datos. Los big data son lo que más interesa a las empresas impulsadas por los datos. Por esta razón, data-driven equivale más a menudo a big data.

Derechos de los interesados que aumentan el control

Definición de los interesados

Un aspecto clave de los datos personales es que se refieren a personas físicas identificadas o identificables o, en el lenguaje de la protección de datos, a los interesados. La ley de protección de datos presta especial atención a los interesados, concediéndoles una serie de derechos y autorizándoles a invocar estos privilegios.

Derechos de los interesados

Los derechos de los interesados, también denominados microderechos, derechos subjetivos, o derechos de control, constituyen el núcleo de este tema y se explican con más detalle en otros lugares de esta plataforma digital. Por razones de coherencia, a continuación se ofrece un breve resumen.

El RGPD contiene un amplio catálogo de ocho derechos subjetivos que se dividen en tres secciones:

• información y acceso a los datos personales,
• rectificación y supresión, y
• derecho de oposición y toma de decisiones individuales automatizadas.

Estar informado es fundamental para garantizar que las personas puedan dar un consentimiento válido y ejercer otros derechos de control (artículos 13 y 14). El derecho a la información no se agota una vez iniciado el tratamiento de los datos. Durante el tratamiento, el interesado tiene derecho, en cualquier momento, a acceder a esa misma información y a alguna información adicional (artículo 15).

El segundo grupo de derechos se centra en la posibilidad de borrado y rectificación. El derecho de supresión, conocido popularmente como “derecho al olvido”, permite a los interesados solicitar la supresión de los datos y bloquear su reutilización posterior cuando se retira el consentimiento o cuando los datos ya no son necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo (artículo 17). Los interesados también tienen derecho a exigir la rectificación o la limitación del tratamiento de los datos. Como parte de esta segunda sección, el RGPD también introdujo un nuevo derecho a la portabilidad de los datos, que permite a los interesados obtener una copia de esos datos para su uso posterior y transmitirlos de un proveedor a otro (artículo 20). Por último, el RGPD concede a los interesados el derecho a oponerse al tratamiento de datos (artículo 21) y el derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado (artículo 22). Este grupo de derechos pretende limitar algunos efectos negativos de la elaboración de perfiles al estipular explícitamente que ambos derechos se aplican al tratamiento de datos con fines de elaboración de perfiles individuales. Los derechos de control pueden verse restringidos en algunas situaciones, por ejemplo, por razones de seguridad nacional u otros motivos importantes (artículo 23). Algunos derechos pueden sufrir limitaciones adicionales inherentes a su naturaleza. Por ejemplo, la portabilidad de los datos personales sólo está garantizada si los datos en cuestión se tratan por medios automatizados y si el tratamiento se basa en un fundamento jurídico establecido en un contrato o en el consentimiento de una persona (artículo 20, apartado 1, letras a) y b)).

Contenido de este tema

Cuestiones clave son las siguientes:

• La economía impulsada por los datos y los riesgos que este nuevo tipo de economía impone a las personas para proporcionar a los lectores algunos antecedentes necesarios. Habría que destacar cómo había respondido el regulador a los cambios en la economía de datos en desarrollo, haciendo hincapié en la importancia de los derechos de los interesados dentro del marco regulador actualizado.
• Al llevar a cabo un análisis exhaustivo de los derechos de los interesados, con especial atención a su aplicación en los entornos basados en datos, hay tres conceptos clave que se utilizan por parte de la literatura: los interesados, los derechos (de control) de los interesados y la economía impulsada por los datos.
• Las disposiciones de la legislación de la UE destinadas a proteger a las personas y los datos personales en la economía impulsada por los datos. En este contexto, debe examinarse las fuentes primarias, como las disposiciones sobre derechos humanos; y la legislación secundaria, prestando especial atención a la ley de protección de datos de la UE. Como ya se ha mencionado, las fuentes jurídicas no comunitarias y la legislación nacional quedan excluidas del ámbito del marco jurídico, por principio, en este texto.
• El concepto de control individual. Sobre todo, la explicación de por qué la ley de protección de datos se considera una de las expresiones más evidentes del control sobre los datos personales. Además, conviene examinar las disposiciones del RGPD relacionadas con el control.
• Los derechos de los que gozan las personas en virtud de las leyes de protección de datos de la UE, junto con las implicaciones que la economía basada en los datos tiene para estos derechos. La atención de parte de la literatura se centra en seis derechos previstos en el RGPD: el derecho a la información, el derecho de acceso, el derecho a la portabilidad de los datos, el derecho a la supresión, el derecho de oposición y el derecho a no ser objeto de una toma de decisiones automatizada.
• La eficacia de los derechos de los interesados en la economía basada en los datos e indica posibles alternativas. Para determinar si las disposiciones legales sobre los derechos de los interesados son eficaces a la hora de ofrecer control a los interesados, la literatura especializada introduce en primer lugar un marco basado en principios para evaluar la eficacia de los derechos. Cuando se detecta ineficacia, se proponen varias soluciones y medidas innovadoras para reforzar el control de los interesados en el futuro. En este sentido, se explora las herramientas técnicas, los deberes de protección de los responsables del tratamiento impuestos por el GDPR y las soluciones fuera del ámbito limitado de la ley de protección de datos.

Protección de la intimidad en las redes públicas de comunicación (ePrivacy)

A diferencia del RGPD, la directiva sobre privacidad electrónica (véase más) sólo se aplica a los asuntos que no están específicamente cubiertos por el 135 RGPD, art 16. 136 ibid art 18.

Deberes de protección de los usuarios de datos comerciales

Véase las definiciones de los usuarios de datos y acerca de los principios de protección de datos personales para usuarios de datos personales.

La protección de la persona y sus datos en el sistema de derechos fundamentales de la UE

Véase también más información detallada sobre la protección de la persona y sus datos en el sistema de derechos fundamentales de la UE.

Revisor de hechos: Mix

Recursos

Véase También

Derechos Digitales, Derechos Individuales, Gestión de Datos, Gestión de la Identidad, Libertades Civiles, Política de Privacidad, Privacidad, Protección de Datos, Protección de Datos Personales,

▷ Esperamos que haya sido de utilidad. Si conoces a alguien que pueda estar interesado en este tema, por favor comparte con él/ella este contenido. Es la mejor forma de ayudar al Proyecto Lawi.