Robótica y protección de datos: adecuación a un despacho de abogados

• Autor: José Ricardo Pardo Gato
• Páginas: 359-447

ROBÓTICA Y PROTECCIÓN DE DATOS:

ADECUACIÓN A UN DESPACHO DE ABOGADOS

J R P G

Abogado.

Académico de la Real Academia Gallega de Jurisprudencia y Legislación

Sumario: 1. desde la aprobación de la “ley de internet” hasta los nuevos retos tecno-

lógicos: inteligencia artificial, machine learning, chatbots, bitcoin y bloc-

kchain, big data…- 1.1. La inteligencia artificial.- 1.2. Machine Learning.-

1.3. Cibertecnología y deontología.- 2. Ciberseguridad y secreto profesional: la

utilización del sistema Lexnet y la autoridad de certificación de la abogacía.-

3. Protección de datos de carácter personal.- 3.1. Regulación estatal y euro-

pea.- 3.2. “Datos personales” e “interesado”.- 3.3. Principio de responsabi-

lidad proactiva u objetiva.- 3.4. Gestión de los datos de carácter personal.-

3.4.1. Derechos y obligaciones respecto de los datos cedidos.- 3.4.2. Obligación

de protección de los datos: el responsable y el encargado del tratamiento.- 3.5.

El delegado de protección de datos.- 4. Adaptación de un despacho de abo-

gados a la normativa sobre protección de datos: impacto normativo com-

parado (a modo de informe técnico).- 4.1. Consideraciones previas.- 4.2.

Presentación de la persona jurídica que requiere la adaptación a la protección

de datos de carácter personal.- 4.3. Marco legal en materia de protección de

datos de carácter personal.- 4.3.1. Preliminar.- 4.3.2. Mención especial al rol

desempeñado por el legislador español. Breve alusión a la situación de la Ley

Orgánica de Protección de Datos de actual aplicación en su fase de proyecto.-

4.3.3. Perspectiva constitucional del derecho a la protección de datos de carác-

ter personal.- 4.4. Ámbito de aplicación de la normativa.- 4.4.1. Ámbito de

aplicación material.- 4.4.2. Ámbito de aplicación territorial.- 4.5. Las partes

involucradas en la relación jurídica del tratamiento de datos y sus elementos

periféricos.- 4.5.1. Responsable de tratamiento frente a responsable de ficheros.-

4.5.2. Encargado de tratamiento.- 4.5.3. Interesado o afectado.- 4.5.4. Ter cer os y

destinatarios.- 4.5.5. Personal autorizado con acceso a datos.- 4.5.6. El delegado

de protección de datos. Nombramiento de un DPD para un despacho de abo-

gados.- 4.6. Transparencia en el cumplimiento del deber de información. La

información por capas. El ejercicio de los derechos del interesado.- 4.6.1. El

novedoso principio de transparencia con respecto al de lealtad y licitud.- 4.6.2.

El deber de información al interesado. Información p or capas.- 4.6.3. El ejercicio

360 José Ricardo Pardo Gato

de los derechos del interesado.- 4.7. La licitud del tratamiento proyectada sobre

el consentimiento del afectado. 4.7.1. Las bases de legitimación del tratamiento.

La posibilidad de tratar datos sin recabar el consentimiento del afectado.- 4.7.2.

El nuevo modelo de consentimiento.- 4.8. Identificación y delimitación de los

datos sometidos a tratamiento.- 4.8.1. Datos de carácter personal y concep-

to de tratamiento. Los datos de salud.- 4.8.2. Los sistemas de videovigilancia y

alarma.- A. Tensiones entre el consentimiento y el deber de información: nor-

mativa anteriormente aplicable vs. RGPD y LOPD-GDD. Especial mención al

supuesto de videovigilancia como función de control a los trabajadores. B. La

necesidad de un contrato de encargado de tratamiento para las empresas de vi-

deovigilancia.- 4.9. Delimitación de los ficheros y sus elementos periféricos.

4.9.1. Concepto y localización de los ficheros del despacho.- 4.9.2. Los niveles de

seguridad y sistemas de tratamiento aplicables.- 4.9.3. Tensiones entre la obli-

gación de inscripción de los ficheros en el Registro de la AEPD y la dispensa de

este por el RGPD. El Registro General de Protección de Datos frente al Registro

de Actividades de Tratamiento.- 4.10. El principio de responsabilidad proac-

tiva. Análisis de riesgo y sus elementos periféricos.- 4.10.1. La responsabi-

lidad proactiva y la actuación diligente.- 4.10.2. Análisis de riesgo, evaluación

de impacto del tratamiento y consulta previa.- 4.10.3. Códigos de conducta vs.

códigos deontológicos o de buena práctica profesional. Los mecanismos de cer-

tificación.- 4.10.4. Fuga de información. Medidas y v iolaciones de seguridad.-

4.11. Conclusiones específicas al informe sobre la adaptación de un despacho

de abogados a la normativa sobre protección de datos.- 5. Conclusiones gene-

rales.- 5.1. En el ámbito técnico.- 5.2. En el ámbito normativo.- Normativa y

otras fuentes.- Normativa comunitaria.- Normativa nacional.- Resoluciones,

informes e instrucciones de la AEPD.- Otras fuentes.- JURISPRUDENCIA.-

Tribunal de Justicia de la Unión Europea y Tribunal Europeo de Derechos

Humanos.- Tribunal Constitucional.- Tribunal Supremo.- Audiencia

Nacional.- Bibliografía.

1. DESDE LA APROBACIÓN DE LA “LEY DE INTERNET” HASTA LOS NUE

VOS RETOS TECNOLÓGICOS: INTELIGENCIA ARTIFICIAL, MACHINE

LEARNING, CHATBOTS, BITCOIN Y BLOCKCHAIN, BIG DATA…

La aprobación en el año 2002 de la conocida como “Ley de Internet” [Ley

34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio

electrónico (LSSI)] puso en el disparadero la vieja polémica existente en la red: un

pulso latente entre la libertad de información y el derecho a la intimidad. El temor a

los delitos informáticos, el enorme potencial económico de esta malla mundial mul-

Robótica y protección de datos: adecuación a un despacho de abogados 361

timedia y, sobre todo, la diferencia abismal de conocimientos entre simples usuarios

y expertos avezados sitúa a estos últimos bajo permanente sospecha1.

Hackers, crackers y phreackers son términos que nos vienen a la mente a la hora

de poner en solfa la debilidad del sistema informático y el uso de las modernas tec-

nologías2, y más aún aquellos individuos que sobrepasan la frontera de la legalidad

y se adentran en el terreno de los conocidos como “delincuentes informáticos”: res-

ponsables de robos electrónicos, intercepción de compras online en beneficio propio

o falsificación de tarjetas de crédito mediante la duplicidad de las bandas magnéticas,

entre otros posibles actos ilícitos.

La aplicación en España tanto de la LSSI como de la posterior legislación sobre

firma electrónica [Ley 59/2003, de 19 de diciembre, de firma electrónica (LFE)]3,

con la implantación del DNI digital y la fiabilidad en la identificación del navegante,

supuso sin duda un punto de inflexión en el ámbito de la ciberseguridad en nuestro

país, a lo que hay que añadir una tipificación punitiva especifica en el Código Penal

(CP) para los casos de piratería informática y otros delitos cometidos usando la red4.

No obstante, toda esta legislación, aunque ha servido para paliar la ausencia has-

ta ese momento de una normativa específica al respecto, no ha evitado sin embargo

la proliferación de los riesgos informáticos, algunos preexistentes a la fecha de su pro-

mulgación y otros nuevos que han ido apareciendo con el tiempo, así como los que se

intuye formarán parte del futuro más inmediato.

En este contexto, entre estas evoluciones a tener en cuenta y que se antojan como los

retos más importantes a los que hacer frente desde la perspectiva legal se encuentran:

1 Sobre la LSSI y su influencia respecto de la contratación electrónica, en particular la seriada, P

G, J.R.: Las páginas web como soporte de condiciones generales contractuales, Premio Estanislao de Aranzadi

2002, Thomson-Aranzadi, Navarra, 2003; y, para mayor abundamiento, en relación a los delitos informáticos y

la ciberseguridad, así como su influencia sobre la ética propia del abogado: La ciberseguridad como deber deonto-

lógico del abogado. El secreto profesional y la protección de datos, La Ley - Wolters Kluwer, Madrid, 2019.

2 A los más conocidos “hackers”, se suma también en el argot de la ciberseguridad la palabra

“cracker”, aplicable a los expertos que utilizan sus conocimientos para romper contraseñas, entrar en

sistemas operativos y causar daño, enriquecerse ilícitamente con esas acciones o propagar virus infor-

máticos; junto con los “phreackers”, aquellas personas que atesoran amplios conocimientos de telefonía

y realizan actividades ilegales, como interceptar o hacer llamadas sin que los titulares lo sepan.

3 Para un comentario respecto de la LFE, me remito al trabajo publicado en P G, J.R.:

“Encriptación y firma electrónica”, Internet: un nuevo horizonte para la seguridad y la defensa, F-

 R, J.J. (ed.), Universidad de Santiago de Compostela, 2010, pp. 185-205.

4 El espionaje industrial con revelación de secretos obtenidos por medios electrónicos se cas-

tiga con la pena de prisión de tres a cinco años (artículo 278 CP). Las estafas cometidas por medios

informáticos (artículo 248.2 CP) tienen unas penas de diferente tenor según lo estipulado a su vez en

los artículos 249 y 250 CP, que se van endureciendo en función de que concurran determinadas circuns-

tancias que actúan como agravantes. Por su parte, en cuanto a los daños de hacking maligno o introduc-

ción de virus, se encuentran tipificados en los artículos 264, 264 bis, 264 ter y 264 quater CP.