Quizá a la tercera vaya la vencida. Quizá Facebook, el tercer coloso OTT (Over the Top) que desarrolla y pone en el mercado un wearable tipo gafas inteligentes e hiperconectadas, sea quien triunfe de forma rotunda (o quizá no). Ray-Ban Stories es el nuevo producto estrella, que dispone de dos cámaras, tres micrófonos y altavoces en las patillas y sirve, entre otras cuestiones, para captar fotos y videos (pulsando un pequeño botón o con un comando de voz), pudiendo descargarse todos ellos mediante la aplicación Facebook View, subirlos a las redes sociales y gestionarlos en diversos entornos.
Recordemos que Google fracasó estrepitosamente en el intento (lo lamento, no se puede consignar de otro modo), con sus Google Glass, a pesar de que la prestigiosa revista Time lo calificó en su momento como uno de los mejores inventos del año en 2014 y sin olvidar que, tamaño prodigio de la tecnología de la pasada década, ya había sido retirado de la venta un año después. Posteriormente, hubo un intento de retomar el proyecto en 2017, para sectores industriales, pero tampoco triunfó. ¿Cuáles son los motivos de tamaño fracaso comercial? Pues podrían resumirse básicamente en tres: diseño “arriesgado” e incómodo, sensación de compra que deriva en inutilidad práctica posterior y, cómo no, problemática severa en el entorno de la privacidad.
Por su parte, Snapchat también dispone actualmente de sus Spectacles pero aún no me consta en mi entorno (personal o profesional) que nadie las haya adquirido o que este interesado en las mismas (quizá siguen siendo voluminosas y demasiado sectoriales) por lo que siguen, en cierta medida, la estela de los que podríamos denominar como óculos googleianos o, como las llamó el entrañable Homer Simpson en un episodio de la conocida serie de la que es coprotagonista, las Oogle Googles (sic).
Así las cosas, Mr. Mark Zuckerberg, da un inteligente giro de tuerca al panorama existente hasta ahora con las nuevas Ray-Ban Stories (pendientes aún de múltiples desarrollos e incremento de capacidades, según él mismo ha reconocido) y aparentemente se pretende, desde la Compañía que dirige, llevar a cabo actuaciones correctoras sobre graves errores pretéritos producidos en este sector. A tal efecto, introduce apartados novedosos que son dignos de mención:
- PRIVACIDAD. A fin de evitar incumplimientos normativos y no dañar susceptibilidades, se ha implementado en la montura una pequeña luz LED que tendrá mucha relevancia en el ámbito que aquí nos ocupa, que es el de la privacidad. Facebook pretende disponer de una fundamentación de la efectiva información del hecho de que la grabación se está produciendo mediante la activación de destellos luminosos (en definitiva, si ves parpadear la luz, es que estoy grabándote), incluso indicándose por algunas voces doctrinales que es correcto, ya que implica que se aplica Privacy by design. Al respecto, el Reglamento (UE) 2016/679, General de Protección de Datos [4] (en adelante, RGPD), en su artículo 25 [5] y bajo el epígrafe ‘Protección de datos desde el diseño y por defecto’, incorpora a la normativa de protección de datos la práctica de considerar los requisitos de privacidad desde las primeras etapas del diseño de productos y servicios. Por lo tanto, le confiere la categoría de requisito legal al principio de integrar las garantías para la protección de los derechos y libertados de los ciudadanos con relación a sus datos personales desde las primeras etapas del desarrollo de sistemas y productos.
No obstante, no todo está tan claro y este aspecto está generando controversia ya que, las autoridades de control irlandesa e italiana (DPC Ireland y The Garante, respectivamente) ya han solicitado, mediante declaración pública del pasado día 17 de septiembre (Data Protection Commission statement concerning Facebook View glasses), que se asegure este aspecto debidamente por parte de Facebook:
[…] It has not been demonstrated to the DPC and Garante that comprehensive testing in the field was done by Facebook or Ray-Ban to ensure the indicator LED light is an effective means of giving notice. Accordingly, the DPC and Garante are now calling on Facebook Ireland to confirm and demonstrate that the LED indicator light is effective for its purpose and to run an information campaign to alert the public as to how this new consumer product may give rise to less obvious recording of their images.
Además, no podemos obviar que la luz se puede tapar con simple adhesivo (¡qué simple!), por lo que quedaría manifiestamente desvirtuada la efectividad de la misma a estos efectos comentados.
- COMPRA ÚTIL. El grupo empresarial Facebook incluye, entre otras muchas entidades, Instagram, Whatsapp y su propia red social homónima, lo cual constituye (con cualquier otra consideración que quiera efectuarse al respecto), un entorno de captación, gestión y distribución de información y datos de consideraciones mayúsculas y en diversas plataformas, empleadas por millones de usuarios, advirtiéndose por estos últimos una utilidad práctica en la compra del dispositivo.
- DISEÑO. Y finalmente, pero no por ello menos importante, Facebook se ha preocupado de contar y colaborar con una empresa especializada y muy reconocida en el sector, como es Ray-Ban (¿quién no tiene unas en casa?), para hacerlas más atractivas en diseño, lo cual implicará con toda probabilidad mayores ventas y difusión del concepto comercial entre la población.
Este conjunto de iniciativas puede suponer que este producto se convierta en un bien de consumo masivo. Y ello tendrá unas innegables implicaciones en el campo de la normativa de protección de datos.
En primer lugar, ¿qué uso se dará a las fotografías, videos y conversaciones captadas? Lo más probable es pensar, casi de manera automática, en esa cómoda parcela jurídica que los profesionales del sector conocemos como el tratamiento de datos efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas, que implica que no sea de aplicación el contenido del RGPD (con ciertos matices, que dejaremos para otra ocasión). Es decir, el enfoque primario del consumidor o usuario podría ser perfectamente el de son mis amigos, mis familiares y mis redes sociales, por lo que, aparentemente, me muevo en un entorno privado o doméstico, por lo que no debo preocuparme.
Al respecto, la propia Agencia española de Protección de Datos (AEPD), en su Guía sobre el uso de videocámaras para seguridad y otras finalidades, indica expresamente que:
El RGPD no se aplica al tratamiento de imágenes efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas.
Sin embargo, matiza poderosamente este concepto, indicando que:
Sobre la aplicación de esta excepción doméstica, no podrán entenderse exceptuados aquellos supuestos en los que la información tratada sea puesta en conocimiento de un número indeterminado o indefinido de personas.
Si un usuario de redes sociales actúa en nombre de una empresa o de una asociación o lo utiliza como una plataforma con fines comerciales, políticos o sociales, la excepción de ámbito personal o doméstico no se aplica.
Tampoco se aplica la excepción en aquellos casos en los que el tratamiento de estos datos pueda lesionar los derechos e intereses de las personas. A tal efecto, debe tenerse en cuenta que la utilización de las tecnologías de la información y las comunicaciones puede dar lugar a que un tratamiento de los datos inicialmente vinculado con la vida privada de quien lo realiza pueda implicar un acceso a información de un tercero que éste no desea que sea del dominio público
Si ya hemos comprobado que, todo uso que se pueda producir de las gafas inteligentes en el ámbito particular, no necesariamente puede considerarse siempre como actividades exclusivamente personales o domésticas, el entorno empresarial, en su sentido más amplio ( y no sólo cuando el usuario de redes sociales actúa en nombre de una empresa o de una asociación o lo utiliza como una plataforma con fines comerciales, políticos o sociales), queda manifiestamente fuera de dicha excepción, requiriendo una aplicación rigurosa de la normativa de protección de datos.
Y ello ya que las finalidades para las que se emplee el wearable de referencia, pueden ser variadas y entre otras muchas:
- Reunión de trabajo activa entre empleados (y clientes) en la que alguno de los asistentes esté portando el dispositivo de referencia, a fin de consignar mediante grabación lo que está aconteciendo, para su revisión posterior por muy atareados superiores no asistentes.
- O también, su retransmisión en directo a compañeros de otras sedes.
- Procesos de selección llevados a cabo por los miembros del Departamento de RR.HH.
- Supervisión del desempeño laboral y, especialmente, las actuaciones peligrosas en factorías de alto riesgo.
- Potencial establecimiento de la figura del censor o fiscalizador oficial de la entidad, que pueda emplear las grabaciones captadas en el ámbito del canal de denuncias (especialmente en el caso de violencia de género y acoso en el trabajo).
- Aplicación a la seguridad corporativa en el acceso al lugar de trabajo y en el control de las instalaciones.
- Valoración, mediante un potencial aplicativo a desarrollar, del estado anímico de los empleados (no olvidemos que el mundo de la IA ya permite este análisis conductual mediante expresión del rostro).
- Y también, claro está, actuaciones no autorizadas, ilícitas e incluso, delictivas (hacking, espionaje industrial, etc).
Por supuesto, todos los apartados anteriores pueden llevarse a cabo por otros mecanismos tecnológicos, pero el que aquí nos ocupa aporta indudablemente comodidad, flexibilidad en el uso y una consecución más sencilla del objetivo perseguido.
Además, habrá que tener en cuenta que dichos dispositivos pueden pertenecer a la empresa o bien que se engloben dentro del entorno del Bring Your Own Device – BYOD y ser propiedad del propio empleado (interesante y muy recomendable, en este último supuesto, revisar con detenimiento el contenido de la Guía de Dispositivos móviles personales para uso profesional (BYOD) del Instituto Nacional de Ciberseguridad – INCIBE), con lo que se introducirían nuevas variables a considerar.
Recientemente, la AEPD, en su Guía Protección de datos y relaciones laborales, recoge expresamente, en el apartado relativo a wearables, lo siguiente:
La monitorización de datos de salud a través de dispositivos inteligentes, como pulseras o relojes, está, por lo general, prohibida, a menos que esté establecida por ley o reglamentariamente por las siguientes razones:
- No se enmarca en la vigilancia de la salud propia de la prevención de riesgos laborales.
- Supone el tratamiento de una categoría especial de datos (salud) sin una base jurídica.
- No cuenta con una finalidad legítima.
- Vulnera el principio de proporcionalidad, porque conlleva una monitorización permanente y permitiría al empleador acceder a datos de salud específicos, y no exclusivamente a la valoración sobre la aptitud de la persona trabajadora para desempeñar el trabajo.
Dada la relación desigual entre empresas y personas trabajadoras y la naturaleza sensible de los datos de salud, las personas trabajadoras no son verdaderamente «libres» para consentir, y por ello el consentimiento de la persona trabajadora no es una base jurídica válida en estos casos. Incluso si el empleador utiliza a un tercero para recopilar los datos de salud, el tratamiento seguiría siendo ilícito, salvo que se acreditase un interés legítimo, una finalidad específica, una monitorización proporcional, o bien que se garantizase la anonimización completa de los datos.
Como puede apreciarse, la AEPD no contempla la monitorización de otro tipo de actividades en el ámbito laboral, como las que hemos expresadas anteriormente, pero nos sirve como referencia en lo que respecta al uso de estos dispositivos y las implicaciones jurídicas que pueden desprenderse.
Por tanto, de todo lo comentado se deriva una muy relevante y obvia consecuencia y es que los procedimientos y protocolos internos de la empresa en las materias de protección de datos y laboral deberán adaptarse a esta nueva realidad (sea con las Ray-Ban Stories o con cualquier futuro dispositivo similar), debiendo analizarse, por ejemplo:
- Las actuaciones y actualizaciones pertinentes sobre los registros de actividades del tratamiento -RAT- (se requerirá un nuevo registro, sin duda).
- Lo tocante a los análisis de riesgos y, por qué no, eventuales evaluaciones de impacto (monitorización, empleo de nuevas tecnologías, etc…) a desarrollar en el seno de la entidad.
- Las bases legitimadoras a ser empleadas en el tratamiento, las finalidades y proporcionalidad. (Así, ¿se podrá solicitar el consentimiento del interesado o quizá se deba fundamentar, en el caso de los trabajadores, en el cumplimiento de la debida supervisión empresarial y ejecución del contrato de trabajo en virtud de lo recogido en la normativa laboral? ¿es una finalidad defendible y, por lo tanto, legítima? ¿es proporcional?).
- Los procedimientos para informar debidamente a los empleados y a los clientes o visitas. (En particular, la información al cliente o visitante se me antoja complicada: ¿lo llevamos a cabo mediante cartel informativo específico, al lado del ya existente relativo a videovigilancia? ¿facilitamos antes de la reunión un impreso a ser suscrito? ¿lo llevamos a cabo mediante una locución que transmitan las propias gafas a través de sus altavoces?).
- La regularización de las transferencias internacionales de las imágenes y grabaciones que puedan producirse.
En definitiva, como bien se indica en la muy recomendable obra “Privacidad es Poder” (Carissa Véliz) el desarrollo tecnológico no es en absoluto un fenómeno natural como la gravedad o la evolución: la tecnología no es algo que nos ocurra, somos nosotros quienes hacemos que ocurra. Unas gafas (inteligentes) no se inventan y comercializan solas […] de nosotros depende asegurarnos de que nuestra tecnología se ajuste a nuestros valores y mejore nuestro bienestar.
Stéfanos Altidis Cabrejas
Socio GRC