Resulta indiscutible que las nuevas tecnologías son una gran ayuda para lograr que su empresa sea competitiva y más eficiente, además de abrir nuevos mercados que antes eran inalcanzables. Es por eso que resulta fácil sucumbir al canto de sirena de términos como aplicaciones móviles, geolocalización, servicios en la nube, controles biométricos, tecnología «blockchain«, «internet of things«, etc.
Ahora bien, que estas tecnologías sean una ayuda no significa que lo sean siempre y en todo caso. En realidad, y desde el punto de vista jurídico y de análisis de riesgos, depende de cómo sean adoptadas, y para poder explicarme traeré a colación un par de ejemplos.
Recientemente el Hospital de Dénia tuvo un problema con el acceso a los historiales de los pacientes. Al parecer los servidores cayeron y durante varios días en el hospital no pudieron prestar servicio a los pacientes porque, simplemente, no podían consultar su información. Además existe la posibilidad -no confirmada del todo- de que dichos servidores se encuentren en Estados Unidos, sin que haya copia de seguridad en territorio europeo.
También recientemente la Audiencia Nacional ha fallado contra la empresa Telepizza por su «Proyecto Tracker«: un sistema por el que la compañía obligaba a los trabajadores a aportar su propio móvil, instalarse una aplicación privativa de la empresa y permitir su geolocalización con el objetivo de gestionar los pedidos de los clientes. Negarse a esto o no usar la herramienta podía provocar la extinción del contrato de trabajo. Sin embargo, la Audiencia Nacional ha decidido que esta práctica es irregular desde el punto de vista jurídico.
Seguro que en ambos supuestos había buenas intenciones, amparadas por ese canto de sirena del que hablábamos arriba. En el caso del Hospital de Dénia, probablemente se centraron en las ventajas de la digitalización completa de los historiales de los pacientes. Por su parte, Telepizza sin duda creyó que era una forma legítima de prestar un mejor servicio, sabiendo con datos fiables dónde estaba cada repartidor en cada momento.
Sin embargo, si estas dos empresas hubieran consultado a especialistas quizá les habrían podido informar de los riesgos asociados a tales prácticas.
Así, a los directivos del Hospital se les podría haber recomendado tener una copia de seguridad de los datos en un lugar distinto, para garantizar la resiliencia del sistema de información. Y a los responsables de Telepizza se les podrá haber sugerido medios menos invasivos para obtener el mismo fin; lo mismo podría haberse logrado, por ejemplo, instalando sistemas de geolocalización en las motocicletas de reparto, en vez de en el propio terminal del trabajador (cosa que no deja de ser una intromisión ilegítima en su intimidad).
Curiosamente, todos estos riesgos habrían podido detectarse previamente, incluso antes de implantar las nuevas tecnologías, si se hubiera realizado lo que se conoce como «Evaluación de impacto relativa a la protección de datos«.
Dicha figura aparece recogida en el artículo 35 del RGPD. Ahí se nos comunica que «cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías (…) entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales«.
En ambos casos descritos existía esa posibilidad de alto riesgo. En el caso del Hospital porque estaban tratando datos relativos a salud, que merecen la máxima protección. Y en el supuesto del «Proyecto Tracker» porque afectaba a la intimidad de trabajadores.
Lo que significa que debió haberse realizado una evaluación de impacto antes de implantar estas tecnologías.
Estamos pues, afirmando, que en ambos casos existía obligación legal de realizar esta evaluación de impacto. Y quizá, de haberse hecho, se habría podido detectar el riesgo con carácter previo para así mitigarlo o eliminarlo (que es, en definitiva, la razón de ser de las evaluaciones de impacto).
De modo que le recomendamos lo siguiente: antes de adaptarse a una nueva tecnología, por atractiva que le resulte, consulte a un especialista jurídico, eso puede ahorrarle problemas a largo plazo.
Fabián Plaza Miranda, Auren Abogados y Asesores Fiscales