mar
23

Para Todos La 2 – Debate: Intimidad en la red

ene
11

False Light in the public eye y derecho al olvido

Ricard Martínez.

Profesor de Derecho Constitucional. Universitat de València

@ricardmm

William Prosser («Privacy», en California Law Review, vol. 48, 1960, págs. 383-423) define cuatro categorías de Tort. Estas cuatro categorías de “tort” son la intrusión en la soledad o retiro, o en los asuntos privados, la difusión pública de hechos privados, la información que da una imagen falsa del afectado ante los ojos del público –o “False Light”-, y, por último la apropiación en beneficio propio de la imagen o el nombre ajenos. El autor concluye que, puesto que cada uno de los cuatro supuestos puede darse independiente o conjuntamente con los demás, lo que ha sucedido es que sobre un único concepto, la privacy, los jueces han amparado cuatro supuestos diferenciados de responsabilidad.

En el caso del false light se trata del daño que se deriva de dar una imagen pública falsa de un sujeto atribuyéndole obras o hechos que no se corresponden con la realidad y no implica necesariamente la presencia de difamación. De hecho la categoría nace de la necesidad de superar los estrictos límites que se imponen a ésta y al libelo.

La doctrina de la época estaba muy lejos de concebir lo que se podría definir como un false light diferido o generado por agregación de contenidos que permanecen de modo indefinido en el mundo internet. En este sentido, el concepto de biografía digital podría dotar de un nuevo sentido al concepto.  Para un mejor entendimiento de la cuestión es necesario un contraste de la realidad histórica en que  surgen el derecho a la vida privada y los torts vinculados a éste y la realidad actual.

En los 100 años posteriores al artículo de Warren y Brandeis (The right to privacy, 1890) la realidad del derecho a la información  es física, tangible. Para poder consultar una hemeroteca de un medio de comunicación, -ya sea radio, prensa o televisión-, es necesario desplazarse a un archivo localizar ciertos registros y consultarlos. La protección de nuestra privacidad es reactiva y exige un ajuste basado en el tiempo real. Los plazos para el ejercicio del derecho de rectificación son breves y dependen del momento de publicación y la responsabilidad civil por daños obviamente prescribe. Además transcurrido un cierto periodo de tiempo la información pasa a ser historia, acumula polvo en los anaqueles y desaparece de la memoria pública.

La realidad actual es muy distinta. Para empezar los agentes en juego se multiplican y la Web 2.0 conlleva el nacimiento de un periodismo informal proporcionado por blogs, agregadores de noticias (Menéame), redes sociales, twitter… Además, las hemerotecas son digitales, todo está en ellas, todo el tiempo, cada palabra pronunciada, cada gesto, cada hecho son recuperados en cuestión de segundos. Por otra parte, los buscadores externos, -Bing, Google etc.-, indexan con mayor eficiencia esa información que los propios medios y la sirven al mundo entero en milésimas de segundo. Podría decirse que la reputación de una persona depende en este orden del número de referencias directas en el buscador, de qué registros sirve la primera página, y finalmente, del contenido concreto de los mismos.

Y aquí entra el juego el concepto de biografía digital y de false light diferido o seguramente sea más preciso decir que contextual. La biografía digital en la práctica y nos guste o no se compone de lo que de nosotros digan las dos primeras páginas de un buscador. Desgraciadamente nadie posee tiempo ni paciencia para ir más allá.

En ese contexto que ocurre si entre las primeras referencias existe una del tipo “el señor X imputado por corrupción”. Pinchamos la referencia y resulta ser una noticia de hemeroteca que en ningún caso enlaza con otra noticia del tipo “el señor X absuelto sin cargo alguno” porque no se ha previsto o simplemente porque el medio no lo publicó.

Es evidente que probablemente ya no estemos en plazo para rectificación o acción civil alguna, pero no lo es menos que la presencia de esa información sin un contexto global y con la presencia que le da la capacidad de indexación del buscador ofrece esa imagen falsa a la que se refiere el false light.

Por otra parte, puede tratarse de una información perfectamente legítima, ya que la imputación de una determinada persona es un hecho cierto y además bajo ciertas condiciones de relevancia pública. Por otra parte, es indudable que en si misma la publicación posee un valor histórico y, por tanto, todo apunta a la necesidad de preservar la memoria histórica publicada de una sociedad.

En un supuesto de esta naturaleza y ante la dificultad de importar institutos jurídicos propios del Common Law importar ciertos principios del derecho fundamental a la protección de datos personales pueden resultar particularmente útiles. En el caso del ejemplo veracidad periodística y veracidad material no se corresponden causando con la ayuda del buscador, un daño en la imagen pública de la persona afectada derivado de la diferencia entre lo publicado y la realidad material.

En cambio, podemos resolver si aplicamos en origen el principio de calidad de los datos en origen se acompañe o no del ejercicio de un derecho de rectificación o de cancelación mediante anotación marginal, como en el caso de las partidas bautismales.

Dicho de otro modo y volviendo al caso práctico. Si nuestro “imputado” se dirigiese al medio de comunicación y acompañando documentación acreditativa de su absolución solicitase incluir en la noticia de la hemeroteca este hecho con una frase lo suficientemente clara y visible el problema podría salvarse respetando todos los derechos en presencia, con un coste relativamente bajo y sin necesidad de apuntar al buscador con las dificultades que ello plantea.

El False Light en las hemerotecas virtuales existe. Es necesario que pueda ser resuelto por el propio medio mediante una indexación semántica adecuada que relacione noticias o mediante anotaciones marginales destacadas, por las autoridades de protección de datos personales allí donde las peticiones no se atiendan y en última instancia por el legislador.

 

ene
04

A propósito de la noción de privacy by design en los formularios de sugerencias.

Ricard Martínez Martínez.

Profesor de Derecho Constitucional. Universitat de València

@ricardmm

A principios de enero  de 2013 El Derecho.com publicaba un contundente titular: «El buzón de sugerencias de CORA (Comisión de Reforma de las Administraciones Públicas) incumple la LOPD». El artículo concluía que el Final del formulario

buzón, que consta de dos formularios online ubicados en la Sede electrónica de la Secretaría de Estado de Administraciones Públicas, obliga al ciudadano que quiera utilizarlos a facilitar su nombre, primer apellido, NIF y e-mail, por lo que claramente se produce un tratamiento de datos de carácter personal. A continuación añadía la información de la nota legal existente en nota al pie:

 «Los ficheros de datos solicitados en los servicios de buzones y suscripciones de esta Web no contienen datos personales, ni el usuario debe proporcionarlos para utilizar las funcionalidades y herramientas puestas a disposición. El Ministerio de Política Territorial y Administración Pública no se responsabiliza de las contestaciones que se realicen a través de las distintas direcciones de correo electrónico que aparecen en estas páginas, salvo la del propio departamento. La información obtenida a través de los buzones contenidos en estas páginas tiene carácter meramente informativo, sin que en ningún caso pueda derivarse de ella efecto jurídico vinculante alguno (Real Decreto 208/1996, art 4 b)».

La información legal se completa con enlaces a la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal, el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal y a la sede de la Agencia Española de Protección de Datos.

La conclusión, no podía ser otra que «en la recogida de datos personales a través del buzón de sugerencias de CORA (Comisión de Reforma de las Administraciones Públicas) no se está cumpliendo con el deber de informar al afectado en los términos que establece el artículo 5 de la LOPD».

La cuestión, sin embargo, ofrece matices adicionales ciertamente interesantes y que afectan a una cuestión probablemente más interesante que el hecho del cumplimiento o no de un determinado aspecto de la legislación vigente. La cuestión seguramente más relevante es la que atiende al análisis previo del entorno de captación de los datos desde distintos puntos de vista.

En primer lugar, cabe atender a la finalidad, Parece evidente que ésta no es otra que ofrecer al ciudadano una ventana abierta a opinar sobre la administración española con la que recoger la percepción social sobre la misma. No cabe esperar que en un contexto tan abierto el Ministerio espere obtener un concienzudo análisis técnico de expertos administrativistas y gestores. Es otra la metodología para esto último. Por tanto, un espacio abierto en el que cualquiera podría opinar cualquier cosa, e incluso ejercer el derecho al pataleo, no requiere de un tratamiento intensivo de datos. Únicamente podría plantearse alguna estrategia para evitar que un ciudadano opine en más de una ocasión, lo que podría lograrse con cookies, indexando IP’s o con un tratamiento muy limitado de datos de control.

A partir de aquí la secuencia informativa en la primera pantalla es lógica. Se ofrece únicamente una información general:

 

Sin embargo, una vez entramos en la toma de datos el sistema requiere con carácter obligatorio, -al menos eso es lo que tradicionalmente significa una asterisco en el mundo Internet-, los datos de identificación básicos incluido el NIF y una cuenta de correo electrónico.

No se trata de datos en absoluto banales. No está de más recordar que uno de los pilares nucleares de las primeras leyes de protección de datos personales  era precisamente era fijar límites y controles a la acción estatal. Ese fue el objetivo de la prohibición por la Constitución de Portugal del uso de identificadores únicos, y la referencia explícita a limitar los usos de la informática por el artículo 18 de la Constitución Española. Por tanto, es fundamental conocer si estos datos se almacenarán o no, y/o con que finalidad serán utilizados. ¿Seremos indexados como disidentes? ¿Serán demonizados los que no critiquen acerbamente a los funcionarios públicos? Es evidente que ni una cosa ni otra, pero los adeptos a la teoría de la conspiración ya tienen un ladrillo más para construir su edificio.

Como puede apreciarse existe cierto nivel de profundidad de la encuesta en cuanto a la localización geográfica del administrado, la Administración de referencia y el órgano afectado. Por ello el Gobierno tiene un verdadero interés en fomentar la confianza de los ciudadanos tal vez el diseño jurídico del entorno debería ser sustancialmente modificado.

En primer lugar, todo hace pensar en la existencia de un fichero, y en particular la propia estructura del proceso de recogida de los datos con combos desplegables que usualmente se vinculan a la carga de datos desde una base de datos predefinida. Pero, supongamos que no es así, ya que tampoco existe razón alguna para desconfiar. Parece evidente que existe un tratamiento en los términos que definen la Ley y su Reglamento:

t. Tratamiento de datos: cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, modificación, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias» (art. 5 LOPD).

Resulta conveniente recordar la Sentencia del Tribunal de Justicia de 6 de noviembre de 2003 dictada en el asunto C-101/01 (Lindqvist), que define del concepto de tratamiento.

«25. En cuanto al concepto de «tratamiento» de dichos datos que utiliza el artículo 3, apartado 1, de la Directiva 95/46, éste comprende, con arreglo a la definición del artículo 2, letra b), de dicha Directiva, «cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales». Esta última disposición enumera varios ejemplos de tales operaciones, entre las que figura la comunicación por transmisión, la difusión o cualquier otra forma que facilite el acceso a los datos. De ello se deriva que la conducta que consiste en hacer referencia, en una página web, a datos personales debe considerarse un tratamiento de esta índole.

(…)

«27. Por tanto, procede responder a la primera cuestión que la conducta que consiste en hacer referencia, en una página web, a diversas personas y en identificarlas por su nombre o por otros medios, como su número de teléfono o información relativa a sus condiciones de trabajo y a sus aficiones, constituye un «tratamiento total o parcialmente automatizado de datos personales» en el sentido del artículo 3, apartado 1, de la Directiva 95/46».

La cuestión la recoge también de modo indirecto el Dictamen 4/2007 sobre el concepto de datos personales del Grupo de Trabajo del art. 29 de la Directiva, que nos permite entender el marco normativo aplicable a un tratamiento de datos personales en una web:

«Desde el punto de vista del contenido de la información, el concepto de datos personales incluye todos aquellos datos que proporcionan información cualquiera que sea la clase de ésta. (…) El término «datos personales» comprende la información relativa a la vida privada y familiar del individuo stricto sensu, pero también la información sobre cualquier tipo de activad desarrollada por una persona, como la referida a sus relaciones laborales o a su actividad económica o social. El concepto de «datos personales» abarca, por lo tanto, información sobre las personas, con independencia de su posición o capacidad (como consumidor, paciente, trabajador por cuenta ajena, cliente, etc.).

(…)

Por otra parte, para que la información sea considerada como datos personales no es necesario que esté recogida en una base de datos o en un fichero estructurado. También la información contenida en un texto libre en un documento electrónico puede calificarse como datos personales, siempre que se cumplan los otros criterios de la definición de datos personales. El correo electrónico, por ejemplo, contiene datos personales».

Todo lo anterior subraya la importancia de desarrollar estrategias de diseño basado en la privacidad, incluso en el marco de un buzón de sugerencias. No resulta ocioso recordar que el derecho de información en la recogida de datos personales constituye, según la STC 292/2000, parte del contenido esencial del derecho fundamental a la protección de datos personales. Y que esta información debe ser previa y específica.

Si enmarcamos además la recogida de datos en el contexto de una reforma de la Administración que se augura convulsa, y con una ciudadanía particularmente irascible, un diseño que ofrezca confianza y seguridad pasa a de ser una mera formalidad jurídica para convertirse en un elemento estratégico para proporcionar confianza y seguridad.

 

 

dic
16

Las galletas… con Colacao

Ricard Martínez Martínez.

Profesor de Derecho Constitucional. Universitat de València

@ricardmm

 

La extraordinaria Jornada de la Asociación Profesional Española de privacidad en la que se ha analizado el fenómeno Cookie y los modelos de implementación del paquete Telecom en esta materia mueve a un reflexión profunda. La conductora de la sesión, Cecilia Álvarez Rigaudias, ha hilado un conjunto de cuestiones provocadoras para los ponentes que representaban a usuarios, -Ofelia Tejerina-, Industria, -Paula Ortiz-, y Agencia Española de Protección de Datos, Jesús Rubí. El procedimiento, tan sencillo como eficaz, ha sido el examinar varias páginas web con distintos métodos para proveer información y obtener consentimiento. A los que no hayan podido tener el privilegio de asistir, o de poder ver con posterioridad en diferido la sesión en su condición de persona asociada, les recomiendo que busquen los interesantes resúmenes que seguro les proporcionaran los blogueros de cabecera en privacidad.

Jornada Cookies y Privacidad desde el diseño, de la APEP

Jornada APEP: Cookies & Privacy by Design

Sin embargo son otras cuestiones la que animan esta reflexión.

¿Cómo la prefiere Vd. María, fina y seca, que absorba bien la leche y empape, con canela y azúcar, con forma de dinosaurio…?

Disculpe, no tendrá Vd. unas porras y un chocolate bien negro, de los de toda la vida.

Resulta significativo el enorme esfuerzo del legislador europeo a la hora de regular una cuestión tan compleja en sentido técnico, -hay cookies de todas las formas, colores y tamaños, para alumbrar una regulación que en la práctica desprotege más que otra cosa. Puede parecer una afirmación sorprendente pero admite prueba. Para comprender el sentido último de la tesis que aquí se defenderá debe asumirse que el usuario convencional no sabe lo que es una cookie, y lo que es mas interesante no le importa lo más mínimo. Puede que los sesudos expertos en privacidad que coincidimos en sesiones apocalípticas sobre el fin de las libertades nos levantemos angustiados en mitad de la noche con el rostro desencajado pensando en aquella maldita web en la que aceptamos la cookie. En realidad, ni eso, hacemos lo mismo que todos aceptar, aceptar, aceptar. Y con suerte, como la información sea prolija y maree mucho nos pedimos las porras con chocolate.

¿Pero qué es internet?

En el fondo de todo se encuentra  el determinar cuál es la naturaleza de este medio. El Tribunal Supremo de los Estados Unidos ya se lo planteó en el caso Reno v. ACLU para llegar a dos conclusiones tan lógicas en aquel momento como ineficientes hoy día. Primero, y dándonos a la poesía, desde aquel debate sabemos que internet es una larga conversación sin fin a lo largo del planeta en la que un ciudadano posee los mismos derechos que el New York Times. Y no sabemos qué es pero sí a qué se parece, y en aquel momento se parecía a la prensa escrita. No es una cuestión baladí, ya que mientras que respecto del broadcast se podían justificar desde un punto de vista constitucional limitaciones a los operadores, -como no emitir ciertos programas a ciertas horas o soportar la must carry rule en la televisión de pago-, para la prensa escrita rige la doctrina del libre mercado de las ideas. Esto, tiene una proyección extraordinaria ya que define unas condiciones de libre mercado basadas en un modelo de consentimiento definido por la demanda. Es decir si me interesa me conecto y acepto lo que allí existe. En un entorno así las restricciones de acceso a los contenidos no operan en sentido fuerte.   

 

Es evidente, que por el camino ha habido que corregir el tiro y desarrollar ciertas normas protectoras, como la Children Onine Privacy Protection Act de 1998, o fijar limitaciones en los entornos dedicados al juego online o al venta de alcohol y productos similares. Pero en esencia, la realidad no es otra que una concepción de internet como un enorme contenedor de espacios más o menos participativos que sirven a la “conversación” y se parecen sobre todo a un periódico.

 

Quiero que todo sea gratis, quiero que protejan mi privacidad y quiero que lo hagan anónimamente.

Este es el resumen de la carta a los Reyes Magos, que a diario remitimos muchos usuarios de Internet. Permítanme un nada acertado símil. Sería extraordinario poder entrar en una bolera con miles de videojuegos gratis, un espacio donde los amigos charlan y comentan las partidas, una maquina para ver nuestras fotos y recordar las mejores partidas. Y ya puestos donde consumir una bebida no sea obligatorio y te la puedas traer de casa. Pero es que eso no existe. Y si no existe en el mundo físico ¿Por qué debería existir en el mundo virtual?

¿Qué coste tiene el espacio de almacenamiento de los contenidos de una red social? ¿Cuántos técnicos mantienen las aplicaciones? ¿Cuánto dinero hay que invertir en rediseño permanente de servicios para que el cliente siga allí? ¿Qué cantidad se dedica a seguridad y disponibilidad? El usuario no está dispuesto a poner ni un céntimo de su bolsillo en esa red social que hoy tanto le apasiona y la rentabilidad del pay per view, salvo en negocios muy concretos está por demostrar. El usuario, lo sepa o no, paga con su privacidad y sin ser un experto sociólogo me atrevería a afirmar, que incluso cuando es consciente de ello o le da igual esa forma de pago o simplemente le compensa.

Pero además, la implementación de cualquier política protectora se enfrenta a un entorno hostil desde el punto de vista tecnológico. Allí donde el usuario se registra los problemas de cumplimiento normativo se reducen extraordinariamente. Pero, puesto que en todos los demás sitios no es así, nos enfrentamos a una necesidad: proteger a un usuario indeterminado. En estas condiciones, el reto es extraordinario. Si la idea de la Platform for Privacy Preferences hubiera prosperado la cosa cambiaría. El usuario adecuadamente anonimizado arrancaría “su sesión” de navegación y su configuración de privacidad personalizada negociaría por él en milésimas de segundo. Con el uso, la aplicación iría añadiendo excepciones. Pero la realidad no es esta. Asegúrese el lector con ordenador portátil familiar de borrar los rastros de esa página tan divertida que consultó con su cónyuge de madrugada, no vaya a ser que mañana los niños le pregunten que es esa cosa con pilas que no para de aparecer en la parte alta de la pantalla.  

Y ello, conduce a una realidad práctica inexcusable. Si la legislación debe ser cumplida la sesión de navegación parece el único referente posible para mantener activas unas políticas adecuadas. Pero esto no es necesariamente garantía de una mayor protección del usuario.

Esto es demasiado caro, o de nuevo el Coyote y Correcaminos.

Llegados a este punto parece que no sabemos que es internet, no sabemos que es un usuario, o para ser más precisos no sabemos “quién es el usuario”, aunque tenemos su completo perfil de personalidad. Ha llegado el momento de desenfundar tres grandes verdades que no admiten prueba en contrario:

• Lo que se nos exige es costoso y afecta gravemente a la economía.

• El legislador va por detrás de la realidad.

• No se le pueden poner puertas al campo.

Todas estas afirmaciones pueden resultar tan parcialmente verdaderas como falsas. Pretender regular una tecnología concreta, incluso cuando lo soliciten sus desarrolladores, puede en ocasiones resultar una simple temeridad. Por otra parte, toda actividad humana tiene costes y a medida que se consolida, con ella lo hacen las cargas que soporta quien la desarrolla. Sería fantástico desregular al máximo el ocio en la costa y convertir España en el destino del ocio universal, pero los vecinos tienen el feo vicio de querer dormir sus ocho horas. Todo negocio tiene costes y nada obsta a que lo mismo suceda en internet. Pero además, la mayor parte de personas sin necesidad de profundos conocimientos jurídicos saben distinguir la publicidad agresiva de la amigable, la publicidad desleal, el engaño, la manipulación o las conductas perjudiciales para la juventud y la infancia. Y cualquier vendedor en una tienda de ropa sabe que hay una levísima frontera entre ayudar y orientar al cliente y ahuyentarlo por pesados.

Y me temo, aunque no sea agradable decirlo, que esta es la lección que debería aprender la industria. Que el legislador haya tenido que entrar en este territorio como elefante en cacharrería no es un buen síntoma. Por otra parte, puede que a día de hoy el cortoplacismo que nos invade impida otear en el horizonte. Pero, si como cabe esperar el usuario acaba aprendiendo muchos podrían estar poniendo en juego su prestigio e imagen de marca. El esfuerzo que resulta exigible es muy sencillo, se llama transparencia. Se requiere una información clara y comprensible, hay que confiar en el buen criterio del usuario. Resulta sorprendente que quienes pagan salarios interesantes a social media manager para que resuman el alma de la empresa en 140 caracteres no puedan redactar un información sobre cookies de menos de tres folios.

No es el consentimiento.

Para finalizar, este breve recorrido que sin duda no sacará de dudas a quien quiera cumplir la normativa sobre cookies, es necesario referirse al consentimiento. No existe duda alguna sobre que éste constituye el elemento nuclear del derecho fundamental a la protección de datos, el contenido esencial en palabras de nuestro constituyente. Dos mil años de Derecho Romano y Derecho Civil sitúan al consentimiento en el centro de toda manifestación de voluntad de un individúo libre de autodeterminarse.

Sin embargo, a lo largo de ese periodo algunas cosas han cambiado significativamente. Ya no sirve de nada mirar a los ojos a la otra parte y cruzar un fuerte apretón de manos para saber que has concertado un contrato indestructible en el que ambas partes cumplirán. Ya no podríamos escribir aquella gloriosa escena del Conde de Montecristo en la que el armador Morel está dispuesto a suicidarse por no poder pagar sus deudas y la mano benefactora de Edmundo Dantés salva su vida. Más de una vez, y prefiero no poner ejemplos, la contratación es un juego de trileros en el que los recovecos de un contrato ilegible dicen lo contrario de lo que creemos leer. Pero además en determinados servicios, -y en particular en los contratos del tipo pay for privacy, no existe negociación alguna se trata simplemente de “take it or leave it”.

Llegados a este punto ¿qué eficacia pose una información no siempre comprensible y que conduce a un consentimiento que en realidad se va a prestar siempre ya que a lo que se aspira por encima de todo es a la gratuidad del servicio? Por tanto, y dado que la respuesta es obvia, cabe apuntar en otra dirección muy distinta.

Son las Guidelines …, son las Guidelines.

Lo que diferencia de modo significativo el modelo europeo es que el titular del derecho fundamental a la protección de datos no necesita desembolsar un pastizal a abogados que demanden en su nombre. Le basta con denunciar. La función tuitiva que desarrollan las autoridades de protección de datos unida a la definición normativa de ciertas reglas, no siempre precisas, garantiza que los operadores se sometan de modo imperativo a ciertas reglas. Ello compensa sobradamente la debilidad del individuo en la negociación en el mercado de la privacy. Cuando el enforcement resulta particularmente contundente, como en el caso español, las posibilidades de cumplimiento normativo eficiente se multiplican.

Parece por tanto que más que elucubrar en torno a si arriba o abajo, si en ventana emergente o difuminada, o si lo vestimos de lagarterana, urge una acuerdo rápido, claro, preciso y eficaz entre la industria y la Agencia Española de Protección de Datos que permita fijar qué criterio deba seguirse. La pequeña y mediana empresa de este país, que no está para grandes gastos en sesudos estudios, lo agradecerá.

Por los usuarios, no se preocupen Vds. le seguirán dando a aceptar…, aceptar… aceptar….

oct
22

Soy un dato de contacto

Ricard Martínez Martínez.

Profesor de Derecho Constitucional. Universitat de València

@ricardmm

Leo en la web de la Agencia Española de Protección de Datos el Informe núm. 223/2011 sobre Publicación en páginas web de Universidad de datos de contacto de sus profesores. Excluido de la LOPD con el sesgo que sin duda proporciona mi condición profesional y el hecho de haber comenzado a recibir llamadas telefónicas para contactar conmigo. No son de esas de “a ver quien pillo”, sino de las de Sr. Martínez teníamos interés….

Según se describe en el informe la consultante, entendamos “universidad”, pregunta «si puede proceder a publicar en la página web de la Universidad los datos de contacto de sus profesores consistentes en el número de teléfono y correo electrónico de la Universidad sin su consentimiento, con la finalidad de favorecer la actividad docente a través de la interrelación con los alumnos, incluso si alguno manifiesta su oposición». En esta descripción perdemos un matiz, ya que no sabemos si la consultante se refiere a una intranet. Debemos dar por supuesto que no, pero cabe apuntar aquí un primer detalle práctico: las universidades suelen contar con aulas virtuales “cerradas” en las que existen herramientas específicamente ordenadas a favorecer la actividad docente y el contacto estudiante-profesor.

El informe partiendo del ámbito de aplicación de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, de la definición de dato personal, y del concepto y regulación de las comunicaciones de datos personales finaliza en el art. 2.2 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Como es bien sabido este determina que el «reglamento no será aplicable a los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales».

Tras exponer su consolidada interpretación de esta norma el informe concluye:

«En el supuesto planteado parece claro que la finalidad del fichero de contactos se limita exclusivamente a facilitar el desarrollo y mantenimiento de la actividad docente y formativa ofertada por la Universidad consultante mediante la incorporación de las tecnologías de la información a los métodos de enseñanza, que favorezcan la comunicación profesor-alumno y redunden en la mejora de la actividad académica de la Universidad como institución.

Por ello, si los datos identificativos de los profesores universitarios aparecen exclusivamente vinculados a su actividad en el marco de una determinada Administración Pública, y siempre que dicho tratamiento se limite a los datos de los afectados en su mera condición de cargos, administradores o representantes de una empresa o profesores de la Universidad, cabría considerar que estos datos estarían excluidos del marco de aplicación de la Ley 15/1999.

En consecuencia, si los datos de contacto a los que se refiere la consulta se enmarcan en el entorno profesional del afectado y su actividad en el marco de su integración profesional en la persona jurídica (Universidad) no serà necesario registrar dicho fichero al encontrarse excluido del marco de aplicación de la Ley y por consiguiente no se precisaría el consentimiento de los profesores para la comunicación de sus datos de contacto a través de Internet en la página web de la Universidad.».

Por tanto, los profesores de universidad en el ámbito de su ejercicio profesional son “personas de contacto”. ¿O no? En realidad el informe más que conclusivo apunta hipótesis y condiciones “si los datos están exclusivamente vinculados”.

Es importante considerar la aplicación del reglamento a este caso desde el punto de vista práctico. Podría coincidirse plenamente en que efectivamente se reunirán tales requisitos exclusivamente en aquellos casos en los que los datos de los profesores se hallan disponibles únicamente para sus estudiantes, incluso en sentido amplio, para quienes ostenten la condición de miembros de la comunidad universitaria. Aunque como a continuación se examinará, existen otras alternativas interpretativas.

Lo cierto es que en un ámbito público como una web en abierto la conclusión resulta matizable por muy distintas razones. La primera de ellas, desde un punto de vista práctico, es que en un entorno abierto cualquiera puede acceder a los datos de los profesores con lo que la finalidad favorecer la comunicación profesor-alumno y redundar en la mejora de la actividad académica de la Universidad como institución, debería ser expresamente formalizada. Dicho de otro modo “si Vd. es estudiante está usando un dato de contacto, si no lo es aplique la LOPD”.

En segundo lugar, debemos atender al aspecto funcional. En el informe de referencia se afirma:

«De este modo, la finalidad del tratamiento debe perseguir una relación directa entre quienes traten el dato y la entidad y no entre aquéllos y quien ostente una determinada posición en la empresa. De este modo, el uso del dato debería dirigirse a la persona jurídica, siendo el dato del sujeto únicamente el medio para lograr esa finalidad».

Este criterio resulta muy claro cuando el dato de contacto se refiere a un Decano o Director de Departamento, a cualquier cargo de gestión académica o administrativa porque, evidentemente, representa a su entidad y se le “contacta” en virtud de tal función. Dicho de otro modo, seguramente el lector no duda que el gerente o el representante comercial de una empresa es persona de contacto, ¿pero lo es el trabajador que se encuentra en la cadena de producción?

El art. 1 de la Ley Orgánica 6/2001, de 21 de diciembre, de Universidades atribuye a la universidad la función de prestar «el servicio público de la educación superior mediante la investigación, la docencia y el estudio», e indica en su art. 33.2 que «la docencia es un derecho y un deber de los profesores de las Universidades que ejercerán con libertad de cátedra, sin más límites que los establecidos en la Constitución y en las leyes y los derivados de la organización de las enseñanzas en sus Universidades». Nótese por tanto que:

1. La propia Ley Orgánica, al definir las funciones del profesorado legitima para un tratamiento y una cesión de datos personales sin consentimiento ex. Art. 6.2 y 11.2.c) LOPD.

2. La definición de la función docente no parece que le convierta en interlocutor de la entidad.

Debe señalarse que, en la práctica, la consecuencia, desde el punto de vista de la institución universitaria, se adopte uno u otro criterio es la misma: pueden tratarse ciertos datos personales de los profesores sin consentimiento. Sin embargo, desde un punto de vista subjetivo el resultado práctico no lo es tanto.

Técnicamente el Reglamento excluye su aplicación, obviamente porque habida cuenta de la reserva de Ley del art. 53.1 CE no puede excluir la aplicación de la LOPD. Sin embargo, no aplicar una norma tan prolija como el RLOPD a los profesores significa lo mismo que privarlos de su derecho fundamental a la protección de datos en el ámbito definido por el informe.

Nada impide, normativamente hablando y bajo ciertas condiciones, como las necesidades u obligaciones derivadas de una relación laboral o funcionarial, publicar en web los datos de los profesores. Ahora bien, no es lo mismo contar con el paraguas del principio de finalidad como elemento legitimador del tratamiento, ni con el principio de interés legítimo ahora directamente aplicable. En ambos casos la Ley y el respeto de los derechos fundamentales de los afectados ofrecen una barrera de protección que la excepción del art. 2.2 RLOPD elimina.

Nos enfrentamos a dos interpretaciones de una misma realidad jurídicamente viables, pero resulta difícil no considerar una máxima de solución de los llamados casos difíciles: in dubio pro libertate.

Por tanto, el informe se enfrentaba a dos opciones. La escogida, estos es una interpretación mecanicista de la norma que incluye una suerte de autocondición resolutoria, y que podría expresarse así: «los datos de los profesores a efectos de su publicación en web caen en el ámbito del art. 2.2 RLOPD siempre que sea para la finalidad de que sus estudiantes contacten con ellos. El riesgo es la lectura social de quienes quieran usar esos datos. Ya sabemos cuanta gente leerá “se les aplica el 2.2 RLOPD, no hay problema».

La otra vía, resultaba más compleja. Primero obliga a conocer con detalle al sector en el que se aplicará el Derecho, Porque de lo que hablamos aquí es de “protección de datos personales en la universidad”. Y esto supone saber que:

● En las universidades presenciales existe algo llamado “tutoría”.

● La interacción profesor-alumno en toda la Universidad Española se produce en intranets llamadas aulas virtuales.

En segundo lugar, si, como puede deducirse de lo señalado anteriormente existe una interpretación que permite el tratamiento y salvaguarda el derecho fundamental a la protección de datos, pues parece, aunque es una impresión que la solución menos gravosa, adecuada y que comporta una intervención mínima no sea aplicar el 2.2 RLOPD. 

sep
24

La intimidad de las fiestas populares

Ricard Martínez Martínez.

Profesor de Derecho Constitucional. Universitat de València

@ricardmm

Para subrayar tanto la importancia de tener una propiedad como su derecho al aislamiento los anglosajones suelen utilizar la expresión “my home is my castle”. En efecto en nuestra casa deberíamos podemos ejercer un poder cuasi feudal excluyendo cualquier intromisión no deseada. Sin embargo, la cuestión no es tan sencilla. Nuestra realidad social y tecnológica multiplica las posibilidades en las que nuestro domicilio resulta sutilmente invadido por un ejército incorpóreo de enemigos ambientales, sonoros o electrónicos. En su casa viven no sólo Vd. y su familia sino también vecinos, coches, humos o hackers entre otras especies invasoras.

A finales del siglo pasado el Tribunal Europeo de Derechos Humanos parecía haber acotado el fenómeno declarando de modo expreso en el caso López Ostra que el derecho a la vida privada tutelaba frente a las invasiones ambientales en el domicilio particular. Al socaire de este pronunciamiento los tribunales españoles comenzaron a proteger al ciudadano no sólo de olores, emisiones o contaminación aérea, sino también en todo aquello relacionado con el ruido y el regulador entendió que era necesario perseguir este tipo de conductas. Todos recordamos las recurrentes quejas, demandas y sentencias, de asociaciones de vecinos en determinados barrios.

Sin embargo, y puesto que nuestras leyes dicen que la intimidad se define también por los usos sociales casi todos  habrán podido disfrutar este verano de las fiestas del pueblo a eso de la una de la madrugada y hasta el desayuno. Es emocionante, permítanme la inconveniente digresión, ver como a esos ilustres munícipes a los que no les alcanza el presupuesto para limpiar montes, a veces ni para limpiar a la puerta del ayuntamiento, rascando de aquí y allá a la orquesta y la discomóvil llegan. Y no es la única inconveniencia, y puedo apostarme un café ya  que a los profesores universitarios (panda de vagos y maleantes) nos han quitado una paga, a que difícilmente la venta y consumo de bebidas en los alrededores de la fiesta supera un leve control de legalidad.

Al parecer, la intimidad doméstica también cierra por vacaciones y se prohíbe el descanso. No caben soluciones imaginativas como buscar espacios acotados, -y por favor un poquito alejados del casco urbano-,  apantallar la zona (¡uy disculpen no recordaba que el presupuesto lo gastamos en la propia fiesta!). o simplemente empezar antes y acabar a eso de las dos. Y créanme que pensar esto último me ha dejado absolutamente agotado.

Es extraordinariamente fácil ser tolerante con la fiesta, -¡es que son jóvenes!- o afirmar que trae visitantes y turistas, como la Fórmula Uno- Sin embargo, rara vez leemos cuales son los costes en términos de los perjuicios que un medioambiente insano y lleno de ruido puede ocasionar. ¿Cuántos ancianos y enfermos verán agravado su estado y acortada su vida simplemente por que no pueden descansar durante cinco noches?   ¿Es racionalmente posible pensar que alguna persona debido a la falta de sueño sufra un accidente de tráfico o trabajo el día siguiente? ¿Es probable que un médico, una enfermera o cualquier otro profesional con alta responsabilidad cometa un grave error debido al estado de fatiga que le provocan esas fiestas? ¿Cuánto dinero nos cuesta el exilio forzado al que ello nos somete? ¿Cuántos menores ven perjudicada a corto o medio plazo su salud por la absoluta carencia de control? ¿Cuánto cuesta limpiar toda la porquería que la fiesta deja en la vía pública?

Pero el peor coste social es el que deriva de la carencia de respeto por los demás, por seguir contribuyendo al mantenimiento de una sociedad adolescente carente del menor respeto a los derechos. Es simplemente irracional que las reglas se olviden y se cambien por las de la comisión de fiestas que toque. Sale caro que alemanes e ingleses nos conciban como tierra de juerga, borrachera, sexo y vagancia y televisen deleznables programas de telerrealidad  en Benidorm o Salou. Y tan grave o más, que mantener una opinión crítica, con pleno respeto a las fiestas y a la necesidad de su celebración “razonable” sólo genere animadversión de esa mayoría “tolerante”. Menos mal que cuando esto se publique no estaremos en Fallas.

 

Coda. Y si llego tarde, y por seguridad no me dejan entrar me lío a botellazos con quien pase por allí.

ago
27

¿Quién responde de las infracciones a la seguridad de la LOPD en la Generalitat Valenciana?

Ricard Martínez Martínez.

Profesor de Derecho Constitucional. Universitat de València

@ricardmm

Se acaba de publicar en el DOGV el DECRETO 130/2012, de 24 de agosto, del Consell, por el que se establece la organización de la seguridad de la información de la Generalitat. [2012/8152], cuyo contenido resulta francamente interesante. El interés de la norma reside en que define de arriba abajo todos y cada uno de los perfiles funcionales vinculados al tratamiento de la información y al cumplimiento de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, y su reglamento de desarrollo, la Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos y el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. El objetivo, ciertamente logrado por la norma es establecer «el marco organizativo de la seguridad de la información».

Se trata de una iniciativa ciertamente encomiable pero que presenta algunas sombras cuya clarificación resultará necesaria en un periodo breve o, de lo contrario, con toda seguridad está llamada a generar “ruido sindical” y a generar rechazo entre los propios perfiles profesionales implicados. Como es sabido por cualquier profesional del sector la adopción de decisiones en relación con el cumplimiento normativo de la LOPD exige un conocimiento altamente especializado. A esto no se puede dedicar “cualquiera”, por mas que los asesores del copiar-pegar y el cuestionario tipo se esfuercen en tratar de demostrar lo contrario.

La Propuesta de Reglamento General de Protección de Datos, de la Comisión Europea nos da una buena pista de ello el artículo 35.5 cuando señala.

 

«El responsable o el encargado del tratamiento designarán el delegado de protección de datos atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados de la legislación y las prácticas en materia de protección de datos, y a su capacidad para ejecutar las tareas contempladas en el artículo 37. El nivel de conocimientos especializados requerido se determinará, en particular, en función del tratamiento de datos llevado a cabo y de la protección exigida para los datos personales tratados por el responsable o el encargado del tratamiento».

 

Además su perfil funcional resulta ciertamente complejo:

Artículo 37

Tareas del delegado de protección de datos

1. El responsable o el encargado del tratamiento encomendarán al delegado de protección de datos, como mínimo, las siguientes tareas:

a) informar y asesorar al responsable o al encargado del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y documentar esta actividad y las respuestas recibidas;

b) supervisar la implementación y aplicación de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;

c) supervisar la implementación y aplicación del presente Reglamento, en particular por lo que hace a los requisitos relativos a la protección de datos desde el diseño, la protección de datos por defecto y la seguridad de los datos, así como a la información de los interesados y las solicitudes presentadas en el ejercicio de sus derechos en virtud del presente Reglamento;

d) velar por la conservación de la documentación contemplada en el artículo 28;

e) supervisar la documentación, notificación y comunicación de las violaciones de datos personales de conformidad con lo dispuesto en los artículos 31 y 32;

f) supervisar la realización de la evaluación de impacto relativa a la protección de datos por parte del responsable o del encargado del tratamiento y la presentación de solicitudes de autorización o consulta previas, si fueran necesarias de conformidad con lo dispuesto en los artículos 33 y 34;

g) supervisar la respuesta a las solicitudes de la autoridad de control y, en el marco de las competencias del delegado de protección de datos, cooperar con la autoridad de control a solicitud de esta o a iniciativa propia;

h) actuar como punto de contacto para la autoridad de control sobre las cuestiones relacionadas con el tratamiento y consultar con la autoridad de control, si procede, a iniciativa propia.

 Puesto que la propuesta prevé precisamente el nombramiento de un delegado por las Administraciones Públicas, que además gozará de independencia podemos llegar a dos conclusiones iniciales:

● Ninguno de los perfiles de la norma autonómica encaja de modo exacto con esta figura, sin perjuicio de que parte de sus funciones se les atribuyan.

● Prospere o no la propuesta de la Unión Europea, muchas de las funciones que establece el Decreto requieren de un conocimiento especializado.

Habida cuenta que las políticas de ampliación de plantilla brillarán por su ausencia en los próximos años será necesario garantizar una profunda formación del personal al que se asignen funciones en esta materia. Esta última opinión no es en absoluto inocente, al menos en el caso de dos perfiles funcionales concretos: el responsable de la información y el responsable del servicio. Ello se debe a que, aun intenso perfil funcional que a continuación se reproduce, se añaden dos proposiciones ciertamente severas en cuanto a su perfil de responsabilidad:

Artículo 7. Responsable de la Información

1. El Responsable de la Información tiene la responsabilidad última del uso que se haga de una cierta información y, por tanto, de su protección. Es responsable último de cualquier error o negligencia que lleve a un incidente de confidencialidad o integridad, y establece los requisitos de seguridad de la información.

(…)

3. Las funciones principales son las siguientes:

a) Aprobar los niveles de seguridad requeridos por la información establecidos en el Esquema Nacional de Seguridad, informando al Responsable del Servicio.

b) Aprobar los principales riesgos residuales asumidos por la organización, junto al Responsable del Servicio.

c) Aprobar el código tipo para la adopción de buenas prácticas en la gestión de la información de carácter personal y en su protección.

d) Proponer mejoras sobre la política y la organización de la Seguridad de la información de la Generalitat.

 

Artículo 10. Responsable del Servicio

1. El Responsable del Servicio tiene la responsabilidad última del uso que se haga de determinados servicios y, por tanto, de su protección. Es el responsable último de cualquier error o negligencia que lleve a un incidente de disponibilidad del servicio.

Establece los requisitos de seguridad de los servicios, generalmente a partir de la información que tratan y otros requisitos derivados del contexto interno y externo de la Administración de la Generalitat.

(…)

3. Las funciones principales son las siguientes:

a) Establecer los requisitos de los servicios en materia de seguridad, en el marco del anexo I del Esquema Nacional de Seguridad, equivale a la potestad de determinar los niveles de seguridad requeridos en cada dimensión del servicio.

b) Asegurar que la prestación de un servicio siempre deba atender a los requisitos de seguridad de la información que maneja, de forma que pueden heredarse los requisitos de seguridad de la misma, añadiendo requisitos de disponibilidad, así como otros como accesibilidad, interoperabilidad, etc.

 

La atribución de responsabilidad no ya por una negligencia, sino por cualquier error cabe entender que no culpable, que afecte a la confidencialidad, integridad o disponibilidad de la información plantea severas dudas interpretativas. En primer lugar, porque de algún modo una norma de rango infralegal tipifica una conducta que, ya sea en el contexto del Estatuto Básico del Empleado Público, y en el contexto de la regulación de la Función Pública Valenciana, podría llevar aparejada una sanción disciplinaria.

Por otra parte, porque la propia LOPD abre el campo a integrar ese tipo infractor cuando su artículo 46.2 señala que « el órgano sancionador podrá proponer también la iniciación de actuaciones disciplinarias, si procedieran. El procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario de las Administraciones Públicas». En lenguaje llano, el director de la Agencia Española de Protección de Datos puede solicitar la apertura de un expediente disciplinario. Sin embargo, es conocido que sólo ante comportamientos verdaderamente graves se ordenaría tal apertura.

A mayor abundamiento, resulta cuando menos sorprendente que el Decreto de la Generalitat cuando se ocupa en el artículo 9 de regular la figura del responsable del fichero o del tratamiento y definir sus funciones no incluye cláusula de responsabilidad alguna. Al parecer serán responsables de fichero o tratamiento «la persona titular del órgano al que correspondan las funciones establecidas en el artículo 69 de la Ley del Consell en cada Conselleria y del órgano de carácter directivo que tenga atribuidas las competencias sobre los servicios comunes de cada entidad autónoma». Pues bien estos órganos directivos parecen ser, según la citada Ley Subsecretarios. Por tanto, personal nombrado bajo criterios de confianza, al que no se le incluye la atribución expresa de responsabilidad que si se establece respecto de personas que pueden depender directamente de ellos.

Esta situación plantea, al menos teóricamente dos dudas:

● ¿Qué ocurrirá cuando el responsable del fichero adopte una decisión que deba ejecutar un responsable de la información o un responsable del servicio? Es obvio que no se trata de una organización militar donde quepa invocar necesariamente el principio de obediencia debida. Por otra parte, si como más arriba se subrayó, estos profesionales poseen la formación debida difícilmente podrían invocar el principio de confianza legítima cuando su criterio  técnico probablemente se encuentre más formado que el del propio responsable del fichero. Y teniendo en cuenta que la palabra independencia no aparece ni una sola vez en el Decreto, la cuestión es como mínimo peliaguda.

● La segunda duda, tiene que ver con la atribución de responsabilidad. La Agencia Española de Protección de Datos, al menos hasta hoy, no suele sancionar “al responsable de seguridad”, declara una infracción del responsable del fichero. Y ello, evidentemente en una suerte de razonamiento circular, nos devuelve al art. 46.2 LOPD. Podría darse el caso que una norma muy concreta y ordenada a la garantía de los derechos fundamentales no atribuye responsabilidad directa a ningún usuario o responsable del sistema y una disposición reglamentaria lo haga. El responsable del fichero, en definición que el propio Decreto copia, decide sobre la finalidad, contenido y uso del tratamiento, de ahí que sea en última instancia responsable de lo que en el mismo sucede.

Para finalizar, es fundamental tener en cuenta un aspecto práctico. En organizaciones complejas como las administraciones públicas, muy jóvenes en algunos casos en su incorporación a la seguridad, con un volumen de tratamientos de carácter mixto (automatizado y no automatizado), y con grandes volúmenes de información que se comparte internamente entre distintas unidades y con otras administraciones el riesgo se multiplica de modo exponencial.

Definir un perfil funcional como el del responsable de información o el responsable del servicio y atribuirles la responsabilidad última de cualquier “error”, mientras que no se fija un régimen equiparable para otros perfiles funcionales tan relevantes o más, puede ser una opción que genere resultados negativos. Es altamente probable que en un futuro inmediato tratamientos que pueden ser muy necesarios se paralicen por estos funcionarios obligados, por Decreto, a adoptar estrategias ultradefensivas en la gestión de la información.

ago
21

La necesidad de incorporar principios morales de funcionamiento en el sector TIC

Dedicaba el anterior y lejano post al rampante Spam que nos aqueja. Es evidente que vivimos tiempos de crisis económica y que gran parte de este uso y abuso del medio deriva de la desesperación y de un modo de entender la actividad comercial que no puede calificarse sino de estúpida.

Veamos algunos ejemplos. Recibo un mensaje la mar de simpático en el que me animan a ir pensando en que un día de estos me he de morir, pero si me hago un seguro con ellos, pues ¡¡¡Carpe Diem!!!, ya que podré disfrutar del extraordinario PACK “la vida es bella”.

La oferente, (creo que la correduría de una gran aseguradora), no es nada tonta; el asunto del mensaje es muy gráfico: “OFERTA COLECTIVO PROFESORES UV – REF. 163022 – Derecho Constitucional”. No busque el autor la palabra “PUBLI”, ¡nada!: envío a saco a la lista de distribución de mi departamento universitario. Además, ¿para qué pedir consentimiento?, la aseguradora ya nos dice “PUNTUALMENTE RECIBIRÁ LA INFORMACIÓN DE LAS OFERTAS Y PROMOCIONES EN SU CORREO CORPORATIVO SI NO INDICA LO CONTRARIO”. Y, por supuesto, no busquen un modo de cancelar el dato u oponerse al tratamiento más allá de esta críptica frase. Pero, en el fondo estoy feliz, me hacen precio para una caja de madera de pino, -la cual de ser usada evidentemente le resolvería un problema de liquidez al erario público ya que se ahorraría no una sino 14 pagas de golpe-, y además me regalan una visita al Spa, un desayuno con colesterol que ya tengo ataúd por si hace falta, y una visita a una bodega para dos personas a ver si me mato en algún caminito de montaña y uso rápido el seguro.

Resulta mucho más divertido encontrarme con una universidad que me propone “estudiar”. Para ser exactos una determinada Universidad española me propone visitarlos “y alcanzar mi mejor yo”, sea esto lo que sea. El mail reúne todos y cada uno de los requisitos formales incluso un aviso legal  que conviene analizar:

«La información incluida en este email es CONFIDENCIAL, siendo para uso exclusivo del destinatario arriba mencionado. Si Ud lee este mensaje y no es el destinatario indicado, le informamos que está totalmente prohibida cualquier utilización, divulgación, distribución y/o reproducción de esta comunicación, total o parcial, sin autorización expresa en virtud de la legislación vigente. Si ha recibido este mensaje por error, le rogamos nos lo notifique inmediatamente por esta vía y proceda a su eliminación junto con sus ficheros anexos sin leerlo ni grabarlo».

En virtud de lo establecido en la Ley 15/1999, y la LSSICE 34/2002, le informamos que sus datos forman parte de un fichero automatizado titularidad de [DENOMINACIÓN SOCIAL DE LA AGENCIA DE COMUNICACIÓN Y MARKETING CONTRATADA POR LA UNIVERSIDAD]. La información registrada se utilizará para ofrecerle por cualquier medio electrónico información considerada de su interés. Puede ejercer los derechos de acceso, rectificación, cancelación y oposición haciendo click aquí

En cumplimiento de la Ley 34/2002 del 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico, le informamos que puede revocar en cualquier momento, de forma sencilla y gratuita, el consentimiento para la recepción de correo electrónico haciendo click aquí

 Si lo he entendido bien, resulta que yo con estos señores no tengo la menor relación, no soy “su cliente”. Y sin embargo, en lugar de recibir un mail previo solicitando autorización y consentimiento expreso, me escriben directamente y pretenden “amordazarme”. Ojito con que a Vd. se le ocurra divulgar este texto, nuestra libertad de empresa del art. 38 CE se pasa por el arco del triunfo su derecho del art. 18.4.CE y ya puestos su derecho del art. 20 CE a informar a la comunidad y a ejercer su libertad de expresión. No vamos a entrar en disquisiciones jurídicas evidentes todavía, pero esta es una buena muestra del estilo “te spameo por lo legal”. En realidad, lo cortés no quita lo valiente, no se trata de la Universidad quién remite esta información, es una agencia contratada al efecto,  que amablemente avisa al mundo mundial en el primer párrafo de su nota legal que

En virtud de la Ley 15/1999, de 13 de diciembre, sobre la Protección de Datos de carácter personal, le hacemos conocedor de que sus datos personales que pueden estar en esta comunicación, están incorporados en un fichero automatizado responsabilidad de la empresa mercantil [DENOMINACIÓN SOCIAL DE LA AGENCIA DE COMUNICACIÓN Y MARKETING],

Es decir, en un alarde de finura la empresa en cuestión ni siquiera adapta su información legal al contexto en el que la ubica, se dedica a un copia-pega, que imagino que es el procedimiento del que se sirve para enviar información a universitarios sin darse ni siquiera cuenta que “@uv.es” significa, ¡¡¡¡vaya por Dios!!!!, profesor y ellos buscan alumnos. 

La cosa sigue, se me ocurre poner un anuncio en internet alquilando un piso y una amable inmobiliaria me envía dos spam telefónicos de libro, por dos comerciales distintos, sin ninguno de los requisitos legales relativos al consentimiento previo, al carácter publicitario del envío o al modo de oponerme al tratamiento. Puestos al habla con tan amables señores resulta que la culpa es mía por haber puesto datos en público.

Así que en todos los casos coincide una serie de elementos jurídicos sencillamente interesantes:

● Quienes han recabado estos datos consideran que puesto que están en internet son plenamente disponibles.

● Que ello, en por lo menos dos de los casos concede el derecho a no tomarse la molestia de cumplir ni siquiera con los aspectos meramente formales.

● Que desde un punto de vista de tratamiento de datos personales confunden la causa denominada del “interés legítimo”, que requiere un análisis profundo del impacto en el derecho fundamental afectado (esto es, de los destinatarios del mensaje no solicitado),  y el mero interés empresarial.

● A estas entidades les da igual el daño que puedan provocar evaluable en días de trabajo perdido borrando sus amables mensajes publicitarios.

Todo ello sólo puede conducir a una inevitable conclusión: han sido muy mal asesorados. Sin embargo, lo más relevante no es el juicio jurídico que nos merezcan estas conductas sino el juicio relativo a la moralidad empresarial que representan.

En primer lugar, cuando el criterio de actuación comercial es el “todo vale”, incluso saltarse leve o gravemente las normas, cuando para hacer negocio una empresa está dispuesta a infringir normas que podría cumplir con esfuerzo relativamente bajo, lo último que pueden esperar confianza del usuario.

En segundo lugar, me pregunto si las empresas españolas son capaces de entender que quien informado acepta recibir sus mensajes es un cliente potencial. En realidad, lo que consiguen con este tipo de acciones es un “no cliente” enfadado y están generando un grave perjuicio a la imagen corporativa de las marcas a las que sirven. A mí, por ejemplo, los señores de la aseguradora que mencionaba antes que me esperen… pero sentados que la cosa va para largo.

Por otra parte, quienes no se preocupan de depurar sus bases de datos y se limitan a esfuerzos del tipo copia-pega, navegando indiscriminadamente por Internet ponen de manifiesto una ética empresarial muy dudosa. ¿Cómo debería tomarse la Universitat de València, una entidad pública que se gasta su buen dinero para ofrecer una docencia de calidad y aun así debe invertir en marketing, que una universidad privada, -o alguien en su nombre-, se dedique a usar listas de distribución de su propio directorio para hacer publicidad? ¿Cómo puede una inmobiliaria aprovecharse del esfuerzo de quienes han diseñado un modelo de intermediación online que pone en contacto directo a propietarios y oferentes para su propio negocio?

En este país, también el sector empresarial que desarrolla su actividad en las tecnologías de la información y las comunicaciones, o bien las utiliza instrumentalmente, necesita de una profunda renovación moral. Una empresa que no dispone de metodologías de cumplimiento normativo, o lo que es peor que conociendo la normativa desarrolla estrategias de cumplimiento aparente, no merece competir en el mercado.      

may
12

20 e-mails por hora y más de un SPAM desesperado

No puedo resistirme a escribir un breve post a fin de compartir ciertas preocupaciones que me rondan en los últimos meses. De un tiempo a esta parte he dejado de recibir interesantes e-mails en los que en inglés, pero de modo harto comprensible me ofrecían infalibles remedios para alargar ciertos apéndices, porque al parecer para el anunciante el tamaño si importaba. Junto con éste, otros mensajes sobre un reconstituyente azul de eficacia probada que podía obtener a toneladas y más barato ya que fabricado en China era amablemente distribuido desde ese gran país de los Pirineos.

Debo confesar que últimamente ya no hay señoras nigerianas que me impelan a ser solidario con la administración de su herencia, y tampoco Irinas que buscan señores de buenas intenciones. Y sin embargo, no ha descendido el Spam que recibo, debe ser agotador ser filtro. Ahora, esencialmente leo “producto nacional”.

Fíjese el lector en los mensajes seleccionados.

En primer lugar tenemos a unos señores que cumplen con todo lujo de detalles la normativa vigente. Incluyen la palabra publicidad, las bases del concurso, incluso nos permiten remover la suscripción. Salvo un pequeño detalle, NUNCA NOS HEMOS SUSCRITO A SU SERVICIO. Y claro, al parecer la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, trasposición de la Directiva 2000/31/CE, optó por dos principios esenciales:

● Por regular un derecho distinto del derecho fundamental a la protección de datos, predicable también de personas jurídicas.

● Por una cosa llamada Opt-In, que es donde digo yo que va a estar el problema.

El segundo mensaje todavía resulta más interesante.

Mis queridos remitentes, son gente de fiar, nada menos que once años desempeñando su profesión asesorando nada más y nada menos que a Telefónica de España, detalle importante a efectos de determinar la ley aplicable, a universidades, a clínicas de salud altamente confiables en mi pueblo donde si el médico tiene apellido extranjero cura más. Tanta LOPD, tanto tiempo, debe ser el origen de olvidar la palabra PUBLICIDAD, incluso PUBLI. Sorprende también, para que negarlo, esta sufrida información legal en la que el redactor, -seguramente llevado por su subconsciente-, reconoce que no hace esto de informar porque le guste sino porque “está obligado”.

Pues bien, resulta que   NUNCA NOS HEMOS SUSCRITO A SU SERVICIO NI SOMOS SUS CLIENTES.

Parece que es muy importante ayudar a nuestros remitentes en un par de aspectos.

● Primero, les notifico que la traducción más castiza de Opt-in, viene a ser consentimiento expreso y ya puestos previo, específico e informado. A diferencia del Opt-out o consentimiento tácito basado en la inacción.

● Segundo. Soy consciente de que el público formado por profesores y funcionarios universitarios es de los pocos que, aunque en franca reducción y mientras no nos cierren, tiene un salario fijo a final de mes. Al menso el mes pasado fue así, veremos el próximo. Sin embargo, es un público muy susceptible y me temo que ante tanta desesperación por ganar clientes se están exponiendo a riesgos innecesarios, especialmente cuando se exhibe “músculo y experiencia” en el cumplimiento normativo.

may
03

Sobre la diligencia en la elección del encargado y otras cuestiones.

Regreso, brevemente a este abandonado blog tal vez más con la intención de lanzar preguntas que la de responderlas. Me hallo inmerso en la corrección de los extraordinarios trabajos de mis estudiantes en el Máster en Sistemas y Servicios de la Sociedad de la Información, a los cuales he condenado a una pequeña auditoria previa sobre la implementación de condiciones de cumplimiento de la LOPD en una empresa ficticia. En lo que atañe a la figura encargado del tratamiento detecto algunas cuestiones ciertamente interesantes y no muy distintas de las que uno alcanza a verificar en el ejercicio profesional.

Prestador de servicios del S. I.

En primer lugar, y como es lógico, existe una tendencia, -yo diría que innata-, a la estandarización. En este mundo de las tecnologías de la información si alguien hiciese un estudio estadístico de la instrucción más utilizada en los procesadores de texto me temo que “copiar-pegar” ganaría por goleada. Hablamos de contratos  en ocasiones extraordinariamente extensos y detallados, muchos de ellos localizables en Internet, y que sin duda recogen, amplían y detallan, todos y cada uno de los aspectos que establece el art. 12 LOPD y la ordenación complementaria del RLOPD. Sin embargo, son documentos sin alma que sirven lo mismo para una empresa de envíos postales, que para otra de paquetería o para un asesor laboral. Basta con cambiar la identidad de las partes, y el objeto de la prestación y tenemos nuevo contrato. Desde un cierto punto de vista, y por reducción al absurdo, el contrato no significa otra cosa que decir que la Parte A y la Parte B se reconocen mutuamente como responsable y encargado y juran, palabrita del Niño Jesús, que van a cumplir las normas.

Sin embargo, al menos desde el punto de vista de la seguridad, cuando el regulador redactó el artículo 82 RLOPD pretendía que las cláusulas del contrato, -o sus o anexos-,  fueran específicas y adaptadas a las condiciones del prestador. Sólo en ocasiones algunos se molestan en incluir tablas con el resumen de medidas, como el que proponemos en los Comentarios al Reglamento (perdone el lector el breve espacio publicitario), acompañados de recuadros para marcar crucecitas.  Y es una obviedad que incluso en el mismo sector un encargado y otro no tienen nada que ver, sin ir más allá de comparar la configuración física de sus locales. Y no profundicemos en las cláusulas del tipo “el encargado se someterá a las instrucciones del responsable” en contratos en los que ni en él, ni durante la relación existe instrucción alguna.

Es más, resulta sorprendente que en contratos que se relacionan con uno más general de prestación de servicios, abogados más que curtidos en el foro ni siquiera se planteen incluir cláusulas de naturaleza indemnizatoria referidas no ya al incumplimiento de la LOPD por el encargado, sino al resarcimiento del daño que pudieran causar éstos, y muy especialmente un daño como el reputacional cuya estimación por un juez civil es muy compleja al tratarse de daños en ocasiones morales de difícil cuantificación.

El otro elemento ciertamente sorprendente es el relativo a la prueba de la diligencia en la elección del encargado. Es práctica habitual incluir declaraciones del tipo “el encargado declara haber inscrito sus ficheros”.  ¿Cómo que declara? Si el responsable debe cumplir con su obligación del art. 20.2 de «velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en este Reglamento», debería molestarse en conectarse al Registro General de Protección de Datos, verificar que efectivamente se han inscrito y adjuntar una impresión de pantalla en el anexo oportuno, que para eso también sirve “copiar-pegar”.

Por otra parte, hay un pequeño detalle que se nos suele escapar: el informe de auditoria. El lector, avezado y conocedor de la norma nos dirá aquello de “ojo sólo si se trata de ficheros a los que aplicar un nivel medio o alto de seguridad”. yo prefiero incluir una cláusula del tipo “facilitar los controles y auditorías que pretenda realizar el responsable del fichero”. Pues lo siento, con todos mis respetos puede que el lector se equivoque con esta estrategia.

En primer lugar, las medidas de seguridad se conciben como mínimos obligatorios. Así que si una empresa cuya tarea consiste esencialmente en prestar servicios que comporten el tratamiento de datos personales quiere competir en el mercado y ofrecer confianza a sus clientes debería auditarse, tenga o no la obligación. Con ello, facilitaría enormemente la tarea a quien les contrata no haría falta someterse a controles del propio responsable, bastaría con exhibir una certificación. Y esto, si al lector le suena a chino o extraño no es sino el resultado de un funcionamiento epidérmico en el cumplimiento normativo por parte del sector ya que en todos los ámbitos, públicos o privados, quien quiere demostrar excelencia certifica su calidad sea obligatorio o no.

En segundo lugar, cuando el responsable impone al encargado un deber de soportar su control se sitúa ante un doble riesgo. Primero, el prestador por su actividad habrá firmado contratos “igualitos” con centenares de terceros. Así que o tiene unos sistemas de información estancos o ¿a alguien se le ocurre como auditará sin infringir los deberes de confidencialidad contraídos con los otros N_99 clientes? Es más, ámbitos como el Cloud son muy difíciles de auditar. La segunda cuestión reside en qué auditar y cómo sin poner en riesgo aspectos críticos. Por último, quien se compromete contractualmente a la posibilidad de auditar ¿a qué nivel eleva su canon de diligencia? ¿Alguien ha imaginado el supuesto en el que una infracción del encargado pudiera haberse detectado ejecutando la auditoria de la que habla el contrato? Y en ese caso, ¿habremos sido diligentes?

Y ello, estimado lector me conduce a una pregunta adicional, si Vd. incluye este tipo de clausulado y no va a “controlar o auditar” en el menor de los casos incluye una cláusula vacía de contenido, y en el peor, y este no es un concepto jurídico relevante: miente. Y si no miente, permítame una ulterior pregunta ¿podrá soportar los costes adicionales de los controles de modo que le resulte, aun así, rentable externalizar? ¿No seria más razonable que quien quiere venderme sus servicios como encargado soporte el coste de demostrar que puedo confiar en él?

Go back to top