La ley 25/2007 de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones impone la obligación a los operadores de telecomunicaciones de conservar los datos de tráfico de sus usuarios. En ciertos casos esta normativa se solapa y contraviene la Ley Orgánica de Protección de Datos que prevé un período de retención de datos que debe coincidir con el plazo mínimo necesario para llevar a cabo el servicio. Una vez pasado este plazo, los datos personales deben que ser cancelados.
El Informe 0408/2010 de la AEPD muestra los casos en que la cancelación no implica la supresión de los datos, sino su mero bloqueo. Este ‘bloqueo’ aparecer como una figura intermedia entre la eliminación irreversible de los datos de un sistema, ‘supresión’, y la obligación de conservación.
De acuerdo con la LOPD, la cancelación se ha de entender como el cese en el uso de los datos, no como su supresión física del sistema en que se encuentren. Esto se da cuando sólo un responsable de la organización tiene acceso a los datos personales en cuestión, de tal forma que los datos no se encuentren al alcance de otros usuarios del sistema. Es lo que se llama ‘bloqueo de datos’.
En todo caso, debe recordarse que el mantenimiento del dato bloqueado, supone una excepción al borrado físico del mismo que, en definitiva, es el fin último de la cancelación (tal y como prevé el propio artículo 16.3, al indicar que “cumplido el citado plazo deberá procederse a la supresión).”
Así pues, en estos casos estaremos ante una excepción del art. 4.5 LOPD sobre el plazo máximo de retención de datos que da lugar al bloqueo y no a la supresión de los datos del sistema. De esta forma, en nuestra práctica habitual, nos podemos encontrar con datos personales usados, bloqueados y suprimidos con una diferencia basada en el acceso que se tenga a éstos entre los usuarios del fichero en cuestión.
Una vez más el delicado equilibrio entre seguridad y derechos individuales que se resuelve con la creación de la figura del ‘dato bloqueado’.
Recordemos que el Tribunal constitucional ya ha establecido sobre estos datos que los únicos datos retenidos serán los del tráfico de las comunicaciones, no su contenido, y que su revelación exige autorización judicial.
En un post anterior discutíamos las recomendaciones a amigos. Hoy, a raiz de una reciente resolución, veremos esta práctica, harto habitual en la web 2.0, se trata, en este caso, de nutrir un servicio de potenciales clientes mediante los contactos aportados por los usuarios de éste. Esto es, se nos pide que incluyamos manualmente los correos de nuestos conocidos, en este caso, para obtener un premio. Frecuentemente esto se realiza mediante un API que permite recabar los correos personales de nuestra cuenta de correos, práctica insegura hoy por hoy con tanta contraseña de correo pululando por la red.
En este caso, la plataforma de venta de entradas Tick Tack Ticket (TTT) ofrecía la inocente promoción de dos entradas de concierto. Para conseguir tan exiguo premio, TTT solicitaba de los usuarios que incluyesen los correos de amigos y conocidos: cuantos más mejor. Hasta tal punto que, como se señala en las bases del concurso: “Ganará la persona que más veces reenvíe esta información”. Para más INRI, en dichas comunicaciones no se daba la posibilidad al receptor de la comunicación de oponerse al tratamiento.
El procedimiento es incoado por la FACUA, aunque el número de usuarios de los que se había registrado su dirección de correo mediante dicho proceder, ascendía a casi 40.000. Pese a la falta de reclamación individual por parte de sujeto alguno, la Agencia prosigue sus actuaciones de oficio, dada su naturaleza y el principio acusatorio que sustenta su actuación. Recuperemos su definición de spam de la Agencia:
“cualquier mensaje no solicitado y que, normalmente, tiene el fin de ofertar, comercializar o tratar de despertar el interés respecto de un producto, servicio o empresa”
Para la AEPD, TTT no había recabado el consentimiento tal como exige el art. 21 LSSI para el envío de comunicaciones promocionales. El presunto infractor alegaba que, en la sustanciación del procedimiento, se había producido una inversión de la carga de la prueba, ya que es TTT quien había de mostrar que el consentimiento no fue debidamente recabado. Para la Agencia, no obstante, las pruebas recogidas no son sólamente indiciarias, sino auténticas pruebas de cargo. La agencia se apoya en una columna de la tabla de la base de datos que incluía las direcciones de correo, marcado un ‘1 y valid’, y da por buena la presuposición de que se habrían enviado más de 3 comunicaciones, mínimo establecido por la LSSI para que la infracción sea considerada grave.
La propia TTT utilizó en su alegato lo frecuente de esta práctica como defensa de sus actividades. Lo que habrá que seguir con detenimiento es el número de expedientes que se abriran a raiz de esta decisión, una decisión que podría golpear fuertemente uno de los pilares de la captación de clientes llevada a cabo por muchas plataformas de internet.
Otro caso más para entretener a nuestra cada vez más nutrida audiencia. Hoy hablaremos de una sentencia del Tribunal Supremo de este año. Otra vez el marketing directo realizado por la empresa Peugeot está en el centro de la controversia. Como es costumbre en este sector, la realización de dicho marketing le es encargado a una empresa especializada en comunicaciones electrónicas. Así existe un responsable del fichero, Peugeot, y un encargado. Curiosamente el fichero posee el sugerente nombre de ‘Base de Datos de Conquista’.
El contrato entre responsable y encargado establece la propiedad exclusiva del fichero por parte del responsable, Peugeot. El responsable, a su vez, subcontrata la realización de tareas de encargado a una tercera empresa las actividades de hospedaje.
El problema surge en tanto los datos recabados en el formulario del sitio web son alojados en servidores en los EEUU sin obtener la autorización del Director de la AEPD para la transferencia internacional de ficheros y sin informar a los usuarios ni obtener su consentimiento. Al proveedor del hosting al no encontrarse acogido bajo los “principios de puerto seguro” (safe harbor) no se le aplica la excepción del art 34 k) “nivel de protección adecuado”. Por lo tanto, el encargado incumple con la normativa al tener el hospedaje de dicho contenido en un servidor fuera de España.
Es un claro aviso a navegantes para aquellos que se confían en tener un servicio de hosting fuera de España y cumplir con las normas de protección de datos. Hay que fijarse que el proveedor del servicio esté adscrito al programa ‘Safe Harbor’. Se trata de un trámite sencillo en el que la empresa encargada ha de llevar a cabo una declaración ante el Departament de Comercio y la adherencia a sus principios.
Y, de regalo, una cláusula que podemos ya ir incluyendo en cualquier contrato entre responsable y encargado por si no la habíamos hecho ya:
“El encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación a otras personas.”
La Sala de lo Contencioso-Administrativo del Tribunal Supremo falló en 2004, hace la friolera de cinco años, este caso relativo a las comunicaciones de datos no autorizadas y el tipo de fuentes públicas admitidas en el ordenamiento jurídico. Un caso de extremo interés un día como hoy en el que salta a la prensa la infomación acerca de la falta de inscripción de ficheros ante la AEPD del 84% de las empresas patrias. Una muestra más de lo mucho que nos queda por andar en la senda de la protección de datos en este país.
Pongámonos en antecedentes: en el caso referido, la entidad infractora, de acuerdo con la AEPD, habría cometido una falta muy grave de acuerdo con la ya extinta LORTAD (LO 5/92) al haber comunicado datos sin la autorización del usuario. La entidad impugna la decisión y el TSJ de Cataluña entiende que la sanción impuesta por la AEPD ha de ser entendida solamente como ‘grave’ de acuerdo con el art. 43 de la citada LORTAD. Pese a la aminoración de la sanción, la entidad sancionada decide llevar el tema a casación ante el Tribunal Supremo aduciendo inversión de la carga de la prueba y haber desatendido a la presunción de inocencia. El abogado del estado, por su parte, solicita al Supremo que se restituya la sanción originalmente impuesta por el Director de la AEPD.
De acuerdo con los hechos relatados, la entidad sancionada habría utilizado los datos del censo electoral para elaborar su base de datos. Así habría recogido datos que excederían la simple finalidad comercial que tenían sus comunicaciones. Para mayor escarnio, la entidad sancionada opta por comunicar dichos datos a otra empresa sin el consentimiento del usuario. En definitiva, la entidad usa de los datos censales como base para crear un fichero con el que enviar comunicaciones de carácter comercial, fichero que posteriormente comunica a otras entidades.
El caso surge a partir de la recepción por parte de un usuario en su correo de diversas comunicaciones no solicitadas por parte de diversas empresas mediante los datos tratados por la entidad sancionada. Para su defensa, la entidad recurrente sostenía que el art. 39.3 de la Ley del Comercio Minorista permitía que la empresa utilizase fuentes de acceso público para realizar dichas comunicaciones comerciales. El Tribunal Supremo, por su parte, entiende que es necesario el consentimiento del usuario para poder utilizar dichos datos, ya que el art. 7 de la Directiva 95/46 de protección de datos, no prevée ningún tipo de legitimación basado en los intereses propios de la empresa.
Otra vía de defensa por parte de la entidad recurrente, basada en el carácter derivado de dichos datos personales, es desmantelada por el tribunal. Como señala la sentencia el “…carácter no originario de los datos del fichero en nada afecta a la calificación de los hechos realizada por el acto administrativo recurrido que sancionó la cesión o comunicación de datos…”
La única duda que surge a este respecto es acerca de si los datos cedidos sin consentimiento del usuario fueron recopilados directamente del censo electoral, tal y como parece dar a entender el error acerca del segundo apellido del usuario presente en la base de datos de la entidad demandada. Aún así, el censo electoral no es una fuente público en sentido estricto ya que su uso, a diferencia del ‘censo promocional’, requiere el consentimiento del afectado:
“…si al cumplimentar dicho documento de empadronamiento, que constituye la base para la formación del censo electoral, el ciudadano manifiesta su oposición a aparecer en el censo promocional, su nombre, apellidos y domicilio, aunque figuren en el censo electoral, no podrán incluirse en el “censo promocional”, único del que pueden servirse para sus lícitas actividades las empresas dedicadas a la recopilación de direcciones…” Sentencia de 18 de octubre de 2000 (RJ 2000, 9107)
Así pues, el Tribunal condena a la entidad infractora. Por un lado, hay un tratamiento de datos que no son públicos sin el consentimiento de los afectados. Por otro, hay una comunicación no autorizada por el usuario por parte de terceras partes fundada en este tratamiento de datos ilegítimo.
A este respecto, me parece interesante resaltar la precisión del concepto utilizado por el legislador: ‘comunicación‘, que es justamente interpretado por el Tribunal Supremo como cualquier acceso que tenga otra entidad a los datos tratados por la entidad comunicante, independientemente de la titularidad de éstos.
Esto conlleva una consecuencia práctica que considero importante: no importa en qué momento de la cadena de comunicaciones uno se encuentre, desde que comunique un fichero en su propiedad, independientemente de su origen o procedencia, el responsable del tratamiento es el único sancionable por cualquier transferencia o comunicación de datos.
RT @ObservaINTECO: Hoy, Día Mundial de Internet 2012, se celebran más de 200 eventos y actividades ¡participa! http://t.co/dc8H6iBp #dia ... 2012/05/17
RT @piscitelli: “Internet no pone en crisis la creación, como vaticinan desde las grandes discográficas, sino la intermediación” Julio R ... 2012/05/17
RT @nuriavives: El primer jutjat telemàtic (Primera Instància 37 de Barcelona) http://t.co/oJZqwRhf 2012/05/17
RT @Jaimebarbero: Un juez rechaza el cierre d la web d los Mossos d'Esquadra q permite delatar a los participantes en actos de vandalism ... 2012/05/17
RT @eAdmongob: Hoy 17 de Mayo #DiadeInternet te animamos a realizar los trámites con tu Administración por internet http://t.co/4p43lU4J 2012/05/17
@iHerreros Gracias a tí por mantenernos informados ;) 2012/05/16
RT @iHerreros: Real Decreto 778/2012, de 4 de mayo, de régimen jurídico de las entidades de dinero electrónico. http://t.co/i05c1vKz 2012/05/16
RT @franzruz: Los dueños de Taringa! van a juicio por presunta violación de propiedad intelectual http://t.co/7KbTRDFI 2012/05/16
RT @guerrerocg: 500 prima de riesgo 2012/05/16
RT @abonauta: Absuelven en Finlandia a la propietaria de un wifi abierto que fue usado para descargar contenidos protegidos http://t.co/ ... 2012/05/16
RT @Jorge_Morell: RT @guillermozam Movistar denunció a un ex empleado por sabotaje tecnológico http://t.co/4ncSflfq vía @iProfesional 2012/05/15
RT @democraciareal: Récord de desahucios en 2011. Cientos de personas en España se quedan sin vivienda cada día. Hemos dicho BASTA #Banc ... 2012/05/15
RT @AdaColau: RT @espaciososcuros Y si eres usuario d Oficina Internet Bankia entra con DNI y clave y rellena formulario d reclamaciones ... 2012/05/14
RT @alex_gaynor Law is just code written in a very free form, error prone, imprecise language. It's basically PHP really. vi @jalencas 2012/05/13
Soluciones a la crisis: “España resolvería su déficit legalizando la marihuana”: Richard Branson http://t.co/GiqyMQ2z 2012/05/13
RT @acampadasol: Impresionante foto #12MBcn: RT @acampadabcn_int: Luego dicen que somos 4 https://t.co/d7N0Z1uV via @mmurielbcn #12mnono ... 2012/05/13
RT @iHerreros: RT @Cris_STembleque: Las empresas del Ibex 35 incumplen la ‘ley Anticookies’ http://t.co/HBu41YQm 2012/05/11
RT @jdelacueva: Cuando estudié Derecho, me contaron que si quebrabas una empresa tenías responsabilidad. Y un banco, más. Me lo creí, #I ... 2012/05/08
¿Y si los clientes de Bankia retiramos nuestros fondos? Igual así el gobierno ya no necesita salvarla... Me olvidé! Los bancos no quiebran 2012/05/08
Me imagino un futuro en el que plataformas como Kickstarter acaben con la falacia de que los bancos son necesarios para el crédito #bancap2p 2012/05/08
