El derecho de autodeterminación informativa

Se trata del inicio de toda esta película de la protección de datos para el afectado o propietario de los mismos. Porque, sí, como prolongación del derecho al honor, a la intimidad personal y a la propia imagen de la persona, la legislación le atribuye a ésta el derecho al control de todo dato personal que salga de su ámbito más íntimo.

Estamos ante el derecho de la persona física (aquí las personas jurídicas o morales no cuentan, aunque tengan su honor, imagen e intimidades que, además, pueden estar valoradas en millones de euros) a decidir a quién entrega sus datos, para qué finalidad egoísta los entrega y, en cualquier momento, volver sobre sus pasos e impedir que sus datos se sigan tratando, simplemente porque ha cambiado de opinión y con sus datos puede hacer lo que desee, sin más explicaciones.

Los datos personales se pueden ceder por muchas causas y para múltiples finalidades. Hay algunas que nos son impuestas por las leyes penales, de policía o administrativas (por ejemplo, el documento de identidad, pasaporte, datos del padrón, permiso conducir o de armas, o la cartilla sanitaria), y otras, las más, en las que la cesión es voluntaria aunque necesaria para que el cesionario o empresa proceda a tratar nuestros datos a fin de ejecutar contratos de prestación de servicios o suministros (gas, electricidad o teléfono, seguros, servicios bancarios, defensa jurídica, etc.).

Pues bien, para conjugar el derecho a la autodeterminación de los datos personales y la necesidad del tratamiento de los mismos para conseguir una determinada finalidad, se aplican los principios de información y consentimiento. De manera que, según dice el artículo 5 de la Ley orgánica de Protección de datos (LOPD), los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:

a.    De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

b.    Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

c.     De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

d.    De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

e.    De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

De manera que, cuando, como es frecuente, se utilicen cuestionarios (físicos o digitales) u otros impresos para la recogida de datos de los propios interesados o de sus representantes legales (por ejemplo, el caso de menores de edad), figurarán en los mismos, en forma claramente legible, las advertencias anteriores.

En resumen: tras inscribir el fichero en el Registro de la Agencia de Protección de Datos con una determinada finalidad y características (datos que se recaban, modo de recoger los mismos, forma de tratamiento, nivel de protección, etc.), se redactarán los cuestionarios de recogida de datos en los que, de forma clara, legible y comprensible para el usuario o afectado, se le informará de que sus datos entran a formar parte de un fichero inscrito, la finalidad y responsable del tratamiento y la posibilidad de ejercer el control sobre los mismos en cualquier momento (derechos ARCO de acceso, rectificación, cancelación y oposición).

Y, tras recibir esa información, el usuario o afectado prestará su consentimiento inequívoco (dice el artículo 6 de la LOPD), salvo algunos casos en los que no es necesario, como cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias; o cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento.

¿Qué ocurre en la realidad?. Pues, aunque la LOPD data de 1.999 (¡15 años!, no está mal) y tenía un precedente parcial (la LORTAD de 1.992 hacía referencia a datos automatizados exclusivamente), parece como si para empresas e instituciones (incluyendo, por supuesto, a las propias Administraciones públicas), la ley se hubiera aprobado ayer y, en período transitorio (vacatio legis) se tuviera que “adecuar” a la nueva ley la situación ya existente.

En efecto: es demasiado frecuente encontrarse con la existencia de ficheros no inscritos y de cuestionarios en los que, si se toca el tema, se hace muchas veces en letra con fuente mini minúscula y en términos incomprensibles para el común de los mortales (especialmente en lo tocante a la finalidad del fichero y a la posibilidad de cesión de los datos, o sea, en los puntos clave).

Y si hablamos del “aviso legal” de las páginas o sitios webs, el tema es aún más preocupante. En un porcentaje elevadísimo, la protección de datos se desconoce y, cuando se recoge, se mezcla con cláusulas de todo orden (propiedad intelectual, derechos y obligaciones de los visitantes, exclusiones de responsabilidad, jurisdicción aplicable y mil extremos más) que, en la mayoría de los casos, obedecen a un copia y pega de otras webs que han servido de modelo y que, en muchos casos, conducen al absurdo.

Con la excepción del e-comerce o tiendas virtuales (en las que la oferta de la empresa y la aceptación del consumidor respecto a la compra de un producto se realizan online, incluido el pago a través de pasarela), en el resto nos solemos encontrar con meros “escaparates” virtuales de los productos o servicios de empresas o instituciones en los que únicamente es de obligada referencia:

1.    El propietario del sitio, con su identificación y datos de contacto.

2.    La política de protección de datos, si es que se recaban datos que se incluyen en ficheros inscritos.

3.    La política sobre cookies, si es que el sitio web las tiene.

¡Y ya está! Pero, claro, un diseñador web (el webmaster) no tiene porque saber de esas cosas; y, ya se sabe, de cara al cliente, más vale que sobre…, aunque lo que sobra no haga falta.

Con todo, los avances en la adaptación de empresas e instituciones para el reconocimiento y protección del derecho de autodeterminación informativa es, año a año, progresivo. Buena culpa de lo cual la tiene la labor divulgativa que realiza la Agencia Española de Protección de Datos, especialmente, a través de su web, en la que se pueden encontrar, desde guías hasta videos prácticos e informativos y formularios de cláusulas y documentos. Les recomiendo una visita.

El principio de calidad de los datos personales

Cuando a principios de la década de los sesenta del pasado siglo, los ingenieros americanos acometieron el reto de poner al hombre en la Luna, tuvieron constantemente dos principios en la cabeza: la finalidad (llegar a la Luna…, y volver) y la eficiencia. Eficiencia que implicaba utilizar lo imprescindible para conseguir la misión: ni más (porque la encarecería y la haría peligrar al tener que llevar objetos inservibles a cientos de miles de kilómetros), ni menos (porque carecerían de lo necesario para alcanzarla).

La eficiencia es pariente cercano de la calidad, pues sólo con ella se logra la finalidad perseguida, al menor coste, con el menor desperdicio y la mayor satisfacción de las expectativas.

Principios como el de la calidad y la eficiencia rigen el mundo de la industria automovilística desde mediados del pasado siglo y, muy especialmente, desde las sucesivas crisis del petróleo, cuyo encarecimiento ha revolucionado la investigación en la búsqueda de materiales más ligeros y moldeables para, junto con los avances en aerodinámica, obtener un aumento de potencia, seguridad y mínimo consumo.

-       Pero, oiga, ¡yo pensaba que este blog iba de protección da datos!, ¿dónde quiere ir usted a parar?

-       Pues quiero significar que la consecución de una meta, de una finalidad, cualquiera que esta sea, implica tener los recursos imprescindibles para ello, significando despilfarro el exceso (para construir, mantener, etc.) e inutilidad el defecto.

-       De acuerdo. ¿Y eso qué tiene que ver con la protección de datos?

-       Pues mucho: los datos se recogen con una finalidad, y el consentimiento para su tratamiento se pide al interesado para conseguir dicha finalidad, no para cualquier cosa.

-       ¿Y?

-       Pues que si se recogen más datos de los necesarios, o nos estamos desviando de la declarada finalidad (y hay alguna otra encubierta), o estamos malgastando tiempo y recursos: los del afectado, declarando y aportando datos innecesarios; y los nuestros, tratando y protegiendo datos inútiles.

En efecto, abriendo el título que la Ley orgánica de protección de datos (LOPD) dedica a los principios de la protección de datos, dice el artículo 4 que

1. Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.

2. Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.

3. Los datos de carácter personal serán exactos y puestos al día de forma que respondan como veracidad a la situación actual del afectado.

4. Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el artículo 16 (derechos ARCO).

5. Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.  

Es decir, los datos solicitados para una finalidad determinada, explícita y legítima (como dice el artículo 8 del Reglamento de la Ley, han de ser adecuados, pertinentes y no excesivos para el logro o consecución de la misma; y, una vez alcanzada la finalidad pretendida, hay obligación de cancelar dichos datos recabados, salvo excepciones. Más allá se podrán conservar únicamente como dato disociado que no permite la identificación del afectado.

Por lo tanto, recabemos de nuestros clientes o usuarios los datos imprescindibles para el desarrollo de nuestra oferta de negocio o actividad: además de cumplir con la ley, ahorraremos recursos (en la recogida, tratamiento, protección y cancelación; además de las consecuencias de los derechos de acceso, rectificación, cancelación y oposición por el afectado) y ganaremos en seriedad e imagen corporativa ante nuestra clientela y nuestro mercado.  

Las cookies son algo más que unas galletitas

¿Qué cara se le quedaría si invitase a merendar a un desconocido a su casa y, tras despachar el cafelillo y las pastitas, el fulano se levantara del asiento y, en su presencia, colocase micrófonos y cámaras en todo su domicilio?... Esperpéntico, ¿verdad? Pues algo así es lo que ocurre con la navegación por Internet y las cookies.

En efecto, según la Agencia Española de Protección de Datos (AEPD),  una cookie es un fichero de texto que se descarga en el equipo terminal del usuario para almacenar en el mismo durante la navegación en Internet ciertos datos con una o varias finalidades, siendo un tratamiento especialmente intrusivo cuando el responsable de su instalación, actualización y recuperación recoge y trata la información almacenada en la cookie sin informar y sin contar con el consentimiento del usuario para ello.

La gravedad del asunto hizo que, en 2012 y siguiendo directivas europeas (Directiva 2009/136/CE), se modificara la Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico de 11 de julio de 2002 (LSSI), cuyo artículo 22, apartado 2º dice ahora que:

Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

Resumiendo: salvo aquellos casos en los que la instalación de cookies sea necesario para que el usuario reciba la prestación de un servicio por él solicitado (por ejemplo, las declaraciones telemáticas con la Agencia Tributaria), la instalación de estos “ficheros espía” necesitan el consentimiento informado del usuario de Internet – propietario del equipo, sea éste PC, tableta o teléfono inteligente.

En abril de 2013, la AEPD publicó una “Guía sobre el uso de las cookies” que, de forma clara y didáctica, pretende marcar pautas en la implantación del adecuado y legal uso de esta herramienta informática, sirviendo de ayuda a usuarios (para promover el conocimiento de sus derechos y los riesgos para la privacidad en la navegación), a editores o propietarios de páginas web (para que sean conscientes del uso que hacen de las mismas) y, muy especialmente, a los desarrolladores de sitios web o webmaster (para establecer criterios seguros en la materia). Desde luego que también afecta a empresas de publicidad online y a las multinacionales que, como Google, basan su estrategia de desarrollo de negocio en el almacenamiento de perfiles para su posterior explotación.

Para el cumplimiento del deber de información sobre el uso de cookies, la Guía apuesta por un sistema de capas. Así:

1)      En una primera capa, que aparecería de forma visible en el encabezado o pie de la página de inicio o index, se informaría sobre el uso de cookies, su finalidad, la acción del usuario que provocará la presunción de aceptación del uso de las mismas y, por último, un enlace a la segunda capa. 

2)      En esta segunda capa, que se mostraría en ventana aparte, se incluiría definición y función de las cookies, las clases que se utilizan en la web (propias y/o de terceros, analíticas, publicitarias, etc.), información de cómo desactivar o eliminar las cookies según el navegador que se utilice e identificación  de quien o quienes utilizan la información obtenida.

 Con respecto a la prestación del consentimiento, la Guía admite que pueda obtenerse mediante fórmulas expresas, como haciendo clic en un apartado que indique “consiento”, “acepto”, u otros términos similares; así como infiriéndolo de una determinada acción realizada por el usuario, en un contexto en que a éste se le haya facilitado información clara y accesible sobre las finalidades de las cookies y de si van a ser utilizadas por el mismo editor y/o por terceros, de forma que quepa entender que el usuario acepta que se instalen cookies. En todo caso la mera inactividad del usuario no implica la prestación del consentimiento por sí misma.

Lo cierto es que basta dar un “paseo por Internet” para comprobar que pocos sitios web cumplen actualmente con la legalidad vigente en materia de cookies y, las pocas que lo hacen, incurren en graves omisiones. En este sentido, el pasado 14 de enero se dictó la primera Resolución de la AEPD sancionando a dos empresas en la materia.

Como señala la propia Guía, Internet contribuye actualmente en un 3,8 del PIB de la Unión Europea, casi 25.000 millones en España. El desarrollo digital pasa por garantizar la confianza de los usuarios en la red y, por tanto, y en este ámbito, por garantizar que la utilización de las cookies se lleve a cabo respetando siempre la privacidad de los usuarios.

A la postre, el buen uso de las herramientas (las cookies en este caso) puede propiciar beneficios para todas las partes implicadas y para la sociedad en su conjunto. A la inversa, su mal uso promociona la desconfianza hacia el que, sin duda, es, hasta el momento, el mayor invento del siglo XXI: la globalización digital.

El consentimiento al tratamiento de datos personales

Por dato personal entendemos toda información relativa a personas físicas, identificadas o identificables. Y hablamos de tratamiento para referirnos a las operaciones y procedimientos técnicos, automatizados o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

Si en la base de todo dato personal está, como es lógico, la persona titular del mismo (afectado o interesado), el fundamento del tratamiento de los datos personales está en el consentimiento de la persona a la que los datos se refieren. De manera que, sin consentimiento, no puede haber tratamiento.

El consentimiento debe ser expreso e informado, admitiéndose también que sea tácito. Lo que se prohíbe es que sea presunto o conjetural.

El consentimiento del interesado debe ser expreso y por escrito cuando se trate de datos especialmente protegidos como son la ideología, afiliación sindical, religión y creencias, pudiendo ser expreso, aunque no necesariamente escrito, cuando se trate de datos relativos a la salud, el origen racial y la vida sexual.

Un supuesto muy usual de consentimiento tácito es el que se produce cuando existe una relación negocial o de prestación de servicios por parte del responsable del tratamiento y los datos recabados son necesarios para llevar aquéllas a cabo. Igualmente se entenderá prestado el consentimiento para la cesión de dichos datos cuando la misma sea necesaria para cumplir con el contrato existente entre titular de los datos y responsable del tratamiento. Piénsese, por ejemplo, en la encomienda de un litigio a un abogado.

Los datos que se recaben y sobre los que se pida el consentimiento del afectado para su tratamiento, deben ser los necesarios (calidad de los datos) para cumplir con la finalidad perseguida, ni más ni menos; quedando limitado el consentimiento al tratamiento para el cumplimiento de dicha finalidad.

Por último, en toda recogida de datos personales para su posterior tratamiento, se deberá informar al afectado de la existencia de un fichero al que se incorporarán aquéllos, de la finalidad para la que se recaban los datos, del carácter obligatorio o facultativo de responder a las preguntas que se le presenten y sus correspondientes consecuencias, de la identidad y datos de contacto del responsable del tratamiento y de los derechos del afectado o interesado de acceso, rectificación, cancelación y oposición.

Aunque cada caso tiene sus particularidades, un ejemplo de cláusula de recogida de datos personales podría ser la siguiente:

En cumplimiento de lo dispuesto en la Ley orgánica de protección de datos de carácter personal, se le informa que sus datos personales pasarán a formar parte de un fichero inscrito en el Registro de la Agencia Española de Protección de Datos, titularidad de esta empresa (nombre y datos identificativos), siendo tratados con la finalidad (especificar la concreta finalidad para la que se recaban los datos). Así mismo se le informa que puede ejercer sus derechos de acceso, rectificación, cancelación y oposición a través de la dirección (indicar postal y/o electrónica), acompañando fotocopia de DNI o autorización suficiente.  

¿Qué es un fichero de datos de carácter personal?

La Ley orgánica de protección de datos de carácter personal (LOPD) de 1.999 define los ficheros como el conjunto organizado de datos de carácter personal, cualquiera que sea la forma y modalidad de su creación, almacenamiento, organización y acceso; como dato personal la Ley considera cualquier información concerniente a personas físicas identificadas o identificables.

-         O sea: que la ley se aplica a la agenda de contactos que tengo en mi teléfono con nombre, teléfono, email y “careto” de todos mis amigos y conocidos

-         No. Aunque se trata de un fichero, la LOPD no se aplica a los que se tengan por personas físicas para usos personales o domésticos

-         ¿Y si soy un dentista o un abogado?

-         Entonces la cosa cambia: todos los datos de tus clientes están sujetos al ámbito de aplicación de la ley, formando uno o varios ficheros según lo tengas organizado

-         ¿Y qué obligaciones tengo?

-         La LOPD impone, como obligación previa a la creación de cualquier fichero, proceder a su inscripción en el Registro que la Agencia Española de Protección de Datos tiene habilitado al efecto

-         Pero, si inscribo el fichero estoy vulnerando el deber de sigilo profesional para con mis clientes

-         En modo alguno. En el Registro sólo se inscribe la existencia del fichero, su objeto y protección; en modo alguno se publica su contenido o concretos datos objeto del tratamiento… Tus clientes pueden estar tranquilos

-         Entonces, ¿no tengo que dar a la Agencia de protección de datos nombres de personas?

-         No, salvo el tuyo como titular del fichero, claro está

-         Y después de inscribir el fichero, ¿hay alguna obligación?

-         Sí, básicamente la de asegurar la conservación de los datos personales de tus clientes, evitando el acceso a los mismos de cualquier tercero

-         Y si el cliente quiere acceder a sus datos, ¿se lo debo permitir o son datos de mi propiedad?

-         El fundamento de la ley protectora de datos personales es la de que tu cliente disponga de los datos que te cedió para una determinada finalidad (el tratamiento odontológico, la defensa en juicio, etc.) en cualquier momento, y que pueda acceder fácilmente a ellos, rectificarlos, oponerse a su tratamiento o a que sean cancelados de tus ficheros (derechos ARCO).

En resumen: todo profesional, empresa o institución (Administraciones públicas, ONGs, Iglesia Católica u otras confesiones religiosas, etc.) que, para las finalidades propias de su actividad, posea cualquier tipo de datos personales (identificación, domicilio, contacto, imágenes, sonidos, pruebas radiológicas, cuentas bancarias, cuestionarios psicotécnicos, etc.) de personas físicas, sean o no clientes o usuarios, integrados en un fichero, tiene la obligación de inscribir éste en el Registro de la AEPD, conservar tales datos adoptando las medidas necesarias para su seguridad e integridad y cancelarlos cuando la finalidad para la que fueron recabados haya sido cumplida. Entre tanto, los datos estarán siempre a disposición de la persona a la que se refieran.

Google y la protección de datos personales

Hace poco más de un mes que la Agencia Española de Protección de Datos, en coordinación con organismos homólogos de Alemania, Reino Unido, Francia, Italia y Holanda, impuso a Google una sanción de casi un millón de euros “por vulnerar gravemente los derechos de los ciudadanos”.

La “llamada de atención” tiene especial relieve dado que Google es el motor de búsqueda más utilizado, con diferencia, por los internautas españoles, a lo que hay que unir la popularidad de herramientas de correo electrónico como Gmail, de mapas como Google Maps o de sitios web de vídeos como You Tube.

¿Cuáles son las razones que han llevado a estas sanciones?. Básicamente son tres:

 

1)    La recogida y tratamiento ilegítimo de información personal, y no sólo la de los usuarios dados de alta en sus diversos servicios, sino incluso de usuarios pasivos que se limitan a acceder a páginas que incluyen elementos gestionados por la compañía estadounidense. Como ejemplo, la Agencia señala que no se informa con claridad a los usuarios de Gmail de que se realiza un filtrado del contenido del correo y de los ficheros anexos para insertar publicidad y, cuando se informa, se utiliza una terminología imprecisa, con expresiones genéricas y poco claras que impiden a los usuarios conocer el significado real de lo que se plantea.

 

2)   La utilización de la información para fines múltiples y distintos para los que han sido recabados. 

3)   El incumplimiento del deber de cancelar los datos una vez concluida la finalidad para la que fueron recabados, a lo que se une la extraordinaria dificultad que tienen los usuarios para ejercer sus derechos ARCO (acceso, rectificación, cancelación y oposición). La propia compañía reconoce que hay que ejecutar al menos siete procesos diferentes, reservándose incluso el derecho de no atender las solicitudes que supongan “un esfuerzo desproporcionado”.

Para algunos tal comportamiento es el “peaje” que hay que pagar por disfrutar de unos servicios gratuitos; para otros, es un abuso injustificado y una forma opaca de obtener pingües beneficios a los que la sanción del millón de euros no parece vaya a provocar propósito de enmienda alguno.