Iurismatica - Derecho TICs

Recientemente la Agencia Española de Protección de Datos ha publicado una resolución de archivo de actuaciones de fecha de 31 de marzo de 2008 donde se demuestra claramente la dificultad de la lucha contra el SPAM publicitario vía SMS, en un mundo globalizado y tecnológico como en el que nos encontramos.

Personalmente debo decir que el SPAM que recibimos en el correo electrónico me parece molesto, pero bueno, considero que se puede ir atajando poco a poco gracias tanto a la tecnología como con el cuidado casi extremo (y en muchos casos ya paranoico) sobre mis cuentas de correo; sin embargo, creo que uno de los SPAM que más me molesta es el que recibimos en nuestros teléfonos móviles. Creo que el SPAM vía SMS es especialmente molesto, y más si cabe según el tipo de mensajes que recibimos (alguno ralla la ética…). Ojo, no quiero con este tipo de comentario o entrada “criminalizar” a todas las empresas que se dedican a prestar servicios SMS Premium, puesto que me consta que muchas de ellas realizan un buen trabajo y siguen los principios de la normativa de protección de datos, siendo además conscientes de la molestia que se peude generar a la persona que recibe un SMS no deseado y lo perjudicial de ese tipo de actitudes hacia su propio negocio.

Dicho lo anterior, y volviendo a la resolución de archivo de actuaciones, la Agencia, ante una denuncia de un particular por vulneración del artículo 21 de la LSSI al recibir un mensaje SMS con contenido publicitario sin que dicho envío hubiese sido previamente solicitado ni autorizado, investiga hasta encontrar la fuente original del envío del SMS. Esta investigación nos demuestra como en este tipo de servicios la cadena de la contratación es tan larga como la queramos hacer, por un parte está la entidad que “tiene” asignado el número corto, dicha entidad a su vez, aunque reconoce la asignación del número corto, reconoce que ese número está a disposición de otra empresa, que a su vez realiza (según la resolución) tareas de intermediación a otra empresa, que reconoce que a su vez realiza tareas de intermediación con una empresa con la que ha firmado un “Contrato Servicios SMS Premiun” que (cosas de la vida) se encuentra domiciliada fuera del territorio español y comunitario…

Saquen ustedes las conclusiones que consideren oportunas…

La lectura en El Pais sobre la sancion exorbitante de la AGPD a un centro medico de Bilbao, por la filtracion de 4000 expedientes ginecologicos en la red Ed2k (que no eMule) me deja una serie de preguntas que imagino que seran complicadas de responder:

1. ¿Por que la APD cada dia publica menos cosas en su web y de manera cada vez mas dificil?
2. ¿Por que siempre es La Policia Local de Ourense (aunque antes fue la Guardia Civil de Ourense, no como dice El Pais)?. ¿Para que tenemos al BIT y al GDT cuando siempre son ellos los que acaban tutelando la intimidad de las personas?. Algo debe cambiar en este terreno. Dejar de perseguir titulares y operaciones “contraelpirateo” puede ayudar.
3. Aunque, pensado de otra forma…¿que hace La Policia Local de Ourense en la mula, buscando informacion? ¿Sera para que no les pase como a Defensa?
4. ¿En cuanto e quedara la sancion final,una vez sea recurrida ante los tribunales? Se admiten apuestas.
5. ¿Para cuando un endurecimiento del regimen de los ficheros de titularidad publica? ¿Mismos datos, distintas responsabilidades y sanciones.?
6. ¿Por que alguien tan torpe como para poner los datos tan sensibles en el e-Mule tenia acceso a los mismos?

Aviso para Navegantes: EL Informe Juridico de la AGPD sobre el contenido de las historias clinicas asi como la responsabllidad de las clinicas privadas puede ayudar a evitar que sucendan este tipo de cosas.

Entra en vigor nuestro “querido” Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal. Con este motivo, la Agencia ha organizado el martes una sesión abierta donde explicará y responderá a las preguntas de los asistentes (1900, según la propia Agencia). ¡Allí nos veremos!

La Agencia Española de Protección de Datos considera infracción, en este caso leve, una situación que seguramente hayamos observado en muchísimas webs de internet, que no es otra de encontrar la casilla “recomienda a un amigo”. Esta fómula mediante la cuál una persona introduce el correo electrónico de otra para recibir información de la web es utilizada como forma de atraer de una forma fácil y sencilla usuarios a las webs. La Agencia establece en una resolución que puede ser considerada como contraria a la LSSI y por ello merecedora de sanción.

Lo curioso de la resolución es que aunque en el e-mail aparezca como remitido por “el amigo”, la Agencia se ha fijado en la IP desde la cuál se ha enviado realmente la comunicación para entender que, quien es responsable del envío, es el portal (la empresa que gestiona el portal) y como tal debe contar con el consentimiento previo de la persona que recibe el e-mail. No tiene en ningún caso en cuenta que se le de forma al que ha recibido de darse de baja ni que se cumplan con los demás requisitos exigidos por la LSSI, el simple hecho de no tener consentimiento ya es merecedor de la sanción. Pero, sigue sorprendiendo que la responsabilidad no sea de quien haya incluído el e-mail del “amigo” sino del responsable del portal donde se ofrece esta posibilidad y desde la cual (comprobada por la IP) se realiza el verdadero envío.

Me pregunto ¿sirve de algo la cláusula donde se obliga al usuario que introduce el e-mail del “amigo” de informar y contar con el consentimiento de la persona que va a recibir esa comunicación? Problema probatorio, pero claro… tal y como se ponen las cosas nada de web 2.0, redes sociales, etc. Matar el SPAM a cañonazos…

Estos días nos encontramos inmersos en la organización de Bazkaria, una jornada de networking empresarial donde intentamos reunir a profesionales y empresas del mundo de Internet y de las TICs en el País Vasco. El caso es que tras la publicación del Reglamento de Desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, aprobado por Real Decreto 1720/2007, de 21 de diciembre y el posterior Informe de la Agencia Española de Protección de Datos sobre el ámbito de aplicación a empresarios individuales y personas de contacto, podemos pensar que la base de datos de personas inscritas a una jornada como Bazkaria no tiene que cumplir con la normativa de protección de datos de carácter personal.

Las jornadas de networking pretenden, como bien indica su nombre, realizar contactos empresariales con una finalidad claramente mercantil y según una relación “Bussines to bussines”. Como la propia Agencia indica la Agencia ha venido señalando que en los supuestos en que el tratamiento del dato de la persona de contacto es meramente accidental en relación con la finalidad del tratamiento, referida realmente a las personas jurídicas en las que el sujeto presta sus servicios, no resulta de aplicación lo dispuesto en la Ley Orgánica 15/1999, viniendo el Reglamento a plasmar este principio.

Ahondando más en la materia, observamos que la Agencia en su informe establece claramente 2 requisitos para fundamentar la falta de aplicación de la normativa de protección de datos a los datos de contacto de las empresas (así como para los propiso datos de los profesionales), dichos requisitos son:

1. Los datos tratados se limiten efectivamente a los meramente necesarios para identificar al sujeto en la persona jurídica a la que presta sus servicios: Nombre y apellidos, funciones o puestos desempeñados, dirección postal o electrónica, teléfono y número de fax profesionales.
2. La inclusión de los datos de la persona de contacto debe ser meramente accidental o incidental respecto de la verdadera finalidad perseguida por el tratamiento, que ha de residenciarse no en el sujeto, sino en la entidad en la que el mismo desarrolla su actividad o a la que aquél representa en sus relaciones con quienes tratan los datos.

Por todo ello, en una jornada de networking empresarial como Bazkaria, donde lo que se busca es mantener/crear relaciones comerciales entre empresas y profesionales, debemos entender que los datos allí recabados, siempre y cuando sean referidos a los datos de contacto meramente necesarios y referenciados a las empresas que representan, están fuera del ámbito de aplicación de la normativa de protección de datos de carácter personal, puesto que es claro que el tratamiento responde claramente a relaciones “bussines to bussines” y nunca a relaciones “bussines to consumer”.