Iurismatica - Derecho TICs

Estos días nos encontramos inmersos en la organización de Bazkaria, una jornada de networking empresarial donde intentamos reunir a profesionales y empresas del mundo de Internet y de las TICs en el País Vasco. El caso es que tras la publicación del Reglamento de Desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, aprobado por Real Decreto 1720/2007, de 21 de diciembre y el posterior Informe de la Agencia Española de Protección de Datos sobre el ámbito de aplicación a empresarios individuales y personas de contacto, podemos pensar que la base de datos de personas inscritas a una jornada como Bazkaria no tiene que cumplir con la normativa de protección de datos de carácter personal.

Las jornadas de networking pretenden, como bien indica su nombre, realizar contactos empresariales con una finalidad claramente mercantil y según una relación “Bussines to bussines”. Como la propia Agencia indica la Agencia ha venido señalando que en los supuestos en que el tratamiento del dato de la persona de contacto es meramente accidental en relación con la finalidad del tratamiento, referida realmente a las personas jurídicas en las que el sujeto presta sus servicios, no resulta de aplicación lo dispuesto en la Ley Orgánica 15/1999, viniendo el Reglamento a plasmar este principio.

Ahondando más en la materia, observamos que la Agencia en su informe establece claramente 2 requisitos para fundamentar la falta de aplicación de la normativa de protección de datos a los datos de contacto de las empresas (así como para los propiso datos de los profesionales), dichos requisitos son:

1. Los datos tratados se limiten efectivamente a los meramente necesarios para identificar al sujeto en la persona jurídica a la que presta sus servicios: Nombre y apellidos, funciones o puestos desempeñados, dirección postal o electrónica, teléfono y número de fax profesionales.
2. La inclusión de los datos de la persona de contacto debe ser meramente accidental o incidental respecto de la verdadera finalidad perseguida por el tratamiento, que ha de residenciarse no en el sujeto, sino en la entidad en la que el mismo desarrolla su actividad o a la que aquél representa en sus relaciones con quienes tratan los datos.

Por todo ello, en una jornada de networking empresarial como Bazkaria, donde lo que se busca es mantener/crear relaciones comerciales entre empresas y profesionales, debemos entender que los datos allí recabados, siempre y cuando sean referidos a los datos de contacto meramente necesarios y referenciados a las empresas que representan, están fuera del ámbito de aplicación de la normativa de protección de datos de carácter personal, puesto que es claro que el tratamiento responde claramente a relaciones “bussines to bussines” y nunca a relaciones “bussines to consumer”.

Son muchas las veces que se nos pregunta sobre la forma de actuar ante los agujeros de seguridad, siempre desde la posición del usuario de Internet que navegando por alguna web, observando el código fuente detecta un grave agujero de seguridad que nos da acceso a la base de datos de la empresa, a los datos de los usuarios registrados o cualquier información que, se supone, que el responsable de la página web, haya querido mantener en “secreto”. (Dejando de lado que la mayor máxima que puede haber en seguridad es que si no quieres que se revele mejor no decírselo a nadie, o llevado al mundo de Internet, si quieres proteger algo realmente mejor que no esté conectado a Internet). ¿se pueden publicar esos agujeros de seguridad? ¿podemos revelar lo que hemos descubierto? ¿qué podemos hacer?. Quizá la respuesta la de la conciencia de cada uno, desde los que informan al responsable del portal, los que directamente lo denuncian o los que lo publican. Veamos que dice la legislación:

Si acudimos al Código Penal, su artículo 197, establece que:

2. Las mismas penas se impondrán al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Iguales penas se impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero.

Como observamos el Código Penal ya está castigando el simple acceso sin autorización a datos de carácter personal, así que la primera recomendación que podemos realizar es que lo mejor que se peude hacer es no ir más allá, es decir, no profundizar más en el agujero de seguridad observado que nos permite acceder a la base de datos de usuarios. Por supuesto, NO PUBLICARLOS en Internet puesto que el mismo artículo va más allá y castiga la revelación de los datos:

3. Se impondrá la pena de prisión de dos a cinco años si se difunden, revelan o ceden a terceros los datos o hechos descubiertos o las imágenes captadas a que se refieren los números anteriores.

Quizá en este caso el juzgado archive el caso, pero aún y todo también tendrá que tener en cuenta la normativa de protección de datos, puesto que como publica Samuel Parra, la AGPD ha sancionado con 300.000 Euros a un particular que publicó datos en Internet (en este caso, como bien apunta David Maeztu, no se dice de donde se sacaron los datos, detalle que considero importante).

Por lo que puede parecer el que descubre el agujero de seguridad tiene mucho que perder, y ¿el responsable del portal? El responsable del portal debe tener en cuenta la normativa de protección de datos de carácter personal que establece como principio la seguridad de los datos en su artículo 9:

1. El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

Pudiéndose sancionar como infracción grave:

d) Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave.

Es decir, al responsable del portal como responsable (o encargado) del fichero podrá ser sancionado con una multa de 60.000 Euros como mínimo.

Actualización: La Agencia de Protección de Datos acaba de publicar una resolución sobre lo comentado: Sanciona con 60.010 Euros a Telefónica de España (antigua TERRA) por infracción del principio de seguridad.

El pasado 7 de marzo el BOE publicaba la Resolución mediante la cuál la Agencia Española de Protección de Datos aprobaba su “carta de Servicios”. Como la propia Agencia informa la Carta de Servicios es un documento que constituye el instrumento a través del cual los Órganos, Organismos y Entes Públicos y otras Entidades de la Administración General del Estado informan a los ciudadanos y usuarios sobre los servicios que tienen encomendados, sobre los derechos que les asisten en relación con aquellos y sobre los compromisos de calidad en su prestación. Su origen está vinculado a conseguir la mejora de los servicios públicos atendiendo a las demandas de los ciudadanos. En base a estas consideraciones se dictó el Real Decreto 951/2005, de 29 de julio, por el que se establece el marco general para la mejora de la calidad en la Administración General del Estado. En este sentido, la Agencia Española de Protección de Datos ha decidido incorporarse a la consecución de estos objetivos, razón por la cual se elabora la presente la Carta de Servicios.

Hace unas semanas la Entidad Pública Empresarial Red.es envió una comunicación a los Agentes Registradores sobre “Consideraciones Generales acerca del cumplimiento de la Ley Orgánica de Protección de Datos de Carácter Personal”. En la comunicación Red.es recordaba a los Agentes Registradores los principios de calidad de los datos, cancelación y demás obligaciones de la normativa. Seguramente dicha comunicación se ha haya producido por algún incumplimiento de la normativa de protección de datos y algún exceso realizado con los datos públicos del Whois. ¿Cómo afecta la normativa de protección de datos al Whois?

Primeramente debemos explicar para los no iniciados que por “whois” se entiende actualmente la base de datos de acceso más o menos pública (dependiendo de la entidad registradora y del tipo de dominio al que nos estemos dirigiendo) en la que aparecen los datos del titular del nombre de dominio, así como los datos de contacto técnico, administrativo y de facturación de dicho nombre de dominio. En la actualidad continuamos con la discusión sobre la necesidad de su acceso público o no, pero eso lo dejamos para otros comentarios. Lo importante es la regulación que se ha dado al whois para los nombres de dominio “.es”.

A falta de una regulación específica sobre el Whois del “.es”, nos puede servir el aviso legal que deben incluir los Agentes Registrdores según el contrato firmado con Red.es:

Esta Entidad observará en el tratamiento de los datos personales del solicitante lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y normativa de desarrollo, sin utilizarlos para finalidades distintas de las previstas en las normas que rigen la asignación de nombres de dominio bajo el “.es” y en el presente contrato. Se le informa de que la asignación del nombre de dominio requiere necesariamente que los datos personales del solicitante sean publicados en la Base de Datos del Registro de nombres de dominio bajo “.es” accesible al público a través de Internet. Con la firma del presente documento, el solicitante presta su consentimiento para dicha comunicación y tratamiento, incluyendo la publicación de sus datos personales en la Base de Datos del Registro de nombres de dominio bajo “.es”.

Por consiguiente, existe un fichero denominado Base de Datos del Registro que será accesible al público a través de Internet, si hacemos una búsqueda en la aplicación de la Agencia Española de Protección de Datos nos encontramos que Red.es ha creado una Base de Datos:

Una vez detectado el fichero, se debe aclarar si el término accesible al público se acoge al término de fuente accesible al público de la LOPD, Art. 3 (no haremos referencia a la definición que recoge el real Decreto 1720/2007, puesto que no aporta nada nuevo, exceptuando el tema de las guías de servicios de comunicaciones electrónicas, está por ver si realmente no vulnera la Ley Orgánica):

j) Fuentes accesibles al público: aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación.

Por ello la base de datos del Whois no se puede considerar una fuente accesible al público, su única finalidad es conocer la titularidad de un dominio, con lo que para realizar cualquier acción de envío de comunicaciones comerciales, cesión de los datos, etc. deberemos en todo momento contar con el consentimiento del afectado e informarle sobre la finalidad de la utilización de los datos, la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición, etc.

Ha tardado unos cuantos días pero por fin hoy se ha publicado el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Ahora toca estudiarlo en profundidad…