Una resolución recientemente publicada por la Agencia Española de Protección de Datos relativa al tratamiento de datos sin consentimiento en una red social (Facebook) me llama la atención por el fondo del asunto analizado y también por la forma.
La Agencia acuerda iniciar procedimiento sancionador por el incumplimiento del artículo 6.1 de la LOPD, es decir, por no recabar el consentimiento inequívoco para el tratamiento de datos de carácter personal.
En cuanto al consentimiento, las condiciones generales de la red social facebook disponen que será el propio usuario el que deba recabar el consentimiento y “publicar su propia política de privacidad” indicando cómo utilizará los datos. Además, para usuarios no residentes en Estados Unidos se indica que “se encuentran trabajando para respetar la legislación local” y que das tu consentimiento para que tus datos personales se transfieran a Estados Unidos y se procesen en dicho país.
De la lectura de las condiciones generales de Facebook no he obtenido una definición clara del consentimiento y cómo actuar en caso de conflicto con otros usuarios tal y como sucede en la Resolución publicada por la Agencia. En este punto, me parece más útil acudir al perfil de la Agencia Española de Protección de Datos en Facebook para obtener unas indicaciones más precisas acerca de cómo funciona dicha red social.
Así, del aviso legal que incluye la Agencia en su perfil de Facebook se observa (entre otras cuestiones) que:
“Al hacerte fan de esta página, consientes: 1) en el tratamiento de tus datos personales en el entorno de Facebook conforme a sus políticas de privacidad; 2) el acceso de la AEPD a los datos contenidos en la lista de fans; y 3) a que las noticias publicadas sobre el evento aparezcan en tu muro.
La AEPD no utilizará los datos para otras finalidades ni para enviar información adicional. Si quieres darte de baja, sólo tienes que pinchar sobre el hipervínculo que aparece abajo a la derecha «Dejar de ser fan». Puedes ejercer los derechos de acceso, rectificación, cancelación y oposición en cualquier momento, mediante escrito, dirigido a la Agencia
Española de Protección de Datos, Secretaría General, C/ Jorge Juan n 6, 28001 Madrid o enviando un e-mail a la dirección privacyconference2009@agpd.es, acompañado de fotocopia de documento oficial que te identifique. En caso de ejercerse por correo electrónico el documento deberá firmarse digitalmente el mensaje o adjuntar un documento oficial escaneado.
En el contexto de este tratamiento debes tener en cuenta que la Agencia Española de Protección de Datos únicamente puede consultar o dar de baja tus datos como fan. Cualquier rectificación de los mismos debes realizarla a través de la configuración de tu usuario.”
En resumen, nos podemos hacer fan y ejercer nuestros derechos de acceso, rectificación, cancelación y oposición. Pero ¿Sobre qué datos y en relación a qué fichero? Luego de una búsqueda de los ficheros registrados por la Agencia ante su propio registro no he encontrado un fichero “fans”, “Facebook”, “redes sociales” o similar. Quizá encaje el tratamiento en “gestión de consultas de atención al ciudadano” o en “quejas y reclamaciones”, pero me parece forzado. En todo caso, la Agencia es una entidad que realiza un tratamiento de datos y por lo tanto debe cumplir las obligaciones establecidas en la normativa de protección de datos. Sin embargo, ¿Cómo debe actuar un particular en Facebook? ¿Debe registrar un fichero ante la Agencia? ¿Estamos ante actividades de particulares puramente domésticas de acuerdo al apartado 2.a) del artículo 2 de la LOPD? Si no es así, ¿En qué situación excede del ámbito doméstico?
Sinceramente, en este punto sigo estando como al principio, como usuario de Facebook no tengo claro qué políticas de privacidad aportar a mis contactos o fans, como los conoce la Agencia, ante un tratamiento de datos de personas físicas y en definitiva, a qué normativa acogerme ante cualquier conflicto que surja.
Volvamos a las condiciones generales de Facebook. Como hemos comentado anteriormente, al darnos de alta como usuario, damos nuestro consentimiento para que nuestros datos se procesen en Estados Unidos. Además, se indica que los conflictos habrán de dirimirse ante los Tribunales del Condado de Santa Clara, en California. De lo cual deduzco que debo someterme al “fuero” indicado por Facebook.
Sin embargo, la Agencia Española de Protección de Datos, en su perfil de Facebook incluye un aviso legal en los términos estipulados en el artículo 5 de la LOPD, con lo cual, parece aplicarse la normativa de protección de datos.
En cuanto al ámbito de aplicación de la LOPD, el artículo 2 de la Ley Orgánica regula dicha cuestión.
Tal y como se indica en las condiciones generales de Facebook no parece que el tratamiento se efectúe en territorio español (apartado a), de ningún modo parece aplicable el Derecho Internacional Público a la relación jurídica, y por último, Facebook se encuentra establecido en Estados Unidos, fuera de la Unión Europea y en mi opinión, y aquí está mi única duda, utiliza medios situados en territorio español únicamente con fines de tránsito, esto es, a través de redes de telecomunicaciones.
En conclusión, opino que Facebook queda fuera del ámbito de aplicación de la Ley Orgánica de Protección de Datos y por lo tanto, la Agencia Española de Protección de Datos no puede entrar a valorar si un usuario ha recabado el consentimiento de otras personas físicas para publicar sus datos de carácter personal y que por ende, en estos casos, procede el archivo de actuaciones. ¿Qué opináis?
Reflexiones adicionales: no he querido extenderme en el artículo pero creo que de la Resolución de la Agencia se puede extraer más jugo, por ejemplo, me sorprende la petición de la IP a Telefónica (y su posterior cesión por dicha operadora) por parte de la Agencia, a mi entender, tal y como dispone la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones en su artículo 1 apartado 1:
Artículo 1. Objeto de la Ley.
1. Esta Ley tiene por objeto la regulación de la obligación de los operadores de conservar los datos generados o tratados en el marco de la prestación de servicios de comunicaciones electrónicas o de redes públicas de comunicación, así como el deber de cesión de dichos datos a los agentes facultados siempre que les sean requeridos a través de la correspondiente autorización judicial con fines de detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales.
Dudo que la Agencia sea un agente facultado y que además haya solicitado una autorización judicial con fines de detección, investigación y enjuiciamiento de un delito grave contemplado en el Código Penal. En este sentido, considero innecesario acudir a la definición de delito grave en el CP, daremos por hecho que un “tratamiento de datos sin consentimiento” no es un delito grave.
Autor: Gonzalo Álvarez Hazas
Consultor – auditor jurídico en Protección de Datos
Perfil en Linkedin
Entre Códigos Civiles y Androides 
Interesante el artículo de Gonzalo Álvarez Hazas. La verdad es que es curiosa la utilización de las redes sociales y las Administraciones…Ya lo comentábamos en unas entradas posteriores.
La reflexión adicional, más que interesante. La verdad es que es habitual esta práctica, como también es habitual facilitar esta información por parte de la entidad requerida.
Un artículo muy muy interesante sobre un tema muy complejo. En primer lugar me gustaría comentar que habría que referirse al
Dictamen 5/2009 sobre las redes sociales en línea del GT29 (se puede consultar en http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2009/wp163_es.pdf) por dos motivos. El primero de ellos es que, si yo no lo he entendido mal, según las autoridades de control europeas, en el caso que nos ocupa, el responsable de subir la información no es Facebook, sino el usuario de Facebook que así lo hizo (otra cosa es que Facebook la hubiera utilizado para fines propios sin consentimiento o cedido a terceros igualmente sin consentimiento).
Por otro lado, si además de este documento echamos un vistazo al que publicó el GT29 sobre ley aplicable (que me estoy repasando por una presentación que tengo sobre Cloud Computing ¡Ay! –
Dictamen 8/2010 sobre el Derecho aplicable http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp179_es.pdf), el mero hecho de que Facebook introduzca cookies en nuestro ordenador se considera tratamiento utilizando medios situados en territorio europeo y dispara la aplicación de la LOPD. Sé que es un criterio «discutido y discutible» pero, en principio, todas las autoridades europeas de protección de datos parecen estar de acuerdo con él.
Gracias Emilio por tus aportaciones y por «refrescarnos» la memoria, con estos 2 Dictámenes del GT29.
Desde luego el último es bastante discutible (como también lo es para mí el de la IP con Dato de carácter personal…pero de eso ya se ha hablado bastante). Esta interpretación del GT29, supongo que viene dada para dar una «protección» a los ciudadanos europeos ante «posibles invasiones» en su privacidad por parte de entidades no comunitarias. Pero, ¿cómo lo podemos poner en práctica? ¿Facebook va a someterse a lo dictado por una Órgano Administrativo de una país europeo? ¿Cómo podemos articular mejor estas relaciones?
Saludos.
Muy interesante tu artículo, Gonzalo. Ahora bien, si me permites matizar algunas de tus afirmaciones, te comento:
– Lo primero, coincido en lo que afirma Emilio. El Dictamen 5/2009 del GT29 parece indicar que quien sube la información a la red social es también responsable. Y en idéntico sentido se pronuncia Ricard Martínez en la obra «Derecho y redes sociales», si bien va un poco más allá: define a Facebook como responsable del fichero, y al usuario que emplea la red para fines no domésticos como responsable del tratamiento. Una corresponsabilidad interesante, que parece permitir que, estando ambos en diferentes jurisdicciones, se aplique la LOPD al usuario que opera desde nuestro país.
– Cuando presta servicios hacia España, y sin perjuicio de que se le pueda aplicar la LSSI, Facebook dice someterse a la legislación irlandesa. Observa:
«El sitio web http://www.facebook.es y los servicios que incluye son ofrecidos por:
Facebook Ireland Limited
Hanover Reach, 5-7 Hanover Quay, Dublin 2 Ireland»
– Sobre el acceso a datos de tráfico, escribí algo en mi post hace casi un año que creo que te puede interesar. Mi punto de vista es algo diferente: http://leoplus.blogspot.com/2010/11/utilizar-ip-identificar-infractores.html
En todo caso, insisto, tus reflexiones me parecen de lo más estimulantes, máxime hablando de un tema tan novedoso. ¡Enhorabuena!
Gracias Leo por tus matizaciones y tus comentarios. Empiezo por el tema de la IP: He estado leyendo tu blog (al que ya seguía) y la verdad que coincido más con los compañeros David Maeztu y Álvaro del Hoyo…pero eso ya te lo podías imaginar 😉
Sin duda, recomiendo «reeler» la entrada de Leo en http://leoplus.blogspot.com/2010/11/utilizar-ip-identificar-infractores.html y sus comentarios…sin duda, enriquecedor.
Saludos.
Hola Leo, me alegra mucho encontrarnos por aquí y, sobre todo, leer tus, como siempre, interesantes e ilustrativos comentarios.
Creo que la LSSI se podría aplicar si entendemos que quien presta servicios hacia España es el establecimiento irlandés de Facebook (el que se someta a la ley irlandesa ¿implica que es desde allí desde donde se prestan servicios hacia España?) Si quien lo hace es la compañía americana u otra de fuera de la UE, creo que sería más dudoso (aunque ya confieso que no soy ningún experto en la LSSI) pero, si se aplica la LSSI ¿Sería la AEPD competente en este caso? Yo tengo mis dudas porque no se trata de lucha contra el spam…
Por otra parte, con todo mi cariño para Ricard (y también para la AEPD que lo ha puesto en circulación), lo de responsable de fichero y del tratamiento es un «invento» español que no tiene base en la Directiva que no distingue entre ambos salvo en el caso de los manuales. Si ha de haber responsabilidad compartida, lo que habrá serán dos responsables del mismo tratamiento o de partes distintas de un tratamiento específico. El resultado final, probablemente, sería el mismo, pero conceptualmente creo que es más elegante. De todas formas, para la determinación de quien es el responsable creo que lo mejor es referirse al documento del GT29 y a los criterios que allí se incluyen (con alguno de ellos no estoy de acuerdo al cien por cien pero ¡Qué le vamos a hacer! Ocurre tantas veces con tantas cosas…)
Y lo que te quiero agradecer mucho es tu análisis sobre la necesidad de orden judicial para el acceso a la dirección IP. Me ha parecido muy esclarecedor en un tema muy esipinoso.
¡Un abrazo!
Antes de continuar el debate, recordaros que el Autor no soy yo…sino mi compañero y amigo Gonzalo Álvarez Hazas…sin duda un crack en generar debates!!!
Buenos días:
Algunos comentarios:
El contenido y alcance del Aviso Legal que la propia AEPD utiliza en su página de facebook aporta un poco de luz.
Por un aparte, se refiere indirectamente a esa figura tan poco reconocida, pero debidamente enumerada por la LOPD y su Reglamento: El responsable del TRATAMIENTO.
¿Cómo habría de actuar la AEPD si en el entorno Facebook ni pincha ni corta? Sabe que trata datos, pero no puede decir que jurídica ni operativamente sea responsable de un FICHERO; porque sabe (para empezar) que no puede decidir realmente sobre el uso o destino de los datos (eso, como bien sabemos, lo maneja FB).
Por otro lado, ¿exactamente en qué sistema de información debería un «responsable» con página de FB implementar las medidas de seguridad que define el RLOPD?
¿En las de FB?
Creo que eso no podrá ser…
¿En su propio SSII? ¿Por qué, si en principio los datos son guardados por FB?
Otros ejemplos podrían enumerarse, pero creo que resulta evidente que el titular de una página en FB (sea la AEPD, o sea Bodegas José, SL) no puede considerarse responsable de un FICHERO con motivo de este tratamiento. Otra cosa es que cualquiera de estas dos entidades utilicen (mediante copia, por ejemplo) los datos obtenidos a través de redes sociales para otras finalidades que la relación a través de la página de fans de FB.
Con lo dicho anteriormente, no quiero decir que esté 100% convencido que a FB no se le aplique la LOPD.
Sobre ese tema, áun tengo que pensar y estudiar antes de pronunciarme como usted ya lo ha hecho, Don Gonstzal.
Saludos,
@hectorguzmanmx
Si no recuerdo mal mis clases de consumo, como consumidor de un servicio cualquier remisión a fuero distinto del de mi domicilio se considera como cláusula nula conforme la ley de protección de consumidores y usuarios, así que salvo que actúe como empresa los tribunales de Santa Clara no tiene nada que decir al respecto.
Hola a todos, la verdad es que, sin decantarme por ninguna de las teorías expuestas (aunque todas ellas están perfectamente fundamentadas), creo que un tema preocupante es la inseguridad jurídica, en la práctica, que produce la falta de un enforcement real en esta materia. Quiero decir, podemos defender determinadas posturas de aplicabilidad / no aplicabilidad de una determinada norma española o en concreto la LOPD a, por ejemplo, Facebook Ireland o Facebook USA. Pero, ¿creéis que realmente tenemos herramientas de «law enforcement» que nos permitan llegar de la ley al castigo (si hubiera causa) en casos como este?
Saludos,
Javier
Buenas,
En primer lugar, muy interesante post, así que aprovecho para darle mi enhorabuen a su autor.
Por lo que a mí respecta sobre este tema, me gustaría incidir, como bien dice Javier Carbayo, en los temas de inseguridad jurídica. Así que:
– Así que si estamos en los supuestos del 2.2 del RD no se aplica la protección de datos, ergo, podemos publicar los datos tranquilamente en Internet…
– Pero si me hago una foto en el ámbito doméstico con «X» y la publico en el caralibro, «X» me puede caer una multa.
O sea, que al primer supuesto de exclusión, se excluye para siempre. Y al segundo, no.
Si no excluyo el segundo, la LOPD parte para su aplicación de la existencia del ficherito correspondiente, entonces ¿cada usuario del caralibro tiene que registrar un fichero? Pero, ¿no es una finalidad doméstica que lo que allí se publique?
O…hablamos de la aplicación de los principios de protección de datos pero sin ficherito?
Cada vez más, la publicación en Internet me suscita más dudas, teniendo en cuenta el régimen jurídico existente (ésto da para varios posts)
Salu2.
Hola a todos y gracias por dar vuestros puntos de vista:
Quizás las claves las tengamos en dos puntos:
– Como comentaba Javier Carbayo el problema es de «law enforcement». ¿Que mecanismo tengo yo, para, por ejemplo, pedir la cancelación de mis datos a una empresa en USA, que no hace un tratamiento de datos en la UE? o ¿Que mecanismo tengo yo para negarme que una empresa de USA ceda datos a su Gobierno en virtud de su «Patriot Act»?
– Quizás, con el tema del «Caralibro» nos estamos «centrando» en demasía en la LOPD, pero quizás la Ley Orgánica 1/1982, de 5 de mayo, de Protección Civil del Derecho al Honor, a la Intimidad Personal y Familiar y a la Propia Imagen, sea el mecanismo más adecuado vía «protección civil» pero claro, igual si somos usuarios del «caralibro» hemos autorizado expresamente la posibilidad de publicar imágenes mías..
Saludos.
En líneas generales, coincidimos bastante con lo que comenta Héctor. Si os interesa, podéis ver cómo lo estamos orientando en la práctica en la página de Audens en Facebook (tenéis que hacer clic en «ver más», dentro del apartado «información general», para que se despliegue el texto completo).
Un saludo.
Buenas:
Deberíamos diferenciar dos cosas:
1º. Si al tratamiento de datos que realiza FB se le aplica la normativa española de protección de datos.
Aquí, podéis citar los dictámenes, informes, etc… que queráis pero la realidad es que, diga lo que diga una ley española como la LOPD o la LSSICE, las autoridades de nuestros país tienen muy difícil hacerla cumplir fuera de nuestras fronteras.
Ya hay problema con el exequatur en relación a sentencias de órganos jurisdiccionales para asuntos sobre los que existe mayor consenso y que son más trascendentales que la protección de datos… En Internet, los problemas de jurisdicción y ley aplicable no está resueltos. Siguen igual desde el asunto Yahoo. Y ahora además se han complicado porque intentamos extender la legislación de un estado a un plataforma privada (FB no es Internet, es una red social privada que pertenece a una empresa americana…Si el dueño se cansa, la cierra…)
Facebook va a cumplir la Ley de Estados Unidos porque es el Estado que puede ejecutar sentencias sobre él. En los países en los que quiera abrir sede negociará, y si no le conviene, se irá.
2º. Si se aplica la LOPD a una empresa española que abre un perfil profesional en FB que se dirige, fundamentalmente, a residentes en España.
Aquí, con la misma interpretación práctica de arriba os diré que lo mejor es cumplir, en la medida de los posible, la ley del país de residencia. Eso sí, en este caso, no deberíamos considerar a la empresa responsable del fichero (porque no tiene capacidad de decisións sobre el mismo) sino responsable del tratamiento. Ese creo que es más o menos el criterio que sigue la AEPD y que se demuestra en que no menciona que los datos se incluirán en un fichero en su aviso de FB.
La recomendación para un cliente es hacer un tratamiento leal y legítimo de los datos de sus fans. No extraerlos de la plataforma, no ser pesados enviando publicidad, no publicar fotos sin su consentimiento, realizar un mínimo control de los comentarios…En fin, actuar con sentido común y de buena fe.
Buena diferenciación Ad Edictum. Está claro que a FB, Google o Microsoft será difícil pillarles (vermos en que queda la lucha entre AEPD-Google-AN), pero a veces se les pilla.
En el segundo caso, la figura del responsable de tratamiento, puede ser la vía, pero a mí me cuesta mucho justificar esta figura y deslindarla del responsable del fichero.
Saludos
¡Qué debate tan interesante! Y yo perdiéndomelo…
Coincido bastante con lo dicho por Leo y por Ad Edictum. Como tuve la oportunidad de comentar con el primero de ellos la empresa o el particular a quien no se aplique la exención doméstica (que cada vez son más) tiene una herramienta que él usa pero sobre la que no tiene capacidad de maniobra y eso plantea varios obstáculos. Por ejemplo ¿cómo podría exigírsele que adopte las medidas de seguridad necesarias si no tiene control ni un mínimo acceso a la estructura del fichero o medios que posibiliten tal adopción?
Por tanto, la solución aportada de diferenciar entre responsable del fichero y responsable del tratamiento (con sus ciertas distinciones en cuanto a las obligaciones a exigir a cada uno) me resulta, hasta ahora, la solución más práctica. Para redes sociales y para blogs (sobre lo que espero hablar en breve en el mío, jeje).
Habláis, o hablamos pues, de LOPD y LSSI y de su posible aplicación al responsable del fichero, ISP radicado fuera de España y Europa, y responsable del tratamiento con sede en España. Pero no podemos olvidar además que la identidad del responsable del tratamiento no está autenticada, y no poder exigir responsabilidad al ISP según la LSSI, va a suponer además, en muchos casos, mayor traba a la hora de poder actuar contra el responsable del tratamiento, sobre todo si éste lo es un particular a quien no pueda aplicarse la exención de uso doméstico.
Os felicito a todos por vuestros comentarios, muy enriquecedores.
Saludos.
Gracias por tus comentarios Ruth!!