Con esta entrada damos comienzo a una serie de posts mediante los que intentaremos presentar situaciones que representan un “problema” (en el sentido más de “examen” del término) para el lector, y que a mi modo de entender pueden aportar luz sobre algunos aspectos de la LOPD. Nada complicado; realmente triviales para cualquiera que esté un poco metido en el tema.

Algunos de dichos “ejercicios” (no puedo evitar ponerlo entre comillas) estarán basados muy vagamente en ejemplos reales, y otros serán simplemente inventados; cualquier nombre de empresa que pueda aparecer es ficticio, como no puede ser de otra manera. Por último, y para finalizar este disclaimer, la solución que se propondrá (no sé aún si en el propio cuerpo pasados un par de días, en una entrada posterior o en el siguiente post de la serie) se facilita según nuestro mejor entender, sin que de ello pueda derivarse ningún tipo de responsabilidad. Dicho esto, vamos con el “problema”.

Esta mañana me he sorprendido al encontrar en mi buzón personal el siguiente e-mail (la ausencia de algunos acentos es del original):

Hace unas semanas, un conocido tecnólogo-gurú 2.0 se quejaba de que una empresa seguía mandándole correos electrónicos de publicidad a pesar de los reiterados intentos de cancelar una presunta suscripción. Como respuesta a su comentario, algunas personas le sugirieron que esa publicidad era legítima debido a que su correo estaba publicado en su blog, y por tanto en una fuente de acceso público.

Con apelar al sentido común, se da uno cuenta de que si esto fuese efectivamente así, se estaria legitimando el 95% del envío de spam; al fin y al cabo, no hay más que navegar un poco para hacerse con una cantidad nada despreciable de correos electrónicos. Pero como no quiero que se fíen de mi palabra, les muestro lo que dice el punto j) del artículo 3, “Definiciones”, de la LOPD:

Antes de que se me adelanten, creo que considerar Internet en su conjunto un medio de comunicación es algo excesivo, así que en mi opinión queda claro, ¿no?

Nada más esta vez. Buen fin de semana a todos.

-

Actualización: Se me olvidó añadir que el reglamento añade “Las guías de servicios de comunicaciones electrónicas, en los términos previstos por su normativa específica”, aunque eso no modifique el razonamiento realizado.

Después de unos días de abandono personal del blog, por cuestiones de salud y de trabajo, vengo a comentarles hoy una cuestión sobre el nuevo Reglamento de Desarrollo de la LOPD, también conocido como RDLOPD, que me parece no sólo curiosa, sino incluso fascinante. Veamos como introducción la definición de fichero y de fichero no automatizado, según el punto k) y n), respectivamente, del artículo 5:

A causa de la gestión de un proyecto europeo de protección de la privacidad de las personas y de la seguridad de sus datos en una empresa multinacional, tarea a la que llevo dedicado los últimos siete años de mi vida profesional, he tenido que estudiar las diversas leyes y normativas acerca de la protección de datos. Aunque están todas ellas basadas en la Directiva Europea y por tanto con textos legales muy similares, no sólo hay pequeños detalles que las hacen totalmente diferentes, sino que además la manera de interpretar y aplicar dichas leyes por los ciudadanos de cada país, convierten la protección de datos personales en algo muy dispar en requerimientos, riesgos y consecuencias, afectando de manera importante al coste de adaptarse a cumplirlas o simplemente ignorar que existen (ya que de todo hay en esta Unión Europea).

Si empezamos por el ámbito de aplicación, en algunos países se especifica que afecta a las personas físicas, en otros también a personas jurídicas, en otros además a todas las organizaciones legalmente establecidas, y para colmo existe un problema común ya que no hay manera de establecer el límite entre persona identificable y no identificable de una forma clara.

Seguimos a vueltas con la LOPD, que es de lo que me gusta hablar. Quizá por eso no tengo amigos… Bueno, pelillos a la mar, nosotros a lo nuestro.

Hoy quería aclarar una confusión que habitualmente existe —o existía— en relación con los niveles de seguridad de los tratamientos que se declaran a la AEPD y las medidas de seguridad que hay que aplicar a los datos que integran dichos ficheros. Aclaremos, aunque no creo que sea necesario, que cuando hablamos de “Fichero” o “Tratamiento” no lo hacemos en un sentido lógico del término, sino en un sentido más bien conceptual; tal y como indica el RD 1720/2007, un “fichero” es, según el artículo 5:

Por tanto, un tratamiento denominado “Recursos Humanos” podrá estar formado, por ejemplo, por una base de datos, un par de documentos ofimáticos, y una carpeta de expedientes en soporte papel.

No sé si han visto el telediario de Telecinco de esta mediodía. Si no ha sido así, y a falta de mayores investigaciones por parte de la AEPD y quien corresponda, el tema es para alucinar; ya verán como me dan la razón. Lo que más me ha llamado la atención era lo “normal” que parecía que algo así hubiese sucedido, como si aquello no fuese realmente con nadie (el video no incluye algunas de las entrevistas realizadas). Les anticipio un párrafo de la noticia (que es de ayer):

“El equipo de ‘Reporteros’ de Informativos Telecinco ha localizado en las inmediaciones de los juzgados de violencia de género en Madrid seis bolsas con copias de expedientes en perfecto estado de denuncias de maltrato por parte de mujeres. Dichos documentos incluyen nombres de víctimas y agresores, informes médicos y psicológicos, diligencias originales, declaraciones de las víctimas, fotocopias de sus documentos de identidad e, incluso, sus domicilios impresos en solicitudes de órdenes de alejamiento.”

En fin, disfruten con el video e intenten calcular qué repercusión económica y reputacional, entre otras, podría tener para una empresa privada algo de semejante magnitud: