Como adelantamos en el anterior post, ayer tuvo lugar la jornada práctica organizada por S2 Grupo y Equipo Marzo, en la que diversos expertos comentaron los cambios legislativos más recientes en materia de Seguridad de la Información: LOPD, LISI y LSSICE. Como no podía ser de otra forma, a lo largo de esta y posteriores entradas comentaremos aquellos aspectos de cada conferencia que nos parecieron más reseñables; les invito a comentar todos aquellos aspectos que les parezcan interesantes o que incluso yo no pude captar. Para información más “oficial”, pueden consultar la web de la jornada en http://www.seguridad2008.es, de donde ya es posible descargar las presentaciones de las ponencias y realizar preguntas a los ponentes.
Si asistieron ustedes ayer a la charla del Sr. Rubí, Director General Adjunto de la AEPD, o han asistido a alguna en el pasado, sabrán lo difícil que puede resultar resumir una de sus ponencias, por el volumen y densidad de la información que proporciona, y la velocidad a la que lo hace; eso hace que sus conferencias sean extremadamente esclarecedoras en muchos aspectos interpretables de la aplicación de la LOPD y el RMS (¿llamado ahora RLOPD?), pero dificulta enormemente tomar notas; no es el lugar ni el momento para levantar la mano y decir aquello de “¿Por favor, podría ir un poco más despacio?”.
Puesto que como he indicado, no puedo proporcionarles una transcripción exacta de su conferencia, en la que dió un exhaustivo repaso al nuevo reglamento y a algunos de los criterios que se han seguido en su elaboración —dudas planteadas por la Comisión Europea, incorporación de política legislativa como protección de menores o la violencia de género, u omisiones como los ficheros no automatizados, entre otros—, intentaré reseñar algunos de los puntos que personalmente me parecieron más interesantes. Tengan presente que, en la línea de la propia agencia, la información que les proporcionaré a continuación es no vinculante, ha sido elaborada por mí a partir de lo escuchado en la citada conferencia y es por tanto susceptible de —espero que no— contener errores de interpretación o transcripción de lo dicho por el Sr. Rubí, por lo que no me hago responsable de posibles daños o perjuicios que puedan derivarse de su utilización. Sirva eso como disclaimer previo.
Uno de los primeros aspectos mencionados fue en referencia al ámbito de aplicación del reglamento, y en particular, con los puntos 2.2 y 2.3:
3. Asimismo, los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros, también se entenderán excluidos del régimen de aplicación de la protección de datos de carácter personal.
Al respecto, el Sr. Rubí recomendó tomar este punto con cierta prudencia, y no lanzarse a la eliminación de tratamientos de proveedores, debido a que tal y como se menciona, existe un límite muy concreto en el número de campos y en su finalidad; si en dicho fichero hay datos económicos, o DNIs de nuestros proveedores, éstos deberán ser declarados como datos de carácter personal, por lo que resulta más sencillo mantener el fichero declarado que estar constantemente mirando con lupa qué incluímos y qué no.
Otro aspecto interesante que se comentó fue la interpretación de datos de salud, y en especial, aquellos que se consideran fronterizos, como puede ser un porcentajes de minusvalía, o la mera declaración de una lesión, sin entrar en cuestiones de diagnóstico. Es interesante mencionar el caso Lindqvist, en el que una catequista mantenía una página web que contenía información personal de amigos y familiares, y en relación con lo que nos atañe, hacía mención a una baja laboral por lesión de un pie (más información, aquí y aquí) de una compañera; en este caso, el tribunal declaró que “[…] the fact that an individual has injured her foot and is on half-time on medical grounds constitutes personal data concerning health” (en una entrada futura analizaremos de qué manera influye esto en la información de carácter personal que se vierte el blogs personales). Siguiendo esta sentencia, el Sr. Rubí indicó que la agencia había estimado que la interpretación del concepto de dato de salud debe ser realizada de una manera expansiva, de modo que cualquier mención a cuestiones de salud debe considerarse por tanto un dato de salud y en consecuencia de nivel alto.
Un aspecto mencionado por el Sr. Rubí y a descatar en el nuevo reglamento es la exclusión del ámbito de la LOPD de aquellos datos en soporte papel (tratamientos no automatizados) que no se encuentran estructurados. En efecto, atendiendo al texto del RLOPD y a la definición de fichero no automatizado:
podemos deducir que todos aquellos datos en soporte papel que se encuentren “desestructurados” no están incluídos del ámbito de la LOPD. Al respecto, el ponente hizo referencia a una sentencia que desestimaba una denuncia ya que pudo comprobarse que los DCP a los que hacía ésta referencia se encontraban en una nave industrial, apilados en cajas y sin ningún tipo de mecanismo, criterio o medio de búsqueda o análisis. A pesar de ello, y esto es una apreciación personal, recomiendo que este tipo de cuestiones se tomen desde un punto de vista conservador; ¿qué es exactamente un esfuerzo desproporcionado? ¿Y un criterio específico? Un archivador de papel metálico de 2×2 metros con la leyenda “Expedientes 2007”, ¿es un criterio suficiente como para considerarlos estructurados? Por otro lado, si esos datos no estructurados son accesibles posteriormente por un tercero que los organiza y clasifica, ¿quién es el Responsable del Fichero? ¿Cómo se califica el tránsito de esos datos no estructurados desde el dueño del dato (la persona) a un tercero que no fue el receptor inicial, ya que no es una cesión? Por estas y muchas razones, y debido a las diferentes interpretaciones, recomiendo que se adopten criterios conservadores en referencia con este tipo de aspectos.
Y enlazando con este punto, el Sr. Rubí vino a comentar los dos criterios que se tienen en cuenta para considerar un esfuerzo desproporcionado: plazo, entendido como tiempo necesario para asociar los datos con las personas, y complejidad de las actividades a llevar a cabo. No obstante, y en la línea de la agencia, aunque esto da una pequeña idea, tampoco aclara de manera definitiva qué es exactamente un esfuerzo desproporcionado, por lo que sigo recomendando a título personal adoptar medidas conservadoras.
Este mismo sentido de proporcionalidad fue mencionado en referencia con los menores, cuyo límite lo establece la agencia en 14 años. Al dirigirse a un menor, el Responsable del Tratamiento deberá articular un procedimiento que garantice que se verifica la edad del menor, pero de una manera proporcional; por tanto, si se considera que ha existido una voluntad y diligencia suficiente en la verificación de la edad, no hay lugar a la penalización, puesto que se considera imposible verificar en todos los casos y sin ningún género de duda que el receptor de la información es un menor.
Una modificación de menor importancia pero que puede significar mucho en ciertos casos, y que equipara los plazos de ejercicio de derechos ARCO de los ficheros de carácter público y privado es la consideración de los plazos en días hábiles, y no naturales, como era el caso del anterior reglamento. Se consideran además ficheros de titularidad pública únicamente aquellos cuya finalidad sea exclusivamente pública, aunque esto parezca una verdad de perogrullo; por tanto, los tratamientos declarados por entidades de financiación pública pero cuyo ámbito sea el privado y no estén contempladas como Administración deben considerarse de titularidad privada, con lo que ello implica: ventajas en su declaración y modificación, y desventajas en la forma de penalización (económica, en este caso). No se me ocurren demasiados ejemplos, pero algunos de ellos podrían ser fundaciones o museos, entre otros.
Otro aspecto que se destacó, que muchos de ustedes seguramente hayan comprobado personalmente, que está a la orden del día y es uno de los ejemplos de violación de la LOPD que utilizamos en nuestras sesiones de formación es la necesidad de que las solicitudes de consentimiento vayan separadas de la finalidad del contrato general. Dicho de otra forma, la leyenda habitual de consentimiento de tratamiento de datos no puede ir asociada a la firma de la prestación del servicio, sino que debe ser independiente; la firma de formalización de una hipoteca o de un servicio de telefonía móvil no puede ser la que establece además el consentimiento del cliente para el tratamiento de sus datos. En este sentido, el Sr. Rubí indicó que la agencia recomienda la introducción en los contratos pertinentes de dos casillas sin marcar, ajenas a la firma del contrato, en las que se solicita el consentimiento al cliente.
En la ponencia también se comentaron ciertos aspectos que se plantean con frecuencia en relación con las prestaciones de servicios, y que se han incluído en el nuevo reglamento (Artículo 20. Relaciones entre el responsable y el encargado del tratamiento). En primer lugar, y como parece lógico, el hecho de que una prestación de servicios sea gratuita no implica que esté exenta de cumplir la LOPD. En segundo lugar, y esta es una cuestión que surge a menudo en relación con servicios médicos internalizados, si durante la prestación de un servicio el prestador establece un vínculo independiente con el dueño del dato sin que medie consentimiento expreso del dueño de éste, entonces no puede considerarse una prestación de servicios, sino una cesión de datos; tomando el propio ejemplo del Sr. Rubí, consideren una empresa aseguradora que le ofrece a sus clientes una tarjeta de crédito utilizada para el descuento de carburante; aunque dicha tarjeta lleve el anagrama de la aseguradora, crea una relación entre el dueño del dato y el emisor de la tarjeta ajena al propósito de la prestación inicial, y que vinculan al titular del dato con la empresa prestadora del servicio y emisora de la tarjeta de manera independiente; no puede por tanto ser considerada una prestación de servicios en el sentido que la LOPD entiende este papel. La pregunta por tanto que puede servir de guía de cara a detectar cesiones es si, tras la finalización de la relación entre el dueño del dato y el responsable del tratamiento, el dueño del dato continúa o podría continuar teniendo relación con la empresa prestadora de servicios. Si la respuesta es sí, estaríamos hablando de una cesión; en caso contrario, de una prestación de servicios. En tercer lugar, como indica el artículo 20.3, el nuevo reglamento admite que en ciertas circunstancias se lleve a cabo la transferencia directa de datos entre dos prestadores de servicios:
Como ejemplo, considerese un servicio de alojamiento y gestión de bases de datos que cambia de proveedor. Resultaría absurdo y poco eficiente que el prestador del servicio “devolviese” los datos a su responsable y éste entonces se los proporcione al nuevo Encargado del Tratamiento. A todos los efectos, las tres partes acceden a los datos, por lo que resulta más lógico que sea la empresa contratada inicialmente, y siempre “previa indicación del responsable”, la que transmita los datos al nuevo prestador del servicio, siempre velando por mantener las medidas de seguridad necesarias.
Siguiendo con los encargados del tratamiento, el nuevo reglamento también aclara la política de retención de datos de las empresas prestadoras de servicios: pueden mantener los datos para posibles necesidades derivadas en un futuro (inspecciones laborales o fiscales, reclamaciones sobre acuerdos de servicio surgidas tras la finalización de éste, investigaciones policiales, etc), pero han de bloquearlos y sacarlos del flujo de información habitual. De nuevo, ¿qué significa exactamente “bloquear” un dato?
En respuesta a una de las cuestiones sobre transferencia internacional de datos, habitual en grupos de empresas multinacionales, el Sr. Rubí hizo mención a las BCR (Binding Corporate Rules) como posible alternativa que se plantea a la autorización por parte del Director de la Agencia de Protección de Datos; el consentimiento del dueño del dato se considera asimismo como una opción válida para la transferencia internacional de datos. Para más detalles sobre las BCR, he localizado la siguiente presentación de la AEPD, a cargo de Agustín Puente Escobar, Jefe del Gabinete Jurídico de la AEPD.
Otro aspecto que surgió y que, aunque esté mal que yo lo diga, el departamento de consultoría de S2 Grupo lleva un tiempo contemplando, es la escabrosa cuestión de las Intranets corporativas, susceptibles de contener todo tipo de datos sobre sus empleados, por ejemplo a través de foros o tablones de anuncios. El Sr. Rubí aclaró que tanto esta información como aquella sobre familiares, amigos u otras personas ajenas al ámbito corporativo que puedan aparecer en agendas corporativas o profesionales están bajo el ámbito de la LOPD, y por tanto sujeta a las mismas medidas que el resto de datos. Esto limita claramente el ámbito personal al exclusivamente privado, y hace necesaria más que nunca la elaboración de políticas y circulares que deben ser entregadas al empleado (con acuse de recibo), donde se le informe de las obligaciones y responsabilidades que tiene en el ámbito corporativo (aunque quede claro que dicha circular no exime a la empresa de responsabilidad sino que en todo caso puede actuar de atenuante en caso de inspección por la AEPD).
Para acabar, y en respuesta a otra de las preguntas realizadas, se aclaró que una empresa no puede inscribir a una persona en un registro de impagados antes de que se resuelvan las posibles reclamaciones que se estén llevando a cabo (p.ej. a través de una Junta Arbitral). De lo contrario, se puede iniciar un procedimiento sancionador, entendiendo la AEPD que el dato registrado (el ser moroso) no es veraz. Esto es, tal y como expresó, lo que ha convertido a las telecos en las principales destinatarias de las sanciones de la agencia.
Por supuesto, la conferencia tuvo mucho más contenido que lo reflejado anteriormente, pero como les comenté al principio, no resulta fácil captar todos los datos y matices que el Sr. Rubí realiza en sus conferencias. Espero que al menos, les haya servido como punto de partida, y espero sinceramente sus comentarios en relación con los comentarios del Sr. Rubí, así como con posibles apreciaciones u opiniones que haya podido expresar.
Corroboro lo apuntado sobre la cantidad de información y ejemplos que el Sr. Rubí da siempre en sus ponencias.
En relación a la comprobación de la veracidad de los datos a través de internet creo que es harto complicado, salvo que utilicemos certificados digitales.
La semana pasada me comentaban el caso de una entidad financiera que, a través de una página web, ofrecía la posibilidad de contratar una tarjeta de crédito. En dicha página se le preguntaba al potencial cliente si era mayor de edad. Se dió el caso de que un menor cumplimentó los datos del formulario contestando, por supuesto, que era mayor de edad. Cuando un día su padre al abrir el buzón encontró una carta, dirigida a su hijo pequeño, que contenía una tarjeta de crédito interpuso una denuncia ante la AEPD que le costó a la entidad financiera 60.000 euros.
¿Cómo se interpreta lo de que se verifique la edad, pero de una manera proporcional?
Hola, un par de preguntas:
¿hubo algún comentario acerca de si las direcciones IP debían considerarse datos de carácter personal? Existe mucha discrepancia sobre este asunto y casi todo el mundo suele interpretar un “depende del caso” pero echo de menos una respuesta más formal.
Por otra parte y aunque se sale del ambito de la LOPD, la Ley de Firma Electrónica establece que para que una firma sea válida debe haber un tercero de confianza, reconocido por las partes (Autoridad de Confianza, por ejemplo), tener un certificado válido (que no haya expirado, y otras cosas),etc. ahora yo me pregunto, un documento firmado electrónicamente con un certificado válido durante los siguientes 2 años (esto se podría hacer con el e-dni perfectamente), ¿seguirá siendo válido cuando expire ese certificado, o será necesario volver a firmarlo?
Enhorabuena por el bloq y gracias de antemano.
Saludos
Respecto al certificado, entiendo que el documento firmado seguirá siendo válido, por haber sido firmado por un certificado válido en el momento de la firma, aunque esto es sólo una suposición. Tampoco tendría mucho sentido tener que ir firmando de manera retroactiva todo lo que has firmado anteriormente cada vez que un certificado expire.
Respecto a la dirección IP, entramos en el campo de lo proporcional o no proporcional a la hora de “persona identificada o identificable”. Para un proveedor de accesos (una teleco, vaya) es sin duda un DCP, mientras que para una empresa que tiene un registro de accesos de un servidor web de una página corporativa plana sin que ésta ofrezca servicios adicionales a los meramente informativos, seguramente considerarlo un DCP es hilar muy fino. Como en otras tantas cosas, es un tema muy interpretable.