La verdad detrás del (falso) ultimátum de la AEPD

[N.d.E: Pablo Fernández Burgueño nos ha pedido por Twitter que hagamos algunas modificaciones al post, dado que el punto de partida de éste eran en gran parte sus declaraciones al medio digital, que habían sido mal recogidas por el periodista y en realidad éste no dijo. Las modificaciones realizadas aparecen en color rojo -inclusiones- o tachadas -eliminaciones-. En cualquier caso, hemos decidido mantener el resto del contenido del post como mero ejercicio de análisis, siempre dejando claro que tras la corrección, el punto de partida es una hipótesis y no las -mal recogidas- declaraciones de Pablo Fernández].

 

aepd

Hace unos días, un amigo se quejaba de las trabas que desde los tribunales y las entidades gubernamentales se ponen constantemente a actividades como compartir información en Twitter. Esto surgía a partir de una noticia en El Confidencial, en la que se mencionaba que la AEPD había amenazado con un ultimátum a las empresas españolas a propósito de la anulación del acuerdo de Puerto Seguro, de cuya sentencia ya hablamos aquí en su día.

El titular es el de arriba y, (esto es mi opinión personal) en la línea habitual de El Confidencial, que  a veces se pasa de sensacionalista, empieza diciendo que (al loro):

La Agencia Española de Protección de Datos (AEPD) ha dado un ultimátum a las empresas españolas tras el fallo del Tribunal de Justicia de la Unión Europea del pasado mes de octubre. Todas aquellas que utilicen plataformas tecnológicas que realicen transferencias de datos de ciudadanos europeos a terceros países (incluido EEUU), como por ejemplo Dropbox, Google Drive o MailChimp, tienen hasta el 29 de enero para cumplir con la nueva normativa o ser multadas.

La negrita es mía. Lo peor de todo es que un abogado entraba al trapo y por lo visto, en otra página había dicho lo siguiente, que continúa con el alarmismo y habla de trámites que parecen cuanto menos complicados. (Tras las aclaraciones de Pablo Fernández, la cita sería algo similar a lo siguiente, que en este caso sí tiene todo el sentido del mundo):

Según ha explicado a Teknautas el socio del despacho de abogados Abanlex, Pablo Fernández Burgueño, «si una empresa española usa, por ejemplo, un widget de Twitter en su página web o ha subido a su perfil de Facebook fotografías en las que aparezcan personas identificables como las sus empleados, podrá solicitar la autorización del Director de la Agencia Española de Protección de Datos. Para ello tendrá que presentar antes del 29 de enero un escrito de solicitud, el contrato empresa-Twitter firmado por ambas partes y una traducción jurada al español, y poderes suficientes de los firmantes, además de la correspondiente traducción jurada al español«.

«Esto incluye el inicio de un procedimiento de inspección y una posible sanción con multa de 300.001 euros a 600.000 euros por comisión de una infracción muy grave de protección de datos«, ha añadido Fernández Burgueño.

Las negritas vuelven a ser mías. Es interesante que en lugar de Dropbox o MailChimp, cuya relación con la protección de datos se comprende fácilmente, se mencione a Twitter (véase aclaración anterior; mantenemos twitter por el interés de su análisis, aunque Pablo Fernández no lo mencionase en relación con la transferencia de datos), cuya relación y funcionamiento es más complejo de entender (quizá porque Teknautas preguntó por Twitter, todo es posible). Por experiencia, debo decirles que si los consultores de LOPD que procedemos del ámbito técnico somos en ocasiones alarmistas y paranoicos, lo de los abogados es otra dimensión superior. Y que nadie se me enfade :-)

El resultado: el pánicoDe hecho, la Agencia ha tenido que sacar recientemente una aclaración diciendo que de ultimátum nada, que de inspecciones por esto nada, y que bueno, que nos relajemos todos un poco. De la misma forma, El Confidencial ha publicado una nueva noticia más light que la anterior, y desde luego más constructiva.

Es decir, que como ya le adelanté a mi amigo, la sangre no llegaría al río, por varias razones:

  • La primera y principal, que si la AEPD se pone a meter paquetes de 300,000 € por el uso de Google Apps, Dropbox, Twitter, Facebook, etc., la toma de la Bastilla iba a ser una broma en comparación con la rebelión contra la agencia.
  • La segunda, que habiendo todavía infinidad de empresas sin adaptar a la LOPD (como por ejemplo esas del cartelito graciosete que dice: «Estamos grabando, ¡sonría!«), no tiene mucha lógica cargar contra aquellos que han hecho al menos algún esfuerzo en declarar los ficheros. Que tampoco es que tenga que tener ninguna lógica, es cierto.
  • Y por último, estoy más que seguro que muchas empresas utilizan dichos servicios (la nube, redes sociales) pero no han declarado el tratamiento como una transferencia internacional de datos, o no han declarado la transferencia porque en ocasiones, la empresa no sabe que sus empleados sí los utilizan. Sería injusto, de nuevo, cargar contra aquellas que sí las han declarado. Es decir, lo primero es: si utilizas Dropbox y nos lo has dicho, agárrate los machos. Si no nos lo has dicho, no podemos saberlo, así que de esta te libras. ¿No parece muy justo que se penalice el esfuerzo por el cumplimiento en una ley y un reglamento tan olvidado, no?

Dicho eso, también es cierto que, si uno lee atentamente el comunicado remitido por la AEPD (PDF) a las empresas que han declarado una transferencia internacional de datos, desde luego la redacción del texto tampoco tranquiliza: «requerimiento», «iniciar el procedimiento», «suspensión temporal de las transferencias»,…

La cuestión es que a raíz de la noticia, asumiendo que podía haber algo de razón, y antes de que la AEPD emitiese una comunicación aclaratoria, envié a mis compañeros de departamento una reflexión rápida sobre el tema, que incluyo a continuación. No prometo que sea correcta pero que sí puede servirles como punto de entrada y orientación para una charla mientras ligan en una discoteca este fin de semana.

Lo primero y principal, para mí ha sido siempre evidente que no se debe utilizar Dropbox o Google Drive para almacenar información corporativa o datos de carácter personal. Por un lado, por razones de confidencialidad, y por el otro, porque sé que el acuerdo de Puerto Seguro era básicamente una patraña sin ninguna garantía, como les hemos contado aquí, aquí y aquí. Por decirlo con palabras de Emilio Aced (no he podido localizar la ponencia), Subdirector de Inspección de Datos y Tutela de los Derechos de la Agencia de Protección de Datos de la Comunidad de Madrid cuando dijo eso, y ‎Jefe de Área en Agencia Española de Protección de Datos en la actualidad:

“el sistema se basa, exclusivamente, en una declaración unilateral de las compañías respecto de que cumplen los requisitos de Puerto Seguro y, posteriormente, el control de dicho cumplimiento se encomienda a una auditoría que se puede llevar a cabo por personal interno de la entidad. Es decir, estamos ante un esquema de auto certificación, autorregulación y auto evaluación en el que pueden no existir nunca controles externos respecto de las actividades y prácticas de protección de datos de las compañías adheridas a Puerto Seguro”

El uso de servicios como MailChimp va en la misma línea; en definitiva, a través de estos servicios estamos proporcionando a empresas que no tienen las medidas de seguridad apropiadas datos personales que nos han confiado sus propietarios, es decir, de los que somos responsables.

Ahora bien, el tema de twitter es muy diferente. Imaginemos que una empresa pone , como comenta el abogado, un widget de Twitter en su página web. He de decir que el ejemplo me parece muy, muy, muy cogido por los pelos, pero sigamos. Para empezar, la dirección de la cesión es la contraria a la de Dropbox o MailChimp. En este caso es el usuario el que proporciona los datos a twitter, quien a su vez los «comunica» a la empresa a través del widget (ya, a mí también me parece un poco surrealista pensar en eso como una cesión de datos, con la de barbaridades que se ven por ahí).

De tal modo, podríamos decir que la captación de datos del usuario se realiza en EEUU y el widget por tanto convierte a la empresa, de algún modo, en destinatario de una cesión de los datos de aquellos usuarios que se muestran en los tweets que aparecen en la página web de la empresa. Parece poco lógico (y sencillo, en cualquier caso) que la empresa, que no es la que capta los datos y cuyo tratamiento es bastante anecdótico, tenga que solicitar a los usuarios consentimiento para el tratamiento de esos datos.

Cabe hacer dos consideraciones. La primera es en la que se refiere al alcance de la propia ley. Atendiendo al artículo 3 del RDLOPD, donde se establece el alcance:

«Artículo 3. Ámbito territorial de aplicación.

1. Se regirá por el presente reglamento todo tratamiento de datos de carácter personal:

a) Cuando el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento, siempre que dicho establecimiento se encuentre ubicado en territorio español. Cuando no resulte de aplicación lo dispuesto en el párrafo anterior, pero exista un encargado del tratamiento ubicado en España, serán de aplicación al mismo las normas contenidas en el título VIII del presente reglamento.
b) Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española, según las normas de Derecho internacional público.
c) Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito. En este supuesto, el responsable del tratamiento deberá designar un representante establecido en territorio
español.»

No conozco las normas de Derecho internacional público, así que no entro a valorar el punto b. Sin embargo, podría aplicar la segunda parte del 3.1.a., es decir, donde dice que existe un encargado del tratamiento ubicado en España. Sin embargo, no es así, porque si la empresa es destino de una comunicación de datos, como parece ser el caso, eso la convierte en responsable del tratamiento, pero no en encargado del tratamiento.

Es decir, nos encontramos con una empresa (twitter  no afectada por la LOPD, que cede datos a una empresa española. En este caso, cabría entrar a valorar a) cómo y en qué medida twitter recaba el consentimiento para que los datos del usuario final se muestren en widgets de terceros, y b) en qué medida una cesión que no está amparada por la LOPD debe adaptarse a los requerimientos de la LOPD.

Es decir, podemos asumir que sería como si los datos del usuario le llegasen a la empresa desde «alguna parte» no afectada por la LOPD. En tal caso, asumiendo que tenga algún sentido, ¿es relevante que Twitter recabe el consentimiento de los usuarios para que sus tweets puedan ser incrustados en otras páginas web a través de widgets? ¿Sería, si existiese (cosa que no sé), válido dicho consentimiento si en ella twitter no especifica las empresas «destinatarias» sino básicamente, «todo el mundo que quiera poner un widget«? ¿Cómo de una manera sencilla notifica la empresa que ha incrustado un widget en su página web a los usuarios que aparecen en su timeline que está tratando sus datos? Es más, cualquier cuenta de twitter corporativa en la que la empresa interactúe (LIKEs, RTs, etc.) con personas amparadas por la legislación de protección de datos presentaría el mismo problema. ¿Y qué pasa con los seguidores? ¿Es una cesión de datos? ¿No es evidente que el usuario ha dado su consentimiento para el tratamiento de los datos en el ámbito de twitter y con la finalidad de mantener comunicación dentro de twitter en la medida que se hace seguidor de una cuenta?

Resumiendo. En el caso de servicios como Dropbox o MailChimp, es decir, aquellos en los que la comunicación es empresa española -> empresa estadounidense, el planteamiento me parece lógico y coherente. Una cosa es un widget de twitter y otra meterlos en una lista y empezar a enviarles comunicaciones comerciales. Por suerte, existen alternativas y estoy seguro de que estos servicios se pondrán manos a la obra para solucionar este problema, a la vista del número de clientes afectados, ya sea mediante filiales europeas, facilitando el modelo de contrato, cuando se pueda permitiendo mecanismos de consentimiento expreso por parte de los propietarios de los datos…

Pero cuando la comunicación es al contrario, como puede ser Twitter/Facebook/Google+ -> empresa española, se trata de algo más complejo e indirecto, y me parece que vamos a dar con hueso y es difícil y complejo de gestionar sin amputar parte de las ventajas de estas redes. Lo más probable y sensato sería que estas empresas recabasen un consentimiento válido por parte del usuario para dichos tratamientos y/o cesiones por terceras partes. Aunque, claro, ¿en qué medida es un RT de una cuenta corporativa una comunicación comercial?

Terreno pantanoso, muchas preguntas, pocas respuestas y soluciones a medias.