martes, 12 de diciembre de 2006

Obligaciones jurídicas de los blogs (IV): Obligaciones de la LOPD

Posiblemente la cuestión de mayor complejidad a la hora de valorar el interés por insertar publicidad en un blog venga determinada por si ello supone entrar de lleno en el ámbito de aplicación de la LOPD.

La LOPD excluye del régimen de protección de los datos a los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas. (Artículo 2 LOPD)

Pero como hemos visto, la inclusión de publicidad supone que hemos abandonado ese ámbito personal o doméstico y nos hemos adentrado en la realización de una actividad empresarial reglada, y por lo tanto será de plena aplicación la LOPD.

Pero hemos de fijarnos en las reglas de sujección a la norma, a su ámbito de aplicación para ver si la conducta está sometida o no. El ámbito de aplicación espacial se determina en función del lugar en el que se realiza el tratamiento de los datos y el de ubicación del responsable.

Así la LOPD, artículo 2, establece que se regirá por ella todo tratamiento de datos, "cuando se efectúe en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento, o cuando al responsable, no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional Privado, o cuando el responsable no se encuentre en territorio de la UE, pero utilice para el tratamiento medios situados en España, excepto que los mismos lo sean con fines de tránsito."

Aquí surgen dos cuestiones imporantes, por un lado quien es el Responsable del Fichero en un blog y que es un tratamiento de datos.

El responsable del fichero es un concepto definido en la LOPD, artículo 3.d) como

"la persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento."

Esto plantea la cuestión de que, en servicios de alojamiento de de blogs, tipo blogger, bitacoras.com, blogia u otros, ¿hasta que punto es el blogger el que decide sobre el contenido y uso del tratamiento?.

Puede opinarse que un blogger suscrito a cualquiera de estos servicios no es el responsable ni del fichero ni del tratamiento, ya que por lo general no tiene capacidad de decisión alguna sobre las bases de datos que se utilizan para la publicación de los mismos, es más incluso sus propios datos son tratados a la hora de darse de alta en el servicio. Por lo tanto el blogger de estos servicios de publicación, o similares, en los que su labor se limita a redactar los artículos siendo el resto de servicios proporcionados por estos terceros, pueden no ser considerados como responsables del fichero.

Sin embargo bloggers que contratan directamente el alojamiento, que instalan sus propias aplicaciones de gestión, o CMS's, y que tienen acceso total a los datos que se recaban por el servidor si podrán ser considerados responsables del fichero, ya que ellos si tendrán capacidad de decisión.

El otro concepto clave apuntado es el de tratamiento de los datos, (artículo 3 LOPD)que se define como:

"Operaciones y procedimientos técnicos de caracter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y trasferencias."

Practicamente cualquier cosa que se pueda hacer con datos resulta un tratamiento. El problema es ubicar el lugar dónde se realiza el tratamiento, importante a los efectos de la sujección a la norma. Si los servidores se encuentran en España o la UE no habrá problema, pero si los mismos se encuentran, por ejemplo en Estados Unidos, la solución no es tan sencilla. El problema radica en que "fisicamente" los datos están alojados en el servidor, pero las órdenes al sistema se trasmiten desde España. La seguridad obliga a establecer que el tratamiento se efectúa en el lugar en que se toman las decisiones, en este caso España y por lo tanto con sometimiento a la norma, esto es coherente con la determinación del ámbito espacial de aplicación previsto para la LSSICE, en este punto mejor redactada.

Así el blogger que tenga publicidad, su propio servidor o el de un tercero, pero con gestión directa del sistema de contenidos, será Responsable del Fichero o tratamiento de datos (artículo 3 LOPD), lo que le hace responsable de implementar las medias previstas en la LOPD y en el RD 994/1999 de Medidas de Seguridad.

Si, como es usual, el blogger no tiene el servidor en su casa o en sus propias instalaciones, el tratamiento de los datos será realizado por un tercero, en la figura que se reconoce en el artículo 12 LOPD, lo que obliga a tener un contrato escrito (o de cualquier otra forma que permita acreditar su celebración) y firmado con el tercero, el proveedor de hosting, con el siguiente contenido mínimo:

"1- Que el encargado del tratamiento unicamente tratará los datos conforme a las intrucciones del responsable.
2- Que no les aplicará un fin distinto.
3- Que no los comunicará, ni siquiera para su conservación a terceras personas.
4- Así como las medidas de seguridad que según el artículo 9 se deben implantar.
"

Esto obliga, además, a implementar en el sistema de comentarios los avisos pertinentes afectos de no vulnerar el derecho a la información, (artículo 5 LOPD), y disponer lo necesario para el ejercicio de los derechos del titular (artículos 15 y siguientes LOPD), declarar la existencia del fichero antes de su creación (artículo 26 LOPD).

Pero la obligación más compleja será la de solicitar al Director de la AGPD la autorización para la trasferencia internacional de datos (artículo 33 LOPD) en el caso de servidores situados en países que no proporcionen el mismo nivel de protección, como por ejemplo Estados Unidos. (Excepto los denominados puertos seguros o "Safe Harbours"), ya que por regla general los supuestos previstos de excepciones no serán de aplicación.

Lo peor de la LOPD son sin duda las altas cuantías que suponen sus sanciones, cuyo mínimo empieza en 600 euros para las infracciones leves, pero puede llegar a los 600.000 para las muy graves.

9 comentarios:

  1. Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  2. Pues sí que se complica esto, hay que ver. Creo que si necesitara poner publicidad para hacer dinero sería mejor optar por ponerla en el vehículo particular xD
    Una vez más, gracias por tan interesante artículo.

    ResponderEliminar
  3. Discrepo contigo en cuanto al alojamiento de blogs por terceros. Blogger, Blogia,... no deciden sobre la finalidad, uso y tratamiento de los datos en la medida en que no los pueden gestionar. Es el titular de la bitácora quien decide el destino de esos datos, si se publican o no (puedes cerrar los comentarios si quieres), luego entiendo que éste es el responsable del fichero.

    Las empresas que ofrecen el alojamiento gratuito son terceros que realizan un tratamiento en los términos del artículo 12 de la LOPD, con los que habría que firmar un contrato que especificara éste.

    Me has obligado a darme prisa ;). Lo tenía pendiente pero esperaba a la próxima remodelación de mi web.

    ResponderEliminar
  4. Una opinióm muy interesante Javier.

    Pero como "responsable" de este sitio, no veo que tome decisiones acerca del contenido y uso de los tratamientos. Aunque seguro que la AEPD opina lo contrario, o se lleva la contraria...

    Espero que terminada la remodelación de tu sitio podamos discutir el asunto y si llevas razón rectificar este artículo.

    Un saludo y gracias

    ResponderEliminar
  5. Tengo claro que de momento seguire sin publicidad, lo que me trae de cabeza son los hostings, ya que viendo precios en españa y en eeuu, comprar en españa me haria sentir "robado" en el sentido de la relacion coste/capacidad.

    Me gustaria alojamiento en DreamHost, pero me frena precisamente el tema tratado en este articulo, tengo claro que para mi blog/pagina personal no habria problema alguno, pero mi intencion seria la aprovechar tan gran hosting par alojar algun encargo web que me pudiera surgir, y en ese caso si que intervendria el tema de la lopd.

    Por eso mi pregunta es: ¿que habria que hacer para tener un alojamiento en DreamHost sin tener que preocuparte de estar "ilegal"? (ya que DreamHost no esta en la Safe Harbor List)

    Por ultimo, entiendo que contratando un alojamiento en UK, estando dentro de la UE no habria problema alguno, ¿verdad?

    Gracias por toda la informacion.

    ResponderEliminar
  6. Estoy con Javier.

    Realmente, un blogger de Blogger o Blogia sí decide sobre el contenido del blog, y especialmente a lo que se refiere a datos de carácter personal. Puede habilitar o no los comentarios, y gestionarlos de igual forma que cualquier otro blog más "de autor". Es asimismo el responsable de todos los datos de carácter personal que sus entradas reflejen. No se puede hacer a Blogger responsable de unos datos que yo mañana publico, por ejemplo en una entrada con los historiales de mis -hipotéticos- pacientes.

    Aunque es cierto que no tiene acceso a la estructura del fichero, pienso que la responsabilidad de los datos reca sobre él, por lo que Blogger (et al.) adoptarían la forma de encargados del tratamiento.

    Por ejemplo, una empresa que capta los datos de encuestas para una tercera empresa actúa como encargado del tratamiento de la segunda, aún cuando la gestión de los datos se lleve a cabo completamente en instalaciones y personal de la primera.

    ResponderEliminar
  7. Es un tema complicado. Lo primero es observar si el blogger es el responsable en los términos LOPD.

    La definición está en el post, quien decide sobre el uso y contenido del tratamiento. ¿Yo decido sobre el contenido del tratamiento?

    No se, no estoy muy seguro de ello en este momento.

    Es complicado y por supuesto caben opiniones, de momento mantengo la mía.

    De todas formas logicamente si se considera al blogger responsable del fichero debe existir el contrato que prevé el artículo 12 LOPD, pues este será un encargado de tratamiento sin niguna duda.
    Un saludo y gracias.

    ResponderEliminar
  8. Un par de matizaciones:


    El Artículo 12 punto uno dice:

    1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.

    Por lo tanto que los proveedores de hosting "mantengan" las bases de datos y las comunicaciones no es considerado considerado cominicación de datos.


    El Artículo 34. habla de las excepciones en la transferencia internacional de datos. En concreto el punto e dice:

    Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.

    con lo cual, si en el blog añades un link a la información legal, en donde expecifiques claramente que los datos serán transferidos a un servidor en EEUU (o donde sea) y que el interesado conoce este hecho y da su aprovación antes de enviar un mensaje (lo típico qe "he leido y acepto las condiciones legales") no necesitas pedir una autorización del Director de la Agencia Española de Protección de Datos.

    Matizo esto porque en el artículo se dice precisamente lo contrario y no me parece justo que estos dos puntos tan importantes no consten de alguna manera en este artículo

    ResponderEliminar
  9. Pero resulta un tanto contradictorio con las otras bases de la LOPD:

    Cualquiera que mantenga una base de datos con el correo electrónico de gente y viva en España, está obligado a notificar ese fichero, y a redactar un libro de seguridad ( de más de 70 páginas ) acerca de las medidas de control de acceso, políticas de backups y demás que sobra por todos los lados. En el caso concreto de blogger y demás, imagino que el mero hecho de tener un fichero o BD ( base de datos ) con un listado de e-mails, y que esté alojado en un lugar (blogger) que tú como responsable (el autor del blog) no controlas, es ilegal a los ojos de la LOPD. Creo que se excede con mucho en su ámbito de aplicación, sobre todo a la hora de tener por datos personales la IP o el e-mail.

    ResponderEliminar