- Obligaciones de la LOPD (LO 15/1999)
La LOPD excluye del régimen de protección de los datos a los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas. (Artículo 2 LOPD)
Pero como hemos visto, la inclusión de publicidad supone que hemos abandonado ese ámbito personal o doméstico y nos hemos adentrado en la realización de una actividad empresarial reglada, y por lo tanto será de plena aplicación la LOPD.
Pero hemos de fijarnos en las reglas de sujección a la norma, a su ámbito de aplicación para ver si la conducta está sometida o no. El ámbito de aplicación espacial se determina en función del lugar en el que se realiza el tratamiento de los datos y el de ubicación del responsable.
Así la LOPD, artículo 2, establece que se regirá por ella todo tratamiento de datos, "cuando se efectúe en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento, o cuando al responsable, no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional Privado, o cuando el responsable no se encuentre en territorio de la UE, pero utilice para el tratamiento medios situados en España, excepto que los mismos lo sean con fines de tránsito."
Aquí surgen dos cuestiones imporantes, por un lado quien es el Responsable del Fichero en un blog y que es un tratamiento de datos.
El responsable del fichero es un concepto definido en la LOPD, artículo 3.d) como
"la persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento."
Esto plantea la cuestión de que, en servicios de alojamiento de de blogs, tipo blogger, bitacoras.com, blogia u otros, ¿hasta que punto es el blogger el que decide sobre el contenido y uso del tratamiento?.
Puede opinarse que un blogger suscrito a cualquiera de estos servicios no es el responsable ni del fichero ni del tratamiento, ya que por lo general no tiene capacidad de decisión alguna sobre las bases de datos que se utilizan para la publicación de los mismos, es más incluso sus propios datos son tratados a la hora de darse de alta en el servicio. Por lo tanto el blogger de estos servicios de publicación, o similares, en los que su labor se limita a redactar los artículos siendo el resto de servicios proporcionados por estos terceros, pueden no ser considerados como responsables del fichero.
Sin embargo bloggers que contratan directamente el alojamiento, que instalan sus propias aplicaciones de gestión, o CMS's, y que tienen acceso total a los datos que se recaban por el servidor si podrán ser considerados responsables del fichero, ya que ellos si tendrán capacidad de decisión.
El otro concepto clave apuntado es el de tratamiento de los datos, (artículo 3 LOPD)que se define como:
"Operaciones y procedimientos técnicos de caracter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y trasferencias."
Practicamente cualquier cosa que se pueda hacer con datos resulta un tratamiento. El problema es ubicar el lugar dónde se realiza el tratamiento, importante a los efectos de la sujección a la norma. Si los servidores se encuentran en España o la UE no habrá problema, pero si los mismos se encuentran, por ejemplo en Estados Unidos, la solución no es tan sencilla. El problema radica en que "fisicamente" los datos están alojados en el servidor, pero las órdenes al sistema se trasmiten desde España. La seguridad obliga a establecer que el tratamiento se efectúa en el lugar en que se toman las decisiones, en este caso España y por lo tanto con sometimiento a la norma, esto es coherente con la determinación del ámbito espacial de aplicación previsto para la LSSICE, en este punto mejor redactada.
Así el blogger que tenga publicidad, su propio servidor o el de un tercero, pero con gestión directa del sistema de contenidos, será Responsable del Fichero o tratamiento de datos (artículo 3 LOPD), lo que le hace responsable de implementar las medias previstas en la LOPD y en el RD 994/1999 de Medidas de Seguridad.
Si, como es usual, el blogger no tiene el servidor en su casa o en sus propias instalaciones, el tratamiento de los datos será realizado por un tercero, en la figura que se reconoce en el artículo 12 LOPD, lo que obliga a tener un contrato escrito (o de cualquier otra forma que permita acreditar su celebración) y firmado con el tercero, el proveedor de hosting, con el siguiente contenido mínimo:
"1- Que el encargado del tratamiento unicamente tratará los datos conforme a las intrucciones del responsable.
2- Que no les aplicará un fin distinto.
3- Que no los comunicará, ni siquiera para su conservación a terceras personas.
4- Así como las medidas de seguridad que según el artículo 9 se deben implantar."
Esto obliga, además, a implementar en el sistema de comentarios los avisos pertinentes afectos de no vulnerar el derecho a la información, (artículo 5 LOPD), y disponer lo necesario para el ejercicio de los derechos del titular (artículos 15 y siguientes LOPD), declarar la existencia del fichero antes de su creación (artículo 26 LOPD).
Pero la obligación más compleja será la de solicitar al Director de la AGPD la autorización para la trasferencia internacional de datos (artículo 33 LOPD) en el caso de servidores situados en países que no proporcionen el mismo nivel de protección, como por ejemplo Estados Unidos. (Excepto los denominados puertos seguros o "Safe Harbours"), ya que por regla general los supuestos previstos de excepciones no serán de aplicación.
Lo peor de la LOPD son sin duda las altas cuantías que suponen sus sanciones, cuyo mínimo empieza en 600 euros para las infracciones leves, pero puede llegar a los 600.000 para las muy graves.
Este comentario ha sido eliminado por el autor.
ResponderEliminarPues sí que se complica esto, hay que ver. Creo que si necesitara poner publicidad para hacer dinero sería mejor optar por ponerla en el vehículo particular xD
ResponderEliminarUna vez más, gracias por tan interesante artículo.
Discrepo contigo en cuanto al alojamiento de blogs por terceros. Blogger, Blogia,... no deciden sobre la finalidad, uso y tratamiento de los datos en la medida en que no los pueden gestionar. Es el titular de la bitácora quien decide el destino de esos datos, si se publican o no (puedes cerrar los comentarios si quieres), luego entiendo que éste es el responsable del fichero.
ResponderEliminarLas empresas que ofrecen el alojamiento gratuito son terceros que realizan un tratamiento en los términos del artículo 12 de la LOPD, con los que habría que firmar un contrato que especificara éste.
Me has obligado a darme prisa ;). Lo tenía pendiente pero esperaba a la próxima remodelación de mi web.
Una opinióm muy interesante Javier.
ResponderEliminarPero como "responsable" de este sitio, no veo que tome decisiones acerca del contenido y uso de los tratamientos. Aunque seguro que la AEPD opina lo contrario, o se lleva la contraria...
Espero que terminada la remodelación de tu sitio podamos discutir el asunto y si llevas razón rectificar este artículo.
Un saludo y gracias
Tengo claro que de momento seguire sin publicidad, lo que me trae de cabeza son los hostings, ya que viendo precios en españa y en eeuu, comprar en españa me haria sentir "robado" en el sentido de la relacion coste/capacidad.
ResponderEliminarMe gustaria alojamiento en DreamHost, pero me frena precisamente el tema tratado en este articulo, tengo claro que para mi blog/pagina personal no habria problema alguno, pero mi intencion seria la aprovechar tan gran hosting par alojar algun encargo web que me pudiera surgir, y en ese caso si que intervendria el tema de la lopd.
Por eso mi pregunta es: ¿que habria que hacer para tener un alojamiento en DreamHost sin tener que preocuparte de estar "ilegal"? (ya que DreamHost no esta en la Safe Harbor List)
Por ultimo, entiendo que contratando un alojamiento en UK, estando dentro de la UE no habria problema alguno, ¿verdad?
Gracias por toda la informacion.
Estoy con Javier.
ResponderEliminarRealmente, un blogger de Blogger o Blogia sí decide sobre el contenido del blog, y especialmente a lo que se refiere a datos de carácter personal. Puede habilitar o no los comentarios, y gestionarlos de igual forma que cualquier otro blog más "de autor". Es asimismo el responsable de todos los datos de carácter personal que sus entradas reflejen. No se puede hacer a Blogger responsable de unos datos que yo mañana publico, por ejemplo en una entrada con los historiales de mis -hipotéticos- pacientes.
Aunque es cierto que no tiene acceso a la estructura del fichero, pienso que la responsabilidad de los datos reca sobre él, por lo que Blogger (et al.) adoptarían la forma de encargados del tratamiento.
Por ejemplo, una empresa que capta los datos de encuestas para una tercera empresa actúa como encargado del tratamiento de la segunda, aún cuando la gestión de los datos se lleve a cabo completamente en instalaciones y personal de la primera.
Es un tema complicado. Lo primero es observar si el blogger es el responsable en los términos LOPD.
ResponderEliminarLa definición está en el post, quien decide sobre el uso y contenido del tratamiento. ¿Yo decido sobre el contenido del tratamiento?
No se, no estoy muy seguro de ello en este momento.
Es complicado y por supuesto caben opiniones, de momento mantengo la mía.
De todas formas logicamente si se considera al blogger responsable del fichero debe existir el contrato que prevé el artículo 12 LOPD, pues este será un encargado de tratamiento sin niguna duda.
Un saludo y gracias.
Un par de matizaciones:
ResponderEliminarEl Artículo 12 punto uno dice:
1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.
Por lo tanto que los proveedores de hosting "mantengan" las bases de datos y las comunicaciones no es considerado considerado cominicación de datos.
El Artículo 34. habla de las excepciones en la transferencia internacional de datos. En concreto el punto e dice:
Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.
con lo cual, si en el blog añades un link a la información legal, en donde expecifiques claramente que los datos serán transferidos a un servidor en EEUU (o donde sea) y que el interesado conoce este hecho y da su aprovación antes de enviar un mensaje (lo típico qe "he leido y acepto las condiciones legales") no necesitas pedir una autorización del Director de la Agencia Española de Protección de Datos.
Matizo esto porque en el artículo se dice precisamente lo contrario y no me parece justo que estos dos puntos tan importantes no consten de alguna manera en este artículo
Pero resulta un tanto contradictorio con las otras bases de la LOPD:
ResponderEliminarCualquiera que mantenga una base de datos con el correo electrónico de gente y viva en España, está obligado a notificar ese fichero, y a redactar un libro de seguridad ( de más de 70 páginas ) acerca de las medidas de control de acceso, políticas de backups y demás que sobra por todos los lados. En el caso concreto de blogger y demás, imagino que el mero hecho de tener un fichero o BD ( base de datos ) con un listado de e-mails, y que esté alojado en un lugar (blogger) que tú como responsable (el autor del blog) no controlas, es ilegal a los ojos de la LOPD. Creo que se excede con mucho en su ámbito de aplicación, sobre todo a la hora de tener por datos personales la IP o el e-mail.
La Ley Orgánica de Protección de Datos (LOPD) es fundamental en el mundo digital actual. En resumen, el publicidad en un blog puede caer bajo la jurisdicción de la LOPD, ya que se considera una actividad empresarial regulada y se realiza un tratamiento de datos. Determinar quién es el Responsable del Fichero puede ser complejo en servicios de alojamiento de blogs, y la ubicación donde se realiza este tratamiento es crucial para determinar si se aplica la normativa de la LOPD. Los bloggers que gestionan directamente sus servidores y el sistema de contenidos son responsables del tratamiento de datos y deben cumplir con las medidas de seguridad establecidas por la LOPD y el RD 994/1999 de Medidas de Seguridad. Se deben implementar avisos en el sistema de comentarios para respetar el derecho a la información y permitir el ejercicio de los derechos del titular de los datos. Las sanciones por incumplimiento de la LOPD pueden ser significativas, desde mínimas por infracciones leves hasta montos muy elevados por infracciones graves. abogado de flsa
ResponderEliminarBlogs in Spain have legal obligations under the LSSICE Act. These include identifying the blog's owner, providing information about the content, respecting the author's rights, avoiding the dissemination of false content, facilitating access to information, and complying with data protection regulations. Blogs must also indicate whether the content is public or private, and provide consent for the treatment of user data. In violation of these obligations, blogs can face administrative sanctions, up to €30,000. Despite being a popular form of communication, it is crucial for bloggers to be aware of these legal obligations and follow them to protect their rights and those of others.
ResponderEliminartruck driver accidents
I like it when people get together and share views. Great website.
ResponderEliminarGreetings! Very helpful advice within this post!
ResponderEliminarThis website is very useful and beautiful. thank you.
ResponderEliminarthanks for sharing this type of useful article to read, keep it up!
ResponderEliminarfor sharing this type of useful articles to read, keep it up and all the best
ResponderEliminarLa Ley Orgánica de Protección de Datos (LOPD) en la contexto de blogs que manejan datos personales, especialmente cuando incluye publicidad o utilizar servidores ubicados fuera de España o la Unión Europea, tiene varias obligaciones legales. Se abordan el Ámbito de aplicación de la LOPD, el responsable del fichero, el tratamiento de datos, el contrato con terceros, medidas de seguridad y derechos de los titulares de datos, y la autorización para transferencias internacionales de datos. La inclusión de publicidad en un blog implica una serie de responsabilidades legales en términos de protección de datos personales, especialmente cuando se trata de servidores ubicados fuera de la UE. Además, el responsable del fichero debe presentar una declaración antes de su creación ante la Agencia Española de Protección de Datos (AGPD) sobre la finalidad del fichero y otros detalles relevantes. reckless driving virginia lawyer cost
ResponderEliminarRegularly writing blogs is a habit of mine, and I must admit, your content is truly remarkable.
ResponderEliminarOutstanding post once again. I am looking forward to more updates.
ResponderEliminarAdditionally, the document should include references to relevant laws, regulations, and legal precedents to enhance credibility. Lastly, a feedback mechanism should be included to address specific concerns or uncertainties.
ResponderEliminardui lawyer fairfax va
In the realm of legal obligations, the responsibilities stemming from the Spanish Data Protection Law (LOPD) impose crucial requirements on blogs. This legislation mandates that blogs collecting and processing personal data must adhere to strict guidelines regarding data protection, ensuring the confidentiality, integrity, and lawful processing of user information. Blogs are obligated to obtain explicit consent from users before collecting their personal data, disclose how this data will be used, and implement robust security measures to safeguard against unauthorized access or breaches.
ResponderEliminarestate lawyer charlottesville va
So good to discover somebody with a few unique thoughts on this subject matter.
ResponderEliminarThe Organic Data Protection Law (LOPD) in Spain applies to data handling in Spain, excluding files used in personal or domestic activities. The "responsible" is the person who decides on the purpose, content, and use of data treatment. In blogs like Blogger, the blogger is responsible for data management, including any operation on them. If the blogger is responsible for the filer, they must comply with the LOPD and RD 994/1999 security measures. If the data is transferred to countries outside the EU, they must obtain authorization from the Agencia Española de Protección de Datos (AGPD). Sanctions for non-compliance can range from 600 euros for mild violations to 600,000 euros for severe violations. Chesapeake Family Law attorney
ResponderEliminar#Great blog love to read thanks for sharing such well written
ResponderEliminarThe text provides several comments on the process of registering a SIM card, including ease of the process, information about the required documents, compliance with regulations, user experience, reliability, and up-to-date information. It also mentions the importance of understanding the specific field and providing clear and up-to-date information. The comments aim to provide a more comprehensive and useful guide for users.
ResponderEliminarreckless driving lawyer fairfax Passionate advocate for justice and equality. Navigating the complexities of law to create impactful change—because everyone deserves a voice.
Obligations of the LOPD provides a thorough overview of how Spain’s Data Protection Law (LOPD) applies to bloggers, emphasizing the legal responsibilities for managing and protecting personal data online. This guide is essential reading for bloggers who collect or process user information, as it clearly outlines compliance requirements, such as obtaining consent, implementing security measures, and ensuring transparency in data handling.
ResponderEliminarTraffic Lawyer Arlington VA
Prince William Traffic Lawyer