Contacto

Para consultas jurídicas "david @ 451.legal"

martes, 12 de diciembre de 2006

Obligaciones jurídicas de los blogs (IV): Obligaciones de la LOPD

Posiblemente la cuestión de mayor complejidad a la hora de valorar el interés por insertar publicidad en un blog venga determinada por si ello supone entrar de lleno en el ámbito de aplicación de la LOPD.

La LOPD excluye del régimen de protección de los datos a los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas. (Artículo 2 LOPD)

Pero como hemos visto, la inclusión de publicidad supone que hemos abandonado ese ámbito personal o doméstico y nos hemos adentrado en la realización de una actividad empresarial reglada, y por lo tanto será de plena aplicación la LOPD.

Pero hemos de fijarnos en las reglas de sujección a la norma, a su ámbito de aplicación para ver si la conducta está sometida o no. El ámbito de aplicación espacial se determina en función del lugar en el que se realiza el tratamiento de los datos y el de ubicación del responsable.

Así la LOPD, artículo 2, establece que se regirá por ella todo tratamiento de datos, "cuando se efectúe en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento, o cuando al responsable, no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional Privado, o cuando el responsable no se encuentre en territorio de la UE, pero utilice para el tratamiento medios situados en España, excepto que los mismos lo sean con fines de tránsito."

Aquí surgen dos cuestiones imporantes, por un lado quien es el Responsable del Fichero en un blog y que es un tratamiento de datos.

El responsable del fichero es un concepto definido en la LOPD, artículo 3.d) como

"la persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento."

Esto plantea la cuestión de que, en servicios de alojamiento de de blogs, tipo blogger, bitacoras.com, blogia u otros, ¿hasta que punto es el blogger el que decide sobre el contenido y uso del tratamiento?.

Puede opinarse que un blogger suscrito a cualquiera de estos servicios no es el responsable ni del fichero ni del tratamiento, ya que por lo general no tiene capacidad de decisión alguna sobre las bases de datos que se utilizan para la publicación de los mismos, es más incluso sus propios datos son tratados a la hora de darse de alta en el servicio. Por lo tanto el blogger de estos servicios de publicación, o similares, en los que su labor se limita a redactar los artículos siendo el resto de servicios proporcionados por estos terceros, pueden no ser considerados como responsables del fichero.

Sin embargo bloggers que contratan directamente el alojamiento, que instalan sus propias aplicaciones de gestión, o CMS's, y que tienen acceso total a los datos que se recaban por el servidor si podrán ser considerados responsables del fichero, ya que ellos si tendrán capacidad de decisión.

El otro concepto clave apuntado es el de tratamiento de los datos, (artículo 3 LOPD)que se define como:

"Operaciones y procedimientos técnicos de caracter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y trasferencias."

Practicamente cualquier cosa que se pueda hacer con datos resulta un tratamiento. El problema es ubicar el lugar dónde se realiza el tratamiento, importante a los efectos de la sujección a la norma. Si los servidores se encuentran en España o la UE no habrá problema, pero si los mismos se encuentran, por ejemplo en Estados Unidos, la solución no es tan sencilla. El problema radica en que "fisicamente" los datos están alojados en el servidor, pero las órdenes al sistema se trasmiten desde España. La seguridad obliga a establecer que el tratamiento se efectúa en el lugar en que se toman las decisiones, en este caso España y por lo tanto con sometimiento a la norma, esto es coherente con la determinación del ámbito espacial de aplicación previsto para la LSSICE, en este punto mejor redactada.

Así el blogger que tenga publicidad, su propio servidor o el de un tercero, pero con gestión directa del sistema de contenidos, será Responsable del Fichero o tratamiento de datos (artículo 3 LOPD), lo que le hace responsable de implementar las medias previstas en la LOPD y en el RD 994/1999 de Medidas de Seguridad.

Si, como es usual, el blogger no tiene el servidor en su casa o en sus propias instalaciones, el tratamiento de los datos será realizado por un tercero, en la figura que se reconoce en el artículo 12 LOPD, lo que obliga a tener un contrato escrito (o de cualquier otra forma que permita acreditar su celebración) y firmado con el tercero, el proveedor de hosting, con el siguiente contenido mínimo:

"1- Que el encargado del tratamiento unicamente tratará los datos conforme a las intrucciones del responsable.
2- Que no les aplicará un fin distinto.
3- Que no los comunicará, ni siquiera para su conservación a terceras personas.
4- Así como las medidas de seguridad que según el artículo 9 se deben implantar.
"

Esto obliga, además, a implementar en el sistema de comentarios los avisos pertinentes afectos de no vulnerar el derecho a la información, (artículo 5 LOPD), y disponer lo necesario para el ejercicio de los derechos del titular (artículos 15 y siguientes LOPD), declarar la existencia del fichero antes de su creación (artículo 26 LOPD).

Pero la obligación más compleja será la de solicitar al Director de la AGPD la autorización para la trasferencia internacional de datos (artículo 33 LOPD) en el caso de servidores situados en países que no proporcionen el mismo nivel de protección, como por ejemplo Estados Unidos. (Excepto los denominados puertos seguros o "Safe Harbours"), ya que por regla general los supuestos previstos de excepciones no serán de aplicación.

Lo peor de la LOPD son sin duda las altas cuantías que suponen sus sanciones, cuyo mínimo empieza en 600 euros para las infracciones leves, pero puede llegar a los 600.000 para las muy graves.

30 comentarios:

  1. Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  2. Pues sí que se complica esto, hay que ver. Creo que si necesitara poner publicidad para hacer dinero sería mejor optar por ponerla en el vehículo particular xD
    Una vez más, gracias por tan interesante artículo.

    ResponderEliminar
  3. Discrepo contigo en cuanto al alojamiento de blogs por terceros. Blogger, Blogia,... no deciden sobre la finalidad, uso y tratamiento de los datos en la medida en que no los pueden gestionar. Es el titular de la bitácora quien decide el destino de esos datos, si se publican o no (puedes cerrar los comentarios si quieres), luego entiendo que éste es el responsable del fichero.

    Las empresas que ofrecen el alojamiento gratuito son terceros que realizan un tratamiento en los términos del artículo 12 de la LOPD, con los que habría que firmar un contrato que especificara éste.

    Me has obligado a darme prisa ;). Lo tenía pendiente pero esperaba a la próxima remodelación de mi web.

    ResponderEliminar
  4. Una opinióm muy interesante Javier.

    Pero como "responsable" de este sitio, no veo que tome decisiones acerca del contenido y uso de los tratamientos. Aunque seguro que la AEPD opina lo contrario, o se lleva la contraria...

    Espero que terminada la remodelación de tu sitio podamos discutir el asunto y si llevas razón rectificar este artículo.

    Un saludo y gracias

    ResponderEliminar
  5. Tengo claro que de momento seguire sin publicidad, lo que me trae de cabeza son los hostings, ya que viendo precios en españa y en eeuu, comprar en españa me haria sentir "robado" en el sentido de la relacion coste/capacidad.

    Me gustaria alojamiento en DreamHost, pero me frena precisamente el tema tratado en este articulo, tengo claro que para mi blog/pagina personal no habria problema alguno, pero mi intencion seria la aprovechar tan gran hosting par alojar algun encargo web que me pudiera surgir, y en ese caso si que intervendria el tema de la lopd.

    Por eso mi pregunta es: ¿que habria que hacer para tener un alojamiento en DreamHost sin tener que preocuparte de estar "ilegal"? (ya que DreamHost no esta en la Safe Harbor List)

    Por ultimo, entiendo que contratando un alojamiento en UK, estando dentro de la UE no habria problema alguno, ¿verdad?

    Gracias por toda la informacion.

    ResponderEliminar
  6. Estoy con Javier.

    Realmente, un blogger de Blogger o Blogia sí decide sobre el contenido del blog, y especialmente a lo que se refiere a datos de carácter personal. Puede habilitar o no los comentarios, y gestionarlos de igual forma que cualquier otro blog más "de autor". Es asimismo el responsable de todos los datos de carácter personal que sus entradas reflejen. No se puede hacer a Blogger responsable de unos datos que yo mañana publico, por ejemplo en una entrada con los historiales de mis -hipotéticos- pacientes.

    Aunque es cierto que no tiene acceso a la estructura del fichero, pienso que la responsabilidad de los datos reca sobre él, por lo que Blogger (et al.) adoptarían la forma de encargados del tratamiento.

    Por ejemplo, una empresa que capta los datos de encuestas para una tercera empresa actúa como encargado del tratamiento de la segunda, aún cuando la gestión de los datos se lleve a cabo completamente en instalaciones y personal de la primera.

    ResponderEliminar
  7. Es un tema complicado. Lo primero es observar si el blogger es el responsable en los términos LOPD.

    La definición está en el post, quien decide sobre el uso y contenido del tratamiento. ¿Yo decido sobre el contenido del tratamiento?

    No se, no estoy muy seguro de ello en este momento.

    Es complicado y por supuesto caben opiniones, de momento mantengo la mía.

    De todas formas logicamente si se considera al blogger responsable del fichero debe existir el contrato que prevé el artículo 12 LOPD, pues este será un encargado de tratamiento sin niguna duda.
    Un saludo y gracias.

    ResponderEliminar
  8. Un par de matizaciones:


    El Artículo 12 punto uno dice:

    1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.

    Por lo tanto que los proveedores de hosting "mantengan" las bases de datos y las comunicaciones no es considerado considerado cominicación de datos.


    El Artículo 34. habla de las excepciones en la transferencia internacional de datos. En concreto el punto e dice:

    Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.

    con lo cual, si en el blog añades un link a la información legal, en donde expecifiques claramente que los datos serán transferidos a un servidor en EEUU (o donde sea) y que el interesado conoce este hecho y da su aprovación antes de enviar un mensaje (lo típico qe "he leido y acepto las condiciones legales") no necesitas pedir una autorización del Director de la Agencia Española de Protección de Datos.

    Matizo esto porque en el artículo se dice precisamente lo contrario y no me parece justo que estos dos puntos tan importantes no consten de alguna manera en este artículo

    ResponderEliminar
  9. Pero resulta un tanto contradictorio con las otras bases de la LOPD:

    Cualquiera que mantenga una base de datos con el correo electrónico de gente y viva en España, está obligado a notificar ese fichero, y a redactar un libro de seguridad ( de más de 70 páginas ) acerca de las medidas de control de acceso, políticas de backups y demás que sobra por todos los lados. En el caso concreto de blogger y demás, imagino que el mero hecho de tener un fichero o BD ( base de datos ) con un listado de e-mails, y que esté alojado en un lugar (blogger) que tú como responsable (el autor del blog) no controlas, es ilegal a los ojos de la LOPD. Creo que se excede con mucho en su ámbito de aplicación, sobre todo a la hora de tener por datos personales la IP o el e-mail.

    ResponderEliminar
  10. Hello ! I am the one who writes posts on these topics카지노사이트 I would like to write an article based on your article. When can I ask for a review?

    ResponderEliminar
  11. It is very well written, and your points are well-expressed. I request you warmly, please, don’t ever stop writing. 릴게임

    ResponderEliminar
  12. Decent data, profitable and phenomenal outline, as offer well done with smart thoughts and ideas, bunches of extraordinary data and motivation, both of which I require, on account of offer such an accommodating data here 토토사이트

    ResponderEliminar
  13. I really appreciate all the hard work you put into this great site. Thankyou so much.. 바카라사이트

    ResponderEliminar
  14. Thanks for sharing such great knowledge with us. Looking for some more information from your blog.
    온라인바둑이

    ResponderEliminar
  15. Please keep on posting such quality articles as this is a rare thing to find these days. I am always searching online for posts that can help me. watching forward to another great blog. Good luck to the author! all the best! 스포츠토토사이트

    ResponderEliminar
  16. Reserve up the beneficial process you are doing here. 바카라사이트

    ResponderEliminar
  17. I have recently started a web site, the information you provide on this site has helped me tremendously. Thank you for all of your time & work. 스포츠토토

    ResponderEliminar
  18. Great site you have here.. It's hard to find high-quality writing like yours these days. I honestly appreciate people like you! Take care!! 스포츠토토

    ResponderEliminar
  19. Admiring the hard work you put into your blog and detailed information you provide. Great read! I’ve bookmarked your site and I’m including your RSS feeds to my Google account. 파워볼

    ResponderEliminar
  20. And i’m glad reading your article. However wanna remark on few normal issues, The website style is ideal, the articles is in point of fact nice! 토토사이트

    ResponderEliminar
  21. Keep up the good writing. pretty handy stuff, overall I imagine this is really worth a bookmark, thanks 카지노사이트

    ResponderEliminar
  22. I think I have never observed such web journals ever that has finish things. Thankyou 온라인카지노사이트

    ResponderEliminar
  23. This is also a very good post which I really enjoy reading. It is not everyday that I have the possibility to see something like this. 바카라사이트

    ResponderEliminar
  24. Hello, I read the post well. 안전놀이터추천 It's a really interesting topic and it has helped me a lot. In fact, I also run a website with similar content to your posting. Please visit once

    ResponderEliminar