No el tradicional, ese de papel que se presenta en las entrevistas tradicionales de trabajo y que casi nunca dice nada ni sirve de mucho más que de formalidad laboral. La vitalidad es la del curriculum 2.0, una entelequia viva y en constante evolución.

El curriculum 2.0 es todo lo que consta en nuestro curriculum 1.0 (estudios, trabajos y demás) y lo que escribimos en el blog personal o profesional,  los comentarios que hacemos en otras webs o blogs, los vídeos que colgamos en Youtube, las diapositivas que compartimos en Slideshare,  nuestros perfiles  en redes profesionales y sociales y todo lo que hacemos en la Red.

Leer más

Leyendo un post en Bitacoras.com sobre qué debe hacer un blogger si recibe una petición para eliminar algún contenido de su bitácora, me han surgido varias dudas en referencia a la aplicación de la normativa en protección de datos de carácter personal y la actividad de los bloggers.

Buscando en el Oráculo de Google, me he encontrado con un par de posts sobre esta temática. Para ayudar a los bloggers que me lean, les recomiendo revisen y apliquen la Guía legal para blogueros y podcasters (PDF) de Derecho en Red.

Para responder a la pregunta de si es posible tener un blog y firmar anónimamente, primero responderemos a una previa:

¿Estoy obligado a cumplir con la LOPD si soy un bloguero aficionado y mi blog es personal?

Depende:

  • Si la temática del blog es meramente personal, en el sentido de que se tratan temas del ámbito personal y doméstico del bloguero, al estilo diario personal en forma de blog, en principio no. Pero si se permiten los comentarios o se puede uno suscribir por email, ya se está sujeto a la LOPD.
  • Si hay publicidad en el blog, el blogger se considera un prestador de servicios de la sociedad de la información y debe cumplir con la LSSI en lo que le afecte.
  • En principio el bloguero es un responsable de fichero en cuanto a la información publicada en el blog y los comentarios, y debe inscribirse en la Agencia Española de Protección de Datos y cumplir con el resto de obligaciones de esta normativa.

¿Puede un bloguero de un blog con publicidad o que deba cumplir con la LOPD (yo diría que más del 90% de blogs) ser anónimo?

La respuesta, en base a mi criterio profesional, es que NO.


No puede firmarse un blog de forma anónima.

La razón estriba en que la LSSI y/o la LOPD obligan al bloguero a informar a los comentaristas y lectores de:

  • La existencia de un fichero o tratamiento de datos de carácter personal (y se debe declarar ante la Agencia Española de Protección de Datos) de la finalidad de la recogida de éstos y de los destinatarios de la información.
  • La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
  • La identidad y dirección del responsable del blog.

¿Eres un blogger anónimo o no cumples con el resto de obligaciones de la LOPD?

La Agencia puede sancionarte de oficio o si algún comentarista te denuncia.

Te recomiendo encarecidamente te asesores debidamente por un profesional y no esperes ni un momento a cumplir con esta legislación.

Encuentro un recomendable post en una recomendable web (Ayuda Ley Protección de Datos) sobre LOPD que responde a esta pregunta y a las más general, que sería:

¿Se pueden enviar comunicaciones comerciales no solicitadas a empresas cuyos datos procedan de fuentes accesibles al público?

En este blog ya hemos tratado el tema. En Ayuda Ley Protección de Datos nos hacen un resumen muy útil del tema:

  • Envío postal a empresa: permitido en cualquier caso. No le afecta la LOPD por no tratarse de datos de carácter personal, ni la LSSI al no ser un envío electrónico.
  • Envío postal a particular: permitido con condicionantes (se deberá cumplir con el deber de información al afectado a que hace referencia el artículo 45.2 del Reglamento, informar que el origen de los datos procede de fuentes accesibles al público, de la identidad del responsable del fichero, de que tiene el derecho de acceso, rectificación, cancelación y oposición, etc).
  • Envío electrónico a empresa o particular: no permitido sin consentimiento previo, ya que al ser electrónico el envío se regula por la LSSI y en ésta no existe el concepto de fuentes de acceso público.

Leo en Meneame el supuesto caso (actualización 11/08/2010: acerté al sospechar, es un Hoax, si bien no desvirtúa el contendido de este post) de una empleada que abandona su trabajo harta de sentirse menospreciada por su jefe Spencer. Os recomiendo ver y leer las fotos por qué no tienen desperdicio. La traducción, si la necesitáis, está en el comentario 8 del enlace de Meneame.

Básicamente, se va al saber que su jefe, además de tratarla despóticamente y olerle mal el aliento (señores, pidan a su familia que le diga la verdad en pos de una saludable jornada laboral con los suyos), considera que una de sus mayores cualidades es estar buena. Daría risa si no fuera tan triste y tan común, me temo. No es que encontrar bonita a una compañera o empleada o jefa sea malo, lo malo es usar esta percepción para minusvalorar las cualidades de una profesional.

En la misma línea, no de belleza femenina, sino de un profesional que se ha marchado de una empresa por la incapacidad directiva de su responsable, leí un post explicando su vivencia de un buen amigo (está en catalán, aconsejo Google traslator en caso de no entenderlo, vale la pena).

No voy a polemizar por polemizar, yo soy un empresario humilde y tengo mis virtudes y defectos laborales como todo el mundo. No se trata de atacar al colectivo de directivos ni hacer populismo bloggero barato.

Lo que ocurre es que uno, si dirige personas y gestiona recursos, tiene una responsabilidad que no puede olvidar. De su capacidad de gestión, de coordinar equipos humanos, de su involucración en la empresa y en sus habitantes (socios, directivos, empleados, proveedores, clientes) depende no sólo su sueldo o beneficio, sino las personas y sus sueldos y bienestar.

Un directivo inútil puede llevar a la ruina una empresa y mandar a sus empleados a la calle, a los socios arrebatarles el valor de las acciones, a sus proveedores obligarles a ajustar sus plantillas y a los clientes dejarles sin servicio, entre otros damnificados.

No digo que para ser directivo haya que ser un genio, ni mucho menos. Ni que se haya que tener un carácter exquisito y una inteligencia emocional a prueba de bomba. Lo que si digo es que si uno tiene intención de dirigir personas y recursos, debe ser disciplinado, serio, voluntarioso, disfrutar de su trabajo y de trabajar con los demás, formarse cada día en las habilidades técnicas que requiere su puesto y en las emocionales que se necesitan para mandar. En pocas palabras, ser un jefe y no un gañán empresarial.

Los emprendedores arriesgan su dinero e invierten su tiempo para, si la cosa funciona, obtener un beneficio. No basta, para poder apropiarse del beneficio que genera su empresa. Hay que dar más, crear un ambiente de trabajo productivo y sano en que sus empleados se sientan bien. La responsabilidad social ya no debería ser un plus, en una sociedad interconectada y social como la que empezamos a vivir, crear empresas humanas será una condición necesaria para sobrevivir empresarialmente. O eso espero si queremos ser un país competitivo.

A los vagos, a los manipuladores, a los arrogantes, a los engreídos, a los aprovechados, a los déspotas, a los ignorantes, a los irresponsables y demás, les ruego no se dediquen al mundo de la dirección. Sobran.

En la entrada anterior hemos visto que el Tribunal Supremo entiende que si hay interés legitimo una empresa puede tratar datos de una persona física sin el consentimiento expreso del interesado, cuando hasta la sentencia del TS sólo se podía hacer en caso de que existiera una ley habilitante (por ejemplo el Estatuto de los Trabajadores en el caso de los datos de la nómina y contratos laborales) o se tratara de datos recogidos de fuentes accesibles al público.

En la web de la Agencia no se hace referencia a este cambio en las reglas del juego, al menos a día de hoy yo no lo he visto. Me parece increíble que no esté aun reflejada esta información. Espero que la razón no sea que el encargado está de vacaciones, ya que en los tiempos que corre hay internet y unas horas extras en materia tan importante no matan a nadie. Veremos si se dignan a hacer mención en días venideros a esta sentencia del TS.

Antes de entrar a analizar que se considera interés legítimo, dos cuestiones previas:

¿Puede el Tribunal Supremo modificar la Ley?

El Tribunal Supremo no puede anular una norma con rango de ley, pero si  puede anular artículos de un reglamento, que es lo que ha hecho con el RLOPD (PDF). Esa facultad deriva directamente de nuestra Constitución, que establece que los tribunales actúan sometidos únicamente al imperio de la Ley.

Los reglamentos, como normas de rango inferior a las leyes (aunque éstas también son disposiciones de carácter general), al emanar del Ejecutivo y no del Legislativo, no obligan a los jueces y tribunales, que pueden anularlas en caso de impugnación directa del reglamento, como ha sido el caso, o inaplicarlas en caso de que se impugne un acto concreto de aplicación del reglamento.

¿Afectará esta sentencia a las sanciones de forma retroactiva?

Veremos como se aplica el principio de retroactividad de las normas sancionadoras más favorables.

En opinión de mis fuentes jurídicas consultadas, la retroactividad alcanzaría sólo a las sanciones no firmes; si alguien tiene un procedimiento abierto en el que sea de aplicación algún artículo anulado o modificado, quedaría sin sanción.

En cambio, las sanciones que ya son firmes se mantendrían, como viene siendo doctrina en el ámbito administrativo.

Veamos ahora lo que dice el TS sobre el interés legitimo:

La normativa europea busca facilitar la libre circulación de datos personales entre Estados miembros, garantizando su debida protección. Para ello persigue unificar los criterios de los distintos Estados. La normativa española, al parecer, se excedió no aceptando el interés legitimo para tratar datos sin consentimiento expreso del afectado.

El TS ve indicios de que la normativa española es demasiado restrictiva al considerar que sólo si los datos proceden de una lista cerrada de “fuentes accesibles al público” estamos ante un interés legitimo que exime de obtener el consentimiento expreso del afectado, y plantea al Tribunal de Justicia de las Comunidades Europeas las siguientes cuestiones prejudiciales:

1ª) «¿Debe interpretarse el artículo 7, letra f), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, en el sentido de que se opone a una normativa nacional que, no mediando consentimiento del afectado y para permitir el tratamiento de sus datos de carácter personal que resulte necesario para satisfacer un interés legítimo del responsable o de los terceros a los que se vayan a comunicar, exige además de que no se lesionen los derechos y libertades fundamentales de aquel que los datos consten en fuentes accesibles al público?»

 

2º) «¿Concurren en el mencionado artículo 7, letra f), las condiciones que exige la jurisprudencia del Tribunal de Justicia de la Unión Europea para atribuirle efecto directo?»

Es decir, ¿se ajusta al derecho comunitario las exigencias de la normativa española de que haya una ley habilitante o los datos se hayan obtenido de una fuente accesible al público cerrada para no obligar a solicitar el consentimiento expreso de los afectados?

Por ejemplo, actualmente los datos personales que uno publica en su web no se pueden tratar, cosa que tal vez sea una restricción demasiado severa para la normativa europea.

Acabo de leer que en Expansión que el Tribunal Supremo, en sentencia de 15/07/2010 acaba de anular los artículos 11, 18, 38.1.a y 2 y 123.2. del Reglamento de Protección de Datos, dejando como cuestión imprejuzgada el artículo 10. 2.a y b, el tratamiento y cesión de datos, que eleva como cuestión prejudicial al Tribunal de Justicia de las Comunidades Europea.

Primero resumiremos lo que se discute en la sentencia, para que el profano no se vea aburrido por información jurídica que puede no ser de su interés:

La normativa europea, para facilitar la circulación de datos entre los Estados miembros, establece que el tratamiento de datos personales sólo puede efectuarse si el interesado ha dado su consentimiento de forma inequívoca [artículo 7, letra a)] o concurren otras causas legítimas entre las que se encuentra la de resultar el tratamiento:

«[…] necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o los terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado.

Entre los artículos que anula el TS, destacar el art. 18 Acreditación del cumplimiento del deber de información , que decía:

1. El deber de información al que se refiere el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, deberá llevarse a cabo a través de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento de los datos del afectado.


2. El responsable del fichero o tratamiento deberá conservar el soporte en el que conste el cumplimiento del deber de informar. Para el almacenamiento de los soportes, el responsable del fichero o tratamiento podrá utilizar medios informáticos o telemáticos. En particular podrá proceder al escaneado de la documentación en soporte papel, siempre y cuando se garantice que en dicha automatización no ha mediado alteración alguna de los soportes originales.

Básicamente lo que se persigue es consagrar la libertad de forma (verbal, escrita, etc) en la recogida de datos y su consentimiento por el afectado.

Importante es la eliminación de un párrafo del artículo 38.1:

Artículo 38. Requisitos para la inclusión de los datos.


1. Sólo será posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado, siempre que concurran los siguientes requisitos:


a. Existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada.


[Texto eliminado] Artículo 38.1.a “y respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el Reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero.

Básicamente, se disminuye el nivel de protección del ciudadano antes la inclusión de una deuda en el Asnef u otros ficheros de solvencia patrimonial, ya que no se les exige se les exigen los requisitos anteriores en cuanto a la seguridad de que la deuda sea cierta.

Algunos agentes de seguros creen que ellos no tienen que hacer nada a efectos de protección de datos de carácter personal, y quién tiene que proceder a cumplir con las medidas de seguridad adecuadas es la Aseguradora para la cuál trabajan. ¿Es así?

La AEPD emitió un informe jurídico sobre el tema: Naturaleza de las actividades de mediación de seguros según la LOPD. Informe 433/2003 (en PDF)

En el caso de un agente de seguros, su figura aparece directamente vinculada a la entidad aseguradora para la cual presta sus servicios de Agencia, no pudiendo prestar los mismos para otras compañías y, en todo caso, nunca en relación con el mismo ramo del seguro.

Por este motivo, cabe concluir que la actividad de los Agentes puede considerarse incardinada en la propia de un encargado del tratamiento, definido por el artículo 3 g) de la Ley Orgánica 15/1999 como “La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento”, condición que ostentaría en este caso la entidad aseguradora a la que se preste el servicio de Agencia.

Entre las obligaciones de los Agentes de seguros están:

  1. Disponer de un contrato de tratamiento debidamente firmado con las Aseguradora, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
  2. Cuando el agente deje de trabajar para la aseguradora debe tener en cuenta que: “una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento”.
  3. No se permite una subcontratación de este tipo de servicios por parte del encargado del tratamiento, debiendo siempre el responsable ser parte en la relación jurídica, ya que cualquier transmisión de los datos a una terminal que no corresponda al responsable del fichero habrá de ser considerada cesión.
  4. Aplicar las mismas medidas de seguridad que la Aseguradora.
  5. En cuanto a la obligación de notificación del tratamiento, deberá efectuarse por el responsable del mismo (Aseguradora), indicando expresamente la existencia de una entidad encargada del tratamiento, debiendo además hacerse constar expresamente la ubicación del fichero, en caso de que el servicio prestado consista precisamente en el alojamiento del mismo. Por tanto, todas las Aseguradoras han de comunicar puntualmente los agentes que tiene o se incorporan a la red, al ser éstos sus encargados de tratamiento.

El caso de los corredores de seguros las obligaciones varían; recomiendo mirar el informe si es su caso.

Visitando la web de la Agencia veo que han abierto una página con recomendaciones de protección de datos de carácter personal de los usuarios de Internet. Nos dice:

En Internet, como en el mundo físico, nuestra actividad deja un rastro. Además de los datos personales que aportamos voluntariamente al darnos de alta en servicios como redes sociales, portales de contactos o de compra on-line, y de los datos personales propios que otros pueden publicar en sitios web sin nuestro conocimiento, nuestra navegación en Internet deja rastros que pueden identificarnos.

Tus datos en internet

  • En cuanto a los datos que suministramos voluntariamente en redes sociales, blogs y demás, hay que dar los mínimos necesarios en base a lo que deseamos que se sepa de nosotros. Hasta el más mínimo detalle puede permitir a cualquiera localizarnos o conocer nuestro perfil personal e ideológico. Compartir es bueno, pero sabiendo lo que hay que compartir y lo que no.
  • Datos personales publicados por terceros: alguien que comparte una foto nuestra con sus contactos está distribuyendo un dato personal nuestro sin consentimiento, por ejemplo. También pueden publicar datos nuestros los repertorios telefónicos, los blogs, los medios de comunicación en formato digital, etc. En la mayoría de los casos, y salvo excepciones, tenemos derecho a solicitar que se cancelen los datos publicados en esos sitios web o, al menos, a que se evite su recuperación por los buscadores. Para ello, debemos dirigirnos al responsable del sitio web que aloja el contenido con nuestros datos o también, en el caso de los blogs y foros, al autor del contenido.
  • Datos de navegación en la red: la IP de nuestro ordenador puede permitir saber nuestra localización e identidad si somos los titulares de la línea. Las cookies son creadas por el sitio web que visita el usuario y permiten a éste conocer con detalle su actividad en el mismo sitio o en otros con los que se relaciona éste (localización, navegador, páginas que visita, etc). Los sitios web deben informarnos de la utilización de cookies. Además, es posible y recomendable, a través de las herramientas que proporciona el navegador que utilicemos, borrar regularmente las cookies que se almacenan en nuestro ordenador.

En base a preguntas usuales aparecidas en la Memoria de 2009 de la Agencia Española de Protección de Datos, seguimos con algunas respuestas a estas dudas de los ciudadanos y empresas:

¿Puedo comprar una base de datos con emails para hacer publicidad masiva?

Respuesta: No

La LSSI, en su artículo 21.1, prohíbe de forma expresa “el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas”. Es decir, se desautorizan las comunicaciones comerciales dirigidas a la promoción directa o indirecta de los bienes y servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional, con la excepción de los envíos de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que fueron objeto de contratación anterior.

Más Información

¿Cómo puedo evitar que me sigan mandando publicidad no deseada?

Respuesta: denunciando a la Agencia Española de Protección de Datos

¿Es legal incluir en un fichero de morosos sin notificar la inclusión?

Respuesta: No, se debe informar previamente al afectado.

Según el Artículo 39. Información previa a la inclusión del RD 1720/2007

El acreedor deberá informar al deudor, en el momento en que se celebre el contrato y, en todo caso, al tiempo de efectuar el requerimiento previo de pago a quien corresponda el cumplimiento de la obligación, que en caso de no producirse el pago en el término previsto para ello y cumplirse los requisitos previstos en el citado artículo, los datos relativos al impago podrán ser comunicados a ficheros relativos al cumplimiento o incumplimiento de obligaciones dinerarias.

¿Es legal que una tercera empresa reclame una deuda en nombre de otra?

Respuesta: No si la deuda comunicada a la empresa de reclamación de deudas no es correcta

Para la cesión de datos de carácter personal (en este caso deudas) el art. 11 de la LOPD exige el consentimiento expreso del afectado o bien que haya una habilitación legal. En cuanto a esta habilitación legal, hay que remitirse a los art. 347 y 348 del Código Mercantil. Requisitos:

  1. Existencia de un crédito (deuda a cobrar)
  2. Existencia de un acreedor (cedente)
  3. Existencia de un cesionario (el que recibe los datos y la posibilidad de cobrar dicho crédito)
  4. Existencia de una deuda por parte del titular del dato cedido

Ejemplo de sanción (PDF)

¿Cómo hacer para desaparecer de una página web?

Respuesta: ejerciendo nuestros derechos de acceso, rectificación, cancelación u oposición.

¿Es obligatorio inscribir los ficheros de geolocalización de los trabajadores?

Respuesta: Si

Los datos de geolocalización se consideran datos personales y se definen como “cualquier dato tratado en una red de comunicaciones electrónicas que indique la posición geográfica del equipo terminal de un usuario de un servicio de comunicaciones electrónicas disponible para el público”

Informe jurídico

Esperamos haber resuelto satisfactoriamente alguna de vuestras dudas en materia de protección de datos de carácter personal.

Se pueden visionar los vídeos de las intervenciones en este post de agitacion.net

Comentarios en tiempo real:

Frases de Enrique Dans:

“Se supone que en algún momento llegaremos a una época post-crisis”

“La LOPD podría ser demasiado exigente en el mundo de las redes sociales”

“El raro, el friki, es el que no está en las redes sociales”

“El marketing se hace social, el contenido tiene más valor cuando el usuario manosea la publicidad e interacciona”

“el político cada vez más tiene la obligación de ser transparente”

“Hay un desfase entre el conocimiento de las redes sociales de los usuarios y de las empresas, y esto cambiará en la época post-crisis”

Frases de Vicente Varó:

“El sistema distribuido (el de internet) es la mejor forma de que perviva un sistema de información en una guerra nuclear”

“la gente quiere independencia y busca a los expertos de los blogs”

“las empresas no apuestan demasiado por las redes sociales, el Banco de España no tiene canales en las redes sociales”

Frases de Marc Vidal:

“Hablan de la crisis del fin del mundo, algunos sectores socialistas, y yo creo que no se equivocan”

“Emprender es estar en crisis constante”

“los políticos tendrán que cumplir con sus promesas”

“hay muchas empresas que ya gestionan la información de otras empresas en las redes sociales”

“las redes sociales obligan a las empresas a vender siendo honestas”

“el prosumidor es aquel que produce consumiendo”

“las redes sociales no son para vender, aunque acaben aportando consumidores”