felinia
mensual

 

 

 
felinia 22

on line desde enero 2002

noviembre 2003

PRAXIS EN LA POLÍTICA DE PRIVACIDAD DE LOS WEBSITES: LEGALIDAD (I)

Javier Hernández, especialista en derecho de Internet y Nuevas Tecnologías
.
 

En este artículo vamos a analizar los aspectos legales de las llamadas Políticas de Privacidad, entendiendo por tal expresión aquélla alusiva a cómo y bajo qué parámetros va a llevar a cabo, el web de que se trate, el tratamiento de los datos de carácter personal que obtenga de sus clientes o usuarios.

Campos en los formularios

Lo usual es que el usuario, o incluso cliente, a la hora de proporcionarnos información propia de carácter personal tenga que rellenar los campos que a tal efecto, y bajo la forma de formulario, se habrán dispuesto para ello en la web.

Un aspecto en este sentido que normalmente se pasa por alto es el referente al campo -cuando se incluye- de Observaciones o similar, esto es, un campo en el cual el sujeto puede introducir cualquier información que desee al ser de texto libre (comentarios, opinión, quejas, sugerencias, etc). Si nos fijamos, es prácticamente imposible saber a priori qué tipo de información va a darnos por dicha vía la persona. Por ejemplo: vendemos pantallas de ordenador, y un visitante nos pregunta si con ellas tendría problemas con las jaquecas que periódicamente padece. En tal caso, nos está aportando datos sobre su salud, con lo cual el nivel de seguridad sería el máximo, e incluso la empresa poseedora de dichos datos se vería en la obligación de realizar una auditoria de protección de datos cada dos años.

Tratamientos invisibles

Por tal expresión se entiende la recogida de datos y su posterior tratamiento de forma que el usuario no sea consciente de ello. El ejemplo claro lo constituyen las famosas cookies, mediante las cuales se introduce en el ordenador del usuario un archivo, que en principio sólo contiene información de texto, y que nos irá proporcionando información sobre la conducta del usuario, como qué pagina visita más, con qué frecuencia, cuáles son su login y password en nuestra web, y más cosas.

Para el uso adecuado de las cookies hemos previamente de advertir al usuario que nuestro portal o website las incorpora, y ello a fin de que el visitante pueda decidir si las admite o no. En caso de que no lo desee, podrá evitarlo haciendo las modificaciones oportunas en la configuración del programa de navegación que utilice.

 

No hemos de olvidar que si las cookies recogen información como la dirección electrónica del visitante, ésta, en principio, se considerará un dato de carácter personal, y en consecuencia habremos de aplicar a la misma todas aquellas reglas y preceptos contemplados en la LOPD, que de una forma sintética serían: inscripción del fichero en el Registro General de Protección de Datos, elaboración del llamado Documento de Seguridad (y su aplicación, claro), y aplicación de las llamadas Medidas de Seguridad, aparte de hacerle conocedor de los derechos que la ley le reconoce.

Si la cookie, por el contrario, sólo recoge la dirección IP, junto con otros datos, pero nunca información que se pudiese considerar de carácter personal, no entrará en juego la norma antes mencionada -la LOPD-, no estando el tratamiento de dicha información sujeto a ninguna de dichas obligaciones. No obstante hay estudiosos del tema que consideran que cuando la IP es fija -pues también las hay variables-, la obtención de dicho dato sí sería considerado como de carácter personal, y por tanto habríamos de aplicar todas las cautelas expresadas.

Obtención del consentimiento

La ley principal que regula estos temas es la LOPD (Ley Orgánica de Protección de Datos de Carácter Personal), y nos habla de que a la hora de recoger el consentimiento, necesario, de aquellas personas de las cuales vayamos a tratar sus datos personales, dicho consentimiento habrá de ser inequívoco. Por tal concepto hay que entender aquel consentimiento prestado de una forma que no deje lugar a dudas y que por lo tanto no sea ambiguo ni genere confusión u oscuridad de tipo alguno.

Uno de los grandes problemas del empresario de Internet es poder probar que alguien prestó su consentimiento, pues ¿cómo probar que cuando Pepe dijo sí en relación a unas cláusulas concretas, el contenido de las mismas era el que nosotros decimos y no otro? Imaginemos que en los apartados de nuestra Política de Privacidad se había aludido a que los datos recogidos se remitirán a empresas de marketing inglesas, o españolas, relacionadas con el deporte, y también a empresas de publicidad.

Para ello -entre otras cosas-, y así viene recogido en la LSSI, se regula en dicha norma la intervención de los llamados Terceros de Confianza. Esta figura estará constituida por aquellas empresas cuyo servicio consistirá en archivar, digitalmente, el contenido de nuestros contratos ubicados en la web, pero no sólo ello, sino también las manifestaciones que sobre los mismos efectúen las personas que contraten con nosotros. En otras palabras, contratando dichos servicios podríamos acreditar que nuestro amigo Pepe, en tal día, hora, fecha y segundos, manifestó su consentimiento en orden al texto que le pusimos como Política de Privacidad.  

Pero... ¿no hay otros métodos más sencillos? Uno podría ser depositar en el Registro de Condiciones Generales de la Contratación -ubicados y dependientes de los Registros Mercantiles- dichas cláusulas, lo cual, en principio, daría fe del contenido de las mismas.

Otro método, un tanto más engorroso, podría ser el acudir a un notario, y encargarle no sólo que acuda a la dirección web en la que tenemos dicho texto, y levante un acta con el contenido del mismo, sino que además, de forma aleatoria, y nunca advirtiéndonos del momento preciso, realice la misma operación. Esto último supondrá, que en principio, si cuando fue el notario vio dicho texto, en teoría se presume que éste permanecía así durante esos intervalos de tiempo.

Consentimientos especiales

Ocurre que más de una vez los datos que se recaban no son simplemente aquellos como dirección, nombre, apellidos, país, etc., sino que en ocasiones los mismos pertenecen al grupo que según la LOPS merecen un tratamiento especial, por cuanto el consentimiento que se recabe ha de ser necesariamente expreso y por escrito. En principio más de uno se asustará al leer que ha de ser escrito, pero ello se podría salvar con el uso adecuado de la firma electrónica llamada avanzada, que según la norma que la regula equivale a la firma manuscrita tradicional.

Los datos especialmente protegidos serían aquellos referentes a la salud, ideología, afiliación sindical, religión, creencias, origen racial y vida sexual.

Hay situaciones que muchas veces pasan inadvertidas y constituyen realmente supuestos de recogida de datos especialmente protegidos. Uno podría ser el de aquellas personas que van con frecuencia a adquirir productos de contenido sexual, ya los que mediante cookies les estamos haciendo un seguimiento. En tal caso, si la cookie recoge informaciones como su dirección de correo, habremos de considerar a tal información de tipo especial, lo cual conllevará aplicar las medidas de seguridad que se establecen para ello, que entre otras cosas suponen que la información de ese tipo sólo podrá transitar por la Red de forma cifrada o encriptada.

Principio de calidad de los datos

Este principio, recogido en la LOPD, hace alusión a que los datos que recabemos habrán de ser exactos, pertinentes y no excesivos en relación al fin para el cual se solicitan. Ello querrá decir, por ejemplo, que si vendemos zapatos, no tenemos por qué estar preguntando a dónde se va de vacaciones, o cuántos hijos tiene, salvo que se advierta previamente -y así consienta el titular de los datos- de que se usarán por ejemplo para cederlos a empresas de agencias de viaje o de marketing sobre dichos temas.

Por otro lado, cuando los datos que conservemos dejen de ser necesarios, habremos de proceder a lo que se denomina técnicamente cancelación, que no es otra cosa que el borrado de los mismos de nuestro sistema de información.

La excepción a lo anterior la conforma el supuesto en el cual se vayan a utilizar dichos datos con una finalidad histórica, científica o artística. Ello querrá decir que será lícito conservar dichos datos siempre y cuando el uso que se les esté dando sea alguno de los mencionados ahora.

 .

PRAXIS EN LA POLÍTICA DE PRIVACIDAD DE LOS WEBSITES: LEGALIDAD (II)

Javier Hernández, especialista en derecho de Internet y Nuevas Tecnologías

Después del análisis anterior, hoy vamos a terminar de exponer aquellos aspectos básicos en la Política de Privacidad de un web site.

Ubicación de la Política de Privacidad en la web

Aunque a muchos les pueda parecer una obviedad, no son raros los casos en los que se dificulta encontrar el texto comprensivo de la Política de Privacidad del web. Para cumplir debidamente con el llamado deber de información, lo cabal y correcto es que dicho texto sea de fácil localización, y si además pretendemos seguir las pautas y consejos de la Agencia de Protección de Datos -más que recomendable- deberíamos poner un enlace en la página de inicio, y mucho mejor aún si el mismo está en el resto de las páginas del portal.

También es de destacar la práctica no sólo de impedir copiar el texto, sino incluso de imprimirlo. Sabemos que normalmente el motivo de ello no es otro que evitar que accedan al código fuente de la página, o incluso al diseño de la misma, impidiendo así su copia o plagio. Para ello, y si ése es el motivo, podemos plasmar el texto que regirá nuestra Policita de Privacidad en otra página, a la cual remitirá el correspondiente enlace, siendo esta nueva página de destino una que no reúna las características o condiciones que pretendemos que no sean copiadas. Tal vez así disminuiremos la estética del web -sólo en dicha página-, pero por el contrario aumentaremos su legalidad y el riesgo de eventuales quejas o denuncias en materia de protección de datos.

 

Fin de la obtención y tratamiento de datos

Es claro que la obtención de datos de terceras personas a través de nuestro negocio o página web es siempre para un fin específico. Lo que también es claro es que no siempre se advierte al titular de dichos datos -ya sea un cliente o un mero visitante- del fin concreto. Partiendo de que hayamos manifestado un fin determinado, la información que recabemos de la persona habrá de cumplir los siguientes parámetros: habrá de ser adecuada, pertinente y no excesiva, y ello siempre en relación a la finalidad que declaremos.

No son raros los sitios en los cuales sólo deseamos comprar un producto para nuestro jardín y nos soliciten información acerca de si vivimos o no solos, o de cuántos hijos tenemos. En tal caso es evidente que la información solicitada es excesiva, y por tanto ilegal almacenarla, salvo que previamente hayamos advertido al titular de dichos datos de que, además de para su compra para el jardín, sus datos se utilizarán, por ejemplo, para fines relacionados con publicidad o marketing. Todo esto responde a lo que se llama principio de calidad de los datos.

Lo anterior trae como otra consecuencia que no podremos llevar a cabo un tratamiento de dichos datos en orden a ninguna otra finalidad que fuese distinta de la que originó su obtención, aunque la LOPD recoge Las siguientes excepciones: fines históricos, estadísticos o científicos.

Datos de menores de edad

Aunque no es lo habitual, hay webs que recaban datos de carácter personal de menores de edad, a veces sabiéndolo, y otras sin conocer dicho dato. En el caso de que se identifiquen como tales, o sea, como menores de edad, habrá que distinguir entre que tengan más o menos de catorce años, pues si están el tramo superior, ha manifestado la Agencia de Protección de Datos, en su Memoria anual correspondiente al año 2000, que tales menores, si poseyesen un grado suficiente de discernimiento, podrán consentir el tratamiento automatizado de sus datos, no requiriéndose en tal caso el consentimiento de sus padres o tutores.

En el supuesto de que sean menores de catorce años, se requerirá el consentimiento de los mayores que de ellos responsables sean, y siempre, se trate de más de catorce o de menos, pero sin alcanzar aún la mayoría de edad, existirá la prohibición de solicitarles datos referentes a la situación económica de su familia, o acerca de la intimidad de ésta.

Resulta evidente que el titular de una página web no es "adivino", y que por lo tanto difícil se nos presentará el conocer la edad real de aquel visitante que sus datos aporte. La LOPD no nos exige erigirnos en vigilantes infalibles de la información que nos pueda aportar todo aquel que navegue por nuestro website, por lo que ante tal situación sólo cabe actuar conforme a lo que se da en llamar postulados de la buena fe, esto es, adoptar comportamientos guiados por la razón y sana intención, por lo que ante cualquier indicio de que el usuario o cliente no es mayor de edad habremos de hacerle saber la necesidad del consentimiento de sus padres si es menor de catorce, y si es mayor de dicha edad, habremos de juzgar si aparenta tener el juicio necesario como para hacer lo que hace con sus datos.

Derechos de obligada información

La LOPD recoge, entre otros, un conjunto de derechos de obligada presencia, que son los llamados de acceso, cancelación, oposición y rectificación. Es por ello que estamos obligados a comunicar a la persona de la cual recabemos sus datos personales que tales derechos le asisten, indicándole además cómo y ante dónde ejercitarlos. El cómo puede ser mediante correo postal tradicional, y el ante dónde será en la dirección que le indiquemos, que normalmente coincidirá con aquella en la que esté la sede de la empresa online.

  • El derecho de acceso consiste en permitir al titular de los datos conocer qué datos poseemos de él, a quién -en su caso- se han cedido y a qué finalidades están destinados o los pensamos destinar.
  • El derecho de oposición significa el derecho que le asiste en relación a negarse a que continuemos tratando sus datos, aunque ello conlleva sus matices, pues no podrá tener efectos retroactivos y habrá de basarse en una causa justificada, no en el mero capricho.
  • El derecho de rectificación consistiría, como su propio nombre indica, en la posibilidad del sujeto titular de los datos de que aquellos datos que de él poseamos, y sean inexactos, incompletos, inadecuados o excesivos, sean modificados para ajustarlos a la realidad, pudiéndose llegar incluso a la cancelación de los mismos. Hemos de saber también que la cancelación también procederá, aunque no exista petición alguna al respecto, cuando los datos poseídos dejen de servir ya al fin propuesto, en cuyo caso habrá de procederse a la cancelación de los mismos de forma automática y sin petición alguna por parte del interesado.

Por último, comentar que a la hora de ejercitarse estos derechos, habrá de identificarse debidamente el titular de los mismos, previéndose que se realice ello mediante la pertinente documentación que se enviará vía postal tradicional (lo habitual es una fotocopia del DNI), aunque también vale para los mismos fines la firma electrónica avanzada, aunque esto último no es lo habitual hoy por hoy, desgraciadamente. Como método alternativo cabría pensar en aquellos habilitados especialmente en la web y que sólo permiten el acceso a sus datos o la comunicación de información mediante la introducción previa de un login y una contraseña, a fin de filtrar quién accede y quién no, pero hemos de reconocer que tal método no es tan seguro como el de la firma electrónica avanzada, pues ... ¿y si se pierden las claves?, y además, ¿ cómo podemos tener la seguridad de que quién dio los datos inicialmente es quién dijo ser?.

 

 

Visitar FELINIA WEB

¡NO A LAS GUERRAS!