Vaya por delante que no soy militante de ningún partido político.
Esta entrada tiene como detonante esta noticia. En resumen, nos comentan que la iniciativa del PP de la web http://www.tupropuestaen30segundos.com/
donde cualquiera podía introducir su número de teléfono y su nombre para que recibiera una llamada con una locución de Mariano Rajoy ha desbordado todas las previsiones; ahora han sustituido la llamada telefónica por un email.
Me ha resultado curiosa la propuesta y he visitado esa web con la intención de ver como trataban a la Ley Orgánica de Protección de Datos.
Mis conclusiones son inatacables; en total he contabilizado 4 infracciones, lo que podría sumar 450.000 euros en multas como máximo. Para conocer los detalles del examen haz clic en
En primer lugar, y para entender bien los supuestos, os recomiendo que visitéis la web http://www.tupropuestaen30segundos.com/ y hagáis clic en lo de “te necesitamos pincha aquí”; así sabréis de qué estamos hablando.
Hecho esto, os habréis dado cuenta que tan sólo nos piden 2 datos: el nombre y el correo electrónico (antes pedían el número de teléfono en lugar del email).
El nombre por sí sólo no es posible considerarlo un dato personal, ya que Juan o Pedro no identifican a nadie, pero el correo electrónico sí.
Por tanto, podemos afirmar, que este formulario está “recabando datos personales”. Y la pregunta es ¿qué medidas debemos adoptar cuando recabamos datos personales?. Veamos qué dice el artículo 5 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal:
1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:
a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
Los apartados b), c) y d) podrían obviarse en este supuesto según el apartado tercero de este mismo artículo (aunque siendo puristas debería también respetarse).
En cualquier caso, la información correspondiente a los apartados a) y e) es necesaria y en este caso, como cualquier puede ver, brilla por su ausencia. PRIMERA INFRACCIÓN.
Pasamos al siguiente artículo, el 6 de esta misma Ley Orgánica de Protección de Datos:
Artículo 6. Consentimiento del afectado
1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.
2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; […]
El tratamiento de los datos (enviar un correo electrónico es un “tratamiento de datos”) como vemos, requiere el consentimiento del interesado. En este caso podría entenderse que estamos dando nuestro consentimiento para el tratamiento, ya que estamos introduciendo los datos en un formulario; el problema es que realmente uno no sabe que va a pasar cuando pulse el botón de aceptar ¿que harán con mi correo electrónico?. Al no informarse de nada y al no poder interpretarlo del contexto, no es posible afirmar que estamos consintiendo al tratamiento de nuestros datos por faltar uno de los requisitos esenciales del consentimiento. El consentimiento se define en el artículo 3 como:
Consentimiento del interesado: Toda manifestación de voluntad, libre, inequívoca, específica e informada
Los requisitos de “libre”, “inequívoca”, y “específica” podríamos aceptarlos, pero el de “informada” desde luego que no, por lo ya expuesto: no es posible saber qué van a hacer con mi correo electrónico al no informarme de nada. SEGUNDA INFRACCIÓN.
Por otra parte, el correo electrónico debe almacenarse en algún sitio para su tratamiento y posterior envío del mensaje de Mariano; es decir, estamos constituyendo un fichero de datos aunque sea de forma temporal, dado que un listado de correos electrónicos, es sin duda, un fichero de datos personales.
A la hora de constituir un fichero de datos, es necesario estar a lo dispuesto en el artículo 26 de la Ley Orgánica de Protección de Datos:
Artículo 26. Notificación e inscripción registral
1. Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos.
No me ha sido posible encontrar el fichero de datos que genera esa página web en el Registro General de la Agencia Española de Protección de Datos. TERCERA INFRACCIÓN.
Por último, examinando el contenido del correo electrónico que recibimos en nombre de Mariano Rajoy, uno puede concluir en afirmar que podríamos estar ante un supuesto de comunicación comercial no consentida, en relación al artículo 21 de la Ley de Servicios de la Sociedad de la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI-CE):
Artículo 21. Prohibición de comunicaciones comerciales realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes.
1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.
En el correo electrónico se nos invita a participar con un spot electoral acudiendo a una dirección web del PP (la anteriormente citada)… ¿ah? ¿para eso tenía que poner mi correo electrónico? ¿para qué me enviaseis publicidad para participar en vuestras iniciativas?; pero peor aun es si le damos a la opción de “reenviar a un amigo” que también está disponible en la web; allí podremos introducir el nombre y el correo electrónico de un amigo para que le llegue un mensaje que simplemente pone
“Visita esta web!!
http://www.tupropuestaen30segundos.com
te sorprenderá”
Como remitente aparece mariano.rajoy@pp.es
Sin duda alguna nos encontramos ante el supuesto descrito en el artículo 21 de la LSSI-CE. CUARTA INFRACCIÓN y más aun si ponemos la dirección de otra persona (de esto ya hablaremos en el futuro para ver la responsabilidad de lo de “enviar a un amigo”).
Según el régimen sancionador de estas normativas, tendríamos:
Esto viene a demostrar como la normativa de protección de datos sigue siendo la gran desconocida no sólo en el mundo empresarial sino también en el político.
Si tenemos tiempo, hablaremos en unos días de algunas iniciativas del PSOE que tampoco se queda corto.
Fuente: Samuel Parra. Derecho de las nuevas tecnologÃas