Información jurídica inteligente
 España | 900 649 672

El tratamiento de los datos personales en Internet.

Document Citas 12 Citado por Relacionados
Vincent
AutorJavier Domingo Ripalda
CargoAbogado y Asociado del Bufete Moreno-Torres, despacho especializado en Derecho de las Nuevas Tecnologías.
Páginas10

Índice de la comunicación.

- Introducción. Objeto de la comunicación.

- La figura del responsable del fichero en Internet. Obligaciones.

- El correo electrónico como dato personal. Problemática.

- Las cookies como datos de carácter personal. Problemática.

- Deber de información en la recogida de los datos personales. Especialidades en el otorgamiento del consentimiento. El Encargado del Tratamiento. Problemática y casos reales.

- Conclusiones.

Introducción. Objeto de la comunicación. Autor de la misma.

Mediante el presente documento, se pretende dar una idea global y actual de las implicaciones que la aparición de Internet está suponiendo en la regulación referente a la recogida, tratamiento y cesión de los datos personales.

De ahí que, en el presente texto, nos encontremos una lógica contraposición entre las potencialidades que las Nuevas Tecnologías otorgan a los prestadores de servicios frente a las limitaciones y obligaciones que legalmente se están imponiendo con la finalidad de defender distintos derechos, entre los que se encuentra el derecho a la seguridad y la integridad de los datos personales.

El presente artículo ha sido elaborado por Javier Domingo Ripalda, abogado colegiado del Real e Ilustre Colegio de Abogados de Zaragoza y Asociado del Bufete Moreno-Torres, despacho especializado en Derecho de las Nuevas Tecnologías.

La figura del responsable del fichero en Internet. Obligaciones.

Comenzaré la presente exposición con el lema utilizado por la propia Agencia de Protección de Datos (en adelante, APD) de forma literal: 'evita que la informática invada tu intimidad'.

Es la propia LOPD la que define la figura del Responsable del fichero señalando que 'es la persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento'. Es decir, se trataría de cualquier empresa pública o privada, profesional independiente, Administración, ya sea estatal, autonómica o local y cualquier otro tipo de organismo que decida sobre un fichero que contenga datos personales.

Pero, ¿qué es un fichero que contenga datos personales? Literalmente la LOPD alcanza a los 'datos de carácter personal' (cualquier información concerniente a personas físicas identificadas o identificables) 'recogidos en cualquier tipo de fichero' (conjunto organizado de datos de carácter personal, cualquiera que sea la forma o modalidad de su creación, almacenamiento, organización y acceso)

Resulta curiosa la comparación entre el lema de la APD y el objeto de la LOPD. No sólo nos referimos a la informática como soporte de los datos personales sino a cualquiera de los soportes que puedan llegar a incluir datos personales. Ello nos lleva a concluir que una empresa o profesional podría no tener ningún tipo de sistema informático (utilizar sólo libretas, folios, notas) y estar afecto a la LOPD e, incluso, al R.D. 994/1.999 de Medidas de Seguridad.

Sin embargo, nos encontramos con que la presente comunicación hace referencia al mundo de Internet. A priori, las diferencias entre una empresa 'tradicional' y otra que opere en la red son evidentes y ello permite establecer una serie de pequeñas pautas a la hora de cumplir con la legislación sobre Protección de datos.

De manera exhaustiva, y combinando las obligaciones establecidas tanto en la Ley Orgánica de Protección de Datos como en la Ley de la Sociedad de la Información (en adelante, LSSI) o Ley de comercio electrónico de reciente aprobación, resultaría que una organización que operara en Internet realizando cualquiera de las operaciones definidas como 'servicios de la sociedad de la información' (contratación de bienes y servicios, suministro de información, actividades de intermediación, transmisión de datos por redes, alojamiento en servidores de información...etc) tendría que cumplir con las siguientes obligaciones impuestas por el Nuevo Derecho de las Tecnologías:

  1. En virtud de la LOPD y del Real Decreto de Medidas de Seguridad, tendrá que efectuar las siguientes acciones:

    Caso de disponer de ficheros conteniendo datos personales (cosa realmente fácil si se vende por Internet, o si se tiene una revista on line que se envía a cuentas de correo electrónico, o si se reciben sugerencias o quejas de los usuarios... etc) deberá notificarse su creación a la APD mediante los formularios habilitados legalmente.

    En el caso de que se recaben datos personales mediante un formulario electrónico o cualquier otro tipo de medio electrónico (supuesto muy común en caso de compras de bienes o servicios o en caso de apuntarse a listas de distribución de noticias), deberá cumplirse con el deber de información expresado en el articulo 5 LOPD (cuestión que se detallará más adelante en otro apartado)

    En caso de que se hiciera necesario, se necesitará obtener el consentimiento on line del titular de los datos personales tanto para el tratamiento como para la cesión de los datos personales (cuestión que se detallará más adelante en otro apartado)

    Será necesario que la empresa cuente con un Documento de Seguridad donde se recojan las medidas de índole técnica y organizativa necesarias para garantizar la seguridad que deben reunir los ficheros, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento de los datos de carácter personal.

    Como mínimo, esta política de seguridad supondrá una actuación constante en una serie de áreas: evaluación de los riesgos, protección perimétrica, control de acceso a los recursos, directrices en el uso de Internet y del correo electrónico, antivirus y copias de seguridad.

    Directamente derivado de la anterior obligación, residirá la necesidad de que se implanten las medidas de seguridad en función de los niveles de seguridad que resulten aplicables a los diferentes ficheros (ya que de nada servirá un Documento de seguridad que se quede sin aplicación en la realidad)

    De igual forma, deberá arbitrarse un procedimiento interno que permita que, de forma ágil los afectados puedan ejercer los derechos de acceso, rectificación, cancelación y oposición previstos en la LOPD.

    Finalmente, tal y como señala el artículo 12 de la LOPD al referirse a la figura del Encargado del Tratamiento, deberá regularse por escrito en un contrato u otro documento admitido en Derecho aquellas situaciones en las cuales cualquier tercero trate, directa o indirectamente, los datos personales por cuenta del Responsable del fichero (caso frecuentísimo en Internet si la web de un comerciante se aloja en un servidor de un proveedor de hosting ajeno o en el caso de que el servicio de atención al cliente se subcontrate con una empresa especializada...etc)

    Dichas obligaciones que propone tanto la LOPD como el Reglamento de Medidas de Seguridad son muy ambiciosas. Realmente, estudios recientes (a los que se les podrá dar la fiabilidad que cada uno desee) otorgan un grado mínimo de cumplimiento de la legislación sobre Protección de Datos del 10% o incluso inferior.

    Así, un estudio realizado por la empresa Belt Ibérica, S.A. señala que 'pese a que el plazo para ponerse al día respecto a la LOPD concluyó el pasado 26 de junio de 2.002 y pese a la mayor concienciación social en la materia- según la propia APD- un 93% de las empresas no cumple correctamente con la normativa vigente'.

    Si ese dato resulta alarmante, más si cabe resulta el dato recogido por las propias Cámaras de Comercio con fecha de 11 de junio del presente año (de nuevo, la fiabilidad del dato podrá resultar cuestionable a gusto de cada persona) según el cual 'sólo 167.147 empresas con actividad probada cumplen con la LOPD, lo que supone tan sólo el 5% del total' (que, si los cálculos son correctos, supondría un número de 3.175.793 empresas infractoras)

    Si considerásemos que estos estudios no resultan fiables, podríamos acudir a las propias recomendaciones publicadas por la APD y, concretamente, a la publicada en relación con el sector del comercio electrónico con fecha del último trimestre de 2.000.

    Como una mera ejemplificicación, de un análisis de 44 webs que desarrollaban comercio electrónico, el 36% de los Responsables de los ficheros no se había inscrito en el Registro General de la APD, el 27% no procedía a informar de lo dispuesto en el artículo 5 LOPD y el 46% no utilizaba el protocolo seguro HTTPS (SSL) para establecer un canal seguro de comunicación.

    De todos estos datos, se puede extraer una conclusión inicial: en este país, una vez transcurridos prácticamente tres años desde la aparición de la LOPD y una vez finalizados los plazos para implantar las medidas de seguridad, la mayor parte de las empresas no han adaptado su funcionamiento a las nuevas obligaciones legales impuestas en esta materia.

  2. Adicionalmente, como consecuencia de la recientemente publicada LSSI, una empresa que operase en Internet deberá...

Para continuar leyendo

Solicita tu prueba
Voces del tesauro

Búsquedas relacionadas:

Otros documentos interesantes:

VLEX utiliza cookies de inicio de sesión para aportarte una mejor experiencia de navegación. Si haces click en 'Aceptar' o continúas navegando por esta web consideramos que aceptas nuestra política de cookies. ACEPTAR