Anteproyecto de ley orgánica de protección de datos

El viernes 23 de junio el Ministerio de Justicia publicó una nota de prensa donde se afirma que el Gobierno impulsa el anteproyecto de Ley Orgánica de protección de datos para adaptar la legislación española al Reglamento 2016/679 antes de que este entre en vigor el próximo 18 de mayo de 2018.

Esperemos que este ejercicio de transposición legislativa se haga mejor que los dos anteriores, ya que tanto la antigua LORTAD, como la vigente LOPD y su Reglamento vieron cómo su articulado terminó en el Constitucional.

Es de destacar que, aunque tanto la directora de la AEPD, como el secretario general técnico del Ministerio de Justicia aseguraron que tendríamos nueva Ley, el ahora diputado socialista d. Artemi Rallo, cuestionó que fuera a aprobarse a tiempo.

Perfiles y valoración de trabajadores en Internet

Trabajador en InternetAhora que están tan de moda las Redes Sociales y el compartir en Internet hasta el momento en que uno se toca la nariz y en qué lugar del mundo, me sorprende lo desapercibido que haya pasado el Informe Jurídico 0039/2010 de la Agencia Española de Protección de Datos, sobre la comunicación en Internet de datos de empleados. Sólo he visto este comentario de Jesús, donde describe el informe.

Para situaros, os voy a invitar a visitar el siguiente enlace. Pertenece a la web de una conocida empresa, GeekSquad, que se dedica a dar servicio técnico remoto y presencial a empresas y particulares de prácticamente cualquier cosa que se pueda estropear, o para ayudarte a configurar hardware y software (¡hasta cuentas de Facebook!). En su página existe el apartado “Agentes”, donde podemos ver un listado con los técnicos que GeekSquad pone a disposición de los clientes. De cada uno existe una ficha con los servicios que ofrece y su precio, identificación (nombre, fotografía, ciudad), un apartado con las anotaciones de las valoraciones de los clientes (experto, amistoso, eficiente, comunicativo) y el típico botón de “compartir” (ver ejemplo).

En el Informe citado, una empresa ha planteado esto mismo a la Agencia para que se pronuncie:

La consulta plantea si es posible la publicación en la página web de la consultante de datos personales de sus empleados, así como de la evaluación que emitan los clientes sobre la prestación del servicio realizada por aquéllos, así como su difusión por estos clientes en redes sociales, en relación con lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Dadtos de Carácter Personal, y a su Reglamento de desarrollo, aprobado por el Real Decreto 1720/2007, de 21 de diciembre. Plantea también si el consentimiento de sus empleados podría efectuarse sin cumplir todos los requisitos exigidos por dichas normas.

Subrayo el final, porque me consta que la consulta no planteaba si el consentimiento se podría efectuar “sin cumplir” los requisitos exigidos por las normas, faltaba más, sino si el consentimiento para esos fines podría entenderse incluido en el dado para llevar a cabo la relación laboral.

Pues bien, si leemos el Informe con detenimiento, tenemos lo siguiente:

1. La fotografía, perfil profesional y datos sobre las aficiones de los empleados, constituiría un perfil personal de los empleados. Está claro que la empresa está legitimada para tratar los datos del empleado, pero para el desarrollo de la relación laboral, conforme al artículo 6.2 LOPD. El tratamiento de los datos referido a las aficiones lógicamente lo considera innecesario y no proporcionado para el mantenimiento y gestión de la relación laboral.

2. La publicación de los datos mencionados en la página web de la empresa constituye una cesión de datos.

3. Se incluyen en la publicación en Internet las evaluaciones que los clientes han consignado. El Informe hace un recorrido por lo que es una evaluación del trabajador, citando varios documentos de organismos internacionales, pero sin dar una opinión clara sobre si la empresa puede o no, y en qué condiciones, proceder a la publicación. Sin solucionar nada, vamos. He aquí su conclusión:

… cabe concluir que el consentimiento para la comunicación masiva por Internet de los datos de sus empleados, incluidas las evaluaciones de los mismos, no podría entenderse válidamente prestado en el contexto de la relación laboral si su negativa a darlo, llevase aparejada algún tipo de consecuencia adversa o discriminatoria, no pudiendo hablarse de consentimiento libre. Por ello, entendemos que la comunicación de los datos de empleados en Internet, no puede ampararse en el consentimiento del trabajador en el ámbito de la relación laboral.

Si la empresa no puede ampararse en el consentimiento prestado por el trabajador para el desenvolvimiento de la relación laboral, habrá de informar al trabajador y recabar su consentimiento para poder publicar esos perfiles… y el trabajador podrá negarse a darlo, sin que ello tenga consecuencias.

4. Al dar la posibilidad al cliente de “compartir” tanto el perfil del trabajador como sus evaluaciones en diferentes redes sociales (facebook. linkedin, twitter, etc.), el trabajador habría de consentirlo, ya que de lo contrario interpreta la Agencia que se trataría una cesión no consentida.

A ver qué empresa española es la primera que se atreve al poner en marcha un mecanismo así, cosa que ya es normal fuera de nuestras fronteras. De hecho, lapágina web española de GeekSquad no ofrece las funcionalidades que hemos visto con los perfiles de sus trabajadores.

Merece consideración aparte que el trabajador que se preste a estas publicaciones ha de tener claro que Internet no olvida. Pongamos un ejemplo: trabajador de GeekSquad que tenga alguna que otra evaluación negativa de su desempeño por parte de ciertos clientes insatisfechos. Además, éstas son compartidas en diversas redes sociales… Abandona el trabajo en GeekSquad, y ¿hasta dónde será perseguido por su propio historial? Mejor ni pensarlo.

Este es uno de los casos más claros en los que se puede comprobar el abismo que nos separa de otros países en cuanto a la regulación de la protección de datos, con un claro reflejo en el ámbito de la competitividad empresarial. Ellos pueden hacerlo, nosotros a duras penas.

Lista Robinson (1ª Parte)

IslaDesiertaHe esperado a que pasara el día de hoy para ver la reacción a la presentación de la lista Robinson de FECEMD. La verdad es que no ha diferido mucho de lo que esperaba, porque ha tenido una propagación espectacular fruto de una orquestación verdaderamente maestra, en mi opinión.

La semana pasada me hicieron llegar un correo electrónico cuyo asunto era “Urgente: las listas robinson adquieren carácter normativo”. El enlace todavía está disponible aquí.

No puedo dejar de comentar los párrafos que mencionan a la Agencia Española de Protección de Datos:

FECEMD ha llegado a un importante acuerdo con la Agencia Española de Protección de Datos (AEPD) para la nueva regulación de la lista de exclusión publicitaria, denominada Lista Robinson.

FECEMD con objeto de ofrecer a las empresas un sistema integral de fichero de exclusión yevitar los perjuicios que pudiese ocasionar la posible aparición de una multiplicidad de ficheros de exclusión, de la mano de la Agencia Española de Protección de Datos, ha ampliado el Servicio de Lista Robinson a otros medios como el correo electrónico, llamadas telefónicas sms y mms.

Visto el correo vamos a ponernos en el lugar de las empresas que lo recibieron: ¿Un “importante acuerdo” con la Agencia para la “nueva” regulación?…¿”de la mano” de la Agencia…?… ¿evitar los “perjuicios” que pudiese ocasionar la posible aparición de una multiplicidad de ficheros de exclusión…?… ¿que “ha adquirido carácter obligatorio”…?

Tal y como me reconocieron en la Sala de CEOE donde se hizo la presentación previa ayer, se trata de una redacción “poco afortunada”. Más que poco afortunada, interesada diría yo. El desconcierto y desgraciadamente poco conocimiento que tienen tanto las empresas como los particulares de la protección de datos hacen que sea muy fácil confundir. La materia se presta.

Ahora invito a leer con sosiego el extenso comunicado de prensa de la Agencia sobre el asunto. La Agencia no ha llegado a ningún acuerdo con FECEMD, o al menos yo no he sido capaz de encontrar en la nota nada que haga referencia a ello. La Agencia (o su Director), ha “compartido” la iniciativa de impulsar UN Fichero de Autoexclusión, cuyo resultado final merece una valoración positiva y “que se confirmará con el uso que los ciudadanos y las empresas hagan de la nueva herramienta”.

Se trata de la ampliación de un servicio que venía ofreciendo FECEMD con nulo éxito, y que ha sido simplemente co-presentado por el Director de la AEPD, que es muy amable y se presta a apoyar cualquier iniciativa (véase ésta, por ejemplo).

Y he escrito nulo éxito sin ánimo de ofender. Las cifras cantan:

La Federación Española de Comercio Electrónico y Marketing Directo (FECEMD) es responsable de uno de los ficheros previstos en el artículo 49, el cual figura inscrito desde el año 2001 en el Registro General de Protección de Datos. Según los datos facilitados a la Agencia por la FECEMD, el número de personas actualmente inscritas en este fichero es de 45.210. Estos datos son accesibles por un total de 380 entidades.

(Inspección Sectorial de Oficio sobre llamadas telefónicas y mensajes a telefonía móvil con fines comerciales y publicitarios; página 8)

Apuesto a que el número de inscritos habrá aumentado hoy bastante, visto el comunicado hecho por email por FECEMD, y el eco que ha tenido en prensa. Sírvanse utilizar Google para buscar titulares, y vean cómo puede haberse confundido al ciudadano hasta el punto de que muchos han entendido que apuntándose a ESTA lista Robinson dejarán de recibir llamadas telefónicas, faxes, emails y correos publicitarios. Hagan la prueba y pregunten a la persona que tengan más cerca.

Pero hay un problemilla, y es que aunque se inscribiesen un millón más de ciudadanos, voy a tomar prestadas las palabras de D. Artemi Rallo y a afirmar que lo que importa es la eficacia real que tenga.

Nunca dejaré de decirlo: los “marketinianos”, en esto de convencer y vender, son unos expertos.