bookmark_borderNo existen las políticas de privacidad… ¡qué disgusto!

PapelH¿Cuántas veces hemos oído utilizar el término «política de privacidad»? Que si una web tiene o no tiene política de privacidad, que si hay que indicar en la política de privacidad tal o cual cosa… Pues tengo una mala noticia: en la legislación española NO existen las políticas de privacidad tal y como se han venido entendiendo desde hace un tiempo en el gremio.

Suelen aparecer esas políticas después de llegar a ellas desde un enlace que en muchas ocasiones está escondido a pie de página de inicio. Cuando las tienes delante, te das cuenta de que se trata de un conjunto de largos párrafos de información inútil e innecesaria, la mayoría simple copia de artículos de la Ley y Reglamento. Cuantas más cosas se pongan, mejor. Cada vez que leo alguno de estos engendros, pienso que es una justificación de minuta frente al cliente, porque ¿cómo se le explica que con colocar pequeños avisos en los formularios oportunos, y poco más, ya sirve? Así hay más letras juntas, y da la sensación de horas de trabajo de gabinete. Los hay que venden servicios al peso de las letras.

Es un término importado e impostado. Ya que no está en las normas, vayamos al Diccionario de la RAE a ver si nos da una pista o nos ayuda. Entre las diversas acepciones encontramos que define política como las «orientaciones o directrices que rigen la actuación de una persona o entidad en un asunto determinado». ¿Cuáles son las orientaciones y directrices que rigen la actuación del responsable, o de cualquier otro, que recoja y trate datos? Por esta definición parezca que la entidad puede optar o decidir qué hace o qué no, y de qué manera, nada más lejos de la realidad.  La Ley y el Reglamento, básicamente, son esas orientaciones y directrices. Nuestro ordenamiento es taxativo en este sentido, y permite poco margen de maniobra.

Si algo tiene nuestro cuerpo normativo sobre protección de datos, es que deja pocos puntos a merced de las decisiones de quien los trata. Nuestro sistema normativo es muy claro en qué información hay que aportar al titular de los datos, y cuándo hacerlo, porque de ello depende que tengamos el consentimiento necesario para tratar datos. Por eso la información al titular de los datos es esencial. La información que hay que dar viene marcada por varios artículos de la L.O.P.D.:

  • Artículo 5:información en la recogida de los datos
  • Artículo 11, punto 3:información mínima que hay que proporcionar sobre el cesionario si se tiene prevista o se realiza una cesión de datos
  • Artículo 27:información que hay de proporcionar el responsable de fichero cuando efectúa la primera cesión de datos
  • Artículo 30, punto 2:información al destinatario de comunicaciones comerciales cuyos datos han sido obtenidos de fuentes accesibles al público

Hemos de sumar a éstos los artículos dedicados por el Reglamento a la obtención del consentimiento, donde impone ciertos deberes formales que no hacen sino complementar al artículo 5 de la Ley. Y si abandonamos la L.O.P.D., puede añadirse la obligación de informar que impone la L.S.S.I.C.E., que no es más que una remisión a la anterior para el caso de que se recojan datos de carácter personal, y además, en el caso de instalación y uso de «cookies», qué información previa ha de darse: información clara y completa, y los fines de los tratamientos de datos que se pretendan realizar. Y no hay más, el resto es pura literatura.

Ninguna de esas diversas manifestaciones del deber de información debiera catalogarse como políticas de privacidad. Para dar una muestra de cómo debe informarse en páginas web podemos leer las más que añejasRecomendaciones al Sector del Comercio Electrónico redactadas por la AEPD en el año 2000, como consecuencia de una inspección sectorial. En concreto, en su Recomendación Primera (página 10), referente a la información en la recogida de datos, dice lo siguiente:

En todas y cada una de las páginas web desde las que se recaben datosde carácter personal se incluirá claramente visible la información a la que hace referencia el artículo 5 de la LOPD, que el usuario deberá poder obtener con facilidad y de forma directa y permanente.

Podrá optarse por incorporar en todas esas páginas un texto o un botón adecuadamente etiquetado que, al ser seleccionado mediante un “click”, permita obtener la citada información. No obstante, se considera más adecuada una opción según la cual la lectura de dicha información se presente como ineludible (y no optativa) dentro del flujo de accionesque deba ejecutar el usuario para expresar la aceptación definitiva de la transmisión de sus datos a la entidad que los está recabando.

El subrayado y la negrita son míos. De verdad, qué recomendaciones aquéllas, de hace ya más de una década… Es que les pasa como a los vinos. Esto era Gran Reserva. Particularmente echo de menos en el haber de la AGPD documentos de esa claridad y utilidad, y no guías insulsas que se dedican a recopilar legislación, sus propias resoluciones y cuatro cositas más. Vino de mesa.

Es más fácil contagiarse de lo malo que imitar las virtudes ajenas. Sin embargo, hay razones para no seguir la moda de las susodichas políticas. La de más peso, que no existe obligación legal alguna, y que poco o nada aportan, salvo demostrar que el asesoramiento no es del todo correcto. La segunda, que además los titulares de los datos, en concreto los vascos, no las leen, comoayer contaban en Iurismática. Y finalmente y para colmo de males, si los usuarios las leyeran, el coste de oportunidad sería demasiado alto. Esto ya lo han demostrado en el país de las «políticas de privacidad», e incluso comienza a haber iniciativas para acortarlas porque les empiezan a parecer inútiles.

Parece mentira que mientras ellos buscan cómo simplificar, nosotros, que tenemos algo simple, estamos intentando complicarlo.

bookmark_borderPerfiles y valoración de trabajadores en Internet

Trabajador en InternetAhora que están tan de moda las Redes Sociales y el compartir en Internet hasta el momento en que uno se toca la nariz y en qué lugar del mundo, me sorprende lo desapercibido que haya pasado el Informe Jurídico 0039/2010 de la Agencia Española de Protección de Datos, sobre la comunicación en Internet de datos de empleados. Sólo he visto este comentario de Jesús, donde describe el informe.

Para situaros, os voy a invitar a visitar el siguiente enlace. Pertenece a la web de una conocida empresa, GeekSquad, que se dedica a dar servicio técnico remoto y presencial a empresas y particulares de prácticamente cualquier cosa que se pueda estropear, o para ayudarte a configurar hardware y software (¡hasta cuentas de Facebook!). En su página existe el apartado «Agentes», donde podemos ver un listado con los técnicos que GeekSquad pone a disposición de los clientes. De cada uno existe una ficha con los servicios que ofrece y su precio, identificación (nombre, fotografía, ciudad), un apartado con las anotaciones de las valoraciones de los clientes (experto, amistoso, eficiente, comunicativo) y el típico botón de «compartir» (ver ejemplo).

En el Informe citado, una empresa ha planteado esto mismo a la Agencia para que se pronuncie:

La consulta plantea si es posible la publicación en la página web de la consultante de datos personales de sus empleados, así como de la evaluación que emitan los clientes sobre la prestación del servicio realizada por aquéllos, así como su difusión por estos clientes en redes sociales, en relación con lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Dadtos de Carácter Personal, y a su Reglamento de desarrollo, aprobado por el Real Decreto 1720/2007, de 21 de diciembre. Plantea también si el consentimiento de sus empleados podría efectuarse sin cumplir todos los requisitos exigidos por dichas normas.

Subrayo el final, porque me consta que la consulta no planteaba si el consentimiento se podría efectuar «sin cumplir» los requisitos exigidos por las normas, faltaba más, sino si el consentimiento para esos fines podría entenderse incluido en el dado para llevar a cabo la relación laboral.

Pues bien, si leemos el Informe con detenimiento, tenemos lo siguiente:

1. La fotografía, perfil profesional y datos sobre las aficiones de los empleados, constituiría un perfil personal de los empleados. Está claro que la empresa está legitimada para tratar los datos del empleado, pero para el desarrollo de la relación laboral, conforme al artículo 6.2 LOPD. El tratamiento de los datos referido a las aficiones lógicamente lo considera innecesario y no proporcionado para el mantenimiento y gestión de la relación laboral.

2. La publicación de los datos mencionados en la página web de la empresa constituye una cesión de datos.

3. Se incluyen en la publicación en Internet las evaluaciones que los clientes han consignado. El Informe hace un recorrido por lo que es una evaluación del trabajador, citando varios documentos de organismos internacionales, pero sin dar una opinión clara sobre si la empresa puede o no, y en qué condiciones, proceder a la publicación. Sin solucionar nada, vamos. He aquí su conclusión:

… cabe concluir que el consentimiento para la comunicación masiva por Internet de los datos de sus empleados, incluidas las evaluaciones de los mismos, no podría entenderse válidamente prestado en el contexto de la relación laboral si su negativa a darlo, llevase aparejada algún tipo de consecuencia adversa o discriminatoria, no pudiendo hablarse de consentimiento libre. Por ello, entendemos que la comunicación de los datos de empleados en Internet, no puede ampararse en el consentimiento del trabajador en el ámbito de la relación laboral.

Si la empresa no puede ampararse en el consentimiento prestado por el trabajador para el desenvolvimiento de la relación laboral, habrá de informar al trabajador y recabar su consentimiento para poder publicar esos perfiles… y el trabajador podrá negarse a darlo, sin que ello tenga consecuencias.

4. Al dar la posibilidad al cliente de «compartir» tanto el perfil del trabajador como sus evaluaciones en diferentes redes sociales (facebook. linkedin, twitter, etc.), el trabajador habría de consentirlo, ya que de lo contrario interpreta la Agencia que se trataría una cesión no consentida.

A ver qué empresa española es la primera que se atreve al poner en marcha un mecanismo así, cosa que ya es normal fuera de nuestras fronteras. De hecho, lapágina web española de GeekSquad no ofrece las funcionalidades que hemos visto con los perfiles de sus trabajadores.

Merece consideración aparte que el trabajador que se preste a estas publicaciones ha de tener claro que Internet no olvida. Pongamos un ejemplo: trabajador de GeekSquad que tenga alguna que otra evaluación negativa de su desempeño por parte de ciertos clientes insatisfechos. Además, éstas son compartidas en diversas redes sociales… Abandona el trabajo en GeekSquad, y ¿hasta dónde será perseguido por su propio historial? Mejor ni pensarlo.

Este es uno de los casos más claros en los que se puede comprobar el abismo que nos separa de otros países en cuanto a la regulación de la protección de datos, con un claro reflejo en el ámbito de la competitividad empresarial. Ellos pueden hacerlo, nosotros a duras penas.