Una breve reflexión

ElPensadorEn diez años de profesión he visto que la percepción de esta “cosa nostra” de la protección de datos por las empresas es bastante negativa. En el mejor de los casos, se lo toman como un mal menor, como algo que hay que solucionar gracias a que existe una obligación legal y porque se está expuesto a grandes sanciones. No es una novedad. A veces menciono que esa percepción merece que se califique a esas empresas de prehistóricas en relación a la LOPD, porque ya llevamos un tiempecito hablando de la Sociedad de la Información, y resulta que entre esa información, lo que se está tornando cada vez más valioso son los datos de los clientes. No hay más que tirar de literatura empresarial, todo gira en torno al cliente.

Vamos a pensar en un momento en la empresa más de moda, Facebook, obviando que sea norteamericana. ¿Cuál es la materia prima que tiene que explotar? Sus usuarios y sus preferencias, nada más. Y resulta que en España tenemos una normativa que habla de cómo tratar la información de esos usuarios, de cómo pedirles permiso para usar sus datos, de cómo poder cederlos a otras empresas… ¿protección? Estoy harto de oír hablar de “protección”. La protección también, por supuesto, pero la LOPD lo que marca también es cómo gestionar los datos, y dentro de esa gestión, entra la protección.

Las empresas proveedoras de tecnología también tienen gran parte de culpa en que se pase olímpicamente de la LOPD. Y voy a ir a por lo último de lo último: ¿alguien se acuerda de lo que dice la Disposición Adicional Única del Real Decreto 1720/2007, que desarrolla la dichosa LOPD? Lo refresco:

Los productos de software destinados al tratamiento automatizado de datos personales deberán incluir en su descripción técnica el nivel de seguridad, básico, medio o alto, que permitan alcanzar de acuerdo con lo establecido en el Título VIII de este Reglamento

Por favor, si alguien tiene conocimiento de algún producto de esos que incluya esa descripción, que la pase por un escaner y me la envíe. Se lo agradeceré, en serio. ¿Es que esto no pueden pararse a pensar que puede constituir una ventaja competitiva? Y más en un mercado en el que a ninguno le preocupa, o donde todos están pensando más en la amenaza de la sanción que en otras cosas a la hora de leer la LOPD.

Voy a poner un ejemplo, también norteamericano: Microsoft. Fijaros en el documento “Privacy Guidelines for Developing Software Products and Services”, disponible en este enlace. En su página 5 hace mención a la normativa que persigue cumplir a la hora de desarrollar productos y servicios… Si, ya se que automáticamente pensamos que “no tienen LOPD”, “aquello es la selva”, y que “en Estados Unidos pueden hacer lo que les de la gana con los datos de la gente”. Pero eso es cierto a medias, y la mayor parte de las veces, mentira, porque con sus normativas intentan cumplir. ¿Algún voluntario a pasarme unas normas de este tipo aplicables aquí en la Piel de Toro?

Por cierto, hoy he leído en Techcrunch que Facebook vale más que Yahoo y EBay. Ya, ya se que no aplica la LOPD, pero no veas la de dinero que les toca soltar por sugerencias del primo hermano de la AEPD allí.

Diferencias entre normativas

xy-comHace unos días leí un curioso caso ocurrido en EE.UU. que veo interesante comentar porque es un buen ejemplo de lo dispares que son las normativas de privacidad o protección de datos españolas de las norteamericanas. El editor de una revista dirigida a público gay de Nueva Jersey llamada XY, presentó concurso de acreedores. Esta revista tenía un sitio web con más de un millón de usuarios que habían dado información personal, incluyendo  obviamente sus preferencias sexuales. Los acreedores solicitaron medidas encaminadas a adquirir la titularidad de la base de datos que contenía información acerca de sus abonados.

Está claro que lo único que podría quedar de valor de aquel negocio era el fichero de clientes. La controversia llegó a la FTC, que envió a los acreedores de la editorial una carta advirtiendo de que cualquier venta, transferencia o de la divulgación de la información podría ser ilegal porque iba en contra de la política de privacidad establecida en su momento por el propio magazine XY, donde se declaraba que “la información no se daría o vendería a nadie”. Con cualquier acto de transmisión de la bases de datos podría violarse entonces la Ley de la FTC y cometer prácticas comerciales engañosas o desleales.

Tras la advertencia, las partes llegaron a este acuerdo: el editor tendría que destruir toda la información, y conservar sólo los datos personales necesarios para servir algunos números atrasados a clientes que ya los habían pedido. Vamos, que como consecuencia práctica esa “política de privacidad”, nos encontramos con que la base instalada de usuarios no valía ni un dólar…

La Electronic Frontier Foundation, asociación que hizo un seguimiento exhaustivo del asunto, describe así el problema que plantea el caso:

…el Código de Bancarrota en sí mismo no maneja esta situación muy bien. Las empresas que poseen información personal de sus clientes es probable que, a través de sus propias políticas de privacidad, se permitan vender esa información si van a la quiebra o sufren un cambio en la titularidad. Serán raros casos en que una empresa prometa a sus clientes que su información personal nunca será compartida con nadie, y así un juzgado que gestione la bancarrota podrá pemritir que los datos se alquilen o vendan, ya que no violan la ley.

 

Me impresiona que incluso en caso de concurso de acreedores haya prevalecido hasta la última consecuencia la promesa inicial de la empresa de que los datos no se cederán a ningún tercero. Para comprobar si algunas empresas actúan así, he cogido la última política de privacidad que recordaba haber visto, y efectivamente, esta hipotética situación la evitan los más listos de la clase. Este es el párrafo donde Twitter nos lo cuenta, en el apartado“Intercambio y difusión de información” de su política de privacidad:

Transferencias de empresas: En el caso de que Twitter esté involucrada en una bancarrota, fusión, adquisición, reestructuración o venta de activos, puede vender o transferir la información del usuario como parte de la transacción. Los compromisos establecidos en esta política de privacidad serán aplicados tal y como están a la información del usuario por la nueva entidad.

¿Cómo tenemos esto en nuestra legislación? La legislación española es permisiva, y como se indica en el artículo 19 del Real Decreto de desarrollo de nuestra Ley Orgánica de Protección de Datos, las empresas no tienen que prever este evento:

En los supuestos en los que se produzca una modificación del responsable del fichero como consecuencia de una operación de fusión, escisión, cesión global de activos y pasivos , aportación o transmisión de negocio, o rama de actividad empresarial, o cualquier operación de reestructuración societaria de análoga naturaleza, contemplada por la normativa mercantil, no se producirá cesión de datos, sin perjuicio del cumplimiento por el responsable de lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre.

 

Así de fácil. En nuestro ordenamiento no hubiera habido, a mi juicio, problema alguno… ¿qué valor vinculante tendría que en una de estas eternas “políticas de privacidad” americanizadas que nos ha dado por copiar redactar, una empresa incluyera esa misma aseveración? En el reparto de bienes que entre acreedores que se hiciera en un hipotético caso parecido al de la revista XY, el fichero pasaría a tener otro titular, y sería legítimo tratar esos datos conforme a las finalidades a las que se estaban dedicando antes. El nuevo titular resultante sólo tendrá que informar a los clientes sobre la nueva situación, y si quisiera realizar nuevos tratamientos con esos datos, nos bastaría con solicitar el consentimiento de los titulares para hacerlos.

Visto lo visto, ¿quién “protege” más los datos en estos casos?… ¿la normativa norteamericana, o la española?… hay ocasiones en las que el asunto se presta a duda razonable.

Perfiles y valoración de trabajadores en Internet

Trabajador en InternetAhora que están tan de moda las Redes Sociales y el compartir en Internet hasta el momento en que uno se toca la nariz y en qué lugar del mundo, me sorprende lo desapercibido que haya pasado el Informe Jurídico 0039/2010 de la Agencia Española de Protección de Datos, sobre la comunicación en Internet de datos de empleados. Sólo he visto este comentario de Jesús, donde describe el informe.

Para situaros, os voy a invitar a visitar el siguiente enlace. Pertenece a la web de una conocida empresa, GeekSquad, que se dedica a dar servicio técnico remoto y presencial a empresas y particulares de prácticamente cualquier cosa que se pueda estropear, o para ayudarte a configurar hardware y software (¡hasta cuentas de Facebook!). En su página existe el apartado “Agentes”, donde podemos ver un listado con los técnicos que GeekSquad pone a disposición de los clientes. De cada uno existe una ficha con los servicios que ofrece y su precio, identificación (nombre, fotografía, ciudad), un apartado con las anotaciones de las valoraciones de los clientes (experto, amistoso, eficiente, comunicativo) y el típico botón de “compartir” (ver ejemplo).

En el Informe citado, una empresa ha planteado esto mismo a la Agencia para que se pronuncie:

La consulta plantea si es posible la publicación en la página web de la consultante de datos personales de sus empleados, así como de la evaluación que emitan los clientes sobre la prestación del servicio realizada por aquéllos, así como su difusión por estos clientes en redes sociales, en relación con lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Dadtos de Carácter Personal, y a su Reglamento de desarrollo, aprobado por el Real Decreto 1720/2007, de 21 de diciembre. Plantea también si el consentimiento de sus empleados podría efectuarse sin cumplir todos los requisitos exigidos por dichas normas.

Subrayo el final, porque me consta que la consulta no planteaba si el consentimiento se podría efectuar “sin cumplir” los requisitos exigidos por las normas, faltaba más, sino si el consentimiento para esos fines podría entenderse incluido en el dado para llevar a cabo la relación laboral.

Pues bien, si leemos el Informe con detenimiento, tenemos lo siguiente:

1. La fotografía, perfil profesional y datos sobre las aficiones de los empleados, constituiría un perfil personal de los empleados. Está claro que la empresa está legitimada para tratar los datos del empleado, pero para el desarrollo de la relación laboral, conforme al artículo 6.2 LOPD. El tratamiento de los datos referido a las aficiones lógicamente lo considera innecesario y no proporcionado para el mantenimiento y gestión de la relación laboral.

2. La publicación de los datos mencionados en la página web de la empresa constituye una cesión de datos.

3. Se incluyen en la publicación en Internet las evaluaciones que los clientes han consignado. El Informe hace un recorrido por lo que es una evaluación del trabajador, citando varios documentos de organismos internacionales, pero sin dar una opinión clara sobre si la empresa puede o no, y en qué condiciones, proceder a la publicación. Sin solucionar nada, vamos. He aquí su conclusión:

… cabe concluir que el consentimiento para la comunicación masiva por Internet de los datos de sus empleados, incluidas las evaluaciones de los mismos, no podría entenderse válidamente prestado en el contexto de la relación laboral si su negativa a darlo, llevase aparejada algún tipo de consecuencia adversa o discriminatoria, no pudiendo hablarse de consentimiento libre. Por ello, entendemos que la comunicación de los datos de empleados en Internet, no puede ampararse en el consentimiento del trabajador en el ámbito de la relación laboral.

Si la empresa no puede ampararse en el consentimiento prestado por el trabajador para el desenvolvimiento de la relación laboral, habrá de informar al trabajador y recabar su consentimiento para poder publicar esos perfiles… y el trabajador podrá negarse a darlo, sin que ello tenga consecuencias.

4. Al dar la posibilidad al cliente de “compartir” tanto el perfil del trabajador como sus evaluaciones en diferentes redes sociales (facebook. linkedin, twitter, etc.), el trabajador habría de consentirlo, ya que de lo contrario interpreta la Agencia que se trataría una cesión no consentida.

A ver qué empresa española es la primera que se atreve al poner en marcha un mecanismo así, cosa que ya es normal fuera de nuestras fronteras. De hecho, lapágina web española de GeekSquad no ofrece las funcionalidades que hemos visto con los perfiles de sus trabajadores.

Merece consideración aparte que el trabajador que se preste a estas publicaciones ha de tener claro que Internet no olvida. Pongamos un ejemplo: trabajador de GeekSquad que tenga alguna que otra evaluación negativa de su desempeño por parte de ciertos clientes insatisfechos. Además, éstas son compartidas en diversas redes sociales… Abandona el trabajo en GeekSquad, y ¿hasta dónde será perseguido por su propio historial? Mejor ni pensarlo.

Este es uno de los casos más claros en los que se puede comprobar el abismo que nos separa de otros países en cuanto a la regulación de la protección de datos, con un claro reflejo en el ámbito de la competitividad empresarial. Ellos pueden hacerlo, nosotros a duras penas.