Protección de datos de carácter personal e Internet

Ver
Rastrear

Pormathiasfoletto- Postado em 08 outubro 2012

De: Javier Prenafeta Rodríguez
Fecha: Agosto 2002
Origen: Noticias Jurídicas

Resulta ya obvio hacer referencia a la revolución que ha supuesto la informática y la tecnología, y las posibilidades de digitalización de la información (ya sea en forma de textos, imágenes, animaciones o sonidos), para su posterior almacenamiento, manipulación o transmisión, de cara al tratamiento de datos de carácter personal.

Internet ha incrementado las posibilidades anteriores gracias a la interconexión de equipos informáticos y de bases de datos, la descentralización y crecimiento de redes, y, especialmente, por el hecho de reunir, en un instrumento interactivo y multidireccional, el mayor número de usuarios que puede englobar un medio. Los avances en Internet han obligado a aumentar la capacidad de los ordenadores, han permitido el desarrollo de nuevas vías de negocio así como de nuevas formas de Marketing¹, si bien a la vez se han puesto de manifiesto también vulnerabilidades y faltas de seguridad importantes.

Junto a esto, el carácter transnacional de Internet (multitud de servidores desperdigados por el globo) y los problemas de jurisdicción y competencia judicial, dificultan el control y aplicación de gran parte de las garantías legales que pretenden, de algún modo, regular los contenidos o el flujo de datos a través de la red.

La legislación española en materia de protección de datos se contiene básicamente² en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), el Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan datos de carácter personal, y en el Real Decreto 1332/1994, de 20 de junio, por el que se desarrolla determinados aspectos de la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal. Pese a la relativa novedad de esta normativa, las obligaciones y requerimientos legales que se establecen no se ajustan adecuadamente al tratamiento de datos a través de Internet, y ni siquiera existe previsión alguna en cuanto a la publicación de datos personales en páginas web³.

En cuanto a esto último, a pesar de que la normativa no lo contempla expresamente, la Agencia de Protección de Datos considera⁴ que la difusión de datos a través de Internet, en la medida en que se comunican datos a una pluralidad -indefinida- de personas distintas del interesado, constituye una cesión o comunicación a efectos de la LOPD.

Por otro lado, la prestación del consentimiento en los casos en que se efectúe por un simple clic o incluso por correo electrónico puede plantear problemas en el caso de que dicho consentimiento se exige de forma expresa y por escrito⁵, dadas las dificultades de identificación inequívoca de quien manifiesta su voluntad, así como las dudas que existen acerca del valor jurídico de estas acciones o comunicaciones.

En relación con el ejercicio de los derechos de acceso, rectificación, cancelación y oposición, la práctica habitual, y así lo demuestra la Agencia de Protección de Datos⁶, es requerir al interesado la aportación de una fotocopia del Documento Nacional de Identidad, por lo que, a pesar de las previsiones que realiza tanto la LOPD (art. 15) como el Real Decreto 1332/94 (art. 12) de poder cumplir con este deber por medio otros medios fuera del soporte papel, como la visualización en pantalla de los datos, lo cierto es que no van a tener gran aplicabilidad, a menos que la firma electrónica experimente el despegue que no parece va a tener a medio plazo.

Con todo, parece ser que, en cierto modo, se aceptan este tipo de prácticas⁷, ya sea el uso del correo electrónico para el ejercicio de los derechos o para comunicaciones entre el responsable del fichero y el afectado, o la utilización de mecanismos via web, previo registro del interesado, que se identifica y autentica por medio de su nombre de usuario y contraseña.

Cookies

Al hablar de protección de datos e Internet necesariamente hay que hacer referencia a las cookies. Consisten en pequeños ficheros que se almacenan en el disco duro del ordenador del usuario, y proporcionan información sobre los sitios web visitados, las preferencias y enlaces seleccionados, pero también almacenan otros datos más importantes, si cabe, como el nombre de usuario y clave de acceso a un sitio web o el número de la tarjeta de crédito, todo ello en relación con la dirección IP asignada a un equipo, generalmente para una sesión, por el proveedor de acceso a Internet. Por tanto, en principio, las cookies no serían datos de carácter personal en la medida en que no identificarían a una persona física sino a una máquina. No obstante, ello no es así. En primer lugar, porque las cookies vienen bajo la forma nombre de usuario configurado en el navegador@nombre del servidor web que envía la cookie, con lo que ya se podría identificar a una persona física, pero es que, además, el proveedor de acceso a Internet puede identificar, en todo momento, una dirección IP con su correspondiente usuario, y la LOPD, al definir el concepto de datos de carácter personal se refiere a ellos⁸ como "cualquier información concerniente a personas físicas identificadas o identificables", con lo cual no cabe ninguna duda de que las cookies son datos de carácter personal. En consecuencia, habrá que aplicar la normativa sobre la materia, con las correspondientes obligaciones: deber de información en la recogida de los datos, solicitud del consentimiento para su tratamiento y, en su caso, cesión⁹, creación del correspondiente fichero y notificación a la Agencia de Protección de Datos, implantación de medidas de seguridad informática,...

La práctica habitual indica que lo anterior no se hace, limitándose los titulares de sitios web a informar, en el mejor de los casos, de que su sitio web utiliza cookies, para qué sirven y la información que recogen.

Pero las implicaciones entre Internet y la regulación de los datos de carácter personal son mucho más que eso. La generación de datos transaccionales y los logs que almacenan los proveedores de acceso a Internet también es importante desde este punto de vista, ya que contienen información personal sobre las visitas de los navegantes a los sitios que, al igual que con las cookies, se relaciona con una dirección IP. Por otro lado, y tal como señala María de los Reyes Corripio¹⁰, podemos equiparar los datos transaccionales a los "datos sobre el tráfico" a que se refiere la Directiva sobre Protección de Datos11, y considerarse, por tanto, datos de carácter personal.

Lo mismo puede decirse con los llamados clickstream data, que se recogen tanto por proveedores de acceso como por los servidores de páginas web, y contienen información sobre los sitios y páginas web visitadas, el tiempo que se ha estado en cada una, el orden en que se han visitado, los foros en los que ha participado el usuario y las direcciones de correo electrónico enviadas o recibidas por éste.

Todos estos datos se utilizan para finalidades asociadas al Marketing one to one (ajustado al cliente), lo que requiere la elaboración de contenidos personalizados de acuerdo con el perfil del cliente. En este sentido, y de acuerdo con lo que establece el artículo 4.4 del Reglamento de Medidas de Seguridad, las entidades que realicen el tratamiento de estos datos deberán aplicar las medidas de nivel medio establecidas en dicha norma.

Correo electrónico

Las direcciones de correo electrónico constituyen, a juicio de la Agencia de Protección de Datos¹², datos de carácter personal. Distingue aquellas direcciones de correo electrónico que contienen información acerca del titular, como el nombre o apellidos (o sus iniciales), la entidad en la que trabaja (por el nombre de dominio de segundo nivel13) y el país en el que lleva a cabo su actividad (por el nombre de dominio de primer nivel), de aquellos en que la dirección de correo no muestra directamente datos relacionados con el titular de la cuenta, sino una denominación abstracta o un conjunto de caracteres alfanuméricos sin significado alguno.

El segundo caso es el que suscita más dudas. No obstante, también en este tipo de direcciones de correo puede llegar a identificarse al titular de la cuenta mediante una consulta al servidor que gestione dicho dominio¹⁴, por lo que se concluye que la dirección de correo electrónico es un dato de carácter personal y se somete al régimen de la LOPD.

Por otro lado, en cuanto a los mensajes, conviene tener en cuenta que se transmiten en abierto¹⁵, por lo que son susceptibles de ser interceptados y leídos utilizando los denominados sniffers, programas que monitorizan el tráfico a través de Internet y permiten interceptar las comunicaciones.

Uso de foros y listas de correo

A través de los foros y listas de correo uno puede manifestar opiniones, preferencias o inquietudes, ya sea a través del web o del correo electrónico. Hay que tener en cuenta que, dadas las facilidades de la informática, estos datos pueden almacenarse en servidores web sin dificultad durante varios años. Por tanto, un rastreo permitiría recopilar, sin que el afectado fuera consciente, una cantidad de información suficiente para el establecimiento de su perfil. En este sentido, tanto la Agencia de Protección de Datos como otros organismos, como el Consejo de Europa¹⁶, el International Working Group on Data Protection in Telecommunications¹⁷ o el Grupo de Trabajo sobre Protección de Datos de la UE18 aconsejan ser conscientes de que las opiniones vertidas en dichos foros y listas son públicas y pueden ser malinterpretadas. Se aconseja asimismo utilizar todos los mecanismos posibles para preservar el anonimato en la red.

Herramientas de búsqueda

Lo anterior se relaciona con el uso de las herramientas de búsqueda de información en Internet, ya que por medio de éstas se puede acceder a los comentarios y opiniones de los foros y listas de correo.

Tal como señala María de los Reyes Corripio¹⁹, se distinguen tres tipos de herramientas de búsqueda: los llamados genéricamente buscadores, que ofrecen direcciones o sitios de Internet relacionados con la búsqueda solicitada (www.terra.es, www.yahoo.com o www.ya.com los incorporan), los motores de búsqueda, que por su cuenta rastrean la red y crean bases de datos documentales que pueden ser consultadas por los usuarios (www.google.com, www.alltheweb.com), y los agentes inteligentes o netbots, que incorporan mecanismos que permiten el filtrado de contenidos, pueden informarnos de actualizaciones y cambios en páginas web, aprenden de las búsquedas anteriores, no sólo de las del propio usuario, sino de las realizadas por otros con las mismas preferencias que nosotros, e incorporan todo tipo de mecanismos que, procesando el lenguaje natural, ajustan los resultados de la búsqueda al máximo, a partir, eso sí, de un conocimiento muy completo de los intereses del usuario²⁰.

En comercio electrónico se suelen utilizar este tipo de programas para buscar productos que se ajusten a un margen de precios, utilidades o preferencias del usuario. Por ejemplo, la tienda virtual Amazon (www.amazon.com) propone, junto a los libros cuyo título o contenido se ajustan a la búsqueda, otros libros de la misma temática, otros que han comprado usuarios con un interés semejante, o incluso productos de música o vídeo que estén relacionados.

Otro ejemplo es el eService Center, desarrollado por al empresa norteamericana RightNow (www.rightnow.com) para gestionar de forma más eficiente los servicios de atención al cliente. Su novedad es que el sistema no tiene que anticiparse a las posibles preguntas de los usuarios sino que va aprendiendo con cada consulta hecha por estos y va clasificando las respuestas a medida que se van generando. La aplicación reconoce, en las consultas (por correo electrónico, por ejemplo), ciertas palabras clave por medio de las cuales puede llegar a comprender dichas consultas, realizar estadísticas y hasta generar respuestas personalizadas utilizando plantillas. Se calcula que estos sistemas pueden atender entre el 70% y el 90% de las consultas de este tipo.

Los riesgos para la privacidad del usuario medio, que no es consciente del funcionamiento de estas aplicaciones, son evidentes. Debemos tener en cuenta que, en el uso todas las herramientas que utiliza Internet²¹ existen estos riesgos, y que al sector privado22 puede recopilar y sistematizar, gracias al desarrollo de la informática, toda la información sobre sus potenciales clientes que esté a su alcance.

Para saber más:

Prieto Andrés, Antonio. Cookies y protección de datos. Boletín Nautilus nº 1/2001. Disponible en www.iaf.es.

Posición Común (CE) nº 26/2002 aprobada por el Consejo el 28 de enero de 2002 con vistas a la adopción de la Directiva 2002/.../CE del Parlamento Europeo y del Consejo, de ..., relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas. Diario Oficial C 113 E/39, de 14/05/2002.

http://www.ulpiano.com/boletinprivacidad.html. Boletín de privacidad on line.

http://www.coe.int/T/E/Legal_affairs/Legal_co-operation/Data_protection/ Página del Consejo de Europa sobre protección de datos.

http://www.privacy.org/ Sitio web sobre privacidad.

Javier Prenafeta
Abogado
www.jprenafeta.com

Notas

¹ Véase el artículo La privacidad de los menores y el marketing a través de Internet, disponible en noticias.juridicas.com, @rea Digital -APTICE.

² Existe, junto a esta, legislación específica que se ocupa, en mayor o menor medida, del tratamiento de datos de carácter personal en los ámbitos de las telecomunicaciones, sanitario, registral y catastral, electoral o en la legislación de régimen local.

³ De acuerdo con el artículo 3 i) de la LOPD, se entiende por cesión o comunicación de datos "toda revelación de datos realizada a una persona distinta del interesado", por lo que la publicación de datos de carácter personal a través Internet se considerará como cesión o comunicación a efectos de la normativa sobre protección de datos, debiéndose aplicar, en consecuencia, las previsiones establecidas en la misma en cuanto a la cesión de datos a terceros y a la prestación del consentimiento por parte del afectados (arts. 7 y 8 de la LOPD para datos especialmente protegidos, y arts. 11 y 27 con carácter general).

⁴ Véase la Memoria de la APD del año 1999, que comenta dicha cuestión al analizar la posibilidad de publicación a través de Internet de datos de Sentencias condenatorias por negligencia médica.

⁵ Para el tratamiento de los datos relativos a ideología, afiliación sindical, religión o creencias (art. 7.2 LOPD).

⁶ En su sitio web www.agenciaprotecciondatos.org se encuentran modelos de formularios para el ejercicio de los derechos, en los que se indica la obligación de adjuntar fotocopia del DNI junto con dicho documento.

⁷ Véase la Recomendación de la Agencia de Protección de Datos al sector del comercio electrónico, disponible a través de su sitio web.

⁸ Art. 3 a) de la LOPD.

⁹ Téngase en cuenta que, determinadas cookies pueden ser leídas por servidores distintos del que la origina, con lo cual existe una comunicación de los datos que contiene o, cuando menos, se posibilita el acceso a los mismos por parte de terceros. No obstante, también es cierto que es el propio usuario de Internet quien permite ese conocimiento de los datos, ya que se almacenan en su ordenador, pudiendo eliminarlos en todo momento.

¹⁰ Corripio Gil-Delgado, María de los Reyes, Regulación jurídica de los tratamientos de datos personales realizados por el sector privado en Internet, Premio Agencia Protección de Datos, Cuarta Edición.

¹¹ Directiva 97/66/CE del Parlamento Europeo y del Consejo de 15 de diciembre de 1997, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones. Diario Oficial L 024 de 30/01/1998. Disponible en http://www.i-3.org/docs/datos/directiva97-66.pdf.

¹² Véase Memoria de la Agencia de Protección de Datos del año 1999, que resuelve una consulta sobre el tema.

¹³ Se distingue entre nombres de dominio de primer nivel (top level domain names), que pueden ser genéricos (.com, .net., .int, .edu,...) o geográficos (.es, .fr, .uk,...), y los de segundo nivel (second level domain names), ligados a los anteriores y referidos a la entidad titular. Junto a ellos, pueden coexistir nombres de dominio de tercer nivel, que aparecen entre ambos y añaden, a los nombres geográficos de primer nivel, otra indicación de tipo genérico.

¹⁴ Debe tenerse en cuenta que no siempre será tan sencillo obtener los datos del titular de una cuenta de correo cuando el servidor que lo gestiona se encuentre establecido fuera de la Unión Europea, pues bien podría no estar obligado a dar dicha información conforme a su ley aplicable.

¹⁵ Salvo que se utilicen programas de cifrado. El más conocido es el PGP (Preety Good Privacy), que es gratuito. Puede encontrarse información sobre él en www.geocities.com/SiliconValley/Pines/2332.

¹⁶ Anexo de la Recomendación nº R(99)5: Directrices para la protección de las personas respecto a la recogida y tratamiento de datos personales en las "autopistas de la información", adoptada por el Comité de Ministros el 23 de febrero de 1999.

¹⁷ Posición Común sobre la Protección de Datos y los motores de búsqueda en Internet, adoptada en la 23 Reunión del IWG en Hong Kong SAR, China, el 15 de abril de 1998.

¹⁸ http://europa.eu.int/comm/internal_market/en/dataprot/index.htm

¹⁹ Ver nota 10.

²⁰ Ejemplos de aplicaciones de este tipo son el Netbot Jango (www.jango.com), o el Auction Bot (http://auction.eecs.umich.edu)

²¹ Por ejemplo, también en el uso de chats o de programas de mensajería instantánea.

²² Principalmente, porque se destinan a finalidades básicamente comerciales, pero nada impide que los organismos públicos puedan incorporar estas tecnologías para mejorar los servicios que ofrecen al ciudadano.

Disponível em: http://noticias.juridicas.com/articulos/20-Derecho%20Informatico/200208-...

Se logue para poder enviar comentários
653 leituras