La respuesta a esta pregunta, es afirmativa. Por supuesto que debo cumplir las disposiciones de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante LOPD) y del reglamento que lo desarrolla (en adelante RLOPD).
La reacción de muchos bloggers puede ser: «¿En serio, estoy obligado a cumplir las normas sobre proteción de datos? ¡Vamos, si se trata de un blog en el que expreso mi opinión! ¡No hará falta nada de eso!»
No hará falta nada de eso si simplemente publicáis posts, entradas o artículos, pero si mediante los formularios de suscripción al blog, de contacto o por cualquier otro medio a través de vuestro blog recabáis y manejáis datos personales, debéis observar las previsiones legales en materia de protección de datos.
Aquí os dejo un breve glosario de términos de la LOPD que os puede servir para consultar algún término mientras leéis el post:
¿Qué es un dato personal?
Según la definición de la LOPD, un dato personal comprende cualquier información concerniente a persona física identificada o identificable. Por tanto debe existir la concurrencia de un doble elemento: la existencia de una información o dato y que dicho dato pueda vincularse de forma directa o indirecta a una persona física identificada o identificable.
¿Entonces son datos personales todos los datos pertenecientes a personas físicas? Sí, pero con los matices que veremos a continuación con respecto a las exclusiones del régimen de aplicación de la normativa de protección de datos.
Se excluyen del régimen de aplicación de la normativa de protección de datos y por tanto no serán considerados datos personales:
- Aquellos datos referidos a personas jurídicas (empresas, sociedades, asociaciones, organismos)
- Los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en empresas (personas jurídicas) como nombre y apellidos, funciones o puestos desempeñados, la dirección postal o electrónica, teléfono y número de fax profesionales.
- Datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros.
Por tanto, se someten al régimen de protección los datos personales que pertenezcan a personas físicas, siempre y cuando tales datos no puedan ser considerados profesionales, comerciales o propios del tráfico mercantil que desarrollen como empresarios individuales o como empleados de una empresa.
¿El correo electrónico tiene la consideración de dato personal?
Si el conjunto de signos o caracteres que componen una dirección de correo electrónico permiten la vinculación directa o indirecta con una persona física, efectivamente tiene la consideración de dato personal.
Así que atención a esto: la utilización de una dirección de e-mail sin consentimiento de su titular vulnera la normativa sobre protección de datos y se podría denunciar ante la Agencia.
¿Recabo datos personales a través de mi blog?
Si sois bloggers o blogueros, seguramente queráis obtener suscriptores a los que poder comunicar una nueva publicación, por lo que a tal fin lo que estamos haciendo es recabar el nombre, los apellidos y la dirección electrónica de usuarios y por tanto estamos teniendo acceso a datos personales, pues corresponden a personas físicas, y nos permiten identificarlos perfectamente y los almacenamos de una manera organizada.
A ese conjunto de datos organizados la LOPD lo denomina fichero. Por tanto, como autores o creadores de un blog, seremos responsables de los ficheros de datos que recabemos.
¿Qué es un encargado de tratamiento?
Para entendernos, es cualquier persona que tiene acceso a los datos personales recabados y los maneja por alguna razón justificada. Por ejemplo, puede que vosotros seáis los autores del blog, pero que un tercero ordene y almacene los contactos o los suscriptores. Ese tercero, aunque sea vuestro/a novio/a y tengáis plena confianza en él/ella, es un encargado de tratamiento a los efectos de la ley y por tanto debe ser identificado como tal.
¿Los proveedores de servicios de cloud computing o de servicios de envío de mails y newsletters son encargados de tratamiento?
Suele ser muy habitual contratar con alguna empresa un servicio de envío de mails y newsletters tipo Mailchimp, Codeeta, Aweber… Esas empresas son a todos los efectos encargados de tratamiento de datos personales toda vez que tratan, es decir, manejan los datos personales, recabados a través de vuestro blog. Lo mismo ocurre con las empresas de hosting que en su caso hayáis contratado para alojar vuestro blog, pues puede darse la circunstancia de que los datos personales obtenidos se almacenen en los servidores de dichas empresas.
En estos casos, debéis firmar un contrato con esas empresas de cloud computing o gestión de newsletters, ya sea de forma digital o manuscrita, siendo suficiente con el «acepto las condiciones» de alta en el servicio. Pero antes de contratar (firmar el contrato o aceptar el alta en el servicio) es conveniente leer los términos de uso y condiciones generales de esos servicios, para estar seguros de que esas empresas se comprometen a ofrecer las debidas garantías de protección de datos y que si no lo hacen, puedo pedirles responsabilidades.
¿Qué ocurre en los casos en los que ese prestador de servicios está fuera del territorio del Espacio Económico Europeo?
Sencillamente que estamos ante un supuesto de transferencia internacional de datos, ya sea una cesión o comunicación de datos, o bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español. En esos casos será necesaria una Autorización del Director de la Agencia Española de Protección de Datos (cuyo trámite puede durar en torno a tres meses), salvo que los datos se transfieran a un país que ofrezca un nivel adecuado de protección o a empresas de Estados Unidos que se hayan adherido al Convenio de Puerto Seguro (Safe Harbor).
Hasta la fecha han sido declarados como países con nivel adecuado de protección los siguientes:
Suiza, Canadá, Argentina, Guernsey, Isla de Man, Jersey,Islas Feroe, Andorra, Israel, Uruguay y Nueva Zelanda.
Debo recordar que en el caso de que la transferencia internacional de datos con destino a uno de estos países sea consecuencia de una prestación de servicios, esta circunstancia no exime de la obligación de tener que suscribir un contrato conforme a lo dicho anteriormente.
¿Qué es el Convenio de Puerto Seguro (Safe Harbor)?
Muchos proveedores de cloud computing están en Estados Unidos, y allí no existe una ley de protección de datos, sino normas dispersas propias de su sistema jurídico; por ello la Unión Europea aprobó con arreglo a la Directiva 95/46/CE (que constituye el texto de referencia en Europa en materia de protección de datos personales) el Convenio de Puerto Seguro (safe harbor), que consiste en una serie de principios que regulan una protección de datos «adecuada» de acuerdo a lo definido en dicha directiva, y a los que se someten las empresas norteamericanas que se adhieren al mismo.
Las entidades o empresas estadounidenses adheridas a Safe Harbor tienen reconocido por la Comisión Europea un adecuado nivel de protección (Decisión2000/520/CE). Por lo tanto, esta Transferencia Internacional no requiere autorización del Director de la AGPD. El principio de transferencias internacionales de Safe Harbor limita al prestador de servicios la subcontratación a otras entidades adheridas a Safe Harbor mediante un contrato que exija el cumplimiento de los principios de protección de datos (existe un encadenamiento de garantías).
Pero, ¡ojo! el responsable de tratamiento de los datos debe autorizar la subcontratación y conocer la identidad de los subencargados. Habrá que intentar por tanto, tratar de conocer la identidad y ubicación de los mismos. Soy consciente de que en algunos casos eso será prácticamente imposible.
La empresa estadounidense Mailchimp por ejemplo está adherida al convenio safe harbor. Se puede ver en su aviso legal.
Las obligaciones que impone la LOPD (también para bloggers):
Calidad de los datos: Los datos sólo de podrán recoger si son adecuados, pertinentes y no excesivos, debiéndose utilizar para la finalidad para la que fueron recabados. Deben ser exactos y puestos al día, cancelándose cuando hayan dejado de ser necesarios
Deber de información: Debe informarse a los usuarios a los que se soliciten sus datos personales de la existencia de un fichero de datos personales y de para qué se va a utilizar tal fichero. De igual forma se deberá informar de la posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición, así como de la identidad y dirección del responsable.
Consentimiento y comunicación de datos. El tratamiento de datos personales requerirá el consentimiento previo del interesado o afectado. Dicho consentimiento debe cumplir los siguientes requisitos:
- Debe ser libre, esto es, que no se encuentre viciado según las disposiciones del Código Civil.
- Debe ser específico, por cuanto debe prestarse a una determinada operación de tratamiento y para una finalidad determinada, explícita y legítima del responsable de tratamiento.
- Debe ser informado, siendo necesario para su obtención informar al interesado de:
- La existencia de un fichero en el que se van a incorporar los datos del interesado y del tratamiento de ese fichero.
- Del carácter obligatorio o facultativo de su respuesta a las preguntas que le sean formuladas en un cuestionario y de las consecuencias de la obtención de los datos o de la negativa a proporcionarlos.
- De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición
- De la identidad y dirección del responsable de tratamiento.
Estas advertencias deben constar de manera legible en los formularios de recogida de datos y en el Aviso Legal, como explico en mi post «Cómo hacer el aviso legal de tu web».
- Debe ser inequívoco, por cuanto no puede haber duda de la prestación del consentimiento.
Deber de secreto: el responsable del fichero y quienes intervengan en el tratamiento de los datos personales están obligados al secreto profesional respecto de los mismos, obligación que subsistirá aun después de finalizar sus relaciones con el titular o responsable del fichero.
Seguridad: el responsable del fichero y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativa que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, y su tratamiento o acceso no autorizado.
Merecería de un post a parte la elaboración del llamado Documento de Seguridad, que consiste en un documento mediante el cual se elabora y adoptan las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos de carácter personal.
Su adopción es de obligado cumplimiento para el responsable del fichero, o en su caso, del encargado del tratamiento. Es obligatoria su elaboración, pero se trata de un documento interno de cada responsable (no se registra en la AGPD).
La propia AGPD ha elaborado una guía para su elaboración.
Inscripción.- Por otra parte, cualquier fichero de datos de carácter personal deberá ser notificado por su responsable a la Agencia Española de Protección de Datos para su inscripción en el Registro General de Protección de Datos.
Cómo puedo inscribir mis ficheros?
Para realizar la inscripción inicial de cualquier fichero, y en su caso la posterior modificación o supresión de la inscripción, en la web de la Agencia Española de Protección de datos (www.agpd.es) podéis encontrar el formulario electrónica que denominan NOTA (Notificaciones Telemáticas de la AEPD) a través del cual podéis solicitar la inscripción de ficheros en el Registro General de Protección de Datos.
Este formulario os permite la presentación de forma gratuita de notificaciones a través de Internet con certificado de firma electrónica. En caso de no disponer de un certificado de firma electrónica, también podéis presentar la notificación a través de Internet, para lo cual deberá remitir a la Agencia la Hoja de solicitud correspondiente al envío realizado debidamente firmada. Por último, podéis optar por el modo de presentación en soporte papel.
¿Y vuestro blog cumple con la normativa de protección de datos?¿Habéis inscrito vuestros ficheros?