¿Se aplica la LOPD a Facebook?

Publicado: 3 octubre, 2011 en Noticias

 

Una resolución recientemente publicada por la Agencia Española de Protección de Datos relativa al tratamiento de datos sin consentimiento en una red social (Facebook) me llama la atención por el fondo del asunto analizado y también por la forma.

La Agencia acuerda iniciar procedimiento sancionador por el incumplimiento del artículo 6.1 de la LOPD, es decir, por no recabar el consentimiento inequívoco para el tratamiento de datos de carácter personal.

En cuanto al consentimiento, las condiciones generales de la red social facebook disponen que será el propio usuario el que deba recabar el consentimiento y “publicar su propia política de privacidad” indicando cómo utilizará los datos. Además, para usuarios no residentes en Estados Unidos se indica que “se encuentran trabajando para respetar la legislación local” y que das tu consentimiento para que tus datos personales se transfieran a Estados Unidos y se procesen en dicho país.

De la lectura de las condiciones generales de Facebook no he obtenido una definición clara del consentimiento y cómo actuar en caso de conflicto con otros usuarios tal y como sucede en la Resolución publicada por la Agencia. En este punto, me parece más útil acudir al perfil de la Agencia Española de Protección de Datos en Facebook  para obtener unas indicaciones más precisas acerca de cómo funciona dicha red social.

Así, del aviso legal que incluye la Agencia en su perfil de Facebook se observa (entre otras cuestiones) que:

“Al hacerte fan de esta página, consientes: 1) en el tratamiento de tus datos personales en el entorno de Facebook conforme a sus  políticas de privacidad; 2) el acceso de la AEPD a los datos contenidos en la lista de fans; y 3) a que las noticias publicadas sobre el evento aparezcan en tu muro.


La AEPD no utilizará los datos para otras finalidades ni para enviar información adicional. Si quieres darte de baja, sólo tienes que pinchar sobre el hipervínculo que aparece abajo a la derecha “Dejar de ser fan”. Puedes ejercer los derechos de acceso, rectificación, cancelación y oposición en cualquier momento, mediante escrito, dirigido a la Agencia
Española de Protección de Datos, Secretaría General, C/ Jorge Juan n 6, 28001 Madrid o enviando un e-mail a la dirección privacyconference2009@agpd.es, acompañado de fotocopia de documento oficial que te identifique. En caso de ejercerse por correo electrónico el documento deberá firmarse digitalmente el mensaje o adjuntar un documento oficial escaneado.
En el contexto de este tratamiento debes tener en cuenta que la Agencia Española de Protección de Datos únicamente puede consultar o dar de baja tus datos como fan. Cualquier rectificación de los mismos debes realizarla a través de la configuración de tu usuario.”

En resumen, nos podemos hacer fan y ejercer nuestros derechos de acceso, rectificación, cancelación y oposición. Pero ¿Sobre qué datos y en relación a qué fichero? Luego de una búsqueda de los ficheros registrados por la Agencia ante su propio registro no he encontrado un fichero “fans”, “Facebook”, “redes sociales” o similar. Quizá encaje el tratamiento en “gestión de consultas de atención al ciudadano” o en“quejas y reclamaciones”, pero me parece forzado. En todo caso, la Agencia es una entidad que realiza un tratamiento de datos y por lo tanto debe cumplir las obligaciones establecidas en la normativa de protección de datos. Sin embargo, ¿Cómo debe actuar un particular en Facebook?¿Debe registrar un fichero ante la Agencia? ¿Estamos ante actividades de particulares puramente domésticas de acuerdo al apartado 2.a) del artículo 2 de la LOPD? Si no es así, ¿En qué situación excede del ámbito doméstico?

Sinceramente, en este punto sigo estando como al principio, como usuario de Facebook no tengo claro qué políticas de privacidad aportar a mis contactos o fans, como los conoce la Agencia, ante un tratamiento de datos de personas físicas y en definitiva, a qué normativa acogerme ante cualquier conflicto que surja.

Volvamos a las condiciones generales de Facebook. Como hemos comentado anteriormente, al darnos de alta como usuario, damos nuestro consentimiento para que nuestros datos se procesen en Estados Unidos. Además, se indica que los conflictos habrán de dirimirse ante los Tribunales del Condado de Santa Clara, en California. De lo cual deduzco que debo someterme al “fuero” indicado por Facebook.

Sin embargo, la Agencia Española de Protección de Datos, en su perfil de Facebook incluye un aviso legal en los términos estipulados en el artículo 5 de la LOPD, con lo cual, parece aplicarse la normativa de protección de datos.

En cuanto al ámbito de aplicación de la LOPD, el artículo 2 de la Ley Orgánica regula dicha cuestión.

Tal y como se indica en las condiciones generales de Facebook no parece que el tratamiento se efectúe en territorio español (apartado a), de ningún modo parece aplicable el Derecho Internacional Público a la relación jurídica, y por último, Facebook se encuentra establecido en Estados Unidos, fuera de la Unión Europea y en mi opinión, y aquí está mi única duda, utiliza medios situados en territorio español únicamente con fines de tránsito, esto es, a través de redes de telecomunicaciones.

En conclusión, opino que Facebook queda fuera del ámbito de aplicación de la Ley Orgánica de Protección de Datos y por lo tanto, la Agencia Española de Protección de Datos no puede entrar a valorar si un usuario ha recabado el consentimiento de otras personas físicas para publicar sus datos de carácter personal y que por ende, en estos casos, procede el archivo de actuaciones. ¿Qué opináis?

Reflexiones adicionales: no he querido extenderme en el artículo pero creo que de la Resolución de la Agencia se puede extraer más jugo, por ejemplo, me sorprende la petición de la IP a Telefónica (y su posterior cesión por dicha operadora) por parte de la Agencia, a mi entender, tal y como dispone la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones en su artículo 1 apartado 1:

Artículo 1. Objeto de la Ley.

1. Esta Ley tiene por objeto la regulación de la obligación de los operadores de conservar los datos generados o tratados en el marco de la prestación de servicios de comunicaciones electrónicas o de redes públicas de comunicación, así como el deber de cesión de dichos datos a los agentes facultados siempre que les sean requeridos a través de la correspondiente autorización judicial con fines de detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales.

Dudo que la Agencia sea un agente facultado y que además haya solicitado una autorización judicial con fines de detección, investigación y enjuiciamiento de un delito grave contemplado en el Código Penal. En este sentido, considero innecesario acudir a la definición de delito grave en el CP, daremos por hecho que un “tratamiento de datos sin consentimiento” no es un delito grave. gontzalgallo.wordpress.com

Autor: Gonzalo Álvarez Hazas

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s