balanza

Fuente || http://www.abogacia.es

Pese a que aún puede escucharse y leerse que la normativa sobre protección es “nueva” o “reciente”, lo cierto es que han pasado ya casi 15 años desde la publicación de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (LOPD), y más de 22 desde la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal (LORTAD). Y siendo esto sorprendente, más lo es que en ocasiones somos los propios abogados los autores de afirmaciones así. Sí, es mucho más nueva o reciente que la normativa civil de la compraventa, pero da la impresión de que ya ha pasado suficiente tiempo como para que sea un regulación a tener en cuenta.

El problema no es ya que los abogados comentemos que es una legislación nueva, lo más preocupante es que el nivel de cumplimiento de la normativa en nuestro gremio me atrevería a decir que es bastante deficiente. Los abogados no sólo estamos para ayudar a cumplir normas y para solucionar problemas legales, también creo que debemos ser los primeros en dar ejemplo y “evangelizar” sobre el cumplimiento normativo. Y por desgracia, en el ámbito de la protección de datos y, al menos por mi experiencia, eso no sucede.

Más allá de lo anterior, en nuestro caso además se dan una serie de circunstancias que hacen que el incumplimiento sea aún más grave. Además de lo comentado respecto a la que creo que debe ser nuestra responsabilidad, hay que tener en cuenta que es muy habitual que un abogado trate datos sensibles de sus clientes o, por utilizar correctamente el término legal, datos especialmente protegidos. Estos son los datos de ideología, afiliación sindical, religión y creencias, origen racial, vida sexual y salud, sobre todo en este último caso, que es el más frecuente.

Por ello, sin ser objetivo de este artículo hacer un repaso de las obligaciones que establece la normativa, sí que me gustaría destacar algunos de los incumplimientos más graves y habituales que se pueden detectar en el tratamiento de datos personales por parte de los abogados.

– Es bastante deficiente aún el sistema de archivo de documentación que se puede encontrar en muchos despachos: ausencia de protocolos de archivo, ubicaciones poco seguras (en ocasiones hasta en zonas de acceso o espera por parte de clientes o en despachos de otros profesionales con los que se comparte oficina),  o incluso su conservación de forma que se impide o dificulta la localización y consulta de documentación concreta.

– Hay un incumplimiento masivo de la obligación de envío cifrado por email de datos que requieren medidas de seguridad de nivel alto, por ejemplo cuando se envían escritos a los procuradores. Lo mismo sucede con el uso de aplicaciones móviles de mensajería poco seguras para comunicarse con clientes y colaboradores.

– No se tienen en cuenta las previsiones en materia de comunicación de datos y de acceso a datos por cuenta de terceros. En el primer caso no se pide consentimiento para la cesión a los clientes y en el segundo no se firman los pertinentes contratos de acceso a datos por cuenta de terceros. Esto sucede cuando se trabaja con compañeros a los que se les encomienda un asunto o se les pide ayuda para una actuación procesal concreta.

– Incluso una de las obligaciones más sencillas de cumplir, como es la de facilitar la información correcta a los afectados, se incumple sistemáticamente. En buena parte se debe al poco uso que aún se hace de la hoja de encargo, en la cual sería muy fácil incluir la información a la que obliga la LOPD.

Por supuesto, este diagnóstico, aunque basado en la experiencia, es una generalización y obviamente hay muchos compañeros que han dedicado y dedican su esfuerzo y sus recursos a observar las exigencias en materia de protección de datos. Pero creo que es responsabilidad de nuestros colegios y de todos los abogados el insistir en esta materia. Además de evitar sanciones, cumplir con la LOPD ayuda a gestionar mejor nuestros despachos y transmite a los clientes mejor imagen, lo que, a la larga, redunda en nuestro buen hacer y en nuestra imagen profesional.

vender_en_redes_sociales

Fuente || http://www.ayudaleyprotecciondatos.es

Una vez mas encontramos una sanción de la Agencia Española de Protección de Datos (AEPD) por la compra y uso de una base de datos para el envío de correos electrónicos promocionales. Ya hemos indicado que no es buena idea comprar bases de datosni venderlasni utilizarlas comercialmente, pero… no todo el mundo tiene por lo que se ve la costumbre de consultar buenas fuentes informativas antes de actuar, y luego les toca pagar la correspondiente sanción.

En el Procedimiento Nº PS/00504/2014 encontramos un denunciante que recibió 8 correos electrónicos y 2 SMS de una empresa de software con la que nunca había mantenido relación comercial y a la que no  había solicitado en ningún momento el envío de esa información, ni a su email ni a su teléfono móvil.

La empresa denunciada reconoció la falta de consentimiento del titular, así como la inexistencia de ninguna relación comercial anterior con esa persona. Sobre el origen de los datos, aclaró que:

ha adquirido por mediación de empresas de marketing de Portugal, la compra de base de datos relacionadas con el sector al que se dirige, y en ella aparecería el titular de esta línea y correo electrónico, no teniendo en cuenta que los datos de clientes en España está sujeta a LOPD, al carecer Portugal de esta Ley.

La alegación resulta ser absurda, puesto que si bien es cierto que en Portugal no hay “LOPD”, ya que cada país denomina a sus leyes como le parece y normalmente en su idioma nacional, si existe legislación relativa a la protección de datos en un sentido similar al de España. ya que que ambos países pertenecen a la Unión Europea y están sujetos al mismo tipo de obligaciones de adaptación a sus normativas nacionales de las directivas europeas.

En cualquier caso, además, el hecho de que en el país de origen del vendedor de una base de datos exista o no una legislación equivalente a la española, es por completo irrelevante. Si esa información se va a usar en España respecto a ciudadanos españoles, la única legislación que interesa es la de España.

Y por tanto, la AEPD señala:

En relación a los criterios de graduación de las sanciones recogidos en este artículo 40 y, en especial, el número de comunicaciones comerciales enviadas que incumplen el art. 21 LSSI, es decir, 10 comunicaciones y la intencionalidad en relación con el elemento subjetivo y la falta de diligencia a la hora de verificar la adecuación a la normativa que regula el envío de comunicaciones comerciales por medios electrónicos y la circunstancia de que el denunciante advierte a la entidad que no ha consentido la remisión de estas comunicaciones en fecha de 4/04/2014 y a pesar de ello continua recibiendo las mismas, procede proponer una sanción en la cuantía de 6.000 €.

Una vez mas hay que dejar muy claro que es imposible que exista una base de datos  de correos electrónicos que se pueda usar legalmente para el envío de mensajes comerciales por parte de cualquier comprador. La legislación española exige consentimiento previo e información sobre la finalidad y el responsable del fichero, ¿y cómo se podía informar sobre la identidad y el uso que le va a dar un futuro comprador aún desconocido?

Sencillamente no hay manera en el marco legislativo actual de hacer algo así, con lo que sólo queda volver a repetir el consejo: ni se te ocurra comprar (ni vender) bases de datos de correos electrónicos.