Protección de datos en Internet

¿Quién no ha dicho aquello de “es que los móviles nos están escuchando, hablé el otro día con una amiga de estas zapatillas y ahora me salen anuncios todo el rato”?

Vamos por partes. La realidad innegable es que todas nuestras interacciones online se recopilan para crear un perfil detallado sobre cada uno de nosotros cimentado todo ello sobre la base de lo que nos gusta, lo que no, lo que hacemos con nuestro tiempo libre, con qué nos ganamos la vida, lo que nos atrae, nuestros temores en torno al futuro…

En este sentido, las redes sociales de ocio cuentan con un nivel de riesgo superior al de las de carácter profesional puesto que los usuarios exponen no solo sus datos de contacto o información profesional, sino también datos aún más sensibles como vivencias, ideología, experiencias…

Adicionalmente a esto, existe el problema de que en las redes sociales los usuarios no suelen ser conscientes de la facilidad de acceso que tienen otras personas o entidades a sus datos así como del valor que podrían alcanzar en el mercado. Sus datos, perfectamente podrían ser utilizados por terceros para publicar contenido sin autorización del usuario o para manipular cualquier información que se provee a través de las redes sociales.

Por ejemplo, algo que llamó mucho la atención fueron las elecciones estadounidenses de 2016. Hillary parecía la favorita pero, sin embargo, Trump acabó siendo presidente. ¿Cómo ha sido esto posible? Si os interesa este tema hay un documental de Netflix recomendadísimo llamado “Nada es privado” (“The great hack”) que ahonda en la filtración masiva de millones de datos de usuarios de Facebook a través de Cambridge Analytica, ademas de tocar otros temas relacionados con esta materia.

Sin embargo, como Estados Unidos nos pilla lejos, vamos a centrarnos en lo que nos interesa. En el ordenamiento jurídico español sabemos que existen normas tanto comunitarias como nacionales que regulan la protección de los datos de carácter personal en las redes sociales. Pero ¿qué hace esta normativa para protegernos en las redes sociales?

Si eres una red social, o incluso un mero proveedor de servicios con presencia en internet, el aspecto clave que tienes que tener en cuenta para no pillarte mucho los dedos a la hora de montar tu página web es el siguiente: el aviso legal debe ser claro y estar actualizado.

El uso de los datos personales siempre debe tener un contenido legal que lo respalde además de que siempre se deberá informar a los interesados sobre dicho uso. Para ello, la política de privacidad de la empresa debe redactarse de forma clara y estar siempre actualizada con respecto a la normativa en vigor en cada momento. Si tienes un aviso legal antiguo, y sobre todo si es anterior al RGPD y a la nueva LOPDGDD, tendrás que rehacerlo.

El la política de privacidad deberás determinar, entre otras cosas, quién es el responsable del tratamiento de los datos, cuánto tiempo va a conservar los datos, quién tendrá acceso a ellos y las medidas que se tomarán para evitar un uso indebido de los datos.

Suerte con ello, porque no solo deberás readaptar tus textos sino que también revaluar tus procedimientos a nivel de empresa ya que puede ser que algo estés haciendo mal.

Nuevo estándar ISO para certificar el cumplimiento en protección de datos

Hace ya más de un año que se aprobó el reglamento europeo de protección de datos (RGPD) y desde entonces se ha ido adaptando la legislación de los estados miembros para cumplir con las nuevas exigencias normativas.

En España esa adaptación llegó con la entrada en vigor de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) y mediante la publicación por parte de la AEPD de diferentes guías e informes para hacernos a todos más fácil el cumplimiento de tantas novedades legales.

Pero ahí no se queda todo, sino que adicionalmente a esta regularización que se ha ido llevando a cabo en cada uno de los estados miembros, la International Organization for Standarization (ISO) y la International Electrotechnical Commission (IEC) estuvieron trabajando para crear un estándar para la gestión de la privacidad que implica el cumplimiento del RGPD. Dicho estándar fue finalmente aprobado el pasado 6 de agosto de 2019 con el nombre de ISO/IEC 27701:2019 pues nace como una extensión de la ISO 27001, el estándar para la seguridad de la información. Es decir, se integran ambas normas, creando un sistema de gestión de seguridad de la información y de cumplimiento de la normativa relativa a los datos personales.

Antes de entrar en materia habrá que tener claro en qué consiste el Sistema de Gestión de la Seguridad de la Información (SGSI). Se trata de un conjunto de políticas y procedimientos que normalizan la gestión de un determinado ámbito de la organización o de uno o varios de sus procesos de negocio.

Dentro de estos SGSI se encuentra la ISO 27001, la cual es una norma de gestión, es decir, que define cómo ejecutar un sistema planificando, implementando, supervisando, revisando y mejorando la seguridad de la información a través de objetivos y medidas y mediante la realización de auditorías internas, entre otras cosas.

En este sentido, y dado que la ISO 27001 no puede abarcar todas las materias posibles pues se haría muy extensa y sería difícil conseguir certificar el cumplimiento de toda la seguridad de la información en todos los ámbitos posibles de nuestra organización surgen otras normas ISO que desarrollan la anterior.

Y aquí entra la ISO 27701, la cual indica requisitos especiales para mantener y mejorar el Sistema de Gestión de Protección de Datos (PIMS por sus siglas en inglés). Este sistema no pretende que cada organización adopte todos los protocolos de seguridad de todas las situaciones posibles, sino que las empresas entiendan por qué tratan información e implementen una serie de controles para realizar un tratamiento correcto de dicha información.

Por tanto, las empresas que quieren estandarizar su tratamiento de datos conforme a la ISO 27701 tendrán que:

  • Realizar una evaluación de las posibles brechas en la seguridad de los datos y elaborar un plan de acción contra esas brechas.
  • Tener claro qué datos recopila la organización, cómo se usan y cómo se comparten.
  • Saber distinguir cuándo la organización es responsable y cuándo es encargada del tratamiento.
  • Revisar y mantener actualizadas las políticas de privacidad para asegurarse de que abarcan todas las necesidades de la empresa.
  • Planificar e implementar una protección de datos desde el diseño y por defecto.

En resumidas cuentas, los objetivos de la ISO 27701, son los de proporcionar orientación sobre la gestión de la información personal de que disponen las organizaciones y ayudar a demostrar que se cumple con la normativa de protección de datos por parte de los responsables y encargados de tratamiento.

La ISO 27701 cubre las partes más importantes de la normativa como son los principios del tratamiento, las bases de legitimación, la obligación de transparencia e información, el ejercicio de derechos, la responsabilidad proactiva, las transferencias internacionales de datos y las obligaciones adquiridas con las autoridades de control, en nuestro caso la AEPD.

Además, cumplir con este estándar supondrá numerosos beneficios pues las empresas que lo implementen tendrán evidencia documental de que cumplen con la normativa de protección de datos y consecuentemente esto generará confianza en sus clientes y facilitará acuerdos comerciales con partners al aclarar los roles y responsabilidades dentro de la propia organización con un método de tratamiento de datos certificado.

Y esto no se queda ahí, pues gracias a esta certificación, más empresas adaptarán a la normativa su procesamiento de datos. Esto es así pues cuando una organización con quien otra mantiene relaciones comerciales quiera estandarizar sus procedimientos y le solicite firmar un contrato, proporcionarle información, o mejorar su cumplimiento en la materia, ésta tendrá que ponerse las pilas y regularizar su propia compañía.

Por todo ello, sin importar el tamaño de la organización, parece que certificarse con la ISO 27701 sería un paso interesante para dar por parte de todas las empresas, sobre todo en el momento en el que entramos a hablar de compañías que tratan grandes volúmenes de datos o información sensible de los interesados.

Lo único que nos queda ya es esperar la modalidad española de este estándar mediante la adopción de una norma UNE que contenga también las especificaciones y particularidades de la LOPDGDD y esperar la llegada de una era en la que el cumplimiento de la protección de datos sea un must en nuestra vida.

Las empresas de mensajería como encargados del tratamiento

Como ya hemos visto, cada vez que se contrate la prestación de unos servicios, habrá que tener en cuenta si se ceden datos personales de nuestros clientes a ese nuevo prestador de servicios. En caso afirmativo estaríamos ante la figura de un encargado del tratamiento con el cual habrá de firmarse el correspondiente contrato responsable – encargado y se deberá evaluar si cumple con las obligaciones necesarias en materia de protección de datos.

En relación con este tema, nos encontramos con la situación de las empresas de mensajería, las cuales, pueden considerar que no tratan datos personales del responsable en base a que no se accede al contenido de las cartas o a que no se guardan los datos indicados en los sobres. Es por ello que procederemos a analizar esta situación, para ver si es así o si serán considerados encargados del tratamiento con todas las de la ley.

Como punto de partida, indicar que no es necesario que se acceda al contenido de las cartas para que exista o no un tratamiento. El hecho de que no se acceda a dicho contenido forma parte de una obligación constitucional, de acuerdo con el artículo 18.3 de la Constitución Española, por lo que no se trataría de un argumento válido para indicar la falta de tratamiento. Claramente, en el momento en el que se contrata un servicio de distribución de mensajería, no se espera que se vaya a realizar en modo alguno el acceso al contenido de las cartas.

Es decir, salvo servicios concretos como el envío de correos con certificación de texto o de burofaxes, este es un aspecto que queda protegido por nuestra propia Constitución y el secreto de las comunicaciones, cuyo quebrantamiento implica la comisión de un delito.

En segundo lugar, teniendo en cuenta lo que se consideran datos personales, de acuerdo con el artículo 4 del RGPD, se trataría de toda información sobre una persona física identificada o identificable, considerándose persona física identificable toda persona cuya identidad pueda determinarse directa o indirectamente.

Analizando esto, está claro que el dato de la persona de contacto que aparece en los sobres o los paquetes, sería un dato de carácter personal pues se trata de información sobre una persona física identificable cuya identidad puede determinarse mediante el nombre y/o la dirección.

Por si fuera poco, la ley que regula el servicio postal universal, indica que los prestadores de servicios postales no podrán facilitar ningún dato relativo a la existencia del envío postal, a su clase, a sus circunstancias exteriores, a la identidad del remitente y del destinatario, ni a sus direcciones, y además determina la obligación de proteger la información transmitida o almacenada. Esto implica claramente que, además del nombre y la dirección indicados en el sobre, se consideran protegidos los datos relativos a la mera existencia del envío postal y a la identidad del remitente y el destinatario, entre otros, y que el hecho de que no se almacene la información, es decir, que no se haga una lista de los envíos, sino que sea meramente transmitida, quedará recogido también dentro de la protección de los datos personales.

Por tanto, atendiendo a la definición de encargado del tratamiento facilitada por la propia normativa de protección de datos, se estaría actuando como tal en el momento en el que se sigan las indicaciones del responsable que es quién decide sobre el tipo de envío, en que horario se deberá realizar y dónde se debe entregar la correspondencia. Es decir, el prestador del servicio no puede decidir sobre estas cuestiones sino que deberá dar exclusivo cumplimiento a las indicaciones de la empresa que contrata sus servicios.

En definitiva, queda claro que el prestador de servicios de mensajería es encargado pues accede a los datos personales indicados en el sobre, entre otros, y, como ya hemos visto, deberá garantizar, tal y como establece la normativa, que guardará la diligencia debida y que los datos no serán utilizados para otra finalidad. Para llevar esto a cabo, deberán tener firmado el contrato entre responsable y encargado, así como permitir y cooperar para que se evalúe su cumplimiento de la normativa de protección de datos poniendo a disposición de los responsables toda la información necesaria para demostrar el cumplimiento de sus obligaciones.

¿Puede el presidente de la comunidad acceder a los datos de los propietarios?

Como ya hemos visto, el responsable del tratamiento es aquella persona que define los fines y medios, mientras que el encargado del tratamiento es la persona que trata datos personales por cuenta del responsable del tratamiento.

Como también hemos expuesto, la comunidad de propietarios sería la responsable del tratamiento mientras que los administradores de fincas, cuando llevan a cabo la gestión de las comunidades de propietarios, por aplicación de la legislación de protección de datos, tendrían la función de encargados de tratamiento.

Por tanto, ¿qué papel tiene en todo esto el presidente? Pues según la Ley de Propiedad Horizontal es quien ostenta la representación de la comunidad de propietarios.

Artículo 13.3 de la LPH: “El presidente ostentará legalmente la representación de la comunidad, en juicio y fuera de él, en todos los asuntos que la afecten”.

Entonces, con lo que hemos visto, podríamos afirmar sin lugar a dudas que sí que es posible que el presidente de la comunidad de propietarios tenga acceso a los datos de la misma, puesto que se trata de la persona que representa a la comunidad de propietarios como responsable del tratamiento.

Aun así, claro está, el presidente podrá tratar los datos siempre que sean necesarios para la finalidad para la cual fueron recogidos, es decir, para la gestión de la comunidad de propietarios. Si se quisieran utilizar los datos de los propietarios para una finalidad diferente, sería necesario recoger el consentimiento de cada uno de ellos o bien encuadrarlo dentro de cualquier otra base jurídica legitimadora para el tratamiento, si es que esto es posible.