martes, 5 de julio de 2011

Lo dudo, lo dudo, lo dudo, cantaban Los Panchos

¿De verdad piensan Ustedes que el perfil de una empresa en Facebook es un fichero a efectos de la LOPD, independiente, autónomo, inscribible? ¿No se han parado a pensar que la capacidad de decisión de la empresa sobre la información de terceros contenida en él se encuentra seriamente limitada (por ejemplo, por las funcionalidades que decida implementar, o restringir Facebook o por la configuración de privacidad por la que opten los fans)? ¿No se dan cuenta de los problemas prácticos que implica la consideración de ese perfil como fichero?

Les menciono sólo dos:
- La declaración, en el momento del registro del fichero, de las Transferencias Internacionales de Datos (¿Dónde se encuentran almacenados los datos de sus fans? No lo sé, pero barrunto que no están en un CPD de Alcobendas).
 - La aplicación de medidas de seguridad a ese fichero (¿Cómo se las va a arreglar Usted para cumplir el título VIII del RLOPD?) y su inclusión en el documento de seguridad corporativo.

En fin, salvo que Usted extraiga los datos de la plataforma, lo más sensanto es considerar que la empresa es responsable del tratamiento pero no del fichero. El responsable del fichero (un fichero único) es Facebook, y la empresa realiza un tratamiento condicionado por las posibilidades que le permite la plataforma.

Y sí, ya sé que, siguiendo la "doctrina Lindqvist", la Agencia ha manifestado en distintas ocaciones que blogs y páginas webs son ficheros...Pero fíjense qué curioso, en el aviso legal del Facebook de la AEPD, no se menciona ningún fichero, sólo se hace referencia a tratamientos:

"Al hacerte fan de esta página, consientes: 1) en el tratamiento de tus datos personales en el entorno de Facebook conforme a sus políticas de privacidad; 2) el acceso de la AEPD a los datos contenidos en la lista de fans; y 3) a que las noticias publicadas sobre el evento aparezcan en tu muro.

La AEPD no utilizará los datos para otras finalidades ni para enviar información adicional. Si quieres darte de baja, sólo tienes que pinchar sobre el hipervínculo que aparece abajo a la derecha "Dejar de ser fan". Puedes ejercer los derechos de acceso, rectificación, cancelación y oposición en cualquier momento, mediante escrito, dirigido a la Agencia

Española de Protección de Datos, Secretaría General, C/ Jorge Juan n 6, 28001 Madrid o enviando un e-mail a la dirección privacyconference2009@agpd.es, acompañado de fotocopia de documento oficial que te identifique. En caso de ejercerse por correo electrónico el documento deberá firmarse digitalmente el mensaje o adjuntar un documento oficial escaneado.

En el contexto de este tratamiento debes tener en cuenta que la Agencia Española de Protección de Datos únicamente puede consultar o dar de baja tus datos como fan. Cualquier rectificación de los mismos debes realizarla a través de la configuración de tu usuario."

Como ven, Ad Edictum ha vuelto, en codificado y sin cortes publicitarios, para generar polémica. Espero sus comentarios. Eso sí, no me pidan que les haga un resumen de la Gran Cena Lopedé de ayer, porque sólo podría explicar lo que pasó en la consulta de un psiquiatra con marionetas.

4 comentarios:

Luis dijo...

Pues, aunque solo sea en privado, celebro su regreso... y encima generando polémica, como a mí me gusta xD

Gracias por seguir compartiendo con sus fieles seguidores toda su sabiduría "lopediana"

Luis Salvador Montero

Héctor Guzmán dijo...

¡Esoooo!
Con polémica de por medio como no podía ser de otra forma

La cita del "aviso" de la AEPD, donde sin dudarlo se refiere al "entorno de Facebook", a las políticas de privacidad de esta empresa americana y, en especial, a las "listas de fans" como fuente de datos; me dejó pensando en aquellos (pocos) ficheros declarados relacionados con redes sociales o cuya finalidad es el tratamiento de datos obtenidos en las mismas.

Tal y como apunta, y salvo que se copien la lista de fans, me queda claro que los datos no los vamos a encontrar en Alcobendas.

Compartiré su post con un compi con quien siempre digo de escribir un ensayo:

"El Responsable del TRATAMIENTO: esa triste y arrinconada figura de la LOPD"

Mery dijo...

Coincido con usted! Gran articulo!
Eso sí, hecho en falta el resumen de la cena de amigos lopede ;-)
Un abrazo

Ad Edictum dijo...

Como siempre, gracias por sus comentarios.

Esta vez, Paco está de acuerdo conmigo. Cuando me lo ha dicho, he estado a punto de rehabilitarle en todos sus cargos.

Yo me reafirmo en mi heterodoxia: inscribir como fichero, y más como fichero independiente, los tratamientos de datos que se realizan en las redes sociales sólo trae problemas. La Agencia no ha inscrito ningún fichero propio para estos temas.

¡A ver si un alma caritativa plantea una consulta al Gabinete Jurídico!

Eso sí, si se extraen las datos de la plataforma, sí hay fichero...Pero mientras tanto...

Piensen que lo que define la figura del responsable del fichero es la capacidad de decisión (sobre la finalidad, contenido y uso del fichero) ¿Qué capacidad de decisión tengo, si Facebook me puede cerrar el perfil? Y por cierto, ¿qué hago con el fichero inscrito si esto sucede?