Orgullo y Lopdprejuicio: Homenaje LOPD a Jane Austen

¡Hola de nuevo!

El post de esta semana  creo que es de los más rarunos que voy a publicar, ya lo aviso. Antes de nada quiero avisarte: si no has leído el libro, visto las pelis o mil series que han hecho sobre la novela, no sigas leyendo: te voy a revelar los mejungues de la novela y no es plan. Si sigues, que sea bajo tu responsabilidad, ¿eh?, que yo te he avisado con toda mi buena intención.

Al lío: Mientras preparo mis exámenes de inglés, se me ha ido un poco la pinza y se me ha ocurrido, así, por las buenas, hacer un ejercicio que me ayude a recordar parte de la materia de mis exámenes. Este año me ha tocado leer Pride and Prejudice en inglés y, pese a que esto me hará que algun@s me miren con reticencias, debo reconocer que el libro se me ha hecho pesado e infumable. Hala, ya lo he soltado. Así que voy a descargar mi frustración literaria vengándome en forma de post, y qué mejor manera que unirlo con la LOPD, que es mi fiel compañera. Voy a intentar unir cada personaje de la novela con un concepto de la LOPD; así, sin casi pensarlo, de forma espontánea. Siempre me han gustado las reglas nemotécnicas y creo que este friki-post puedo usarlo como "método de aprendizaje casero".

Quiero dedicarle este post a dos twitteras encantadoras tanto online como offline: @mejugenia y @elenaperezgomez . Las dos pobres pacientes, han contrarrestrado mis ataques al libro como auténticas heroínas, y es inevitable acordarme de ellas al escribir estas líneas. Con todo el cariño... ¡va por vosotras, soletes!

Vamos a ver qué sale.

- Señor Bennet: Aunque en un principio podría pensar en él como Responsable del Fichero, lo he desechado casi inmediatamente por dos motivos:

1) Connotación machista obvia y 

2) No parece, por su carácter, que tenga capacidad alguna de decisión. 

Es por ello que he elegido otro concepto para el Señor Bennet que va más con su carácter: para mí  es un Código Tipo. El motivo por el que he elegido este concepto para definirlo es el siguiente: El Señor Bennet es un cacho de pan y los Códigos Tipo nacen de las buenas intenciones. El Señor Bennet no es un padre estricto, como lo es la LOPD y, al menos con Lizzy, muestra ternura, entendimiento y buena voluntad para respetar sus decisiones. Por eso pensar en él como un Código Tipo me parece una buena idea: va más allá de las funciones que le son inherentes como padre y eso siempre es de agradecer, oye.

- Señora Bennet: Lo tengo claro:es la Comunicación de datos no autorizada. Cotilla, quejica, con cierta incontinencia verbal.. Para mí encaja perfectamente en lo que NO SE DEBE HACER.

- Jane Bennet: Para mí Jane es el Deber De Secreto personificado: tímida, callada, sufridora en silencio. Se enamora de Bingley y aguanta carros y carretas de su cuñadita, pero ella permanece impasible, esperando que las cosas se arreglen para bien o para mal. Al final la jugada le sale tan bien que acaba casándose (a la chita callando), con el apuesto Mr. Bingley.

- Elizabeth (Lizzy) Bennet: A Lizzy la veo muy rollo el Principio de Calidad de los Datos. El motivo principal es porque la veo muy lícita y leal, con buen fondo y en permanente actualización de la información que maneja, lo que le sirve para darse cuenta de sus propios errores. Lizzy evoluciona en la novela de tal forma que la vemos incrementar la utilidad de la información que maneja: desde las primeras impresiones que tiene de Mr. Darcy hasta la forma de encajar la decepción con Mr. Wickham. Por todo esto, creo que el Principio de Calidad de los Datos es el que más le pega.

- Mary Bennet: Para mí Mary representaría los Datos Especialmente Protegidos: un "bicho raro" y, en teoría, cerrado para eventos sociales. Es por eso que le pega aquello del consentimiento expreso, diferente de sus hermanas y de la propia Sociedad en la que le ha tocado vivir.

- Catherine (Kitty) Bennet: A Kitty la veo muy Apercibimiento de la LOPD . Kitty vive a la sombra de su hermana Lydia igual que lo hace el Apercibimiento de la Multa, en el ámbito LOPD. Es por eso que para mí es una gran desconocida en la novela, así que creo que representar algo tan desconocido como el Apercibimiento, le va al pelo.

- Lydia Bennet: Lydia es la pequeña de la familia, espontánea y despreocupada. Igual que una Transferencia Internacional de Datos. La veo muy similar a esta figura porque, aunque hace un poco lo que le da gana, sin pensar, se acaba "transfiriendo" a un país no seguro, y su familia es la que tiene que tomar medidas para arreglar el entuerto, aunque al final es de justos decir que es Mr. Darcey el que acaba prestando las garantías para el movimiento.

- Fiztwilliam Darcy:El galán de la novela no podría ser otra cosa que el Principio de la Seguridad de los Datos. Representa, en un principio, la arrogancia, pero quizás viene de serie en relación a las responsabilidades que tiene que asumir como chico rico, de buena familia y con la obligación de gestionar en un futuro el legado de alta alcurnia. Al final se arrejunta con Lizzy, lo cual hace de ellos una combinación casi perfecta: Seguridad + Calidad.

- Charles Bingley:Bingley para mí es el Titular de los Datos, ya que, al menos bajo mi punto de vista: no se entera de nada. A lo único a lo que presta atención es a Jane, pero vive ajeno, el pobre mío, a las maldades de su hermana y a las pillerías de su propio mejor amigo, Mr. Darcy. Es por eso por lo que le veo muy titular de los datos: nos ponen la hoja, firmamos, y ya no nos interesa nada más.

- Caroline Bingley: Para mí sería un Fichero inscrito en el Registro General. La explicación es muy clara: "mucho aparentar, pero luego...ñeñeñe". Caroline es clasista, muy de fijarse en la imagen y no dar importancia a lo que hay dentro, así que yo la veo muy Fichero Inscrito, es decir: la imagen de que nos preocupa la LOPD aunque luego tengamos el alma más negra que el tizón.

- William Collins: Debo reconocer que le tengo especial tirria a este personaje, así que le reservo el honor de representar al Censo Promocional. No tiene contenido, es un pelota que solo busca contentar a unos pocos (especialmente a Lady Catherine) y encima es un peñasco con Lizzy cuando le pide matrimonio. Así que, hala majo, para tí el insulso Censo Promocional.

 

- Charlotte Lucas: La mejor amiga de Lizzy representa la practicidad pura y dura: decide asegurarse un futuro (aunque sea insulso) y pasa del amor para casarse con un ser como Mr. Collins, que representa para ella la estabilidad. Es por eso por lo que creo que es El Procedimiento de Disociación: sólo se queda con lo útil, dejando fuera las florituras y peligros. Más pŕactico, imposible.

- George Wickham: Obviamente, es el País de Destino de la transferencia de la que hablábamos antes, que parece que es seguro pero que realmente no lo es. Podría hacer un símil maligno relacionado con un país muy famoso al que van todos los datos y que parece la panacea, pero resulta que acaba saliendo rana y, al igual que Lizzy pierde la confianza en él, cierto continente se replantea sus querimientos. Que cada uno saque sus conclusiones, que sois gente inteligente ;-)

Y hasta aquí llega el post de hoy. Espero que os haya resultado entretenido a vosotr@s y que a mí... ¡me sirva para aprobar mis exámenes! ;-)

Que paséis una feliz semana, lopder@s majetes.

 

La LOPD y el parraque de Amparo: Informe 438/2015 de la AEPD.

Hola a tod@s!

Para el post de esta semana he elegido comentar un Informe de la AEPD de lo más interesante: se juntan el número de emergencias 112 y un familiar/allegado/conocido que quiere saber algunos datos sobre la persona que ha sufrido el mal que motivó el aviso a Urgencias. Ya tenemos el tema central del informe: una cesión o comunicación de datos, que no es más que "toda revelación de datos realizada a una persona distinta del interesado", tal y como dice la LOPD en su art. 3.i. Para que se entienda más claramente, voy a poner un ejemplo: Amparo lleva luchando contra las tasas judiciales desde que se aprobaron en 2012: que si concienciación, que si reuniones con partidos políticos, que si organización de eventos reivindicativos... así durante 3 años, sin parar. De repente, un día como hoy (1 de febrero de 2016), se encuentra con esto: 

El Constitucional prepara un varapalo al Gobierno de Rajoy por el 'tasazo' judicial

Y claro, le da tal parraque en la oficina que decide llamar a Urgencias antes de caerse redonda al suelo. La ambulancia se termina llevando a Amparo porque el parraque es muy serio. Su jefe decide llamar al marido de Amparo para contarle lo que ha pasado y el marido llama al 112 para saber dónde está su mujer.

Pobre Amparo.

 Vamos a ver qué nos dice la AEPD al respecto. El informe es el 438/2015 y, como siempre, aquí os pongo el documento. ;-)

Lo primero que hace la AEPD es analizar si el contenido de las llamadas al 112 entran dentro del ámbito de la normativa en protección de datos. El informe se remite a otro de 2006 en el que ya se analizó la cuestión, dando como resultado lo siguiente:

1) (...) el tratamiento de datos generado a partir de las llamadas telefónicas realizadas al número de Emergencias 112, tiene trascendencia y entra dentro del ámbito de aplicación de la Ley Orgánica 15/1999 desde el momento en que en las mismas deban o puedan recogerse datos personales de personas que contactan con dicho servicio. Ello determina la plena aplicación de los preceptos de dicha norma en relación con el tratamiento de dichos datos de carácter personal...(...) (...) De ello resulta que el procesamiento y/o grabación de las conversaciones generadas a través de las llamadas realizadas al servicio de Emergencias 112, implica el sometimiento de datos personales a procesos de tratamiento de datos..(...). Este punto creo que es bastante claro: este supuesto entra dentro del ámbito de aplicación de la LOPD.

2) (...) En lo que se refiere al tratamiento de datos de carácter personal de aquellas personas que llaman al teléfono de emergencias 112, el artículo 6.1 de la Ley Orgánica 15/1999 establece con carácter general el consentimiento del afectado para el tratamiento de sus datos. No obstante el apartado 2, exceptúa el mismo en supuestos en que el tratamiento de datos tenga por finalidad proteger un interés vital del interesado, aludiendo por tanto, al supuesto en que el tratamiento sea necesario para salvaguardar el interés vital del afectado o de otra persona...(...) . Este segundo punto se va a entender muy sencillo si pensamos en la pobre Amparo: está en medio de un parraque y es muy posible que no sea capaz de leerse una cláusula para dar su consentimiento a que vengan, la atiendan y la pongan buena de nuevo. 

A continuación el Informe habla de los "orígenes del 112", que, para este post, me parecen poco relevantes. Sí lo es la parte que pego aquí: 

(...)... la limitación de la presentación de la línea llamante, establecida para garantizar la intimidad del que efectúa dicha llamada, ha de ceder en todo caso cuando se trate de la utilización de un servicio de emergencias, dada la necesidad de que por los servicios públicos competentes pueda resolverse la urgencia generada por la propia llamada y, de otra parte, la posibilidad de proceder en estos supuestos al tratamiento de los datos de localización distintos a los datos de tráfico sin que dichos datos se hayan hecho anónimos y sin el previo consentimiento informado del afectado. En este sentido, la normativa transcrita, al regular la existencia del servicio de emergencias 112, ha venido a considerar prevalente el derecho de salvaguardar la integridad de personas o bienes del afectado o de terceras personas e incluso el derecho a atender una necesidad vital del afectado o terceros (que, como ya indicamos, habilita el tratamiento de datos de carácter personal sin el consentimiento del afectado, tanto en la Directiva como en la Ley Orgánica 15/1999), sobre el derecho a preservar esa intimidad”. (...).

Bien, ¿qué tenemos aquí?

 

Lo que ya se atisbaba antes: que, ante una urgencia como la que tenemos en este caso, la necesidad del consentimiento del interesado que impone la LOPD "queda en segundo plano" por prevalencia de atender una necesidad del propio afectado que llama o del tercero que lo hace porque el afectado no puede hacerlo por sí mismo. ¿Qué es más importante: que la pobre Amparo escuche, entienda y dé su ok a la cláusula LOPD que va a leerle el que le coge el teléfono de Urgencias o que nos ahorremos ese tiempo y mandemos la ambulancia antes de que el parraque le traiga consecuencias terribles? Para la AEPD (y para mí), la respuesta es clara: Que vaya la ambulancia.

Recoge el Informe el cambio normativo producido por la derogación de la Ley 32/2003 que acabamos de citar, por la Ley 9/2014 de 9 de mayo de Telecomunicaciones , (...) cuyo art. 47.1.m) de la Ley 9/2014 prevé que los usuarios finales no puedan ejercer el derecho a impedir la identificación de su línea “cuando se trate de llamadas de emergencia a través del número 112 o comunicaciones efectuadas a entidades que presten servicios de llamadas de urgencia que se determinen mediante real decreto”. Y finalmente el art. 48.1.c) de la misma norma prevé la misma limitación respecto de los datos de localización distintos a los datos de tráfico...(...)

De nuevo, vemos otra limitación al consentimiento, pero en este caso referida a que se pueda identificar la línea desde la que se ha hecho la llamada y los datos de localización de la misma. Esto va en el mismo sentido de lo de antes: ¿necesito que me des tu consentimiento para que sepa desde qué número me llamas y en qué lugar estás cuando te está dando un parraque o lo "dejamos así como aparte" para que pueda localizarte más rápido y enviarte una ayuda que quizás pueda salvarte la vida? 

Volvamos a la cesión de datos, que era el tema del post, es decir: el marido de Amparo llama al 112 y pregunta al buen operador que le atiende (que puede no ser el que atendió la llamada de Amparo). Pues bien: el Informe coge el art. 11.2 de la LOPD y se plantea lo siguiente: “cabría analizar si la presencia de este familiar pudiera ser crucial para la vida del paciente, dado que podría conocer de alguna patología importante d éste que fuese necesario trasladar al personal facultativo en el tratamiento a emplear – antecedentes (cardiopatía, diabetes, etc.), alergias (penicilina, etc.)… ”. Para valorar la "crucialidad", supongamos que Amparo es alérgica a algún medicamento pero no lleva ningún documento encima que lo diga y ella, obviamente, no está en condiciones de dar esta información. El marido de Amparo es una de las pocas personas que puede facilitar este dato que, con alta probabilidad, será relevante a la hora de que el médico pueda atender el parraque de Amparo. ¿Es una urgencia vital? Pues hombre, la información es tan relevante que puede marcar el futuro de Amparo, ¿no creéis?. Por lo que la cesión estaría "amparada" en los términos que hemos visto anteriormente. ¿Caso cerrado? ... Obviamente no...

Para la AEPD ...(...) la cesión no implica la comunicación al llamante de cualquier dato de la persona atendida, y menos aún de la concreta asistencia sanitaria prestada. Entendemos que el interés vital quedaría suficientemente garantizado en la medida en que se informara al llamante si la persona ha sido efectivamente atendida por los servicios de urgencias o emergencias – sin indicar la atención médica prestada o la causa probable –, es decir, una respuesta afirmativa o negativa sobre el hecho de haber atendido a una persona concreta, así como el centro hospitalario al que ha sido trasladado; hospital ante el que el familiar o allegado podrán suministrar toda la información relativa a los antecedentes médicos que sea esencial para preservar el interés vital de la persona atendida, aportando datos de salud que pudieran ser imprescindibles para la atención sanitaria urgente y adecuada. Cualquier otra información podría ser excesiva para el cumplimiento de las finalidades previstas, en relación con el art. 4 LOPD antes citado..(...). 

Es decir, queridos amigos: Que el operador le podrá decir al marido de Amparo que sí que le han atendido y a qué centro hospitalario la llevaron; decir más que esto sería pasarse. La AEPD entiende que la información que pueda dar el marido de Amparo será relevante en el centro hospitalario, más que en la atención en la ambulancia.  

Y para terminar, el Informe se reafirma:

"En conclusión, los servicios de urgencias y emergencias podrán comunicar a las personas que llamen identificándose como familiares y allegados de otra que ha sido previamente atendida el dato de si ha sido efectivamente atendida o no, así como del centro hospitalario al que ha sido trasladado, en aplicación de los artículos 7.d) de la Directiva 1995/46/CE y art. 7.6 y 11.2.f) LOPD, concurriendo en estos supuestos la causa de interés vital del afectado. Cualquier otra información pudiera ser considerada excesiva en relación con el art. 4 LOPD".

Y hasta aquí llega el post de hoy. Espero que os haya gustado y que os haya parecido interesante. Os informo, para que os quedéis tranquilos, de que Amparo se ha recuperado del parraque y que tiene la intención de SEGUIR DANDO GUERRA CONTRA LAS TASAS, que para algo lleva una #T bien hermosa. ;-)

Muchas gracias por pasar por aquí; un saludo y hasta la próxima!

Entrevista con los Reyes Magos sobre Protección de Datos.

Hola a tod@s!

Hace cosa de un mes y medio recibí un email que me extrañó muchísimo. En el asunto ponía en mayúsculas "CONFIDENCIAL: a la atención exclusiva de Iurisfriki". Al principio pensé que era SPAM pero algo dentro de mí me hizo no enviarlo a la papelera de primeras. Al final del día me armé de valor y decidí abrirlo. Y menos mal. En el cuerpo del mensaje me encontré con un escueto "Se acepta su solicitud, la entrevista  será "X" día a "X" hora". De inmediato, cogí mi móvil y llamé a mi contacto para agradecerle el favor: gracias a sus gestiones, Sus Majestades los Reyes Magos de Oriente habían accedido a responderme a unas preguntas, y no sólo eso: tenía su ok para publicarlo en el blog y compartirlo con mis queridos lectores. Así, que, queridos amig@s, en este post os voy a trasladar la pequeña charla que pude mantener con tan ilustres y mágicos personajes.

Llegado el día "D", estaba tan nerviosa que no acertaba ni a encender el pc. Tal y como me habían pedido, busqué un sitio seguro en el que estar sola y que nadie más pudiera escucharme. Cogí el pendrive que me había entregado un amable mensajero un par de días antes de la cita y lo inserté en el equipo. Al momento, se me empezó a instalar en mi equipo el programa que sería la herramienta para mantener la charla con ellos: una especie de Skype mágico que se autoborraría nada más terminar la charla. Y doy fe de que así fue: tanto el pendrive como el programa han desaparecido de mis equipos y de mi vista!

Finalizada la instalación del programa y su configuración (que debo decir que fue bastante rápido), por fín estaba en línea, esperando la llamada mágica de Oriente. Y a los pocos minutos, se produjo...

 

De repente, apareció en la pantalla un Paje Real que, con cierto semblante serio, me dijo que Sus Majestades se conectarían enseguida. Y así fue: al ratito, tenía 3 hombres mayores al otro lado de la pantalla mirándome con una dulce sonrisa. Y empezó la charla..

Todo fue muy rápido; Sus Majestades me explicaron que estaban especialmente ocupados con todos los encargos que habían recibido para Reyes, por lo que quise ser directa y clara para no "robarles" demasiado tiempo. Mi primera pregunta era obvia: ¿cómo gestionan toda la información que reciben de los niños españoles?

Fue Gaspar el que rompió el hielo con un tajante: "Pues aplicando las máximas pautas de seguridad combinando las ideas que cogemos de la normativa en protección de datos y la magia, que es la base de nuestra actividad". Obviamente, mi cara fue un poema pero es que claro, no me veía con legitimidad para cuestionar a tan ilustres personas los motivos por los que, como entendí entre líneas, no cumplían escrupulosamente los preceptos de la LOPD. Al final no hizo falta decir nada: Melchor tomó la iniciativa y me explicó que, ante las dudas sobre si debían aplicar la normativa vigente en Protección de Datos dado su carácter marcadamente mágico, habían decidido consultar directamente a la AEPD y la respuesta había sido negativa dado que no encajan en los supuestos obligados por sus especiales características y además, según les indicaron en la propia AEPD su actividad podría encajarse tanto en la llamada "excepción doméstica" como en la prevista en el art. 1.c de la LOPD. No seré yo quien cuestione a la excelentísima AEPD y menos hablando de cuestiones "mágicas". ;-)

Mi siguiente pregunta fue que me indicaran algunos preceptos de la normativa que aplicaran en sus actividades, a lo que Baltasar me respondió lo siguiente: "Lo primero que queremos que quede claro es que, a grosso modo, cumplimos con los Principios de la LOPD y con las medidas de seguridad del Reglamento, aunque a "nuestra manera". Voy a ser más concreto: En relación a los datos que manejamos, la mayoría provienen de las cartas que nos envían los niños cada año, por lo que sólo los conservamos "vivos" desde que llegan las cartas hasta el día 13 de enero. Es verdad que solemos dar un plazo extra de una semana por si nos hemos equivocado en el reparto o el niño no está contento con lo que le hemos dejado. Pasado ese tiempo, las cartas pasan a una sala mágica en la que quedan protegidos bajo un hechizo durante un plazo máximo de 5 años. A esa sala sólo podemos acceder nosotros, ya que la puerta  que la custodia sólo es visible con nuestros poderes, por lo que, en cierto modo, usamos una especie de "biometría mágica". Además, el hechizo lo cambiamos como mínimo una vez al año. Lo del hechizo es un lío, ya que la magia no evita los achaques propios de la edad y es Melchor el que la lía siempre: se le olvida de un día para otro y bloquea el sistema mágico: ¡tenemos un registro de incidencias enorme por su culpa!"

Me interesaba mucho conocer la relación con los pajes reales: cómo trasladan las obligaciones y responsabilidades a sus "empleados" (por llamarles de alguna manera) en materia de protección de datos. La respuesta de Gaspar no se hizo esperar: "Esta parte ha sido auténticamente complicada precisamente porque nuestros pajes reales tienen una especial relación con nosotros: no son ni trabajadores al uso ni, como les llamáis vosotros si mal no recuerdo, autónomos. Lo que hemos previsto al final es un contrato inspirado en el artículo 12 de la LOPD. Además, se les imparte un curso formativo cuando entran a colaborar con nosotros y anualmente, más o menos en verano, se les realiza otro curso de recuerdo. Nuestros pajes manejan información muy importante y no queremos dejar ningún fleco suelto. Los traslados de las cartas de sus buzones a nosotros son escrupulosamente seguros: utilizamos un doble hechizo y así, las cartas quedan perfectamente protegidas hasta que llegan a nosotros".

Me interesaba saber cómo actúan en relación al tema del consentimiento, algo que a las empresas les suele costar cuadrar. En esta ocasión, fue Melchor el que respondió a mis dudas: "A ver, lo del consentimiento es un poco "especial"..Nosotros no usamos formularios de contacto: los datos que nos llegan son básicamente por las cartas de los niños. Claro, la ventaja de llevar haciendo esto tanto tiempo es que cualquiera que nos escribe la carta sabe las cosas obligatorias que tiene que poner en ella: Su nombre, su dirección, si ha sido bueno o no y los regalos que le gustaría recibir. Visto esto, el resto no es relevante para nosotros, aunque cada carta es un mundo y muchos suelen pedirnos deseos para otras personas: Padres, Madres, Tíos, Abuelos, Vecinos o hasta Compañeros de clase. Esto choca con el art.13.2 del Reglamento, lo sabemos, pero creemos que la buena intención de las cartas puede compensarlo. Sólo usamos esa información para hacer felices y repartir ilusión, lo que es una finalidad clara del tratamiento que realizamos. No es necesario un formulario ni profundizar más en ello; no queremos tener problemas con la AEPD, como entenderás..Apunta ahí que no cedemos datos a nadie: que los encargos y demás los hacemos nosotros mismos, por lo que a nuestros vendedores sólo les trasladamos la lista de regalos, sin que sepan para quién es cada uno". Dicho queda. ;-)

No quería robarles mucho tiempo ya que estamos en fechas muy ocupadas para ellos, pero me quise portar un poco mal y decidí preguntarles por esos chivatazos que sabemos que les llegan sobre si los niños se portan bien o mal durante el año: su peculiar sistema de vigilancia que algunos gobiernos envidiarían, por cierto. La respuesta me dejó auténticamente impresionada: "Mira, Iuris, no te podemos dar muchos datos sobre este tema. Nosotros durante el año es verdad que recibimos chivatazos y que, incluso, podemos ver y saber el momento exacto en el que el niño se porta mal, pero no podemos precisarte demasiado sobre ello ya que no lo vas a poder entender; date cuenta que la Magia es un instrumento muy poderoso, y que nosotros "somos de los buenos". Sólo podemos decirte que nuestros oídos y ojos están muy protegidos y no pueden ser hackeados por nadie, así que estad tranquilos por esto".

Les pedí para finalizar la entrevista una frase final a cada uno de ellos para los lectores de este humilde blog. Accedieron enseguida, pidiéndome que trasladara el literal de lo que dijeran. Aquí os dejo los mensajes finales:

Melchor: "Quiero pedirles a tus lectores que entiendan la necesidad de proteger los datos personales tanto suyos como de sus clientes: que tomen medidas, que se formen, que se interesen y que piensen que, si unos ancianos como nosotros estamos concienciados, ellos tienen más motivos para estarlo".

Gaspar: "Yo lo que pediría a los lectores es que dejen de vivir al margen de la ley y de la Sociedad y que tomen medidas, especialmente con los niños. Nosotros no podemos estar todo el año encima del buen uso o mal uso de los regalos que dejamos; eso es responsabilidad de los padres. Hagan el favor de implicarse y protejan a los menores: sean responsables, y si no pueden comprometerse a esto, que no nos pidan determinados regalos".

Baltasar: "Comparto 100% lo que han puesto mis colegas, por lo que lo único que quiero añadir es lo siguiente: Se puede recibir carbón por no portarse bien, como saben todos, pero lo de "portarse bien" también incluye cumplir con las normativas. No sólo pueden recibir una multa, también carbón para el año que viene, avisados están".
 

Y hasta aquí llegó mi privilegiada charla sobre protección de datos con los Reyes Magos de Oriente. Espero que la hayáis encontrado interesante y sirva para concienciarnos un poco más sobre la importancia de nuestros datos personales. Un saludo a todos y FELIZ AÑO 2016! (qué mejor manera de empezarlo que con esta "visita mágica").

La casa por el tejado: Ana, psicóloga "relax & take it easy".

Hola de nuevo!

Tras experimentar con la historia de Paco, aquel mecánico que acabó siendo un pseudo-modelo para la web del viejo taller de su ex-jefe, y cuya historia podéis leer aquí , me apetece retomar mi vena creativa esta semana contándoos la historia de Ana y Sergio. Este post nace de la conversación absolutamente interesante y enriquecedora que tuve en twitter con una profesional del medio: Marina Brocca, en la que coincidíamos en la necesidad de concienciar sobre LOPD y privacidad hablando claro y "a calzón quitado", como ella misma dice. Os recomiendo encarecidamente darle follow inmediato en twitter; es tan encantadora como gran profesional y encontraréis cosas muy interesantes en sus tweets. Como siempre digo, este blog pretende ser una herramienta de concienciación y acercamiento a la normativa de protección de datos desde un punto de vista amable y sencillo de entender para todo el mundo, por lo que igual, con estas historias un poco raras, me es más fácil explicarme y conseguir que cualquier posible lector cierre la pestaña de este blog entendiendo algunos aspectos de la LOPD. Si consigo esto, os aseguro que estaré re-feliz! 

Y ahora, vamos con la historia..

Os presento a Ana. Ana acaba de terminar sus estudios de Psicología y, tras muchos fines de semana trabajando en una conocida cadena de comida rápida, ha conseguido reunir el dinero suficiente para montar su propio gabinete psicológico. Ana tiene a su asesor de confianza que es el que le ha tramitado tanto el alta en la Seguridad Social como el alta en Hacienda e, incluso, le ha redactado el contrato de alquiler del local que ha elegido para su negocio, un local chiquitín con dos estancias: un despacho personal (con puerta con llave) en el que guardará los expedientes de sus pacientes, y la sala en la que pasará las consultas, donde sólo pondrá un diván, unas plantas para darle algo de alegría y unos cuadros. Ana cree que el dinero que ha pagado a su asesor está justificadísimo para evitar problemas con Hacienda y con la Seguridad Social, por lo que ya de inicio contaba con este gasto extra y no le ha importado pagarlo. Además, ha conseguido ahorrar bastante dinero comprando los modernos muebles para la consulta en una conocida tienda bastante barata. Lo primero que compró fue un tablón de corcho para colgarlo en la pared del despacho para organizar sus citas y un cuaderno para tomar notas durante las sesiones con sus pacientes. El asesor le comenta que tienen un servicio de LOPD que le recomienda contratar, ya que está obligada por Ley a cumplir la normativa sobre protección de datos. Ana agradece la recomendación pero la declina amablemente, ya que ya se ha gastado demasiado dinero en trámites administrativos y no cree que vaya a pasar nada por no cumplir la normativa; ninguno de sus compañeros de la carrera que tienen también consulta la cumplen y no ha pasado nada nunca, así que "relax y take it easy".

A los pocos meses, Ana ya tiene un buen número de pacientes y le va genial, pero no tiene tiempo para limpiar la consulta y el despacho, tarea que hasta ahora había hecho ella misma. Ha pensado en contratar a Sergio, un chico que está terminando sus estudios y que se saca unas pelillas limpiando la consulta de una antigua compañera de Universidad de Ana. Esta compañera es la que se lo ha recomendado a Ana, ya que, al parecer,es todo un experto en dejar la consulta como los chorros del oro. Tras ofrecerle el puesto, llama a su asesor para tramitar el contrato laboral y así proceden. El asesor le vuelve a recomendar que consulte con un profesional y se adapte a la normativa de protección de datos, pero Ana vuelve a negarse ya que no ha tenido ningún problema hasta ahora. Sergio empieza a trabajar esa misma semana; irá los viernes de 4 a 5, que es cuando hay menos pacientes y podrá realizar mejor su trabajo. Ana, mientras él limpia, estará en el despacho que hay junto a la sala de consultas, repasando los casos de la semana siguiente. 

Mientras Sergio limpia, Ana le dice que tiene que salir a hacer unos recados, pero que no tardará en volver. Sergio le dice que aprovechará para pasar la aspiradora en el despacho y Ana le deja la llave. Mientras está en sus quehaceres, algo le llama la atención en el tablón del despacho de Ana: ve que el próximo jueves Ana tiene una cita con Javier XXXX, un chico al que Sergio conoce del barrio y con el que discutió hace poco por un tema de dinero. Por lo que dice en el tablón, Javier tiene problemas de ansiedad. Sergio ve que en el escritorio del despacho de Ana está el cuaderno en el que la psicóloga hace sus anotaciones durante las consultas y le entra la curiosidad tras lo visto en el tablón de Ana, así que lo abre y busca el nombre de Javier. Tras leer las anotaciones de Ana en el cuaderno, decide hacer unas fotocopias de las anotaciones sobre Javier y se las guarda en su mochila. Aprovecha también, mientras recoge los bártulos, para hacer una foto con el móvil de las anotaciones del tablón del despacho. En ese momento Ana vuelve de hacer sus recados y Sergio le informa de que ha terminado su trabajo y se va para casa. Sergio le da la llave del despacho y se despiden hasta la semana siguiente.

A las pocas semanas, Ana, mientras navega por internet, se mete en un foro en el que los vecinos del barrio comparten planes y noticias y  ve que, en uno de los hilos del mismo, hay una entrada en la que pone: INFO SOBRE JAVIER XXXX . Reconoce el nombre de su paciente y decide entrar en el hilo. Lo que ve, le deja con la boca abierta: Hay una foto colgada de su tablón, en el que viene las citas que tenía programadas con este paciente y con otros para el próximo mes y, además, un archivo con las anotaciones del cuaderno que ha hecho durante las sesiones con Javier. Ana sospecha que ha sido Sergio, ya que nadie más ha tenido  acceso a su despacho (que cierra con llave siempre que ella no está dentro). 

Ana llama de inmediato a su asesor y le cuenta lo sucedido muy nerviosa. El asesor le recuerda que le avisó sobre la necesidad de adaptarse a la normativa LOPD pero que ella se negó. El asesor le pasa la llamada al abogado LOPD con el que trabajan, que se pone al teléfono. Ana le cuenta lo sucedido y el abogado LOPD se lleva las manos a la cabeza. Aparte de detectar que no tiene nada preparado en torno a la normativa, le avisa de que es posible que reciba noticias de la AEPD y que no será una felicitación de Navidad, precisamente. Ana, que hasta ahora no ha tenido problemas, cree que bastantes cosas tendrá la AEPD como para ocuparse de ella y decide no tomar ninguna medida para adaptarse a la LOPD; ni siquiera despedirá a Sergio para evitar "ruido" . Cuelga el teléfono y retoma las citas con sus pacientes. Al día siguiente aparece Javier muy enfadado y le avisa de que ha visto sus datos en un foro de internet y va a ir a la AEPD; además, le dice que no piensa volver a sus sesiones con ella y que va a correr el rumor de que no es buena psicóloga y que regala los datos de sus pacientes. Ana no le da importancia y vuelve a pensar que la AEPD no va a perder el tiempo con ella teniendo otras cosas más importantes que hacer, pero a los pocos días, todo cambia..

Ana tiene una mañana horrible, recibe unas 20 llamadas de pacientes que le cancelan las sesiones y le dicen que no quiere que les trate más y, además, recibe una visita inesperada que no viene, precisamente, a tener una sesión con ella. Tras la visita, Ana llama a su asesor y le pide que le ponga con el abogado LOPD. La visita le ha dicho que seguramente abran procedimiento sancionador contra ella y que ha vulnerado no sabe cuántos artículos de la LOPD.  El abogado LOPD le dice que acaba antes si le dice los artículos que no ha vulnerado; pero se para específicamente en la parte que ha "levantado la manta". Le recuerda que, si hubiera hecho caso a su asesor cuando le avisó por segunda vez de que se adaptara a la normativa, habría sabido que al contratar a Sergio debió haberle trasladado, tal y como impone el art.83 del Reglamento de la LOPD: "la prohibición de acceder a los datos personales y la obligación de secreto respecto a los datos que el personal hubiera podido conocer con motivo de la prestación del servicio".  Además, como Responsable del Fichero debería "haber adoptado las medidas adecuadas para limitar el acceso del personal a datos personales, a los soportes que los contengan o a los recursos del sistema de información, para la realización de trabajos que no impliquen el tratamiento de datos personales" (vamos, que no debió dejarle entrar en el despacho o bien, de hacerlo, debió haber quitado antes la info del tablón y el cuaderno de anotaciones y haberse asegurado de que Sergio no podía acceder a ellos metiéndolos, quizás, en un armario bajo llave que estuviera bajo su exclusiva custodia). Esto de inicio y fijándonos sólo en lo que originó la visita inesperada, pero si encima le añadimos aspectos como que ni tenía ficheros declarados, o que ni había aplicado las medidas de seguridad de nivel alto que probablemente son las correspondientes a la información que trata.. ¡Imaginad cómo acaba el cuento!

Y encima, por si fuera poco,  tiene que enfrentarse a que, debido probablemente a la "mala publicidad" que le ha hecho Javier de lo sucedido, ha perdido muchísimos clientes, por lo que no sabe si podrá mantener la consulta abierta con los pocos que han quedado dispuestos a seguir su tratamiento con ella (seguramente porque el "boca a boca" no haya llegado de momento a sus oídos).

Y todo esto podría haberse evitado si hubiera reservado parte del dinero que ahorró con los muebles en adaptarse a la normativa; o igual podría haber contado con que, aparte del dinero con el que contaba para pagar a un asesor que le hiciera los trámites con Hacienda, la Seguridad Social y demás, debería haber reservado cierta parte a asesorarse con un profesional y haber empezado "la casa por los cimientos" (desde el momento 0) y no "por el tejado" (cuando ya tiene el problema).

                                  

Y hasta aquí llega el post de hoy; espero que os haya gustado y que lo hayáis encontrado interesante. Gracias por pasar este rato conmigo. ;-)

 

Saludos y hasta la próxima! 

Pautas básicas para usar las RRSS en tu negocio: el informe 0244/2011 de la AEPD.

Hola a todos!

Hace unos días comentaba por twitter (@Smor84) la odisea personal que viví para poder confirmar con la AEPD unas dudas sobre el uso de RRSS por las empresas. El final (abierto) de la historia fue que, tras unas 4 llamadas, conseguí una respuesta por parte de personal de la AEPD que, tristemente, no acabó de convencerme. Era evidente que no me iba a quedar ahí, por lo que decidí abrir una investigación en profundo para ver si podía encontrar algo más o menos oficial que me diera unas pautas algo más claras sobre este tema. Y buceando, buceando..me encontré con dos informes: uno del año 2011 y el otro del año 2013. A pesar de que las cuestiones planteadas son algo diferentes (el informe de 2011 responde a una cuestión sobre la creación, por una empresa, de una cuenta en una RRSS con fines publicitarios y el de 2013 habla de la propia creación de una Red Social), el contenido de ambas me parece realmente interesante para afrontar la cuestión. En este post voy a aplicar aquello que nos decían de pequeños sobre el respeto a los mayores, así que voy a centrarme en el informe de 2011 y dejaré el de 2013 para otro post. El documento lo podéis consultar aquí.

Cosas interesantes del informe:

1. En relación a la responsabilidad del fichero: El informe comienza diciendo que no se aplicaría la exención de ejercicio de actividades domésticas al consultante (obvio) y que por ello asume la condición de “Responsable de Datos”. Llegados a este punto, ya vamos mal: yo conocía la definición de Responsable del Fichero o incluso, la difusa definición de Responsable del Tratamiento (y digo difusa porque, por mi experiencia, la denominación más usada es la de Responsable del Fichero), pero jamás había oído hablar de la existencia de un “Responsable de Datos”. Suponemos que la AEPD se refiere al Responsable del Fichero o del Tratamiento (según el art.3 de la LOPD:”persona física o jurídica, de naturaleza pública o privada u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento”), y parece que suponemos bien, ya que el informe acaba llamando así al consultante, pero le avisa de que entiende que los tratamientos que va a hacer el consultante con los datos de terceros (dentro, por supuesto, de la Red Social) van a ir condicionados por las propias reglas de la Red Social; por lo que deja entrever que el cumplimiento de las características que da el art. 3 al Responsable del Fichero en este caso son relativas (quizás por eso se refiere al consultante con el intrigante apelativo de “Responsable de Datos”).
   
   
2. Consentimiento: Sabemos que el consentimiento es un punto vital en la normativa de protección de datos y que debe ir siempre acompañado (al igual que toda caña que se precie por su correspondiente tapa) por la información al afectado acerca de lo que se va a hacer con sus datos y quién es el que lo va a hacer. Claro, cuando nos registramos en una Red Social sabemos que los datos que introducimos son gestionados por ésta, pero eso no equivale a que todos los usuarios de dicha Red Social tengan derecho a ver nuestro perfil o a encontrarnos siquiera. Dice el informe que el consentimiento al pseudotratamiento éste dentro de la Red Social se entenderá por el hecho de convertirse en amigo o seguidor de la página de la empresa. Y.. ¿cómo le informamos al usuario de lo que supuestamente vamos a hacer con sus datos?pues según el informe hay que ubicarlo en nuestro perfil en la Red Social (claro, algo un poco difícil con el escaso espacio que suele haber ahí), por lo que se recomienda poner un enlace con la política propia de privacidad de la empresa (quizás más sencillo si la empresa tiene página web).
   
   
3. Derechos ARCO, ¿cómo puede facilitar la empresa su ejercicio dentro de la Red Social? Pues bien, la AEPD entiende que la actuación de la empresa en este caso también está limitada por la propia Red Social, por lo que la forma de hacerlo se limita a “dar de baja” a los amigos que lo soliciten o eliminar dichos datos del muro cuando reciba una solicitud de este tipo.Claro, mi duda es si al dejar de seguirte en twitter, la empresa debe entender que se está ejerciendo un derecho ARCO...¿debería dejar de seguir la empresa al usuario que deje de seguirla? Un poco complicado de cumplir parece y más si no tienes pocos seguidores precisamente,
    
4. Pone el informe también especial énfasis en que la empresa debe configurar su perfil en la Red Social restringiendo a terceros la visibilidad de la lista de las personas que le siguen o son “amigas” suyas, con lo que estaríamos rozando en cierto modo el deber de secreto que impone la normativa.
   
   
5. Y finalmente, la guinda del pastel: la empresa sólo es responsable del fichero si decide sacar los datos de los seguidores/amigos que tiene en
   la Red Social para gestionarlos desde un sistema propiamente suyo. Esto es especialmente importante ya que, cuando hablé con la AEPD, me dijeron que al usar una Red Social como empresa debía declarar el fichero, porque que actuaba como responsable del mismo, respuesta que no me convenció y por la que inicié la investigación que ha dado como resultado este post de hoy.

Nada más, espero que os haya parecido interesante y os ayude a la hora de conciliar la gestión de las RRSS de vuestros negocios con el cumplimiento de la normativa de protección de datos.

Un saludo!

Si me quieres conocer un poco más, puedes seguirme en Twitter: https://twitter.com/SMor84