Todos interesados en el Reglamento Europeo de Protección de Datos

¡Hola de nuevo!

Hay un nuevo miembro en la familia y no sé si va a encajar bien, la verdad. Tras 4 largos años, por fin hemos podido conocer a la criatura y debo reconocer que no le saco parecido a nadie. Algún aire se da a la prima española, pero no puedo decir que sea idéntica tampoco. Lo que sí puedo decir es que el parto fue bien y nació con buen peso, quizás demasiado (261 paginazas que podéis consultar aquí, cortesía de la gran @MarinaBrocca , cuyo post sobre el Reglamento también recomiendo leer); pero ahora les toca a sus padres elegir una buena alimentación para que crezca sano y pueda integrarse en la sociedad que le ha tocado vivir. Tenía ganas de conocerle, aunque estaba un poco nerviosa por comprobar si los osados parecidos que le íbamos sacando todos se iban a cumplir. Es una criatura que nace ya famosa, como el bebé de aquel post que escribí hace no mucho. Desde este humilde rincón de la web, doy la bienvenida al nuevo Reglamento. Te has hecho de rogar, ¿eh? Claro, es que "dentro" se está tan agustito...

Vamos a ver qué pan nos trae este niño tan peculiar para ver si podemos ponernos de acuerdo en el tipo: ¿será Pan de Molde o quizás una buena hogaza? ¿Tendrá el sabor de una baguette o nos va a poner a dieta con el pan integral? 

Lo que sí tengo claro es que 4 años de horno deberían ser garantía de pan bien preparado; veremos si nos hemos equivocado con la receta..

Uno de los ingredientes usados para la elaboración del pan que trae la criatura es la palabra "interés". Su esencia la he encontrado en varias partes, especialmente en las que se refieren a un nuevo concepto: "Autoridad de control interesada" y en otro un poco más difuso: "el interesado". Quiero resaltarla en este post porque me considero una persona especialmente maniática en lo que se refiere a la importancia del lenguaje y a la elección de las palabras que utilizamos (manía que he descubierto que comparto con el gran Borja Adsuara, con el que tuve el inmenso placer de compartir un café esta semana y a quien os recomiendo encarecidamente seguir en twitter; aquí os dejo su user: @adsuara) . Soy de esas personas que piensan que la elección de una u otra palabra para referirse a algo no suele ser fruto de la casualidad; tiendo a pensar que en muchas ocasiones el emisor de la misma tiene una doble intención al elegir de la palabra "x" en vez de la palabra "y". Por ejemplo, cuando se nos ha hablado de "ajustes" en lugar de "recortes" no se ha hecho con otra finalidad que no sea "suavizar" algo negativo para que "entre con vaselina" y no nos rasguemos las vestiduras al oírlo. Aunque tanto el que usa "ajustes" como el que lo escucha saben perfectamente a lo que nos referimos, parece que ponerle un lacito hace que el receptor se muestre menos dispuesto a "rebelarse". 

Edulcoramos nuestras expresiones para que no tengan ese sabor agrio tan horrible.

Algo así es lo que me ha venido a la mente cuando leo los conceptos "Autoridad de control interesada" y "el interesado". Para mí, en líneas generales, la palabra "interés" tiene unas veces cierta connotación negativa y otras, rasgos de ajenidad; de ser algo que guarda cierta distancia con una persona o cosa. Por ejemplo, cuando hablamos de "interés de un préstamo", el pobre deudor mirará con recelo al tipo de interés pero no tendrá la sensación de ajenidad (más que nada porque es a él al que le va a tocar pagarlo). Cuando un aficionado al Real Madrid dice que "tiene interés" en saber cómo ha quedado el Barça, lo que está expresando es que tiene cierta curiosidad en saber si el Barça ha ganado, generalmente por cuestiones matemáticas (especialmente si es un mano a mano por la Liga) pero todos tenemos claro que al madridista lo que verdaderamente le importa es cómo ha quedado el Real Madrid; el resultado del partido de los blancos en muchas ocasiones condicionará que al merengue le interese más o menos lo que haya hecho el equipo rival. En este estúpido ejemplo, vemos la connotación de ajenidad de la que hablaba antes. Por esto, tengo mis reticencias sobre el uso de la familia del concepto "interés" que decía antes. ¿Qué es lo que se me viene a la mente cuando leo "Autoridad de Control Interesada"? Pues que será la interesada en multarte. Toma connotación negativa. ¿Y cuando leo "el interesado"? Pues que es alguien relativamente ajeno a los datos personales.

 Los más puristas me dirán que soy muy negativa, que me acuerde de la definición de "interesado" que recoge la temida Ley 30/1992 y que no lo vea con tanto estupor, y tienen razón pero a medias: yo que he estudiado Derecho puedo conocer esta "variante" pero es que el Reglamento afecta a todo kiski, también a los que no tienen ni papa de Derecho, y son sus datos los que también se verán envueltos en esta espiral legislativa. Tres narices les importará la vuelta de tuerca que hace una de las Leyes más tediosas que se han inventado jamás; tirarán por la tangente y, como mucho, irán a la RAE y se encontrarán con esto:

Interesado:

 1. adj. Que tiene interés en algo. (Ajenidad)

2. adj. Que se deja llevar demasiado por el interés, o solo se mueve por él. (Negativo)

3. adj. Dicho de una persona: Que ostenta un interés legítimo en un procedimiento administrativo y, por ello, está legitimada para intervenir en él. (Ajenidad)

Y si buscamos el concepto que hemos estado usando hasta ahora (titular), lo que vemos en el DRAE es esto (selecciono las acepciones más adecuadas para este post):

Titular:

1. adj. Dicho de una persona: Que ejerce un cargo o una profesión con título o nombramiento oficiales. Juez, médico, profesor universitario titular. 

2. adj. Dicho de una persona o de una entidad: Que tiene a su nombre un título o documento jurídico que la identifica, le otorga un derecho o la propiedad de algo, o le impone una obligación. U. t. c. s. El titular del carné. La titular de la cuenta bancaria.

4. adj. Dep. Dicho de un jugador: Que interviene habitualmente en la formación de su equipo. 

Para ir terminando el post: estamos usando el mismo concepto tanto para alguien que se verá directamente afectado por el tratamiento de los datos como para un organismo externo cuyo papel es obviamente importante, pero distinto. ¿No chirría un poco esto? Personalmente creo que, en un partido de fútbol, a todos nos gusta ser titulares y no chupar banquillo. Y en los temas que afectan a los usos que se dan a nuestros datos personales, permitidme que reivindique que todos seamos titulares y no meros interesados; los tratamientos de datos personales, el uso de la información personal que generamos y vamos dejando por el camino, como las miguitas de Pulgarcito, tienen consecuencias e implicaciones en las que debemos participar activamente e involucrarnos, no esperar a que el Míster nos llame para calentar en la banda.

Y hasta aquí llega mi reflexión de hoy; espero haberos dejado rayados y con ganas de formar parte del once inicial en este partido.

Que paséis una estupenda semana, queridos amigos. ;-)

Pdt: Mientras escribo estas líneas escucho a un político hablar de "ajustes" en vez de recortes; ¡qué casualidad menos casual! (y qué hartismo más grande...).

Entrevista con los Reyes Magos sobre Protección de Datos.

Hola a tod@s!

Hace cosa de un mes y medio recibí un email que me extrañó muchísimo. En el asunto ponía en mayúsculas "CONFIDENCIAL: a la atención exclusiva de Iurisfriki". Al principio pensé que era SPAM pero algo dentro de mí me hizo no enviarlo a la papelera de primeras. Al final del día me armé de valor y decidí abrirlo. Y menos mal. En el cuerpo del mensaje me encontré con un escueto "Se acepta su solicitud, la entrevista  será "X" día a "X" hora". De inmediato, cogí mi móvil y llamé a mi contacto para agradecerle el favor: gracias a sus gestiones, Sus Majestades los Reyes Magos de Oriente habían accedido a responderme a unas preguntas, y no sólo eso: tenía su ok para publicarlo en el blog y compartirlo con mis queridos lectores. Así, que, queridos amig@s, en este post os voy a trasladar la pequeña charla que pude mantener con tan ilustres y mágicos personajes.

Llegado el día "D", estaba tan nerviosa que no acertaba ni a encender el pc. Tal y como me habían pedido, busqué un sitio seguro en el que estar sola y que nadie más pudiera escucharme. Cogí el pendrive que me había entregado un amable mensajero un par de días antes de la cita y lo inserté en el equipo. Al momento, se me empezó a instalar en mi equipo el programa que sería la herramienta para mantener la charla con ellos: una especie de Skype mágico que se autoborraría nada más terminar la charla. Y doy fe de que así fue: tanto el pendrive como el programa han desaparecido de mis equipos y de mi vista!

Finalizada la instalación del programa y su configuración (que debo decir que fue bastante rápido), por fín estaba en línea, esperando la llamada mágica de Oriente. Y a los pocos minutos, se produjo...

 

De repente, apareció en la pantalla un Paje Real que, con cierto semblante serio, me dijo que Sus Majestades se conectarían enseguida. Y así fue: al ratito, tenía 3 hombres mayores al otro lado de la pantalla mirándome con una dulce sonrisa. Y empezó la charla..

Todo fue muy rápido; Sus Majestades me explicaron que estaban especialmente ocupados con todos los encargos que habían recibido para Reyes, por lo que quise ser directa y clara para no "robarles" demasiado tiempo. Mi primera pregunta era obvia: ¿cómo gestionan toda la información que reciben de los niños españoles?

Fue Gaspar el que rompió el hielo con un tajante: "Pues aplicando las máximas pautas de seguridad combinando las ideas que cogemos de la normativa en protección de datos y la magia, que es la base de nuestra actividad". Obviamente, mi cara fue un poema pero es que claro, no me veía con legitimidad para cuestionar a tan ilustres personas los motivos por los que, como entendí entre líneas, no cumplían escrupulosamente los preceptos de la LOPD. Al final no hizo falta decir nada: Melchor tomó la iniciativa y me explicó que, ante las dudas sobre si debían aplicar la normativa vigente en Protección de Datos dado su carácter marcadamente mágico, habían decidido consultar directamente a la AEPD y la respuesta había sido negativa dado que no encajan en los supuestos obligados por sus especiales características y además, según les indicaron en la propia AEPD su actividad podría encajarse tanto en la llamada "excepción doméstica" como en la prevista en el art. 1.c de la LOPD. No seré yo quien cuestione a la excelentísima AEPD y menos hablando de cuestiones "mágicas". ;-)

Mi siguiente pregunta fue que me indicaran algunos preceptos de la normativa que aplicaran en sus actividades, a lo que Baltasar me respondió lo siguiente: "Lo primero que queremos que quede claro es que, a grosso modo, cumplimos con los Principios de la LOPD y con las medidas de seguridad del Reglamento, aunque a "nuestra manera". Voy a ser más concreto: En relación a los datos que manejamos, la mayoría provienen de las cartas que nos envían los niños cada año, por lo que sólo los conservamos "vivos" desde que llegan las cartas hasta el día 13 de enero. Es verdad que solemos dar un plazo extra de una semana por si nos hemos equivocado en el reparto o el niño no está contento con lo que le hemos dejado. Pasado ese tiempo, las cartas pasan a una sala mágica en la que quedan protegidos bajo un hechizo durante un plazo máximo de 5 años. A esa sala sólo podemos acceder nosotros, ya que la puerta  que la custodia sólo es visible con nuestros poderes, por lo que, en cierto modo, usamos una especie de "biometría mágica". Además, el hechizo lo cambiamos como mínimo una vez al año. Lo del hechizo es un lío, ya que la magia no evita los achaques propios de la edad y es Melchor el que la lía siempre: se le olvida de un día para otro y bloquea el sistema mágico: ¡tenemos un registro de incidencias enorme por su culpa!"

Me interesaba mucho conocer la relación con los pajes reales: cómo trasladan las obligaciones y responsabilidades a sus "empleados" (por llamarles de alguna manera) en materia de protección de datos. La respuesta de Gaspar no se hizo esperar: "Esta parte ha sido auténticamente complicada precisamente porque nuestros pajes reales tienen una especial relación con nosotros: no son ni trabajadores al uso ni, como les llamáis vosotros si mal no recuerdo, autónomos. Lo que hemos previsto al final es un contrato inspirado en el artículo 12 de la LOPD. Además, se les imparte un curso formativo cuando entran a colaborar con nosotros y anualmente, más o menos en verano, se les realiza otro curso de recuerdo. Nuestros pajes manejan información muy importante y no queremos dejar ningún fleco suelto. Los traslados de las cartas de sus buzones a nosotros son escrupulosamente seguros: utilizamos un doble hechizo y así, las cartas quedan perfectamente protegidas hasta que llegan a nosotros".

Me interesaba saber cómo actúan en relación al tema del consentimiento, algo que a las empresas les suele costar cuadrar. En esta ocasión, fue Melchor el que respondió a mis dudas: "A ver, lo del consentimiento es un poco "especial"..Nosotros no usamos formularios de contacto: los datos que nos llegan son básicamente por las cartas de los niños. Claro, la ventaja de llevar haciendo esto tanto tiempo es que cualquiera que nos escribe la carta sabe las cosas obligatorias que tiene que poner en ella: Su nombre, su dirección, si ha sido bueno o no y los regalos que le gustaría recibir. Visto esto, el resto no es relevante para nosotros, aunque cada carta es un mundo y muchos suelen pedirnos deseos para otras personas: Padres, Madres, Tíos, Abuelos, Vecinos o hasta Compañeros de clase. Esto choca con el art.13.2 del Reglamento, lo sabemos, pero creemos que la buena intención de las cartas puede compensarlo. Sólo usamos esa información para hacer felices y repartir ilusión, lo que es una finalidad clara del tratamiento que realizamos. No es necesario un formulario ni profundizar más en ello; no queremos tener problemas con la AEPD, como entenderás..Apunta ahí que no cedemos datos a nadie: que los encargos y demás los hacemos nosotros mismos, por lo que a nuestros vendedores sólo les trasladamos la lista de regalos, sin que sepan para quién es cada uno". Dicho queda. ;-)

No quería robarles mucho tiempo ya que estamos en fechas muy ocupadas para ellos, pero me quise portar un poco mal y decidí preguntarles por esos chivatazos que sabemos que les llegan sobre si los niños se portan bien o mal durante el año: su peculiar sistema de vigilancia que algunos gobiernos envidiarían, por cierto. La respuesta me dejó auténticamente impresionada: "Mira, Iuris, no te podemos dar muchos datos sobre este tema. Nosotros durante el año es verdad que recibimos chivatazos y que, incluso, podemos ver y saber el momento exacto en el que el niño se porta mal, pero no podemos precisarte demasiado sobre ello ya que no lo vas a poder entender; date cuenta que la Magia es un instrumento muy poderoso, y que nosotros "somos de los buenos". Sólo podemos decirte que nuestros oídos y ojos están muy protegidos y no pueden ser hackeados por nadie, así que estad tranquilos por esto".

Les pedí para finalizar la entrevista una frase final a cada uno de ellos para los lectores de este humilde blog. Accedieron enseguida, pidiéndome que trasladara el literal de lo que dijeran. Aquí os dejo los mensajes finales:

Melchor: "Quiero pedirles a tus lectores que entiendan la necesidad de proteger los datos personales tanto suyos como de sus clientes: que tomen medidas, que se formen, que se interesen y que piensen que, si unos ancianos como nosotros estamos concienciados, ellos tienen más motivos para estarlo".

Gaspar: "Yo lo que pediría a los lectores es que dejen de vivir al margen de la ley y de la Sociedad y que tomen medidas, especialmente con los niños. Nosotros no podemos estar todo el año encima del buen uso o mal uso de los regalos que dejamos; eso es responsabilidad de los padres. Hagan el favor de implicarse y protejan a los menores: sean responsables, y si no pueden comprometerse a esto, que no nos pidan determinados regalos".

Baltasar: "Comparto 100% lo que han puesto mis colegas, por lo que lo único que quiero añadir es lo siguiente: Se puede recibir carbón por no portarse bien, como saben todos, pero lo de "portarse bien" también incluye cumplir con las normativas. No sólo pueden recibir una multa, también carbón para el año que viene, avisados están".
 

Y hasta aquí llegó mi privilegiada charla sobre protección de datos con los Reyes Magos de Oriente. Espero que la hayáis encontrado interesante y sirva para concienciarnos un poco más sobre la importancia de nuestros datos personales. Un saludo a todos y FELIZ AÑO 2016! (qué mejor manera de empezarlo que con esta "visita mágica").

Los Big Zascas de la AEPD en 2015. La lotería que no quieres que te toque.

Hola a tod@s!

Os voy a ser sincera: este post nace de mi enfado porque no me haya tocado la lotería de Navidad. Soy de esa gente que sólo juega a este tipo de cosas en Navidad: apenas llevo un par de números y uno de ellos siempre es uno muy especial para mí (qué típico, ¿verdad?). Pues nada, como no me ha tocado la lotería y estoy profundamente mosca por ello, se me ocurrió hacer un post hablando de los "agraciados" de la lotería de las sanciones de la AEPD de este año 2015, así que mirémoslo por el lado bueno: he transformado algo negativo en algo positivo (aunque debo confesar que ha sido uno de los posts más laboriosos hasta ahora). Así que ya sabéis: el cabreo no se crea ni desaparece, sólo se transforma. :-P

Avisos sobre el post:

1) Es posible que haya metido la gamba en algún dato: el método usado ha sido un excell de toda la vida (bueno, más bien un Libreoffice Calc) y no quiero ir de sobrada retando a cualquiera a que encuentre un fallo, así que vaya el reconocimiento por delante, por si las moscas.

2) Esto no es una herramienta de "fiscalización" del trabajo de nadie, es decir: la intención es que pueda ser útil, exclusivamente. No es un post en plan "preguntas frecuentes que caen en el examen": es un post informativo que, espero, pueda servir a alguien, ya sea para concienciar o para tener una idea de cómo van las cosas a nivel LOPD.

Y ahora, vamos al lío..
 

Datos iniciales:

• Total de resoluciones sancionadoras en 2015: 635.  

                Esto nos da una media de, aproximadamente, 2 sanciones de la  AEPD por día natural.

• Resoluciones sancionadoras que se basan en un sólo artículo: 485.

                Este dato evidencia que las 150 restantes vienen en pack, esto es: que se sanciona por vulneración de dos o más artículos de la normativa.

Lotería 2015 de la AEPD:

Empieza el sorteo,que rueden las bolitas!

EL GORDO se lo lleva el art 4.3 de la LOPD. Este artículo aparece 257 veces en las resoluciones sancionadoras. Parece que donde más fallamos es en respetar el Principio de Calidad de los Datos y la AEPD actúa en consecuencia. Os recuerdo que, como mínimo, es infracción grave cuya multa puede ir desde 40.001 a 300.000 euros. Haced cálculos y podréis suponer que el Gordo de Navidad realmente le ha tocado a la AEPD con tantas sanciones por este artículo.

 

El segundo premio va para el art 6.1 de la LOPD, con un total de 227 apariciones estelares en las resoluciones sancionadoras de la AEPD. Parece que no acabamos de entender que tenemos que tener el consentimiento inequívoco de los afectados para tratar sus datos. Nada, que no nos entra en la cabeza. La sanción prevista para estos casos también es de tipo grave y las multas oscilan entre las cantidades que indiqué en el párrafo anterior. Enhorabuena de nuevo a los agraciados, es decir: la AEPD.

El tercer premio sale de otro bombo y se va al 21  de la LSSI con un total de 62 menciones. Nos ubicamos en las infracciones graves cuya multa puede ir de 30.001 hasta 150.000 euros. Este tercer premio parece muy repartido. 

El cuarto premio se lo lleva el art. 11 de la LOPD, muy relacionado con el consentimiento, de nuevo. Aparece 48 veces en las resoluciones. Nos situamos como mínimo, otra vez, en las infracciones graves, con los baremos ya indicados. Mi más sincera felicitación a la AEPD por este cuarto premio.

El quinto premio va para el art. 29 de la LOPD. Aparece un total de 40 veces en las resoluciones sancionadoras de este año 2015. Otra vez nos vamos a las infracciones graves. Felicidades, vaya suertudos estos de la AEPD! :P

Y vamos con la pedrea, en la que encontramos, entre otros, los artículos 5.1, el 9, el 37, el 10 de la LOPD... y podríamos seguir, pero creo que por hoy es suficiente. Como vemos, los premios de lotería de 2015 han venido muy repartidos y el sorteo se ha desarrollado con normalidad durante todo el año. Llegados a este punto, quiero invitarte a que evites comprar tu boleto de la mala suerte asesorándote sobre esta rama del Derecho cuanto antes y así disminuirás las posibilidades de que tu nombre esté dentro de los bombos. 

Empieza el 2016 con buen pie: de rojo, con algo dorado, comiéndote las uvas y con la tranquilidad de que el número que llevas tiene menos posibilidades de resultar "desgraciado" con la Lotería de la AEPD del 2016.

Yo te dejo las uvas, tú decides si tomarlas o no.

Y hasta aquí llega el post de hoy: Gracias por pasar este ratito por aquí y espero que os haya gustado este experimento casero inspirado, lejanamente, en la idea del Big Data. ;-)

Saludos a tod@s!