Menú
La gran expansión de los
medios digitales; Internet;
la telefonía móvil y la
televisión interactiva en el
marco de las comunicaciones
han traído consigo la
proliferación de negocios a
través de estos medios
electrónicos. El tráfico de
datos generados en las
comunicaciones electrónicas
aumenta diariamente poniendo
en peligro la intimidad de
las personas.
El respeto a los usuarios de estos negocios exige que el tráfico de datos generados en todas las comunicaciones electrónicas se vea sometido a prescripciones legales para facilitar su aplicación y desarrollo.
Así, una de las preocupaciones de cualquier usuario de la red, es asegurarse, cuando navega por Internet, que los datos que suministra -en un chat, en foros de discusión, o en compras- no serán capturados, copiados, modificados o utilizados sin su previo consentimiento. Por ello entiendo que la confianza del usuario en la preservación de su intimidad en la sociedad digital, es básica para el desarrollo de la sociedad de la información y de todas las actividades lícitas que se llevan en la red.
Con el objetivo de informar sobre estos aspectos, presentamos una serie de artículos relacionados con las comunicaciones electrónicas y su impacto en la normativa de protección de datos.
1. Aspectos que deben tenerse en cuenta en el sitio web de Comercio Electrónico
1.1 ¿Quién es la LOPD?
La Ley Orgánica de Protección de Datos de Carácter Personal, llamada LOPD, ley nº 15/1999, de 13 diciembre, vela por el mandato constitucional, expresado en el artículo 18.4 de la Constitución Española, "... limitar el uso de la informática para garantizar el honor, la intimidad personal y familiar de los ciudadanos y el legítimo ejercicio de sus derechos". Con este objetivo, la LOPD establece el derecho de los ciudadanos a conocer qué datos personales están contenidos en las bases de datos de las empresas y entidades públicas y quienes son los responsables de éstas. Así mismo, establece una serie de obligaciones a los responsables de los tratamientos y una serie de sanciones para el caso de incumplimiento de aquéllas.
En próximos artículos descubriremos la LOPD, la normativa que la desarrolla, los derechos de los ciudadanos en el tratamiento de sus datos personales, las obligaciones de los responsables en la gestión de las bases de datos personales, las infracciones y sanciones establecidas y el papel que desempeña la Agencia de Protección de Datos.
1.2 La protección de datos en el Comercio Electrónico
La mayoría de los formularios de recogida de datos que se encuentran en portales y comercios electrónicos, no incluyen ninguna de las disposiciones que la Ley prevé para garantizar el correcto y legal tratamiento de los datos del usuario.
Lo cierto es que, entre los principales problemas que existen en el tratamiento de datos en Internet, el primero y principal es la falta de información y consentimiento del usuario al tratamiento de sus datos. De hecho en el debate sobre la privacidad en la red ha trascendido a la prensa internacional tanto en Estados Unidos como en Europa. De este nivel de concienciación creciente cabe esperar también un mayor nivel de exigencia por parte de los usuarios.
Por consiguiente creemos interesante en este primer artículo poner en conocimiento un listado básico de los requisitos mínimos de los sitios web respecto al tratamiento de datos.
Los prestadores de servicios en Internet deben introducir en los formularios de recogidas de datos unas cláusulas informativas que la LOPD exige antes de empezar a registrar datos de ninguna clase, (y que así mismo cumplan con todos los requisitos legales. Singularmente y en primer termino la declaración de las bases de datos personales a la Agencia de Protección de Datos).
La introducción de avisos legales relacionados con privacidad de los datos de los usuarios es un método sencillo y que además no presenta ninguna complicación técnica, así en el momento que se produce el acceso al sitio web y antes de registrar los datos.
Las cláusulas de información
El tratamiento de datos se produce, especialmente, durante "el contacto inicial" entre el usuario de Internet y un sitio web, ya sea únicamente para buscar información o bien para concluir una transacción comercial.
Por ello la información que seguidamente detallaremos debe mostrarse directamente en la pantalla antes de que se produzca la captación de los datos, garantizando así el correcto tratamiento de los datos.
Los diferentes formularios web de recogida de datos de carácter personal deben contener la información y los aspectos, relativos al consentimiento e información del usuario cuyos datos van a ser tratados.
En este sentido, debe existir en la Web un aviso fácilmente localizable y de comprensión asequible que contenga la información siguiente:
i. Identificación de la compañía. ii. Una dirección de e-mail, postal u otro sistema de comunicación, a través de los cuales se puedan ejercer los derechos de acceso, cancelación, oposición y de especificación de las finalidades para las que autoriza el uso de sus datos
iii. Caso de que se produzca captación de datos, este extremo deberá manifestarse en el aviso.
iv. Las consideraciones establecidas en el apartado iii) se harán extensivas a la colocación de cookies.
v. De la finalidad o finalidades a que se destina la información obtenida.
vi.En su caso, de la intención de ceder los datos,especificando la información que se cede así como la finalidad a la que se destinarán los datos cedidos.
Asimismo, en la página inicial del sitio y en todos los lugares donde se recojan datos en línea deberá poderse acceder directamente a información completa sobre la política de protección de privacidad del sitio (incluida la forma que tienen los usuarios afectados de ejercer sus derechos de acceso, rectificación, cancelación y oposición).
1.3 Respecto a la colocación de cookies.
Las cookies pueden contener datos personales o cualquier otro tipo de información relacionada con el interface usuario-servidor. La normativa en materia de protección de datos define los datos personales como "cualquier información concerniente a personas físicas identificadas o identificables". Por ello, si el contenido de la cookie que contiene la web asocia los datos con el usuario, su contenido puede ser considerado dato personal.
Caso de que no pueda producirse dicha asociación el contenido de la cookie no podrá ser considerado como dato personal, ya que no podrá ser asociado a una persona identificada o identificable.
1.4 Respecto a la finalidad de los datos recogidos.
Cada usuario debe, en cualquier momento, poder determinar la finalidad o finalidades a que consiente sean destinados sus datos, o excluir alguna finalidad inicialmente consentida.
En ningún caso, la compañía podrá utilizar la información para finalidades distintas de las que haya consentido el usuario, salvo que, previamente, le haya advertido de la intención de hacerlo otorgándole un plazo y procedimiento razonable de oposición.
A este respecto, es útil el redactar finalidades concretas pero amplias, para poder utilizar dichos datos en la forma en que la empresa lo precise.
1.5 Respecto a las cesiones y la finalidad de la cesión.
La información relativa a la posible cesión de datos deberá siempre identificar a los cesionarios o, en todo caso, hacer referencia a las características de las empresas o personas a quienes vayan a cederse, así como a las finalidades perseguidas por la cesión.
Caso que la información que se solicite se considere dato de carácter personal, debe de contemplarse todos los aspectos que se han comentado.
En este sentido, recomendamos se incluya un aviso en la página de registro antes de que se pueda dar el "click" de aceptar. Entendemos, asimismo, que resulta conveniente que el acceso a dicha página desde cualquier parte de la web se realice mediante un enlace (hiperenlace).
2. Comunicación a la APD.
Todas las compañías que operen en España deberán informar a la Agencia de Protección de Datos Española (en adelante la APD) de la creación de una base de datos personales y en los casos que la compañía no esté establecida en territorio de la UE deberá designar un representante en España.
3. El correo electrónico.
La APD entiende que en los casos en que la dirección electrónica esté personalizada, ésta se considerará un dato de carácter personal, de modo que únicamente puede incluirse en un tratamiento cuando ha consentido el internauta o bien cuando concurren algunas de las excepciones legales.
En el caso de que la dirección electrónica se componga de modo tal que no revele la identidad de aquel a quien corresponde, no tenga significado alguno o el significado no sea identificativo, no se considerará dato personal.
No obstante, cuando se posee la dirección de correo electrónico (aunque ésta no revele la identidad de la persona a quien corresponde) junto con información concerniente a una persona física identificada o identificable, la dirección de correo electrónico quedará incluida en el ámbito de la Ley, de modo que la dirección electrónica tendrá carácter de dato personal.
Asimismo, si además de poseer el correo electrónico de un visitante, el portal o comercio electrónico, a través de "cookies", o a través de la pertenencia del usuario a determinados grupos de noticias y listas de distribución conoce la frecuencia, temas y/o materias visitadas por éste, pudiendo de esta manera elaborar un perfil más o menos detallado del visitante, en este caso, sólo podrá incluirse toda esta información en un tratamiento de datos, cuando se ha consentido previamente por el usuario o visitante o bien cuando concurra alguna de las excepciones legales, las cuales como regla general tienen poco que ver con la actividad comercial de Internet.
Así, no es lícito recopilar direcciones electrónicas en áreas públicas de Internet sin conocimiento del interesado, no permitiéndose un procesamiento y uso de los datos diferente a la finalidad previamente permitida por el usuario, en particular, acciones de marketing o publicidad.
4. Comunicaciones no solicitadas.
El envío de correo-basura (spam) es, como su propio nombre indica, la práctica de bombardear con mensajes electrónicos no solicitados, por lo general de carácter comercial, a personas con las que el remitente no ha mantenido contacto previo alguno. Se trata de una modalidad muy concreta de violación de la intimidad: el usuario carece de interfaz humana, corre con el coste de la comunicación y, habitualmente, recibe este tipo de correo en la intimidad de su hogar.
No es de extrañar que los consumidores prefieran las comunicaciones comerciales solicitadas, personalizadas y diferenciadas del correo basura, el cual puede resultar irritante, hace perder el tiempo (el necesario para leer los mensajes y borrarlos) y cuesta dinero al usuario. Las molestias causadas por los remitentes de correo-basura minan la confianza de los consumidores en el comercio electrónico.
El sector exige, además, cierta seguridad jurídica: los mensajes electrónicos no solicitados colocan a los PSI en la inaceptable posición de verse forzados a proveer el ancho de banda y el equipo necesarios para el envío de unos mensajes basura que la abrumadora mayoría de sus clientes no desean y producen considerables costes. En algunas ocasiones, los sistemas se bloquean por la mera carga de mensajes comerciales no solicitados, lo que paraliza y retrasa el tráfico legítimo.
Actualmente algunos Prestadores de Servicios de Internet (PSI) tratan de filtrar el correo basura e incluyen en sus contratos con sus abonados cláusulas que prohíban a éstos el envío o la transmisión de estos mensajes.
También, existen registros de servidores sospechosos conocidos como fuentes de correo-basura. Pero los filtros que utilizan no son precisos al 100% y a veces bloquean los mensajes legítimos si éstos proceden de un servidor incluido en la lista negra. No obstante, la inexistencia de una prohibición legal actual de enviar correo basura coloca a los PSI en una situación delicada (más aún con la redacción última del anteproyecto de ley de comercio electrónico); La prohibición legal facilitaría la adopción de medidas más directas contra los remitentes de correo basura.
En cinco Estados miembros, la ley prohíbe el envío de comunicaciones comerciales no solicitadas (Fuente: Comisión Europea , DG de Mercado Interior). En los demás Estados miembros, o bien no se dispone de un sistema de rechazo expreso, o, como en el caso de España el marco legal está pendiente de definición. Las empresas de los países que han optado por el sistema de rechazo expreso pueden recurrir a utilizar, además de las direcciones de correo electrónico de su propio país, las de los consumidores de los Estados miembros donde impera el sistema de autorización previa. Asimismo, dado que las direcciones de correo electrónico carecen a menudo de indicaciones sobre el país de residencia de los destinatarios, la existencia de un sistema de regímenes divergentes dentro del mercado interior no ofrece una solución común para la protección de la intimidad de los consumidores.
Las cláusulas de autorización previa suponen una solución equilibrada y eficaz para eliminar los obstáculos que se oponen a la provisión de comunicaciones comerciales con una protección paralela del derecho fundamental a la intimidad de los consumidores.
El respeto a los usuarios de estos negocios exige que el tráfico de datos generados en todas las comunicaciones electrónicas se vea sometido a prescripciones legales para facilitar su aplicación y desarrollo.
Así, una de las preocupaciones de cualquier usuario de la red, es asegurarse, cuando navega por Internet, que los datos que suministra -en un chat, en foros de discusión, o en compras- no serán capturados, copiados, modificados o utilizados sin su previo consentimiento. Por ello entiendo que la confianza del usuario en la preservación de su intimidad en la sociedad digital, es básica para el desarrollo de la sociedad de la información y de todas las actividades lícitas que se llevan en la red.
Con el objetivo de informar sobre estos aspectos, presentamos una serie de artículos relacionados con las comunicaciones electrónicas y su impacto en la normativa de protección de datos.
1. Aspectos que deben tenerse en cuenta en el sitio web de Comercio Electrónico
1.1 ¿Quién es la LOPD?
La Ley Orgánica de Protección de Datos de Carácter Personal, llamada LOPD, ley nº 15/1999, de 13 diciembre, vela por el mandato constitucional, expresado en el artículo 18.4 de la Constitución Española, "... limitar el uso de la informática para garantizar el honor, la intimidad personal y familiar de los ciudadanos y el legítimo ejercicio de sus derechos". Con este objetivo, la LOPD establece el derecho de los ciudadanos a conocer qué datos personales están contenidos en las bases de datos de las empresas y entidades públicas y quienes son los responsables de éstas. Así mismo, establece una serie de obligaciones a los responsables de los tratamientos y una serie de sanciones para el caso de incumplimiento de aquéllas.
En próximos artículos descubriremos la LOPD, la normativa que la desarrolla, los derechos de los ciudadanos en el tratamiento de sus datos personales, las obligaciones de los responsables en la gestión de las bases de datos personales, las infracciones y sanciones establecidas y el papel que desempeña la Agencia de Protección de Datos.
1.2 La protección de datos en el Comercio Electrónico
La mayoría de los formularios de recogida de datos que se encuentran en portales y comercios electrónicos, no incluyen ninguna de las disposiciones que la Ley prevé para garantizar el correcto y legal tratamiento de los datos del usuario.
Lo cierto es que, entre los principales problemas que existen en el tratamiento de datos en Internet, el primero y principal es la falta de información y consentimiento del usuario al tratamiento de sus datos. De hecho en el debate sobre la privacidad en la red ha trascendido a la prensa internacional tanto en Estados Unidos como en Europa. De este nivel de concienciación creciente cabe esperar también un mayor nivel de exigencia por parte de los usuarios.
Por consiguiente creemos interesante en este primer artículo poner en conocimiento un listado básico de los requisitos mínimos de los sitios web respecto al tratamiento de datos.
Los prestadores de servicios en Internet deben introducir en los formularios de recogidas de datos unas cláusulas informativas que la LOPD exige antes de empezar a registrar datos de ninguna clase, (y que así mismo cumplan con todos los requisitos legales. Singularmente y en primer termino la declaración de las bases de datos personales a la Agencia de Protección de Datos).
La introducción de avisos legales relacionados con privacidad de los datos de los usuarios es un método sencillo y que además no presenta ninguna complicación técnica, así en el momento que se produce el acceso al sitio web y antes de registrar los datos.
Las cláusulas de información
El tratamiento de datos se produce, especialmente, durante "el contacto inicial" entre el usuario de Internet y un sitio web, ya sea únicamente para buscar información o bien para concluir una transacción comercial.
Por ello la información que seguidamente detallaremos debe mostrarse directamente en la pantalla antes de que se produzca la captación de los datos, garantizando así el correcto tratamiento de los datos.
Los diferentes formularios web de recogida de datos de carácter personal deben contener la información y los aspectos, relativos al consentimiento e información del usuario cuyos datos van a ser tratados.
En este sentido, debe existir en la Web un aviso fácilmente localizable y de comprensión asequible que contenga la información siguiente:
i. Identificación de la compañía. ii. Una dirección de e-mail, postal u otro sistema de comunicación, a través de los cuales se puedan ejercer los derechos de acceso, cancelación, oposición y de especificación de las finalidades para las que autoriza el uso de sus datos
iii. Caso de que se produzca captación de datos, este extremo deberá manifestarse en el aviso.
iv. Las consideraciones establecidas en el apartado iii) se harán extensivas a la colocación de cookies.
v. De la finalidad o finalidades a que se destina la información obtenida.
vi.En su caso, de la intención de ceder los datos,especificando la información que se cede así como la finalidad a la que se destinarán los datos cedidos.
Asimismo, en la página inicial del sitio y en todos los lugares donde se recojan datos en línea deberá poderse acceder directamente a información completa sobre la política de protección de privacidad del sitio (incluida la forma que tienen los usuarios afectados de ejercer sus derechos de acceso, rectificación, cancelación y oposición).
1.3 Respecto a la colocación de cookies.
Las cookies pueden contener datos personales o cualquier otro tipo de información relacionada con el interface usuario-servidor. La normativa en materia de protección de datos define los datos personales como "cualquier información concerniente a personas físicas identificadas o identificables". Por ello, si el contenido de la cookie que contiene la web asocia los datos con el usuario, su contenido puede ser considerado dato personal.
Caso de que no pueda producirse dicha asociación el contenido de la cookie no podrá ser considerado como dato personal, ya que no podrá ser asociado a una persona identificada o identificable.
1.4 Respecto a la finalidad de los datos recogidos.
Cada usuario debe, en cualquier momento, poder determinar la finalidad o finalidades a que consiente sean destinados sus datos, o excluir alguna finalidad inicialmente consentida.
En ningún caso, la compañía podrá utilizar la información para finalidades distintas de las que haya consentido el usuario, salvo que, previamente, le haya advertido de la intención de hacerlo otorgándole un plazo y procedimiento razonable de oposición.
A este respecto, es útil el redactar finalidades concretas pero amplias, para poder utilizar dichos datos en la forma en que la empresa lo precise.
1.5 Respecto a las cesiones y la finalidad de la cesión.
La información relativa a la posible cesión de datos deberá siempre identificar a los cesionarios o, en todo caso, hacer referencia a las características de las empresas o personas a quienes vayan a cederse, así como a las finalidades perseguidas por la cesión.
Caso que la información que se solicite se considere dato de carácter personal, debe de contemplarse todos los aspectos que se han comentado.
En este sentido, recomendamos se incluya un aviso en la página de registro antes de que se pueda dar el "click" de aceptar. Entendemos, asimismo, que resulta conveniente que el acceso a dicha página desde cualquier parte de la web se realice mediante un enlace (hiperenlace).
2. Comunicación a la APD.
Todas las compañías que operen en España deberán informar a la Agencia de Protección de Datos Española (en adelante la APD) de la creación de una base de datos personales y en los casos que la compañía no esté establecida en territorio de la UE deberá designar un representante en España.
3. El correo electrónico.
La APD entiende que en los casos en que la dirección electrónica esté personalizada, ésta se considerará un dato de carácter personal, de modo que únicamente puede incluirse en un tratamiento cuando ha consentido el internauta o bien cuando concurren algunas de las excepciones legales.
En el caso de que la dirección electrónica se componga de modo tal que no revele la identidad de aquel a quien corresponde, no tenga significado alguno o el significado no sea identificativo, no se considerará dato personal.
No obstante, cuando se posee la dirección de correo electrónico (aunque ésta no revele la identidad de la persona a quien corresponde) junto con información concerniente a una persona física identificada o identificable, la dirección de correo electrónico quedará incluida en el ámbito de la Ley, de modo que la dirección electrónica tendrá carácter de dato personal.
Asimismo, si además de poseer el correo electrónico de un visitante, el portal o comercio electrónico, a través de "cookies", o a través de la pertenencia del usuario a determinados grupos de noticias y listas de distribución conoce la frecuencia, temas y/o materias visitadas por éste, pudiendo de esta manera elaborar un perfil más o menos detallado del visitante, en este caso, sólo podrá incluirse toda esta información en un tratamiento de datos, cuando se ha consentido previamente por el usuario o visitante o bien cuando concurra alguna de las excepciones legales, las cuales como regla general tienen poco que ver con la actividad comercial de Internet.
Así, no es lícito recopilar direcciones electrónicas en áreas públicas de Internet sin conocimiento del interesado, no permitiéndose un procesamiento y uso de los datos diferente a la finalidad previamente permitida por el usuario, en particular, acciones de marketing o publicidad.
4. Comunicaciones no solicitadas.
El envío de correo-basura (spam) es, como su propio nombre indica, la práctica de bombardear con mensajes electrónicos no solicitados, por lo general de carácter comercial, a personas con las que el remitente no ha mantenido contacto previo alguno. Se trata de una modalidad muy concreta de violación de la intimidad: el usuario carece de interfaz humana, corre con el coste de la comunicación y, habitualmente, recibe este tipo de correo en la intimidad de su hogar.
No es de extrañar que los consumidores prefieran las comunicaciones comerciales solicitadas, personalizadas y diferenciadas del correo basura, el cual puede resultar irritante, hace perder el tiempo (el necesario para leer los mensajes y borrarlos) y cuesta dinero al usuario. Las molestias causadas por los remitentes de correo-basura minan la confianza de los consumidores en el comercio electrónico.
El sector exige, además, cierta seguridad jurídica: los mensajes electrónicos no solicitados colocan a los PSI en la inaceptable posición de verse forzados a proveer el ancho de banda y el equipo necesarios para el envío de unos mensajes basura que la abrumadora mayoría de sus clientes no desean y producen considerables costes. En algunas ocasiones, los sistemas se bloquean por la mera carga de mensajes comerciales no solicitados, lo que paraliza y retrasa el tráfico legítimo.
Actualmente algunos Prestadores de Servicios de Internet (PSI) tratan de filtrar el correo basura e incluyen en sus contratos con sus abonados cláusulas que prohíban a éstos el envío o la transmisión de estos mensajes.
También, existen registros de servidores sospechosos conocidos como fuentes de correo-basura. Pero los filtros que utilizan no son precisos al 100% y a veces bloquean los mensajes legítimos si éstos proceden de un servidor incluido en la lista negra. No obstante, la inexistencia de una prohibición legal actual de enviar correo basura coloca a los PSI en una situación delicada (más aún con la redacción última del anteproyecto de ley de comercio electrónico); La prohibición legal facilitaría la adopción de medidas más directas contra los remitentes de correo basura.
En cinco Estados miembros, la ley prohíbe el envío de comunicaciones comerciales no solicitadas (Fuente: Comisión Europea , DG de Mercado Interior). En los demás Estados miembros, o bien no se dispone de un sistema de rechazo expreso, o, como en el caso de España el marco legal está pendiente de definición. Las empresas de los países que han optado por el sistema de rechazo expreso pueden recurrir a utilizar, además de las direcciones de correo electrónico de su propio país, las de los consumidores de los Estados miembros donde impera el sistema de autorización previa. Asimismo, dado que las direcciones de correo electrónico carecen a menudo de indicaciones sobre el país de residencia de los destinatarios, la existencia de un sistema de regímenes divergentes dentro del mercado interior no ofrece una solución común para la protección de la intimidad de los consumidores.
Las cláusulas de autorización previa suponen una solución equilibrada y eficaz para eliminar los obstáculos que se oponen a la provisión de comunicaciones comerciales con una protección paralela del derecho fundamental a la intimidad de los consumidores.
