April 6th, 2011
La venta de los datos personales.
La explosión de la burbuja tecnológica a finales de los años 90 provocó que algunas empresas estudiaran posibilidades diversas a la hora de afrontar el pago de sus deudas y entre ellas, la venta de los datos personales de sus clientes, debate éste que ahora y con motivo de la crisis económica, aflora nuevamente.
Un ejemplo paradigmático de esas malas prácticas fue el caso de Toysmart.com empresa dedicaba a la venta de juguetes por Internet, y que trataba mayoritariamente con datos personales de menores de edad.
Pues bien, como Toysmart no podía hacer frente a sus acreedores, inició un proceso concursal dentro del cual quiso vender los datos personales de sus clientes para saldar así sus deudas, pese a que la empresa estaba adherida a la certificación TRUSTe (http://www.truste.com/) que prohibía precisamente esa posibilidad.
Ante ese hecho la FTC (Federal Trade Commission) reaccionó presentado una demanda contra Toysmart.com (para más detalles véase FTC v. Toysmart.com), alegando no solo la infracción de la normativa reguladora de los consumidores y de los usuarios –pues entendía que la obligación de privacidad formaba parte del contrato entre la empresa y el cliente- sino de la propia política de privacidad del sitio Web de Toysmart.com, donde explícitamente se decía que la información personal nunca sería compartida con terceros.
No hemos podido conocer el proceso que llevó a Toysmart.com a tomar esta nefasta decisión, ni la razón de la amnesia sobrevenida que provocó que la misma empresa que se había adherido a esa certificación de privacidad, se olvidara sin mas de sus propias promesas, pero lo que más sorprende de este caso es que nadie dentro de Toysmart hiciera saltar las alarmas ante la propuesta de venta de los datos personales de sus clientes o que si lo hizo, nadie le escuchara al menos hasta que la Federal Trade Commission presentó la citada demanda.
La primera pregunta es ¿que hubiera sucedido si la empresa hubiera contratado un Data Protection Officer antes de tomar esa decisión?. Y la segunda ¿un DPO hubiera evitado esa irregular actuación?.
El responsable de privacidad.
El Data Protection Officer (DPO), figura también conocida como Corporate Privacy Officer (CPO), Chief Privacy Officers (CPO), correspondant informatique et libertés (CIL), el oficial de privacidad o simplemente el responsable de privacidad, es el perro guardián de los datos.
Esta figura puede definirse como aquella persona independiente que con una función claramente preventiva y proactiva, supervisa, coordina y transmite la política de protección de datos tanto en el interior de la institución como desde dentro hacia el exterior, siendo el punto de encuentro entre el responsable del fichero o tratamiento, el afectado y la autoridad de control, mucho más por tanto que el simple punto de unión a modo de bisagra entre el departamento de seguridad de la organización y el de privacidad o de protección de los datos personales.
Pero, ¿necesito un DPO?
Pese a que puede pensarse que esta figura solo está indicada para aquellas grandes organizaciones de carácter multinacional que tratan datos sensibles y que tienen un interés específico ante el mercado en escenificar su voluntad de proteger los datos personales de sus clientes, lo cierto es que la presencia del DPO empieza a ser habitual en todo tipo de empresas y Administraciones Públicas, siendo las razones diversas y entre ellas, algunas de las siguientes:
a.- La complejidad legal creciente de los tratamientos de datos personales, con una extensa y compleja normativa aplicable (convenios internacionales, reglamentos, directivas, legislación estatal y autonómica, resoluciones, informes, memorias, instrucciones y recomendaciones de las autoridades de control, sentencias y documentos de grupos de trabajo, entre otros).
A ello debe sumarse los factores relacionados con el propio tratamiento de los datos como son las transferencias internacionales, la subcontratación de los servicios (outsorcing), las cesiones de datos dentro de complejos entramados empresariales, la gestión de grandes cuentas de clientes con motivo de negocios asociados al comercio electrónico o finalmente, la existencia de regulaciones especificas para determinados tipos de tratamientos (menores de edad, datos sensibles, publicidad o videovigilancia, por poner diversos ejemplos).
b.- La propia presión del consumidor y por extensión de la opinión publica en general, que fruto de una incipiente conciencia del valor de sus datos personales, exige cada vez más un mayor respeto a sus datos personales y por tanto a si mismo por parte de las empresas y de las Administraciones Publicas, solicitando que los tratamientos sean no solo ajustados a la legalidad, sino que además sean transparentes y éticos.
c.- La constatación por las corporaciones que el mejor activo es, en muchos casos, el propio cliente, llámese el socio, el consumidor o el abonado y por extensión, sus datos de carácter personal, y que en definitiva el respeto a la privacidad es un buen negocio pues siendo un valor añadido en si mismo, se constata que la privacidad bien gestionada genera ingresos a la vez que se evita malas practicas que puedan empañar la imagen de la corporación.
Un ejemplo negativo reciente lo encontramos con el caso de la empresa Pandora, que compartía datos de sus clientes con agencias publicitarias, sin que estos lo conocieran.
La regulación del Data Protection Officer.
El Data Protection Officer como tal aparece regulado en diversas normas:
A.- Los artículos 18 y 20 de la directiva 95/46.
Artículo 18. Obligación de notificación a la autoridad de control.
1. Los Estados miembros dispondrán que el responsable del tratamiento o, en su caso, su representante, efectúe una notificación a la autoridad de control contemplada en el artículo 28, con anterioridad a la realización de un tratamiento o de un conjunto de tratamientos, total o parcialmente automatizados, destinados a la consecución de un fin o de varios fines conexos.
2. Los Estados miembros podrán disponer la simplificación o la omisión de la notificación, sólo en los siguientes casos y con las siguientes condiciones:
- cuando, para las categorías de tratamientos que no puedan afectar a los derechos y libertades de los interesados habida cuenta de los datos a que se refiere el tratamiento, los Estados miembros precisen los fines de los tratamientos, los datos o categorías de datos tratados, la categoría o categorías de los interesados, los destinatarios o categorías de destinatarios a los que se comuniquen los datos y el período de conservación de los datos y/o
- cuando el responsable del tratamiento designe, con arreglo al Derecho nacional al que está sujeto, un encargado de protección de los datos personales que tenga por cometido, en particular:
- hacer aplicar en el ámbito interno, de manera independiente, las disposiciones nacionales adoptadas en virtud de la presente Directiva,
- llevar un registro de los tratamientos efectuados por el responsable del tratamiento, que contenga la información enumerada en el apartado 2 del artículo 21, garantizando así que el tratamiento de los datos no pueda ocasionar una merma de los derechos y libertades de los interesados.
3. Los Estados miembros podrán disponer que no se aplique el apartado 1 a aquellos tratamientos cuya única finalidad sea la de llevar un registro que, en virtud de disposiciones legales o reglamentarias, esté destinado a facilitar información al público y estén abiertos a la consulta por el público en general o por toda persona que pueda demostrar un interés legítimo.
4. Los Estados miembros podrán eximir de la obligación de notificación o disponer una simplificación de la misma respecto de los tratamientos a que se refiere la letra d) del apartado 2 del artículo 8.
5. Los Estados miembros podrán disponer que los tratamientos no automatizados de datos de carácter personal o algunos de ellos sean notificados eventualmente de una forma simplificada.
Artículo 20. Controles previos.
1. Los Estados miembros precisarán los tratamientos que puedan suponer riesgos específicos para los derechos y libertades de los interesados y velarán por que sean examinados antes del comienzo del tratamiento.
2. Estas comprobaciones previas serán realizadas por la autoridad de control una vez que haya recibido la notificación del responsable del tratamiento o por el encargado de la protección de datos quien, en caso de duda, deberá consultar a la autoridad de control.
3. Los Estados miembros podrán también llevar a cabo dicha comprobación en el marco de la elaboración de una norma aprobada por el Parlamento o basada en la misma norma, que defina el carácter del tratamiento y establezca las oportunas garantías.
B.- El reglamento 45/2001, regulado en la sección 8 (artículos 24, 25 y 26):
El artículo 24.
Nombramiento y funciones del responsable de la protección de datos
1. Cada institución y cada organismo comunitario nombrará al menos a una persona para que actúe como responsable de la protección de datos encargado de:
a) garantizar que los responsables del tratamiento y los interesados sean informados de sus derechos y obligaciones de conformidad con el presente Reglamento;
b) responder a las solicitudes del Supervisor Europeo de Protección de Datos y, en el marco de sus competencias, cooperar con el Supervisor Europeo de Protección de Datos a petición de éste o por iniciativa propia;
c) garantizar de forma independiente la aplicación interna de las disposiciones del presente Reglamento;
d) llevar el registro de aquellas operaciones de tratamiento realizadas por el responsable del tratamiento, el cual contendrá la información a que se refiere el apartado 2 del artículo 25;
e) notificar al Supervisor Europeo de Protección de Datos las operaciones de tratamiento que pudieran presentar riesgos específicos con arreglo al artículo 27.
Dicha persona deberá velar por que el tratamiento no tenga efectos adversos sobre los derechos y las libertades de los interesados.
2. El responsable de la protección de datos será seleccionado en razón de sus cualidades personales y profesionales y, en particular, de su experiencia en la protección de datos.
3. La elección del responsable de la protección de datos no deberá poder derivar en un conflicto de intereses entre su función de responsable y otras obligaciones profesionales, en particular en relación con la aplicación de las disposiciones del presente Reglamento.
4. El responsable de la protección de datos será nombrado por un mandato de entre dos y cinco años. Su mandato podrá ser renovado; no obstante, la duración total de su mandato no podrá ser superior a diez años. El responsable de la protección de datos sólo podrá ser destituido de su función de responsable de la protección de datos por la institución u organismo comunitario que le haya nombrado, previo consentimiento del Supervisor Europeo de Protección de Datos, en caso de que deje de cumplir las condiciones requeridas para el ejercicio de sus funciones.
5. Tras haber nombrado al responsable de la protección de datos, la institución o el organismo que le haya designado comunicará su nombre al Supervisor Europeo de Protección de Datos.
6. La institución u organismo comunitario que le haya designado asignará al responsable de la protección de datos el personal y los recursos necesarios para la ejecución de sus funciones.
7. El responsable de la protección de datos no aceptará instrucciones de nadie respecto del ejercicio de sus funciones.
8. Cada institución u organismo comunitario adoptará normas complementarias respecto al responsable de la protección de datos, con arreglo a lo dispuesto en el anexo. Tales normas se referirán, en concreto, a las tareas, obligaciones y competencias del responsable de la protección de datos.
El artículo 25.
Notificación al responsable de la protección de datos
1. El responsable del tratamiento notificará previamente al responsable de la protección de datos toda operación de tratamiento o serie de tales operaciones previstas para un objetivo único o para varios objetivos relacionados entre sí.
2. La notificación facilitada comprenderá:
a) el nombre y la dirección del responsable del tratamiento y una indicación de los servicios de una institución u organismo encargados del tratamiento de datos personales para un fin particular;
b) el o los objetivos del tratamiento;
c) una descripción de la categoría o categorías de interesados y de los datos o categorías de datos a que se refiere el tratamiento;
d) el fundamento jurídico del tratamiento al que van destinados los datos;
e) los destinatarios o categorías de destinatarios a los que se pueden comunicar los datos;
f) una indicación general de los plazos establecidos para el bloqueo y la supresión de las diferentes categorías de datos;
g) las transmisiones de datos previstas a terceros países o a organizaciones internacionales;
h) una descripción general que permita evaluar de modo preliminar si las medidas adoptadas en aplicación del artículo 22 resultan adecuadas para garantizar la seguridad del tratamiento.
3. Todo cambio que afecte a las informaciones contempladas en el apartado 2 se notificará de inmediato al responsable de la protección de datos.
El artículo 26.
Cada responsable de la protección de datos llevará un registro de las operaciones a que se refiere el artículo 25.
Los registros contendrán como mínimo la información mencionada en las letras a) a g) del apartado 2 del artículo 25. Los registros podrán ser consultados por cualquier persona directamente o indirectamente por mediación del Supervisor Europeo de Protección de Datos.
C.- Los Estándares Internacionales sobre Protección de Datos Personales y Privacidad aprobados en la 31ª Conferencia Internacional de Autoridades de Protección de Datos y Privacidad, celebrada los días 4, 5 y 6 de Noviembre en Madrid, especialmente su articulo 22 (Medidas proactivas):
Articulo 22.
Los Estados incentivarán, a través de su derecho interno, el establecimiento por quienes intervengan en cualquier fase del tratamiento de medidas que promuevan el mejor cumplimiento de la legislación que resulte aplicable en materia de protección de datos. Entre dichas medidas podrán encontrarse, entre otras:
a. El establecimiento de procedimientos destinados a prevenir y detectar infracciones, que podrán basarse en modelos estandarizados de gobierno y/o gestión de la seguridad de la información.
b. La designación, de uno o varios oficiales de privacidad o de protección de datos, con cualificación, recursos y competencias suficientes para ejercer adecuadamente sus funciones de supervisión.
c. La realización periódica de programas de concienciación, educación y formación entre los miembros de la organización destinados al mejor conocimiento de la legislación que resulte aplicable en materia de protección de la privacidad en relación con el tratamiento de datos de carácter personal, así como de los procedimientos establecidos por la organización a tal efecto.
d. La realización periódica de auditorias transparentes por parte de sujetos cualificados y preferentemente independientes, que verifiquen el cumplimiento de la legislación que resulte aplicable en materia de protección de la privacidad en relación con el tratamiento de datos de carácter personal, así como de los procedimientos establecidos por la organización a tal efecto.
e. La adaptación de aquellos sistemas y/o tecnologías de información destinados al tratamiento de datos de carácter personal a la legislación que resulte aplicable en materia de protección de la privacidad en relación con el tratamiento de datos de carácter personal, en particular al decidir acerca de sus especificaciones técnicas y en su desarrollo e implementación.
f. La puesta en práctica de estudios de impacto sobre la privacidad previos a la implementación de nuevos sistemas y/o tecnologías de información destinados al tratamiento de datos de carácter personal, así como a la puesta en práctica de nuevas modalidades de tratamiento de datos de carácter personal o a la realización de modificaciones sustanciales en tratamientos ya existentes.
g. La adhesión a acuerdos de autorregulación cuya observancia resulte vinculante, que contengan elementos que permitan medir sus niveles de eficacia en cuanto al cumplimiento y grado de protección de los datos de carácter personal, y establezcan medidas efectivas en caso de incumplimiento.
h. La implementación de planes de contingencias que establezca unas pautas de actuación en caso de que se verifique un incumplimiento de la legislación que resulte aplicable en materia de protección de la privacidad en relación con el tratamiento de datos de carácter personal, y que incluya al menos la obligación de determinar la causa y alcance de la vulneración que se haya producido, de describir sus efectos negativos y de adoptar las medidas necesarias para evitar que se reproduzca en el futuro.
Las funciones de DPO.
El Data Protection Officer es una figura que tiene definidas diversas funciones en la normativa, de las que destacaremos solamente algunas
1.- Hacia la sociedad y los afectados.
El DPO es la cara visible, la persona transmisora de la cultura de la protección de datos en la corporación, el interlocutor con el que los afectados identificarán a la persona que con nombre y apellidos, es el responsable de su privacidad, de sus datos personales y por tanto quien se espera que haga las declaraciones públicas necesarias en aquellos casos en que ocurran incidentes que pongan en riesgo o afecten a sus datos personales.
Un ejemplo muy reciente de esta función lo encontramos en el portal TripAdvisor, que ha anunciado hace poco la sustracción de forma no autorizada de parte de la base de datos de correos electrónicos de sus miembros, explicando en este enlace las medidas que se han tomado (http://www.tripadvisor.es/vpages/more_information.html).
2.- Hacia el responsable.
El DPO tiene una función claramente de asesoramiento preventivo en todo el proceso de tratamiento de datos personales (desde la propia creación de los ficheros hasta la cancelación de los datos personales), como también en el diseño de nuevas aplicaciones o en el lanzamiento de nuevos productos, por lo que se encargará que el responsable del tratamiento sean informado de sus obligaciones y que los interesados conozcan sus derechos, formando al personal de la corporación.
Es además el encargado de supervisar las solicitudes de derechos arco, las quejas y los sistemas internos de denuncia, de preparar las auditorias, de responder a las solicitudes de las autoridades cooperando con ellas, y también tiene una función importante a la hora de definir los procedimientos destinados a prevenir y detectar infracciones, teniendo la facultad además de investigar por propia iniciativa los incidentes.
El responsable debe facilitar al DPO los medios y los recursos necesarios para llevar a cabo su labor, y además debe hacer visible su figura, dándole por tanto la autoridad necesaria.
3.- Hacia la autoridad.
El DPO es el interlocutor o el enlace entre el responsable del fichero o tratamiento y la autoridad competente en protección de datos personales, como también hacia otras instituciones (consumidores y usuarios, protección de menores, etc).
De hecho una de las ventajas que la normativa reseñada asocia a la presencia de esta figura, es que debería ayudar a reducir o a eliminar algunas de las obligaciones que la legislación impone al responsable, como son por ejemplo las referidas a la declaración de los ficheros a la autoridad competente.
La independencia
El DPO debe ser independiente, sin que pueda recibir instrucciones del responsable ni en general de nadie.
Cabe decir que en ciertos casos esa tarea puede resultar algo complicada de llevar a cabo, como por ejemplo ante la presión que puede llevar a cabo el responsable para que terceros accedan a los datos personales de los clientes, como vía para generar ingresos a la organización, o incluso ante situaciones mucho mas tensas como la posibilidad de detener una campaña publicitaria que no se ajuste a la política de protección de datos de la corporación.
Pese a que puede ser una figura tanto externa como interna, razones de carácter ético y de independencia hacen aconsejable que el cargo de DPO sea incompatible con ciertos cargos (como el responsable de seguridad, por ejemplo) siendo destacable que el DPO no puede ser despedido por cualquier causa, de la misma manera que su designación debe ser notificada a la autoridad competente.
El candidato a DPO.
Un DPO debería tener un perfil multidisciplinar, preferentemente de licenciado en derecho y además especialista en protección de datos personales, con sólidos conocimientos en seguridad y con una clara comprensión del negocio y de su marco regulatorio.
© Ramon Arnó, 2011, Lleida.
