lunes, 26 de octubre de 2009

Fuentes públicas no son fuentes accesibles al público

En materia de protección de datos, lo que se puede hacer o no con este tipo de datos está perfectamente definido. Esto viene a colación de algunos servicios online que os quiero dar a conocer y que de alguna manera pueden confundir a la gente entre lo que es dato público y dato utilizable por venir de una fuente accesible al público.

Para ello, siempre en toda la legislación lo primero que hemos de hacer es entender bien qué dicen las definiciones. En este caso, el artículo 3 determina:
Fuentes accesibles al público: aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación.

Están proliferando un nuevo tipo de servicios que podríamos denominar metabuscadores, muy centrados en objetivos que se dedican a recolectar información de otros buscadores y recolectores de información. Para que véais un ejemplo concreto, podéis consultar la web www.123people.es o www.dateas.com.

A simple vista, parece un recolector de la información "pública" de una persona, utilizando para ellos fuentes como Google, Linkedin, Facebook, etc.

Sin embargo, una cosa es que "el dato esté accesible al público" y otra muy distinta es "que el dato pueda ser utilizado por ser público". A menudo me llegan consultas relacionadas con este asunto. Entiendo que es difícil comprender cómo si una dirección de correo electrónico está en Internet no pueda ser utilizada por cualquier desconocido para ser recolectada. Sin embargo, hemos de ser conscientes de que precisamente para evitar este tipo de situaciones es para lo que está nuestra querida Ley 15/1999 de Protección de Datos de Carácter Personal. Esta regulación limita el uso de información de carácter personal vinculada a varios conceptos:
  • Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o identificables.

  • Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

  • Finalidad: para qué van a ser utilizados los datos.

  • Deber de informar: que el afectado sepa quién tiene su información, qué va a hacer con ella y dónde puede ejercer sus derechos si lo desea.


Aunque este tipo de servicios nos pueden proporcionar direcciones de correo que están en Internet, esta información para poder ser tratada por una empresa debe previamente cumplir otros requisitos siendo el más básico el de informar a la persona afectada de que esa información va a formar parte de un fichero y en algún caso, puede requerirse también su consentimiento previo antes de poder dar de alta ese dato. Por tanto, aunque la información pueda ser fácil de localizar, existen restricciones en su uso.

Cualquier persona que entienda que cierta empresa tiene un dato suyo sin su consentimiento, puede ejercer cualquiera de sus derechos o solicitar a la Agencia Española de Protección de Datos para que los tutele. Si en el proceso de recolección de información no se siguen los pasos correctos, se corre el riesgo de sanción cuya cuantía dependerá un poco de qué tipos de datos se hayan recogido, de cómo y de qué se haya hecho con ellos. Por ilustrar algunos casos ya sancionados, podéis ver el caso de Tick Tack Ticket que fué sancionada con 30.001 € por enviar correos electrónicos con fines comerciales sin consentimiento a cerca de 40.000 direcciones de e-mail.
En este caso, se solicitaba a particulares que facilitaran direcciones de
correo electrónico de sus contactos para remitirles comunicaciones comerciales sin
el consentimiento lo que constituye una práctica ilegal. La empresa sancionada, dedicada a la venta de entradas de eventos y espectáculos por Internet, promocionó un concurso en el que para optar al premio había que introducir en un formulario las direcciones de correo electrónico de todos sus contactos y envió los mensajes sin el consentimiento de los titulares de las cuentas de correo, sin existir relación contractual, ni ofrecer un medio para oponerse a la utilización de sus datos con fines comerciales.

En relación a este tipo de situaciones, me gustaría referenciar las reflexiones de Eddasec sobre la extimidad y el video que apunta Paloma Llaneza sobre la "correlación de eventos conocidos y publicados" y cómo estos pueden ser usados en nuestra contra. el video es de la gente de la revista satírica The Onion.


Police Slog Through 40,000 Insipid Party Pics To Find Cause Of Dorm Fire
 
;