El revuelo mayúsculo tras la publicación de la base de datos de usuarios de Ashley Madison (si aún no lo sabes: un sitio web dedicado a la búsqueda de aventuras extramatrimoniales) nos hace plantearnos interrogantes tanto morales como de negocio y en especial relativos a la privacidad de nuestros datos personales.
Ashley Madison lo advertía: "Si no está de acuerdo con estos términos (legales), no use el servicio ni el sitio y no ingrese a él". ¿Pero cuántos leemos los términos legales de las aplicaciones y herramientas digitales de las que somos usuarios? Seguramente tantos como los que leemos los manuales de los aparatos electrónicos.
A continuación reproducimos el contenido original del post de Joaquín López Bravo, publicado recientemente en Herrero Digital, aquí: http://www.herrerodigital.com/blog/ashley-madison-y-el-borrado-de-datos-personales/
¿Necesitas (realmente) rediseñar tu sitio web?
Ebook gratuito
Ashley Madison y el borrado de datos personales
“Lo que más me gusta de que hayan hackeado la web de Ashley Madison, es que me registré con el nombre de mi cuñao“.
“Te trae más problemas tener una cuenta en Ashley Madison que tener una cuenta en Suiza“.
“No salgo en la lista Forbes, ni en la de adúlteros de Ashley Madison, …. Algo estoy haciendo mal“.
“Hackearon Ashley Madison… Abogados de divorcios afilando colmillos en todas partes“.
“Amor, no sé quién me registró en Ashley Madison, te lo juro” 37 millones de personas en este momento.
Estos son algunos de los chistes que circularon por la red con motivo del pirateo de los datos de clientes a que ha sido sometida la famosa web de infidelidades Ashley Madison. Y bromas aparte el asunto de la privacidad de nuestros datos es muy serio. A medida que se fueron desvelando cuestiones relacionadas con esta web, fuimos sabiendo que nada era transparente en la misma. Presentaban perfiles femeninos falsos, lo que ya se conocía hace tiempo pues una trabajadora les denunció en 2013 alegando que había sufrido daños en sus muñecas al tener que teclear casi mil perfiles. La empleada perdió el pleito pero se destapó la estafa, lo que no impidió que la web siguiera aumentando en número de usuarios. Las quejas en Internet eran constantes sobre la cantidad de dinero y tiempo que se perdía intentando tener esa “ansiada” aventura extraconyugal. Pero lo que más ha encendido a los usuarios ha sido saber que cobraban por un servicio de “borrado total” de datos que no prestaban.
Lo que demuestra esa indignación es el absoluto desconocimiento que sigue habiendo en la población en general sobre qué pasa con nuestros datos de carácter personal una vez que los hemos facilitado a un tercero y hemos otorgado nuestro consentimiento para que los traten. Sin entrar en la cuestión jurisdiccional, que complicaría muchísimo las cosas y que daría por sí mismo para un artículo mucho más extenso, vamos a suponer que nos encontramos ante una empresa española y un usuario en España. En ese caso, y según la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal los datos de carácter personal recogidos con el consentimiento de afectado no pueden ser borrados sin más. El derecho de cancelación que establece dicha ley se limita a que los datos queden bloqueados, es decir, que no sean utilizados por nadie, ni siquiera quien los recogió o a quien esa persona los haya cedido o los trate en su nombre. Este bloqueo durará, según dice la Ley, durante el plazo de prescripción de posibles responsabilidades nacidas del tratamiento, y en modo tal que queden a disposición de las Administraciones Públicas, Jueces y Tribunales.
Ciertamente el aviso legal de Ashley Madison establecía que:
No tenemos ninguna obligación de eliminar su perfil, fotografía e información de nuestro Servicio, incluso después de haber cancelado su membresía, a menos que utilice la opción Eliminación completa del perfil.
Esta nota carecería validez en España, pues pasado el plazo de prescripción de acciones quien disponga de datos personales de alguien que haya ejercido el derecho de cancelación sobre los mismos, deberá borrar, sin coste ni contraprestación algunos (artículo 17 de la Ley y 24 del Reglamento de desarrollo de la LOPD aprobado por RD 1720/2007), los datos de que dispongan, si así se lo hubiera pedido el usuario. O no. Porque el apartado 5 del mismo artículo 16 que establece que al ejercer el derecho de cancelación los datos quedarán bloqueados en la forma que hemos señalado (apartado 3) establece la posibilidad de que las relaciones contractuales entre las partes fijen el periodo de conservación de los datos. Y no olvidemos que toda nuestra actuación en la red es contractual y que ASHLEY Madison también lo advierte en su aviso legal:
Este acuerdo legal se celebra entre usted y nosotros. Al acceder a este Servicio, está aceptando estos Términos y acepta regirse por ellos, por las condiciones y por los avisos que ellos contengan o a los que ellos hagan referencia, independientemente de si se convierte en abonado o no. SI NO ESTÁ DE ACUERDO CON ESTOS TÉRMINOS, NO USE EL SERVICIO NI EL SITIO Y NO INGRESE A ÉL.
En cualquier caso, el borrado de los datos, posterior a la cancelación, debe hacerse de forma gratuita y facilitando al usuario una vía fácil y directa para ejercer su derecho de cancelación. Y no parece razonable que, por mucho que diga el “acuerdo legal” con Ashley Madison, no tienen derecho a retener sine die los datos personales de sus usuarios.
El problema de los Avisos Legales es parecido al que se suscita con prospectos de las medicinas: si los lees, no te tomas la medicina (o no contratas el servicio). Y además son largos (20 páginas en este caso), farragosos y difíciles de entender, pese a la exigencia de la LSSI de que no sea así. Y muchos de estos avisos legales son meras traducciones casi automáticas de avisos legales en otros idiomas y pertenecientes a otras jurisdicciones.
Para colmo la jurisdicción ante la cual hacer valer nuestros derechos suele ser la de un país cuya capacidad para administrar justicia especializada en asuntos tecnológicos es cuanto menos cuestionable, y ello sin contar con el absoluto desconocimiento de la legislación en ese país. Ashley Madison, por ejemplo, decía estar domiciliada en Chipre, y sometía cualquier discusión o diferencia a un procedimiento arbitral en Chipre, de acuerdo con la ley de arbitraje de dicho país:
Procedimientos de Arbitraje: Si las partes no pueden resolver las diferencias o controversias de cualquier naturaleza que pudieran surgir en relación a este Acuerdo después de negociaciones de buena fe, todos estos litigios se someterán al arbitraje de un único Arbitro en conformidad con las disposiciones de la Ley de Arbitraje de Chipre, Cap 4. El Árbitro será propuesto por el Servicio de Arbitraje de la Cámara de Comercio e Industria de Chipre y debe ser aprobado por las partes. El lugar del arbitraje será Nicosia, Chipre, y la lengua de procedimiento será el Inglés. La decisión del árbitro será definitiva y vinculante, pero el juicio del árbitro podrá ser presentado en cualquier tribunal que tenga jurisdicción y ejecución posterior u otro proceso legal puede ser emitido al respecto. Los costos del arbitraje serán pagados según lo determine el árbitro.
En resumen, el caso de Ashley Madison debe servirnos para recordar que incluso cuando pedimos que borren nuestros datos a quien los obtuvo con nuestro consentimiento, hay un periodo indeterminado, hasta que prescriban las acciones y responsabilidades nacidas del tratamiento de esos datos, en el cual nuestros datos están bloqueados, sí, pero a disposición de cualquier hacker que reviente la protección del fichero que los contenga. Y si quien trata nuestros datos no está sometido a nuestra legislación, no dudará en “vender” esos datos para sacarles algo de la rentabilidad que ya no sacará al usuario al darse de baja en el servicio. Una práctica prohibida por nuestra legislación pero que puede convertir nuestro correo electrónico o nuestro teléfono en un piélago de anuncios, ofertas y demás basuras no deseadas. Y perseguir eso es a veces tan difícil que hay quien prefiere cambiar de número de teléfono o de dirección de correo electrónico para dejar de sufrir esa marea de basura.
Tanto desde el punto de vista empresarial, profesional o personal, la protección de los datos personales suscita muchas dudas en las que podemos ayudar los profesionales que a diario tratamos con estos temas.
Comentarios
No hay comentarios