01 de Septiembre de 2014
Tratamiento de datos en una página web y en las redes sociales. Comentario sobre la “Sentencia Lindqvist”
Una referencia importante de cara a la aplicación en las redes sociales de la normativa en materia de protección de datos, fue la llamada Sentencia Lindqvist, sentencia del Tribunal de Justicia de las Comunidades Europeas de 6 de noviembre de 2003.
La Sra. Bodil Lindqvist era una catequista sueca que, al final de 1998, realizó un curso de informática y con sus conocimientos creo en su ordenador personal diversas páginas web con la finalidad de que los feligreses de la parroquia que se preparaban para la confirmación pudieran obtener fácilmente la información que pudiera resultarles útil. Estas páginas contenían información sobre la Sra. Lindqvist y 18 de sus compañeros de la parroquia, incluido su nombre de pila, acompañado, en ocasiones, de su nombre completo.
Además, la Sra. Lindqvist describía en un tono ligeramente humorístico las funciones que ejercían sus compañeros, así como sus aficiones. En diversos casos se mencionaba la situación familiar, el número de teléfono e información adicional. Así mismo, señaló que una de sus compañeras se había lesionado un pie y que se encontraba en situación de baja parcial por enfermedad.
La página web fue suprimida por su autora en cuanto ésta supo que a algunos de los afectados no les había hecho gracia, pero ya era demasiado tarde. La Agencia Sueca “Datainspektion” había tomado nota de la infracción.
A la Sra. Bodil Lindqvist, nuestra catequista se le abrió un procedimiento penal. Cuando alguien teclea su nombre en Google, aparecen 197.000 resultados, los primeros, por descontado, relacionados con el desgraciado asunto que acabamos de explicar.
Después de ser sancionada y recorrer la sanción, el tribunal sueco consultó al Tribunal de Justicia sobre las condiciones de aplicación de la Directiva 95/46/CE.
Sentencia del Tribunal de Justicia de 6 de noviembre de 2003 en el asunto C-101/01.
Petición de decisión prejudicial planteada por Göta Hovrätt. http://curia.europa.eu/
Para comprender el tratamiento de datos que se pueden hacer en una página web y en las redes sociales, es necesario profundizar en las aplicaciones que la web 2.0 genera al derecho fundamental en la protección de datos. En primer lugar cabe señalar que los servicios de la web se nutren de datos de carácter personal, siendo el papel activo de los usuarios en este caso el elemento diferenciador por lo respecta a la web 1.0 basada en páginas estáticas, meramente informativas, en las cuales no existía participación. La Web 2.0, web social o colaborativa facilita la creación de redes, plataformas, grupos, sobre la base de criterios comunes creando un espacio virtual retro-alimentado, espacio en el cual no solo se consume, sino que también se aporta información.
Como consideración general, si tenemos en cuenta que no se abona ninguna contraprestación económica por estos servicios, es fácil deducir que la moneda de cambio que aporta el usuario es su información personal, pudiendo ver su derecho de protección de datos claramente afectado; pensemos en tratamientos lesivos tales como tratamiento etiquetaje de fotografías, difusión de imágenes sin cumplimiento, publicación de información personal sensible sin cumplir los requisitos legales, etc.
Si bien pueden verse también afectados otros derechos, como el de propiedad intelectual, el derecho al honor, etc., vamos a centrar nuestro análisis en el derecho a la protección de datos de carácter personal.
Las conductas que hemos citado con anterioridad, etiquetaje, difusión de datos personales, imágenes, etc. Responden al concepto de tratamiento de datos. El tratamiento se define en la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, en su artículo 3 c) como:
“Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, registro, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.”
Así, los usuarios de los servicios de la web 2.0, en editar contenidos en la charcha se convierten así mismo en responsables del tratamiento de los datos, salvo que sea aplicable la excepción relativa a actividades domésticas, excepción prevista en el artículo 3 apartado 2 de la Directiva 95/46. También tienen la consideración de responsables de tratamiento los proveedores de los servicios, salvo que como decimos, resulte de aplicación la excepción doméstica. El artículo 3.2 de la Directiva dice lo siguiente:
“Las Disposiciones de la presente Directiva no se aplicarán al tratamiento de los datos personales: Efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas.”
La excepción doméstica se interpreta en la sentencia Lindqvist cuando señala:
“En consecuencia, esta excepción debe de interpretarse en el sentido que contempla únicamente las actividades que se inscriben en el marco de la vida privada o familiar de los particulares; evidentemente, no es este el caso de un tratamiento de datos personales consistente en la difusión de estos datos por Internet de manera que resulten accesibles a un grupo indeterminado de personas.”
Efectivamente, en el caso de utilización corporativa de servicios de la web 2.0 los destinatarios de la información son indeterminados, y por tanto, no sería aplicable la excepción doméstica prevista en la Directiva, siendo plenamente aplicable la normativa de protección de datos.
Una vez expuesta la aplicabilidad de la normativa reguladora del derecho fundamental, debemos de recordar lo señalado por el Supervisión Europeo de Protección de Datos en su Dictamen de 18 de marzo de 2010:
“Los usuarios deberían de saber y entender que en procesar su información personal y la de otros están sujetos a la legislación de la UE sobre protección de datos, que exige, entre otras cosas, que se obtenga el consentimiento informado de aquellos la información del cual se introduzca y que se conceda a los afectados el derecho de rectificación, objeción, etc. De la misma forma, los servicios de redes sociales deben de, entre otras cosas, aplicar medidas técnicas y de organización adecuadas para evitar tratamientos no autorizados, teniendo en cuenta los riesgos que comporta el tratamiento y el carácter de los datos. Esto, a su vez, significa que los servicios de redes sociales deben garantizar parámetros por defecto que faciliten la intimidad, incluidos parámetros que solo permitan acceder a los contactos seleccionados por el propio usuario. Los parámetros deberían de también exigir el consentimiento expreso del usuario antes que ningún perfil sea exigible a otras terceras partes, y los motores de búsqueda no deberían de tener acceso a los perfiles de acceso restringido.”
“Lamentablemente, no todas las exigencias jurídicas están cubiertas. Aunque desde la perspectiva jurídica los usuarios de Internet se consideran responsables del tratamiento y están sujetos a lo que se dispone en el marco jurídico comunitario sobre protección de datos y privacidad, en realidad no suelen ser conscientes de esta función. En general, difícilmente saben que están tratando datos personales y que la publicación de esta información comporta riesgos en materia de privacidad y protección de datos. En particular cuando los jóvenes publican contenidos en idónea subestiman las consecuencias que pueden tener en ellos mismos y en otros, por ejemplo, en el contexto de su posterior matriculación en centros educativos o en sus solicitudes de trabajo”.
En las redes sociales como (Facebook, Twitter y Tuenti), los problemas más importantes que estos servicios generan al derecho fundamental son la publicación excesiva de información personal, bien sea información propia o de terceras personas, la indexación del perfil del usuario por los cercadores de Internet, la recepción de publicidad hipercontextualizada, suplantaciones de identidad, recepción de spam, conservación de datos de tráfico, la recogida de datos sin aportar información, etc.
Joan M. Mallafrè Mestre
[Especialista universitario en Protección de Datos y Privacitat
por la Universidad de Murcia]
