Los buscadores de Internet son servicios de la sociedad de la información sujetos a las garantías de la Ley Orgánica de Protección de Datos (LOPD), además de la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI).
Los buscadores de Internet tratan y retienen grandes volúmenes de datos de los usuarios a los que ofrecen sus servicios, pudiendo crear con ellos perfiles que pueden ser utilizados por el buscador sin que el propio afectado sea consciente de lo que ello supone.
Muchas veces, la retención de esos datos deja de tener justificación con el paso del tiempo, ya que aunque en un principio su recogida estaba legitimada, su conservación indefinida y sin motivo que la sustente deja de tener sentido.
Es por ello que los buscadores han de dar respuesta a la solicitud de cancelación y de oposición de los datos personales ejercida por los usuarios, tal y como establece la LOPD.
Es lo que ocurre con el buscador Google (Google Inc.), el cual dispone de una filial en España, Google Spain S.L.
A finales del mes de Septiembre se conoció la noticia de la detención en Sao Paulo del director general de Google en Brasil, Fabio Silva Coelho, por la policía federal, después de que la empresa se negara a cumplir una orden judicial para retirar de YouTube videos con acusaciones a un candidato a alcalde en las elecciones municipales.
En la actualidad Google España y la AEPD (Agencia Española de Protección de Datos) mantienen un largo contencioso sobre quién debe retirar de Internet un enlace a una información o dato sobre una persona cuando ésta lo reclama.
La AEPD considera que no puede obligarse a la fuente de la noticia o documento a retirarla porque ello alteraría el propio historial y se dirige al buscador para que deje de presentar el enlace.
La AEPD ha venido manteniendo en sus resoluciones dictadas en los procedimientos de tutela de los derechos de los ciudadanos, que los buscadores de Internet están sometidos a la legislación europea y española de protección de datos, y que los ciudadanos pueden invocar y hacer valer sus derechos en España frente a los proveedores de servicios de búsqueda de Internet.
Google sostiene que su tarea es rastrear lo que ofrece la red y su papel es el de registrar lo que existe, no de censurarlo.
Google alega que las filiales de cada país son solamente representantes de Google Inc. Y en cuanto a las eventuales reclamaciones realizadas frente a Google Spain S.L. esta alega que la única responsable sería, en todo caso, Google Inc. y “dado que los servicios de buscador los presta Google Inc. desde los Estados Unidos, no resulta de aplicación ni la directiva europea de protección de datos ni la ley española que la aplica.”
La Sección Primera de la Sala de lo Contencioso Administrativo de la Audiencia Nacional (AN) acordó mediante Auto y al amparo del art. 267 del Tratado de Funcionamiento de la Unión Europea (TFUE), plantear al Tribunal de Justicia de la Unión Europea diversas cuestiones prejudiciales en relación con los recursos interpuestos por Google contra las resoluciones en las que la Agencia Española de Protección de Datos ha amparado los derechos de oposición y de cancelación de datos personales de ciudadanos frente a buscadores en Internet, y en concreto Google. La Audiencia Nacional considera que la trascendencia del asunto afecta a todos los Estados Miembros de la UE por lo que entiende necesario un pronunciamiento del Tribunal Europeo.
Y es que como ya hemos informado en reiteradas ocasiones, los usuarios tienen derecho a ejercer los derechos de cancelación, rectificación, oposición y acceso de sus datos personales frente a los prestadores de servicios de la sociedad de la información.
La Directiva 95/46/CE, del Parlamento Europeo y del Consejo, de 24 de octubre, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, define “fichero de datos personales” en su artículo 2.c) como “todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica”.
El artículo 3.b) de la LOPD define “fichero” como “todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso”
No obstante, la publicación de datos personales en una página web también se considera tratamiento de datos:
Según declaró la Audiencia Nacional en sentencia de 17/03/2006, un sitio web requiere siempre “cualquiera que sea su finalidad una organización o estructura que permita el acceso a la información en él contenida”,
El propio Tribunal de Justicia de la Unión Europea, en la sentencia de 06/11/2003 (caso Lindqvist) abordó la cuestión y determinó que “la conducta que consiste en hacer referencia, en una página web, a diversas personas y en identificarlas por su nombre o por otros medios, como su número de teléfono o información relativa a sus condiciones de trabajo y a sus aficiones, constituye un tratamiento total o parcialmente de datos personales”.
El afectado puede ejercer el derecho de cancelación de sus datos personales publicados en la web:
Artículo 16. Derecho de rectificación y cancelación.
1. El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación del interesado en el plazo de diez días.
2. Serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la presente Ley y, en particular, cuando tales datos resulten inexactos o incompletos.
3. La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la supresión.
4. Si los datos rectificados o cancelados hubieran sido comunicados previamente, el responsable del tratamiento deberá notificar la rectificación o cancelación efectuada a quien se hayan comunicado, en el caso de que se mantenga el tratamiento por este último, que deberá también proceder a la cancelación.
5. Los datos de carácter personal deberán ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado.
El procedimiento a seguir es el siguiente:
Artículo 25. Procedimiento.
1. Salvo en el supuesto referido en el párrafo 4 del artículo anterior, el ejercicio de los derechos deberá llevarse a cabo mediante comunicación dirigida al responsable del fichero, que contendrá:
a. Nombre y apellidos del interesado; fotocopia de su documento nacional de identidad, o de su pasaporte u otro documento válido que lo identifique y, en su caso, de la persona que lo represente, o instrumentos electrónicos equivalentes; así como el documento o instrumento electrónico acreditativo de tal representación. La utilización de firma electrónica identificativa del afectado eximirá de la presentación de las fotocopias del DNI o documento equivalente.
El párrafo anterior se entenderá sin perjuicio de la normativa específica aplicable a la comprobación de datos de identidad por las Administraciones Públicas en los procedimientos administrativos.b. Petición en que se concreta la solicitud.
c. Dirección a efectos de notificaciones, fecha y firma del solicitante.
d. Documentos acreditativos de la petición que formula, en su caso.
2. El responsable del tratamiento deberá contestar la solicitud que se le dirija en todo caso, con independencia de que figuren o no datos personales del afectado en sus ficheros.
3. En el caso de que la solicitud no reúna los requisitos especificados en el apartado primero, el responsable del fichero deberá solicitar la subsanación de los mismos.
4. La respuesta deberá ser conforme con los requisitos previstos para cada caso en el presente título.
5. Corresponderá al responsable del tratamiento la prueba del cumplimiento del deber de respuesta al que se refiere el apartado 2, debiendo conservar la acreditación del cumplimiento del mencionado deber.
6. El responsable del fichero deberá adoptar las medidas oportunas para garantizar que las personas de su organización que tienen acceso a datos de carácter personal puedan informar del procedimiento a seguir por el afectado para el ejercicio de sus derechos.
7. El ejercicio de los derechos de acceso, rectificación, cancelación y oposición podrá modularse por razones de seguridad pública en los casos y con el alcance previsto en las Leyes.
8. Cuando las leyes aplicables a determinados ficheros concretos establezcan un procedimiento especial para la rectificación o cancelación de los datos contenidos en los mismos, se estará a lo dispuesto en aquéllas.
En el caso de que la página web deniegue al afectado el ejercicio de su derecho de cancelación, podrá denunciarlo ante la Agencia de Protección de Datos, al constituir una infracción grave del artículo 44.3.e de la LOPD, sancionado con multa de 40.001 a 300.000 euros (Art. 45.2 LOPD). Será necesario concretar exactamente los datos que se desea sean eliminados así como acreditar que el destinatario de la comunicación la ha recibido correctamente.
Artículo 18. Tutela de derechos
1. Las actuaciones contrarias a lo dispuesto en la presente Ley pueden ser objeto de reclamación por los interesados ante la Agencia Española de Protección de Datos, en la forma que reglamentariamente se determine.
2. El interesado al que se deniegue, total o parcialmente, el ejercicio de los derechos de oposición, acceso, rectificación o cancelación, podrá ponerlo en conocimiento de la Agencia Española de Protección de Datos o, en su caso, del organismo competente de cada Comunidad Autónoma, que deberá asegurarse de la procedencia o improcedencia de la denegación.
3. El plazo máximo en que debe dictarse la resolución expresa de tutela de derechos será de seis meses.
4. Contra las resoluciones de la Agencia Española de Protección de Datos procederá recurso contencioso-administrativo.
La polémica por el supuesto fallo que ocasionó que mensajes privados de Facebook se publicaran en el muro de cierto número de usuarios, sigue dando de qué hablar.
Y es que si bien la red social salió al paso a las denuncias, desmintiendo que estuviera sucediendo tal cosa, hay gente que no parece muy convencida de que solo fue un malentendido, y piden que se investigue más allá…
Así, a la petición que hacía ayer el Gobierno francés para que la red social de Zuckerberg diera una explicación más profunda sobre lo que pudo haber sucedido, se suma una con acento español: FACUA-Consumidores en Acción ha solicitado a la Agencia Española de Protección de Datos (AEPD) que abra una investigación para verificar si Facebook ha publicado mensajes privados como se denunció a comienzos de semana.
“FACUA considera que la versión de la multinacional no es en absoluto descartable, pero advierte que tampoco debe serlo la de los citados medios y los usuarios que incluso conociéndola insisten en que muchos mensajes que ahora son públicos en su día fueron privados o conversaciones de chat”, dicen en un comunicado.
FACUA asegura que ha estado recibiendo numerosos mensajes en Twitter, en su página de Facebook y a través de correos electrónicos, donde algunos usuarios “se muestran absolutamente convencidos de que su privacidad ha sido vulnerada. En varios casos, el contenido de los mensajes que aparecen en sus muros son muy íntimos e incluso comprometen su vida privada”, aseguran.
Por tanto, desde FACUA exigen a la AEPD que determine si Facebook ha vulnerado el “principio de seguridad de los datos”, regulado en el artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, por no contar con las suficientes medidas de seguridad en su red… Cuestión de tiempo para ver cómo avanza la investigación.
La Agencia de Certificaciones de Ciberseguridad vuelve a apostar por la formación en este nuevo curso que comienza retomando los "Jueves Tecnológicos", jornadas organizadas con el objetivo de seguir difundiendo el conocimiento en ciberseguridad.
Después del éxito cosechado en las dos anteriores citas, en las que llegaron a participar alrededor de unas 120 personas de perfil profesional, los "Jueves Tecnológicos" tendrán continuidad en las próximas fechas, con el mismo objetivo que se marcaron en su inicio.
El tema de la próxima jornada será "Extremismo violento e Internet: la radicalización online", y será impartido por el Profesor Dr. Luis de la Corte Ibáñez el próximo 27 de septiembre a las 16 horas. El lugar elegido será Sala de grados de la Escuela Politécnica Superior de la Universidad Autónoma de Madrid. Al igual que en ocasiones anteriores, su ponencia podrá seguirse tanto de un modo presencial como online, de cara a facilitar el acceso al mayor número posible de asistentes, sin importar cuál sea su ubicación.
Dado el interés suscitado, los "Jueves Tecnológicos" seguirán celebrándose y la siguiente cita será el próximo 18 de octubre. En ella está previsto que se trate otro tema clave en la ciberseguridad actual: La Ley Orgánica de Protección de Datos (LOPD) en el sector financiero.
Según nuestra legislación, “se entiende por mediación aquel medio de solución de controversias, cualquiera que sea su denominación, en que dos o más partes intentan voluntariamente alcanzar por sí mismas un acuerdo con la intervención de un mediador.” Esta definición pertenece a la ley 5/2012 de Mediación en Asuntos Civiles y Mercantiles, la misma que utiliza en varias ocasiones el concepto de medios electrónicos. A lo largo de este artículo se analizará como los sistemas informáticos pueden facilitar y potenciar la mediación.
Cuando hablamos de medios electrónicos de mediación hacemos referencia a cualquier sistema informático que intervenga a lo largo del proceso de mediación. Parece necesario según esta definición entender bien el concepto de proceso. El proceso de mediación es todo aquello que ocurre desde que se solicita la mediación hasta que, en el caso más favorable, todas las partes cumplen con lo pactado en el acuerdo final.
¿Qué fases puede tener un proceso de mediación y cómo puede ser adaptado al mundo digital?
La ley 5/2012 de Mediación en Asuntos Civiles y Mercantiles habla de las fases mínimas que debe tener este proceso: solicitud, sesión informativa, sesión constitutiva, firma del acuerdo o terminación del proceso, etc. A continuación, vamos a intentar entender como realizar el proceso completo por medios electrónicos, vamos a trasladar la mediación del mundo físico al virtual.
En primer lugar se debe hacer una solicitud de mediación. Este mecanismo preferiblemente debe tratarse de un formulario electrónico que será enviado por algún mecanismo seguro, por ejemplo, a través de una web adecuadamente protegida, utilizando mecanismos de cifrado de las comunicaciones mediante SSL (Secure Socket Layer). El correo electrónico no es un mecanismo seguro para el envío de información sensible a menos que se envíe la información cifrada, por ello, es necesario que nuestra herramienta electrónica de mediación disponga de un mecanismo alternativo a este medio que si proporcione la seguridad necesaria.
Una vez que la institución de mediación ha recibido la solicitud deberá ponerse en contacto con la otra parte y con el mediador. Posteriormente, será necesario que las partes reciban información acerca de la mediación en una sesión informativa. Esta sesión informativa puede ser también online, puede visualizarse un video explicativo, usando al mismo tiempo algún canal de comunicación seguro para la resolución de todas las dudas que las partes planteen. También puede hacerse esta primera sesión informativa completamente a través de algún medio de comunicación electrónico, permitiendo que el mediador informe a las partes y estas a su vez pregunten cualquier duda que puedan tener.
A continuación comienza la mediación mediante la realización de un conjunto de sesiones. Todas las sesiones de mediación pueden realizarse de manera online: Sesiones informativas, constitutivas, sesiones de mediación y sesión final.
Existen dos métodos para realizar sesiones de mediación on-line:
- Síncronos: requieren de la coincidencia en el mismo espacio de tiempo de los agentes que se comunican. Por ejemplo: video, chat, conversaciones de audio, etc.
- Asíncronos: No requieren de la coincidencia en el mismo espacio de tiempo de los agentes que se comunican. Por ejemplo: mensajes de video, mensajes de texto, mensajes de audio de audio, etc.
Las medidas de seguridad no dependen de la tipología de la que se trate la comunicación, aunque si que es cierto que son más costosas de implementar estas medidas de seguridad en los sistemas síncronos ya que requieren de sistemas informáticos más potentes para que funcionen con fluidez.
Una vez que las partes han acercado posturas y encuentran puntos comunes de acuerdo, debería firmarse un acuerdo final. Los acuerdos pueden firmarse a través de Internet de diferentes formas: A través de firma electrónica, firma electrónica reconocida (por ejemplo, DNI electrónico), etc. Generalmente lo más aceptado es el uso de certificados digitales reconocidos por las autoridades de certificación.
Hay que destacar que no solo se deben firmar los acuerdos finales sino también todas las actas (La ley enuncia que deberá levantarse acta de cada sesión), así como los documentos de aceptación, rechazo, renuncia, etc. de la mediación.
Uno de los objetivos de la mediación es asegurarse de que los pactos alcanzados en el acuerdo final sean respetados y cumplidos por las partes. Para ello, resulta conveniente que exista algún sistema de sesiones online para seguir comunicándonos con las partes tras el acuerdo final con el fin de realizar un seguimiento.
De la mediación on-line al proceso de mediación por medios electrónicos
Si observamos bien el razonamiento realizado podemos ver que el término mediación online puede llegar a ser ambiguo, puesto que puede llevar a la confusión de que solo hace referencia a las sesiones online y no a todo el procedimiento.
Además del propio procedimiento, existen numerosas tareas de gestión que también pueden ser resueltas por medios electrónicos: Gestión de toda la información y documentación, generación de informes y estadísticas, gestión de actas, etc.
El proceso de mediación on-line debe entenderse por aquel procedimiento de mediación que puede realizarse a través de medios electrónicos. Dentro de estos procesos encontramos el concepto de sesión de mediación on-line, que sería aquella sesión de mediación que se realiza mediante un sistema de comunicación electrónica y que forma parte de un proceso de mediación.
Es común escuchar el término mediación on-line asociado únicamente a la sesión de mediación on-line, perdiendo la perspectiva global del proceso. El objetivo de los medios electrónicos debe ser ofrecer un nuevo canal que permita a los profesionales y a las partes interactuar de forma más transparente, eficaz, rápida y barata.
¿Se imaginan una mediación transfronteriza a través de Internet sin la solicitud de la mediación, sin sesión informativa y sin firma del acuerdo? Por este motivo, es necesario que las mediaciones por medios electrónicos contemplen todas las fases y no solo las sesiones de mediación.
¿Se puede realizar el procedimiento de mediación a través de medios electrónicos con garantías de seguridad y privacidad?
Para responder a esta pregunta es necesario hacer referencia a la propia ley 5/2012 de Mediación en Asuntos Civiles y Mercantiles. El artículo 9 habla del principio de confidencialidad, entendiendo que todo lo acontecido en el proceso de mediación debe ser tratado como confidencial y que ni las partes ni el mediador podrán revelar su contenido salvo en los supuestos especificados en la ley.
Extendiendo esto al mundo digital puede verse como un sistema informático que vaya a envolver todo el proceso debe disponer de medidas de seguridad y confidencialidad adecuadas para garantizar este principio. Estas medidas pueden garantizarse en sistemas que utilizan comunicaciones cifradas, sin embargo, no todos los sistemas disponen de dichos mecanismos y en algunos casos, la dificultad técnica hace que sea realmente complejo proteger la comunicación (especialmente en video-conferencia).
¿Quiere decir esto que no existe ningún sistema que permita mantener esta comunicación de forma privada y seguridad? No, existen sistemas informáticos que permite realizar este procedimiento de forma segura. Para ello, hay que comprobar que dispone de un certificado SSL, en caso de tratarse de un sistema textual a través de la web, o de mecanismos adecuados de cifrado en caso de tratarse de video-conferencia, atendiendo especialmente al cifrado del canal por el que se transmite el video.
El segundo factor que hay que analizar para determinar si el procedimiento se está realizando de forma adecuada a través de Internet es la Ley Orgánica de Protección de Datos de Carácter Personal. El RD 1720/2007 desarrolla las medidas técnicas de seguridad que la ley enuncia, haciendo necesario que todos los sistemas de información que traten datos de carácter personal dispongan de una serie de características según la sensibilidad de los datos que manejan.
Según el nivel de sensibilidad de los datos tratados (existen tres niveles) se deben aplicar unas medidas técnicas que van desde el simple registro del fichero en la Agencia Española de Protección de Datos hasta el registro de todo lo que ocurre en el sistema informático que trata la información, pasando por el cifrado de los datos y las comunicaciones. No podemos olvidar que en una mediación se trata información de todo tipo, en muchos casos información de máxima sensibilidad, lo que nos lleva a pensar que los sistemas informáticos empleados en este proceso deben disponer de estos mecanismos para respetar la ley.
¿Por qué informatizar la mediación?
El primer motivo por el que debe ser informatizada la mediación es por la posibilidad de realizar procesos ODR (Online Dispute Resolution). Es decir, aprovechar las ventajas que se nos ofrece en la actualidad de que varias personas puedan comunicarse a distancia a través de Internet de manera confidencial y segura.
Por otro lado, según van creciendo las instituciones de mediación y el número de casos que gestionan resulta necesario disponer de herramientas informáticas centradas en la gestión de estos grandes volúmenes de información. Estos sistemas, denominados SGMARC (Sistemas de gestión y tramitación para métodos alternativos de resolución de conflictos) deben disponer de mecanismos que permitan explotar toda esa información. Bajo esta filosofía se puede mejorar el proceso de mediación al permitir a los usuarios de estos sistemas no solo gestionar toda la información de las mediaciones realizadas, sino también gestionar todo el conocimiento permitiendo que perdure en el tiempo.
Dado que vamos a poder disponer de información digitalizada en Internet y vamos a poder comunicar a todos estos agentes en esta red, el trabajo en red y el trabajo colaborativo entre mediadores e instituciones se ven favorecidos por las nuevas tecnologías.
Finalmente, y no menos importante, es necesario la creación de estándares y sistemas con capacidad de integración que permitan a diferentes instituciones y administraciones una interoperabilidad completa, de tal manera que estos medios electrónicos sean compatibles entre todos ellos.
Reflexión final
Como conclusión, nos encontramos ante un momento crucial para el desarrollo de las nuevas formas de justicia. Los procedimientos de mediación a través de medios electrónicos son una respuesta natural a la necesidad de agilizar la resolución de conflictos, no limitándose a las sesiones de mediación a través de Internet, si no haciendo uso de las nuevas tecnologías para todo el proceso. Lo medios electrónicos pueden aportar mucha eficiencia a los procesos de mediación incluso si todas las sesiones se realizan de manera presencial.
¿Se imagina usted gestionar a mano cientos de casos de mediación?, ¿y miles de casos? los sistemas de sesiones online son útiles, no obstante los SGMARC son necesarios a partir de cierto volumen de trabajo, siendo recomendable en cualquier caso que el SGMARC incluya o sea compatible con sistemas de sesiones online y asegurándose de que dispone de las medidas técnicas que garantizan la privacidad y seguridad de todo el proceso.
Steria, proveedor europeo de servicios TI, ha llegado a un acuerdo con Telefónica y NEC para ofrecer a través de Aplicateca, su plataforma cloud de aplicaciones de negocio dirigida a pymes y autónomos, la solución mi LOPD, una herramienta que permite gestionar los procedimientos relacionados con el cumplimiento de la Ley Orgánica de Protección de Datos (LOPD).
Entre los beneficios que aporta mi LOPD se encuentran, la posibilidad de establecer un inventario detallado y actualizado de ficheros con datos personales, así como la posibilidad de notificar e inscribir de manera telemática los ficheros en el Registro General de Protección de Datos (RGPD) a través del Sistema NOTA.
Además, se podrán regularizar los ficheros de una forma más fácil a partir de un repertorio de modelos tipo de ficheros con datos de carácter personal más habituales en una organización, disponer de toda la información relacionada con la seguridad y gestionar eficazmente el ejercicio y procedimiento de los derechos de acceso, rectificación, cancelación y oposición.