Siempre que los bloggers oímos hablar del tema de “protección de datos” o de la propia “Agencia de Protección de datos” nos suena a que eso es tema de empresas y pensamos que los paisanos de a pie que simplemente tenemos una pequeña bitácora, en muchos casos, sin siquiera alojamiento o dominios propios, no tenemos obligaciones respecto a esa Ley ni a esa Agencia de la que oímos cosas tan chungas.
Pero no es totalmente cierto. Salvo en un ámbito estrictamente doméstico (p ej una agenda de tus contactos y sus datos), todos estamos obligados por la normativa de protección de datos y a todos nos pueden despabilar con una sanción si no guardamos una serie de precauciones básicas en nuestro blog.
Y es que, en el mero ejercicio de la actividad bloguera, se pueden tocar extremos relativos a la “protección de datos de carácter personal”, principalmente por alguna de estas dos vías:
La mención directa en el post
Nos confiamos a veces en que un simple post no supone posibilidad alguna de meternos en líos y nos da por facilitar sin ninguna malicia (o con buena dosis de ella) el domicilio o el teléfono de alguien, la matrícula de un coche, una dirección ip, sin reparar en que estamos revelando datos personales a los que hemos tenido acceso de forma especial o privada y sin que esos datos estén en ninguna fuente de acceso público. Algunos de esos datos identifican a una persona “por sí solos” sin necesidad de ninguna operación intermedia, y otros, podrían identificarla con un par de llamadas, o con una sola búsqueda en una base de datos.
Tenemos que ser conscientes de que al otro lado de nuestra bitácora hay gente, gente que potencialmente podría estar reuniendo información sobre una determinada persona para acceder a su intimidad, a la esfera más sensible de su privacidad. Es lo que tiene publicar: lo que escribimos lo puede ver cualquiera. En este sentido, como bloggers debemos abstenernos de publicar en nuestros posts datos personales que no hayamos obtenido del titular de los datos, con su consentimiento, o de una fuente accesible al público y, en este sentido, “Internet” no está reconocido en la ley ni en su Reglamento como una fuente de datos de este tipo.
Especial cuidado debemos observar con las menciones que hacemos en nuestro blog respecto de aquellos datos de carácter personal que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual. Estos temas están especialmente protegidos (art. 7.2 de la Ley) por ser el núcleo de esa esfera de privacidad más íntima del individuo, de la que sólo él mismo es capaz de disponer a su antojo y no se podrían tratar en nuestro blog sin el consentimiento expreso y por escrito del titular de esos datos, de esa información.
Las direcciones de correo electrónico en los comentarios
Siempre pensamos que si la Agencia de Protección de Datos tuviera que ir blog a blog revisando si se cumple siquiera mínimamente con la normativa en este tema, en lo relativo a las direcciones de email que se guardan cuando alguien comenta en nuestro blog, este organismo tendría que contratar a muchísimo más personal del que dispone, ya que no tendría tiempo para otros asuntos. Pero la verdad es que tampoco nada impide que un día, de forma totalmente aleatoria, tu blog reciba la visita de un funcionario para examinar si la recopilación que tu blog hace de esas direcciones es conforme a la ley. Sí, ¡ya sería mala suerte!
Me he planteado en numerosas ocasiones si en este supuesto hay realmente “tratamiento de datos de carácter personal” sujeto a la ley. En no pocas ocasiones la dirección de correo electrónico es falsa, temporal, o desechable, creada o inventada únicamente a los efectos de escribir un comment en un determinado blog y asociada a un nick no menos inventado o a otra denominación de fantasía. Por otra parte, el blogger no usa jamás esa dirección de email facilitada por el usuario, salvo para el caso de que tenga que contactar con el usuario por algún problema con ese comment que ha escrito, y quitando el caso de que el usuario se haya suscrito a los posteriores comentarios al suyo.
A pesar de la opinión contraria de muchos colegas, pienso que este tipo de recopilación de emails realizada por la propia plataforma para editar el blog no debería, por sí sola, acarrear la obligación de notificar un fichero a la Agencia Española de Protección de Datos y a los organismos competentes en tu respectiva Comunidad Autónoma.
Una conclusión acertada a este tema, sería que, para despejar dudas y alejar problemas, el blogger dejara un pequeño aviso, una breve línea de texto antes del botón “Enviar comentario“, donde se advirtiera que la dirección de correo electrónico del usuario se guarda a los meros efectos de establecer comunicación electrónica con el mismo en caso de necesidad legal derivada de su comentario o para el seguimiento de la conversación, y sin realizar ningún proceso de recopilación o asociación de datos de mala fe por tu parte.
Si eres de los que, pasado un tiempo desde la fecha del post, cierras los comentarios de los mismos, no estaría mal proceder a la limpieza y cancelación de dichos datos, como un aporte extra para la confianza de tu lector.
(La imagen que ilustra el post ha sido publicada en el Flickr de razzumitos)
Falta el caso más habitual: la suscripción por correo electrónico que casi todos los blogs proporcionan. En este caso sí hay sin duda un tratamiento y aunque el mail sea del tipo x328tx@webmail.com y no vaya asociado a ningún nombre real sino a un nick, la AEPD lo considera dato de carácter personal y genera la obligación de inscribir el correspondiente fichero en el Registro.
Hola Jesús. El tema de la suscripción lo iba a tratar en otro post ya que éste me estaba quedando demasiado largo para hacer la distinción entre responsables y encargados del tratamiento de los datos personales y en qué momento se genera, como bien dices, la obligación de notificar el fichero a la AEPD. Probablemente sea una segunda parte de este post.
Muchas gracias por tu acertadísimo comment.
Y como un inpector pûede venir a ver, te piden los datos de conexion?
Acabo de modificar el texto en mi blog sobre el envío de comentarios, añadiendo lo que comentas de las direcciones de correo electrónico… no que querido dejarlo para mañana 🙂
Muy interesante todo como siempre.
Estamos en mas sitios de los que parece.
Esto no es como alguien que corre mucho en la carretera y nadie se da por damnificado. En protección de datos suele haber damnificados que presentan denuncias, y a partir de ahí trabajamos.
Oscar, la visita puede ser virtual: entramos desde la Agencia en tu blog, recabamos la información que necesitemos y levantamos una diligencia de lo actuado.
Llegado el caso, podemos pedir el log, ver IP y lo que haga falta. Si hace falta inspección presencial, se hace.
Así que sed buenos y no hagais a los demás lo que no os gustaría que os hicieran. Es un principio que suele funcionar bien.
Les invito a un nuevo blog sobre medicina y derecho.
http://medicinavsderecho.blogspot.com
Un saludo.