La Agencia Española de Protección de Datos ha sancionado con 1500 euros a un vecino de Madrid por no retirar unas carcasas de plástico que simulaban ser cámaras de videovigilancia instaladas en la fachada de su vivienda y que enfocaban a parte de la vía pública. La Agencia de Protección de Datos viene insistiendo en la existencia de una prohibición general de captar imágenes de la calle, y que la garantía de la seguridad y la prevención de delitos corresponde en exclusiva a las Fuerzas y Cuerpos de Seguridad del Estado.

La Agencia Española de Protección de Datos ha publicado una resolución con el título “sanción por incumplimiento de requerimiento de retirada de cámaras de videovigilancia ficticias“, en el que, efectivamente, se ha sancionado a un particular, vecino de Madrid, por no acreditar que había retirado unas cámaras ficticias de su fachada, y que enfocaban a varias zonas comunes de la urbanización así como parte de la vía pública (entrada y salida exterior del garaje).

El asunto comienza en la Resolución de Apercibimiento 00136/2011 de 15 de mayo de 2011, donde, tras una denuncia de los vecinos de esta urbanización de Madrid ante la Agencia Española de Protección de Datos, se acuerda apercibir al particular por la instalación de al menos 3 cámaras que enfocaban partes de la urbanización como la pista de pádel, piscina, y otras zonas comunes, así como también las entradas y salidas exteriores del garaje.

Durante la tramitación de este procedimiento de Apercibimiento, el denunciado no llegó a alegar nada, por lo que finalmente, la Agencia decide Apercibir (figura de relativa reciente creación que viene a significar que aunque has vulnerado la normativa sobre protección de datos, concurren ciertos requisitos en el infractor que permiten, en vez de imponer una sanción directamente, simplemente “apercibir”, dar toque de atención, con la cautela eso sí, de que solo se puede acudir a esta figura una vez), constatando que ha vulnerado el artículo 6.1 de la Ley Orgánica de Protección de Datos al, en principio, captar imágenes de personas de la vía pública o de zonas comunes de la urbanización. Pero además de Apercibir, se le requiere para que en el plazo de 1 mes acredite el cumplimiento de ese artículo 6.1, cosa que solo puede hacer retirando esas cámaras, advirtiendo la Agencia de que si no lo hace podría ser sancionado.

Y pasa que transcurre ese mes y el denunciado no acredita nada, por lo que se inicia un nuevo procedimiento, el procedimiento sancionador 00139-2012, de 10 de octubre de 2012 cuyo objeto es, si procede, sancionar por no acreditar la retirada de esas cámaras.

No obstante, durante la tramitación de este procedimiento el denunciado sí que alega varias cosas, las transcribo aquí literalmente:

“QUE ESTANDO ACOSADO EN ESTA COMUNIDAD Y PERSEGIDO, CON TODO TIPO DE DENUNCIAS Y AMENAZAS QUE HA PERDIDO LA COMUNIDA EN LOS TRIBUNALES. Y NO SABIENDO QUE MAS BUSCAR SE HAN INVENTADO LA SITUACION ACTUAL, EN RELACCION A UN BULO QUE YO CORRI PARA DISUADIR DE QUE HICIERAN DAÑO A MIS PERTENENCIAS DE LA 1NSTALACION DE CAMARAS LO CUAL ES MENTIRA Y NO ESISTE NINGUN SISTEMA DE GRAVACION NI DE SEGIMIENTO DE NADIE . POR LO QUE NO ENTIENDO ESTA SITUACION EN LA CUAL SEME INCOA UN PROCEDIMIENTO SI COMPROBAR LA VERACIDAD DE LOS HECHOS. O EN SU DEFECTO PRUEVA DE LA EXISTENCIA DE IMÁGENES MAL USADAS DE ALGIEN, SIENDO UN HOGAR PARTICULAR NORMAL QUE DADA LA PENURIA ECONOMICA NO TENEMOS NI PARA LAS ALARMAS QUE SE CÓMERCIALIZAN PARA LOS HOGARES MUCHO MENOS PARA INSTALAR SYSTEMAS DE GARBACION Y SEGIMINENTO QUE DICEN LOS VECINOS. SOLICITO: EL DESESTIMIENTO DEL PROCEDIMIENTO Y QUE NO SE COMUNIQUE A LAS PARTES LA ESISTENCIA DE LOS BULOS, YA QUE ESTE HECHO ELIMINARÍA EL EFECTO DISUASORIO QUE ASTA AHORA HA IDO TAMBIEN, PRODUCIENDO EL EFECTO CONTRARIO DE SOLUCIONAR LA SITUACION A DAÑAR A UNAS DE LAS PARTES.”

Y concluye en otro momento procesal distinto:

“Con el fin de probar la persecución a la que me veo sometido por la comunidad, y no sabiendo que exponer mas que la utilización torticera de la ley por parte de la comunidad, cosa que no digo yo si no en la sentencia que les facilito como prueba de lo expuesto en la cual queda acreditado dichos hechos por los jueces de la sala.
Reiterar que no tengo ningún sistema de grabación, ni siquiera de seguridad (Alarma etc…). que no guardo imagen alguna de nadie. Siendo un padre de familia en paro en los tiempos que corren y con tres hijos me es imposible asumir sanción alguna y menos 4000 euros, sin saber en base a que es la misma.“.

La Agencia no obstante viene manteniendo una postura firme en relación a la instalación de cámaras ficticias o carcasas de plástico que simulan ser cámaras; así, por ejemplo, en el procedimiento E/00888-2010 (entre otros muchos), donde un particular también fue denunciado por instalar cámaras en su ventana para proteger su vehículo de algunos gamberros, alegó que dichas cámaras eran de mentira, y la Agencia respondió:

“En supuesto presente, no existe constancia de que las cámaras instaladas en el lugar denunciado funcionen y capten imágenes de personas, por lo que de acuerdo con los principios de presunción de inocencia, que impide imputar una infracción administrativa cuando no se haya obtenido y acreditado una prueba de cargo acreditativa de los hechos que motivan la imputación o de la intervención en los mismos del presunto infractor, e “in dubio pro reo”, que obliga en caso de duda respecto de un hecho concreto y determinante a resolver dicha duda del modo más favorable al interesado, procede el archivo las presentes actuaciones.
No obstante, resultaría plenamente fundada la imposición de una sanción si en el futuro continuaran ubicadas las cámaras en el establecimiento, pues tal circunstancia podría constituir prueba indiciaria suficiente para determinar que las citadas cámaras se encuentran en funcionamiento y enervar el principio de presunción de inocencia, pudiendo imputarse la comisión de las infracciones que resulten de la aplicación de la LOPD que podrían ser sancionadas, de conformidad con el régimen sancionador previsto en la citada Ley, con multas de hasta 300.506,05 €”

En otras palabras, aunque la cámara sea falsa, podría no obstante dar la sensación en el futuro de que sí que están grabando, y esto sí podría ser un problema.

Volviendo al caso de nuestro amigo, a pesar de que alegó que dichas cámaras eran de mentira y todo eso, la Agencia termina imponiéndole una sanción de 1500 euros, basada, tal y como indica la Agencia:

“En esta ocasión, la infracción que se considera es la falta de atención al requerimiento realizado por el Director de esta Agencia, sin que puedan considerarse en esta ocasión alegaciones respecto de infracciones no imputadas en este procedimiento. En este expediente ha quedado acreditada la falta de atención al requerimiento efectuado por el Director de esta Agencia, infracción que ahora se imputa.
El hecho constatado de la falta de atención al requerimiento del Director de esta Agencia Española de Protección de Datos al imputado en este procedimiento, establece la base de facto para fundamentar la imputación de la infracción“.

Esto es, la sanción se produce porque cuando le requirieron para que quitara las cámaras ficticias otorgándole ese plazo de 1 mes para notificar dicha retirada, no lo hizo, a pesar de que las cámaras eran de mentira. Considero este caso un ejemplo de sanción por parte de la Agencia Española de Protección de Datos en el que en ningún momento pudo entrar en juego la normativa sobre protección de datos toda vez que nunca hubo datos personales de por medio y quizá, la primera resolución de Apercibimiento nunca debió haberse producido ya que no existían pruebas de que las cámaras del vecino estuvieran funcionando, o como en el caso concreto, fueran reales.

A colación de esto, veo necesario recordar la postura de la Agencia Española de Protección de Datos en lo que se refiere a la grabación de imágenes en espacios públicos, repetida en multitud de resoluciones, como por ejemplo en el procedimiento A/00132/2011  donde la Agencia aclara que:

“Debe tenerse en cuenta que las videocámaras no podrán captar imágenes de las personas que se encuentren fuera de la propiedad particular ya que el tratamiento de imágenes en lugares públicos sólo puede ser realizado, salvo que concurra autorización gubernativa, por las Fuerzas y Cuerpos de Seguridad, o que opere la excepción establecida el artículo 4.3 de la Instrucción 1/2006 de esta Agencia que establece: “las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos salvo que resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquellas. En todo caso deberá evitarse cualquier tratamiento de datos innecesario para la finalidad perseguida”.

De este modo, se constata que el denunciado trata imágenes de la vía pública o de las personas que se encuentran en el exterior del local, lo que supone la realización de un tratamiento de datos de carácter personal sin contar con la cobertura de la LSP a los efectos del principio del consentimiento, toda vez que dicha norma resulta de aplicación únicamente a los espacios y entornos privados. Ha de tenerse en cuenta que la prevención del delito y la garantía de la seguridad en las vías públicas corresponden en exclusiva a las Fuerzas y Cuerpos de Seguridad del Estado. Es decir, la regla general es la prohibición de captar imágenes de la calle desde instalaciones privadas.

A veces también resulta necesario captar los accesos, puertas o entradas, de modo que aunque la cámara se encuentre en el interior del edificio, resulta imposible no registrar parte de lo que sucede en la porción de vía pública que inevitablemente se capta.
Para que esta excepción resulte aplicable, no deberá existir una posibilidad de instalación alternativa. Debiendo tenerse en cuenta que:

- El responsable del fichero adecuará el uso de la instalación de modo que el impacto en los derechos de los viandantes sea el mínimo posible.

- En ningún caso se admitirá el uso de prácticas de vigilancia más allá del entorno objeto de la instalación y en particular en lo que se refiere a los espacios públicos circundantes, edificios contiguos y vehículos distintos de los que accedan al espacio vigilado.”.

Desde hace algún tiempo se viene observando una gran cantidad de vídeos grabados por conductores rusos en los que ellos o terceros son objeto de accidentes o “intentos de accidentes”. Según varias fuentes, allí las compañías aseguradoras exigen la instalación de una cámara que grabe lo que sucede mientras conduces, motivo por el cual existen tantos vídeos de este tipo en la red; pero la pregunta es ¿sería legal en España instalar una cámara en nuestro coche que grabe el exterior mientras conducimos? 

El fenómeno de los accidentes rusos grabados en vídeo ha incidido con fuerza en los últimos meses, existiendo incluso recopilatorios de “los más impactantes”, “los más cómicos” o “los más extraños”, echad un vistazo. Como se indicaba, existen tantos vídeos grabados en aquella zona del mundo gracias a que las compañías aseguradoras obligan a instalar cámaras en los coches para que, en caso de accidente, se pueda ver lo que ha ocurrido realmente, pues, según parece, el fraude en la simulación de accidentes en Rusia supera los límites razonables, así como las conducciones temerarias. Por este motivo, casi todos los coches tienen una cámara instalada en su salpicadero que graba todo lo que sucede mientras conducen.

Pero si se os ha ocurrido hacer lo mismo en España, quizá os merezca la pena saber que dice la Ley Orgánica de Protección de Datos y la doctrina de la Agencia Española de Protección de Datos en lo que respecta a la grabación de imágenes en la vía pública.

La primera cuestión es determinar si lo que vamos a grabar con la cámara se puede considerar “dato de carácter personal” que es lo que protege esta ley y su Agencia, y no los gatos como alguna sugirió hace tiempo.
Es indudable que mientras circulemos con el coche, la cámara grabará con toda seguridad a las personas que circulen por la calle e incluso las matrículas de los vehículos correspondientes.

La imagen personal se considera dato de carácter personal, no me extenderé mucho sobre esto, a día de hoy está claro:

El artículo 5.1. f) del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, define datos de carácter personal como:
“Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, concerniente a personas físicas identificadas o identificables”.

En este mismo sentido se pronuncia el artículo 2.a) de la Directiva 95/46/CE del Parlamento y del Consejo, de 24 de octubre de 1995, relativa a la Protección de las Personas Físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, según el cual, a efectos de dicha Directiva, se entiende por dato personal “toda información sobre una persona física identificada o identificable; se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social”.

Queda claro pues que con la cámara captaremos datos personales, por lo que quedamos sujetos a lo establecido por la Ley Orgánica de Protección de Datos (LOPD).

Por otro lado la matrícula de los vehículos también se considera un dato de carácter personal, tal y como se indicó aquí en su día.

Ahora vayamos a lo que dice la LOPD; el artículo 6.1 consagra el principio de consentimiento o autodeterminación y dispone que:
“El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.”

Este mismo artículo enumera luego una serie de excepciones en las que no se requerirá el consentimiento, pero en la que no encajaría nuestra conducta.

Pero además, la Instrucción 1/2006 de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras, indica en su artículo 4: “las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos salvo que resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas.”

Por tanto, aunque la cámara esté instalada en un espacio privado, no podremos captar imágenes de espacios públicos y además vamos a necesitar, con carácter general, el consentimiento de las personas que captemos, además de informar de esta recogida de datos personales, según lo dispuesto en el artículo 5.1 de la misma LOPD, en lo que no me voy a extender.

Dicho lo cual, el asunto está claro: necesitamos el consentimiento de todas aquellas personas a las que grabemos por la calle si queremos respetar la normativa sobre protección de datos.

Y ya se han producido muchas sanciones por grabar lo que no se debía, aquí van algunos ejemplos que os pueden servir para profundizar en el tema:

- 600 euros de multa a un chaval que intentó grabar, desde su casa, a la vecina de enfrente.

- 600 euros de multa a una anciana que grabó, desde su casa, 30 centímetros del rellano.

- 2000 euros de multa a un particular por tener varias cámaras enfocando a calle.

- 2000 euros de multa por no avisar que nos están grabando.

Una empresa ha sido sancionada por enviar una única carta de publicidad al domicilio de la denunciante sin contar con su consentimiento. En concreto, la Agencia Española de Protección de Datos constata que la empresa que envió la carta trató los datos relativos a nombre, apellidos y dirección sin el consentimiento de su titular para hacerle llegar una oferta promocional, por lo que procede que sea sancionada con 100.000 euros de multa.

No, no es una errata, no hablo de “cien coma cero cero cero euros”, son “cien mil euros”, y qué duda cabe que imponer una sanción de 100.000 euros a una S.L. por enviar una comunicación comercial por vía postal al domicilio de una persona que no dio su consentimiento para recibir este tipo de comunicaciones, puede resultar un poquito excesivo.

Pero esto es lo que le ha pasado a la sociedad Todo Data Integral Services S.L. que ha visto como el pasado 14 de junio de 2012 le sancionaban por enviar una carta de publicidad al domicilio de un particular que posteriormente denunció a esta empresa.
La Agencia Española de Protección de Datos (AEPD), en su Resolución, declara que esta mercantil “registro en su fichero automatizado y utilizo los datos de la denunciante concretándose en nombre y apellidos, dirección con piso y puerta, sin poder acreditar ninguna circunstancia que legitime dicho tratamiento de datos“.

En efecto, para poder realizar ese envío publicitario, la empresa tuvo que tratar los datos personales (nombre, apellidos y dirección) de la denunciante, y al no contar con su consentimiento se produce una infracción de la Ley Orgánica de Protección de Datos, en concreto una infracción del artículo 6.1 que recoge el principio general de consentimiento que viene a indicar sencillamente que para el tratamiento de nuestros datos personales se requiere nuestro consentimiento.
En el caso de que alguien tratara nuestros datos personales sin nuestro consentimiento, se produce una infracción grave, que lleva aparejada una multa de entre 40001 y 300000 euros.

A pesar de estas sanciones astronómicas por la comisión de una infracción grave, la propia normativa de protección de datos permite rebajar “en grado” estas sanciones, derivado del principio de proporcionalidad de la sanción y el hecho ilícito cometido, de forma que ante infracciones graves es posible que se aplique la escala de sanciones leves, cuyas multas van de los 900 a los 40000 euros. No obstante, y a pesar de la petición de la empresa de la aplicación de esta excepción, la AEPD la deniega argumentando que no se dan las circunstancia para apreciar esta atenuante y porque además ya en 2011 fue sancionada también por vulnerar la normativa de protección de datos.

A la luz de todo lo anterior, pudiendo sancionar entre los 40001 y los 300000 euros, terminan imponiendo una sanción de 100000 euros.

Ahora bien, me gustaría destacar algunos elementos de esta Resolución por cuanto me parecen curiosos:

1º: Durante la tramitación del procedimiento sancionador, la sociedad sancionada solicitó copia del expediente administrativo; solicitar copia de un expediente administrativo sancionador es más que necesario si se quiere preparar adecuadamente una defensa pues en él se contienen todos los documentos que serán tenidos en cuenta para la Resolución.
Pues bien, como digo, se solicita copia del expediente el día 16 de febrero de 2012, pero el 28 de febrero el solicitante recibe una comunicación del Instructor indicándole que para que pueda acceder al expediente es necesario que proporcione un número de teléfono al que poder contactar con él para avisarle de cuándo puede pasar por la sede de la Agencia a recoger el expediente.

Esto sin duda es atípico…

En respuesta a esa notificación, ese mismo día, la empresa informa al instructor por email para que, por favor, les indique por esta misma vía cuándo pueden pasarse a recoger el expediente y que quedan a su disposición en el email, afirmando que no pueden exigirles requisitos no legalmente impuestos para acceder al expediente.
El Instructor le responde por vía postal el 12 de marzo de 2012 indicándole:

a) Que “desde esta Agencia no se le está exigiendo requisito no impuesto legalmente como aduce en su escrito, simplemente se le está pidiendo un medio de contacto que acredite su identidad, (ya sea teléfono o cualquier otro…) para que usted conozca cuando está disponible la copia del expediente que solicita. Circunstancia que está dentro de toda lógica y sentido común, es decir, usted ejerce su derecho de vista del expediente, y desde esta administración se le pregunta cómo podemos comunicarle cuando ésta realizada dicha copia.”

b) Que: “En segundo lugar, si bien el medio del correo electrónico procura un medio ágil para las comunicaciones, no es un medio que ofrece totales garantías de seguridad e integridad en las comunicaciones y su contenido, ni el envío y ni la recepción, así como la verdadera identidad de los interlocutores.
La dirección de correo electrónico no cumple las medidas de autenticación y seguridad de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, ni de la Ley 59/2003, de 19 de diciembre, de firma electrónica, ni tampoco cumple el Título VIII del RD 1720/2007, Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, en lo referente a las medidas de seguridad.”

Y me pregunto yo ¿y un número de teléfono sí?

c) Por último le dice el Instructor que ya está disponible su expediente y que puede pasarse a recogerlo en la sede de la Agencia entre las 11:30 y las 12:30 horas, eso sí, cualquier día de la semana.

Cabe añadir que el sancionado no pasó a recoger el expediente, según indica la Resolución sancionadora.

El sancionado además solicitó la recusación del inspector y la iniciación de un procedimiento disciplinario contra él, aunque se ignoran los motivos por lo que solicitaban esto pues no se indican en la Resolución, a lo que la Agencia responde que: “En atención a la solicitud de inicio de procedimiento disciplinario y la posible causa de recusación formulada contra el instructor tanto en las alegaciones al acuerdo de inicio como en las formuladas a la propuesta de resolución, cabe señalar que tales manifestaciones han sido valoradas y resueltas en pieza separada, obrante en los folios 74 a 80, por lo que nada tiene que referenciarse en la presente resolución, habiendo sido notificado su resultado a entidad imputada.”

Pero me gustaría advertir otro detalle.
Como he dicho antes, esta misma empresa fue sancionada en 2011 y por eso se entendió que era reincidente (la Resolución sancionadora referencia al PS 00114/2011); el dato curioso es que esa sanción de 2011 no fue iniciada por denuncia de ningún particular, sino que se realizó de oficio por esta Agencia, siendo uno de los poquísimos casos en los que la Agencia interviene de oficio. En aquel entonces se sancionó a la empresa con una multa de 70000 euros, aunque no por enviar publicidad. No obstante, esta misma empresa sí fue sancionada en 2011 por enviar otra carta de publicidad sin consentimiento, entonces fue sancionada con 120.000 euros.

En total esta empresa acumula 220.000 euros en multas por enviar 2 cartas de publicidad y otra multa de 70.000 iniciada de oficio por la Agencia.

Por último, en relación a la reincidencia aducida en esta Resolución sancionadora, llama la atención que sí que se aprecie reinciencia en este caso concreto, pero no por ejemplo frente a otras entidades que han podido recibir más de 200 sanciones en un año por infringir el mismo precepto de la normativa sobre protección de datos.

Aquí la Resolución sancionadora comentada.

Cualquier ciudadano que tenga la mente mínimamente abierta y sepa distinguir lo blanco de lo negro se habrá percatado que los medios de comunicación tradicionales, esos que llegan a las masas, se han convertido en un vertedero de opiniones, algunas más fundamentadas que otras, y pocas informaciones. Esto siempre ha sido así, pero en mucha menor medida. Hoy en día es complicado encontrar una noticia de verdad, de esas que informan de la realidad de este universo (no de alguno paralelo) de forma objetiva en cualquier medio de comunicación masivo.
La cosa ha llegado hasta el extremo de que si uno quiere estar informado de verdad, tiene que acudir a blogs personales de gente especializada en ese tema concreto, y huir del medio clásico si no quiere vivir en una constante desinformación muy peligrosa.

A este tipo de noticias las denomino “noticia basura” o “fast news” en comparación con la “comida basura” o “fast food”. Miremos la siguiente tabla comparativa:

Como se puede observar, esta noticia basura tiene unas características muy similares a la comida basura: al igual que la comida basura no pretende alimentar, la noticia basura no pretende informar. Al igual que la comida basura contiene aditivos y potenciadores del sabor, la noticia basura contiene sensacionalismo desbordante, y etc.

Pero no es este un blog sobre periodismo y este no pretende ser un post sobre la crisis del periodismo. ¿Qué tiene que ver esto de la noticia basura con la protección de datos? Pues algo tiene.

En no pocas ocasiones la noticia basura afecta a la esfera íntima y personal de particulares anónimos, que sin venir a cuento son mencionados en noticias basura para generar morbo y atraer audiencia o visitas (o simplemente para dañar la imagen de esa persona deliberadamente). Esto es, la noticia basura puede afectar muy negativamente a la reputación de una persona o a su privacidad, sin estar justificado y sin importar si lo que se dice de ellos es verdad o no (recordemos que la noticia basura no pretende informar). De esto podemos encontrar ejemplos todos los días en la prensa y en la televisión, pero voy a poner un ejemplo que me parece muy claro:

Medio: Antena 3
Programa: Espejo Público.
Fecha: 8 de noviembre de 2012

Espejo Público es uno de esos programas de televisión, como el homólogo en Telecinco, que todos los días, con la “excusa” de informar (de cocinar la notica basura), daña la privacidad o la reputación de alguna persona. Vayamos el ejemplo.

El contexto es la tragedia del Madrid Arena. Los periodistas de Espejo Público descubren algo muy importante sobre este asunto, resulta que el administrador único de la sociedad Kontrol 34 es, en palabra de estos periodistas, “un violento skin” y un “peligroso neonazi” ¿y en qué se basan estos periodistas para afirmar tal cosa? Pues fuentes totalmente fiables y actualizadas: la hemeroteca. Pero no la hemeroteca de hace unos meses, no, estos periodistas deducen que este señor es un peligroso neonazi porque en el año 1987 aparece mencionado en una noticia en la que se dice que intentó apuñalar a un policía. Después de esa noticia de 1987 no hay nada más sobre este señor (como por ejemplo si fue condenado o no, que resulta ciertamente importante), pero ya este dato aislado de hace 26 años sin contrastar es suficiente para catalogar a este señor de “peligroso neonazi” y “violento skin”. Es por ello que si se busca en Google el nombre de esta persona solo aparecen “noticias” donde se le etiqueta de peligroso y violento neonazi para arriba.

El vídeo de este momento del programa Espejo Público del 8 de noviembre de 2012 ya no está en la página web oficial, pero lo he encontrado subido en una plataforma de reproducción de videos online:

Video 1: http://www.magnovideo.com/?v=W8HJOTW

Por si acaso lo borran, transcribo aquí lo que se dice:

- Susana Griso: “Lo peor de esto esto es que esta empresa la dirige una persona con antecedentes penales, un violento skin”
Subtítulo “un peligroso neonazi responsable de la seguridad”
- Colaborador: “Lo van a ver, porque hemos podido investigar y seguirle el rastro a Kontrol34…”
- Colaborador: “lo que están viendo es una nota del registro mercantil donde se encuentra registrada Kontrol34…su administrador único es “Juan Carlos García Perdiguero”. Hemos echado un vistazo a la hemeroteca y nos hemos llevado una desagradable sorpresa, allá por 1987, Juan Carlos García Perdiguero era motivo de noticia en el diario ABC, pero los motivos eran bien distintos”.
- Colaborador: “un intento de apuñalamiento a un policía municipal antes del partido At. Madrid-Athlétic, acabó con la detención de Juan Carlos”.
- Colaborador: “sí, el titular “el administrador único de Kontrol34 intentó apuñalar a policía municipal”, ahora administra la empresa de seguridad que…”

Como se puede comprobar, para Susana Griso, “lo peor de lo ocurrido en el Madrid Arena” es que el administrador de una de las empresas implicadas de alguna forma es una persona con antecedentes penales, un violento skin (lo de que han muerto personas es menos importante parece). Y en pantalla se imprime “un peligroso neonazi responsable de la seguridad” (hay diferencia entre ser el administrador de una sociedad y ser el responsable de la seguridad en un evento concreto).

Y luego tenemos el titular del colaborador: “el administrador único de Kontrol34 intentó apuñalar a policía municipal” (le ha faltado añadir un dato sin importancia, que ese intento de apuñalamiento fue hace 26 años).

Pero fijaros ahora en este segundo vídeo, que ocurre justo después, cuando otra colaboradora viene a puntualizar todo lo que han dicho anteriormente porque precisamente sabe que están exagerando y manipulando:

Video 2: http://www.magnovideo.com/?v=I2L36VSG

Transcribo por si borran:

Colaboradora: “bueno, lo que habría que ver es si efectivamente este hombre fue condenado en su día y si los antecedentes ya están cancelaos ¿eh? porque hablamos del año 87 y eso habría que darle una vuelta más…”.

Una vuelta no, 38 vueltas lo menos.

Este es un ejemplo de noticia basaura o fastnews, realmente poco importa lo que el administrador de una de las sociedades implicadas en el Madrid Arena hiciera cuando era joven hace 26 años, pero gracias a la receta sensacionalismo+mentiras+morbo = noticia basura estupenda para ser consumida a media mañana.

La necesidad que parece que tienen los medios de ser los primeros en dar una noticia, sin preocuparse de contrastar lo más mínimo, provoca este tipo de noticias basura. Otro ejemplo es el titular que se publicaba en Cadena Ser, El Mundo o Europa Press el 11 de diciembre de 2012, en el que se afirmaba que “El juez admite una querella contra Ana Botella por homicidio imprudente“, y donde se podía leer: “El juez Eduardo López Palop, que instruye el ‘caso Madrid Arena’, ha admitido a trámite una querella contra la alcaldesa de Madrid, Ana Botella, por homicidio imprudente en relación a la muerte de cinco jóvenes en la fiesta que se celebró en este recinto municipal la noche del 31 de octubre, han confirmado a Europa Press fuentes próximas a la investigación.”

A las pocas horas el propio tribunal desmentía semejante cosa.

Y eso que según Europa Press, la noticia anterior “ha sido confirmada por fuentes próximas a la investigación”…

Más recientemente tenemos lo de El País con la foto de Hugo Chávez,  y etc, etc.

Precisamente por todo esto, no es de extrañar que algunas de las noticias publicadas en el Mundo Today, terminen colándose como noticias reales en medios serios.

En definitiva, nos encontramos ante un grave problema en los medios de comunicación tradicionales, convertidos la mayor parte en tabloides sensacionalista monocromáticos, y el resto en pseudo artículos morboseantes atraedores de clicks. La información de verdad, esa que sí informa, deberemos obtenerla de otras fuentes, normalmente de particulares que de forma desinteresada comparten sus conocimientos contrastados y científicos en forma de artículos en un blog personal. 

El pasado 15 de enero de 2013, el BOE publicaba la Resolución de la Agencia Española de Protección de Datos por la que se anuncia la formalización del contrato de los servicios de comunicaciones de voz (fija y móvil) y datos, gestión de red, seguridad, externalización del alojamiento de los sistemas y de los servicios electrónicos que presta la Agencia Española de Protección de Datos, a ejecutar en principio en 4 años.

La adjudicataria ha sido el “grupo Telefónica”: Telefónica de España, S.A. y Telefónica Móviles España, S.A. por obtener la mejor puntuación según la valoración establecida en el pliego de cláusulas administrativas particulares.

Si uno observa dicho pliego, verá que en la página 12 se indica que los candidatos deberán tener diversas obligaciones en materia de fiscalidad, protección del medio ambiente, protección del empleo, condiciones de trabajo y prevención de riesgos laborales… aunque nada dice sobre protección de datos de carácter personal, que quizá habría sido útil.

Resulta precisamente desalentador que la empresa que más sanciones ha recibido en 2012 (de las publicadas hasta la fecha, que son la mayoría) por vulnerar la Ley Orgánica de Protección de Datos (LOPD) sea la más adecuada para hacerse con un contrato con la Agencia Española de Protección de Datos.
Y es que el grupo Telefónica ha recibido más de 200 multas en 2012 por vulnerar algún precepto de la LOPD, en concreto, Telefónica Móviles de España acumula cerca de 120 expedientes sancionadores, lo que le ha llevado a sufrir algo más de 180 multas por importe superior a los 7 millones de euros. Por su parte, a Telefónica de España le han abierto 12 procedimientos sancionadores con 17 multas por valor de casi medio millón de euros. Estamos hablando de que prácticamente cada 3 días se le abre un expediente sancionador a Telefónica por vulnerar el derecho fundamental a la protección de datos, derecho que tutela la Agencia Española de Protección de Datos.

Cabe reflexionar si por la naturaleza del órgano que saca a concurso un determinado contrato debería exigir un plus a los candidatos precisamente en la materia que tutela o dirige. Esto es, en el caso de la Agencia Española de Protección de Datos, podría ser interesante que además de las obligaciones para el medio ambiente y para la prevención de riesgos laborales, exigiese un cumplimiento respetuoso del derecho fundamental que esta Agencia protege; y no me refiero a que el contrato que vaya a ejecutar deba respetar la LOPD, naturalmente, sino que este candidato tenga un historial inmaculado en esa materia.
En este caso concreto, Telefónica acumula varios millones de euros en multas en 2012 impuestas precisamente por el organismo con el que va a firmar el contrato y cuya ejecución supone un tratamiento muy grande de datos personales ¿estarán seguros nuestros datos ahí?

Sinceramente no me imagino yo a Hacienda otorgando un contrato a un candidato multireincidente en evasión de impuestos y blanqueo de capitales; o a la Seguridad Social a un candidado condenado 200 veces por no afrontar sus obligaciones en materia de seguros sociales…

Además de este contrato, el BOE del mismo día publicaba también la adjudicación a la consultora Axpe Consulting, S.L. de un contrato de servicio de “grabación de datos” por valor de 440.000 euros a ejecutar en principio en un año. Si queréis saber en qué consiste en concreto este servicio de grabación de datos, aquí los pliegos de prescripciones técnicas.

La Agencia de Protección de Datos de la Comunidad de Madrid ha premiado a este blog como el mejor blog en materia de protección de datos, en reunión del Jurado celebrada el pasado 29 de noviembre de 2012.

Esta Agencia convocó el premio al mejor blog en materia de protección de datos el día 3 de agosto de 2012, para promover y premiar la labor de personas que, a través de sus respectivos blogs, coadyuvan a la divulgación de la cultura de protección de datos y contribuyen a la difusión de la misma en la sociedad.

Me ilusiona anunciar por esta vía la nota enviada la semana pasada por la Agencia de Protección de Datos de la Comunidad de Madrid (APDCM) por la cual se comunicaba el fallo del Jurado en relación al premio al mejor blog en materia de protección de datos.

Como he indicado anteriormente, en agosto de este año la APDCM publicó las bases del “Premio al menor blog en materia de protección de datos” cuyo objeto era la de, mediante un procedimiento de concurrencia competitiva, reconocer el prestigio de los trabajos científicos, jurídicos y técnicos publicados en blogs cuya temática sea la de protección de datos de carácter personal.

Según dichas bases, la valoración del Jurado se realizaba de acuerdo con el siguiente baremo:

• Solvencia y rigor científico, técnico y jurídico del blog: Hasta 4 puntos.
• Originalidad de los temas publicados en el blog: Hasta 3 puntos.
• Aportación destacada del blog al conocimiento de la realidad y perspectivas de la protección de datos personales: Hasta 3 puntos

Como no podía ser de otra manera, presenté mi blog a dichos premios y la semana pasada me enteraba que había sido el ganador!
La noticia la he recibido con mucha ilusión y alegría, pero también con sorpresa pues era consciente que en los últimos tiempos han aparecido blogs de esta misma temática muy buenos y me imaginaba que ellos también se presentarían, así que el Jurado no lo ha debido tener nada fácil.

El premio tiene no obstante un sabor agridulce, pues creo que va a ser uno de los últimos eventos o labores que realizará la APDCM antes de que sea extinguida a finales de este mes de diciembre; en efecto, el nuevo presidente de la Comunidad de Madrid, Ignacio González, decidió en septiembre prescindir de esta institución ya que, según sus palabras, sus funciones pueden ser realizadas por otros y de esta forma ahorrarse casi 2 millones de euros al año.
Lo cierto es que para mí, una persona que piensa que debería existir una autoridad de control en materia de protección de datos en cada Comunidad Autónoma, esta decisión supone eliminar una institución que, y todos los expertos coinciden, hacía muy bien su trabajo, con iniciativas muy interesantes y con gran proyección.
La Asociación Profesional Española de Privacidad hizo un breve resumen de su actividad hace un par de meses donde uno ve claramente que lo que habría que hacer es justo lo contrario: aumentarle el presupuesto para que pudiera llegar más lejos, pero en fin…

Volviendo al tema del premio, quiero agradecer a la APDCM y a los miembros del Jurado el premio recibido, para mí tiene un significado muy especial y lo valoro con mucho cariño y respeto a esta gran institución, GRACIAS.

Además del premio al mejor blog, también se han otorgado 2 menciones honoríficas a los blogs http://descargalegal.blogs.lexnova.es/ de David González Calleja y www.ayudaleyprotecciondatos.es de Jesús Pérez Serna, conocidos ambos por cualquier que se dedique a estos temas, y cuyos blogs recomiendo seguir.

Por último me gustaría agradecer a una persona que allá por el año 2006 me dio el empujoncito que necesitaba para montar un blog sobre protección de datos y quizá, sin su insistencia, nunca se habría materializado: gracias Jorge Campanillas.

El jueves 3 de enero de 2013 se publicaba en el Boletín Oficial de la Comunidad de Madrid el pronunciamiento oficial.

La policía municipal de cada estado de Estados Unidos viene utilizando desde hace algún tiempo una red de “lectores de matrículas de vehículos” instalados en diversas ubicaciones públicas que en esencia guardan la posición GPS de la matrícula, la fecha y la hora de todo el que pasa por allí. La información es almacenada durante un periodo de tiempo que depende de la ciudad, pero en algunos casos se almacenan hasta varios años, y lo más asombroso es que en muchos casos cualquiera puede consultar los registros de una matrícula concreta para saber dónde ha estado.

Grupo de cámaras en un cruce

Cámara oculta en icono

Desde hace varios años se viene ampliando la red que allí se conoce como “LPRs” (del inglés, Licence Plate Readers), una red consistente en diversas cámaras fotográficas especialmente diseñadas para captar la matrícula de los coches y guardar su ubicación, fecha y hora. Según las especificaciones de estos dispositivos pueden leer y registrar hasta 60 matrículas por segundo. De esta forma sería bien sencillo seguir la pista a un coche a lo largo de una ciudad, incluso aunque atravesara varios Estados.
Las cámaras no solo se instalan en cruces o avenidas; pueden estar instaladas en cualquier calle o garaje, camufladas en algún vehículo, un taxi, conos de tráfico, etc…
En las imágenes de la derecha podemos ver en primer lugar una de estas cámaras oculta en un cono de señalización y al lado un conjunto de estas cámaras en un cruce cualquiera (click en la imagen para ampliar).

Esta base de datos, cuyo titular es el cuerpo municipal/estatal de policía de turno, puede parecer una auténtica agresión a nuestra privacidad si lo vemos desde nuestra perspectiva, pero lo cierto es que allí este sistema es aceptado de forma generalizada ya que, como bien se encargan de divulgar las autoridades de allí, reducen drásticamente los robos, aumenta la seguridad ciudadana y ahora más que nunca se encuentran muy rápido los vehículos robados.

Resultado de búsqueda de una matrícula

Sin embargo, en algunos Estados se están empezando a oír voces discordantes. En concreto hace unos días en Minneapolis han propuesto un cambio en la legislación interna para limitar el acceso de consulta a esta base de datos (que hasta ahora era libre como en muchos otros Estados) y pretenden que solo tengan acceso la propia policía pero también los particulares aunque solo en relación a sus propios vehículos.
Además, pretenden limitar también las solicitudes de obtención de la base de datos completa; hasta ahora determinadas instituciones públicas o privadas pueden solicitar una “copia” íntegra de toda la base de datos, esto es, solicitar directamente toda la base de datos con todos los registros de golpe; por ejemplo, en el caso de Minneapolis, se vienen tramitando 4 de estas peticiones a la semana.

Lo cierto es que desde mi punto de vista, poder conocer los itinerarios de mi vecino, saber dónde ha estado, cuándo o incluso con quién, no solo supone un atentado a su intimidad, sino que además esta información puede ser utilizada por delincuentes para, por ejemplo, saber que no estás en casa, o saber que todos los días, de lunes a viernes, pasas siempre a la misma hora por el mismo sitio. Las implicaciones en materia de privacidad son infinitas e impensables en España con nuestra legislación actual sobre protección de datos de carácter personal; sin embargo este es un claro ejemplo de cómo se percibe la intimidad y la privacidad en culturas no tan distintas, pero sí tan alejadas en estas cuestiones.
Actualmente la matrícula de un coche se considera un dato de carácter personal, pero ese sería el menor de los problemas para un sistema similar en España; el verdadero problema vendría directamente del uso que el funcionario o el particular de turno haría de ese sistema. Procede recordar ahora esa Circular del año 2009 de la Secretaría General de la Administración de Justicia donde se hablaba de cómo se debían utilizar algunas bases de datos en la Administración de Justicia y los límites que se iban a imponer precisamente por el mal uso (cotilleo esencialmente) que se estaban haciendo de las mismas. Publiqué un artículo en su día con el título “El cotillear se va a acabar (en la Administración de Justicia)“.

Para quien quiera saber un poco más, aquí dejo un PDF del Instituto Nacional de Justicia con algo más de información sobre ese sistema de videocámaras y sus registros y aquí un vídeo en Youtube hablando de este sistema y lo fantástico que es para perseguir delincuentes y encontrar coches robados.

Enmarcado en la Red Derecho TICs  (Red de especialistas en Derecho de las Nuevas Tecnologías de la Información y Comunicación) se ha organizado un Congreso cuya temática girará en torno a la privacidad, abordando diversas cuestiones tales como:

• La Ley aplicable y autoridad competente: ¿hacia la reconstrucción del principio de territorialidad de las normas?
• Implicaciones jurídicas de las normas tecnológicas y la seguridad en Internet: consecuencias de su incumplimiento
• Hacia un nuevo modelo de protección del titular de datos personales ante manifiesta insuficiencia del consentimiento
• ¿Hay un derecho “a no olvidar”?
• La readaptación de las garantías jurídicas ante la innovación tecnológica: ¿misión imposible?
• Internet móvil y geolocalización
• Big data y análisis avanzado de datos
• Servicios avanzados en el ámbito de la Administración electrónica, en particular el open data

La asistencia es gratuita y no requiere inscripción previa aunque se recomienda sí hacerla a los efectos de poder organizarse mejor en función de la gente interesada. La inscripción se puede realizar desde este enlace.

Por otro lado, en relación a la presentación de comunicaciones, hay de plazo hasta el 21 de octubre, por lo que si quieres aprovechar para realizar una comunicación no esperes más tiempo. Además, la mejor comunicación del Congreso será premiada con una tablet. Las normas y recomendaciones para la presentación de comunicaciones se pueden descargar de este enlace.

El evento está patrocinado por:

• Legitec, organización de ámbito nacional altamente especializada en ofrecer Servicios de Consultoría sobre Legislación del sector de las Nuevas Tecnologías.
• ePrivacidad, bufete especializado en la protección de la privacidad en Internet, eliminar datos de Internet y asistencia letrada en delitos cometidos por Internet.

El Congreso tiene además una cuenta oficial en Twitter @CongresoPrivacy desde la que se comentará información relevante sobre el Congreso.

Toda la información del Congreso la tenéis en la página web del Congreso.

Si en algunos de los servicios de Google, como por ejemplo Google+, indicas una fecha de nacimiento que suponga tener una edad inferior a 14 años, Google bloqueará automáticamente la cuenta en todos los servicios (incluido el de correo electrónico) y te brindará un plazo de 29 días para que le remitas a California cierta documentación oficial o bien lo arregles por la vía rápida: facilitándole tu tarjeta de crédito y pagando 0,30 dolares.

Muchas son las páginas y servicios que impiden que un usuario se registre si indica que tiene menos de 14 años; si nos encontramos en España esto suele obedecer a que según nuestra normativa de protección de datos no te considera un “mayor de edad” hasta que cumples los 14, de ahí que un “menor de edad” no pueda registrarse sin más en una página web, como una red social, un foro, etc, requiriendo teóricamente autorización de sus padres.

Lo normal es que el mecanismo de control para impedir el acceso a menores sea que si existe la posibilidad de indicar tu fecha de nacimiento el sistema no te permita completar el registro si dicha fecha de nacimiento suponer tener menos de 14 años.

Google sin embargo va más allá, como no podía ser de otra manera.

Imaginemos que eres un usuario consolidado de Gmail, llevas usando años el correo de Gmail y un día te decides a crearte una cuenta en Google+, la red social de Google.
Para ello no es suficiente con tener una cuenta de Gmail, necesitas aportar algunos datos adicionales en el momento de entrar por primera vez en Google+, entre ellos la fecha de nacimiento (ver imagen). Imaginemos ahora que por error o porque no te apetece poner tu fecha de nacimiento real, completas el formulario con datos al azar, con la mala suerte de que indicas tener menos de 14 años.
En un supuesto normal el formulario te arrojaría algún error o advertencia, indicándote que el servicio es solo para mayores de 14 años, y por tanto no te dejaría continuar.
Sin embargo Google no avisa de esta eventualidad y directamente bloqueará tu cuenta mostrándote el siguiente ultimatum de 29 días. (imagen 1) “The Google Account for email@email.com has been disable”.

Te avisa de que tu cuenta ha sido suspendida y tienes 29 días para resolver el problema o la cuenta será definitivamente eliminada. Mientras tanto no podrás hacer uso de ninguno de los servicios que tuvieras asociado a esa cuenta, incluido por supuesto el correo electrónico en Gmail.

Veamos las opciones que nuestro amigo Google nos ofrece para acreditarle que o bien ha sido un error al introducir la fecha de nacimiento o bien tenemos efectivamente más de 14 años:

• Opción a) Utilizar una tarjeta de crédito en la que nos cargarán 0,30 dólares.
• Opción b) Envía un formulario online con una copia del documento de identidad expedido por el gobierno.
• Opción c) Enviar por correo ordinario o fax una copia del documento de identidad expedido por el gobierno a Google en California.

De esta forma, cualquier persona que tenga un mínimo de respeto por su privacidad se encuentra en una tesitura: ¿le facilito a Google una fotocopia de mi DNI? (con los problemas que eso puede acarrear
¿O bien le facilito los datos de mi tarjeta de crédito y pago una cantidad ridícula de 0,30 dólares?

La tesitura se despeja si el usuario es español, porque si uno lee los detalles de uno y otro procedimiento y tiene interés en recuperar la cuenta decidirá finalmente la opción de la tarjeta de crédito, el motivo, muy sencillo: nos han otorgado un plazo de 29 días, pero nos avisan que si elegimos la opción c), la de enviar el documento por correo ordinario, pueden tardar hasta 2 semanas en procesarlo, a este tiempo súmale lo que tarde la carta en llegar desde España hasta California y seguramente terminarás perdiendo la cuenta. También te avisan que en el caso de elegir la opción b) pueden pasar muchos días hasta que un operario de Google tramite el asunto.

Así que al final, si quieres dormir tranquilo, terminas tragando con la opción a), la de facilitar tu tarjeta de crédito y pagar los 0,30 dólares.

Pero en puridad lo que estaríamos haciendo a fin de cuentas es rectificar un dato que una empresa tiene erróneo sobre nosotros, aunque se lo hayamos dado nosotros mal por error, o lo que es lo mismo, estamos ejerciendo el derecho de rectificación del que habla la normativa sobre protección de datos.

El artículo 24.2 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, indica:

“Deberá concederse al interesado un medio sencillo y gratuito para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición.”

Y el 24.3 indica:

“El ejercicio por el afectado de sus derechos de acceso, rectificación, cancelación y oposición será gratuito y en ningún caso podrá suponer un ingreso adicional para el responsable del tratamiento ante el que se ejercitan.”

Bajo mi punto de vista, la opción a) sería contraría a la gratuidad que versa en esos preceptos.

Todo esto se agrava porque además Google no avisa de que esto puede pasar, de hecho, ni en sus condiciones de uso que se acceden desde la página de registro en Google+ ni en su política de privacidad  habla nada de los menores de 14 años, o de que tengas que ser mayor de edad; es más, la información que te indica Google en el apartado de la “edad” a la hora de completar el registro en Google+ es esta:
Y por supuesto, por ningún lado te advierten de que introduzcas bien la fecha de nacimiento o bloquearemos directamente la cuenta…

Para los que tengan curiosidad, en las siguientes imágenes muestro el procedimiento completo de rehabilitación de la cuenta mediante el pago con tarjeta:

Paso 3.
Paso 4.
Paso 5.

Uno de los principios rectores en materia de protección de datos de carácter personal es el denominado principio de calidad de datos, que viene regulado en el artículo 4 de la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal (LOPD). Este principio de calidad tiene una vertiente específica en lo que se resume como la prohibición expresa de recabar datos “excesivos en relación con el ámbito y las finalidades determinadas para las que se recaben” (artículo 4.1 LOPD).

No es muy habitual encontrar resoluciones de la Agencia Española de Protección de Datos (AEPD) en las que se vulnere este principio en relación a la recogida de información excesiva pues ciertamente es raro encontrar este tipo de supuestos en la vida real y menos aún que lleguen a ser denunciados o inspeccionados.
Sin embargo Movistar nos ofrece un buen ejemplo: su procedimiento específico para darse de baja de la lista de comunicaciones comerciales por email no siendo cliente de la operadora. Es importante el detalle de “no siendo cliente” porque en efecto, lo habitual es que Movistar te esté enviando emails sin ni siquiera saber cómo te llamas, simplemente porque te diste de alta con tu email en alguna campaña de Movistar o de sus filiales, porque te registraste en algún sitio y sin saberlo consentías a que te enviara publicidad Movistar o simplemente porque sí.

Echemos un vistazo al procedimiento:

1º: Recibimos email con contenido publicitario; sabemos que es obligatorio por imperativo de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI) que en la propia comunicación se deba “ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito“. En efecto, en el pie del email de Movistar figura: “Si no desea recibir en adelante información publicitaria en esta dirección de e-mail pulse aquí.” Y el aquí nos lleva a aquí. IMAGEN 1.

2º: Como vemos, hay dos posibilidades ahora, que curses la baja siendo cliente o no siéndolo. Le damos a “No clientes de Movistar” (en realidad aunque le demos a “Cliente de Movistar” te lleva al mismo sitio…en fin).

3º: Accedemos a una nueva ventana (IMAGEN 2) donde ya hay algo raro. En primer lugar nos piden el NIF o equivalente y además el número de teléfono asociado a ese NIF. Pero como no soy cliente de Movistar, aunque introduzca mi NIF y mi número de teléfono me dice que “No existe un usuario con esos datos” (claro, por eso le di a “no soy cliente…”). Entonces si nos fijamos, vemos que a pie de esa nueva ventana pone “(1) En caso de no ser titular de una línea de teléfono de Telefónica de España pulse aquí.”. Y el aquí nos lleva a la siguiente ventana (IMAGEN 3).

4º: Ahora ya no nos pide el número de teléfono, en su lugar nos sigue pidiendo el NIF o equivalente, pero ahora nos pide el nombre, más los apellidos o razón social y lógicamente el email que queremos dar de baja. Rellenamos y le damos a “Enviar”.

5º: Ahora lo lógico sería que nos avisara que se procedía con la baja y blabla, pero no, tras darle a enviar recibimos esta información: IMAGEN 4.

6: Esperamos un rato (en mi caso fueron 30 minutos) y nos llega un email, con el siguiente contenido: IMAGEN 5.

7: ¿Otra vez? Bien, le damos al enlace de “Confirmar” y nos abre una nueva ventana, IMAGEN 6.

8: En esta nueva ventana nos vuelve a solicitar confirmación para darnos de baja por si acaso hemos llegado a este punto y nos hemos arrepentido… Le damos a “Confirmar” y nos abre una nueva ventana.

9: A estas alturas yo me esperaba ver una ventana que me dijera “Pero está usted seguro que se quiere dar de baja”, pero no, en su lugar aparece esto: IMAGEN 7 ¡operación realizada con éxito!, con un hermoso botón a la derecha que pone “null” (parte friki del post).

10: Lógicamente no podía resistirme a darle a ese botón “null” para “ver qué pasa”, a pesar de que temía encontrarme con un “Gracias, se ha vuelto a suscribir a nuestra lista de comunicaciones comerciales”. El resultado lo cierto es que fue decepcionante, te lleva a una página con un error 404 not found.

Pero volviendo al tema de solicitar información excesiva; resulta evidente que requerirte el NIF, nombre y apellidos para darte de baja de un sitio que NO tiene esa información para contrastar nada es totalmente excesivo; de hecho lo normal en los procedimientos para darte de baja es que el primer enlace de “Si no desea recibir más comunicaciones haga click aquí” ya te lleve directamente a una web donde de forma automática se produzca la baja al visitarla o a lo sumo tras darle a un botón (como ocurre en este caso después de rellenar el formulario con los datos excesivos).

Todo ello además de que durante el procedimiento de baja y en los formularios de solicitud de datos no aparece ninguna cláusula informativa de para qué te están pidiendo esos datos (infracción del deber de información de la LOPD) y de hecho la única explicación que se me ocurre de para qué te la piden es para tener ellos una base de datos de emails más completa: si antes solo teníamos el dato del email, ahora sabemos cómo se llama y su NIF.

Por último, si alguien denunciara a Movistar y efectivamente se constatara la infracción derivada de la solicitud excesiva de datos, la sanción podría alcanzar los 300.000 euros.