Fuentes públicas no son fuentes accesibles al público
En materia de protección de datos, lo que se puede hacer o no con este tipo de datos está perfectamente definido. Esto viene a colación de algunos servicios online que os quiero dar a conocer y que de alguna manera pueden confundir a la gente entre lo que es dato público y dato utilizable por venir de una fuente accesible al público.
Para ello, siempre en toda la legislación lo primero que hemos de hacer es entender bien qué dicen las definiciones. En este caso, el artículo 3 determina:
A simple vista, parece un recolector de la información "pública" de una persona, utilizando para ellos fuentes como Google, Linkedin, Facebook, etc.
Sin embargo, una cosa es que "el dato esté accesible al público" y otra muy distinta es "que el dato pueda ser utilizado por ser público". A menudo me llegan consultas relacionadas con este asunto. Entiendo que es difícil comprender cómo si una dirección de correo electrónico está en Internet no pueda ser utilizada por cualquier desconocido para ser recolectada. Sin embargo, hemos de ser conscientes de que precisamente para evitar este tipo de situaciones es para lo que está nuestra querida Ley 15/1999 de Protección de Datos de Carácter Personal. Esta regulación limita el uso de información de carácter personal vinculada a varios conceptos:
Cualquier persona que entienda que cierta empresa tiene un dato suyo sin su consentimiento, puede ejercer cualquiera de sus derechos o solicitar a la Agencia Española de Protección de Datos para que los tutele. Si en el proceso de recolección de información no se siguen los pasos correctos, se corre el riesgo de sanción cuya cuantía dependerá un poco de qué tipos de datos se hayan recogido, de cómo y de qué se haya hecho con ellos. Por ilustrar algunos casos ya sancionados, podéis ver el caso de Tick Tack Ticket que fué sancionada con 30.001 € por enviar correos electrónicos con fines comerciales sin consentimiento a cerca de 40.000 direcciones de e-mail.
En este caso, se solicitaba a particulares que facilitaran direcciones de correo electrónico de sus contactos para remitirles comunicaciones comerciales sin el consentimiento lo que constituye una práctica ilegal. La empresa sancionada, dedicada a la venta de entradas de eventos y espectáculos por Internet, promocionó un concurso en el que para optar al premio había que introducir en un formulario las direcciones de correo electrónico de todos sus contactos y envió los mensajes sin el consentimiento de los titulares de las cuentas de correo, sin existir relación contractual, ni ofrecer un medio para oponerse a la utilización de sus datos con fines comerciales.
Fuente: Apuntes de seguridad de la información
Para ello, siempre en toda la legislación lo primero que hemos de hacer es entender bien qué dicen las definiciones. En este caso, el artículo 3 determina:
Fuentes accesibles al público: aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación.Están proliferando un nuevo tipo de servicios que podríamos denominar metabuscadores, muy centrados en objetivos que se dedican a recolectar información de otros buscadores y recolectores de información.
A simple vista, parece un recolector de la información "pública" de una persona, utilizando para ellos fuentes como Google, Linkedin, Facebook, etc.
Sin embargo, una cosa es que "el dato esté accesible al público" y otra muy distinta es "que el dato pueda ser utilizado por ser público". A menudo me llegan consultas relacionadas con este asunto. Entiendo que es difícil comprender cómo si una dirección de correo electrónico está en Internet no pueda ser utilizada por cualquier desconocido para ser recolectada. Sin embargo, hemos de ser conscientes de que precisamente para evitar este tipo de situaciones es para lo que está nuestra querida Ley 15/1999 de Protección de Datos de Carácter Personal. Esta regulación limita el uso de información de carácter personal vinculada a varios conceptos:
- Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o identificables.
- Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.
- Finalidad: para qué van a ser utilizados los datos.
- Deber de informar: que el afectado sepa quién tiene su información, qué va a hacer con ella y dónde puede ejercer sus derechos si lo desea.
Cualquier persona que entienda que cierta empresa tiene un dato suyo sin su consentimiento, puede ejercer cualquiera de sus derechos o solicitar a la Agencia Española de Protección de Datos para que los tutele. Si en el proceso de recolección de información no se siguen los pasos correctos, se corre el riesgo de sanción cuya cuantía dependerá un poco de qué tipos de datos se hayan recogido, de cómo y de qué se haya hecho con ellos. Por ilustrar algunos casos ya sancionados, podéis ver el caso de Tick Tack Ticket que fué sancionada con 30.001 € por enviar correos electrónicos con fines comerciales sin consentimiento a cerca de 40.000 direcciones de e-mail.
En este caso, se solicitaba a particulares que facilitaran direcciones de correo electrónico de sus contactos para remitirles comunicaciones comerciales sin el consentimiento lo que constituye una práctica ilegal. La empresa sancionada, dedicada a la venta de entradas de eventos y espectáculos por Internet, promocionó un concurso en el que para optar al premio había que introducir en un formulario las direcciones de correo electrónico de todos sus contactos y envió los mensajes sin el consentimiento de los titulares de las cuentas de correo, sin existir relación contractual, ni ofrecer un medio para oponerse a la utilización de sus datos con fines comerciales.
Fuente: Apuntes de seguridad de la información
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!