Política de privacidad, términos y condiciones, protección de datos…
Apr 15th, 2008 by Raúl
Interesante post el que ha escrito María Rosa Díez en su blog Un mundo de webs, al hilo del movimiento que ha hecho Yunu.com que justo al nacer, ya cuenta con 2 millones de usuarios registrados. Ya nos gustaría a todos empezar con semejante cifra!! La explicación de este dato, viene del hecho de que los usuarios de Marqueze (uno de los principales sites de sexo en español) han sido transferidos automáticamente al nuevo sitio. María Rosa afirma que para poder hacer esta transferencia, hace falta el consentimiento expreso de los usuarios.No es suficiente con avisarles. Es un tema interesante, ya que detrás de Yunu.com, está Emilio Márquez uno de los principales emprendedores de internet y el networking en España. En su blog ya ha dado su versión sobre el tema. Ya veremos que ocurre.
Lo cierto es que a estas alturas, cuando llevamos ya casi 10 años de Ley Orgánica de protección de datos y después de que hayan caído numerosas multas, todavía existe un gran desconocimiento sobre este tema. Y no es raro encontrarte con sites de marcas líderes, que no tienen accesible su política de privacidad, o sus formularios de registro no tienen un opt-in correcto. Recuerdo el aburrimiento que pasé hace ya casi 7 años (que viejo me siento) cuando me tuve que poner a repasar los términos y condiciones de mi primer proyecto digital, solmedicoap.com, una web dirigida a los médicos de Atención Primaria en España. En aquel momento no era consciente de lo importante de este tema. Hoy me sigue aburriendo revisar ese tema pero me lo tomo de otra forma por la importancia que tiene, y es que los tiempos han cambiado bastante y no solo por las multas, sino por los consumidores, que cada vez son más conscientes de sus derechos y de las leyes.
Sobre este tema yo debería comentar algo, no?
Desde enero tenemos un nuevo reglamento de Protección de Datos. Se han endurecido y mucho las condiciones para el marketing directo, llegando incluso a recurrirse la ley por la dificultad del cumplimiento de la misma. El punto más problemático viene a decir que el remitente (la empresa) debe comprobar que el usuario no ha ejercitado en ningún momento su derecho de oposición (a que le envíen publicidad). Poniendo un ejemplo, nuestra empresa C ha adquirido una base de datos de un proveedor B. Ese proveedor ha formado esa base a partir de multitud de bases de otras empresas que se la han vendido (A, A1, A2, etc). Si el usuario U se da de baja en A5, toda la cadena debe dar de baja al usuario. Es más, si el usuario se da de baja via listas Robinson, todos deben dar de baja al usuario. El mantenimiento de esa base de datos la hace inoperativa.
También se han endurecido las normas en referencia a la recogida de datos de menores de edad, introduciendo las firmas de los tutores en cualquier movimiento.
Y recordarles que las multas de protección de datos online en España son las más elevadas de Europa (http://www.lavanguardia.es/lv24h/20080414/53455468955.html).
Para no ocultarme, es que mi empresa se dedica a esto de la LOPD, por eso estoy puesto.
Vaya Ricardo, un experto en proteccion de datos en casa y yo sin saberlo. El próximo post sobre el tema te lo dejo a ti
Hola Ricardo,
El problema es que si la empresa B ha comprado el fichero de la empresa A debe pedir consentimiento a cada usuario.
Conseguido cada consentimiento, es el usuario el que conoce y acepta y debe darse de baja en los dos ficheros si algún día quiere hacerlo.
Tal vez te entendí mal, pero según leo ceder o vender datos sería muy fácil, “simplemente” se le da de baja al usuario en los ficheros “en cadena”.
Hola, María
Entiendo que si la empresa A le ha recogido el consentimiento al usuario para ceder sus datos, no hace falta pedirle el consentimiento. Esto es lo que suele pasar en esos folios interminables de letra pequeña de contratos bancarios o telefonicos. Entonces es cuando el usuario ha dado su consentimiento “sin saberlo” y cuando sus datos empiezan a correr.
Lo que el reglamento no deja claro (y de ahi el recurso que tiene plantado) es si el usuario se puede dar de baja en un fichero inicial y los consecutivos tienen que reflejar esa baja (por el principio de que el usuario se dio de alta una sola vez y por lo tanto se da de baja una sola vez). O si bien (como les gustaría a las empresas) el usuario debe llevar un tracking de sus datos y perseguirlos por ahí. El espiritu proteccionista del consumidor de la ley y los reglamentos mas bien tira hacia la primera opcion.
Sumale a esto el efecto de las fusiones, absorciones, etc que se producen continuamente y ya tienes el panorama de dispersion de datos actual y que la Agencia quiere parar.
Sí, tienes razón. En ese caso, si se recogen los datos para cederlos a un tercero, y se aprueba por parte del usuario, se puede hacer.
Lo que ocurre es que creo que hablamos de cosas distintas. En el caso que planteas es así. Yo planteaba el cambio de titularidad de un fichero. En este caso estarás de acuerdo conmigo que es distnto el tratamiento, ya que debe haber consentimiento “a posteriori”.
Es decir. Que si un usuario se inscribe en la empresa A, y esta no ha recabado su consentimiento para darselos a la empresa B (como por ejemplo un traspaso de titular), el asunto va en contra de la LOPD si no se pide el consentimiento expreso “a posteriori” al usuario.
Encantada de escuchar tus interesantes comentarios, y enhorabuena por tu conocimiento del tema. Es raro encontrar gente asi.
Ricardo, Maria Rosa, laboralmente hablando estaís hechos el uno para el otro… que bonito.