Publicar datos personales en los comentarios de blogs o foros
Por Samuel Parra •
15 Septiembre, 2008
¿Tiene responsabilidad el usuario que introduce datos personales de terceros en los comentarios de un blog o foro? ¿Y el dueño de la web?
¿Podría ser sancionado un usuario por publicar datos personales de un tercero sin su consentimiento en estos espacios dedicados a la discusión?
Según la Agencia Española de Protección de Datos NO.
Ojo: no se trata de “responsabilidad” desde la perspectiva de la Ley de Servicios de la Sociedad de la Información (LSSI) sino desde el punto de vista de la Ley Orgánica de Protección de Datos, de la cual creo que aun no se ha hablado.
El título habla de blogs o foros pero en realidad las conclusiones a las que vamos a llegar se pueden extender a cualquier web de noticias o información que permita la inclusión de comentarios por parte de los lectores, de hecho, la resolución de la Agencia Española de Protección de Datos está referida al caso de un portal de noticias en el cual se publicó, en un comentario, datos personales de terceros sin su consentimiento.
ADVERTENCIA: me ha salido un artículo enorme (incluso para mí). Así que he puesto en azul las partes más importantes; leyendo sólo la parte en azul os vais a enterar de todo sólo que sin la fundamentación jurídica correspondiente.
En abril de 2006, la AEPD recibe un escrito en el que se denuncia a D. José por la publicación de sus datos de carácter personal en la página Web de la Asociación Independiente de la Guardia Civil (en lo sucesivo ASIGC), siendo D. José un cargo en relación a esa página web.
Los datos personales objeto de la denuncia aparecían en un un comentario en una noticia del portal; ese comentario era en realidad una denuncia presentada por D. José por motivos que ahora no vienen al caso.
El asunto es que el nick “X” ha escrito en un comentario de un portal de noticias, datos personales de terceras personas sin que mediara consentimiento de esas terceras personas para su publicación.
El denunciante aportó la captura de pantalla correspondiente, aunque la propia inspección de datos comprobó los hechos.
La AEPD, cuando comienza a examinar el caso desde el punto de vista jurídico, se remite primero al artículo 16 de la LOPD:
“1. El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación del interesado en el plazo de diez días.
2. Serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la presente Ley y, en particular, cuando tales datos resulten inexactos o incompletos.
3. La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones Públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la supresión.
4. Si los datos rectificados o cancelados hubieran sido comunicados previamente, el responsable del tratamiento deberá notificar la rectificación o cancelación efectuada a quien se hayan comunicado, en el caso de que se mantenga el tratamiento por este último, que deberá también proceder a la cancelación .
5. Los datos de carácter personal deberán ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado.
Este es el artículo de la LOPD que contempla los derechos de rectificación y cancelación que todos nosotros ostentamos en el tratamiento de nuestros datos personales; no entraré a profundizar sobre qué significa cada “derecho”, pero el que nos interesa ahora de esos dos derechos es el de “cancelación”, el cual sí que se va a comentar.
La AEPD invoca este artículo porque entra a examinar si en este caso procede la cancelación de los datos personales contenidos en el comentario de la web, relativos al denunciante. Para ello lo primero es determinar si esta página web en concreto, o un foro o blog de similares características en general, es un “fichero” de datos personales.
Qué es un fichero lo define distintos textos jurídicos, entre otros los siguientes:
1º: La Directiva 95/46/CE, del Parlamento Europeo y del Consejo, de 24 de octubre, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, define “fichero de datos personales” en su artículo 2.c) como “todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica”.
2º: El artículo 3.b) de la LOPD define “fichero” como “todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso”.
Por su parte, desde la doctrina jurisprudencial se ha afirmado que:
1º: La Sentencia de 18/12/2006 indica que, “todo fichero de datos exige para tener esta consideración una estructura u organización con arreglo a criterios determinados. El mero acúmulo de datos sin criterio alguno no podrá tener la consideración de fichero a los efectos de la Ley”.
2º: La Audiencia Nacional en sentencia de 17/03/2006, determina que un sitio web requiere siempre “cualquiera que sea su finalidad una organización o estructura que permita el acceso a la información en él contenida”.
3º: El propio Tribunal de Justicia de la Unión Europea, en la sentencia de 06/11/2003 (caso Lindqvist) abordó la cuestión y determinó que “la conducta que consiste en hacer referencia, en una página web, a diversas personas y en identificarlas por su nombre o por otros medios, como su número de teléfono o información relativa a sus condiciones de trabajo y a sus aficiones, constituye un tratamiento total o parcialmente de datos personales”.
En definitiva, esa web en concreto y cualquiera de similares características es un fichero de datos de carácter personal al contener información personal de personas físicas por lo que debe someterse a la LOPD en lo que proceda, y en lo que nos interesa ahora, le será de aplicación lo dispuesto en el artículo 16 LOPD.
En segundo lugar, hay que hacer referencia al artículo 16 de la LSSI, que determina que en su apartado 1 lo siguiente:
“1. Los prestadores de un servicio de intermediación consistente en albergar datos proporcionados por el destinatario de este servicio no serán responsables por la información almacenada a petición del destinatario, siempre que:
a) No tengan conocimiento efectivo de que la actividad o la información almacena es ilícita o de que se lesiona bienes o derechos de un tercero susceptibles de indemnización, o
b) Si lo tienen, actúen con diligencia para retirar los datos o hacer imposible el acceso a ellos.
Se entenderá que el prestador de servicios tiene el conocimiento efectivo a que se refiere el párrafo a) cuando un órgano competente haya declarado la ilicitud de los datos, ordenando su retirada o que se imposibilite el acceso a los mismos, o se hubiera declarado la existencia de la lesión, y el prestador conociera la correspondiente resolución, sin perjuicio de los procedimientos de detección y retirada de contenidos que los prestadores apliquen en virtud de acuerdos voluntarios y de otros medios de conocimiento efectivo que pudieran establecerse”.
Por tanto, del precepto transcrito se colige, que, si bien ASIGC no es responsable de los contenidos del foro, debe ordenar su retirada o imposibilitar el acceso a los mismos cuando un órgano competente así lo determine o cuando tenga conocimiento de que la actividad o la información almacenada es ilícita o lesiona bienes o derechos de un tercero.
Por otra parte, como ya hemos dicho, el citado artículo 16 de la LOPD reconoce a los afectados el derecho a instar la cancelación de sus datos personales ante el responsable del fichero, de modo que, en el presente caso, el afectado debería dirigirse a ASIGC para formular la oportuna solicitud de cancelación de sus datos personales contenidos en la web, lo que obligaría a dicha entidad a atender el derecho ejercitado conforme a la normativa de protección de datos. En caso contrario, es decir, si el mencionado derecho de cancelación no fuese atendido por ASIGC, el propio afectado puede plantear ante la Agencia Española de Protección de Datos la correspondiente reclamación de Tutela de Derechos.
En otras palabras, de momento, la única responsabilidad que tendría el responsable de la web sería la de cancelar la información personal del afectado (en este caso suprimirla) una vez éste se lo haya solicitado con las formalidades que exige la ley, no siendo necesario que mediase el “conocimiento efectivo” que se menciona en al LSSI.
Pero veamos si puede existir alguna otra responsabilidad, como por ejemplo, por un tratamiento de datos sin consentimiento.
El artículo 6 de la Ley Orgánica 15/1999, dispone en su apartado 1 que “el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa“.
Añadiendo el apartado 2 del citado artículo que “no será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado“.
Así, el tratamiento de datos de carácter personal tiene que contar con el consentimiento del afectado o, en su defecto, debe acreditarse que los datos provienen de fuentes accesibles al público, que existe una Ley que ampara ese tratamiento o una relación contractual o negocial entre el titular de los datos y el responsable del tratamiento, siempre que los datos de que se trate sean necesarios para el mantenimiento o cumplimiento del contrato.
Hasta aquí todo perfecto, y del literal de la ley podríamos llegar a concluir que efectivamente se han tratado datos personales sin el consentimiento necesario y ello debería ser sancionado… pero no, la AEPD continua valorando y hace un juicio de ponderación entre derechos fundamentales, así, indica que:
“Sin embargo, ha de resaltarse que los comentarios introducidos en los foros de Internet por los particulares constituyen una manifestación de la libertad de expresión proclamada en el artículo 20 de la Constitución Española de 1978, que determina en su punto, apartados a) y d) que se reconocen y protegen los derechos:
a) A expresar y difundir libremente los pensamientos, ideas y opiniones mediante la palabra, el escrito o cualquier otro medio de reproducción.
d) A comunicar o recibir libremente información veraz por cualquier medio de difusión. La ley regulará el derecho a la cláusula de conciencia y al secreto profesional en el ejercicio de estas libertades.
La expresión “cualquier medio” recogida en los preceptos constitucionales transcritos, permite admitir todo medio capaz de realizar dicha reproducción o difusión. La falta de especificación hace que sea admisible cualquier procedimiento de divulgación, debiendo sólo aplicar una interpretación restrictiva fundada en la protección de otros derechos constitucionales.
El Tribunal Constitucional, en la Sentencia 12/1982, declaró que “no hay inconveniente en entender que el derecho de difundir las ideas y opiniones comprende en principio el derecho de crear los medios materiales a través de los cuales la difusión se hace posible”.
La Sentencia del Tribunal Supremo de fecha 04/11/1986, indica que “la Constitución política ciertamente reconoce con el rango que le es propio y dentro de su artículo 20 la libertad de expresión manifestada en el derecho a expresar y difundir libremente los pensamientos, ideas y opiniones mediante la palabra, el escrito o cualquier otro medio de reproducción; pero advierte expresamente que este derecho tiene su límite en el respeto a los derechos reconocidos en el Título I, en los preceptos de las leyes que lo desarrollan y, especialmente, en el derecho al honor, a la intimidad, a la propia imagen y a la protección de la juventud y de la infancia”.
De acuerdo con la citada interpretación la libertad de opinión e información, encuadradas en el artículo 20 de la Constitución tiene su límite en los derechos reconocidos en el Título I de la propia Constitución entre los que se encuentra el derecho fundamental a la protección de datos de carácter personal (artículo 18.4).
El foro de ASIGC contiene datos personales del denunciante que son tratados sin su consentimiento. Por tanto, la cuestión a dilucidar es determinar qué derecho es preferente en el caso que nos ocupa.”
Para esclarecer esta cuestión la AEPD examina la jurisprudencia del Tribunal Constitucional y se refiere a varias Sentencias:
“La Jurisprudencia del Tribunal Constitucional tiende a otorgar una posición preferente a la libertad de expresión frente a otros derechos constitucionales, siempre y cuando los hechos comunicados se consideren de relevancia pública (Sentencias del Tribunal Constitucional 105/1983 y 107/1988) y atendiendo a la veracidad de la información facilitada (Sentencias del Tribunal Constitucional 6/1988, 105/1990 y 240/1992).
Así, el citado Tribunal, en la Sentencia 171/1990, afirma: “Dada su función institucional, cuando se produzca una colisión de la libertad de información con el derecho a que de dicho conflicto puedan derivarse a la libertad de información deben interpretarse de tal modo que el contenido fundamental del derecho a la información no resulte, dada su jerarquía institucional desnaturalizado ni incorrectamente relativizado. …resulta obligado concluir que en esa confrontación de derechos, el de la libertad de información transmitida sea veraz, y esté referida a asuntos públicos que son de interés general por las materias a que se refieren y por las personas que en ellos intervienen, contribuyendo, en consecuencia, a la formación de la opinión pública“.
En el mismo sentido se pronuncia la Sentencia 204/1997 indicando “las libertades del art. 20 de la Constitución no sólo son derechos fundamentales de cada ciudadano, sino también de condición de existencia de la opinión pública libre, indisolublemente unida al pluralismo político, que es su valor fundamental y requisito de funcionamiento del Estado democrático que, por lo mismo, transcienden el significado común y propio de los demás derechos fundamentales. …el valor preponderante de las libertades del art. 20 de la Constitución sólo puede verse apreciado y protegido cuando aquéllas se ejerciten en conexión con asuntos que son de interés general, por las materias a que se refieran y por las personas que en ellos intervienen y contribuyan, en consecuencia, a la formación de la opinión pública…“.
La Sentencia 107/1998 del Tribunal Constitucional concreta que “el valor preponderante de las libertades públicas del art. 20 de la Constitución, en cuanto se asienta en la función que éstas tienen de garantía de una opinión pública libre indispensable para la efectiva realización del pluralismo político, solamente puede ser protegido cuando las libertades se ejerciten en conexión con asuntos que son de interés general por las materias a que se refieren y por las personas que en ellos intervienen y contribuyan, en consecuencia, a la formación de la opinión pública, alcanzando entonces su máximo nivel de eficacia justificadora frente al derecho al honor, el cual se debilita, proporcionalmente, como límite externo de las libertades de expresión e información, en cuanto sus titulares son personas públicas, ejercen funciones públicas o resultan implicadas en asuntos de relevancia pública, obligadas por ello a soportar un cierto riesgo de que sus derechos subjetivos de la personalidad resulten afectados por opiniones o informaciones de interés general, pues así lo requieren el pluralismo político, la tolerancia y el espíritu de apertura, sin los cuales no existe sociedad democrática“.
Vamos terminando; la AEPD, con todo este material, entiende en un primer momento que en este caso, aunque la información pueda ser veraz, no se refiere a asuntos públicos de interés general por lo que, en este caso, podría resultar preferente el derecho fundamental a la protección de datos.
Sin embargo, y aquí viene el grueso de la interpretación de la AEPD:
“aunque cabe proclamar que ningún ciudadano que no goce de la condición de personaje público ni sea objeto de hecho noticiable de relevancia pública tiene que resignarse a soportar que sus datos de carácter personal circulen por la Red sin poder reaccionar ni corregir la inclusión ilegítima de los mismos en un sistema de comunicación universal como Internet, para lo que siempre podrá solicitar al responsable del sitio Web de que se trate la cancelación de la información, por otro lado, ha de tenerse en cuenta que requerir el consentimiento individualizado de los ciudadanos para incluir sus datos personales en Internet o exigir mecanismos técnicos que impidieran o filtraran la incorporación inconsentida de datos personales podría suponer una insoportable barrera al libre ejercicio de las libertades de expresión e información a modo de censura previa (lo que resulta constitucionalmente proscrito), si bien cabe insistir, según ha quedado expuesto, que el ciudadano que no esté obligado a someterse a la disciplina del ejercicio de las referidas libertades (por no resultar sus datos personales de interés público ni contribuir, en consecuencia, su conocimiento a forjar una opinión pública libre como pilar basilar del Estado democrático) debe gozar de mecanismos reactivos amparados en Derecho (como el derecho de cancelación de datos de carácter personal) que impidan el mantenimiento secular y universal en la Red de su información de carácter personal.”
Así que finalmente termina archivando el caso y ni el tercero que facilitó los datos personales ni el responsable del sitio web pueden ser imputados en relación a una violación de la LOPD toda vez que, según la AEPD, el derecho fundamental a la libertad de expresión e información parecen estar por encima del derecho fundamental a la protección de datos en este caso.
Eso sí, uno no está indefenso si alguien publica sus datos personales en Internet en los comentarios de un blog o foro (afirma la AEPD) ya que tiene un mecanismo “reactivo” amparado en Derecho, como es el derecho de cancelación de los datos… ah bueno, eso ya me deja mucho más tranquilo, sí señor.
La teoría es muy bonita, pero vayamos a la práctica, a la vida real, con un pequeño ejemplo que me ha pasado a mí personalmente.
Hace ya bastante tiempo, dejé un comentario en este artículo; yo me imaginaba que aunque requiere el email luego éste no se haría público, sin embargo, como podéis ver, los emails sí que se hacen públicos.
Pues bien, les solicité a los titulares de esa web que suprimieran mi correo electrónico de ahí; tardaron un par de semanas pero finalmente mi correo electrónico no aparece en la web, pero ¿se ha solucionado el problema?, pues no, porque si cualquiera busca mi dirección de email en Google verá que la única coincidencia que aparece es la de ese artículo y según el resultado de Google mi email sigue apareciendo vinculado a ese comentario.
El motivo de por qué solicité que se suprimera mi email de allí es porque comencé a recibir mucho spam.
Yo tuve suerte en el sentido de que aceptaron mi solicitud sin mayor problemas, pero no siempre sucede así.
Un ejemplo ficticio: a alguien se le ocurre publicar en mi blog los datos personales de su vecino (nombre, apellidos, dirección, teléfono, matrícula de su coche, etc). En base a la doctrina de la AEPD yo puedo estar tranquilo que si ese vecino me denuncia no me va a pasar nada. Además, si quiere que borre esa información tendrá que ejercer frente a mí su derecho de cancelación; imaginemos que no me adjunta su fotocopia del DNI como exige la ley, yo entonces le respondo que me la envíe pero el vecino prefiere acudir directamente a la AEPD para que tutele su derecho… entre que la tutela llega a la AEPD, se tramita y se la estiman, han pasado perfectamente 6 meses, tiempo durante el cual la información ha estado publicada en este blog tranquilamente. Luego la borro, sin problemas, pero en Google seguirá estando.
En definitiva, creo que esta Resolución abre la vía al pillaje más absoluto, pues si el propio autor de un blog tiene intención de publicar la información personal que estime oportuno, en vez de hacerlo en el cuerpo de su artículo (que sí sería sancionable) podrá hacerlo en un comentario haciéndose pasar por otra persona y no le ocurrirá nada. ¿Qué defensa tiene el afectado? Recurrir al derecho de cancelación que en el peor de los casos podrá suponerle estar 6 o 7 meses esperando a que se haga efectivo, mientras tanto la información personal seguirá publicada y luego seguirá también en los principales buscadores donde tendrá que volver a solicitar la cancelación.
Por supuesto yo no comparto esta doctrina, y entiendo que la libertad de expresión no puede servir en este caso para superar a la protección de datos, sobre una persona de ninguna relevancia ni interés público. Como mínimo se debería hacer responsable a la persona que haya escrito el comentario en el blog, ya que la IP queda registrada, y si no fuera posible identificarlo, tampoco veo descabellado hacer responsable en ciertos casos al titular o autor de la web, foro o blog. El que facilita y administra un espacio en Internet donde otros pueden verter opiniones y comentarios no puede abstraerse por completo de sus obligaciones y responsabilidades como moderador del mismo y de conocer el régimen jurídico que le es de aplicación; además el artículo 16 de la LSSI no puede estar por encima de un derecho fundamental como es el de la protección de datos personales.
El comentario de la denuncia está disponible todavía, solo que con la información personal del denunciante cancelada.
Cargando ...
Sólo para notar una errata: donde dice artículo 6 de la LSSI debería decir artículo 16. Por lo demás el artículo es muy interesante y muestra cómo el debate sobre el alcance de las exclusiones de responsabilidad de la LSSICE sigue abierto…
Saludos,
Miquel.
[…] Publicar datos personales en los comentarios de blogs o foroswww.samuelparra.com/2008/09/15/publicar-datos-personales-com… por MarketingPositivo hace pocos segundos […]
Gracias Miquel, en efecto era una errata
Samuel, muy interesante el artículo. Lo pondré en las recomendacioens de mi blog. Te agradecería que si pudieras me dejaras la referencia de la resolución.
Un saludo
Hola Luis. Tienes un enlace a la Resolución completa al final del artículo; gracias por tus comentarios
Personalmente me alegro de que la AEPD razone de esta forma en sus resoluciones. En mi opinión, lo verdaderamente trascendente es que, como no puede ser de otra manera, los derechos fundamentales deben moderarse cuando entran en colisión con otros derechos fundamentales y por tanto -no quiero alargarme- la aplicación de la propia LOPD no debe ser rígida y absoluta.
En cuanto a los ejemplos, creo que cada caso concreto debería estudiarse individualmente. Bajo este principio no cabe cualquier actuación, habrá que ir al caso concreto para ver si prevalece la protección de datos personales o no.
Samuel, gracias y enhorabuena por tus comentarios. Los que nos dedicamos a esto aprendemos con cada uno de ellos!
Hola Samuel, hace un par de meses un cliente me hizo la misma consulta que aquí resuelves y me basé en la misma resolución que tú, aunque con lo que no estoy muy de acuerdo es con la consideración de fichero del blog, de un foro o de una Web, pues si nos ceñimos a la definición literal de conjunto organizado de datos, no lo veo por ningún sitio,aunque bien es cierto que con la indexación,que permite el acceso a los datos con arreglo a criterios determinados, nos aproximamos a la definición del nuevo reglamento,aunque repito no lo veo claro,no veo el conjunto organizado de datos, no veo el fichero como yo lo entiendo por ningún sitio,el dato es algo accesorio ,incidental a la información o a la opinión, ¿ tú que piensas? Ah, y enhorabuena por la página,sigue así. Saludos
Interesante post como siempre Samuel. Me resulta “curioso” como en ocasiones la AEPD parece que razona mucho, y otras veces sus criterios son, como poco, bastante dudosos.
El tema del alcance de la exención de la responsabilidad por la LSSICE siempre resulta problemática, dado que algunos sectores quieren darle un carácter absoluto que, en mi opinión, no tiene (resultaría complicado proteger determinados derechos en caso contrario).
Un saludo
Mari Carmen:
Un blog tiene una gran base técnica y una base de datos detrás que es la que realiza todas las funciones de éste. Todo su contenido se encuentra organizado perfectamente dentro de estos archivos que se manipulan para mostrar los posts, y demas información que pertenecen a ellos. Simplificando mucho (yendo bastante al fondo del tema, vaya), un blog no es más que una Base de Datos puesta bonita y poco más, al menos así lo veo yo.
Un saludo
“Interesante post como siempre Samuel. Me resulta “curioso? como en ocasiones la AEPD parece que razona mucho, y otras veces sus criterios son, como poco, bastante dudosos.”
Pues en todo hay categorías, incluso entre los instructores de la Agencia. Así un buen instructor dará una buena fundamentación a la resolución, lo que otro no haría. El director apenas tendrá tiempo para firmar y poco mas, que no va a ser lo mismo ahora, con la cantidad de resoluciones que hay, que hace 10 años, que sacaban apenas una por semana.
Te felicito por tu post.
En este caso, ante la colisión de dos derechos fundamentales, la AEPD se inclinó por la libertad de expresión, algo que me parece estraño dadas las interpretaciones expansivas que suele manejar para que cualquier supuesto caiga en el ámbito de la LOPD.
Saludos Andrés: ¿No crees que en este caso el derecho de libertad de expresión no debería posicionarse por encima del de la protección de datos?. Es que me da la sensación entonces de que Internet se puede convertir en un lugar donde podrán publicar nuestros datos personales y si queremos que no lo sean toda la iniciativa recae sobre nosotros…
Hola Mari Carmen: Como bien comenta Sergio, un blog tiene detrás una estructura ordenada muy precisa, tanto como cualquier programa de gestión, lo que pasa es que lo que se ve al usuario es simplemente una “carátula”. Yo no dudo de que un blog, si tiene datos personales, es un fichero a efectos LOPD.
Hola Guillermo: Gracias por tus comentarios :). Y tienes razón, si a mí me hubiesen preguntado sobre ese caso en concreto habría entendido vulneración de la LOPD seguro, sin posibilidad de ponderar con otros derechos fundamentales.
Hola de nuevo Samuel.
No veo claro que en todos los casos deba prevalecer la protección de datos al derecho de libertad de expresión. Lo cierto que es que el derecho de libertad de expresión está ampliamente definido y no todo cabe. Por otro lado, debemos tener en cuenta que -y creo que aquí está el meollo de la cuestión- la sociedad y los instrumentos jurídicos con ella, han de irse adaptando a las nuevas realidades. Probablemente en este caso haya ocurrido algo similar, es decir, no sé hasta que punto esto sería “poner puertas al campo”. Como decía en mi anterior comentario, me alegra la actitud valiente de la resolución, ya que denota al menos una sensibilidad hacia la realidad de Internet que seguro hace unos años no habríamos visto!
En cualquier caso, me da la sensación que el debate está abierto y debe ir definiéndose. No será la última vez que leamos algo al respecto.
Estupendo artículo. Extenso pero utilísimo, aunque la protección de datos está en alza y la temeridad de los blogs también, con lo que los jueces irán cortando los excesos. Y por supuesto, la difusión en blogs de los contenidos de correos electrónicos ajenos también tendrá su pena según la recientísima sentencia del Juzgado Penal de Barcelona que se recoge en http://www.contencioso.es/?p=866
Saludos
Hola Andrés. Yo también pienso que no en todos los casos debe prevalecer el derecho a la protección de datos, pero la libertad de expresión también tiene límites.
En el caso que hemos visto los datos personales del afectado no eran de interés público ni de relevancia social… vamos que a nadie le importaba como se llamase.
No creo que sea “poner puertas al campo” sino que lo preocupante es que en Internet parece normal y comprensible que cualquiera pueda perder la intimidad y su privacidad… porque como internet es tan graaaande ¿no?.
Yo no veo mucha diferencia entre publicar datos personales en un comentario de un blog y publicar una imagen en Youtube: a youtube puede acceder cualquiera (igual que en un blog), cualquiera puede subir un video (igual que en un blog), cualquiera puede ejercer su derecho a la libertad de expresión en un video que en unas palabras ¿no?.
[…] Publicar comentarios en los post de blogs y foros (por Samuel […]
Muy interesante el articulo, si bien me plantea varias cuestiones que me preocupan, la primera es que como vemos, la actual redaccion de la lopd fuerza a “coger por los pelos” normas incluso de rango constitucional para solventar cuestiones que la mera logica nos dice, por otro lado, la misma redaccion de la norma fuerza a realizar interpretaciones demasiado elasticas y que en muchos casos chocan entre si de forma continua (hoy la norma se interpreta como “no se puede exigir el consentimiento individualizado en este contexto” y mañana “la ley especifica claramente la exigencia del consentimiento individualizado”… si planteamos una ley que esta en contra de la realidad social vigente nos vamos a encontrar con un organismo (la AEPD) que va a tener en sus manos decisiones completamente arbitrarias.
Lo que me preocupa y me asusta de esta decision es la extension de sus atribuciones a la totalidad de webs, blogs, etc de internet, en tanto poco a poco se han ido añadiendo elementos que pueden ser considerados datos personales (ip, dni, telefono en breve (cambiando otra vez de criterio), nombre, firma, imagen, sonido, dentro de poco veremos apodos y quien sabe…la inclusion de la figura de la persona juridica como protegida por la lopd), asi hoy por hoy…¿que no es una base de datos de tipo personal… si un blog lo es por tener una direccion de correo electronico (solo una es necesario)…
Solo hago la siguiente pregunta… si la “proteccion” de la lopd se llega a extender a las personas juridicas (lo cual no me extrañaria, realizando una vez mas una interpretacion extensiva de la norma y analogias varias), ¿sera este el fin de la libertad de expresion y de la critica a entidades y/o corporaciones???
También a mí me ha gustado tu artículo. Extenso… pero brillante! De hecho, estoy pensando en modificar un poco el que escribí hace tiempo sobre un tema muy parecido… Seguiré avanzando en el GReader a ver qué más encuentro. Pero, por ahora lo que veo me está gustando. Gracias!
¿Ves por qué uso yo mi derecho al anonimato ;-p?
Con respecto a las exenciones de responsabilidad de la LSSI te recomiendo el libro sobre el particular publicado por el autor del primer comentario de este post. Muy bueno en lo que he podido leer hasta ahora. Como anticipo puedes tirar de este post y de los vínculos que aparecen en sus comentarios. Yo tengo una réplica aún pendiente…estoy leyendo para reafirmarme o retractarme ;-p
http://www.interiuris.com/blog/?p=463
Se tocan un montón de temas interesantes en tu artículo y en la resolución, pero el problema lo tenemos por andar siempre teniendo que interpretar conceptos ambiguos.
¿Cuándo se da relevancia social o interés general? Al parecer el TS opina que cuando existe “interés histórico, científico o cultural relevante”?
http://sentencias.juridicas.com/?doc=/docs/00289141.html
¿Entiendes que tu blog por la temática tratada puede ser de interés científico o cultural relevante y que contribuye a la generación de opinión pública, debates mediante? Con la calidad que tienen tus posts, siendo el Derecho una ciencia ¿? y con cierto número de visitas, yo diría que sí. En cuanto a los comentarios depende ;-p
¿Qué me dirías si al final acabamos por no poder ni nombrar a nadie con su nombre y apellidos en nombre de la santísima LOPD?
Creo que la resolución ha tenido la suficiente prudencia. En este tipo de conflictos de derechos mejor resolver caso por caso, no caben fórmulas matemático-legales, y creo que se deberían sancionar sólo los casos más graves y no la bagatela. Reconocer el derecho a la cancelación es lo que procedía, si bien imponer la cancelación al blogger me genera dudas. ¿Acaso no es posible denunciar que alguien ha sido condenado por el motivo que sea? Es algo así como los mapas que identifican los domiclios de pederastas ¿No te gustaría saber que tus hijos pueden estar en peligro con algún adorable vecino? Ya, ya, la reinserción social como finalidad de las penas y tal, pero a mis hijos que no los toquen que no respondo de mis actos ;-p
Lo que no me genera dudas es el hecho de que no haya sanción por no atender el derecho de cancelación ejercido por el afectado.
Podía la AEPD haber aprovechado para instar o recomendar al blogger y afectado que soliciten a los buscadores de Intenet, y archive.org y similares, que se borre la copia caché que pudieran en fecha de emisión de la resolución mantener si aún contiene los datos personales (como en el caso del profesor aquel que salia en el BOE por publicación de denunica por cierta infracción administrativa callejera…y que por cierto el BOE salía de rositas)
¿Podría también la AEPD haber instado a eliminar todo el comentario? Eso me genera ya más dudas, pues quizás fuera desproporcionado en relación con la libertad de expresión ejercida por el comentarista.
El blogger tiene un buen dilema al recibir la solicitud del afectado, más que nada por la duda que le pueda generar si se han rebasado los límites de la libertad de expresión o no. Sí lo quita el comentarista le puede dar leña, y si no lo hace tan sólo tiene que esperar a que alguna autoridad competente decida y proceder en consonancia sin riesgo de que el comentarista le pueda ya reclamar nada, sea en la vía que sea.
El blogger como proveedor de hosting que es no tiene riesgo de sufrir sanción mientras no exista “conocimiento efectivo”, por lo cual puede dejarlo a instancias de que se resuelva la vía contencioso-administrativa, civil o penal en la que se dirima la cuestión. Ante la recepción de una resolución firme, ya obrará en consecuencia o no, en este caso pudiendo ya entonces ser sancionado como responsable directo por la AEPD o sujeto pasivo de acciones civiles o penales.
En cuanto al comentarista la respuesta a tu pregunta de si es responsable o no por los comentarios, en lo que se refiere a la infracción administrativa vía LOPD, dependerá de que estés de acuerdo o no con la doctrina Bodil Lindvist. La AEPD pienso que hubiese sancionado, de hecho ¿igual no lo hubiese debido hacer de oficio?
Todo ello sin perjuicio de que lo dicho en los comentarios puede constituir ilícito civil, falta o delito, en cuyo caso el afectado podrá recurrir a los órganos judiciales civiles o penales.
Enhorabuena por el post y debate…aunque yo llegue bien tarde
Por cierto, David Maeztu tenía algún post sobre blogs denuncia.
Salu2
Samuel,
Un ejemplo
http://www.bufetalmeida.com/?id=276
Jajajaa, hola deincognito, gracias por considerar este blog “de interés científico o cultural relevante y que contribuye a la generación de opinión pública”, pero no creo que vuele tan alto este blog :).
Por otra parte estoy de acuerdo contigo en las ideas que viertes en tu comentario, esa es más o menos la encrucijada en la que se puede encontrar un blogger y la propia AEPD en esos casos.
Gracias por avisar también sobre esa sentencia, aunque es sin duda muy interesante hay que relativizar su importancia en el sentido de que es dictada por un juzgado de primera instancia
Hola Samuel,
Soy responsable de una web de contactos sexuales para adultos.
He tenido ya varios casos de usuarios que publican datos privados de otras personas sin su consentimiento (teléfono móvil o nombre completo).
Te comento mi caso en concreto :
Alguien insertó el teléfono móvil de una mujer sin su consentimiento, saltandose todos los filtros que tiene el sistema para evitarlo (el sistema reemplaza números por asteriscos).
Dicha mujer se puso en conctacto conmigo y me comentó que ya lo habían hecho en más webs aparte de la mia por lo que di de baja su anuncio inmediatamente (claramente malintencionado).
El caso es que en mi web dar de baja el anuncio no implica borrar todos los datos sino ocultarlos para que nadie los vea.
Cada 6 meses hay un proceso automático que sí los borra definitivamente.
Lamentablemente antes de pasar dichos 6 meses y por un error de programación seguía apareciendo en una zona de la web en concreto dicho número de teléfono, de nuevo saltándose todos los filtros.
Esta vez se puso en contacto conmigo la guardia civil solicitando el borrado (no baja) de los datos a lo que procedí inmediatamente y comenté que de haberlo detectado antes lo hubiera eliminado inmediatamente, etc…
También solicitaron ayuda para la identificación del autor(IP, etc…) pero lamentablemente no pude facilitarlo ya que no comencé a registrar las IPs en la base de datos hasta varios meses después de que la publicación del anuncio malintencionado.
Despues de leer todo el artículo mi pregunta es la siguiente : Al ser yo el responsable de la web y No poder identificar al autor : ¿puedo tener algún tipo de responsabilidad penal ?
Muchas gracias
Buenos días al foro,
Felicitar a Samuel por el foro. Me ha gustado como está planteado e intentaré aportar mi granito de arena.
En contestación a lo planteado por chistian, entiendo qeu no deberían de ir a por tí siempre y cuando tengas un Aviso legal en la web qeu mencione que no te haces responsable de los datos publicados por los usuarios del foro….
Y, aun no teniendo el aviso legal, creo que se puede demostrar la mala intención de la persona que lo publicó, ya que sabía como poder pasar los filtros de los números.
“Despues de leer todo el artículo mi pregunta es la siguiente : Al ser yo el responsable de la web y No poder identificar al autor : ¿puedo tener algún tipo de responsabilidad penal ?”
Contestando a tu pregunta, no soy abogado, pero entiendo qeu no, ya que como se menciona en uno de los artículos, el número de movil no es un dato de carácter personal y por tanto no has vulnerado la ley de protección de datos.
Un saludo,
Javier.
Hola Christian. No te preocupes, has actuado correctamente y no vas a tener ninguna responsabilidad por ello… lo único es que si la mujer te dijo que borraras su teléfono y por error ha seguido apareciendo sí es posible que puedas tener algún problema, pero en vista de la doctrina actual de no hacer responsable al titular de un blog o foro por los mensajes de los usuarios, no me preocuparía en absoluto, y menos aun si miramos la reciente jurisprudencia que entiende que el teléfono, aisladamente, no es un dato personal.
En definitiva es como indica Javier (gracias), no estés preocupado :).
Muchas gracias a javier y samuel por las respuestas.