- Protección de datos personales - http://www.samuelparra.com -

Publicar datos personales en los comentarios de blogs o foros

Posted By Samuel Parra On Lunes, 15 septiembre 2008 @ 5:06 In Internet,Resoluciones | 48 Comments

¿Tiene responsabilidad el usuario que introduce datos personales de terceros en los comentarios de un blog o foro? ¿Y el dueño de la web?
¿Podría ser sancionado un usuario por publicar datos personales de un tercero sin su consentimiento en estos espacios dedicados a la discusión?
Según la Agencia Española de Protección de Datos NO.

Ojo: no se trata de “responsabilidad” desde la perspectiva de la Ley de Servicios de la Sociedad de la Información (LSSI) sino desde el punto de vista de la Ley Orgánica de Protección de Datos, de la cual creo que aun no se ha hablado.

El título habla de blogs o foros pero en realidad las conclusiones a las que vamos a llegar se pueden extender a cualquier web de noticias o información que permita la inclusión de comentarios por parte de los lectores, de hecho, la resolución de la Agencia Española de Protección de Datos está referida al caso de un portal de noticias en el cual se publicó, en un comentario, datos personales de terceros sin su consentimiento.

ADVERTENCIA: me ha salido un artículo enorme (incluso para mí). Así que he puesto en azul las partes más importantes; leyendo sólo la parte en azul os vais a enterar de todo sólo que sin la fundamentación jurídica correspondiente.

En abril de 2006, la AEPD recibe un escrito en el que se denuncia a D. José por la publicación de sus datos de carácter personal en la página Web de la Asociación Independiente de la Guardia Civil [1] (en lo sucesivo ASIGC), siendo D. José un cargo en relación a esa página web.
Los datos personales objeto de la denuncia aparecían en un un comentario en una noticia del portal; ese comentario era en realidad una denuncia presentada por D. José por motivos que ahora no vienen al caso.

El asunto es que el nick “X” ha escrito en un comentario de un portal de noticias, datos personales de terceras personas sin que mediara consentimiento de esas terceras personas para su publicación.

El denunciante aportó la captura de pantalla correspondiente, aunque la propia inspección de datos comprobó los hechos.

La AEPD, cuando comienza a examinar el caso desde el punto de vista jurídico, se remite primero al artículo 16 de la LOPD:

“1. El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación del interesado en el plazo de diez días.
2. Serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la presente Ley y, en particular, cuando tales datos resulten inexactos o incompletos.
3. La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones Públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la supresión.
4. Si los datos rectificados o cancelados hubieran sido comunicados previamente, el responsable del tratamiento deberá notificar la rectificación o cancelación efectuada a quien se hayan comunicado, en el caso de que se mantenga el tratamiento por este último, que deberá también proceder a la cancelación .
5. Los datos de carácter personal deberán ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado.

Este es el artículo de la LOPD que contempla los derechos de rectificación y cancelación que todos nosotros ostentamos en el tratamiento de nuestros datos personales; no entraré a profundizar sobre qué significa cada “derecho”, pero el que nos interesa ahora de esos dos derechos es el de “cancelación”, el cual sí que se va a comentar.

La AEPD invoca este artículo porque entra a examinar si en este caso procede la cancelación de los datos personales contenidos en el comentario de la web, relativos al denunciante. Para ello lo primero es determinar si esta página web en concreto, o un foro o blog de similares características en general, es un “fichero” de datos personales.
Qué es un fichero lo define distintos textos jurídicos, entre otros los siguientes:

1º: La Directiva 95/46/CE, del Parlamento Europeo y del Consejo, de 24 de octubre, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, define “fichero de datos personales” en su artículo 2.c) como “todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica”.

2º: El artículo 3.b) de la LOPD define “fichero” como “todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso”.

Por su parte, desde la doctrina jurisprudencial se ha afirmado que:

1º: La Sentencia de 18/12/2006 indica que, “todo fichero de datos exige para tener esta consideración una estructura u organización con arreglo a criterios determinados. El mero acúmulo de datos sin criterio alguno no podrá tener la consideración de fichero a los efectos de la Ley”.

2º: La Audiencia Nacional en sentencia de 17/03/2006, determina que un sitio web requiere siempre “cualquiera que sea su finalidad una organización o estructura que permita el acceso a la información en él contenida”.

3º: El propio Tribunal de Justicia de la Unión Europea, en la sentencia de 06/11/2003 (caso Lindqvist) abordó la cuestión y determinó que “la conducta que consiste en hacer referencia, en una página web, a diversas personas y en identificarlas por su nombre o por otros medios, como su número de teléfono o información relativa a sus condiciones de trabajo y a sus aficiones, constituye un tratamiento total o parcialmente de datos personales”.

En definitiva, esa web en concreto y cualquiera de similares características es un fichero de datos de carácter personal al contener información personal de personas físicas por lo que debe someterse a la LOPD en lo que proceda, y en lo que nos interesa ahora, le será de aplicación lo dispuesto en el artículo 16 LOPD.

En segundo lugar, hay que hacer referencia al artículo 16 de la LSSI, que determina que en su apartado 1 lo siguiente:


“1. Los prestadores de un servicio de intermediación consistente en albergar datos proporcionados por el destinatario de este servicio no serán responsables por la información almacenada a petición del destinatario, siempre que:
a) No tengan conocimiento efectivo de que la actividad o la información almacena es ilícita o de que se lesiona bienes o derechos de un tercero susceptibles de indemnización, o
b) Si lo tienen, actúen con diligencia para retirar los datos o hacer imposible el acceso a ellos.
Se entenderá que el prestador de servicios tiene el conocimiento efectivo a que se refiere el párrafo a) cuando un órgano competente haya declarado la ilicitud de los datos, ordenando su retirada o que se imposibilite el acceso a los mismos, o se hubiera declarado la existencia de la lesión, y el prestador conociera la correspondiente resolución, sin perjuicio de los procedimientos de detección y retirada de contenidos que los prestadores apliquen en virtud de acuerdos voluntarios y de otros medios de conocimiento efectivo que pudieran establecerse”.

Por tanto, del precepto transcrito se colige, que, si bien ASIGC no es responsable de los contenidos del foro, debe ordenar su retirada o imposibilitar el acceso a los mismos cuando un órgano competente así lo determine o cuando tenga conocimiento de que la actividad o la información almacenada es ilícita o lesiona bienes o derechos de un tercero.

Por otra parte, como ya hemos dicho, el citado artículo 16 de la LOPD reconoce a los afectados el derecho a instar la cancelación de sus datos personales ante el responsable del fichero, de modo que, en el presente caso, el afectado debería dirigirse a ASIGC para formular la oportuna solicitud de cancelación de sus datos personales contenidos en la web, lo que obligaría a dicha entidad a atender el derecho ejercitado conforme a la normativa de protección de datos. En caso contrario, es decir, si el mencionado derecho de cancelación no fuese atendido por ASIGC, el propio afectado puede plantear ante la Agencia Española de Protección de Datos la correspondiente reclamación de Tutela de Derechos.

En otras palabras, de momento, la única responsabilidad que tendría el responsable de la web sería la de cancelar la información personal del afectado (en este caso suprimirla) una vez éste se lo haya solicitado con las formalidades que exige la ley, no siendo necesario que mediase el “conocimiento efectivo” que se menciona en al LSSI.

Pero veamos si puede existir alguna otra responsabilidad, como por ejemplo, por un tratamiento de datos sin consentimiento.

El artículo 6 de la Ley Orgánica 15/1999, dispone en su apartado 1 que “el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa“.
Añadiendo el apartado 2 del citado artículo que “no será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado“.

Así, el tratamiento de datos de carácter personal tiene que contar con el consentimiento del afectado o, en su defecto, debe acreditarse que los datos provienen de fuentes accesibles al público, que existe una Ley que ampara ese tratamiento o una relación contractual o negocial entre el titular de los datos y el responsable del tratamiento, siempre que los datos de que se trate sean necesarios para el mantenimiento o cumplimiento del contrato.

Hasta aquí todo perfecto, y del literal de la ley podríamos llegar a concluir que efectivamente se han tratado datos personales sin el consentimiento necesario y ello debería ser sancionado… pero no, la AEPD continua valorando y hace un juicio de ponderación entre derechos fundamentales, así, indica que:

“Sin embargo, ha de resaltarse que los comentarios introducidos en los foros de Internet por los particulares constituyen una manifestación de la libertad de expresión proclamada en el artículo 20 de la Constitución Española de 1978, que determina en su punto, apartados a) y d) que se reconocen y protegen los derechos:
a) A expresar y difundir libremente los pensamientos, ideas y opiniones mediante la palabra, el escrito o cualquier otro medio de reproducción.
d) A comunicar o recibir libremente información veraz por cualquier medio de difusión. La ley regulará el derecho a la cláusula de conciencia y al secreto profesional en el ejercicio de estas libertades.

La expresión “cualquier medio” recogida en los preceptos constitucionales transcritos, permite admitir todo medio capaz de realizar dicha reproducción o difusión. La falta de especificación hace que sea admisible cualquier procedimiento de divulgación, debiendo sólo aplicar una interpretación restrictiva fundada en la protección de otros derechos constitucionales.

El Tribunal Constitucional, en la Sentencia 12/1982, declaró que “no hay inconveniente en entender que el derecho de difundir las ideas y opiniones comprende en principio el derecho de crear los medios materiales a través de los cuales la difusión se hace posible”.

La Sentencia del Tribunal Supremo de fecha 04/11/1986, indica que “la Constitución política ciertamente reconoce con el rango que le es propio y dentro de su artículo 20 la libertad de expresión manifestada en el derecho a expresar y difundir libremente los pensamientos, ideas y opiniones mediante la palabra, el escrito o cualquier otro medio de reproducción; pero advierte expresamente que este derecho tiene su límite en el respeto a los derechos reconocidos en el Título I, en los preceptos de las leyes que lo desarrollan y, especialmente, en el derecho al honor, a la intimidad, a la propia imagen y a la protección de la juventud y de la infancia”.

De acuerdo con la citada interpretación la libertad de opinión e información, encuadradas en el artículo 20 de la Constitución tiene su límite en los derechos reconocidos en el Título I de la propia Constitución entre los que se encuentra el derecho fundamental a la protección de datos de carácter personal (artículo 18.4).

El foro de ASIGC contiene datos personales del denunciante que son tratados sin su consentimiento. Por tanto, la cuestión a dilucidar es determinar qué derecho es preferente en el caso que nos ocupa.”

Para esclarecer esta cuestión la AEPD examina la jurisprudencia del Tribunal Constitucional y se refiere a varias Sentencias:

“La Jurisprudencia del Tribunal Constitucional tiende a otorgar una posición preferente a la libertad de expresión frente a otros derechos constitucionales, siempre y cuando los hechos comunicados se consideren de relevancia pública (Sentencias del Tribunal Constitucional 105/1983 y 107/1988) y atendiendo a la veracidad de la información facilitada (Sentencias del Tribunal Constitucional 6/1988, 105/1990 y 240/1992).

Así, el citado Tribunal, en la Sentencia 171/1990, afirma: “Dada su función institucional, cuando se produzca una colisión de la libertad de información con el derecho a que de dicho conflicto puedan derivarse a la libertad de información deben interpretarse de tal modo que el contenido fundamental del derecho a la información no resulte, dada su jerarquía institucional desnaturalizado ni incorrectamente relativizado. …resulta obligado concluir que en esa confrontación de derechos, el de la libertad de información transmitida sea veraz, y esté referida a asuntos públicos que son de interés general por las materias a que se refieren y por las personas que en ellos intervienen, contribuyendo, en consecuencia, a la formación de la opinión pública“.

En el mismo sentido se pronuncia la Sentencia 204/1997 indicando “las libertades del art. 20 de la Constitución no sólo son derechos fundamentales de cada ciudadano, sino también de condición de existencia de la opinión pública libre, indisolublemente unida al pluralismo político, que es su valor fundamental y requisito de funcionamiento del Estado democrático que, por lo mismo, transcienden el significado común y propio de los demás derechos fundamentales. …el valor preponderante de las libertades del art. 20 de la Constitución sólo puede verse apreciado y protegido cuando aquéllas se ejerciten en conexión con asuntos que son de interés general, por las materias a que se refieran y por las personas que en ellos intervienen y contribuyan, en consecuencia, a la formación de la opinión pública…“.

La Sentencia 107/1998 del Tribunal Constitucional concreta que “el valor preponderante de las libertades públicas del art. 20 de la Constitución, en cuanto se asienta en la función que éstas tienen de garantía de una opinión pública libre indispensable para la efectiva realización del pluralismo político, solamente puede ser protegido cuando las libertades se ejerciten en conexión con asuntos que son de interés general por las materias a que se refieren y por las personas que en ellos intervienen y contribuyan, en consecuencia, a la formación de la opinión pública, alcanzando entonces su máximo nivel de eficacia justificadora frente al derecho al honor, el cual se debilita, proporcionalmente, como límite externo de las libertades de expresión e información, en cuanto sus titulares son personas públicas, ejercen funciones públicas o resultan implicadas en asuntos de relevancia pública, obligadas por ello a soportar un cierto riesgo de que sus derechos subjetivos de la personalidad resulten afectados por opiniones o informaciones de interés general, pues así lo requieren el pluralismo político, la tolerancia y el espíritu de apertura, sin los cuales no existe sociedad democrática“.

Vamos terminando; la AEPD, con todo este material, entiende en un primer momento que en este caso, aunque la información pueda ser veraz, no se refiere a asuntos públicos de interés general por lo que, en este caso, podría resultar preferente el derecho fundamental a la protección de datos.

Sin embargo, y aquí viene el grueso de la interpretación de la AEPD:

“aunque cabe proclamar que ningún ciudadano que no goce de la condición de personaje público ni sea objeto de hecho noticiable de relevancia pública tiene que resignarse a soportar que sus datos de carácter personal circulen por la Red sin poder reaccionar ni corregir la inclusión ilegítima de los mismos en un sistema de comunicación universal como Internet, para lo que siempre podrá solicitar al responsable del sitio Web de que se trate la cancelación de la información, por otro lado, ha de tenerse en cuenta que requerir el consentimiento individualizado de los ciudadanos para incluir sus datos personales en Internet o exigir mecanismos técnicos que impidieran o filtraran la incorporación inconsentida de datos personales podría suponer una insoportable barrera al libre ejercicio de las libertades de expresión e información a modo de censura previa (lo que resulta constitucionalmente proscrito), si bien cabe insistir, según ha quedado expuesto, que el ciudadano que no esté obligado a someterse a la disciplina del ejercicio de las referidas libertades (por no resultar sus datos personales de interés público ni contribuir, en consecuencia, su conocimiento a forjar una opinión pública libre como pilar basilar del Estado democrático) debe gozar de mecanismos reactivos amparados en Derecho (como el derecho de cancelación de datos de carácter personal) que impidan el mantenimiento secular y universal en la Red de su información de carácter personal.”

Así que finalmente termina archivando el caso y ni el tercero que facilitó los datos personales ni el responsable del sitio web pueden ser imputados en relación a una violación de la LOPD toda vez que, según la AEPD, el derecho fundamental a la libertad de expresión e información parecen estar por encima del derecho fundamental a la protección de datos en este caso.

Eso sí, uno no está indefenso si alguien publica sus datos personales en Internet en los comentarios de un blog o foro (afirma la AEPD) ya que tiene un mecanismo “reactivo” amparado en Derecho, como es el derecho de cancelación de los datos… ah bueno, eso ya me deja mucho más tranquilo, sí señor.

La teoría es muy bonita, pero vayamos a la práctica, a la vida real, con un pequeño ejemplo que me ha pasado a mí personalmente.

Hace ya bastante tiempo, dejé un comentario en este artículo [2]; yo me imaginaba que aunque requiere el email luego éste no se haría público, sin embargo, como podéis ver, los emails sí que se hacen públicos.
Pues bien, les solicité a los titulares de esa web que suprimieran mi correo electrónico de ahí; tardaron un par de semanas pero finalmente mi correo electrónico no aparece en la web, pero ¿se ha solucionado el problema?, pues no, porque si cualquiera busca mi dirección de email en Google verá que la única coincidencia que aparece es la de ese artículo y según el resultado de Google mi email sigue apareciendo vinculado a ese comentario.
El motivo de por qué solicité que se suprimera mi email de allí es porque comencé a recibir mucho spam.
Yo tuve suerte en el sentido de que aceptaron mi solicitud sin mayor problemas, pero no siempre sucede así.

Un ejemplo ficticio: a alguien se le ocurre publicar en mi blog los datos personales de su vecino (nombre, apellidos, dirección, teléfono, matrícula de su coche, etc). En base a la doctrina de la AEPD yo puedo estar tranquilo que si ese vecino me denuncia no me va a pasar nada. Además, si quiere que borre esa información tendrá que ejercer frente a mí su derecho de cancelación; imaginemos que no me adjunta su fotocopia del DNI como exige la ley, yo entonces le respondo que me la envíe pero el vecino prefiere acudir directamente a la AEPD para que tutele su derecho… entre que la tutela llega a la AEPD, se tramita y se la estiman, han pasado perfectamente 6 meses, tiempo durante el cual la información ha estado publicada en este blog tranquilamente. Luego la borro, sin problemas, pero en Google seguirá estando.

En definitiva, creo que esta Resolución abre la vía al pillaje más absoluto, pues si el propio autor de un blog tiene intención de publicar la información personal que estime oportuno, en vez de hacerlo en el cuerpo de su artículo (que sí sería sancionable) podrá hacerlo en un comentario haciéndose pasar por otra persona y no le ocurrirá nada. ¿Qué defensa tiene el afectado? Recurrir al derecho de cancelación que en el peor de los casos podrá suponerle estar 6 o 7 meses esperando a que se haga efectivo, mientras tanto la información personal seguirá publicada y luego seguirá también en los principales buscadores donde tendrá que volver a solicitar la cancelación.

Por supuesto yo no comparto esta doctrina, y entiendo que la libertad de expresión no puede servir en este caso para superar a la protección de datos, sobre una persona de ninguna relevancia ni interés público. Como mínimo se debería hacer responsable a la persona que haya escrito el comentario en el blog, ya que la IP queda registrada, y si no fuera posible identificarlo, tampoco veo descabellado hacer responsable en ciertos casos al titular o autor de la web, foro o blog. El que facilita y administra un espacio en Internet donde otros pueden verter opiniones y comentarios no puede abstraerse por completo de sus obligaciones y responsabilidades como moderador del mismo y de conocer el régimen jurídico que le es de aplicación; además el artículo 16 de la LSSI no puede estar por encima de un derecho fundamental como es el de la protección de datos personales.

El comentario de la denuncia [3] está disponible todavía, solo que con la información personal del denunciante cancelada.

La Resolución examinada aquí [4]


Article printed from Protección de datos personales: http://www.samuelparra.com

URL to article: http://www.samuelparra.com/2008/09/15/publicar-datos-personales-comentarios-blogs-foros/

URLs in this post:

[1] Asociación Independiente de la Guardia Civil: http://www.asigc.org

[2] este artículo: http://www.xornal.es/article.php?sid=20071001080458

[3] El comentario de la denuncia: http://www.asigc.org/ver_comentarios.asp?idnoticia=2490&offset=0

[4] La Resolución examinada aquí: http://www.samuelparra.com/wp-content/uploads/2008/09/publicar-datos-en-comentarios-archivo.pdf