La Agencia Española de Protección de Datos no es competente en el caso Megaupload

Diversas notas y comentarios en varios medios de comunicación están dando a entender que una posible vía para recuperar nuestros datos alojados en Megaupload es acudir a la Agencia Española de Protección de Datos; en este sentido considero necesario aclarar que dicha Agencia no podrá ayudarnos en el caso de Megaupload por varios motivos.

Examinemos los motivos por los que debemos concluir que nuestra autoridad en materia de protección de datos de carácter personal (la Agencia Española de Protección de Datos (AEPD)), que recordemos NO es una autoridad judicial, no podrá hacer nada frente a nuestras solicitudes en relación a Megaupload en materia de su competencia: la protección de los datos de carácter personal.

En primer lugar respondamos tres preguntas claves:

¿Cuál es la nacionalidad de la empresa que gestionaba Megaupload? Megaupload era explotada por «Megaupload Limited» (entre otras sociedades) registrada y ubicada en Hong Kong y no en California como podría parecer en un primer momento.

¿Tenía sedes en España o en algún país de la Unión Europea o del Espacio Económico Europeo? NO.

Según Megaupload Limited, al hacer uso de su servicio Megaupload ¿por qué legislación me rijo? En las propias condiciones del servicio de Megaupload (que ya no están accesibles) se informaba al usuario (en inglés) que cualquier posible relación con ellos así como cualquier controversia se va a rejir por las leyes del Estado de California (EEUU).

Con esto tenemos suficiente; ahora examinemos los motivos por los que la AEPD no va a poder ayudarnos en el caso de Megaupload:

a) Comencemos por el más evidente: la AEPD no puede decirle nada a una empresa que está operando en Hong Kong y que se rije por las leyes de California. Esto es así porque nuestras leyes no se aplican en todos los paises del mundo así sin más(lógicamente).
Nuestra Ley Orgánica de Protección de Datos (LOPD) nos dice en el artículo 2.1.c que se aplicará esta LOPD cuando la empresa que trata nuestros datos no esté establecida en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito.

Es decir, si una empresa no está en la Unión Europea pero utiliza medios situados en España para tratar los datos personales, entonces sí que se le aplica nuestra LOPD aunque la empresa esté en Hong Kong. Sin entrar en lo que significa «medios situados en España», decir que una institución europea, la conocida como Grupo de Trabajo del artículo 29, en varios de sus documentos ha indicado que se entiende que una empresa utiliza medios situados en España para tratar datos cuando utiliza cookies en los ordenadores de sus «clientes» con el objetivo de tratar datos personales. Y esta es precisamente la excusa que en algunos medios se ha utilizado para afirmar que como Megaupload utilizaba cookies (presumiblemente, porque la página web ya no existe), pues entonces se aplica la LOPD española. El problema es que no cualquier cookie que una página web nos instale en nuestro navegador determina directamente la aplicación de la LOPD a la empresa que gestione esa página web (ojo, siempre según esos documentos del Grupo de Trabajo del artículo 29), se requiere además que esa cookie esté diseñada para tratar nuestros datos personales y normalmente por «tratar» debemos entender «obtener». Así por ejemplo, una cookie que sea utilizada para recordar en el navegador la marcación o no de una casilla no entraría en este caso.
Es por ello que sería necesario auditar qué hacían las cookies de Megaupload, lo cual ya es imposible. Al ser imposible determinar siquiera si Megaupload utilizaba cookies, no podremos aplicar esta excepción de «medios situados en España», por lo que la LOPD no puede ser de aplicación.

b) Megaupload Limited no tiene establecimientos permanentes ni en España ni en Europa. Esto es relevante porque se ha intentado hacer ver, de forma errónea, una similitud entre el caso de Megaupload y el caso del buscador Bing (gestionado por Microsoft en Luxemburgo).
En una reciente resolución de la AEPD se ha estimado una tutela de derechos frente al buscador Bing dirigida a Microsoft Iberica S.L. y no a Microsoft Luxemburgo. Las diferencias con el caso de Megaupload son esenciales, en primer lugar porque Luxemburgo es miembro de la Unión Europea y por tanto entra dentro de la aplicación de la Directiva Europea sobre protección de datos, pero lo determinante es que el propio buscador (la propia Microsoft) en sus condiciones de uso te da a elegir entre que te acojas a la legislación/jurisdicción de Luxemburgo o a la legislación/jurisdicción de tu país, dice así:

«Todas las demandas, incluidas las relacionadas con las leyes de protección del consumidor, la legislación relativa a la competencia desleal y en caso de responsabilidad extracontractual, se resolverán en virtud de las leyes de Luxemburgo o del país en el que usted resida. Con respecto a la jurisdicción, usted puede elegir el tribunal responsable en Luxemburgo o en el país en el que resida para resolver los conflictos derivados de este contrato o relativos a él.»

Por tanto, y teniendo en cuenta que Microsoft tiene un establecimiento permanente en España, no hay lugar a dudas de que si el ciudadano español así lo desea, puede ejercer sus derechos de protección de datos en España. Pero ojo, esta política de Microsoft lleva vigente desde el 31 de agosto de 2010.

c) Se ha indicado también que los usuarios españoles dirijan sus solicitudes en materia de protección de datos frente a las autoridades de EEUU; creo que no es necesario explicar que invocar una ley española de protección de datos ante una autoridad policial o judicial en Estados Unidos está fuera de lugar. Por supuesto, no esperéis que os respondan desde EEUU y podéis ahorraros el tiempo de acudir a nuestra AEPD para quejaros por el hecho de que el FBI o los tribunales de Estados Unidos no han atendido vuestra solicitud relativa a la protección de datos; si de hecho recientemente el Tribunal Supremo ha determinado que la AEPD no tiene competencia para actuar frente a órganos judiciales españoles, imaginaros frente a órganos de países fuera de la Unión Europea.

d) Pero es que además, aunque fuera de aplicación nuestra LOPD, los casos en los que podría aplicarse serían muy muy reducidos. Recordemos que esta ley se aplica en relación a «datos de carácter personal» y no a cualquier dato o información. Si hemos subido unos apuntes de clase, una película o una canción, todo eso no son datos de carácter personal y tampoco se va a aplicar la LOPD. Pero aunque fuesen datos de carácter personal, habría que ver cómo se demuestra que efectivamente están en los servidores ahora en poder del FBI y bajo unas leyes penales en Estados Unidos.

Llegados a este punto donde queda claro que por un motivo u otro no podremos aplicar la LOPD o la tutela de la AEPD frente a Megaupload, podemos preguntarnos ¿qué podemos hacer para recuperar esos ficheros que subí a Megaupload?

Antes de responder, pregunto yo ¿alguien se había leído las condiciones de uso de Megaupload? Es que da la sensación de que parece que las condiciones de uso de un servicio están de adorno y no, esas condiciones de uso suelen tener información importante en casos de problemas.
Veamos lo que decían las condiciones de uso de Megaupload en el apartado de «datos alojados en Megaupload por los usuarios»:

«El cliente es el único responsable y tiene la responsabilidad sobre lo que almacena en Megaupload. Megaupload anima al cliente a archivar regular y frecuentemente sus datos. El cliente tiene toda la responsabilidad por los datos que almacene y será el único responsable por la pérdida o por no poder recuperar sus datos.»

Y luego añade en el apartado «Sin garantías»:

«El uso que hagas del Servicio es bajo tu propia responsabilidad. El servicio de Megaupload es ofrecido «como es» y «con su disponibilidad». […] Megaupload no puede garantizar la duración del Servicio o que no sea interrumpido. […] Megaupload se reserva el derecho de interrumpir el servicio en cualquier momento sin previo aviso. Si no estás de acuerdo con nuestras condiciones o con nuestro Servicio o con cualquier otra de nuestras reglas, tu única opción es dejar de utilizar nuestro Servicio».

Y termina indicando lo que comentaba al principio, que cualquier controversia será resuelta por los tribunales de Santa Clara (California).

En definitiva, que Megaupload no se hacía responsable de nada que alojaras con ellos y que podían dar el servicio por terminado en cualquier momento, sin previo aviso. Esas eran sus reglas del juego y se jugaba en el Estado de California, si no te gustaba tu única opción era no jugar.

Por último añadir que en relación a la noticia sobre que la AEPD ha pedido a la Comisión Federal de Comercio en Estados Unidos información sobre lo que sucederá con los datos almacenados en Megaupload es simplemente eso, una consulta realizada por nuestra AEPD que bajo mi punto de vista tiene como finalidad la de ofrecer una falsa sensación de tranquilidad o control sobre este asunto, que realmente no tiene.

Comments
  • Nova6K0
    Posted 7 febrero 2012 13:25 0Likes

    Vuelvo a repetir lo que dije en otros foros y web. ¿Qué ocurriría si las autoridades españolas secuestrasen millones de datos de usuarios estadounidenses?… Como mínimo nos pondrían a parir a los españoles, desde USA.

    Salu2

  • Anonymous
    Posted 7 febrero 2012 13:42 0Likes

    Una cosa es que Megaupload no se haga responsable de la pérdida de datos y otra muy distinta que la entidad que ha secuestrado dicho servicio pueda acogerse a los Términos de tal empresa, es decir, el FBI no tiene ningún acuerdo con el usuario de Megaupload que le permita bloquear/eliminar sus datos personales, otra cosa bien distinta sería que el FBI hubiese pedido a Megaupload que cerrase su servidor, y Megaupload, acogiéndose a dichas condiciones de uso, hubiese podido cortar el servicio sin previo aviso, pero no es ésto lo que ha ocurrido, lo que ha ocurrido, es que el FBI ha cortado, sin previo aviso un servicio a gente que está fuera de su jurisdición, yo no tengo ningún acuerdo aceptado con el FBI en el que se especifique que pueden bloquear un servicio que yo estoy usando sin previo aviso, los norteamericanos sí, sólo por el hecho de tener nacionalidad en su jurisdición, por lo mismo que aquí tengo que aceptar cualquier decisión similar que tomen los cuerpos de seguridad de mi país, pero ningún cuerpo de seguridad tiene jurisdición sobre otros países, y menos sobre los ciudadanos.
    En otro orden de cosas,
    ¿Qué pasaría si yo me encontrase den disposición de demostrar que en los servidores de megaupload se encuentran documentos de carácter personal míos, como por ejemplo, las fotos de mi graduación?
    En ese caso, ¿Una denuncia/Reclamación por mi parte hacia el FBI tendría validez suficiente como para ser atendida?
    ¿Llegaría a haber un juicio si presento una demanda ante la comisión europea?
    ¿Habría alguna posibilidad en ese caso de que llegase a ganarlo?
    Y como ganarlo me refiero al menos a recuperar mis archivos, ya sin hablar de indemnizaciones por daños causados ni nada por el estilo…

  • Offtopicón
    Posted 7 febrero 2012 23:53 0Likes

    Hola,
    perdón por el super-offtopic:
    ¿Qué te parece el cambio en las condiciones de los servicios de Google que afectan de manera muy importante a los usuarios de dispositivos Android?

    Veo que hay mucha polémica con esto por ahí, porque como se ha demostrado recientemente esto de la nube se lo puede llevar cualquier viento o cualquier granuja…

Leave A Comment

Your email address will not be published. Required fields are marked *