- Protección de datos personales - http://www.samuelparra.com -

La Agencia Española de Protección de Datos no es competente en el caso Megaupload

Posted By Samuel Parra On Martes, 7 febrero 2012 @ 3:10 In Consumidores,Internet,Opinión | 4 Comments

Diversas notas [1] y comentarios en varios medios [2] de comunicación [3] están dando a entender que una posible vía para recuperar nuestros datos alojados en Megaupload es acudir a la Agencia Española de Protección de Datos; en este sentido considero necesario aclarar que dicha Agencia no podrá ayudarnos en el caso de Megaupload por varios motivos.

Examinemos los motivos por los que debemos concluir que nuestra autoridad en materia de protección de datos de carácter personal (la Agencia Española de Protección de Datos (AEPD)), que recordemos NO es una autoridad judicial, no podrá hacer nada frente a nuestras solicitudes en relación a Megaupload en materia de su competencia: la protección de los datos de carácter personal.

En primer lugar respondamos tres preguntas claves:

¿Cuál es la nacionalidad de la empresa que gestionaba Megaupload? Megaupload era explotada por “Megaupload Limited” (entre otras sociedades) registrada y ubicada en Hong Kong y no en California como podría parecer en un primer momento.

¿Tenía sedes en España o en algún país de la Unión Europea o del Espacio Económico Europeo? NO.

Según Megaupload Limited, al hacer uso de su servicio Megaupload ¿por qué legislación me rijo? En las propias condiciones del servicio de Megaupload (que ya no están accesibles) se informaba al usuario (en inglés) que cualquier posible relación con ellos así como cualquier controversia se va a rejir por las leyes del Estado de California (EEUU).

Con esto tenemos suficiente; ahora examinemos los motivos por los que la AEPD no va a poder ayudarnos en el caso de Megaupload:

a) Comencemos por el más evidente: la AEPD no puede decirle nada a una empresa que está operando en Hong Kong y que se rije por las leyes de California. Esto es así porque nuestras leyes no se aplican en todos los paises del mundo así sin más(lógicamente).
Nuestra Ley Orgánica de Protección de Datos (LOPD) nos dice en el artículo 2.1.c que se aplicará esta LOPD cuando la empresa que trata nuestros datos no esté establecida en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito.

Es decir, si una empresa no está en la Unión Europea pero utiliza medios situados en España para tratar los datos personales, entonces sí que se le aplica nuestra LOPD aunque la empresa esté en Hong Kong. Sin entrar en lo que significa “medios situados en España”, decir que una institución europea, la conocida como Grupo de Trabajo del artículo 29, en varios de sus documentos ha indicado que se entiende que una empresa utiliza medios situados en España para tratar datos cuando utiliza cookies en los ordenadores de sus “clientes” con el objetivo de tratar datos personales. Y esta es precisamente la excusa que en algunos medios se ha utilizado para afirmar que como Megaupload utilizaba cookies (presumiblemente, porque la página web ya no existe), pues entonces se aplica la LOPD española. El problema es que no cualquier cookie que una página web nos instale en nuestro navegador determina directamente la aplicación de la LOPD a la empresa que gestione esa página web (ojo, siempre según esos documentos del Grupo de Trabajo del artículo 29), se requiere además que esa cookie esté diseñada para tratar nuestros datos personales y normalmente por “tratar” debemos entender “obtener”. Así por ejemplo, una cookie que sea utilizada para recordar en el navegador la marcación o no de una casilla no entraría en este caso.
Es por ello que sería necesario auditar qué hacían las cookies de Megaupload, lo cual ya es imposible. Al ser imposible determinar siquiera si Megaupload utilizaba cookies, no podremos aplicar esta excepción de “medios situados en España”, por lo que la LOPD no puede ser de aplicación.

b) Megaupload Limited no tiene establecimientos permanentes ni en España ni en Europa. Esto es relevante porque se ha intentado hacer ver, de forma errónea, una similitud entre el caso de Megaupload y el caso del buscador Bing (gestionado por Microsoft en Luxemburgo).
En una reciente resolución de la AEPD [4] se ha estimado una tutela de derechos frente al buscador Bing dirigida a Microsoft Iberica S.L. y no a Microsoft Luxemburgo. Las diferencias con el caso de Megaupload son esenciales, en primer lugar porque Luxemburgo es miembro de la Unión Europea y por tanto entra dentro de la aplicación de la Directiva Europea sobre protección de datos, pero lo determinante es que el propio buscador (la propia Microsoft) en sus condiciones de uso [5] te da a elegir entre que te acojas a la legislación/jurisdicción de Luxemburgo o a la legislación/jurisdicción de tu país, dice así:

“Todas las demandas, incluidas las relacionadas con las leyes de protección del consumidor, la legislación relativa a la competencia desleal y en caso de responsabilidad extracontractual, se resolverán en virtud de las leyes de Luxemburgo o del país en el que usted resida. Con respecto a la jurisdicción, usted puede elegir el tribunal responsable en Luxemburgo o en el país en el que resida para resolver los conflictos derivados de este contrato o relativos a él.”

Por tanto, y teniendo en cuenta que Microsoft tiene un establecimiento permanente en España, no hay lugar a dudas de que si el ciudadano español así lo desea, puede ejercer sus derechos de protección de datos en España. Pero ojo, esta política de Microsoft lleva vigente desde el 31 de agosto de 2010.

c) Se ha indicado también que los usuarios españoles dirijan sus solicitudes en materia de protección de datos frente a las autoridades de EEUU; creo que no es necesario explicar que invocar una ley española de protección de datos ante una autoridad policial o judicial en Estados Unidos está fuera de lugar. Por supuesto, no esperéis que os respondan desde EEUU y podéis ahorraros el tiempo de acudir a nuestra AEPD para quejaros por el hecho de que el FBI o los tribunales de Estados Unidos no han atendido vuestra solicitud relativa a la protección de datos; si de hecho recientemente el Tribunal Supremo ha determinado que la AEPD [6] no tiene competencia para actuar frente a órganos judiciales españoles, imaginaros frente a órganos de países fuera de la Unión Europea.

d) Pero es que además, aunque fuera de aplicación nuestra LOPD, los casos en los que podría aplicarse serían muy muy reducidos. Recordemos que esta ley se aplica en relación a “datos de carácter personal” y no a cualquier dato o información. Si hemos subido unos apuntes de clase, una película o una canción, todo eso no son datos de carácter personal y tampoco se va a aplicar la LOPD. Pero aunque fuesen datos de carácter personal, habría que ver cómo se demuestra que efectivamente están en los servidores ahora en poder del FBI y bajo unas leyes penales en Estados Unidos.

Llegados a este punto donde queda claro que por un motivo u otro no podremos aplicar la LOPD o la tutela de la AEPD frente a Megaupload, podemos preguntarnos ¿qué podemos hacer para recuperar esos ficheros que subí a Megaupload?

Antes de responder, pregunto yo ¿alguien se había leído las condiciones de uso de Megaupload? Es que da la sensación de que parece que las condiciones de uso de un servicio están de adorno y no, esas condiciones de uso suelen tener información importante en casos de problemas.
Veamos lo que decían las condiciones de uso de Megaupload en el apartado de “datos alojados en Megaupload por los usuarios”:

“El cliente es el único responsable y tiene la responsabilidad sobre lo que almacena en Megaupload. Megaupload anima al cliente a archivar regular y frecuentemente sus datos. El cliente tiene toda la responsabilidad por los datos que almacene y será el único responsable por la pérdida o por no poder recuperar sus datos.”

Y luego añade en el apartado “Sin garantías”:

“El uso que hagas del Servicio es bajo tu propia responsabilidad. El servicio de Megaupload es ofrecido “como es” y “con su disponibilidad”. […] Megaupload no puede garantizar la duración del Servicio o que no sea interrumpido. […] Megaupload se reserva el derecho de interrumpir el servicio en cualquier momento sin previo aviso. Si no estás de acuerdo con nuestras condiciones o con nuestro Servicio o con cualquier otra de nuestras reglas, tu única opción es dejar de utilizar nuestro Servicio”.

Y termina indicando lo que comentaba al principio, que cualquier controversia será resuelta por los tribunales de Santa Clara (California).

En definitiva, que Megaupload no se hacía responsable de nada que alojaras con ellos y que podían dar el servicio por terminado en cualquier momento, sin previo aviso. Esas eran sus reglas del juego y se jugaba en el Estado de California, si no te gustaba tu única opción era no jugar.

Por último añadir que en relación a la noticia sobre que la AEPD ha pedido a la Comisión Federal de Comercio [7] en Estados Unidos información sobre lo que sucederá con los datos almacenados en Megaupload es simplemente eso, una consulta realizada por nuestra AEPD que bajo mi punto de vista tiene como finalidad la de ofrecer una falsa sensación de tranquilidad o control sobre este asunto, que realmente no tiene.


Article printed from Protección de datos personales: http://www.samuelparra.com

URL to article: http://www.samuelparra.com/2012/02/07/la-agencia-espanola-de-proteccion-de-datos-no-es-competente-en-el-caso-megaupload/

URLs in this post:

[1] notas: http://alt1040.com/2012/01/que-derechos-tienen-los-usuarios-de-megaupload

[2] comentarios en varios medios: http://www.rtve.es/noticias/20120130/proteccion-datos-pregunta-eeuu-sobre-informacion-alojada-megaupload/493872.shtml

[3] comunicación: http://www.elpais.com/psp/index.php?module=elp_pdapsp&page=elp_pda_noticia&idNoticia=20120130elpneptec_3.Tes&seccion=tec

[4] reciente resolución de la AEPD: http://www.agpd.es/portalwebAGPD/resoluciones/tutela_derechos/tutela_derechos_2011/common/pdfs/TD-01230-2011_Resolucion-de-fecha-28-12-2011_Art-ii-culo-16-LOPD.pdf

[5] en sus condiciones de uso: http://explore.live.com/microsoft-service-agreement?mkt=es-es

[6] el Tribunal Supremo ha determinado que la AEPD: http://derechoynormas.blogspot.com/2012/02/la-agencia-de-proteccion-de-datos-no.html

[7] noticia sobre que la AEPD ha pedido a la Comisión Federal de Comercio: http://www.rtve.es/noticias/20120130/proteccion-datos-pregunta-eeuu-sobre-informacion-alojada-megaupload/493872.shtml