Las modernas iniciativas electorales de los partidos políticos no respetan la protección de datos

Vaya por delante que no soy militante de ningún partido político.
Esta entrada tiene como detonante esta noticia. En resumen, nos comentan que la iniciativa del PP de la web http://www.tupropuestaen30segundos.com/
donde cualquiera podía introducir su número de teléfono y su nombre para que recibiera una llamada con una locución de Mariano Rajoy ha desbordado todas las previsiones; ahora han sustituido la llamada telefónica por un email.

Me ha resultado curiosa la propuesta y he visitado esa web con la intención de ver como trataban a la Ley Orgánica de Protección de Datos.

Mis conclusiones son inatacables; en total he contabilizado 4 infracciones, lo que podría sumar 450.000 euros en multas como máximo.

En primer lugar, y para entender bien los supuestos, os recomiendo que visitéis la web http://www.tupropuestaen30segundos.com/ y hagáis clic en lo de “te necesitamos pincha aquí”; así sabréis de qué estamos hablando.

Hecho esto, os habréis dado cuenta que tan sólo nos piden 2 datos: el nombre y el correo electrónico (antes pedían el número de teléfono en lugar del email).
El nombre por sí sólo no es posible considerarlo un dato personal, ya que Juan o Pedro no identifican a nadie, pero el correo electrónico sí.

Por tanto, podemos afirmar, que este formulario está “recabando datos personales”. Y la pregunta es ¿qué medidas debemos adoptar cuando recabamos datos personales?. Veamos qué dice el artículo 5 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal:

1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:
a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Los apartados b), c) y d) podrían obviarse en este supuesto según el apartado tercero de este mismo artículo (aunque siendo puristas debería también respetarse).
En cualquier caso, la información correspondiente a los apartados a) y e) es necesaria y en este caso, como cualquier puede ver, brilla por su ausencia. PRIMERA INFRACCIÓN.
Pasamos al siguiente artículo, el 6 de esta misma Ley Orgánica de Protección de Datos:

Artículo 6. Consentimiento del afectado
1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.
2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; […]

El tratamiento de los datos (enviar un correo electrónico es un “tratamiento de datos”) como vemos, requiere el consentimiento del interesado. En este caso podría entenderse que estamos dando nuestro consentimiento para el tratamiento, ya que estamos introduciendo los datos en un formulario; el problema es que realmente uno no sabe que va a pasar cuando pulse el botón de aceptar ¿que harán con mi correo electrónico?. Al no informarse de nada y al no poder interpretarlo del contexto, no es posible afirmar que estamos consintiendo al tratamiento de nuestros datos por faltar uno de los requisitos esenciales del consentimiento. El consentimiento se define en el artículo 3 como:

Consentimiento del interesado: Toda manifestación de voluntad, libre, inequívoca, específica e informada

Los requisitos de “libre”, “inequívoca”, y “específica” podríamos aceptarlos, pero el de “informada” desde luego que no, por lo ya expuesto: no es posible saber qué van a hacer con mi correo electrónico al no informarme de nada. SEGUNDA INFRACCIÓN.
Por otra parte, el correo electrónico debe almacenarse en algún sitio para su tratamiento y posterior envío del mensaje de Mariano; es decir, estamos constituyendo un fichero de datos aunque sea de forma temporal, dado que un listado de correos electrónicos, es sin duda, un fichero de datos personales.
A la hora de constituir un fichero de datos, es necesario estar a lo dispuesto en el artículo 26 de la Ley Orgánica de Protección de Datos:

Artículo 26. Notificación e inscripción registral
1. Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos.

No me ha sido posible encontrar el fichero de datos que genera esa página web en el Registro General de la Agencia Española de Protección de Datos. TERCERA INFRACCIÓN.
Por último, examinando el contenido del correo electrónico que recibimos en nombre de Mariano Rajoy, uno puede concluir en afirmar que podríamos estar ante un supuesto de comunicación comercial no consentida, en relación al artículo 21 de la Ley de Servicios de la Sociedad de la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI-CE):

Artículo 21. Prohibición de comunicaciones comerciales realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes.
1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.

En el correo electrónico se nos invita a participar con un spot electoral acudiendo a una dirección web del PP (la anteriormente citada)… ¿ah? ¿para eso tenía que poner mi correo electrónico? ¿para qué me enviaseis publicidad para participar en vuestras iniciativas?; pero peor aun es si le damos a la opción de “reenviar a un amigo” que también está disponible en la web; allí podremos introducir el nombre y el correo electrónico de un amigo para que le llegue un mensaje que simplemente pone

“Visita esta web!!
http://www.tupropuestaen30segundos.com
te sorprenderá”

Como remitente aparece mariano.rajoy@pp.es
Sin duda alguna nos encontramos ante el supuesto descrito en el artículo 21 de la LSSI-CE. CUARTA INFRACCIÓN y más aun si ponemos la dirección de otra persona (de esto ya hablaremos en el futuro para ver la responsabilidad de lo de “enviar a un amigo”).

Según el régimen sancionador de estas normativas, tendríamos:

  • Primera infracción: infracción leve, con multa de entre 600 y 60.000 euros
  • Segunda infracción: infracción grave, con multa de entre 60.000 y 300.000 euros
  • Tercera infracción: infracción leve, con multa de entre 600 y 60.000 euros
  • Cuarta infracción: infracción leve, con multa de hasta 30.000 euros.

Esto viene a demostrar como la normativa de protección de datos sigue siendo la gran desconocida no sólo en el mundo empresarial sino también en el político.

Si tenemos tiempo, hablaremos en unos días de algunas iniciativas del PSOE que tampoco se queda corto.

19 comentarios en “Las modernas iniciativas electorales de los partidos políticos no respetan la protección de datos”

  1. Genial Análisis Samuel!!!!!!!!!
    Sin duda, la protección de datos, como dices, es la gran desconocida. Los que nos dedicamos a ello podemos ver, día a día, como la mayoría de nuestros clientes (de todo tipo) “pasan de todo” (perdón por la expresión).
    Eso sí, cuando hay problemas (sobre todo una inspección por una queja de un afectado) se intentan “poner las pilas”, aunque a veces es demasiado tarde.
    Por eso cuando dicen que la nuestra normativa es la más dura del mundo, pienso que es normal, porque en este país, sin “mano dura” no se hacen las cosas.

    Un saludo.

    Responder
  2. Muy bueno el análisis, resulta curioso cómo con incluir un poco de texto informativo en la web y un simple checkbox, te puedes ahorrar un marrón.

    Entrando en modo capcioso y para aportar algo, sólo una pregunta: ¿entraría en este mismo ámbito los comentarios en un wordpress como el tuyo? Porque aquí también se solicita correo electrónico para escribir el comentario, sin embargo dice que no se publicará… pero ya que lo pide el wordpress, puede quedar registrado en la base de datos y posteriormente recibir tratamiento. Entonces, ¿una página personal de este tipo también entraría en estos artículos de la LOPD?

    Responder
  3. 12 horas después de escribir este artículo, han puesto un Aviso Legal en la web informando precisamente de lo que aquí se estaba advirtiendo. http://www.tupropuestaen30segundos.com/aviso_legal.htm

    Eso sí, aunque allí se afirma que los datos personales se encuentran en un fichero de datos debidamente inscrito en el Registro General, yo sigo sin poder ubicar esos datos que los ciudadanos introducen en ninguno de los ficheros que actualmente tiene el Partido Popular declarados (https://www.agpd.es/index.php?idSeccion=100)

    Responder
  4. Hola,

    La verdad es que yo tampoco puedo encontrar un fichero cuyo responsable sea el Partido Popular (eso es lo que dicen en el aviso legal) en el acceso informatizado que pueda servir para esto. Tal vez sea un error que impide que aparezca, vamos a darles el beneficio de la duda.

    Además, mira cómo se han preocupado, que ya han incorporado las medidas de seguridad del RD 1720/2007 (o eso, o les ha sonado bien añadirlo al texto estándar que hayan cogido de alguna parte).

    Un saludo,

    Sergio Carrasco

    Responder
  5. #3, #4 Cuando se solicita la inscripción de un fichero en el registro, no se muestra inmediatamente hasta que no se resuelve el expediente incoado.
    O lo que es lo mismo, que pueden haberlo pedido, pero hasta que no resuelva la AGPD no aparecerá en las búsquedas que actualmente puedes hacer 😉

    Probad en un mes o así (al menos eso tardó el par de registros que he gestionado en su momento)

    Responder
  6. Buenas, Samuel

    ¿Crees que la primera y la segunda infracción surgen de un mismo hecho y que por tanto sólo sería aplicable la sanción de la infracción segunda o las ves como dos infracciones?

    Gracias

    Responder
  7. Samuel, tu análisis es genial. Pero sin ánimo de quitarte méritos, parece que en el PP ya estaban sobre aviso de que estaban incumpliendo la ley desde el mismo Lunes (es que cantaba) y de que había gente que iba a denunciarlos. Yo mismo recibí 12 llamadas y estoy estudiando denunciarlos para que le digan a la policía la IP del “gracioso” que me “acosó”.Ç

    Lo que está claro es que han mentido varias veces, primero ocultando que su web fue hackeada el viernes para hacer llamadas gratis, segundo, hipocritamente presumiendo de exito cuando su web era el hazmerreir de toda la Red. Y tercero, diciendo que los datos de los internautas no estaban siendo guardados, cuando se ha demostrado que no era así. Ahora dicen que los borrarán en un mes… ¿la cuarta mentira?
    Además, ¿qué datos borrarán? ¿el e-mail? ¿Y desde cuando? Porque mi móvil lo introdujeron cuando no estaba puesto el aviso.

    Lo que está clarísimo es que los que asesoran a Rajoy en matera de Webs son unos inútiles ¿A QUIEN SE LE OCURRE HACER UNA WEB QUE SOLO SIRVE PARA ROBAR DATOS Y MOLESTAR A LA GENTE?

    Y lo que no me explico es como no le ha caido un paquete a Rajoy por parte de la AUI, de la Prensa, de la AGPD, o incluso del mismo PSOE. ¿Es que Rajoy tiene bula papal para saltarse la Ley?
    Mira como los de la AUI callan, nunca les verás morder la mano que les dió de comer.

    Por cierto, me han dicho que los datos de los móviles los enviaban a una empresa americana via web, que luego lo enviaba a un servidor de Telefonía en Francia. Mis datos han quedado registrados en todos esos sitios (más en la factura de 30.000 € que recibiran a fin de mes en el PP).
    ¿También los borrarán de allí?

    ¿No dice la LOPD algo sobre que la transferencia internacional de datos es un delito muy, muy grave?

    Salvador, gracias por dejarme explayarme tanto. Es que estoy que exploto. No se pueden hacer las cosas así de mal.

    Responder
  8. Hola deincognito. En respuesta a tu pregunta, yo veo dos infracciones distintas, y por tanto, con sus respectivas sanciones por separado. El artículo 5.1 está claro que es violado (o era) de eso no cabe duda, y el segundo, el 6, aunque se deriva de una falta de información, lo cierto es que se produce un tratamiento de datos sin consentimiento, circunstancia y hecho distinto al de no informar.

    De hecho es muy normal encontrar Resoluciones de la AEPD donde se sancione por el artículo 5 y 6, ya que, por norma general, si te sancionan por no informar es muy posible que también te sancionen por no pedir el consentimiento.

    Responder
  9. Hola Emilio.

    Respecto a las transferencias de datos, en principio se requiere autorización de la AEPD para poder llevarla a cabo, a no ser que el país de destino sea miembro de la Unión Europea (caso de Francia); en este caso no se necesita nada, excepto el consentimiento del interesado, que en este caso no hay.

    Respecto a Estados Unidos, sería necesaria autorización de la AEPD según últimas informaciones de las que dispongo.
    Ahora mismo no recuerdo si EEUU es considerado un “puerto seguro”, pero lo cierto es que en 2007 la AEPD autorizó una docena de transferencias a EEUU.

    Responder
  10. Hola Joshua.

    Acabo de mirarlo y el Partido Popular no tienen ningún fichero pendiente de ser inscrito, es decir, no hay petición o trámite pendiente alguno sobre fichero en la AEPD 🙂

    Responder
  11. Samuel, si interpongo una demanda al PP en una comisaría para que localicen al que introdujo varias veces mi número en la web del PP, ¿Tú crees que la policia puede obligarles a presentar todos los registros de las llamadas que hicieron?
    ¿Que ocurriría si dijesen que no los tienen como han dicho en la Prensa?

    Otra cosa. Acabo de consultar en esta página:
    https://www.agpd.es/index.php?idSeccion=94

    Y dice:
    La información está actualizada a las siguientes fechas:
    – Ficheros de Titularidad Pública: 02/02/2008
    – Ficheros de Titularidad Privada: 02/02/2008

    ¿Puede ser por eso que no te apareciera el Fichero del Partido Popular? Espero que no ;-D

    Un saludo y gracias por tus respuestas

    Responder
  12. Hola Emilio.

    Pues no sé como terminaría si denuncias, pero yo creo que te dirían, en fase de instrucción o investigación, que la web no guarda la IP de quien pone cada número y que por tanto, en virtud del principio de presunción de inocencia, se archiva el caso al no poder probarse que otro haya utilizado mal el “servicio” (habrías podido ser tú mismo quien se llamaba)… O también que no guardan los número de teléfonos… etc

    No obstante, si alguien denunciase por no tener el fichero inscrito ahí sí que terminarían en sancionar seguro; el fichero no es que no aparezca inscrito en el registro, que no aparece (aunque no esté actualizado al día el Registro), es que no aparece petición pendiente alguna por parte del Partido Popular.
    Esto es, cuando uno procede a inscribir un fichero, le comunica a la Agencia, con su formulario NOTA, todos los datos de ese fichero, pero hasta que lo tramitan y aparece ya ” a la vista del público” pueden pasar un par de semanas.
    En el caso del PP es que no hay tramitación ninguna de ningún fichero.

    Responder
  13. Resulta que yo asesoro a una de las empresas que ha desarrollado esta campaña de tu propuesta en 30 segundos. Y os puedo asegurar que mi cliente (a propuesta mía), por activa y por pasiva no dejó de recalcar este tema. La respuesta en las diversas reuniones que tuvieron fue: “no te preocupes, eso esta controlado” (o algo por el estilo)…
    El tema de la inscripción del fichero, creo que lo han argumentado que se podría incluir en el de SUSCRIPCIONES.
    Samuel, ¿como puedes saber si hay algún fichero pendiente de ser inscrito si no sale en la web de la Agencia?

    Responder
  14. Hola Javier.

    Estoy convencido de que tu cliente hizo lo correcto, yo también he vivido y vivo en carne propia que no te hagan ni caso con esto… aunque eso sí, cuando les vengan encima una multa de 60.000 euros verás como entonces si que te escuchan… y encima pretenderán que les salves de la multa.

    Respecto al fichero SUSCRIPCIONES, he visto la finalidad de ese fichero y no encaja en el supuesto que estamos examinando… pero vamos, que no pretendo ser tan quisquilloso…

    Responder
  15. Hola Samuel,
    comentas que el nombre por sí solo no es posible considerarlo un dato personal, ya que Juan o Pedro no identifican a nadie. Pero, ¿lo sería “Pedro Pérez, español y residente en Madrid”? Me dicen que no, pero yo no lo veo tan claro. Creo que cierta información será dato personal o no, dependiendo de las circunstancias: sólo con la nacionalidad española y un lugar de residencia como Madrid, yo no puedo identificar a esa persona, pero si esa información se publica en un entorno de personas que conocen al tal Pedro, sí que sería dato personal, no? De igual forma que sólo el nombre, Juan o Pedro, en determinadas circunstancias sí que podrían ser dato personal…

    Responder
  16. Tambien nos encontramos del cumplimiento de la ley por exceso, o mas bien como excusa para no hacer algo que se debe hacer. Ejemplos:
    – Miembros de la jerarquia católica dicen no poder dar al juez Garzon datos acerca de los desaparecidos en la Guerra Civil, porque lo impide la ley de protección de datos. Ignoran dos cosas 1)que los datos de los difuntos 2) las solicitudes de un juez están excepcionadas de la LOPD.
    – Miembros de un consistorio niegan a la oposición datos de tipo económico, basandose en la LOPD, sin saber que la ley no protege datos no personales.

    Respecto a la aplicabilidad de la LSSI, la Agencia está haciendo una interpretación literal del art. 21, por lo que no siendo información comercial, no sancionarian.

    Respecto a las sanciones, nuestro amigo Samuel hace una transcripción literal del abanico establecido en le LOPD, pero la Agecia aplica sistemáticamente el mínimo, solo excepcionalmente incremeta la sanción y, ademas, este director está siendo especialmente benigno en la aplicación del 45.5.

    Responder
  17. Para Peter: un dato personal por definición puede ser cualquier cosa (incluso la silueta de una persona como ya vimos). Partiendo de eso, Pedro o Pedro Pérez podría ser o no un dato personal, ya que como bien dices dependerá del contexto. Dato personal puede ser cualquier secuencia numérica que identifica a una persona en concreto, ya sea en general o dentro de un ámbito muy reducido… dato personal puede ser incluso el color de los pantalones que llevas hoy puestos 🙂 (aunque en esto algunos no están de acuerdo).

    Para Pit: tienes toda la razón, la AEPD aplica con exceso el 45.5, y me gustaría saber a qué obedece ¿querrá quitarse la AEPD la imagen de castigador/recaudador?, ¿entenderá que la cuantía de las multas son excesivas en muchos casos?…

    Responder
  18. De lo que he podido hablar con gente de la Agencia, efectivamente quieren quitarse el San Benito que tienen de sancionadores.

    Y es que cuando alguien recibe el fatídico fax de aviso de inspección, casi que se puede dar por sancionado. Y encima el fax lo mandan a unas horas que no veas… no antes de la una de la tarde del día anterior, y eso cuando avisan.

    Responder
  19. Sois unos redichos, me perece genial que esa web pida los e-mails de la gente, así pueden comunicarse con ellos, mientras no pidan el número secreto de la tarjeta de crédito… !Tíos, sois patéticos!

    Responder

Deja un comentario