Etiquetas

, ,

Hoy es noticia que el abogado general del Tribunal de Justicia de la UE opina que Google no tiene por qué borrar datos de terceros cuando son producidos por otros. El procedimiento contra Google comenzó por un requerimiento de la AEPD, me recordó un caso en Menéame donde hubo un claro ejemplo de uso abusivo de las denuncias a la agencia. No es el único caso de personas cuyo nombre sale en una noticia y que es copiado en un envío a Menéame y luego nos denuncias a la AEPD, pero este caso fue casi fantástico, y de una noticia que ni siquiera salió publicada.

A principios de febrero de 2011 nos escriben varios emails de varios remitentes, sin identificarse correctamente como la persona afectada, para que eliminemos ese envío. Después de tantas insistencias y ver que sí afectaban a tercero, el 4 de febrero decidimos cambiar su nombre por las iniciales. Así lo hicimos saber a los que enviaron los emails.

Pero a finales de marzo nos llega una notificación de la AEPD de que se había abierto procedimiento porque la habíamos “denegado al derecho de cancelación de datos personales contenidos en los ficheros de la entidad MENEAME.NET”.

Obviamente, era ridícula la denuncia, por varios motivos. Prefiero remitirme a un extracto de las alegaciones que nuestra abogada envió a la AEPD:

1.- en cuanto al derecho de cancelación, nuestros ficheros se refieren a nuestros usuarios: quien hace la petición de cancelación no es usuario de nuestra web (Anexo 1). No obstante, en ningún caso se piden datos personales a nuestros usuarios, sino tan solo una dirección de correo electrónico (y aún así, Don XXXXXX, que sepamos, no es usuario).

Por tanto la solicitud de cancelación no ha sido denegada, puesto que no obra en nuestras bases dato alguno del peticionario para corroborar su solicitud, referente, si se avala en la LOPD, a sus datos como usuario de nuestra web.

Y, aunque los datos fueran de un usuario, no se ha facilitado a Menéame Comunicacions SL ninguna prueba de legitimación: ni para el borrado según la LOPD, ni para el borrado según la LSSI; según la propia AEPD: Debido al carácter personalísimo de los datos de carácter personal es necesario aportar fotocopia del D.N.I. o documento equivalente que pruebe la identidad del afectado y sea considerado válido en derecho de modo que el responsable del fichero pueda constatarla. También puede ejercitarse a través de representante legal.”

Por otro lado la AEPD también dice:

Para que la Agencia Española de Protección de Datos pueda iniciar el procedimiento de tutela resulta necesario que hayan transcurrido diez días hábiles sin que el responsable haya hecho efectivo el derecho, y aporte alguno de los siguientes documentos:

• la negativa del responsable del fichero a la cancelación de los datos solicitados.

• copia sellada por el responsable del fichero del modelo de petición de cancelación.

• copia del resguardo del envío por correo certificado o de la copia de la solicitud con el sello de la oficina de correos.

• cualesquiera otros medios de prueba facilitados por el responsable del fichero y de los que se pueda deducir la recepción de la solicitud. “

A este respecto solo añadir que, a pesar de que los datos no son objeto de cancelación según la LOPD, Don XXXXX no ha hecho efectivo su derecho conforme a los parámetros establecidos por la propia AEPD, tampoco se ha negado el borrado, conforme a la LSSI, a aquellos que en su nombre (pero sin prueba de legitimación para ello) lo han solicitado; las peticiones, aunque inoficiosas por no tratarse de datos protegidos por la LOPD, no han sido realizadas ni con copia sellada por Menéame Comunicacions SL, ni por correo certificado ni en el mail que consta como contacto en la AEPD.

No obstante todo ello, atendiendo a la LSSI, se cancelaron los datos personales de Don XXXX el 4 de febrero de 2011.

Por todo lo anterior, consideramos que la petición a la AEPD es improcedente, por no tratarse de un dato que regule la LOPD, e innecesaria, puesto que los datos se borraron conforme a la LSSI desde el día posterior a la primera notificación de que había datos de un particular en nuestra web.

2.- por otro lado, ateniéndonos a la LSSI sí se borraron efectivamente los datos de Don XXXXX de nuestra web, (Anexos 2, 3 y 4: e-mails contestando a aquellos que decían ser afectados, sin identificación fehaciente de ser quienes decían ser y con lenguaje, cuanto menos extraño, que nos hizo pensar que se trataba de una broma en el Anexo 4 mail de 7 de febrero). Los datos fueron borrados y así se hizo saber a los tres interlocutores diferentes que tuvimos, borrado que fue en todo caso anterior a la petición a la AEPD por parte del Señor XXXXX (ver Anexo 4 mail de 4 de febrero y posteriores; ver Anexo 3 mail de 14 de febrero de 2011).

3.- los datos fueron borrados conforme a la LSSI, que es la aplicable en este caso concreto, a pesar de no haber recibido notificación fehaciente ni mandato de la autoridad competente, basándonos en una petición informal y considerando que era fundada, a pesar de desconocer si quien la realizaba era realmente persona afectada, como hacemos siempre que ocurre un caso similar en nuestra web en cuanto somos conscientes de ello.(Anexo 5: imagen de como realmente está el envío desde el 4 de febrero de 2011, corroborada esta fecha en los e-mails de los Anexos 2, 3 y 4).

Por todo lo anteriormente expuesto, junto con los anexos que lo desarrollan y avalan

SOLICITO que teniendo por presentado este escrito y por aportados los documentos que lo acompañan, tenga por formuladas las alegaciones que constan en el cuerpo del mismo, con el objeto de que sean tenidas en cuenta en el procedimiento de referencia y especialmente en la resolución del mismo.

Creíamos que aquí acabaría la historia, la respuesta era clara, los datos ya no constaban desde antes que se hiciese la denuncia a la AEPD, y habíamos presentado a la AEPD copia de todos los emails, entre ellos que notificamos que se habían borrado los datos personales. Pero en agosto de 2011 recibimos una resolución (R/01627/2011) del Director de la AEPD por la que debíamos “acreditar el deber de respuesta al demandante”.

Aquí no pudimos evitar un:facepalm: colectivo. Era absurdo, una pérdida de tiempo para la empresa y sobre todo para la AEPD. El siguiente es un extracto del Recurso de Reposición que tuvimos que presentar a la AEPD:

1.- en cuanto al deber de respuesta, se contestó a aquellos que decían ser afectados, sin identificación fehaciente de ser quienes decían ser. Los datos fueron borrados y así se hizo saber a los tres interlocutores diferentes que tuvimos, borrado que fue en todo caso anterior a la petición a la AEPD por parte del Señor XXXXX (ver Anexo 2 mail de 4 de febrero y posteriores; ver Anexo 1 mail de 14 de febrero de 2011; Anexos 4 y 3 respectivamente de la comunicación enviada el 7 de abril de 2011).

2.- Conforme al Fundamento de Derecho Séptimo de su resolución reconoce la propia AEPD que se dieron comunicaciones via e-mail entre el afectado y Meneame.net; en el mail de fecha 14 de febrero de 2011 del Anexo 2, remitido ya anteriormente, se comunicó el borrado de los datos.

En cuanto a la falta de aportación de DNI no se pidió copia del mismo por tratarse de un mail (estos documentos son fácilmente falsificables); no obstante, a nuestro parecer la copia o escaneado de cualquier documento identificativo oficial no debería ser suficiente sin una compulsa oficial o una entrega presencial de dicha copia. Es por ello que se atendió a la reclamación aun cuando no nos constaba la identidad de nuestro interlocutor.

En cuanto al borrado de los datos se resolvió el mismo al ver que afectaba a terceros particulares, independientemente de que quien reclamase el borrado fuera el titular de tales derechos o no. La recepción estaba acreditada en ese momento, no así la identidad del reclamante; no obstante, se procedió a la cancelación de los datos personales del Señor XXXXX atendiendo a la protección de los intereses de terceros particulares. En ningún momento hemos dicho que no se acreditara la recepción, de lo que se dudó era de la identidad del reclamante, y aún así se procedió al borrado de los datos.

No obstante al final del citado Fundamento se requiere a Meneame.net el cumplimiento del artículo 25.5 RLOPD.

Artículo 25.5 RLOPD. Corresponderá al responsable del tratamiento la prueba del cumplimiento del deber de respuesta al que se refiere el apartado 2, debiendo conservar la acreditación del cumplimiento del mencionado deber.

Cumplimiento que queda debidamente acreditado en los anexos siguientes que, como ya se ha comentado anteriormente, fueron enviados en su momento.

Artículo 25.2 RLOPD. El responsable del tratamiento deberá contestar la solicitud que se le dirija en todo caso, con independencia de que figuren o no datos personales del afectado en sus ficheros.

Reiteramos que eso es lo que se hizo en todo momento, por lo que no entendemos porque se reclama que informemos nuevamente del acto del borrado. Mis clientes se preguntan por qué si un mail es suficiente para reclamar no lo es otro mail para informar, máxime teniendo en cuenta que tanto reclamación, como contestación se remitieron a la propia AEPD en un momento anterior.

Por todo lo anteriormente expuesto, junto con los anexos que lo desarrollan y avalan

SOLICITO que teniendo por presentado este escrito y por aportados los documentos que lo acompañan, tenga por formuladas las alegaciones que constan en el cuerpo del mismo, con el objeto de que sean tenidas en cuenta en el procedimiento de referencia y especialmente en la reposición del mismo.

Aunque el caso de Google es diferente, tiene una similitud: lo inicia la AEPD. Esta agencia se está usando para “censurar” (alerta, hay comillas) la publicación de información personal, saltándose otros procedimientos (como la LSSI/LISI) e incluso obviando lo mínimo razonable, como identificarse fehacientemente como afectado. Lo peor es que la AEPD parece ser demasiado sensible a estas denuncias e inicia procedimientos rápidamente sin siquiera verificar la verosimilitud de lo denunciado… aún en los casos en que les consta que la denuncia es improcedente (tenían copias de nuestras respuestas por el mismo medio en el que llegaron las solicitudes).

Todo esto está pasando, entre otras cosas, por las pésimas redacciones de leyes como la LOPD y LSSI/LISI, y por dar demasiado poder a agencias estatales que, quizás por no tener los recursos necesarios, no pueden asegurar las garantías mínimas antes de iniciar procedimientos sancionadores costosos y molestos. Es una chapuza sobre otra, cada vez con leyes más retorcidas y con los límites de aplicación indefinidos. En vez de plantearse hacer nuevas normas sobre el “olvido”, quizás deberían corregir las pésimas existentes.

Lo peor es que hubieron muchas críticas cuando se elaboraron ambas leyes (LOPD y LSSI), se había avisado que iban a ocurrir estos problemas, pero no prestaron atención, era “cosas de cuatro gatos”. Así llegamos al punto de gastar inútilmente recursos públicos y privados por culpa de unos pesados expertos en recurrir a la AEPD.