En la vida hay situaciones en las que no controlamos la información que circula sobre nosotros en determinados círculos. Un cotilleo, un rumor o una habladuría en el trabajo o en nuestro grupo de amigos pueden hacernos pasar un mal rato. Pero cuando se trata de datos sensibles, ya sean ciertos o no, que escapan de esos ámbitos reducidos y familiares y se difunden por el vasto universo de internet, el trago puede ser verdaderamente amargo. Y más cuando cualquier usuario, con apenas manejar el nombre y los apellidos de la persona, puede localizarlos y hacer uso de ellos.
Porque, en la actualidad, encontrar datos personales de cualquier ciudadano en internet es muy sencillo. A los motores de búsqueda habituales como Google, Bing o Yahoo, que ofrecen una gran cantidad de resultados sin filtrar, se suman otros buscadores especializados en información de carácter personal como Pipl o WebMii en los que se pueden localizar con precisión desde números de teléfono hasta la dirección postal del buscado, pasando por sus cuentas de redes sociales o correos electrónicos.
Estas webs se encargan de recopilar la información que circula por diferentes páginas de internet para elaborar perfiles de las personas buscadas, sin tener en cuenta si esos datos almacenados en sitios de terceros han sido publicados legalmente o no. Porque estas empresas sólo enlazan esa información, pero no la guardan en sus servidores, con lo que tratan de eludir cualquier responsabilidad sobre los datos que se obtienen a través de ellas.
En cualquier caso, gran parte de la información personal que se encargan de recopilar es de carácter público, es decir, que no necesita el consentimiento de su titular para ser tratada por un tercero, por lo que por esa parte no existe problema.
Sin embargo, según señala el abogado experto en protección de datos Juan Vicente García, el principal inconveniente que presentan estos portales no es la indexación de la información personal per se, sino que la recopilación de esos datos puede dar pie a la elaboración perfiles de forma automatizada que evalúen y puedan predecir aspectos personales relacionados con la situación económica, de salud, preferencias o gustos de su titular.
?El problema de la actividad de estos motores de búsqueda se sitúa no tanto en la recopilación de datos personales publicados en internet como en la potencial utilización de esa información para la elaboración de perfiles, con cruces de datos para el enriquecimiento de estos y el almacenamiento de esa información sine die?, explica García.
Esto, según señalan desde la Comisión Europea, puede afectar a los derechos de los ciudadanos a la hora de contratar determinados servicios, puesto que las empresas que los ofrecen podrían valorar simplemente los datos cruzados obtenidos mediante la información que circula en internet sin que haya mediación humana con el posible cliente.
Es decir, que se rechace la contratación de, por ejemplo, un préstamo o un seguro de vida basándose sólo en información de internet y no en un estudio personalizado del perfil de la persona por parte de un empleado de la compañía.
Además, más allá de este posible uso de nuestra información privada para elaborar perfiles de esa naturaleza, las webs como Pipl o WebMii también pueden compartir información personal que, de una forma u otra, haya llegado a la red sin el consentimiento de su titular.
En este sentido, cabe recordar que hay información de carácter personal que puede ser tratada por terceros sin el consentimiento explícito de su titular. Es el caso de los datos publicados en documentos oficiales como el Boletín Oficial del Estado (BOE) o aquellos que el propio usuario ha compartido de forma voluntaria en la red.
?Los datos publicados voluntariamente en internet o en redes sociales se pueden tratar como públicos, es decir, como si el interesado hubiese dado su consentimiento, siempre y cuando no se vulnere el derecho al honor o la intimidad personal del afectado, pues se considera que al publicar esos datos por iniciativa propia renuncia a mantener la privacidad sobre ellos?, subraya Miguel Ángel Mas, miembro de la Asociación Española de Delegados de Protección de Datos.
La nueva LOPD ha dotado de nuevos derechos al ciudadano para proteger mejor sus datos personales
Y es que el principio fundamental para tratar los datos personales de cualquier ciudadano es el consentimiento explícito de su titular, pero se entiende que si éste ha publicado esa información en internet por iniciativa propia es como si hubiese dado ese consentimiento, por lo que podrá ser utilizada por terceros legalmente.
?Excepto para el caso de los datos sensibles, ahora llamados ?de categoría especial?, como son los relativos a salud, tendencia u orientación sexual o ideología política, que tienen una protección superior y necesitan del consentimiento expreso del interesado para ser usados?, especifica Mas.
Por lo tanto, si la persona no ha compartido sus datos voluntariamente en internet ni han sido publicados en documentos oficiales, el uso de ellos por parte de terceros sólo podría estar justificado en determinados casos: si el interesado lo ha autorizado explícitamente, si es de interés público, si lo obliga la ejecución de un contrato, para proteger los intereses vitales del interesado, intereses jurídicamente legítimos por parte de un tercero o por una obligación legal. Si no se acoge a ninguno de estos supuestos, los datos personales no podrán ser usados y el titular puede reclamar su eliminación.
Estos supuestos para el tratamiento legítimo de los datos personales por parte de terceros fueron introducidos por la nueva Ley Orgánica de Protección de Datos Personales y garantía de derecho digitales (LOPD-GDD), que trasponía el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, y que está en vigor en España desde el 25 de mayo de 2018.
Esta nueva normativa ha actualizado la anterior legislación ampliando el alcance de la protección, introduciendo medidas más severas para las empresas y sanciones por incumplimiento más duras, así como una nueva figura que vele por la adopción de la norma en las diversas instituciones, tanto privadas como públicas, el delegado de protección de datos.
En cuanto al ciudadano, la nueva legislación ha ampliado la protección de su información personal y le ha dotado de nuevos derechos para que la defienda, en especial en el ámbito digital. Asimismo, ha creado herramientas más rápidas y efectivas para que la persona pueda ejercer esos derechos mediante la Agencia Española de Protección de Datos (AEPD).
En este sentido, el principal derecho que ha regulado la nueva ley es el del olvido, por el que se puede solicitar la supresión de los datos personales cuando éstos hayan dejado de ser necesarios para el fin que fueron recogidos, se haya hecho un uso diferente de ellos al que se dijo cuando se recopilaron o si el titular decide retirar el consentimiento que fue dado para su utilización.
No obstante, desde la AEPD aclaran que el derecho al olvido no es ilimitado: ?Se puede no proceder a la supresión cuando el tratamiento sea necesario para la libertad de expresión, información, por el cumplimiento de una obligación legal, por razones de interés público en el ámbito de la salud pública, la investigación científica o histórica, o para fines estadísticos?.
La nueva LOPD también recoge derechos como el de acceso (por el que el responsable del tratamiento de los datos personales está obligado a proporcionar información sobre el mismo a su titular), de rectificación (en el caso de que sean inexactos), de oposición (para oponerse al tratamiento de los datos), de limitación del tratamiento de la información personal y el de no ser objeto de decisiones individuales automatizadas (para evitar la elaboración de perfiles de comportamiento sin mediación humana con posibles efectos perjudiciales para la persona).
En cuanto a las instituciones, la nueva norma exige controles más rigurosos, mayores medidas de seguridad y, en el caso de empresas como Pipl o WebMii, políticas de privacidad que aseguren la transparencia de los datos tratados y mecanismos efectivos de mediación para los usuarios que quieran ejercer sus derechos en relación a la protección de su información personal.
Si se tiene en cuenta la información reflejada en las webs de ambas compañías, Pipl parece haberse adaptado mejor a la nueva normativa, ya que trata su política de privacidad en un amplio apartado de su página, cosa que no hace WebMii.
"Las denuncias contra estos portales proliferan por resultados inexactos o excesivos"
En cualquier caso, las dos empresas se cubren las espaldas al subrayar claramente que los datos que aparecen en sus motores de búsqueda son de carácter público y provienen de otros sitios web, por lo que ellos no almacenan ni controlan esa información y, por lo tanto, no se responsabilizan de ella.
Pipl va incluso más allá y delega la responsabilidad del cumplimiento de la LOPD-GDD en los clientes que hagan uso de sus servicios para buscar datos personales de terceros.
Sin embargo, esto no impide que ?las denuncias de afectados proliferen contra estos portales y servicios como consecuencia de que los resultados que devuelven por las búsquedas son inexactos o excesivos?, señala Juan Vicente García. De hecho, desde la AEPD informan de que en estos momentos están tramitando una reclamación sobre tutela de derechos contra Pipl, aunque no detallan nada más al encontrarse el proceso aún abierto.
Para el abogado experto en protección de datos la adaptación más importante que deberían haber llevado a cabo estas webs es la de ?reforzar la transparencia en los tratamientos de datos personales y el ejercicio de los derechos del interesado. Deben incorporar a sus políticas de privacidad los datos de contacto del responsable, finalidad y base jurídica del tratamiento, así como la fuente de procedencia de los datos y la existencia de decisiones automatizadas?.
De esta forma, la reclamación sobre la tutela de derechos abierta contra Pipl a través de la AEPD evidencia que, pese a que la compañía dedica un amplio apartado a su política de privacidad, los mecanismos para que los ciudadanos ejerzan sus derechos en relación a la protección de datos no responden como deberían.
Porque desde la Agencia Española de Protección de Datos explican que el primer paso para acceder, rectificar o suprimir datos personales de un ciudadano es ponerse en contacto con el titular de la web que aparece en el aviso legal. Si una vez hecho esto no hay respuesta o el usuario no está de acuerdo con lo que le han contestado, puede iniciar una reclamación ante la AEPD.
Para ello, la Agencia Española de Protección de Datos pone a disposición de los usuarios una serie de documentos, correos electrónicos y números de teléfono, así como abundante información escrita, para que los ciudadanos sepan cuáles son sus derechos y cómo pueden ejercerlos a través de este organismo estatal.
En el caso de que la empresa u organización que esté haciendo un uso indebido de los datos personales no sea nacional, desde el Comité Europeo de Protección de Datos explican que son los organismos estatales de las partes implicadas los que deben resolver de forma conjunta el conflicto. De esta forma, si un ciudadano español tiene un problema de estas características con un ente extranjero o transnacional, de igual forma deberá ponerse en contacto con la Agencia Española de Protección de Datos.
Para la elaboración de este reportaje, y con el objetivo de dar el derecho a réplica a todas las partes implicadas, Xataka ha tratado de ponerse en contacto tanto con Pipl como con WebMii, al ser los dos principales buscadores de datos personales que operan en España. Sin embargo, este portal no ha obtenido respuesta en ninguno de los casos.
.