bookmark_borderPerfiles y valoración de trabajadores en Internet

Trabajador en InternetAhora que están tan de moda las Redes Sociales y el compartir en Internet hasta el momento en que uno se toca la nariz y en qué lugar del mundo, me sorprende lo desapercibido que haya pasado el Informe Jurídico 0039/2010 de la Agencia Española de Protección de Datos, sobre la comunicación en Internet de datos de empleados. Sólo he visto este comentario de Jesús, donde describe el informe.

Para situaros, os voy a invitar a visitar el siguiente enlace. Pertenece a la web de una conocida empresa, GeekSquad, que se dedica a dar servicio técnico remoto y presencial a empresas y particulares de prácticamente cualquier cosa que se pueda estropear, o para ayudarte a configurar hardware y software (¡hasta cuentas de Facebook!). En su página existe el apartado «Agentes», donde podemos ver un listado con los técnicos que GeekSquad pone a disposición de los clientes. De cada uno existe una ficha con los servicios que ofrece y su precio, identificación (nombre, fotografía, ciudad), un apartado con las anotaciones de las valoraciones de los clientes (experto, amistoso, eficiente, comunicativo) y el típico botón de «compartir» (ver ejemplo).

En el Informe citado, una empresa ha planteado esto mismo a la Agencia para que se pronuncie:

La consulta plantea si es posible la publicación en la página web de la consultante de datos personales de sus empleados, así como de la evaluación que emitan los clientes sobre la prestación del servicio realizada por aquéllos, así como su difusión por estos clientes en redes sociales, en relación con lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Dadtos de Carácter Personal, y a su Reglamento de desarrollo, aprobado por el Real Decreto 1720/2007, de 21 de diciembre. Plantea también si el consentimiento de sus empleados podría efectuarse sin cumplir todos los requisitos exigidos por dichas normas.

Subrayo el final, porque me consta que la consulta no planteaba si el consentimiento se podría efectuar «sin cumplir» los requisitos exigidos por las normas, faltaba más, sino si el consentimiento para esos fines podría entenderse incluido en el dado para llevar a cabo la relación laboral.

Pues bien, si leemos el Informe con detenimiento, tenemos lo siguiente:

1. La fotografía, perfil profesional y datos sobre las aficiones de los empleados, constituiría un perfil personal de los empleados. Está claro que la empresa está legitimada para tratar los datos del empleado, pero para el desarrollo de la relación laboral, conforme al artículo 6.2 LOPD. El tratamiento de los datos referido a las aficiones lógicamente lo considera innecesario y no proporcionado para el mantenimiento y gestión de la relación laboral.

2. La publicación de los datos mencionados en la página web de la empresa constituye una cesión de datos.

3. Se incluyen en la publicación en Internet las evaluaciones que los clientes han consignado. El Informe hace un recorrido por lo que es una evaluación del trabajador, citando varios documentos de organismos internacionales, pero sin dar una opinión clara sobre si la empresa puede o no, y en qué condiciones, proceder a la publicación. Sin solucionar nada, vamos. He aquí su conclusión:

… cabe concluir que el consentimiento para la comunicación masiva por Internet de los datos de sus empleados, incluidas las evaluaciones de los mismos, no podría entenderse válidamente prestado en el contexto de la relación laboral si su negativa a darlo, llevase aparejada algún tipo de consecuencia adversa o discriminatoria, no pudiendo hablarse de consentimiento libre. Por ello, entendemos que la comunicación de los datos de empleados en Internet, no puede ampararse en el consentimiento del trabajador en el ámbito de la relación laboral.

Si la empresa no puede ampararse en el consentimiento prestado por el trabajador para el desenvolvimiento de la relación laboral, habrá de informar al trabajador y recabar su consentimiento para poder publicar esos perfiles… y el trabajador podrá negarse a darlo, sin que ello tenga consecuencias.

4. Al dar la posibilidad al cliente de «compartir» tanto el perfil del trabajador como sus evaluaciones en diferentes redes sociales (facebook. linkedin, twitter, etc.), el trabajador habría de consentirlo, ya que de lo contrario interpreta la Agencia que se trataría una cesión no consentida.

A ver qué empresa española es la primera que se atreve al poner en marcha un mecanismo así, cosa que ya es normal fuera de nuestras fronteras. De hecho, lapágina web española de GeekSquad no ofrece las funcionalidades que hemos visto con los perfiles de sus trabajadores.

Merece consideración aparte que el trabajador que se preste a estas publicaciones ha de tener claro que Internet no olvida. Pongamos un ejemplo: trabajador de GeekSquad que tenga alguna que otra evaluación negativa de su desempeño por parte de ciertos clientes insatisfechos. Además, éstas son compartidas en diversas redes sociales… Abandona el trabajo en GeekSquad, y ¿hasta dónde será perseguido por su propio historial? Mejor ni pensarlo.

Este es uno de los casos más claros en los que se puede comprobar el abismo que nos separa de otros países en cuanto a la regulación de la protección de datos, con un claro reflejo en el ámbito de la competitividad empresarial. Ellos pueden hacerlo, nosotros a duras penas.

bookmark_borderCuestión de prueba

Las empresas desarrolladoras de software no incluyen las disposiciones LOPD.
Las empresas desarrolladoras de software no incluyen las disposiciones LOPD.

Nos hemos acostumbrado a recoger datos personales en páginas web. Con poner un formulario y un aviso legal parece que lo tenemos todo listo. Pero es más complejo de lo que a priori pudiera parecernos, puesto que como veremos a continuación, puede traer bastantes quebraderos de cabeza. No se soluciona solo con poner la cláusula informativa adecuada, sino que además estamos obligados a controlar una cuestión capital: la prueba. Y esto nos ocurre con cualquier tipo de contratación a distancia.

Uno de los ejemplos más conocidos es el “caso Antevenio”, donde la Agencia sancionó a esta empresa con un total de 210.000€. Antevenio disponía (y dispone) del “Servicio CorreoDirect”, que consiste, tal y como ellos lo definen, “en un Club formado por millones de personas interesadas en multitud de campos”, donde el usuario “les dice lo que le gusta” y Antevenio les envía ofertas y promociones de diversos sectores. Sus términos y condiciones de “privacidad” pueden consultarse aquí (al final volveremos sobre éstas…). Bankinter contrató a través de un intermediario el uso de parte de esa base de datos con ciertos parámetros para un envío de publicidad de la tarjeta “Visa Oro de Capital One” por correo ordinario. En concreto, solicitó “hombres mayores de 18 años – todos los registros masculinos”, tal y como dice la Resolución sancionadora. Pero he aquí que entre los registros facilitados se encontraban los datos de un menor de edad que para acceder a unos contenidos de la web (www.trucoteca.com) tenía que realizar el registro previo como usuario de “CorreoDirect”. En las condiciones legales del formulario de registro figuraba la advertencia de que el servicio no estaba permitido a menores. Aún así, el menor pudo finalizar el registro sin dificultad consignando su mayoría de edad.

La Sentencia de la Audiencia Nacional de 26 de Noviembre de 2009 confirmó la sanción a Antevenio, y se ha limitado a reafirmar en su Fundamento de Derecho 4º que

la concurrencia del consentimiento inequívoco del afectado que exige el artículo 6.1 de la LOPD para el tratamiento de datos de carácter personal, en el caso de que el afectado niegue haberlo otorgado, incumbe a quien realiza el tratamiento a través de los medios previstos legalmente a tal fin

Es feo el asunto. ¿Nos sirve algo más allá de una recogida de datos con la firma electrónica de la persona en el caso de los formularios en las páginas web? El usuario siempre podrá negar que nos ha proporcionado los datos, y tendremos la carga de la prueba. ¿Nos sirven de algo los “logs” que almacenan la IP del equipo desde el que se ha rellenado el formulario?… ¿cuántas personas pueden utilizar un ordenador?…

Y en el caso de los menores, ya ni hablemos. Recordemos que en cuestión de prueba sobre el consentimiento de menores, el artículo 13, en su punto 4, del R.D. 1720/2007, atribuye al responsable del fichero o tratamiento “articular losprocedimientos que garanticen que se ha comprobado de modo efectivo la edad del menor y la autenticidad del consentimiento prestado en su caso, por los padres, tutores o representantes legales“.

La última sanción de la que tengo constancia es ésta, en la que ocurre algo idéntico al Caso Antevenio. Eso sí, a pesar de que Boombang Games S.L.recogió los datos de un menor de 14 años, y no aporta prueba de haber recabado el consentimiento del padre, tutor o representante legal, la Agencia se descuelga con una sanción de 2.000€. ¿Me puede explicar alguien qué diferencia hay con Antevenio? Es de marco el párrafo de su “política de privacidad” donde se hace referencia al consentimiento del menor:

En el supuesto de que el titular de los datos fuera menor de 14 años en el momento de entrega de sus datos, con la aceptación de esta Política de Protección de Datos, manifiesta que ha entregado sus datos con el previo consentimiento de sus padres o representantes legales, y que, en cualquier caso, ha cumplimentado los formularios accesibles desde la Página Web, en su presencia y bajo su constante supervisión.

Hombre… ya que hacen que una criatura menor de 14 años afirme todo eso, pídanle el consentimiento al padre, que está delante del ordenador con el niño, ¿no?… pero claro, ¿cómo probamos que hemos recogido los datos del padre si este lo niega…?

Bromas aparte, todo lo dicho conduce a que si nos tomamos la Ley y el Reglamento a pies juntillas, en cualquier recogida de datos por Internet tendríamos que andar o solicitando que se aportase la firma electrónica, o comprobando la identidad de cualquiera a base de faxes, cartas y otros medios pre-Internet.

No solo Internet trae problemas. En la recogida de datos por teléfono también ha habido multitud de casos en los que se ha sancionado a empresas por no poder aportar prueba de haber recogido los datos. Un ejemplo es el de lasanción a Edugama Asociados S.L., empresa dedicada a la publicidad. Tras haber recibido (supuestamente) un encargo de un cliente para la publicación en una revista de un anuncio y pasar el recibo correspondiente para su cobro a la cuenta que el mismo cliente le había facilitado, el cliente niega haber contratado tal publicidad. Edugama alegó que había mantenido una conversación telefónica con el cliente de 6 minutos de duración en la que se le recogieron los datos, pero la Agencia concluye que no se ha probado que el cliente los haya facilitado… ¿dónde está la prueba? La resolución está recurrida, pero de momento, ahí están los 60.101€. En el caso de recogida de datos por teléfono, sólo nos queda la grabación de la conversación, donde quede registrada la recogida de datos previa la información del artículo 5.

Colocar un formulario y redactar la cláusula para obtener un consentimiento informado no es complejo. Pero cuidarse de comprobar que nos lo han dado, y poder probarlo, ya es otro cantar. Y con los menores,más complicaciones.

No puedo dejar de observar que, tanto unos como otros, a pesar de haber sido sancionados, no han movido un dedo para cambiar ni los clausulados. Qué cosas…