Dice la 22ª edición del Libro de Estilo de El País que «los titulares han de ser inequívocos, concretos, accesibles para todo tipo de lectores y ajenos a cualquier clase de sensacionalismo». Si bien es cierto que esta exhortación, tan lógica y cabal, se ve cuestionada día tras día por las imposiciones del marketing, la búsqueda del equilibrio entre lo atractivo y lo veraz debe de ser, en mi opinión, la meta de todo periodista al encabezar una noticia. Cuando ese equilibrio se rompe, puede suceder que te hagan un «zasca» en toda regla, y eso es lo que le ha pasado a El Confidencial en el día de ayer.
Partamos de una realidad: a raíz de la declaración de invalidez del marco Safe Harbor por el Tribunal de Justicia de la Unión Europea, la Agencia Española de Protección de Datos remitió una serie de requerimientos a aquellas entidades que, al declarar sus ficheros, manifestaron que transferían datos personales a empresas estadounidenses adheridas a los principios de Puerto Seguro. Básicamente, se les instaba a comunicar a la AEPD, antes del 29 de enero de 2016, si iban a continuar realizando las transferencias y, de ser así, cómo pretendían adecuarse a la normativa de protección de datos.
Partiendo de esta realidad, El Confidencial decidió titular: «Ultimátum de la AEPD a empresas españolas: prohibido usar Dropbox o Google Apps«… y, ante el revuelo formado (ni se imaginan la cantidad de llamadas recibidas ayer en el despacho), la propia Agencia se vio obligada a publicar un desmentido en su página web, que les invito a leer: ni existe tal ultimátum, ni oficialmente se prejuzga la adecuación a la legalidad de las herramientas en cuestión.
No es práctica de nuestro bufete criticar publicaciones ajenas pero, dadas las circunstancias, me van a permitir que les aclare un par de puntos sobre el resto del artículo, habida cuenta que el titular se cae por su propio peso. El cuerpo de la noticia comienza de forma impecable: si transferíamos datos a Estados Unidos amparados en que el destinatario estaba acogido al marco Safe Harbor, tenemos que buscar una nueva base legal para hacerlo de entre las que nos ofrece la Ley: autorización de la directora de la AEPD o encaje en alguna de las excepciones previstas (entre ellas, el consentimiento); y debemos informar a la Agencia de nuestra decisión, en el plazo indicado.
A partir de ahí, y a la hora de poner ejemplos, vuelven los deslices. El principal tiene que ver con Twitter, y aunque la explicación es un poco técnica, voy a tratar de exponerla de forma comprensible. La Agencia distingue entre dos tipos de «responsables» a efectos de la LOPD: por un lado, habla del «responsable del fichero», que básicamente es quien ostenta el control sobre el fichero en su conjunto; y por otro, de «responsable del tratamiento», que decide sobre concretas acciones que se realizan con los datos registrados en él. Habitualmente, ambas categorías confluyen en la misma persona, pero no siempre es así: piensen en la inclusión de un ciudadano en un registro de morosos. El responsable del fichero es la empresa que gestiona el listado como tal, mientras que el responsable del tratamiento es la entidad que toma la decisión de incribir al supuesto causante del impago, y la que responderá en caso de error. Gracias a esta construcción, empresas como Equifax o Experian apenas son sancionadas, mientras sus clientes (especialmente, empresas de telefonía) copan el podio de los infractores de la LOPD año tras año.
Pues bien, esta estructura es igualmente aplicable a plataformas sociales como Twitter: si una empresa española abre una cuenta en dicha red, el responsable del fichero será Twitter Inc., con sede en San Francisco, mientras la empresa será únicamente responsable de los tratamientos que realice con los datos de sus seguidores, por poner un ejemplo. Cada una responderá de aquellas áreas a las que alcance su capacidad de decisión, por lo que difícilmente se podrá obligar a la empresa de nuestro ejemplo a inscribir un fichero de la red social, adoptar ciertas medidas de seguridad o solicitar autorizaciones de transferencias internacionales, porque el responsable de asumirlas sería, en último caso, Twitter.
Aclarado este punto, y siguiendo con el ejemplo, ¿realiza Twitter transferencias internacionales de datos desde España a Estados Unidos? Aunque la respuesta a esta pregunta requeriría conocer mejor la infraestructura de servidores de esta plataforma, me inclino por el «no», por un motivo sencillo: quienes envían los datos al extrajero son los propios tuiteros, al editar sus perfiles, publicar sus actualizaciones, interactuar… Dicho de otra forma, son los usuarios quienes, voluntariamente, depositan sus datos en los servidores de Twitter.
Por todo lo anterior, afirmar (como parece hacer el artículo) que el simple uso de un widget de Twitter implica la necesidad de justificar exportaciones de datos ante la AEPD es, cuando menos, aventurado, incluso falto de prudencia, en el sentido que la RAE le atribuye en la primera de sus acepciones.
Y, si les interesa el tema, pueden profundizar en informes como este, o las páginas 340 y siguientes de la obra «Protección de datos: comentarios al reglamento«, editada por Lex Nova. ¡No tienen pérdida!
Adiós a fichar con la huella
Los CVs, la transparencia y la AEPD
Dos lecciones de la AEPD
Cuenta atrás para las cookies