La semana pasada se armó un pequeño revuelo en los comentarios con ocasión del uso de “pixeles” de seguimiento en los correos electrónicos de email marketing, para hacer el seguimiento del comportamiento del prospecto.
© Sergey Nivens – Fotolia.com
De hecho, si no lo habéis hecho, os invito a que leáis el post si no lo hicisteis la semana pasada, (ver “La LSSI y su ataque al core de tu estrategia de email marketing”), así como los comentarios y respuestas suscitadas. Pero el caso es que David Morles planteó una cuestión muy interesante y que puede afectar a todo bloguero, y por ello, problemente a ti, pues en relación con que los pixeles de seguimiento puedan ser considerados como “cookies” y por ello estar sometidos al régimen del art. 22 de la LSSI, como ya explicamos en el post anterior, el planteaba la siguiente pregunta:
“Me surge una duda, suponiendo que sí se les considere “cookies”, el hecho de que permanezcan en forma indefinida ¿sería una violación de la ley?”
Bueno, la repuesta a esa pregunta la tenéis en mi contestación a su comentario, por lo que podéis consultarla directamente, por lo que no la repetiré aquí, pero esto nos lleva directamente a la pregunta, ¿Cuánto tiempo se pueden guardar los datos de carácter personal?, ¿es obligatorio guardarlos durante algún tiempo concreto?.
Para contestar a estas dos preguntas, plantearemos dos supuestos.
1.- Los Datos Tienen Que Estar Actualizados, Ser Completos Y Exactos.
Este principio está recogido en el art. 4 de la LOPD, (“Principio de Calidad y Ficheros de Clientes”), pero a los efectos que a ti te interesa en este momento, nos centraremos en los apartados 3 y 4, que dicen:
3.- Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veraciad a la situación ACTUAL del afectado”
4.- Si los datos de carácter personal registrados resultaran ser inexactos en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio….
Así pues, un primer supuesto de cancelación de los datos, de la obligación de dejar de usarlos es cuando estén DESACTUALIZADOS, o sean inexactos o incompletos. Bueno, realmente en tal caso, lo que hay que hacer es actualizarlos, corregirlos o completarlos, según los casos, pero claro, si no podemos hacerlo porque el prospecto no nos facilita los datos completos o actualizados, tenemos que cancelarlos. Así pues, podemos ver que el concepto de “permanencia indefinida” que plateaba nuestro amigo David Morles, es posible solo entendida en el sentido de “Indefinido=a tiempo de duración desconocida”, pero no como sinónimo de eterno, sin plazo o “sine die”, pues el principio de calidad de los datos nos impone la obligación de que los datos sean actuales, completos y exactos, y en caso contrario, perdemos el derecho a seguir usándolos.
2.- Tiene Que Haber Una Justificación Para Mantenerlos.
El apartado 5 del art. 4 de la LOPD que estamos comentando, dispone que:
Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.
Así pues, un segundo requisito que tiene que darse es que la FINALIDAD para la cual fueran recabados siga estando en vigor, siga existiendo, pues si ésta ya ha desaparecido, O HA CAMBIADO, el consentimiento que nos dio el interesado en su día ya no sirve más. Para continuar utilizando los datos en estos casos, habría que volver a recabar el consentimiento de nuevo, (volver a empezar).
Por ejemplo, imagina que has recabado el consentimiento mediante tu formulario web, un formulario bien hecho, (ver el post “Herramientas Profesionales: La Info en Tu Formulario Web”, para ver un modelo), en el que has hecho constar como finalidad que ésta será mantener informado al prospecto sobre artículos nuevos que se publican en tu post, pero ahora piensas que vas a dejar de enviar el aviso de nuevas publicaciones, pero que vas a dejar los datos guardados por si más adelante lo retomas, o incluso envías ofertas comerciales. Pues es un claro caso en el que tendrías que cancelar los datos. Además de que estarías cometiendo varias infracciones juntas.
3.- Casos especiales: La Videovigilancia
Con carácter general, y según el art. 16.3 de la LOPD, la cancelación de los datos dará lugar al bloqueo de los mismos, pero no a su borrado. De hecho, existen casos especiales en los que se regula de manera específica que en los que los datos deben de cancelarse, PERO no suprimirse, sino quedar bloqueados, (ver el post “Cancelación, Supresión y Bloqueo de Datos, ¿No Es Lo Mismo?” para más información sobre este asunto en un sentido más general, y no solo para la videovigilancia), lo que implica que deben de quedar OBLIGATORIAMENTE guardados mientras una autoridad, ya sea gubernativa, administrativa o judicial, pueda requerirlos para investigar la comisión de infracciones, delitos o faltas. El caso más claro es el de los ficheros de VIDEOVILANCIA, (ya sea mediante Circuitos Cerrados de Televisión, que no afecta tanto a los blogguers, como mediante Webcams…). A tal efecto, la instrucción 1/2006 de la Agencia Española de Protección de Datos, establece que en tales casos los datos no pueden borrarse hasta que no pasen los plazos legalmente establecidos para la prescripción de las infracción, delitos o faltas que se puedan investigar mediante tales ficheros, (nuevamente te recomiendo leer el post “Cancelación, Supresión y Bloqueo de Datos, ¿No Es Lo Mismo?”, para la diferencia entre cancelación, supresión y bloqueo, así como conocer este tema más allá de la videovigilancia).
Así pues, verás que este es un tema muy interesante y práctico, porque por el hecho de recoger datos de carácter personal de tus prospectos, hay ocasiones en que no puedes seguir guardándolos, y otros en que no puedes borrarlos aunque quieras, salvo que se den los supuestos que de manera genérica te he explicado más arriba.
¿Os parece que esto está bien regulado así?, ¿creéis que es “lioso”?, ¿creéis que es fácil de cumplir o que es una invitación clara a “olvidarse de la ley”?.
David Tierno García, es abogado y director del blog sobre protección de datos para bloggeros, “proemdata”. En el campo del derecho de las nuevas tecnologías, ayuda a profesionales y empresas de Internet, a diseñar estrategias legales que les permitan continuar con sus estrategias de marketing y de ventas, sin que la LOPD, la LSSI ni la Ley de Defensa de Consumidores y Usuarios, sean un problema.