Anonimización, páginas web y entidades afincadas en Suiza
Categorías: LOPD / Protección de Datos / Resoluciones
Sorprendente me resulta la resolución de la Agencia Española de Protección de Datos que hemos tenido ocasión de conocer y que damos a conocer en el presente blog:
Los hechos: El Centro de Arbitraje y Mediación de la Organización Mundial de la Propiedad Intelectual publica en su web una relación de los procedimientos arbitrales dictados en materia de nombres de dominio bajo el .es donde se observan los demandantes, demandados, laudos y demás información sin ningún tipo de anonimización. Puesto en conocimiento los hechos a la Agencia Española de Protección de Datos por considerarse una posible vulneración de la normativa de protección de datos, al no existir ni consentimiento de los afectados, ni ninguna normativa que así lo obligue. La Agencia resuelve no incoando ningún procedimiento sancionador.
Resolución basada en 2 aspectos:
- El primero de ellos basada en la excepción incluída en el artículo 5.1.del Real Decreto 1720/2007, por el que se aprueba el Reglamento de Desarrollo de la LOPD, para el tratamiento de datos de carácter personal de personas personas físicas que no puedan ser identificadas, personas jurídicas, personas fallecidas o empresarios individuales, cuando en este último caso los datos hagan referencia a ellos en calidad de comerciantes, industriales o navieros. Esta excepción nos la vamos a encontrar en muchos supuestos y es una vía de escape fácil a la supreprotección de la normativa de protección de datos de carácter personal. De hecho, en algunas discusiones, a efectos de la reutilización de la información del sector público se puede incluir esta excepción para permitir dichas reutilizaciones, o a efectos de transparencia, etc. En el caso en el que nos encontramos (es decir, la tabla linkada anteriormente), la Agencia entiende que se aplica esta excepción:
En el presente caso, del análisis de la documentación …. se presume que el dominio al que alude no tendría una finalidad puramente personal, sino posiblemente comercial, por lo que en tal caso esta Agencia carecería de competencia para conocer sobre los hechos, debiendo, en su caso, ser planteado en otras instancias administrativas o jurisdiccionales.
- Si bien podemos dudar de la aplicabilidad o no del precepto anterior, lo que nos sorprende sobremanera es la inaplicabilidad en todo caso de la normativa de protección de datos, puesto que la OMPI (Organización Mundial de la Propiedad Intelectual), o más bien su sede central, se encuentra en Ginebra, Suiza:
No obstante lo anterior, cabe reseñar así mismo que la OMPI, a la que está adscrito el Centro de Arbitraje y Mediación al que alude, entidad acreditada por la Entidad Pública Empresarial RED.ES como proveedor del procedimiento de resolución extrajudicial de conflictos de dominios .ES, es un organismo internacional dependiente de la ONU, con sede en Ginebra (Suiza). En consecuencia, aun en el supuesto de que los datos publicados por la OMPI pudieran tener la consideración de «datos de carácter personar nos hallaríamos ante otro escenario en el que esta Agencia carece de competencias, ‘al no tener constancia de que en el tratamiento de dichos datos se hubieran utilizado medios ubicados en territorio español con fines distintos del mero tránsito, es decir al margen de los supuestos previstos en el apartado 1 del artículo 2 de la LOPD.
Es decir, aunque sea una organización que ha sido acreditada para prestar un servicio a una Entidad Pública Española, utilizando expertos españoles y realizando, a nuestro juicio un tratamiento claro en España, el mero hecho de que se publique en una web que en este caso, puede tener su sede Suiza, no puede ser considerado que los medios ubicados en territorio español sean con fines distintos del mero tránsito (de hecho el arbitraje se realiza según la normativa española). Además, no debemos olvidar que es un procedimiento obligatorio al que se adhiere cualquier persona física o jurídica que registre un nombre de dominio.
Las demás entidades acreditadas anonimizan las decisiones. En ese caso ¿tendrían que hacerlo? Porque quizá con la exclusión del artículo 5.1 del reglamento no debieran hacerlo…
¿Vuestra opinión? ¿A favor o en contra? Esto nos trae el ya manido debate de la anonimización de todo tipo de documentación y la posible aplicación de la excepción en muchos otros casos.