Protección de datos online: la LOPD y los foros

Como casi todo el mundo sabe (en España), existe una ley que pretende regular el uso que se puede hacer de los datos personales recogidos por entidades y empresas. La LOPD, respaldada por la Agencia de de Protección de Datos, ha tenido bastante efecto para castigar los peores abusos en este sentido. La mayor parte de las empresas ya ha registrado sus bases de datos de clientes, instalado procedimientos apropiados, y regulado el uso que hacen de ellas… y el acceso que los clientes tienen para corregir o eliminar esos datos. La que no lo hacen pueden ser multadas espectacularmente.

Hasta ahí, todo normal. Lo malo es que esa ley no define con mucha claridad qué son «datos personales» (peor: dice que son todos aquellos por los que una persona es «identificada o identificable») y con ello extiende su ámbito también a las bases de datos de sistemas con distintos usuarios, como los foros de internet.

La inmensa mayoría de estos foros no están respaldados por una figura jurídica, por lo que podrían escaparse. Los que dependen de una organización con personalidad legal y (más en concreto) de una empresa, caen bajo el ámbito de la LOPD. Es decir, caen si en sus datos de registro toman algo más que el nick. E incluso así, un nick podría considerarse «dato personal» por un juez suficientemente despistado: el problema es que no contamos con precedentes legales como para poder acotar esa definición.

Esa es la mala noticia: hasta que exista jurisprudencia contraria, si eres una empresa y manejas un foro para clientes/usuarios, o para quien sea, tienes que tratar sus registros como una base de datos personales. Y si no lo haces, te expones a una multa bastante seria (aunque la probabilidad es bajísima, salvo que alguien se empeñe en tocarte las narices).

La buena noticia es que adecuarse a la normativa es muy sencillo. Sin pretender sustituir a una lectura completa de la ley ni a la consulta con profesionales cualificados (o al menos, a un buen examen de la web de la Agencia), para la mayoría de los foros las obligaciones resultantes son tres:

• Registro. Se puede hacer por vía telemática, por fax, por correo o en persona. La Agencia proporciona un formulario en PDF bastante claro y efectivo llamado NOTA. La Agencia responde en un par de semanas con un código de registro (y con éso ya estás cubierto respecto a las multas por no registrar la base de datos).
• Gestión. Hay una guía de las medidas y procedimientos de seguridad apropiados (y exigibles) en función del tipo de datos gestionados. Algunas pueden tener sentido en entornos sencillos y otras serán decorativas, pero (para un foro normal) no son complicadas ni suponen necesariamente un coste extra. Evidentemente es necesario respetar lo que dice la LOPD sobre la forma de obtener los datos y la de prestarlos a terceros (aunque ambas cosas no son en general relevantes en un foro).
• Consulta y eliminación. Y finalmente hay que seguir lo que establece la LOPD respecto a los derechos de consulta y rectificación: ofrecer a los usuarios un modo de ver y corregir sus datos (en un foro normal, podrán verla y editarla online), así como de solicitar la baja y eliminación de los mismos (sujeta a las obligaciones legales referentes a datos de clientes, y a las de seguridad del sistema).

En resumen: no es algo excesivamente complicado, aunque pueda sonar como el fin del mundo para organizaciones pequeñas. Un poco de paciencia y dos gestiones sencillas, y puedes tener tu foro dentro de la legalidad. Siempre y cuando no hagas nada raro, claro.