Resulta sorprendente que en España la mayor parte de las empresas no siguen la ley sobre protección de datos y derechos digitales (ley orgánica 3 de 2018). Entiendo que es debido a que o bien no se han leído la ley, la han leído por encima, o la desconocen.
Si eres un particular puedo reconocerte el derecho a no saber esa ley. Si tenemos un correo electrónico personal es poco probable que en la firma pongamos ningun tipo de referencia a la ley. No almacenamos datos, ni enviamos correos comerciales por tanto no es necesario.
Sin embargo, si eres una empresa u organización que maneja datos de personas físicas, es necesario que en tu firma sí incluyas un mensaje sobre qué haces con los datos de tus clientes, trabajadores, etc.. Y más importante, debes informar que has recibido información personal y lo que vas a hacer con ella.
Lo que dice la ley de protección de datos
La ley orgánica 3/2018 es de obligado cumplimiento para las empresas y si te envían un correo siempre se debe hacer mención a ella. Esta ley adapta el ordenamiento jurídico español al Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos, y completar sus disposiciones.
El derecho fundamental de las personas físicas a la protección de datos personales, amparado por el artículo 18.4 de la Constitución, se ejerce con arreglo a lo establecido en el Reglamento (UE) 2016/679 y a esta ley orgánica. Además esta ley garantiza los derechos digitales de la ciudadanía conforme al mandato establecido en el artículo 18.4 de la Constitución.
Firma a enviar en los correos
Al ser una ley orgánica y su importancia en la regulación de la materia es imprescindible para todas las empresas cumplirla. La ignorancia no exime del cumplimiento de la ley (ignorantia juris non excusat o ignorantia legis neminem excusat) es un principio de Derecho que indica que el desconocimiento o ignorancia de la ley no sirve de excusa para su cumplimiento, porque rige la necesaria presunción de que si una ley ha sido promulgada y debe ser conocida por todos.
Un ejemplo de firma en la que se incluye es la siguiente:
En cumplimiento de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, le recordamos que los datos personales utilizados para el presente envío se encuentran incorporados en los ficheros y sistemas de EMPRESA A y su red de Oficinas Asociadas, y son tratados únicamente para cumplir con la finalidad por usted solicitada. Le recordamos la posibilidad de ejercer los derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación del tratamiento, que podrá ejercer mediante escrito dirigido a EMPRESA A, en Calle X, nº 113 Nave 1, C.P. 33333 Gijón, Asturias, o a través de la dirección de correo electrónico info@empresaa.com. Asimismo, le recordamos que EMPRESA A pone a disposición de las personas interesadas, a través de su página web, su Política de Privacidad, en la que se ofrece información más detallada y completa sobre el tratamiento que realiza sobre los datos de carácter personal. Este documento se dirige exclusivamente a su destinatario. Por poder contener información confidencial sometida a secreto profesional o cuya divulgación está prohibida en virtud de la persona autorizada por éste, que la información contenida en el mismo es reservada y su utilización o divulgación con cualquier fin está prohibida. Si ha recibido este documento por error, le rogamos que nos lo comunique por teléfono (9XX XXXXXX) y proceda a su destrucción.
Prueba para demostrar que no se cumple
Hace unos meses contacté con un periódico y envié datos personales. Ese periódico no se puso en contacto conmigo de ninguna forma ni me envió un acuse de recibo conforme habían recibido ese mensaje.
Ante esta ausencia de mensaje me molesté en ir a la página del periódico y busqué la política de privacidad y cookies. En ella venía información del encargado de los datos y envié un correo a esa dirección.
Contestación del responsable de protección de datos
Por privacidad y debido a que no he pedido permiso para compartir los datos de este grupo de empresas, oculto la información relativa a ese grupo. En el mismo día se pusieron en contacto conmigo puesto que era un correo general del grupo y querían saber quien había sido la empresa que no había contestado a mi correo.
Tras decirles con quien había contactado y que no había recibido respuesta me contestaron que se habían puesto en contacto con ellos y que iba a recibir ese mensaje.
Contestación del periódico
Y dos meses despues tuve el correo que se tenía que haber enviado durante el primer mes tras mi correo inicial.
Me gustaría pensar que de ahora en adelante, y debido a todas las molestias que me he tomado para que una empresa cumpla la ley (que tenía que haberla cumplido desde un principio), se envíe ese correo a cualquier persona envía sus datos personales por correo electrónico.
Los spammers no cumplen la ley de protección de datos
Otro ejemplo que me gustaría compartir es sobre un correo que me llegó a la carpeta de SPAM. Como he comentado alguna vez si algo está en la carpeta de SPAM es porque tiene que estar en esa carpeta.
El correo en sí tiene apariencia de ser totalmente verídico. Incluso en el pie del correo electrónico vienen datos precisamente de la ley. Me otorgan los derechos de acceso, rectificación, oposición etc.. y pone claro que estoy suscrito a su plataforma cuando esto es totalmente falso. Yo no me he suscrito a esa plataforma.
Usted tiene derecho de acceso, rectificación, oposición y consentimiento. Recibe este mensaje porque, su correo electrónico: av+++++++++@gmail.com, está suscripto a nuestra plataforma. Para dejar de recibir nuestros mensajes en su correo electrónico, siga este enlace: Darse de baja.
En este caso el correo era de tipo comercial, me querían vender un lote de botellas de vino.
Contacto con la empresa
Previo a esto comprobé el enlace al que me dirigía ese correo de SPAM y varios motores de búsqueda lo detectaron como contenido malicioso.
Tras ver que este correo era probable que fuera falso y con contenido malicioso me puse en contacto con la empresa que comercializa este vino en la dirección de correo que tienen para prensa.
A este correo no tuve respuesta. Al menos hasta el momento en el que publico este artículo. Posteriormente envié un correo al responsable de los datos de esta empresa. Tampoco he tenido respuesta hasta ahora.
Notifico a la AEPD
En vista que nadie se puso en contacto conmigo decidí presentar una reclamación del hecho a la Agencia Española de Protección de Datos. Si entras en la sede electrónica puedes enviar un requerimiento y así hice:
A día de hoy, una semana después de enviar mi reclamación sigue en curso. En caso que respondan (en algún momento lo harán), pondré aquí la respuesta.
Resumen
Resulta sorprendente que no se contesten correos por parte de empresas, obviando el cumplimiento de la ley orgánica 8 de 2018. Pero resulta más sorprendente que notificando a una empresa que alguien se está haciendo pasar por ellos tampoco contesten a un correo tuyo enviado en buena fe y para avisarlos.
La protección de datos es cada vez más importante. Todos tenemos que aportar nuestro granito de arena para que nuestros datos digitales estén protegidos. Las leyes están para cumplirlas y muchas empresas harían bien si empiezan a hacerlo. Si alguien te escribe, por tontería que sea lo que ha puesto, tienes que contestar, aunque sea un correo genérico que no diga nada.
Todos tenemos derechos que podemos ejercer sobre nuestros datos y si los compartimos tenemos que recibir un acuse de recibo por parte de la empresa que los recibe.
