Escrito originalmente por PelucheVa por ti, dragon.dragon. A los que quieran saltarse el coñazo, directos al punto 4, que lo primero son explicaciones.
Este hilo pretende responder algunas dudas acerca de legislaciones de protección de datos, en concreto la europea (EDPD) y la alemana (BDSG), así como el concepto de Acuerdo de Protección de Datos (DPA) que liga a la persona física con la responsabilidad civil de la legislación vigente.
1. ¿Qué es la EDPD? Las siglas EDPD significan European Data Protection Directive, también conocida como directiva 95/46/EC del Parlamento Europeo, firmada el 24 de Octubre de 1995 y que ha servido cómo base y norma mínima de las leyes de protección de datos del resto de países europeos. Con esta legislación se pretendía llenar el hueco legal existente acerca del tratamiento de los datos personales de usuarios, tema que necesitaba ser legislado ante el crecimiento de empresas virtuales con bases de datos de usuarios, y ante las situaciones de venta de datos de usuarios de unas empresas a otras como objetivo del marketing.
La ley completa puede ser consultada (en inglés) en el siguiente
linkEn sus artículos 25 y 26 habla acerca del traspaso de datos a países que no son miembros, indicando que el receptor debe asegurar el mismo nivel de protección.
Un ejemplo de cumplimiento de la ley en extranjero son los Safe Harbours de datos, es decir, asegurar que el receptor de datos está sometido a una ley de protección de datos al menos tan rigurosa como la europea, y un ejemplo de ello es el Safe Harbour de Microsoft, mediante el cual sus datos están sometidos a leyes de protección de datos estadounidense con clausulas adicionales, y los trabajadores que manejan los datos están ligados a un contrato basado en la ley estadounidense y que se convierte en tan riguroso como el europeo. Datos acerca de este Safe Harbour se puede consultar en el siguiente
link.
Cuando no existe un Safe Harbour, las personas receptoras de los datos no tienen una responsabilidad civil para con su jurisprudencia al nivel de la ley europea, lo cual quiere decir que dichas personas son libres de utilizar los datos personas e incluso venderlos sin pagar multas ni cárcel por ello, dado que no constituyen delito alguno al no tener aplicación la ley europea en sus países. En estos casos la responsabilidad recae sobre la empresa, con multas como las de Telefónica, por ahora de 450.000 y 420.000 euros, y planteamientos que llegan hasta los 10 millones de euros de multa.
2. ¿Qué es la BDSG?Es la ley de protección de datos alemana, más antigua incluso que la Europea, dado que es de 1977 (con modificiaciones posteriores). Tiene marco de aplicación en la EDPD, con lo cual cumple su norma mínima, y además tiene ciertas normativas nacionales de aplicación en Alemania. La podéis consultar en alemán en el siguiente
link. Lo importante es que si la EDPD es una norma, con resolución última en Bruselas pero sin asociación al código penal de cada país, la BDSG sí contiene referencias al propio código civil alemán, lo que conlleva una responsabilidad penal. Dos de los puntos más importantes a tener en cuenta de la BDSG son el 13 y el 14, dónde estipula qué debe hacer una empresa para poder almacenar datos de usuarios y qué puede hacer con los datos, y en concreto lo más importante es que cualquier empresa o entidad que recopile datos de sus usuairios, debe informar a los usuarios de todos y cada uno de los datos que recopila, y de cuál será el uso que se dará a dichos datos. Un ejemplo claro son los términos y condiciones que los jugadores aceptan al entrar al ogame, en los cuales se especifica todos y cada uno de los datos se guardarán de los jugadores, y de forma correcta.
3. ¿Qué es una DPA?Un DPA (Data Protection Agreement) suele presentarse en forma de anexo al contrato de cualquier persona que vaya a trabajar con datos privados de usuarios o de una empresa destino. Los términos de aplicación son distintos, dado que en el caso de los datos de usuarios el DPA lo que hace es ligar a la persona a la responsabilidad civil que posee la empresa de proteger los datos de los usuarios con respecto a EDPD o a la ley propia de su nación europea. En el segundo caso, se trata de una cláusula de secreto industrial o de confidencialidad, la cláusula de secreto industrial suele ir indicada en cualquier trabajo de I+D, y la segunda suele ir como protección de datos delicados, como podrían ser los militares.
La cobertura de la protección de usuarios es sencilla: cualquiera que firme una DPA está obligada a cumplir los intereses de la empresa, sino a cumplir la ley a la que está sometida la DPA hasta su última consecuencia. Un ejemplo, si alguien trabaja en una empresa de telefonía y su jefe le manda recopilar datos de los usuarios en un USB y llevarlos a otra empresa, el trabajador está obligado a negarse a cumplir dicha orden dado que la DPA que ha firmado le ha ligado a la responsabilidad civil de la ley de protección de datos, y si hiciese lo que le dice su jefe podría ser denunciado, con la consecuente multa e incluso penas de cárcel.
La de secreto industrial es simple, no se puede ceder código o datos secretos de una empresa que podrían ocasionar un prejuicio económico o de mercado de la misma.
La de confidencialidad documental implica también que cualquier documento que se aplique al anexo de confidencialidad, debe llevar una portada indicando que se trata de un documento confidencial, el código de llave, la persona receptora y la fecha en la que caduca su confidencialidad (usualmente 10 años desde la emisión).
4. ¿Qué cubre exactamente la DPA de Ogame?La DPA de Ogame sirve para asegurar que las personas que tengan acceso a los datos privados de los usuarios tendrán responsabilidad civil para con los datos que manejan, es decir, que los trabajadores (sean a sueldo o voluntarios) aseguren el cumplimiento de la ley de protección de datos y de los términos y condiciones que posee la empresa para con el usuario. Asimismo cubre informaciones internas del juego, pero aunque la frase queda en el aire, la verdadera aplicación es la de secreto industrial en el sentido de que si el que ha firmado la DPA tiene acceso a cualquier dato que podría ser vendido a otra empresa o utilizado en perjuicio económico de la empresa emisora del DPA.
5. Pero entonces, ¿no cubre las conversaciones del team del irc o las secciones secretas del foro?Cubre lo que cubre, es decir, lo protegido por la BDSG que vienen a ser los datos de los usuarios. Es como en una empresa real, un trabajador no puede coger los datos de un usuario y usarlos fuera de la empresa o venderlos, pero sí es libre de contar cómo son las oficinas, las sillas, lo cabrón que es el jefe, cómo están los urinarios o si en la fiesta de navidad la mujer del jefe le tiró los trastos a un empleado. Es decir, que no, que cualquier miembro o ex-miembro del team es libre de contar cosas como la existencia de ciertas secciones o las decisiones internas del team si le da la gana. Pero no puede decir, en ningún caso, el email de un usuario si este está oculto, o la procedencia geográfica ni ip de un usuario.
6. Antes se hablaba de los artículos 25 y 26 de la ley europea de protección de datos acerca del uso de datos en países fuera de Europa, ¿tiene alguna repercusión con la DPA de Ogame?Pues en concreto, sí. Significa que cualquier persona que firme una DPA pero que no esté bajo la jurisprudencia europea, en realidad es como si no hubiese firmado nada, dado que la BDSG no tiene aplicación en su país. Esto quiere decir que dichas personas son libres de utilizar los datos privados de usuarios a su libre albedrío, y que en caso de denuncia por parte de un usuario la responsable sería la empresa responsable de los datos por no cumplir la BDSG ni la EDPD, que exigen que cualquier persona con acceso a los datos tenga responsabilidad civil y jurisprudencia adecuada.
7. También se hablaba por aquí de que según la BDSG los usuarios deben ser informados de todos los datos que se almacenan de ellos. ¿Qué datos se almacenan y qué responsabilidad hay sobre ellos?Pues los datos que se almacenan son los que se indican en el pliego de Términos y Condiciones del servicio, en concreto en su artículo 6:
Se puede observar que indica que para los foros, y cito textualmente, "sólo los datos del perfil de usuario, introducidos por el/ella mismo/a son almacenados.". Es decir, no indica en ningún momento que se almacenen las IPs de los usuarios, lo cual sí indica para el juego. La repercusión de esto es que en el caso de que se almacenasen y no se usasen, sería una falta menor de la empresa que simplemente llevaría una regulación (es decir, el borrado de las IPs de todos los mensajes, y cambiar el mecanismo de almacenado de mensaje para que no se guarden las ips). En el caso de que se usen las IPs para cualquier cosa, por ejemplo comparar para buscar una multicuenta o ver si es un proxy, nos encontramos que podrían darse dos casos:
- La persona que usa dichas IPs no ha firmado la DPA o no está en la jurisprudencia europea. En este caso la responsabilidad directa del uso recae sobre la empresa, con multas y sanciones por almacenar datos sin consentimiento del usuario, utilizar datos sin consentimiento del usuario e infringir la ley de protección de datos al enviar datos a una persona sin jurisprudencia europea y sin Safe Harbour.
- La persona que usa dichas IPs ha firmado la DPA y está bajo la jurisprudencia europea. En este caso dicha persona ha aceptado, mediante la DPA, cumplir estrictamente la ley de protección de datos BDSG y la EDPD, por lo tanto está forzada a proteger los datos de los usuarios y en concreto debe conocer que dichos datos no pueden ser vistos ni usados por no encontrarse en el pliego de Términos y Condiciones que se entrega al usuario. Es decir, que al usar dichas IPs estaría incurriendo personalmente en un delito, viéndose la empresa exenta de la responsabilidad y siendo una falta menor, y cayendo el peso de la ley sobre dicha persona. Por poner un ejemplito, si una persona vive en Europa, ha firmado la DPA y utiliza las ips de un usuario para cualquier cosa (por ejemplo banear a alguien por multicuenta), estaríamos hablando de 12 meses de cárcel y cerca de 60.000 euros de multa. Esta cobertura y protección del usuario está indicada en la DPA cuando indica "Las infracciones pueden ser sancionadas de acuerdo con el 43 y el 44 del BDSG con multas o penas de cárcel", y en la sección 43 viene indicada la responsabilidad penal de aquel que utilice los datos personales sin cumplir las especificaciones de la BDSG.
Espero que sirva para clarificar lo que es la BDSG, la DPA, sus ámbitos y sus usos. Para cualquier duda, aquí estoy para clarificarla.
