Post invitado de Jesús Pérez, @mkpositivo, experto en la Ley Orgánica de Protección de Datos en España:
¿Cómo influye la Ley Orgánica de Protección de Datos (LOPD) a la hora de desarrollar una aplicación basada en la API de Twitter?
Ante todo hay que entender que difícilmente encontraremos en una ley aprobada hace más de diez años una respuesta más o menos concreta. Diez años en Derecho no es nada, en tecnología equivale actualmente a un par de años luz (por lo menos). Es inevitable considerar que la LOPD y el resto de legislación sobre privacidad vivirán en un perpetuo «a rebufo» de las nuevas tecnologías, nunca llegando a alcanzarlas del todo y dejando a los innovadores en una zona algo sombreada en lo que se refiere a la seguridad jurídica… es uno de los precios que pagan los pioneros… a cambio de la opción de encontrar El Dorado (léase el próximo Facebook, por ejemplo).
Por lo tanto daremos aquí una aproximación genérica a los aspectos básicos de la ley, teniendo en cuenta además que a partir de la API de Twitter se pueden desarrollar aplicaciones de muy diferente grado de interactuación con los usuarios, generando a su vez situaciones legales diferentes que pueden requerir análisis particulares, ya que se desdobla en Search API (para busquedas fundamentalmente), REST API (para gestionar consultas y actualizaciones de perfiles, listas, favoritos, dm, follows, geolocalización, etc…) y Streaming API (fundamentalmente para gestionar las actualizaciones del public timeline), con lo que el programador dependiendo de lo que quiera hacer en cada momento utiliza cada API con sus métodos.
Respecto a los datos recogidos por cualquier aplicación desarrollada sobre la API de Twitter, hay que distinguir en principio tres clases:
Datos que la aplicación pueda obtener directamente del usuario, como puede ser desde un simple correo electrónico y una contraseña para darse de alta, hasta otros que se le soliciten de forma imprescindible o voluntaria como paso previo en un proceso de alta o los que se puedan obtener una vez este proceso se confirme y la persona se convierta en usuario de la aplicación. En este supuesto hablamos de una situación típica LOPD sin ningún rasgo especial, en la que tendremos un fichero a dar de alta en el Registro General de Protección de Datos y la obligación de cumplir el resto de requisitos de la ley, como tener Documento de Seguridad, políticas de seguridad y privacidad, etc… Las posibilidades de uso de esta información dependerán de las condiciones de privacidad concretas que el usuario acepte en su proceso de alta.
Datos que se obtienen de Twitter «en abierto». Por supuesto una aplicación sobre una red abierta como Twitter puede mostrar una gran cantidad de información sin la colaboración de ningún usuario, simplemente recogiéndola del timeline público. Aquí es muy importante recordar que la Agencia Española de Protección de Datos (AEPD) ha reafirmado en varias ocasiones que internet no es un medio de comunicación y por lo tanto no entra en ninguna de las categorías de fuente de acceso público según se definen en la LOPD:
Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación.
En términos prácticos, lo que significa es que no es legal configurar un fichero o base de datos personales que recoja información desde Twitter sin el consentimiento de cada usuario afectado. Podemos reelaborar y mostrar de diferentes formas la información (como hace por ejemplo mytwittercloud.com) pero no darle un uso distinto.
Datos que se obtienen de Twitter tras el permiso del usuario para conectarse a su cuenta. Twitter ya lo plantea en su página de Privacy:
Consentimiento del usuario: Twitter puede compartir o revelar la información del usuario con su consentimiento, como al utilizar la web de una tercera parte para acceder a la cuenta de Twitter.
Además se puede obtener información adicional a partir de la interactuación directa con el usuario, por ejemplo a través de mensajes directos.
En este caso hay que tener en cuenta el concepto de «finalidad», y al igual que en el caso de las aplicaciones que extraen correos electrónicos de las listas de amigos o fans en Facebook, limitarse al uso de esta información dentro del marco de las condiciones marcadas por Twitter en su política de privacidad y en la documentación del API.
Por lo tanto, como tesis general, podemos decir que una aplicación desarrollada sobre la base de la API de Twitter tendrá muy limitado el uso de la información obtenida, salvo que obtenga un consentimiento directo, inequívoco e informado, de cada usuario, en cuyo caso se aplicarán las condiciones de privacidad expresadas en ese consentimiento.
Repito que caminamos por aguas pantanosas, intentando entender las consecuencias jurídicas de circunstancias muy concretas basándonos en una ley muy genérica y en supuestos sobre los que no hay ninguna jurisprudencia, así que todo es discutible… por eso los blogs tienen Comentarios.
Sobre el Autor: Jesús Pérez Serna – Marketing Positivo, consultor LOPD de Fersoft Informática – Segurplus
Agradecemos muy especialmente la colaboración de un gran experto en LOPD como es Jesús Pérez para este post.
2 comentarios
cristomc · 3 julio 2010 a las 15:32
a mi lo que me quitaría el sueño es el tema de que si quiero desarrollar un proyecto basandome en twitter y facebook por ejemplo, venga alguien a meterme un marron judicial con cosas como la LOPD o la LPI…
Para gente joven y con ideas pues se nos quita las ganas de poner en practica proyectos ante la escasa informacion sobre este tipo de cosas y sobretodo si luego recibimos poco apoyo…
Pedro · 5 julio 2010 a las 01:04
La LOPD es una ley muy corta, no tienen problemas de leerse y ser entendida por un técnico. Lo que hace falta es intentarlo.
Por otra parte la serie ISO 27000 es mucho mas complicada y cualquier técnico que quiera realizar aplicaciones seguras deberia tenerla en cuenta, en particular en el ISO 27002, de buenas practicas en TI. Porque la seguridad ha de ser tenida en cuenta desde el momento del análisis de requerimientos del S.I. (ya sabeis, si lo tenes en cuenta en fases posteriores del CV, el coste se dispara).
Así que os quejais de vicio.