Hace unos días leí un curioso caso ocurrido en EE.UU. que veo interesante comentar porque es un buen ejemplo de lo dispares que son las normativas de privacidad o protección de datos españolas de las norteamericanas. El editor de una revista dirigida a público gay de Nueva Jersey llamada XY, presentó concurso de acreedores. Esta revista tenía un sitio web con más de un millón de usuarios que habían dado información personal, incluyendo obviamente sus preferencias sexuales. Los acreedores solicitaron medidas encaminadas a adquirir la titularidad de la base de datos que contenía información acerca de sus abonados.
Está claro que lo único que podría quedar de valor de aquel negocio era el fichero de clientes. La controversia llegó a la FTC, que envió a los acreedores de la editorial una carta advirtiendo de que cualquier venta, transferencia o de la divulgación de la información podría ser ilegal porque iba en contra de la política de privacidad establecida en su momento por el propio magazine XY, donde se declaraba que «la información no se daría o vendería a nadie». Con cualquier acto de transmisión de la bases de datos podría violarse entonces la Ley de la FTC y cometer prácticas comerciales engañosas o desleales.
Tras la advertencia, las partes llegaron a este acuerdo: el editor tendría que destruir toda la información, y conservar sólo los datos personales necesarios para servir algunos números atrasados a clientes que ya los habían pedido. Vamos, que como consecuencia práctica esa «política de privacidad», nos encontramos con que la base instalada de usuarios no valía ni un dólar…
La Electronic Frontier Foundation, asociación que hizo un seguimiento exhaustivo del asunto, describe así el problema que plantea el caso:
…el Código de Bancarrota en sí mismo no maneja esta situación muy bien. Las empresas que poseen información personal de sus clientes es probable que, a través de sus propias políticas de privacidad, se permitan vender esa información si van a la quiebra o sufren un cambio en la titularidad. Serán raros casos en que una empresa prometa a sus clientes que su información personal nunca será compartida con nadie, y así un juzgado que gestione la bancarrota podrá pemritir que los datos se alquilen o vendan, ya que no violan la ley.
Me impresiona que incluso en caso de concurso de acreedores haya prevalecido hasta la última consecuencia la promesa inicial de la empresa de que los datos no se cederán a ningún tercero. Para comprobar si algunas empresas actúan así, he cogido la última política de privacidad que recordaba haber visto, y efectivamente, esta hipotética situación la evitan los más listos de la clase. Este es el párrafo donde Twitter nos lo cuenta, en el apartado«Intercambio y difusión de información» de su política de privacidad:
Transferencias de empresas: En el caso de que Twitter esté involucrada en una bancarrota, fusión, adquisición, reestructuración o venta de activos, puede vender o transferir la información del usuario como parte de la transacción. Los compromisos establecidos en esta política de privacidad serán aplicados tal y como están a la información del usuario por la nueva entidad.
¿Cómo tenemos esto en nuestra legislación? La legislación española es permisiva, y como se indica en el artículo 19 del Real Decreto de desarrollo de nuestra Ley Orgánica de Protección de Datos, las empresas no tienen que prever este evento:
En los supuestos en los que se produzca una modificación del responsable del fichero como consecuencia de una operación de fusión, escisión, cesión global de activos y pasivos , aportación o transmisión de negocio, o rama de actividad empresarial, o cualquier operación de reestructuración societaria de análoga naturaleza, contemplada por la normativa mercantil, no se producirá cesión de datos, sin perjuicio del cumplimiento por el responsable de lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre.
Así de fácil. En nuestro ordenamiento no hubiera habido, a mi juicio, problema alguno… ¿qué valor vinculante tendría que en una de estas eternas «políticas de privacidad» americanizadas que nos ha dado por copiar redactar, una empresa incluyera esa misma aseveración? En el reparto de bienes que entre acreedores que se hiciera en un hipotético caso parecido al de la revista XY, el fichero pasaría a tener otro titular, y sería legítimo tratar esos datos conforme a las finalidades a las que se estaban dedicando antes. El nuevo titular resultante sólo tendrá que informar a los clientes sobre la nueva situación, y si quisiera realizar nuevos tratamientos con esos datos, nos bastaría con solicitar el consentimiento de los titulares para hacerlos.
Visto lo visto, ¿quién «protege» más los datos en estos casos?… ¿la normativa norteamericana, o la española?… hay ocasiones en las que el asunto se presta a duda razonable.