Entradas

Hoy en el periódico Ara de Catalunya y en el Ara Balears publican un artículo mío titulado “La LOPD i la destrucció de proves“.
No suelo escribir artículos de opinión sobre política, ya que no soy político ni defiendo ideologías en mis escritos más allá del sentido común. Ni ataco al PP, ni al PSOE, ni al Partido X, en general. Pero a veces las excusas de mal pagador han de ser rebatidas.
Hay varios artículos míos tratando el tema de la Ley Orgánica de Protección de Datos, que en demasiadas ocasiones resulta papel mojado. Pero si encima de que las empresas apenas la conocen (y tampoco aplican), los partidos la usan para poner excusas absurdas, esta norma quedará tocada de muerte.
Os dejo el artículo, en catalán:

Leyendo un post en Bitacoras.com sobre qué debe hacer un blogger si recibe una petición para eliminar algún contenido de su bitácora, me han surgido varias dudas en referencia a la aplicación de la normativa en protección de datos de carácter personal y la actividad de los bloggers.

Buscando en el Oráculo de Google, me he encontrado con un par de posts sobre esta temática. Para ayudar a los bloggers que me lean, les recomiendo revisen y apliquen la Guía legal para blogueros y podcasters (PDF) de Derecho en Red.

Para responder a la pregunta de si es posible tener un blog y firmar anónimamente, primero responderemos a una previa:

¿Estoy obligado a cumplir con la LOPD si soy un bloguero aficionado y mi blog es personal?

Depende:

  • Si la temática del blog es meramente personal, en el sentido de que se tratan temas del ámbito personal y doméstico del bloguero, al estilo diario personal en forma de blog, en principio no. Pero si se permiten los comentarios o se puede uno suscribir por email, ya se está sujeto a la LOPD.
  • Si hay publicidad en el blog, el blogger se considera un prestador de servicios de la sociedad de la información y debe cumplir con la LSSI en lo que le afecte.
  • En principio el bloguero es un responsable de fichero en cuanto a la información publicada en el blog y los comentarios, y debe inscribirse en la Agencia Española de Protección de Datos y cumplir con el resto de obligaciones de esta normativa.

¿Puede un bloguero de un blog con publicidad o que deba cumplir con la LOPD (yo diría que más del 90% de blogs) ser anónimo?

La respuesta, en base a mi criterio profesional, es que NO.


No puede firmarse un blog de forma anónima.

La razón estriba en que la LSSI y/o la LOPD obligan al bloguero a informar a los comentaristas y lectores de:

  • La existencia de un fichero o tratamiento de datos de carácter personal (y se debe declarar ante la Agencia Española de Protección de Datos) de la finalidad de la recogida de éstos y de los destinatarios de la información.
  • La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
  • La identidad y dirección del responsable del blog.

¿Eres un blogger anónimo o no cumples con el resto de obligaciones de la LOPD?

La Agencia puede sancionarte de oficio o si algún comentarista te denuncia.

Te recomiendo encarecidamente te asesores debidamente por un profesional y no esperes ni un momento a cumplir con esta legislación.

Imagen | gabofr, Flickr

Encuentro un recomendable post en una recomendable web (Ayuda Ley Protección de Datos) sobre LOPD que responde a esta pregunta y a las más general, que sería:

¿Se pueden enviar comunicaciones comerciales no solicitadas a empresas cuyos datos procedan de fuentes accesibles al público?

En este blog ya hemos tratado el tema. En Ayuda Ley Protección de Datos nos hacen un resumen muy útil del tema:

  • Envío postal a empresa: permitido en cualquier caso. No le afecta la LOPD por no tratarse de datos de carácter personal, ni la LSSI al no ser un envío electrónico.
  • Envío postal a particular: permitido con condicionantes (se deberá cumplir con el deber de información al afectado a que hace referencia el artículo 45.2 del Reglamento, informar que el origen de los datos procede de fuentes accesibles al público, de la identidad del responsable del fichero, de que tiene el derecho de acceso, rectificación, cancelación y oposición, etc).
  • Envío electrónico a empresa o particular: no permitido sin consentimiento previo, ya que al ser electrónico el envío se regula por la LSSI y en ésta no existe el concepto de fuentes de acceso público.

Imagen | luisvilla, Flickr

En la entrada anterior hemos visto que el Tribunal Supremo entiende que si hay interés legitimo una empresa puede tratar datos de una persona física sin el consentimiento expreso del interesado, cuando hasta la sentencia del TS sólo se podía hacer en caso de que existiera una ley habilitante (por ejemplo el Estatuto de los Trabajadores en el caso de los datos de la nómina y contratos laborales) o se tratara de datos recogidos de fuentes accesibles al público.

En la web de la Agencia no se hace referencia a este cambio en las reglas del juego, al menos a día de hoy yo no lo he visto. Me parece increíble que no esté aun reflejada esta información. Espero que la razón no sea que el encargado está de vacaciones, ya que en los tiempos que corre hay internet y unas horas extras en materia tan importante no matan a nadie. Veremos si se dignan a hacer mención en días venideros a esta sentencia del TS.

Antes de entrar a analizar que se considera interés legítimo, dos cuestiones previas:

¿Puede el Tribunal Supremo modificar la Ley?

El Tribunal Supremo no puede anular una norma con rango de ley, pero si  puede anular artículos de un reglamento, que es lo que ha hecho con el RLOPD (PDF). Esa facultad deriva directamente de nuestra Constitución, que establece que los tribunales actúan sometidos únicamente al imperio de la Ley.

Los reglamentos, como normas de rango inferior a las leyes (aunque éstas también son disposiciones de carácter general), al emanar del Ejecutivo y no del Legislativo, no obligan a los jueces y tribunales, que pueden anularlas en caso de impugnación directa del reglamento, como ha sido el caso, o inaplicarlas en caso de que se impugne un acto concreto de aplicación del reglamento.

¿Afectará esta sentencia a las sanciones de forma retroactiva?

Veremos como se aplica el principio de retroactividad de las normas sancionadoras más favorables.

En opinión de mis fuentes jurídicas consultadas, la retroactividad alcanzaría sólo a las sanciones no firmes; si alguien tiene un procedimiento abierto en el que sea de aplicación algún artículo anulado o modificado, quedaría sin sanción.

En cambio, las sanciones que ya son firmes se mantendrían, como viene siendo doctrina en el ámbito administrativo.

Veamos ahora lo que dice el TS sobre el interés legitimo:

La normativa europea busca facilitar la libre circulación de datos personales entre Estados miembros, garantizando su debida protección. Para ello persigue unificar los criterios de los distintos Estados. La normativa española, al parecer, se excedió no aceptando el interés legitimo para tratar datos sin consentimiento expreso del afectado.

El TS ve indicios de que la normativa española es demasiado restrictiva al considerar que sólo si los datos proceden de una lista cerrada de “fuentes accesibles al público” estamos ante un interés legitimo que exime de obtener el consentimiento expreso del afectado, y plantea al Tribunal de Justicia de las Comunidades Europeas las siguientes cuestiones prejudiciales:

1ª) «¿Debe interpretarse el artículo 7, letra f), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, en el sentido de que se opone a una normativa nacional que, no mediando consentimiento del afectado y para permitir el tratamiento de sus datos de carácter personal que resulte necesario para satisfacer un interés legítimo del responsable o de los terceros a los que se vayan a comunicar, exige además de que no se lesionen los derechos y libertades fundamentales de aquel que los datos consten en fuentes accesibles al público?»

2º) «¿Concurren en el mencionado artículo 7, letra f), las condiciones que exige la jurisprudencia del Tribunal de Justicia de la Unión Europea para atribuirle efecto directo?»

Es decir, ¿se ajusta al derecho comunitario las exigencias de la normativa española de que haya una ley habilitante o los datos se hayan obtenido de una fuente accesible al público cerrada para no obligar a solicitar el consentimiento expreso de los afectados?

Por ejemplo, actualmente los datos personales que uno publica en su web no se pueden tratar, cosa que tal vez sea una restricción demasiado severa para la normativa europea.

Imagen | umjanedoan, Flickr

Acabo de leer que en Expansión que el Tribunal Supremo, en sentencia de 15/07/2010 acaba de anular los artículos 11, 18, 38.1.a y 2 y 123.2. del Reglamento de Protección de Datos, dejando como cuestión imprejuzgada el artículo 10. 2.a y b, el tratamiento y cesión de datos, que eleva como cuestión prejudicial al Tribunal de Justicia de las Comunidades Europea.
 
Primero resumiremos lo que se discute en la sentencia, para que el profano no se vea aburrido por información jurídica que puede no ser de su interés:

La normativa europea, para facilitar la circulación de datos entre los Estados miembros, establece que el tratamiento de datos personales sólo puede efectuarse si el interesado ha dado su consentimiento de forma inequívoca [artículo 7, letra a)] o concurren otras causas legítimas entre las que se encuentra la de resultar el tratamiento:

«[…] necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o los terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado.

Entre los artículos que anula el TS, destacar el art. 18 Acreditación del cumplimiento del deber de información , que decía:

1. El deber de información al que se refiere el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, deberá llevarse a cabo a través de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento de los datos del afectado.


2. El responsable del fichero o tratamiento deberá conservar el soporte en el que conste el cumplimiento del deber de informar. Para el almacenamiento de los soportes, el responsable del fichero o tratamiento podrá utilizar medios informáticos o telemáticos. En particular podrá proceder al escaneado de la documentación en soporte papel, siempre y cuando se garantice que en dicha automatización no ha mediado alteración alguna de los soportes originales.

Básicamente lo que se persigue es consagrar la libertad de forma (verbal, escrita, etc) en la recogida de datos y su consentimiento por el afectado.

Importante es la eliminación de un párrafo del artículo 38.1:

Artículo 38. Requisitos para la inclusión de los datos.


1. Sólo será posible la inclusión en estos ficheros de datos de carácter personal que sean determinantes para enjuiciar la solvencia económica del afectado, siempre que concurran los siguientes requisitos:


a. Existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada.


[Texto eliminado] Artículo 38.1.a “y respecto de la cual no se haya entablado reclamación judicial, arbitral o administrativa, o tratándose de servicios financieros, no se haya planteado una reclamación en los términos previstos en el Reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero.

Básicamente, se disminuye el nivel de protección del ciudadano antes la inclusión de una deuda en el Asnef u otros ficheros de solvencia patrimonial, ya que no se les exige se les exigen los requisitos anteriores en cuanto a la seguridad de que la deuda sea cierta.

Algunos agentes de seguros creen que ellos no tienen que hacer nada a efectos de protección de datos de carácter personal, y quién tiene que proceder a cumplir con las medidas de seguridad adecuadas es la Aseguradora para la cuál trabajan. ¿Es así?

La AEPD emitió un informe jurídico sobre el tema: Naturaleza de las actividades de mediación de seguros según la LOPD. Informe 433/2003 (en PDF)

En el caso de un agente de seguros, su figura aparece directamente vinculada a la entidad aseguradora para la cual presta sus servicios de Agencia, no pudiendo prestar los mismos para otras compañías y, en todo caso, nunca en relación con el mismo ramo del seguro.

Por este motivo, cabe concluir que la actividad de los Agentes puede considerarse incardinada en la propia de un encargado del tratamiento, definido por el artículo 3 g) de la Ley Orgánica 15/1999 como “La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento”, condición que ostentaría en este caso la entidad aseguradora a la que se preste el servicio de Agencia.

Entre las obligaciones de los Agentes de seguros están:

  1. Disponer de un contrato de tratamiento debidamente firmado con las Aseguradora, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.
  2. Cuando el agente deje de trabajar para la aseguradora debe tener en cuenta que: “una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento”.
  3. No se permite una subcontratación de este tipo de servicios por parte del encargado del tratamiento, debiendo siempre el responsable ser parte en la relación jurídica, ya que cualquier transmisión de los datos a una terminal que no corresponda al responsable del fichero habrá de ser considerada cesión.
  4. Aplicar las mismas medidas de seguridad que la Aseguradora.
  5. En cuanto a la obligación de notificación del tratamiento, deberá efectuarse por el responsable del mismo (Aseguradora), indicando expresamente la existencia de una entidad encargada del tratamiento, debiendo además hacerse constar expresamente la ubicación del fichero, en caso de que el servicio prestado consista precisamente en el alojamiento del mismo. Por tanto, todas las Aseguradoras han de comunicar puntualmente los agentes que tiene o se incorporan a la red, al ser éstos sus encargados de tratamiento.

El caso de los corredores de seguros las obligaciones varían; recomiendo mirar el informe si es su caso.

Más Información | Guía de Seguridad de Datos (PDF) y Guía del Responsable de  Ficheros (PDF) de la AEPD

Visitando la web de la Agencia veo que han abierto una página con recomendaciones de protección de datos de carácter personal de los usuarios de Internet. Nos dice:

En Internet, como en el mundo físico, nuestra actividad deja un rastro. Además de los datos personales que aportamos voluntariamente al darnos de alta en servicios como redes sociales, portales de contactos o de compra on-line, y de los datos personales propios que otros pueden publicar en sitios web sin nuestro conocimiento, nuestra navegación en Internet deja rastros que pueden identificarnos.

Tus datos en internet

  • En cuanto a los datos que suministramos voluntariamente en redes sociales, blogs y demás, hay que dar los mínimos necesarios en base a lo que deseamos que se sepa de nosotros. Hasta el más mínimo detalle puede permitir a cualquiera localizarnos o conocer nuestro perfil personal e ideológico. Compartir es bueno, pero sabiendo lo que hay que compartir y lo que no.
  • Datos personales publicados por terceros: alguien que comparte una foto nuestra con sus contactos está distribuyendo un dato personal nuestro sin consentimiento, por ejemplo. También pueden publicar datos nuestros los repertorios telefónicos, los blogs, los medios de comunicación en formato digital, etc. En la mayoría de los casos, y salvo excepciones, tenemos derecho a solicitar que se cancelen los datos publicados en esos sitios web o, al menos, a que se evite su recuperación por los buscadores. Para ello, debemos dirigirnos al responsable del sitio web que aloja el contenido con nuestros datos o también, en el caso de los blogs y foros, al autor del contenido.
  • Datos de navegación en la red: la IP de nuestro ordenador puede permitir saber nuestra localización e identidad si somos los titulares de la línea. Las cookies son creadas por el sitio web que visita el usuario y permiten a éste conocer con detalle su actividad en el mismo sitio o en otros con los que se relaciona éste (localización, navegador, páginas que visita, etc). Los sitios web deben informarnos de la utilización de cookies. Además, es posible y recomendable, a través de las herramientas que proporciona el navegador que utilicemos, borrar regularmente las cookies que se almacenan en nuestro ordenador.

Vídeo sobre el tema colgado por la AGPD

 
En base a preguntas usuales aparecidas en la Memoria de 2009 de la Agencia Española de Protección de Datos, seguimos con algunas respuestas a estas dudas de los ciudadanos y empresas:

¿Puedo comprar una base de datos con emails para hacer publicidad masiva?

Respuesta: No

La LSSI, en su artículo 21.1, prohíbe de forma expresa “el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas”. Es decir, se desautorizan las comunicaciones comerciales dirigidas a la promoción directa o indirecta de los bienes y servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional, con la excepción de los envíos de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que fueron objeto de contratación anterior.

Más Información

¿Cómo puedo evitar que me sigan mandando publicidad no deseada?

Respuesta: denunciando a la Agencia Española de Protección de Datos

¿Es legal incluir en un fichero de morosos sin notificar la inclusión?

Respuesta: No, se debe informar previamente al afectado.

Según el Artículo 39. Información previa a la inclusión del RD 1720/2007

El acreedor deberá informar al deudor, en el momento en que se celebre el contrato y, en todo caso, al tiempo de efectuar el requerimiento previo de pago a quien corresponda el cumplimiento de la obligación, que en caso de no producirse el pago en el término previsto para ello y cumplirse los requisitos previstos en el citado artículo, los datos relativos al impago podrán ser comunicados a ficheros relativos al cumplimiento o incumplimiento de obligaciones dinerarias.

¿Es legal que una tercera empresa reclame una deuda en nombre de otra?

Respuesta: No si la deuda comunicada a la empresa de reclamación de deudas no es correcta

Para la cesión de datos de carácter personal (en este caso deudas) el art. 11 de la LOPD exige el consentimiento expreso del afectado o bien que haya una habilitación legal. En cuanto a esta habilitación legal, hay que remitirse a los art. 347 y 348 del Código Mercantil. Requisitos:

  1. Existencia de un crédito (deuda a cobrar)
  2. Existencia de un acreedor (cedente)
  3. Existencia de un cesionario (el que recibe los datos y la posibilidad de cobrar dicho crédito)
  4. Existencia de una deuda por parte del titular del dato cedido

Ejemplo de sanción (PDF)

¿Cómo hacer para desaparecer de una página web?

Respuesta: ejerciendo nuestros derechos de acceso, rectificación, cancelación u oposición.

¿Es obligatorio inscribir los ficheros de geolocalización de los trabajadores?

 Respuesta: Si

Los datos de geolocalización se consideran datos personales y se definen como “cualquier dato tratado en una red de comunicaciones electrónicas que indique la posición geográfica del equipo terminal de un usuario de un servicio de comunicaciones electrónicas disponible para el público”

Informe jurídico

Esperamos haber resuelto satisfactoriamente alguna de vuestras dudas en materia de protección de datos de carácter personal.

Imagen | Amagill, Flickr

En base a las preguntas de ciudadanos que la Agencia Española de Protección de Datos ha publicado en su Memoria 2009, vamos a ver algunas respuestas:

¿Puede el inquilino de una finca instalar una cámara oculta que filme día y noche todo lo que ocurre en la entrada de la finca y en el jardín que es de uso privado de la propiedad y sus familiares o amigos?

Respuesta: NO


Según la guía de videovigilancia (PDF) los casos en los que no procede aplicar la LOPD son:

  • Cuando las imágenes se tratan dentro del ámbito personal y doméstico, entendiéndose por tal el realizado por una persona física en el marco de una actividad exclusivamente privada o familiar (p.e. un viaje turístico o una celebración familiar).
  • El tratamiento por parte de medios de comunicación en el legítimo derecho del Artículo 20 de la Constitución Española.

Por lo tanto se entiende que una “cámara oculta que graba día y noche“, aunque sea en la entrada de una finca privada, no puede entenderse dentro de estas excepciones ya que también puede recoger imágenes de personas ajenas que puedan entrar en la finca. Por tanto, en principio, esta cámara debe estar señalizada con el cartel preceptivo y haberse dado de alta un fichero de videovigilancia a la AEPD.

¿Se puede filmar a menores de edad en el jardín o en la piscina?

Respuesta: NO, en principio

Respecto a la instalación de cámaras en una zona de ocio que además capta imágenes de menores, estas cámaras deben situarse en lugares que no vulneren la intimidad (no se pueden instalar en baños, vestuarios, taquillas, etc). y deben ser proporcionadas y justificadas (debe existir una justificación clara que motive este tipo de grabaciones).

En ningún caso podrán instalarse estos medios en espacios protegidos por el derecho a la intimidad como baños, vestuarios o aquellos en los que se desarrollen actividades cuya captación pueda afectar a la imagen o a la vida privada como los gimnasios.

Informe jurídico completo (PDF)

¿Qué nivel de seguridad tienen las imágenes obtenidas por cámaras de videovigilancia?

Respuesta: En general, nivel básico

Informe jurídico (PDF)

Leo en IurisCivilis que la Agencia Española de Protección de Datos ha publicado su Memoria correspondiente al año 2009. Destacable es que las denuncias de ciudadanos crecieron un 75% respecto al año anterior.

Interesante es el tipo de consultas que se hacen a la AEPD, entre las que destacan las que versan sobre temas de videovigilancia; ejemplos de las preguntas que formulan los ciudadanos:

¿Puede el inquilino de una finca instalar una cámara oculta que filme día y noche todo lo que ocurre en la entrada de la finca y en el jardín que es de uso privado de la propiedad y sus familiares o amigos?


¿Se puede filmar a menores de edad en el jardín o en la piscina?


¿Qué nivel de seguridad tienen las imágenes obtenidas por cámaras de videovigilancia?


¿Cómo puedo evitar que me sigan mandando publicidad no deseada?


¿Es legal incluir en un fichero de morosos sin notificar la inclusión?


¿Es legal que una tercera empresa reclame una deuda en nombre de otra?


¿Cómo hacer para desaparecer de una página web?


¿Es obligatorio inscribir los ficheros de geolocalización de los trabajadores?

Os invitamos a contestar en los comentarios a estas preguntas, prometiendo responder a ellas en un próximo post.

En el 2009 se han hecho 4.073 denuncias en el Estado Español, de las cuales 1.208 son de Madrid, 364 de Barcelona  y  78 corresponden a denunciantes de las Illes Balears, por ejemplo.

Más Información | Memoria 2009 (PDF)
Imagen | Francisco Javier Martín, Flickr