Todas las entradas de Aurelio J. Martínez Ferre

Acerca de Aurelio J. Martínez Ferre

Consultor legal Áudea Seguridad de la Información en Audea Seguridad de la Información.

17Feb/15

El principio de conocimiento efectivo

El principio de conocimiento efectivo

Internet. Un gran avance para la comunicación, pero tiene sus riesgos. Cualquier persona puede hacer, amparándose en su derecho a la libertad de expresión, comentarios sobre una persona, empresa o tema. Sin embargo estos comentarios en ocasiones pueden vulnerar los derechos del afectado.

Resulta difícil concretar cuando efectivamente se está vulnerando el derecho de un tercero. A los prestadores de servicios de intermediación se les exige una diligencia o cuidado con respecto a las informaciones publicadas en las Web de las que son responsables. La LSSI regula este aspecto en su art. 16 definiendo el principio de conocimiento efectivo, por lo tanto los citados prestadores de servicios de intermediación deberían conocer el alcance y límites del mismo. Este precepto indica que sólo se puede hacer responsable al prestador de servicios de intermediación, de los contenidos o expresiones ilícitos vertidos por otras personas en su página Web, sin participación directa del prestador de estos servicios, cuando tenga conocimiento efectivo de la ilicitud de la actividad o información. Más adelante se encarga de delimitar qué se entiende por conocimiento efectivo indicando que será «Cuando un órgano competente haya declarado la ilicitud de los datos, ordenado su retirada o que se imposibilite el acceso a los mismos, o se hubiera declarado la existencia de la lesión, y el prestador conociera la correspondiente resolución». Por lo tanto una interpretación restrictiva del artículo conllevaría que primero debe existir un juicio previo por la autoridad competente en el que se debe declarar la ilicitud de la acción o expresión, posteriormente una comunicación al titular de la Web, en la que se le indique la existencia de la resolución condenatoria, y se le invite a retirar el contenido por vulneración de los derechos. Sólo si tras esta comunicación e invitación el Webmaster no retirase el contenido se le podría hacer responsable.

Sin embargo este mismo artículo deja una puerta abierta para que el prestador de servicios de intermediación pueda aportar sus propios procedimientos de control, que en cualquier caso califica de voluntarios. Además se articula lo que considero un «cajón de sastre» en el que se pueden incluir cualquier otro tipo de conocimiento cuando indica «otros medios de conocimiento efectivo que pudieran establecerse».

Los Tribunales están dictando Sentencias donde se interpreta tal principio. El Tribunal Supremo, recurriendo para su interpretación a la Directiva de Comercio Electrónico, en Sentencias STS 773/2009, Sala de lo Civil, de 9 de diciembre de 2009,

STS 316/2010
, Sala de lo Civil, de 18 de Mayo de 2010, y STS 72/2011, Sala de lo Civil, de 10 de febrero de 2011 (caso Ramoncín), indica que «el artículo 16 permite esa interpretación favorable a la Directiva –al dejar a salvo la posibilidad de «otros medios de conocimiento efectivo que pudieran establecerse»–, no cabe prescindir de que la misma atribuye igual valor que al «conocimiento efectivo» a aquel que se obtiene por el prestador del servicio a partir de hechos o circunstancias aptos para posibilitar, aunque mediatamente o por inferencias lógicas al alcance de cualquiera, una efectiva aprehensión de la realidad de que se trate.»

En la Sentencia dictada en el supuesto de Ramoncín se condena a los prestadores de servicios de intermediación por las expresiones vertidas por terceros en su página Web, con fundamento en el art. 16 de la

LSSICE
, en relación con el artículo 10 de la misma Ley, y ello porque el Webmaster incumplió con la obligación legal de publicar, de forma permanente, fácil, directa y gratuita las informaciones que el mencionado artículo indica, informaciones que permitirían que el tercero afectado pudiera comunicar al responsable de la Web sobre cualquier información que pudiera resultarle perjudicial.

Se indica que el Webmaster tiene una obligación in vigilando sobre los contenidos publicados en su página web, convirtiendo a éste en Juez ante las expresiones que cualquier persona pudiera incluir. Si el administrador tuviese al menos la mera sospecha de que un contenido pudiera vulnerar cualquier derecho de un tercero debería por sí mismo retirar tal contenido en previsión de que el mismo pudiera efectivamente contravenir el derecho. Se pretende que el Webmaster actúe como un inquisidor o censor de las expresiones que se incluyen en las páginas de los que son titulares. Si leemos detenidamente el art. 16 de la mencionada Ley parece desprenderse que el espíritu del mismo no es el que los Juzgados y Tribunales parecen interpretar.

Pero no olvidemos que el administrador de una Web no es un Juez, no tiene porqué conocer pormenorizadamente el derecho, y en cualquier caso para eso están los Juzgados y Tribunales, para velar por el cumplimiento de estos derechos. Imaginemos que se nos condenase a cualquier particular porque en el muro de nuestra vivienda alguien escribiese un «Te quiero Ana» y la tal Ana o su novio se sintiesen ofendidos.

En conclusión, a través de Juzgados y Tribunales se está delimitando el concepto de conocimiento efectivo, y restringiendo la libertad de expresión de los internautas, convirtiendo a los titulares de los servicios de intermediación en censores de las expresiones que se vierten en sus Webs, y convirtiéndolos en responsables de las mismas. Esto obliga a llevar un control exhaustivo de las páginas Web, que puede convertirse en una tarea muy difícil, por no decir imposible, en el caso de medios de gran afluencia de público. Es cierto que no es de recibo que cualquier persona pueda «campar a sus anchas» e infringir los derechos de un tercero. Se debería articular un medio rápido y efectivo para que la labor de vigilancia no se convierta en una labor de reprobación por parte del Webmaster. Esto es en definitiva lo que se pretende hacer con la Ley Sinde en el caso de los Derechos de Autor.

Áudea Seguridad de la Información

Aurelio J. Martínez Ferre.
Consultor legal Audea Seguridad de la Información.
www.audea.com

01Ene/15

El tratamiento de datos por parte de las comunidades de propietarios

El tratamiento de datos por parte de las comunidades de propietarios

Este es el primero de una serie de artículos sobre el tratamiento de datos personales en las comunidades de propietarios.

Las obligaciones que impone la LOPD y sus normas de desarrollo plantean la necesidad de que las comunidades de propietarios se adapten y cumplan escrupulosamente con la normativa de protección de datos. La organización y gestión de la comunidad de propietarios supone la existencia de al menos un fichero o tratamiento de datos personales: la de los propios integrantes de la comunidad. Existen hechos habituales de la vida de una comunidad de propietarios que conllevan la existencia y obligatoriedad de adaptar estas comunidades a lo dispuesto por la LOPD, así podríamos hablar de contratación con terceros de servicios prestados a la comunidad como el contrato con administradores externos a los propietarios de las viviendas de la comunidad, seguridad, reparaciones, limpieza…; cobro de cuotas de comunidad y como consecuencia gestión de impagados.

Según el art. 3 de la LOPD es Responsable del fichero o tratamiento la persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. Poniendo en relación esta definición con las de la Ley de Propiedad Horizontal el responsable del Fichero sería la propia Comunidad de Propietarios como persona jurídica y compuesta por tanto por la Junta de Propietarios. Esta distinción es importante puesto que nos indica que cualquier tratamiento de datos debe ser consensuado por la totalidad de los propietarios conforme a las reglas de la formación de la voluntad de los órganos de la Comunidad. En consecuencia el responsable del fichero, será el que sufra de las consecuencias de un incumplimiento de lo dispuesto en la legislación de protección de datos. Esta afirmación se corrobora por la AEPD en su informe 2000 de fecha 23-04-2.010.

Por tanto y en aplicación del art. 25 y 26 de la LOPD toda comunidad de propietarios que tenga almacenados datos de los comuneros, es decir, todas ellas, tienen obligación de crear un fichero y comunicar este a la AEPD. Esta notificación la podrá hacer el órgano de representación de la misma o bien un administrador externo a la comunidad que ejerza las funciones de administración en nombre de ésta, pero en este supuesto el responsable del fichero seguirá siendo la propia comunidad de propietarios.

La denominación del fichero dependerá de los distintos usos que se le vaya a dar al mismo. Por lo general se le denominará «Comunidad de propietarios», para identificarlo claramente de cualquier otro fichero.

En cuanto a la finalidad del mismo sería las obligaciones propias de la llevanza de la propia comunidad así por ejemplo gestión de los datos de la comunidad de propietarios, o envío de información y documentación, asistencia a juntas y en general todo lo necesario para asegurar el correcto desenvolvimiento de la comunidad, y tendría datos como D.N.I./N.I.F., nombre y apellidos, teléfono, datos económicos, financieros, seguros, transacciones.

Puede darse la circunstancia que la comunidad tenga contratados a diversos agentes para la llevanza de tareas en la comunidad. Sería el caso de porteros, limpieza, o cualquier otro que se nos pueda ocurrir, en estos casos en mi opinión deberíamos crear un fichero diferente puesto que la finalidad del mismo sería diferente a las propias de la llevanza de la comunidad. Estaríamos en un supuesto en el que el fichero se podría denominar «Personal contratado» o «personal», cuya finalidad sería la gestión del personal que trabaja en la comunidad o «Gestión de nominas».

Áudea Seguridad de la Información
Aurelio J. Martínez
Departamento Derecho NNTT
www.audea.com

01Ene/15

Publicación en el Tablón de Anuncios de la Comunidad de Propietarios de las Deudas de un Comunero

Publicación en el Tablón de Anuncios de la Comunidad de Propietarios de las Deudas de un Comunero

Contemplamos el supuesto de los Comuneros que por diversas razones no pagan las cuotas de comunidad o cualquier otro gasto generado y aprobado por la Junta de Propietarios y no se les puede requerir de pago o cualquier intento resulta infructuoso. Para estos casos la Ley de Propiedad Horizontal habilita un mecanismo de notificación a través del Tablón de anuncios colocado en la propia comunidad, normalmente en el zaguán y a la vista de todos los propietarios. La cuestión entonces es saber si esta publicación, parecida a la edictal, se ajusta a lo establecido en la Ley de protección de datos. Debemos distinguir que la Ley admite este supuesto, pero la publicación no se puede realizar de cualquier modo, debe seguir un procedimiento. La publicación de estos datos sin el consentimiento del titular de los datos puede conllevar la sanción por parte de la Agencia Española de Protección de datos con una multa que va de 40.001 a 300.000 euros por la comisión de una infracción grave.

Esta cuestión queda resuelta por la Agencia de protección de Datos entre otros en el Informe 188/2008 de la AEPD.

En primer lugar, esta la publicación implicará una cesión de datos de carácter personal, definida por el artículo 3.i) de la Ley 15/1999, como «toda revelación de datos realizada a una persona distinta del interesado».

En relación con la cesión, el artículo 11 de la Ley dispone que los datos personales sólo podrán ser comunicados a un tercero, con la única finalidad de cumplir con las funciones legítimas del cedente y del cesionario, y contando con el previo consentimiento del interesado. Es de suponer, que el propietario deudor, que además no ha podido o no ha querido ser localizado, no va a prestar el consentimiento para que todos los vecinos se enteren que es un moroso. En este supuesto debemos acudir a la segunda solución adoptada por la LOPD, y es que este consentimiento sea sustituido por una Ley. Es importante indicar que sólo las normas con rango de Ley habilitan para sustituir este consentimiento, y por tanto no sirve cualquier norma.

En este sentido entre las obligaciones impuestas por la Ley de Propiedad, en su objetivo de lograr que las comunidades de propietarios puedan legítimamente cobrar lo que les adeudan los copropietarios integrantes de las mismas, se encuentra la de dar publicidad a través de la convocatoria de la Junta de propietarios de aquellos que no se encuentren al corriente en el pago de todas las deudas vencidas con la comunidad. Así el artículo 16.2 de la citada Ley respecto a la convocatoria de la Junta establece, «La convocatoria contendrá una relación de los propietarios que no estén al corriente en el pago de las deudas vencidas a la comunidad y advertirá de la privación del derecho de voto si se dan los supuestos previstos en el artículo 15.2», lo que conlleva necesariamente el conocimiento de aquellos propietarios deudores, sin necesidad de recabar el consentimiento de los mismos.

Pero la convocatoria de la junta no faculta por sí sola la publicación de estos datos en el tablón de anuncios. Para cualquier citación o notificación a un propietario se debe seguir unos trámites tasados. En primer lugar se debe intentar la notificación en el domicilio que para estos efectos designe el propietario deudor, que podrá ser distinto al piso o local perteneciente a la Comunidad de Propietarios. Sólo si esta citación resulta infructuosa, la ley de propiedad horizontal faculta al Secretario de la Comunidad para intentar la citación en el piso o local, perteneciente al propietario moroso en la propia Comunidad. En este sentido la citación entregada al ocupante de este piso o local se entenderá que tiene plenos efectos jurídicos, por lo que podrá ser entregada al inquilino arrendatario, si fuese el caso.

Hacer hincapié que cualquier intento de notificación debe quedar completamente acreditado para evitar posteriores sanciones. En este sentido una carta certificada y con acuse de recibo no acreditaría el contenido de la notificación, por lo que el consejo sería que se realizase bien a través de un requerimiento notarial, o mediante una opción más barata, el envío de un Burofax, certificado, y con acuse de recibo. Este método acredita el contenido de la notificación, y la recepción o no de la misma, con el motivo de la no entrega si fuese el caso.

Por último, y tras el largo peregrinaje intentando la notificación, y si esta resultase infructuosa, la Ley de Propiedad horizontal faculta al Secretario para que pueda colocar esta comunicación en el tablón de anuncios de la comunidad, o en lugar visible de uso general habilitado al efecto. Pero además esta citación deberá cumplir con una serie de requisitos de fondo y formales, sin los cuales no se puede considerar válidamente efectuada. Cualquier notificación efectuada a través del tablón de anuncios deberá contener la fecha, los motivos por los que se procede a esta forma de notificación, deberá estar firmada por quien ejerza las funciones de secretario de la comunidad, y deberá contar con el visto bueno del presidente. La notificación practicada de esta forma producirá plenos efectos jurídicos en el plazo de tres días naturales.

En consecuencia, siempre que la publicación obedezca al hecho de que la Convocatoria de la Junta, en la que deben figurar los datos a los que se refiere el artículo 16.2 de la Ley de Propiedad Horizontal, no haya podido ser notificada a alguno de los propietarios por el procedimiento que acaba de describirse, la cesión que implica la publicación de la Convocatoria en el tablón de anuncios se encontrará amparada por el artículo 11.2.a) de la Ley Orgánica 15/1999.

 

01Ene/15

Google cambia su política de privacidad

Google cambia su política de privacidad

Como muchos os habréis dado cuenta, desde hace unos días al iniciar el buscador, u otras aplicaciones de Google, aparece una nota informativa que indica que han cambiado su política de privacidad.

La política de privacidad de un sitio Web nos indica qué va a hacer la empresa responsable del mismo con los datos personales de los usuarios que pudieran ser recabados durante la visita a éste, o por la utilización de ciertos programas.

Si dedicáis un tiempo a su lectura os daréis cuenta de hasta dónde nuestras visitas son fiscalizadas por Google.

Esta nueva política de privacidad entrará en vigor a partir del día 1 de marzo de 2.012, y sustituirá las versiones anteriores que hasta la fecha vinculaban a la empresa. Como novedad indicar que las distintas políticas de privacidad que con anterioridad se ofrecían de forma personalizada a las distintas funciones, programas, aplicaciones y territorios, ahora se han sustituido por una única que se aplicará en su conjunto a todas, con independencia de la aplicación, país donde se recaben los datos, y legislación aplicable al mismo. Como sabréis Google es una empresa global, y nuestros datos personales pueden viajar por todo el mundo sin que nos demos cuenta.

La tipología de datos que trata Google es muy heterogénea, y va desde los que voluntariamente proporcionamos al registrarnos en alguna de sus aplicaciones, hasta aquellos que se recaban sin que el usuario sea consciente de ello. Entre estos últimos preferencias de consumo, lugares o páginas visitadas frecuentemente, búsquedas realizadas, datos telefónicos, datos del dispositivo y programas utilizados en la consulta y en el dispositivo u ordenador, dirección IP, incluso datos de geolocalización mediante el uso de móviles con GPS, y triangulación.

Google utilizará estos datos para prestar, mantener, proteger y mejorar sus servicios, así como el ofrecimiento de contenidos personalizados, y podrá ceder estos datos a otros usuarios si así lo hemos indicado.

Para modificar las preferencias en cuanto a permisos y utilización de éstos datos ofrece un panel de control donde poder cambiar las mismas, cosa que casi nadie hace.

Como conclusión, la interacción entre los distintos programas y aplicaciones de Google, así como el recabo de nuestros datos hace que la compañía pueda crear un perfil exhaustivo de nuestra personalidad, usos, y costumbres, pudiendo localizar en todo momento a un usuario a lo largo y ancho del planeta.

Las autoridades europeas conscientes del gran número de afectados, y de las distintas legislaciones que entran en juego en esta cuestión, han decidido realizar un estudio pormenorizado sobre la aplicación de esta nueva política de privacidad, a través del grupo de trabajo del artículo 29, organismo europeo encargado del estudio. De momento no conocemos las conclusiones a las que se han llegado al respecto.

Aurelio J. Martínez Ferre.
Áudea Seguridad de la Información.
www.audea.es

 

 

 

 

01Ene/15

Videovigilancia en las Comunidades de Propietarios

Videovigilancia en las Comunidades de Propietarios

Es cada vez más habitual que con motivo de la vigilancia de las comunidades de propietarios bien se contrate un portero, o con intención de ahorrar un salario, se coloquen videocámaras que controlen la entrada y salida de personas al edificio. El problema en este último caso consiste en saber si las cámaras están tratando datos de carácter personal, y en el caso de que así fuera, qué obligaciones existen con respecto a estas imágenes por parte de las Comunidades. En este artículo veremos la evolución que la Agencia Española de Protección de datos ha seguido hasta la actualidad.

En un primero momento el Gabinete Jurídico de la Agencia de protección de datos elaboró un informe el 140/2006 donde se respondía a una consulta plantada a la agencia sobre video vigilancia en las comunidades de propietarios y así dijo en su momento que las imágenes se considerarán datos de carácter personal si sirven para identificar a las personas que aparecen en las mismas. Estas imágenes pueden o no estar incorporadas a un fichero, puesto que aunque no se encuentren grabadas el simple hecho de la recogida de imágenes conlleva un tratamiento a los efectos del artículo 3.c) de la LO 15/1999, donde se define el tratamiento de datos como «operaciones y procedimientos técnicos de carácter automático o no, que, permiten la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias». Por lo tanto y según el artículo 6.1 de la Ley «el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa».

En consecuencia la utilización de videocámaras será posible «siempre que no exista identificación de las personas que aparecen en las mismas o, en caso de existir, las mismas no sean incorporadas a un fichero, ya que en caso contrario será preciso el consentimiento del afectado, de forma que debería comunicarse esta circunstancia a quienes pudieran aparecer en dichas imágenes, debiendo además el fichero resultante ser inscrito en el Registro General de Protección de Datos, conforme requiere el artículo 26 de la Ley Orgánica 15/1999.

Pero aunque no se exija el consentimiento en los casos expresados «ello no exime al responsable del tratamiento del deber de informar a los afectados, en los términos establecidos en el artículo 5.1 de la Ley Orgánica el cual reza lo siguiente » Los interesados a los que soliciten datos personales deberán ser previamente informados de modo, expreso, preciso e inequívoco:

  • a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos de los destinatarios de la información.
  • b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
  • c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
  • d) De la posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición.
  • e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.»

En cuanto al modo en que haya de facilitarse dicha información, debe tenerse en cuenta que es doctrina reiterada de la Audiencia Nacional que corresponde al responsable del fichero la prueba del cumplimiento del deber de informar, y dicha prueba no podría obtenerse en caso de una mera información verbal.

Por otra parte, esta Agencia ha venido considerando suficiente el cumplimiento del deber de información mediante la existencia de un cartel informativo siempre que el mismo resulte claramente visible por parte del afectado, quedando así garantizado que el mismo ha podido tener perfecto conocimiento de la información exigible. y Tener a disposición de los/las interesados/as impresos en los que se detalle la información prevista en el artículo 5.1 de la Ley Orgánica 15/1999.

Sin embargo posteriormente a esta resolución la Agencia de protección de datos publicó una instrucción que matizaba ésta, la Instrucción 1/2006 sobre video vigilancia de 8 de noviembre, (B.O.E. nº 296, de 12 de diciembre), regulaba el tratamiento de datos personales con fines de video vigilancia a través de cámaras o videocámaras.

El objeto de esta instrucción es garantizar los derechos de las personas cuyas imágenes son tratadas por medio de video vigilancia, adecuando estos tratamientos a los principios de la LOPD.

En relación con la instalación de sistemas de videocámaras, será necesario averiguar cuales son los bienes jurídicos protegidos y si se cumple con el principio de proporcionalidad, esto implica que si fuese posible se deberán adoptar otros medios menos intrusivos a la intimidad de las personas, con el fin de prevenir interferencias injustificadas en los derechos y libertades fundamentales. Para averiguar si se cumple con el principio de proporcionalidad el Tribunal Constitucional en su Sentencia 207/1996 determina que «Es necesario constatar si cumple los tres siguientes requisitos o condiciones: «si tal medida es susceptible de conseguir el objetivo propuesto (juicio de idoneidad); si, además, es necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia (juicio de necesidad); y, finalmente, si la misma es ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto)».

En este sentido, la instalación de cámaras de video vigilancia sería idónea, necesaria y proporcional si la finalidad de la instalación tiene como objetivo controlar robos, actos de vandalismo, o acciones violentas habituales en la finca que se trate.

Pero seguía existiendo un problema y es que era necesario el consentimiento de los afectados por el tratamiento de datos. Como se intuye conseguir el consentimiento de todas y cada una de las personas que pudieran ser grabadas constituye un esfuerzo titánico, y probablemente imposible. Por lo tanto para que sea legítimo el tratamiento éste deberá habilitarse en una Ley. En este sentido, la AEPD considera que el tratamiento de imágenes por razones de seguridad se encuentra amparado en el artículo 5.1 e) de la Ley de Seguridad Privada, que hasta la entrada en vigor la de 25/2009, de 27 de diciembre únicamente podrían realizar las empresas de seguridad debidamente autorizadas por el Ministerio del Interior, que previamente hubiesen cumplido los requisitos legalmente establecidos, (esto es que sean empresas de seguridad autorizadas por el Ministerio del Interior previa inscripción en el Registro del mismo, y que hubieran notificado el contrato).

En el Informe jurídico 0161/2008, posterior al estudiado y ya vigente la instrucción 1/2.006 se añaden una serie de requisitos que no se contemplaban anteriormente, por ejemplo en cuanto al modo de facilitar el derecho de información a los interesados se añade un apartado en el que se indica que «se debe tener a disposición de los/las interesados/as impresos en los que se detalle la información prevista en el artículo 5.1 de la Ley Orgánica 15/1999». En lo que se refiere a la notificación del fichero, el artículo 7 de la Instrucción dispone que: «La persona o entidad que prevea la creación de ficheros de video vigilancia deberá notificarlo previamente a la Agencia Española de Protección de Datos, para su inscripción en el Registro General de la misma… A estos efectos, no se considerará fichero el tratamiento consistente exclusivamente en la reproducción o emisión de imágenes en tiempo real».

El tratamiento de imágenes sólo puede realizarse por parte de las empresas de seguridad privada. La Ley 23/1992, de 30 de julio, de Seguridad Privada (LSP) regula en su artículo 1.2 que «A los efectos de la presente Ley, únicamente pueden realizar actividades de seguridad privada y prestar servicios de esta naturaleza las empresas de seguridad y el personal de seguridad privada, que estará integrado por los vigilantes de seguridad, los jefes de seguridad y los escoltas privados que trabajen en aquéllas, los guardas particulares del campo y los detectives privados».

El artículo 5.1 e) de la LSP dispone que «Con sujeción a lo dispuesto en la presente Ley y en las normas reglamentarias que la desarrollen, las empresas de seguridad únicamente podrán prestar o desarrollar los siguientes servicios y actividades (…) Instalación y mantenimiento de aparatos, dispositivos y sistemas de seguridad». Esta previsión se reitera en el artículo 1 del Reglamento de Seguridad Privada, aprobado por Real decreto 2364/1994, de 9 de diciembre (RSP)

De este modo, la Ley habilitaría que los sujetos previstos puedan instalar dispositivos de seguridad, entre los que podrían encontrarse las cámaras, siempre con la finalidad descrita en el citado artículo 1.1.

Para la efectiva puesta en funcionamiento de la medida, el artículo 6.1 dispone que «Los contratos de prestación de los distintos servicios de seguridad deberán en todo caso consignarse por escrito, con arreglo a modelo oficial, y comunicarse al Ministerio del Interior, con una antelación mínima de tres días a la iniciación de tales servicios».

Por último, el artículo 7.1 establece que «Para la prestación privada de servicios o actividades de seguridad, las empresas de seguridad habrán de obtener la oportuna autorización administrativa mediante su inscripción en un Registro que se llevará en el Ministerio del Interior».

La inscripción se regula en el artículo 2 del RSP, detallando el Anexo los requisitos que han de reunir estas empresas. No obstante, quedarían excluidas las de ámbito exclusivamente autonómico. Además, el artículo 39.1 dispone que «únicamente podrán realizar las operaciones de instalación y mantenimiento de sistemas de seguridad electrónica contra robo e intrusión y contra incendios las empresas autorizadas».

En consecuencia, siempre que se haya dado cumplimiento a los requisitos formales establecidos en los artículos precedentes (inscripción en el Registro de la empresa y comunicación del contrato al Ministerio del Interior), las empresas de seguridad reconocidas podrán instalar dispositivos de seguridad, entre los que se encontrarían los que tratasen imágenes con fines de video vigilancia, existiendo así una habilitación legal para el tratamiento de los datos resultantes de dicha instalación, no siendo necesario el consentimiento del afectado.

La aprobación de la Ley 25/2009 (Ley ómnibus) viene a efectuar modificaciones en diversas leyes. En la materia que nos ocupa debemos analizar el artículo 14 de la Ley 25/2009 donde señala que «La Ley 23/1992, de 30 de julio, de Seguridad Privada, queda modificada en los siguientes términos:

Uno. Se modifica la letra e) del artículo 5.1:

«e) Instalación y mantenimiento de aparatos, dispositivos y sistemas de seguridad, de conformidad con lo dispuesto en la Disposición adicional sexta».

Dos. Se añade una Disposición adicional sexta:

«Disposición adicional sexta. Exclusión de las empresas relacionadas con equipos técnicos de seguridad. Los prestadores de servicios o las filiales de las empresas de seguridad privada que vendan, entreguen, instalen o mantengan equipos técnicos de seguridad, siempre que no incluyan la prestación de servicios de conexión con centrales de alarma, quedan excluidos de la legislación de seguridad privada siempre y cuando no se dediquen a ninguno de los otros fines definidos en el artículo 5, sin perjuicio de otras legislaciones específicas que pudieran resultarles de aplicación.»

Por tanto, la reforma legal permite a cualquier empresa o particular realizar las actividades que se han descrito, sin necesidad de cumplir los requisitos de autorización del Ministerio del Interior, exigidos hasta la fecha.

En definitiva, la mencionada disposición determina que cualquier particular o empresa cuya actividad no sea la propia de una empresa de seguridad privada podrá; «vender, entregar, instalar y mantener equipos técnicos de seguridad» sin necesidad de cumplir las exigencias previstas en la Ley de Seguridad Privada para tales empresas. De este modo, dado que la Ley permite la instalación y mantenimiento de dichos equipos por empresas distintas a las de seguridad privada, legitima a quienes adquieran de estos dispositivos para tratar los datos personales derivados de la captación de las imágenes, sin necesidad de acudir a empresas de seguridad privada, siendo dicho tratamiento conforme a lo previsto en la Ley Orgánica de Protección de Datos de Carácter Personal y a las finalidades previstas en la Ley de Seguridad Privada, constituyendo un interés legítimo de quienes adquieran estos dispositivos. Por tanto dicho tratamiento de datos, resulta conforme con el artículo 10. 2 a) del Reglamento de desarrollo de la Ley Orgánica 15/1999, aprobado por Real Decreto 1720/2007, de 21 de diciembre que señala que «No obstante, será posible el tratamiento o la cesión de los datos de carácter personal sin necesidad del consentimiento del interesado cuando (…) Lo autorice una norma con rango de ley o una norma de derecho comunitario y, en particular, cuando concurra uno de los supuestos siguientes:

– El tratamiento o la cesión tengan por objeto la satisfacción de un interés legítimo del responsable del tratamiento o del cesionario amparado por dichas normas, siempre que no prevalezca el interés o los derechos y libertades fundamentales de los interesados previstos en el artículo 1 de la Ley Orgánica 15/1999, de 13 de diciembre

No obstante, la instalación de un sistema de video vigilancia conectado a una central de alarma, seguirá necesitando «que el dispositivo sea contratado, instalado y mantenido por una empresa de seguridad privada autorizada por el Ministerio del Interior y que el contrato sea notificado a dicho Departamento».

01Ene/15

El apercibimiento en la LOPD

El apercibimiento en la LOPD

La Agencia Española de Protección de datos ya está aplicando la figura del apercibimiento regulada en el artículo 45.6 de la LOPD.

Esta figura fue introducida por la Ley 3/2011, de Economía Sostenible que modificó el régimen sancionador de la Ley de Protección de Datos. Faculta a la Agencia, en casos excepcionales, para no abrir procedimiento sancionador frente al infractor y en su lugar apercibirle, entiéndase como hacerle un reproche, por los incumplimientos leves o graves que el infractor hubiese cometido, obligándole a adoptar las medidas correctoras que se estimen convenientes para restituir la situación inicial, en el plazo indicado por la Agencia, y que no se vuelva a producir el incumplimiento de la Ley por los mismos motivos.

Si no se restituyese la situación en el plazo indicado, la Agencia continuaría con la apertura del procedimiento sancionador.

Para la aplicación de esta nueva figura se exigen unos requisitos previos o principales, que son que el infractor no fuese sancionado o apercibido con anterioridad y que los hechos fuesen constitutivos como infracción leve o grave según la propia Ley; y unos requisitos accesorios, que no por ello menos importantes, regulados en el art. 45.4 y 45.5 de la misma Ley como pudieran ser el reconocimiento de la responsabilidad, la intencionalidad, volumen de negocio, beneficios obtenidos, regularización de la situación irregular de forma diligente…

La Audiencia Nacional por su parte también está reconociendo la aplicación de esta figura, cuando la Agencia Española no lo ha hecho, y se cumplen los requisitos exigidos en la Ley (Sentencia de 17 de junio de 2011).

El procedimiento a seguir sería el siguiente:

La AEPD recibe denuncia sobre posible vulneración del derecho a la protección de datos de carácter personal. Abre expediente sobre comprobación de los hechos, previa a la apertura del expediente sancionador. En fase de comprobación la AEPD puede solicitar al presunto infractor cuanta documentación estime pertinente. Aunque la LOPD no indica nada sobre el derecho de defensa del presunto infractor, en aplicación del art. 79 de la Ley 30/92 del Procedimiento Administrativo, éste podrá realizar cuantas alegaciones estime conveniente; y realizar comprobaciones presenciales, y en este caso el inspector redactará un acta que será ofrecida para la firma del investigado donde éste podrá efectuar también alegaciones. Como motivos de defensa, en ambos casos, además de los materiales, podríamos aludir a motivos formales o de procedimiento, como pudieran ser los de prescripción de los hechos.

Si se comprueba que efectivamente se está vulnerando el derecho, la Agencia puede actuar de dos modos diferentes.

1º Aplicar la figura del apercibimiento. Para ello deberá comprobar la concurrencia de los requisitos exigidos comentados anteriormente para que se aplique. En este punto, y recordando que uno de los requisitos aplicables es la no sanción o apercibimiento anterior, indicar que si anteriormente el infractor hubiese sido sancionado, o apercibido con anterioridad, se debería comprobar que la sanción hubiere prescrito, en cuyo caso se podría aplicar nuevamente el apercibimiento.

Se le concederá plazo para que realice las medidas correctoras propuestas, y en el caso de que no las aplicara se abriría expediente sancionador.

2º Abrir expediente sancionador, en cuyo caso y si al término del mismo se impusiera sanción calificada como leve o grave el sancionado podría recurrir ante la Audiencia Nacional solicitando la aplicación de la figura del apercibimiento, si se diesen los presupuestos habilitantes.

La aplicación de esta figura supone una nueva oportunidad para la empresa infractora de adaptarse a los requerimientos de la normativa vigente en materia de protección de datos, pero no olvidemos que en teoría sólo se puede aplicar una vez, por lo que lo deseable es que no se tenga que recurrir a ella nunca.

01Ene/15

Organización de eventos familiares o de amigos y LOPD

Organización de eventos familiares o de amigos y LOPD

Llega la Navidad, y con ella las reuniones de familias, amigos, y compañeros de promoción, de cursos, o de trabajo. Para ello es habitual que con motivo de la reunión, alguien del grupo, o una comisión creada al efecto, se dedique a contactar con todos para citarse en un sitio y en una fecha concreta y celebrar el evento preparado. Hasta aquí el procedimiento nos suena habitual, y en principio no tiene nada de particular. Hasta que la Agencia Española de Protección de Datos, AEPD, se le ocurrió indagar sobre estos supuestos, y concluyó que el tratamiento de los datos de los compañeros de promoción de una academia militar por parte de una Comisión creada al efecto por varios colegas para la organización de una comida de confraternidad incumplía la Ley de protección de datos, y pretendía sancionar a los organizadores con una multa de 6.010,12 euros al no contar éstos con el consentimiento de los compañeros de promoción para el tratamiento de sus datos y crear un fichero con la finalidad de organizar el evento.

Esta situación conllevó que los organizadores fueran en un principio sancionados por la Agencia.

Esta situación llegó a los tribunales y la Audiencia Nacional se pronunció al respecto dejando sin efecto la sanción impuesta. De la Sentencia dictada se desprenden las siguientes conclusiones:

– Origen de los datos. El origen de los datos de los compañeros es un elemento a tener en cuenta. No es lo mismo que los datos sean recabados del colegio, academia, o empresa; o que los datos se recojan de las agendas personales de los propios compañeros. Si fuesen recogidos de las agendas de los compañeros, la Audiencia Nacional entiende que se trata de un tratamiento con fines personales o domésticos, y por tanto estaría exento de la aplicación de la Ley de protección de datos, por la aplicación del artículo 2.2.a) de esta misma ley.

La cesión de los mismos a terceros para la organización del evento podría incluirse por tanto en este supuesto.

Si por el contrario los datos fuesen recabados de las entidades enunciadas anteriormente, la situación se complica. En este caso no podríamos hablar de tratamientos con fines personales o domésticos, y la entidad organizadora, o cedente de los datos tendría que tener el consentimiento del titular de los mismos para el tratamiento con la finalidad concreta de organización de eventos, fiestas…, y además el consentimiento para la cesión de estos datos a otros compañeros, o empresas que se puedan contratar para la organización del evento, identificando en lo posible a los mismos, o como mínimo la rama de actividad de las empresas cesionarias de los datos.

– Concepto de tratamiento.  El artículo 3.c) de la LOPD define el tratamiento de datos como aquellas «operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias» y según la Agencia de Protección de Datos en este caso quedó acreditado que la citada Comisión elaboró un listado que facilitó a una agencia de viajes para la promoción del evento, de suerte que ha existido recogida de datos, grabación y comunicación de los mismos e incluso cancelación, lo que acredita la existencia de tratamiento de datos. Efectivamente para la organización del efecto se realizó un tratamiento de datos, pero según la Audiencia Nacional «El criterio del tratamiento como delimitador del ámbito de aplicación del régimen de protección de la ley 15/1 999 es insuficiente… tal actividad constituye sin duda tratamiento en el sentido expresado en el artículo 3.c) antes trascrito, y sin embargo no queda sujeto al ámbito de aplicación de la ley. Lo excluye expresamente el artículo 2.2.a).»

Por todo lo expuesto os recomendamos, que antes de organizar una cena o comida de empresa, de amigos, o de familia, tengamos en cuenta que estamos realizando un tratamiento de datos, y que el mismo debe ajustarse a lo dispuesto en la Ley Orgánica de Protección de Datos, sea por su sujeción, o para la exención del mismo por la propia Ley.

Que paséis buenas fiestas.

01Ene/15

Protección de datos de los niños, en los centros educativos y sanitarios, cuando los padres están separados

Protección de datos de los niños, en los centros educativos y sanitarios, cuando los padres están separados

Es habitual que los centros docentes y los centros asistenciales en los supuestos de hijos de padres separados muestren su reticencia a prestar información de los niños al progenitor no custodio. Esta reacción se produce como medio de protección frente al menor, en materia civil, e incluso penal, como medio de prevención frente a posibles sanciones de la Agencia de Protección de Datos, o por otras cuestiones de diversa índole.

¿Pero es esta actitud conforme a derecho?

En primer lugar debo decir que la interpretación de la ley no es pacífica pudiendo realizarse diversas soluciones según quien la interprete.

Aunque no existe una definición al respecto podemos realizar una aproximación al concepto de patria potestad si conocemos qué derechos y obligaciones conlleva para los padres y los hijos.

La patria potestad viene regulada en los artículos 154 y ss. del Código Civil y comprende los siguientes deberes y facultades:

«Velar por ellos, tenerlos en su compañía, alimentarlos, educarlos y procurarles una formación integral. Representarlos y administrar sus bienes».

Por contra y como obligación de los hijos, éstos deben «obedecer a sus padres mientras permanezcan bajo su potestad y respetarles siempre».

En cuanto al ejercicio de la patria potestad el Código Civil indica que «La patria potestad se ejercerá conjuntamente por ambos progenitores o por uno solo con el consentimiento expreso o tácito del otro. Serán válidos los actos que realice uno de ellos conforme al uso social y a las circunstancias, o en situaciones de urgente necesidad.»

De todo ello se desprende que para poder ejercitar el derecho a la patria potestad, incluso para exigir las obligaciones inherentes a ésta, tanto por padres como por hijos, en circunstancias normales la información exigible debería ser facilitada a ambos progenitores. Así por ejemplo para velar por la correcta educación, con exhibición de las notas, controlar las amistades, alimentación en casos de comedor escolar, incluso salud y hábitos de consumo.

Mas adelante aclararé en qué concepto se comunica esta información.

Pero esté derecho se ve matizado cuando el mismo Código, en el artículo 156, indica que «Si los padres viven separados la patria potestad se ejercerá por aquel con quien el hijo conviva«. Esta afirmación podría implicar que cualquier información relevante sobre el menor debería ser comunicada únicamente al padre custodio cumpliendo así con las exigencias legales. Sin embargo esta obligación  no resulta taxativa, pudiendo el progenitor con el que no conviva el menor solicitar al Juez, siempre en beneficio del menor, la atribución al solicitante de la patria potestad para que la ejerza conjuntamente con el otro progenitor, o distribuir entre el padre y la madre las funciones inherentes a su ejercicio.

Será por tanto en el procedimiento de separación o divorcio el momento adecuado para la solicitud de este derecho. Es habitual que en estas demandas se indique que la patria potestad será compartida, no especificándose nada más al respecto, atribuyendo la custodia del menor a uno u otro progenitor.

La Agencia Española de Protección de Datos, a través de su gabinete jurídico, en diversos informes jurídicos, y en concreto en el Informe 227/2006 realiza una interpretación de la cuestión, indicando que «en lo que se refiere a los datos que guarden relación con las funciones de educación y formación establecidas en el citado artículo 154 del Código Civil, existe una norma con rango de Ley que habilita la cesión o comunicación de datos de carácter personal, por lo que la cesión de los datos académicos o psicopedagógicos que guarden directa relación con esos deberes formativos se encontraría amparada en el artículo 11.2 a) de la Ley Orgánica 15/1999 en relación con el artículo 154 del Código Civil«. A esta afirmación añade que «en tanto no exista una resolución judicial que excluya del ejercicio de la patria potestad a uno de los progenitores… el progenitor seguiría encontrándose habilitado para que le fuesen cedidos los datos«.

En este mismo sentido, y para datos del menor en centros sanitarios, se ha pronunciado la Agencia Madrileña de Protección de datos en informe de fecha 10 de diciembre de 2.005 al indicar que:

«En casos de padres separados es la resolución judicial que determina la separación la que establece lo relativo a la patria potestad y a la guardia y custodia de los hijos, siendo normalmente compartida la primera, y asignada la segunda a uno de los progenitores. La presentación del documento judicial que haga mención a la patria potestad y asignación de guarda y custodia deberá ser suficiente para acceder a la información asistencial de los menores.

El ejercicio de la patria potestad es determinante para ostentar el ejercicio de la representación legal de los menores y por tanto, para acceder a todos los datos relativos a su salud.

Desde el punto de vista de la legislación de protección de datos, NO existe motivo alguno que impida la solicitud de información por parte de uno de los padres respecto a la información asistencial de su hijo, siempre que ambos ostenten la patria potestad, condición que podrá acreditarse, insistimos, con la presentación del documento judicial que recoja lo relativo a la patria potestad de los progenitores (sentencia, o auto que aprueben el convenio regulador). Éstos tienen el derecho de acceso a los datos de sus hijos menores en caso de ostentar ambos la patria potestad, en cuanto se erigen en sus representantes legales.

En caso de que uno de los progenitores esté privado judicialmente de la patria potestad del hijo menor, debe ser acreditado también por el referido documento judicial, ya que en este caso la privación de la patria potestad implica su pérdida de la condición de representante legal, no teniendo por tanto acceso a los datos personales del menor sin el consentimiento del otro progenitor»

Como conclusión debemos indicar que con la puesta a disposición del personal correspondiente del documento acreditativo de la ostentación de la patria potestad debería ser suficiente para poder solicitar información sobre el menor con las garantías suficientes.

Por otro lado debemos diferenciar si la comunicación de estos datos a los padres resulta ser una cesión de datos, en cuyo caso debería exigirse el cumplimiento de lo dispuesto en el artículo 11.2, y 7.3 para los supuestos de datos relativos a la salud, ambos artículos de la Ley Orgánica 15/1999, o se trata de un derecho del menor ejercido a través de representación. Para ello debemos atender a lo dispuesto en el artículo 13 del Reglamento de desarrollo de la LOPD, «Podrá procederse al tratamiento de los datos de los mayores de catorce años con su consentimiento, salvo en aquellos casos en los que la Ley exija para su prestación la asistencia de los titulares de la patria potestad o tutela. En el caso de los menores de catorce años se requerirá el consentimiento de los padres o tutores«. Siendo esto así el padre del menor de 14 años actuaría en representación de éste, y lo que se realizaría sería un Derecho de acceso por parte del menor, a través de su representante, y no una cesión de datos.

Esta tesis viene apoyada por el artículo 162.1 del Código Civil que exceptúa de la representación legal del titular de la patria potestad a «los actos referidos a derechos de la personalidad u otros que el hijo, de acuerdo con las leyes y con sus condiciones de madurez, pueda realizar por sí mismo».  También viene apoyada por la AEPD en su informe de 8 de abril de 2004, en el que se indica que «en consecuencia, a tenor de las normas referidas, cabe considerar que los mayores de catorce años disponen de las condiciones de madurez precisas para consentir, por sí mismos, el tratamiento automatizado de sus datos de carácter personal.

Respecto de los restantes menores de edad, no puede ofrecerse una solución claramente favorable a la posibilidad de que por los mismos pueda prestarse el consentimiento al tratamiento, por lo que la referencia deberá buscarse en el artículo 162 1º del Código Civil, tomando en cuenta, fundamentalmente, sus condiciones de madurez.»

Y por tanto y como conclusión deberíamos indicar que un mayor de 14 tendría la madurez suficiente para consentir el tratamiento de sus datos, y para los menores de esta edad se deberá tener en cuenta, y de forma individualizada, las condiciones de madurez del mismo, que deberán ser acreditadas.

01Ene/15

Inclusión en ficheros de morosos

Inclusión en ficheros de morosos por impago de servicios telefónicos no contratados

Revisando las recientes resoluciones sancionadoras de la AGPD, hemos detectado que una gran mayoría de las mismas resultan impuestas a operadores telefónicos. Los hechos implican la inclusión de los datos personales del supuesto deudor en los ficheros de morosos, y se producen como consecuencia del impago de servicios telefónicos, supuestamente contratados por particulares por medio del teléfono, sin la aplicación de las garantías legales adecuadas.

Por tal motivo creemos conveniente realizar una serie de recomendaciones encaminadas a evitar que se produzca esta situación.

– Hemos detectado que existen un gran número de contrataciones fraudulentas, efectuadas telefónicamente, por persona distinta del titular de los datos. Ante cualquier indicio de que se está produciendo esta circunstancia recomendamos denunciar ante la autoridad competente.

– La contratación telefónica es un método valido y admitido en derecho, si se hace con las garantías adecuadas. Entre estas garantías será necesario que en el contrato se establezca la aceptación de todas y cada una de las cláusulas del contrato. Posteriormente se enviará inmediatamente al consumidor justificación escrita de la contratación efectuada, donde constarán todos los términos de la misma. Por norma general las operadoras telefónicas están respondiendo que las grabaciones de los contratos no están disponibles en sus ficheros, y no envían posteriormente la justificación de la celebración del contrato. Motivo más que suficiente para que se entienda que el contrato no se ha celebrado.

– La información que trate la operadora telefónica deberá ser exacta y puesta al día, debiendo la operadora implantar los mecanismos necesarios para contrastar los datos que se están transmitiendo telefónicamente. Cualquier comunicación efectuada por el verdadero titular de los datos indicando la suplantación de su personalidad, podría ser indicadora de que los datos que tratan pudieran ser incorrectos. A esta comunicación se debería adjuntar la denuncia que previamente hemos interpuesto.

– Para la inclusión de los datos de impago en los registros o ficheros de impagados se exige que la deuda sea cierta, vencida, exigible y que haya resultado impagada, por tal circunstancia una deuda en la que quede pendiente dilucidar la celebración del correspondiente contrato no es exigible,  hasta la comprobación de la veracidad de los hechos, es decir su certeza.

– También se exige que el acreedor haya requerido de pago al deudor antes de informar los datos a la entidad responsable de la gestión. Requerimiento que debe quedar acreditado necesariamente.

– Además se debe probar que se ha informado previamente de que en caso de impago, se procedería a la inscripción en este tipo de ficheros

– Y por último, si se cumplen todos los requisitos anteriores, el responsable del fichero de morosos, debe notificar a la persona que va a ser incluida en el fichero, con anterioridad, de su inclusión, para que pueda defender su posición. Esta circunstancia también es «olvidada», en infinidad de ocasiones.

01Ene/15

Derecho al olvido en boletines oficiales

Derecho al olvido en boletines oficiales

La publicación de los distintos boletines oficiales tiene como propósito dar publicidad, con fines de difusión y de manera que quede accesible al público para su consulta, de las normas y de aquellas otras disposiciones o actos que el ordenamiento jurídico considera que deben ser publicados. Esta información es considerada como un derecho democrático básico.

Entre la información publicada se encuentran normativa, nombramientos, situaciones e incidencias, oposiciones y concursos, notificaciones de la Administración de Justicia, anuncios oficiales y particulares, subastas y concursos de obras y servicios, y otras disposiciones.

En un primer momento estos boletines se publicaban en papel, y a pesar de su vocación de difusión en realidad eran pocas las personas o empresas que leían estos boletines, generalmente profesionales que en su labor diaria precisaban su consulta.

Pero con el desarrollo de las tecnologías de la información, estas publicaciones han entrado en Internet. Las distintas normas que regulan estos boletines reconocen la validez jurídica de la publicación de los mismos en su versión digital. Paulatinamente se ha ido sustituyendo la edición en papel por la edición digital, de consulta mas fácil, cómoda, y universal.

En estas publicaciones es habitual que se contengan datos de carácter personal como por ejemplo en notificaciones de la Administración de Justicia, anuncios, subastas, oposiciones y concursos.

La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en adelante LOPD, reconoce a estas publicaciones el carácter de fuentes accesibles al público, pudiendo ser consultadas, y utilizar la información contenida sin el consentimiento del titular de los datos, siempre que su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, y que no se vulneren los derechos y libertades fundamentales del interesado.

Todos conocemos la importante función que los buscadores de Internet realizan en la indagación de los datos e informaciones que el internauta precisa. Un buscador es una página Web en la que se puede consultar una base de datos en la que se relacionan direcciones de páginas Web con su contenido. Su uso facilita extraordinariamente la obtención de un listado de páginas Web que contienen información sobre el tema precisado.

Por lo tanto uniendo estas dos herramientas, boletines oficiales electrónicos y buscadores en Internet, es posible localizar los datos de cualquier persona cuyo nombre aparezca en los citados boletines, sea por el motivo que sea.

Esto ha llevado a que los afectados se vean incursos en un proceso de vigilancia o escrutinio público que en ocasiones perjudica la imagen pública de esta persona. Es posible encontrar información de las infracciones administrativas y penales, puestos de trabajo de funcionarios, nombramientos, domicilios, e incluso he encontrado en alguna ocasión el lugar de celebración del matrimonio de una determinada persona.

Pero ¿es necesario que esta información aparezca de forma indefinida en la red?, ¿tiene el particular la obligación de soportar que sus datos personales puedan ser consultados y usados por todo el mundo?

La Agencia Española de Protección de datos, haciéndose eco de estas reclamaciones o reivindicaciones, se ha pronunciado en diversas ocasiones sobre esta situación En este sentido El Gabinete Jurídico de la Agencia Española de Protección de Datos, en su Informe Jurídico 0214/2010 indica que «dado que el interesado ya se ha dado por notificado de los mencionados actos administrativos, objetivo que se pretendía con su publicación en los citados diarios oficiales, por parte de la Diputación Provincial de Córdoba y la Diputación Provincial de Cádiz, se dictaran las órdenes oportunas para limitar la indexación del nombre y apellidos de Don ……en los mencionados documentos mediante la incorporación de un código norobot.txt, con objeto de que en el futuro los motores de búsqueda de Internet no puedan asociarlo al interesado». En este sentido no podemos obviar que la Agencia Española de Protección de Datos ya condenó a la Agencia Estatal BOE en RESOLUCIÓN Nº.: R/00078/2011 «instando a esta entidad para que adopte las medidas necesarias para evitar la indexación de los datos personales de la reclamante en sus páginas, con objeto de que en el futuro los motores de búsqueda de internet no puedan asociarlas a la reclamante».

Igualmente en el procedimiento de tutela de derechos TD/266/2007 la Agencia Española de protección de datos manifiesta «… cabe proclamar que ningún ciudadano que ni goce de la condición de personaje público ni sea objeto de hecho noticiable de relevancia pública tiene que resignarse a soportar que sus datos de carácter personal circulen por la RED sin poder reaccionar ni corregir la inclusión ilegítima de los mismos en un sistema de comunicación universal como Internet. Si requerir el consentimiento individualizado de los ciudadanos para incluir sus datos personales en Internet o exigir mecanismos técnicos que impidieran o filtraran la incorporación inconsentida de datos personales podría suponer una insoportable barrera al libre ejercicio de las libertades de expresión e información a modo de censura previa (lo que resulta constitucionalmente proscrito), no es menos cierto que resulta palmariamente legítimo que el ciudadano que no esté obligado a someterse a la disciplina del ejercicio de las referidas libertades (por no resultar sus datos personales de interés público ni contribuir, en consecuencia, su conocimiento a forjar una opinión pública libre como pilar basilar del Estado democrático) debe gozar de mecanismos reactivos amparados en Derecho (como el derecho de cancelación de datos de carácter personal) que impidan el mantenimiento secular y universal en la Red de su información de carácter personal».

Como conclusión podemos decir que como regla general cualquier persona no debe soportar que sus datos personales queden accesibles de por vida en Internet como consecuencia de la inclusión de sus datos en los buscadores de referencia en este medio. Y por tanto debemos a distintas circunstancias:

– La finalidad por la que fueron publicados estos datos. Si ésta fue la de notificación al interesado de un determinado acto administrativo, una vez efectuada ésta, y transcurridos los plazos de ejercicio de los posibles recursos, la finalidad quedaría cumplida, y por tanto no sería necesario el mantenimiento de estos datos para su búsqueda a través de los buscadores.

– La condición de personaje público del titular de los datos, y que el hecho sea noticiable o de relevancia pública. En consecuencia cualquier persona o hecho que no reúna estas características no debería soportar por tiempo indefinido la inclusión de sus datos en Internet. Pero esta conclusión en mi opinión merece una crítica, y es que los hechos resultan noticiables en un determinado momento, dejando de tener este carácter pasado un tiempo. Y en este sentido si transcurrido un tiempo prudencial, la noticia siguiese apareciendo mediante su examen en los buscadores indicados, el afectado debería intentar la retirada de la información de los medios donde aparezca, o como mínimo se debería evitar encontrar los datos concretos a través de estos buscadores.

Consciente del hecho que la información no puede ser retirada de los Boletines Oficiales, la Agencia Española de Protección de datos propone la aplicación de medios técnicos que eviten que los buscadores puedan encontrar estos datos personales. Consistirán en la aplicación de programas norobot.txt. Éstos lo que hacen es dar instrucciones tanto a la página Web donde se encuentre la información, como a los propios buscadores para evitar que la misma pueda ser indexada. En consecuencia la programación de estos códigos debe efectuarla tanto la Web que incluye la información, como los buscadores. Además los buscadores deberían actualizar su caché [1] para que esta información no vuelva aparecer.


[1] Cada vez que se accede por vez primera a determinado dato, este es almacenado en caché, posteriormente al intentar leer el mismo dato se recurrirá a la información almacenada en caché, ahorrando tiempo de acceso.

01Ene/15

Plazo de conservación de los documentos de auditoría

Plazo de conservación de los documentos de auditoría

Según el art. 96 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal , en adelante Reglamento, «a partir del nivel de seguridad medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento» del Título VIII del Reglamento, añadiendo que «con carácter extraordinario deberá realizarse dicha auditoria siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas». Esta auditoría inicia el cómputo de dos años señalado en el párrafo anterior.

Se dice posteriormente que el informe de auditoría deberá estar a disposición de las agencias de protección de datos pero no indica durante cuánto tiempo deben conservarse estos informes.

El art. 44.3 h) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en adelante LOPD, indica que «es infracción grave mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen». Dicha infracción prescribirá a los dos años de su comisión, tal y como dispone el art. 47.1 de la LOPD. Así la entidad requerida debería siempre tener a disposición de la Agencia un informe emitido durante los dos años anteriores al momento en el que se solicita el requerimiento.

El siguiente informe jurídico de la Agencia Española de Protección de datos corrobora lo mencionado anteriormente.

http://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/common/pdfs/2010-0191_Plazo-de-conservaci-oo-n-de-informes-de-auditor-ii-a-de-seguridad.pdf

Sin embargo la Autoridad Catalana de Protección de Datos, considera que el plazo de conservación de estos documentos de Auditoría sería de tres años en el dictamen que a continuación se relaciona.

http://www.apdcat.net/media/dictamen/es_286.pdf#search=»Historias clinicas sin medida de seguridad «

En este dictamen la Autoridad Catalana en un primer momento y con misma fundamentación que la Agencia Española llega a la conclusión que debe ser 2 años el plazo de conservación.

Pero posteriormente considera que el registro de incidencias, puede resultar un valioso elemento probatorio en la investigación de otros tipos de infracciones que tienen atribuido un plazo de prescripción más largo, en el caso de infracciones muy graves, que tendría un plazo de prescripción de tres años.

Pero además el artículo 19 de la LOPD también contempla la responsabilidad por daños o lesiones que las personas afectadas sufran en sus bienes o derechos, ya sea mediante la reclamación de la responsabilidad de la Administración, cuando el daño sea imputable a una Administración pública, o mediante el sistema de responsabilidad extracontractual establecido en el derecho civil. En este sentido, disponer de la documentación relativa a las auditorías puede ser un elemento probatorio importante para la acreditación de la diligencia del responsable en el cumplimiento de las medidas de seguridad exigibles. Al respecto hay que recordar que la letra d) del artículo 121-21 del Libro primero del Código Civil de Cataluña establece que prescriben a los tres años las pretensiones derivadas de responsabilidad extracontractual, y las demás pretensiones al cabo de diez años, salvo la recuperación de la posesión (artículos 121-20 y 121-22). En conclusión, la documentación que forma parte de las auditorías de seguridad requeridas por dicha normativa debe conservarse durante un período mínimo de tres años, o hasta que se realice la auditoría de seguridad siguiente, si esta no se ha efectuado dentro del plazo de dos años exigible.

Aurelio J. Martínez Ferre.
Consultor Legal
AUDEA, SEGURIDAD DE LA INFORMACIÓN, S.L.
www.audea.com

01Ene/14

La figura del apercibimiento en la Ley Orgánica de Protección de Datos

La figura del apercibimiento en la Ley Orgánica de Protección de Datos. El requisito de la no sanción o apercibimiento previo.

En otras ocasiones hemos hablado de la figura del apercibimiento, regulado en el artículo 45 de la Ley Orgánica de Protección de Datos, en adelante LOPD.

En esta ocasión quisiera hacer hincapié en uno de los requisitos que la Ley exige para que se pueda aplicar esta figura. El artículo mencionado, en su párrafo 6.b. exige para la aplicación de este beneficio «que el infractor no hubiese sido sancionado o apercibido con anterioridad».

El requisito tiene su lógica y es que no se pueda beneficiar de esta figura una empresa que constantemente infrinja la LOPD. Pero también merece una crítica, y es que al contrario de lo que ocurre con las infracciones penales, las infracciones administrativas no pueden ser canceladas.

El artículo 136 del código penal indica que «Los condenados que hayan extinguido su responsabilidad penal tienen derecho a obtener del Ministerio de Justicia, de oficio o a instancia de parte, la cancelación de sus antecedentes penales», poniendo como requisito el no haber vuelto a delinquir en determinados plazos, según el delito cometido con anterioridad. Lo mismo ocurre con las medidas de seguridad impuestas. Con la cancelación de los antecedentes se entiende que el condenado ha cumplido con sus obligaciones con la justicia, y se deben considerar estos como no puestos.

En materia administrativa no he encontrado una norma similar. Sin embargo en aplicación del punto 1 del art. 24 de nuestra Constitución, y según tiene reconocida la Jurisprudencia de la Sala 3ª en lo Contencioso Administrativo, en Sentencias de fecha 14/11/85, 10/11/86 y 10/01/87 afirmó: «Es la doctrina ya consolidada, que los principios inspiradores del derecho penal, son aplicables con ciertas matizaciones al derecho administrativo sancionador… de esta forma, son de común aplicación los principios capitales de la ciencia penal: legalidad, tipicidad, imputabilidad y culpabilidad, proporcionalidad, non bis in ídem, etc. A los que deben añadirse las garantías adjetivas: no indefensión, carga de la prueba, interdicción de la reformatio in peius, etc». En este sentido la Disposición transitoria primera del actual código penal aplica la disposición más favorable para el reo, aunque los hechos hubieran sido cometidos con anterioridad a la entrada en vigor de la norma. En atención a lo expuesto este principio debería ser aplicable al procedimiento administrativo, se debería aplicar esta figura del apercibimiento, como mas favorable, aunque los hechos se hubiesen cometido con anterioridad a la instauración de este principio.

Además pienso que resultaría un agravio comparativo, además de producir indefensión, que las sanciones administrativas, al contrario que las penales, no pudiesen ser canceladas, y su influencia colgase, cual espada de Damocles, sobre la cabeza del administrado, de por vida.

Abundando en el tema, la prescripción de las sanciones muy graves en la LOPD es de 3 años, tiempo más que suficiente para considerar que un hecho por el que ya ha sido sancionado un administrado debería ser olvidado, principio inspirador de la prescripción. Este principio considero que debería ser aplicado también para la cancelación de antecedentes administrativos, máxime cuando el administrado ya ha cumplido con sus obligaciones de pago de las sanciones.

01Ene/14

La reutilización de la información pública, como derecho

La reutilización de la información pública, como derecho.

La información que los Gobiernos y Administraciones Públicas tienen en su poder, muchas veces pasa desapercibida para el resto de los ciudadanos. Mucha de esta información, una vez realizado el propósito por la que se creó, es almacenada, y no vuelve a utilizarse para otros usos. Sin embargo la misma puede servir para otros proyectos, sean estudios, o trabajos o cualquier otro que se nos ocurra y que no contravenga la normativa. Horarios de autobuses, itinerarios de metros, meteorología, redes de fibra óptica desplegada, son algunos ejemplos de información que han sido utilizadas por algunos emprendedores para la realización de sus proyectos.

En Estados Unidos, el Presidente Obama, envió un memorándum a las agencias federales sobre Transparencia y Gobierno Abierto, al comienzo de su mandato, sentando las bases sobre las que debería girar la utilización de la información pública, dentro del propósito de Gobierno Abierto, en el que se pretende la fiscalización de la Administración Pública por parte del pueblo. Desde la Unión Europea se ha impulsado el uso de esta información tanto por el sector privado como el público. La Directiva 2003/98/CE de 17 de noviembre de 2003 relativa a reutilización del sector público, fue la primera norma que reguló este aspecto a nivel europeo. En España la Ley 37/2007, de 16 de noviembre, sobre Reutilización de la Información del Sector Público es la que marca las pautas a seguir para la utilización de esta información.

Régimen de uso. La información facilitada debe utilizarse conforme a las condiciones que se marquen específicamente existiendo tres tipos de usos:

Uso sin sujeción a condiciones, reutilización de documentos puestos a disposición del público con sujeción a condiciones establecidas en licencias-tipo, reutilización de documentos previa solicitud, pudiendo incorporar en estos supuestos condiciones establecidas en una licencia.

En los casos en los que se otorgue una licencia, ésta deberá reflejar, al menos, la información relativa a la finalidad concreta, comercial o no comercial, para la que se concede la reutilización, la duración de la licencia, las obligaciones del beneficiario y del organismo concedente, las responsabilidades de uso y modalidades financieras, indicándose el carácter gratuito o, en su caso, la tasa o precio público aplicable.

En cuanto al formato en que se debe proporcionar la información, la ley indica que preferiblemente la misma sea por medios electrónicos, cuando sea posible, y no exija esfuerzos desproporcionados para la Administración. El objetivo es poder reutilizar la misma sin la realización de esfuerzos excesivos.

Por último hablar del precio de la información, las Administraciones podrán fijar precio a ésta, que deberá ser obligatoriamente en forma de tasa. Esta tasa deberá ser comunicada al solicitante, previamente al suministro de información.

Si os interesa el contenido de este derecho podéis encontrar mas información en la Web del Proyecto Aporta donde se aúnan esfuerzos e informaciones relevantes sobre la reutilización de la información pública.