Todas las entradas de José Carlos Moratilla

Acerca de José Carlos Moratilla

Responsable del Departamento Derecho NNTT en Áudea Seguridad de la Información

21Mar/18

Reglamento General de Protección de Datos: Cara B / Pista 2

GDPR: Cara B / Pista 2

 

Regresamos con un nuevo análisis crítico sobre la redacción del Reglamento General de Protección de Datos (RGPD o GDPR).

Como comentamos en la  , después de 4 años y pico de desarrollo legislativo, lo mínimo que cabría esperar es un texto que garantizase una adecuada seguridad jurídica a las empresas. Pero en esta colección de artículos veremos que, lamentablemente, no es así.

Hoy nos fijaremos en el consentimiento, como una de las formas de conseguir que un tratamiento de datos sea legítimo (hay más, pero dejad que nos centremos en el consentimiento).

Quien más quien menos, ha recibido en los últimos años una carta o correo electrónico con el siguiente contenido: “salvo que usted se oponga en el plazo de 30 días, haremos lo que nos plazca con sus datos personales”.

Esta fórmula, que estaba expresamente prevista e indicada en el Reglamento de Desarrollo de la antigua LOPD (Art. 14: “Forma de recabar el consentimiento”), queda descartada con efecto retroactivo por obra y gracia del GDPR. Todo consentimiento recabado de esta forma, da igual cuándo, deja de ser válido el 25 de mayo de 2018.

Bajo el GDPR, el consentimiento tiene que consistir siempre en una clara acción afirmativa de aceptación del tratamiento de datos personales.

De esta forma, cualquier ciudadano podrá autorizar el tratamiento de sus datos personales (nombre, apellidos, fotografías, email, etc.).

Pero no todos los datos son iguales. Hay unas categorías especiales de datos que reciben una protección mayor, como pueden ser los datos de salud, de orientación sexual, origen racial, etc.

De hecho, el GDPR expresa esta protección adicional, requiriendo que el consentimiento para su tratamiento sea explícito (condición que formalmente no se exige para el resto de categorías de datos).

Lector: Espera, espera… entonces, por un lado tenemos el consentimiento normal (clara acción afirmativa) y por otro lado tenemos el consentimiento explícito. ¿No son lo mismo?

Redactor: Bueno, es que… el explícito… tiene que ser… explícito y el otro no.

L: ¿Acaso una clara acción afirmativa no es algo explícito? ¿Puede el afectado hacer una clara acción afirmativa “por lo bajinis” o de forma no explícita?

R: hmm… no sé… es lo que dice la norma. Según la AEPD, el consentimiento también puede ser implícito cuando se deduzca de una clara acción afirmativa, como por ejemplo, continuar navegando para instalar cookies.

L: pero yo he leído otros artículos que dicen que siempre vamos a tener que poder acreditar los consentimientos como parte de la responsabilidad proactiva.

R: sí, tienes razón… pues no sé… Me duele la cabeza, ¿nos tomamos una caña y hablamos de otro tema?

L: Cuatro años de dedicación de expertos muy bien pagados para esto…

R: En serio, déjalo. Ya seguiremos con otro tema después de haber tomado una cerveza.

 

José Carlos Moratilla

Departamento Legal

Áudea Seguridad de la Información

21Mar/18

RGPD: Cara B / Pista 1

RGPD: Cara B / Pista 1

 

Este no será un artículo de advertencia sobre el poco tiempo que le queda a las empresas para adaptarse al Reglamento General de Protección de Datos (RGPD). De esto ya se ha escrito demasiado.

El borrador del RGPD se publicó en enero de 2012, y no se publicó oficialmente hasta finales de abril de 2016. Más de 4 años llevó a nuestros representantes europeos componer, limar y encajar todas las piezas de un puzle que parecía que nunca llegaría a ver la luz del sol.

Después de tantos años, cualquiera esperaría que un documento de 88 páginas fuese perfecto y deslumbrase a propios y a extraños con su claridad, su lógica y su eficacia (más aún, tratándose de una norma sancionadora). ¿Es el caso? Evidentemente, no.

Como ya hiciéramos antaño con nuestro recopilatorio de los Grandes Éxitos de la LOPD (I, II, III y IV), queremos desempolvar nuestro espíritu crítico y analizar algunos detalles oscuros del RGPD quedeberían causar cierto sonrojo en nuestros legisladores europeos (bueno… suponiendo que esta modesta publicación llegase a sus ojos).

Anticipamos la petición del perdón de los Fundamentalistas de la Protección de Datos por si alguno de estos artículos hiriese su sensibilidad.

Y sin más dilación, empecemos por una de las principales “novedades” del RGPD: Su aplicación extraterritorial (entrecomillamos la palabra novedades, porque con posterioridad a la concepción del borrador del RGPD, las autoridades europeas ya consiguieron aplicar la normativa europea de protección de datos a gigantes estadounidenses como Google y Facebook, aunque con argumentos un tanto… discutibles).

En concreto, el artículo 2.3 del RGPD prevé la aplicación de la norma a entidades no ubicadas en la UE, cuando traten datos de residentes en la UE (siempre que dicho tratamiento consista en la oferta de bienes o servicios, incluso gratuitos, o en el control de su comportamiento en la UE).

Es decir, ya no será necesario retorcer la normativa europea para poder sancionar a las grandes tecnológicas del otro lado del charco.

Lector: ¿Y qué hay de malo en ello? Estoy harto de que los Facebook, los Google, y demás se hagan millonarios a mi costa.

Redactor: Claro, si no tiene nada de malo…Más allá del problema que supone para cualquier empresa del mundo que opere en internet el verse inmerso de repente en una norma que no conoce y que puede que ni siquiera tenga sentido en su cultura nacional. Desde el punto de vista del viejo continente, culturizar a los bárbaros extranjeros siempre está bien… pero ¿qué pasaría si fuese a la inversa?

L: ¿A qué te refieres?

R: ¿qué diría una empresa española con una tienda online que da servicio a todo el mundo, si de repente una autoridad de otro país quisiese imponerle una sanción económica por incumplir con su ley nacional de protección de datos y tratar datos de sus ciudadanos?

L: Bueno, pero en un futuro eso ya se verá…

R: Ya hay países, como Costa Rica, que también prevén la aplicación extraterritorial de sus normativas de protección de datos a entidades que traten datos de sus ciudadanos. Y sus normas, aunque similares, tienen peculiaridades propias de su cultura y su experiencia (algunas que incluso son claramente incompatibles con el cumplimiento de la normativa europea).

L: Pues vaya problemón… ¿entonces si publico una tienda online con servicio a todo el mundo, tengo que conocer todas las normativas de protección de datos y asegurarme de que no tienen aplicación extraterritorial?

R: No necesariamente. El propio RGPD, la misma norma que prevé su aplicación extraterritorial fuera de la UE, establece en su Considerando 115 que:

Algunos países terceros adoptan leyes, reglamentaciones y otros actos jurídicos con los que se pretende regular directamente las actividades de tratamiento de personas físicas y jurídicas bajo jurisdicción de los Estados miembros […]. La aplicación extraterritorial de dichas leyes, reglamentaciones y otros actos jurídicos puede ser contraria al Derecho internacional e impedir la protección de las personas físicas garantizada en la Unión en virtud del presente Reglamento.”

L: Ah… pero si el RGPD tiene aplicación extraterritorial… ¿cómo puede rechazar la aplicación extraterritorial de las normas de otros países?

R: Pues con muy poca vergüenza, amigo Lector… con muy poca vergüenza. Es un nuevo Reglamento propio de la Europa más vieja.

L: Qué curioso… cuéntame más.

R: Si te esperas unos días, te pongo la Pista 2 de esta peculiar antología de la Cara B del Reglamento Europeo de Protección de Datos.

 

José Carlos Moratilla

Departamento Legal

Áudea Seguridad de la Información

01Ene/15

Cuando Internet entra por la puerta, la LOPD sale por la ventana

Cuando Internet entra por la puerta, la LOPD sale por la ventana

Nadie duda de las bondades de Internet, ni del ahorro de costes que supone pasarlo todo a digital… pero tampoco podemos olvidar que el ciudadano tiene unos derechos fundamentales garantizados constitucionalmente, ni que existen unas leyes que protegen dichos derechos a base de imponer cuantiosas multas.

Aún a riesgo de resultar repetitivos o de parecer demasiado conservadores (ya hemos hablado en otras ocasiones sobre el Derecho al Olvido en relación con el periodismo digital y con los boletines y diarios oficiales digitales), debemos decir que la experiencia obtenida a través de nuestros clientes, continúa revelándonos nuevos aspectos de la transición al mundo digital que chocan frontalmente con la protección de datos personales.

Hoy le toca el turno a la notificación de los accidentes de trabajo a través del Sistema Delta del Ministerio de Trabajo (o mejor dicho, de Empleo y Seguridad Social).

Pasando por encima de la complicación que supone aplicarle las medidas de seguridad de Nivel Alto al dichoso parte de accidente cuando, sin embargo, un parte de baja por enfermedad común sólo requiere el nivel básico (este tema también lo tratamos anteriormente), el procedimiento establecido por Delta, entraña un riesgo para la protección de datos mucho menos evidente.

El proceso más habitual es el siguiente:

  • Un trabajador, con más sueño que devoción, tiene un accidente de coche mientras se dirigía al trabajo por la mañana.
  • Resultado de dicho accidente, el trabajador detecta (o incluso se inventa) un dolor en el cuello, por lo que se dirige a su mutua a ver si consigue que le den la baja por AT.
  • Del análisis de dicha dolencia, se genera un registro del accidente que la mutua comunica a la empresa para que rellene el correspondiente parte Delta (si lleva descripción de la lesión sufrida, ya tenemos esos indeseables datos de salud en nuestra empresa).
  • El departamento de Recursos Humanos, o la gestoría, o quizá el Departamento de Prevención de Riesgos Laborales recibe esta notificación y, tras recabar la información necesaria, cumplimenta el tedioso parte Delta.
  • …Disculpen… corrijo el punto anterior: En realidad, UNA PERSONA FÍSICA del departamento de Recursos Humanos, o de la gestoría, o del Departamento de Prevención de Riesgos Laborales, cumplimenta el tedioso parte Delta.
  • Para ello, únicamente se necesita un «certificado digital de persona física», que en la mayoría de los casos, es el certificado digital de la FNMT.

Además, entre las funcionalidades del Sistema Delta, aparte de registrar nuevos partes, está la consulta de los partes notificados anteriormente.

Por favor, tómense un minuto de reflexión antes de seguir leyendo… ¿Ya? Bien. ¿Y cuál es el problema?

Pues básicamente, que es la persona física quien notifica o consulta los partes de accidente, no la empresa. Desde el punto de vista de protección de datos, esto puede implicar varias cosas:

  • La más preocupante es que cuando esta persona abandona la empresa, puede seguir consultando y descargándose los partes Delta que ha notificado anteriormentey lo que es peor, parece posible que también siga teniendo capacidad de notificar un nuevo parte Delta.
  • Otras consecuencias menos probables, pasarían por considerar a la persona física como Responsable del Fichero, puesto que es la única que tiene capacidad de disposición sobre la información notificada a través del Delta (debiendo cumplir con la obligación de inscribir un fichero en la AEPD, informar a los afectados, obtener su consentimiento expreso pues es un dato de salud, elaborar un documento de seguridad, etc.). Tranquilidad, que ya digo que este enfoque no me parece realista ni adecuado, pues normalmente se trata de un trabajador por cuenta ajena que sólo hace lo que le dicen sus jefes.

Por esta desconcertante situación, se planteó la siguiente consulta por email al Sistema Delta:

» Estimados señores,

(bla, bla, bla)

¿Para notificar un accidente de trabajo en una empresa es necesario disponer de algún tipo de autorización específica o basta con tener un certificado digital?

En cualquiera de los 2 casos, ¿existe alguna forma para rescindir los permisos de acceso a los partes notificados anteriormente por la persona con su certificado digital cuando ésta abandona la empresa? ¿y de impedir que notifique futuros accidentes?

Para evitar el uso de certificados personales, se ha valorado la posibilidad de utilizar certificados de persona jurídica; no obstante, nos indican desde la FNMT que ellos no pueden limitar ni restringir de ninguna forma el uso de dichos certificados (y por motivos obvios, sería interesante limitar dicho uso exclusivamente a la notificación de accidentes de trabajo).

¿El Sistema Delta ofrece alguna posibilidad de obtención de certificado exclusivo para la interacción con Delta, como es el caso del certificado Silcon del Sistema RED de la Seguridad Social?

Y en tal caso ¿existe algún procedimiento de revocación de personas autorizadas a utilizar ese certificado cuando abandonan la empresa o cuando cambien sus funciones?

Agradezco de antemano su pronta respuesta.

Reciban un cordial saludo.«

 

Sorprendentemente, la respuesta no se hizo esperar más de 10 minutos:

» Habiendo recibido y analizado su consulta, pasamos a indicarles la solución que creemos más acertada.

En Delta se registran personas físicas y no empresas. Los partes tramitados únicamente pueden ser visualizados a través de la aplicación por aquellas personas que lo tramitaron. Solo puede darse de baja de la aplicación la propia persona que esta registrada como representante de empresa. Únicamente pueden revocar las firmas digitales los propietarios de las mismas y no hay ninguna manera de evitar que estas personas no tramiten más partes. Una opción sería tramitar todos los partes de la misma empresa con una única firma digital.

Esperamos haber contribuido a solucionar su problema. De no ser así, rogamos vuelvan a contactar con nosotros, mediante un nuevo correo o llamando al 902 88 77 65 (Centro de Atención a Usuarios de aplicaciones externas del MEYSS).

Saludos cordiales,»

Sin entrar a valorar la sugerencia de que varias personas utilicen una única firma digital personal, se confirman nuestros temores. Básicamente, no hay forma de impedir que una persona que ha notificado un parte Delta con un certificado de la FNMT siga accediendo a este parte aún después de finalizar su relación con la empresa.

Sin embargo, el artículo 91 del Reglamento de Desarrollo de la LOPD, exige lo siguiente:

«1. Los usuarios tendrán acceso únicamente a aquellos recursos que precisen para el desarrollo de sus funciones.

2. El responsable del fichero se encargará de que exista una relación actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos.

3. El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados.»

Y su incumplimiento, es una infracción grave de la normativa de protección de datos, con sanciones entre 40.000 y 300.000 euros.

Es decir, que por cumplir con nuestras obligaciones (cumplimentar el parte Delta) con las herramientas que la Administración pone a nuestra disposición (certificado digital FNMT), nos arriesgamos a recibir una fuerte sanción.

¿Soluciones?

  • La más lógica sería que la AEPD tomase cartas en el asunto y forzase al Sistema Delta a implantar un procedimiento que no tenga este agujero. No obstante, después de ver la falta de pudor en algunas administraciones públicas a la hora de reconocer que no les importa la protección de datos, yo no depositaría grandes esperanzas en esta solución.
  • Otra opción más práctica y segura, es recurrir a un certificado digital de una entidad privada (cualquiera de las aceptadas por Delta servirían) que ofrezca un «Certificado corporativo de persona física», que es un certificado reconocido de persona física que identifica al suscriptor como vinculado a una determinada organización, ya sea como empleado, asociado, colaborador, cliente o proveedor. La empresa podrá revocar este certificado cuando la persona deje la organización. Lo malo es que hay que acordarse de revocarlo (algo que, en la práctica puede quedar en tierra de nadie aunque esté procedimentado por escrito), y que perdemos el acceso a los partes que conserva el Sistema Delta y que haya tramitado esta persona (lo que nos fuerza a quedarnos con una información a la que tenemos que aplicar el nivel alto de seguridad).

En fin, lo dicho: cuando Internet entra por la puerta, la LOPD sale por la ventana… y las empresas se quedan perplejos sin saber a quién tenerle más miedo.

01Ene/15

El Gobierno reforma la LSSI por la vía de urgencia

El Gobierno reforma la LSSI por la vía de urgencia

Tal y como hemos venido informando en los últimos años (i, ii, iii…), desde el Parlamento Europeo se impone a los Estados Miembros determinados cambios en la normativa que regula los servicios de la sociedad de la información, fundamentalmente, el uso de cookies en páginas web.

El plazo para incorporar estos cambios al ordenamiento jurídico de cada Estado concluyó el 25 de mayo de 2011, momento en el cual se empezó a tramitar en España como anexo a un proyecto de reforma de la Ley General de Telecomunicaciones.

Tras varios meses de idas y venidas del texto, el Gobierno adelantó las elecciones y poco después se disolvió el Parlamento, por lo que todos los proyectos y propuestas de Ley caducaron… y una vez constituido el nuevo gobierno, vuelta a empezar.

Lo que ya estaba en fase de proyecto de ley, volvió a propuesta de ley, y durante varios meses se quedó así.

Finalmente, de forma imprevista, con 10 meses de retraso, y sin apenas repercusión mediática, el Gobierno ha aprobado por la vía de Real Decreto-ley (reservada a asuntos de urgente necesidad) la esperada, aunque no por ello deseada, reforma.

Juzgue el lector este ejemplo de «cajón de sastre» (y un poco desastre también) que ha sido aprobado, publicado y puesto en vigor el fin de semana antes de Semana Santa, pillándonos a todos con las maletas en el coche:

«Real Decreto-ley 13/2012, de 30 de marzo, por el que se transponen directivas en materia de mercados interiores de electricidad y gas y en materia de comunicaciones electrónicas, y por el que se adoptan medidas para la corrección de las desviaciones por desajustes entre los costes e ingresos de los sectores eléctrico y gasista»

Las novedades son pocas… Pero su desafortunada redacción, la dificultad de la implementación de las medidas que parecen deducirse, y su teórica exigibilidad desde el día siguiente a su publicación en BOE colocan a la inmensa mayoría de responsables de sitios web en situación de potencial infracción de la LSSI (con multas de hasta 150.000 euros).

La reforma fundamental, la encontramos en el Artículo 22 de la LSSI, cuya nueva redacción es la siguiente (destacamos en negrita las novedades):

«1. El destinatario podrá revocar en cualquier momento el consentimiento prestado a la recepción de comunicaciones comerciales con la simple notificación de su voluntad al remitente.

A tal efecto, los prestadores de servicios deberán habilitar procedimientos sencillos y gratuitos para que los destinatarios de servicios puedan revocar el consentimiento que hubieran prestado. Cuando las comunicaciones hubieran sido remitidas por correo electrónico dicho medio deberá consistir necesariamente en la inclusión de una dirección electrónica válida donde pueda ejercitarse este derecho quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.

Asimismo, deberán facilitar información accesible por medios electrónicos sobre dichos procedimientos.

2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.»

En resumen:

  1. El medio para darse de baja del envío de comunicaciones comerciales, debe ser necesariamente una «dirección electrónica válida». ¿Y qué es una dirección electrónica válida? ¿Una URL es una dirección electrónica válida? ¿Un feedback a través de una web? ¿Un formulario web? A la espera de que la AEPD manifieste su criterio interpretativo al respecto, consideramos recomendable que, de forma paralela al clásico enlace de «unsuscribe», se disponga una dirección de correo electrónico en la que se puedan recibir estas solicitudes de baja.
  2. Para todas aquellas cookies (o similares) cuya finalidad no sea exclusivamente la de permitir/facilitar la navegación, debe informarse y obtenerse el consentimiento. ¿Cómo? En la cabecera de la página del regulador inglés en materia de protección de datos, podemos ver un discreto ejemplo… Tan discreto que sospecho que nadie lo aceptará jamás.

Todas las empresas que a día 1 de abril de 2012 no tengan implantadas estas medidas (que no están nada claras) están incumpliendo la LSSI.

¿Y cuál es el riesgo derivado de dicho incumplimiento?

  1. No poner una «dirección electrónica válida» (signifique lo que signifique) para solicitar la baja del envío de comunicaciones comerciales, es una infracción leve o grave, dependiendo de la relevancia del incumplimiento, y lleva aparejada una posible multa de hasta 150.000 euros.
  2. Sin embargo, con respecto al consentimiento para instalar las cookies… con las prisas el Gobierno se ha debido olvidado de actualizar el régimen sancionador… de forma que a día de hoy, sólo es sancionable: (i) no ofrecer información, y (ii) no ofrecer un procedimiento de rechazo (a través del navegador, como se ha venido desde que se aprobó la LSSI). Las infracciones asociadas al artículo 22, no mencionan en ningún caso el consentimiento de los afectados (aunque si en algún momento se pudiera llegar a identificar a una persona física, se podría llegar a sancionar por LOPD).

Visto lo visto cabe concluir que, independientemente de la responsabilidad o madurez que se le presuponga a una persona… cuando las cosas se hacen por obligación y no por devoción… se dejan para el último momento, y se acaban haciendo rápido y mal.

 

01Ene/15

Derecho al olvido. Realidad o ficción

Derecho al olvido. Realidad o ficción

La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.

Artículo 18.4 de la Constitución Española de 1978.

Asombroso, ¿verdad?

¿Cómo es posible que en los años 70, cuando Internet no era más que un proyecto militar estadounidense, nuestros Constituyentes tuvieran la capacidad de intuir en la informática un peligro potencial para la intimidad de las personas?

¿Y cómo es posible que 33 años después, nosotros, que ya hemos visto el futuro, no estemos siendo capaces de llevar a cabo este mandato constitucional de un modo efectivo?

Los ejemplos son infinitos y se pueden escuchar en cualquier entorno:

«Yo utilizo Google para buscar los datos de los administradores de una sociedad a través de las multas publicadas en los boletines oficiales»

«Han creado un blog con mi nombre, y me ponen a parir»

«Han subido una foto mía a Facebook sin mi permiso»

«Hace 20 años cometí un delito. Fui a la cárcel. Cumplí condena. Cancelé mis antecedentes penales… Y aún así, la noticia está a golpe de ratón en cualquier hemeroteca de un periódico digital»

«Una empresa peruana sacó mis datos como administrador de una sociedad con deudas del registro mercantil español, y los ha publicado en su sitio web»

«No me han dado un trabajo porque a través de Google pueden ver que tengo muchas multas publicadas en boletín oficial»

«Soy una mujer de 62 años, y apenas tengo trato con Internet ni con los ordenadores… ninguno más allá del que me requiere mi trabajo… ¡y hay 15 entradas en Google con mis datos personales! ¿Cómo es posible?»

Todos estos testimonios son adaptaciones de situaciones reales (el último, en concreto, de mi señora madre)… y esto, cada día va a más.

Tampoco es que nuestra intimidad esté totalmente vendida. En Europa disponemos de los derechos de cancelación y/o de oposición (según el caso), reconocidos por la Directiva 95/46/CE, e incorporados a nuestro Ordenamiento Jurídico a través de la Ley Orgánica de Protección de Datos. Pero este poder está limitado al territorio Europeo… y en Internet, es muy fácil refugiarse en otro país.

Bien es cierto que cada vez son más los países que aplican el modelo europeo de protección de datos, pero ¿cómo podemos jugar a un juego global que tiene reglas distintas en cada parte del campo?

Hasta que llegue el momento en que se produzca un acuerdo global, con herramientas eficaces que garanticen la autodeterminación informativa, todos y cada uno de nosotros estaremos condenados a vivir bajo la amenaza de una foto o un dato mal publicado que pueda arruinar nuestras vidas.

En cualquier caso, no debemos equivocarnos. En realidad, la culpa última no es de una ley ineficaz, ni tampoco de Internet. Los culpables somos nosotros. El ser humano es tan celoso de su propia intimidad como generoso con la intimidad de los demás.

Sí, de acuerdo, los usuarios de las redes sociales, no son precisamente celosos de su propia intimidad… pero son ellos mismos los que deciden lo que quieren compartir, y aceptan el riesgo. Cuando es un tercero el que toma esa decisión le está privando al afectado de un derecho fundamental.

También hay quien se escuda en conflictos de derechos, como la libertad de expresión, para seguir tranquilamente con su maltrato a la intimidad de otros.

Nuevamente, hay que quitarse el sombrero ante las mentes preclaras que redactaron nuestra Constitución, pues su artículo 20.4 (que ya he citado en varias ocasiones), resuelve brillantemente este conflicto dejando bien claro que los derechos reconocidos en el artículo 20 (propiedad intelectual, libertad de cátedra, de expresión y de prensa) «tienen su límite en el respeto a los derechos reconocidos en este Título, en los preceptos de las Leyes que lo desarrollan y, especialmente, en el derecho al honor, a la intimidad, a la propia imagen y a la protección de la juventud y de la infancia.»

Como siempre, «la tecnología no es buena ni mala». Los malos somos nosotros… y por eso necesitamos que nos impongan normas y disciplina.

 

01Ene/15

LOPD: Greatest Hits (Vol. IV)

LOPD: Greatest Hits (Vol. IV)

Más de un año después de la tercera entrega de esta saga, que bien podría haber quedado en una trilogía, la casuística de algunos de nuestros clientes nos ha empujado a elaborar una cuarta edición. Y podrá haber una quinta.

Pero antes, hagamos repaso de lo que hemos analizado en los tres primeros volúmenes:

  • Volumen I: Inscripción de ficheros, principio de calidad y deber de información.
  • Volumen II: El Consentimiento.
  • Volumen III: Datos especialmente protegidos.

Siguiendo la misma metodología de análisis que en anteriores ocasiones, llevando la estricta aplicación de la norma hasta sus últimas consecuencias, hoy trataremos ciertas curiosidades de los derechos de los ciudadanos a acceder a sus datos, rectificarlos, cancelarlos, y también a oponerse a que sean utilizados con determinada finalidad. En definitiva, los denominados Derechos ARCO.

¿Sabías que…

… en la mayoría de los casos, podrían desatenderse libremente estos derechos?

Las empresas y demás responsables de fichero tienen la obligación de ofrecer un cauce, sencillo y gratuito para que los afectados puedan ejercer sus derechos.

Es precisamente la exigencia de gratuidad lo que suele llevar aparejada una carencia de valor probatorio. Sabiendo, además, que en derecho administrativo sancionador opera el principio de presunción de inocencia, el ciudadano que denunciase tal infracción, tendría que acreditar la recepción de su solicitud por parte del responsable del fichero.

… en la mayoría de los casos, no atender debidamente el derecho, no implicará una sanción económica?

La Agencia Española de Protección de Datos es famosa por sus multas, que no van dirigidas a satisfacer al afectado, sino a castigar al infractor (es decir, no son indemnizaciones, sino multas).

Sin embargo, no es tan conocido que cuando la Agencia recibe una denuncia porque una empresa no ha atendido debidamente un derecho (ha ignorado la solicitud, o no lo ha hecho efectivo en el plazo fijado), no suele abrir un procedimiento sancionador, sino un procedimiento de Tutela de Derechos.

El procedimiento de Tutela de Derechos no tiene como fin sancionar, sino obligar a la empresa, en caso de que proceda, a atender la solicitud.

…para ejercer tus derechos ARCO es necesario que facilites una copia de tu DNI, aún cuando no hayas tenido que acreditarla cuando tus datos fueron recogidos?

La normativa establece que los derechos ARCO son derechos personalísimos, y que sólo pueden ser ejercidos por el propio afectado, previa acreditación (o por representante, con autorización firmada por el afectado, debiendo acreditarse ambas personas).

Es decir, por un lado, la normativa establece que la empresa deberá creerse los datos que le des cuando te los pida directamente. Y, sin embargo, deseas ejercer uno de tus derechos, la misma normativa te pone la traba de tener que acreditar tu identidad.

Aunque no lo parezca, puede llegar a tener todo el sentido del mundo.

Si una esposa celosa ejerciese un derecho de acceso sobre datos de su alegre marido, con engaño suficiente para que la empresa que tiene los datos se creyese que se trata de su esposo, la empresa podría llegar a ceder un historial completo de infidelidades, incumpliendo así toda base de la protección de datos.

… para ejercer los derechos ARCO de tus hijos/as, menores de 14 años, no bastará con que facilites copia del DNI, sino que también deberás facilitar copia del libro de familia, y si lo tuviesen, del DNI de tus hijos?

La normativa es tajante: «Los derechos serán denegados cuando la solicitud sea formulada por persona distinta del afectado y no se acreditase que la misma actúa en representación de aquél».

Es decir, ejercer un derecho ARCO en nombre de tus hijos, supone acreditar tu identidad, la identidad del representado, y el poder de representación que ostentas.

Tiene tanto sentido como en el caso anterior.

El problema en este caso, no es de la normativa de protección de datos, sino que actualmente no disponemos de mecanismos de acreditación de identidad y representación que sean tan ágiles como deberían.

Será que todavía no soy padre, pero antes de hacer todo eso, preferiría que siguiesen recibiendo publicidad no deseada.

Nos vemos en la próxima edición de los Grandes Éxitos de la LOPD.

01Ene/14

¿Quién da más miedo: La Agencia Española de Protección de Datos o la Inspección de Trabajo?

¿Quién da más miedo: La Agencia Española de Protección de Datos o la Inspección de Trabajo?

Es una práctica habitual que determinadas empresas que subcontratan una obra o un servicio no dejen entrar a los empleados de la empresa subcontratada en la obra o en el local en el que se presta el servicio si previamente no se han recibido documentos acreditativos del cumplimiento de las obligaciones sociales y/o salariales por parte de la empresa subcontratada.

El documento acreditativo que más se suele requerir es el TC2, que es la relación nominal de los trabajadores por los que la empresa ha cotizado, identificados a través de unas siglas determinadas.

¿Por qué motivo se hace esto? Esta práctica tiene su origen en el artículo 42 del Estatuto de los Trabajadores, que establece lo siguiente:

«1. Los empresarios que contraten o subcontraten con otros la realización de obras o servicios correspondientes a la propia actividad de aquéllos deberán comprobar que dichos contratistas estén al corriente en el pago de las cuotas de la Seguridad Social. Al efecto, recabarán por escrito, con identificación de la empresa afectada, certificación negativa por descubiertos en la Tesorería General de la Seguridad Social, que deberá librar inexcusablemente dicha certificación en el término de treinta días improrrogables y en los términos que reglamentariamente se establezcan. Transcurrido este plazo, quedará exonerado de responsabilidad el empresario solicitante.

2. El empresario principal, salvo el transcurso del plazo antes señalado respecto a la Seguridad Social, y durante el año siguiente a la terminación de su encargo, responderá solidariamente de las obligaciones de naturaleza salarial contraídas por los contratistas y subcontratistas con sus trabajadores y de las referidas a la Seguridad Social durante el período de vigencia de la contrata.

No habrá responsabilidad por los actos del contratista cuando la actividad contratada se refiera exclusivamente a la construcción o reparación que pueda contratar un cabeza de familia respecto de su vivienda, así como cuando el propietario de la obra o industria no contrate su realización por razón de una actividad empresarial.»

¿Y qué tiene que ver esto con la Protección de Datos?

Año 2006: la Agencia Española de Protección de Datos respondió a una consulta formal de una empresa preocupada por la Protección de Datos que no sabía cómo compaginar las obligaciones que le imponían sus clientes (entregar TC2, nóminas, etc.), con el artículo 11 de la LOPD, cuyo incumplimiento, conforme al antiguo régimen sancionador, suponía una infracción muy grave con sanciones entre 300.000 y 600.000 euros.

El criterio de la Agencia en dicha ocasión fue el siguiente: «se considera que el sistema descrito en la consulta no se encuentra amparado por lo dispuesto en la Ley Orgánica 15/1999, al resultar excesivo en relación con lo dispuesto en el artículo 42 del Estatuto de los Trabajadores, en cuya virtud no resulta necesario al contratista acceder a la información descrita en la consulta.»

¿Y qué sucedió tras este informe?

Nada. Las empresas seguían trabajando exactamente igual que antes. Los empresarios principales por miedo a las sanciones en materia laboral, y los subcontratistas por miedo a no cobrar.

Año 2009: la AEPD respondió a una nueva consulta formal sobre este mismo asunto. En este caso, la empresa que planteó la consulta, quizá fue capaz de transmitir mejor la complejidad del tema, y el resultado fue radicalmente distinto: «podemos entender que la comunicación de dichos datos es conforme con el artículo 7.2 en conexión con el artículo 4.2 de la Ley Orgánica 15/1999 y la obligación impuesta por el artículo 42.2 del Estatuto de los Trabajadores.»

La AEPD cambió de criterio tras una nueva lectura del 42.2 del Estatuto de los Trabajadores, que establece la responsabilidad solidaria del empresario principal frente a las obligaciones sociales y salariales del empresario subcontratado. Al existir una responsabilidad solidaria, entiende la Agencia que ya no resulta excesivo el acceso a esta información, y que la comunicación de la misma, se halla amparada en una de las excepciones al consentimiento para la cesión de datos personales. En todo caso, la información cedida debe responder a esta finalidad, y nunca deberá afectar a trabajadores de la empresa subcontratista que no estén implicados en la subcontratación.

Año 2010: en el último episodio de esta particular trilogía, la Agencia Española de Protección de Datos, tuvo que responder a una tercera consulta formal sobre la cesión de datos salariales y sociales de empresas contratadas a empresas principales. En todo caso, os avanzo que en esta ocasión, no se trata de una corrección de lo anterior, sino de una interesante matización para evitar equívocos. Esta consulta se centra sobre el concepto «propia actividad», recogido en el artículo 42 del Estatuto de los Trabajadores.

Una vez aclarado que en caso de subcontratación existe una responsabilidad solidaria del empresario principal, y por lo tanto, tiene obligación de asegurarse de su correcto cumplimiento, surge la duda de qué sucede en los casos en los que la contratación no se encuadra dentro de la actividad propia de la empresa principal.

El Empresario Principal es responsable solidario junto con el Subcontratista, de las obligaciones sociales y salariales de este sobre sus trabajadores, y por lo tanto, el acceso a esta información está amparado en el Estatuto de los Trabajadores, y no supone un incumplimiento de la normativa de protección de datos.

Sin embargo, el Cliente, que recibe la obra o servicio para su uso o disfrute, no ostenta tal responsabilidad solidaria y, en consecuencia, no tiene legitimidad para acceder a ningún dato salarial ni de seguridad social de los empleados (ya sean los del Empresario Principal o del Subcontratista)

A pesar de todo lo anterior, la realidad nos sigue demostrando a través de muchos de nuestros clientes, que en muchas ocasiones grandes empresas que no admiten negociación ni discusión, siguen más preocupados por la responsabilidad laboral que por la responsabilidad en materia de protección de datos, y siguen exigiendo toda clase de certificaciones y garantías, provocando los siguientes efectos:

  1. Obligan al proveedor a incurrir en una infracción grave de la LOPD (conforme a su nuevo régimen sancionador) por cesión de datos sin consentimiento, o muy grave si hubiese datos de salud en los seguros sociales o de afiliación sindical en las nóminas
  2. Incurren ellos mismos en 3 infracciones graves al tratar datos excesivos, sin consentimiento de los afectados, y seguramente, sin haberles informado de lo establecido en el artículo 5 de la LOPD en el plazo de 3 meses desde que recibieron los datos.

En definitiva, el gran perjudicado es el pequeño empresario, que o bien pierde el proyecto (por alegar incumplimiento de la LOPD), o se arriesga a recibir una fuerte sanción. Si cualquiera de nosotros tuviese que escoger entre una realidad (perder el proyecto) y una posibilidad (multa de la AEPD), ambas situaciones indeseables, creo que todos escogeríamos la posibilidad.

Ojala la AEPD lo viese de la misma manera.

15Feb/12

La garantía legal de los productos

La garantía legal de los productos

Muchos recordamos que hace muchos años, al comprar un producto en cualquier tienda, el vendedor nos daba un pequeño libro con la compra y nos decía sin mucho interés: «Esto es la garantía del producto. Venga a sellarla cuando pueda».

Aun sin mucha madurez ni capacidad de entendimiento uno ya sospechaba que acababa de pasar algo extraño… sobre todo cuando sabías que no te ibas a acordar o no ibas a tener tiempo u oportunidad de volver a aquel establecimiento con el dichoso librito a que te sellaran la garantía.

Afortunadamente, los tiempos han cambiado, y la normativa protege bastante a los compradores de los productos. Quizá más de lo que lo que muchos se piensan (incluyendo a los vendedores).

A menudo nos llegan consultas de particulares que se encuentran perdidos y algo desanimados, pues no encuentran una respuesta clara en la ley ni en ninguna página de Internet… y al igual que hace años, sospechan que lo que les ha dicho el vendedor de turno esconde algo extraño.

Todos sabemos que los productos tienen una garantía… ¿pero qué implica esto? ¿cuánto tiempo dura? ¿hay varios tipos de garantías? ¿qué cubren? Trataremos de explicar este asunto brevemente:

Todo producto nuevo tiene una garantía legal de 2 años. Esto implica un derecho de exigir al vendedor la reparación o la sustitución del producto de forma totalmente gratuita (incluyendo, gastos de envío, materiales, mano de obra…).

Además de la garantía legal, el vendedor y/o el fabricante pueden, voluntariamente, otorgar una garantía comercial adicional, y adquirir un compromiso mayor con el comprador, ya sea en el tiempo o en el modo en que proporciona su propia garantía. Pero esta garantía adicional, nunca podrá alterar la garantía legal. Es relativamente frecuente que el consumidor caiga en el error de confundir la garantía legal con la comercial adicional, pues ésta suele aparecer promocionada por el fabricante o vendedor.

En todo caso, el plazo de la garantía legal se divide en 2 tramos:

En caso de que el producto manifieste algún defecto durante los 6 primeros meses, se presume que ese defecto ya venía de fábrica. Si el vendedor no está de acuerdo, deberá probar que el defecto fue provocado por un mal uso por parte del comprador.

Durante los 18 meses siguientes, hasta completar los 2 años, cualquier defecto que se presente en el producto deberá ser analizado por un servicio técnico que deberá determinar si el defecto era de origen o si fue provocado por un uso incorrecto del mismo.

Si el defecto ha sido efectivamente provocado por un uso incorrecto del mismo (por ejemplo, se ha caído y se ha roto), no entrará en la garantía legal, y el consumidor deberá pagar la reparación del producto o, en caso de que no esté conforme con el presupuesto, abonar el tiempo invertido en analizar la causa del defecto y elaborar el presupuesto de reparación.

Sin perjuicio de lo anterior, puede que sí aplique la garantía comercial adicional si el vendedor o el fabricante han decidido proporcionarla. Siempre será interesante informarse de si existe tal garantía.

Por el contrario, si el defecto se ha producido o manifestado de forma inexplicable, tendremos derecho a reclamar la cobertura de la garantía ante el vendedor. Es muy frecuente que el vendedor nos pida que hablemos con el fabricante. En realidad, no tenemos por qué hacerlo. El obligado a atender la garantía es el vendedor. No obstante, a veces saldremos ganando, pues no tendremos que desplazarnos a la tienda y la atención será más rápida y efectiva. Otras veces, el servicio del fabricante no será tan bueno, y nos compensará desahogarnos con el vendedor.

En cualquiera de los casos, el plazo de los 2 años de la garantía legal deja de correr en el momento en que entregamos el producto para su reparación, y no volverá a ponerse en marcha hasta que nos sea devuelto.

En principio, el comprador podrá optar entre exigir la reparación, o la sustitución del producto, salvo que una de estas dos opciones resulte objetivamente imposible o desproporcionada. Habitualmente, es el fabricante el que acaba escogiendo una de las dos opciones, según su propio criterio.

Una vez devuelto al comprador el producto reparado o sustituido, se reactiva el plazo de los 2 años de la garantía legal y, nuevamente, se conceden 6 meses de presunción de que cualquier defecto es de fábrica, salvo prueba en contrario. En este caso, pueden suceder 2 cosas:

Que estos 6 meses tengan cabida dentro del plazo original de 2 años desde la fecha de compra (más el tiempo en que el producto haya estado en reparación/sustitución).

Que en el momento de la devolución del producto reparado/sustituido, estuviésemos cerca del final del plazo de la garantía legal. En este caso, la garantía se vería extendida indiscutiblemente hasta el 6º mes desde la devolución del producto, independientemente del momento en que termine la garantía legal.

¿Y qué debemos hacer si el vendedor o el fabricante me dicen que la garantía no me cubre porque ya ha pasado el plazo… y no es cierto?

Debemos dirigirnos al vendedor, rellenar una hoja de reclamaciones, e ir directamente a la Oficina Municipal de Información al Consumidor más cercana a nuestro domicilio, con toda la documentación relativa a su caso para interponer la correspondiente reclamación.