Archivos de la etiqueta: LOPD

26Ago/24

Resolución nº 71.406 del 15 de noviembre de 2023

Resolución nº 71.406 del 15 de noviembre de 2023, del Ministerio de Comercio, Industria y Turismo. Superintendencia de Industria y Comercio, por la cual se imparten unas órdenes administrativas.

MINISTERIO DE COMERCIO, INDUSTRIA Y TURISMO

SUPERINTENDENCIA DE INDUSTRIA Y COMERCIO

RESOLUCIÓN NÚMERO 71406 DE 2023

(15 de noviembre de 2023)

“Por la cual se imparten unas órdenes administrativas”.

Radicación: 21-190473

EL DIRECTOR DE INVESTIGACIÓN DE PROTECCIÓN DEDATOS PERSONALES

En ejercicio de sus facultades legales, en especial las conferidas por el artículo 19 y los literales a) y b) del artículo 21, ambos de la Ley 1581 de 2012, y los numerales (5) y (9) del artículo 17 del Decreto 4886 de 2011, modificado por el artículo 7 del Decreto 092 de 2022, y

CONSIDERANDO

PRIMERO: Que la Dirección de Investigación de Protección de Datos Personales, mediante comunicación radicada bajo el número 21-190473- 2 del 26 de agosto de 2021, requirió a la sociedad LINKEDIN IRELAND UNLIMITED COMPANY, con el propósito de que informara lo siguiente:

“Hacemos referencia a la investigación realizada por Cybernews el pasado 06 de abril, respecto a la presunta exposición de información asociada a, aproximadamente, 500 millones de usuarios de Linkedin. Por tanto, en ejercicio de las funciones otorgadas por la Ley Estatutaria 1581 de 2012 a esta Superintendencia, como máxima autoridad de protección de datos personales en Colombia, nos permitimos solicitar atender los siguientes interrogantes:

1) Con base en las indagaciones realizadas por ustedes, ¿se determinó si dentro de las cuentas expuestas, se encuentran datos personales de nacionales colombianos?

2) En caso afirmativo, precisen ¿Qué datos personales privados, semiprivados y/o sensibles administrados por Linkedin fueron conocidos por terceros no autorizados?

3) ¿Cuáles fueron las medidas adoptadas por la plataforma para mitigar los efectos de la exposición no controlada de los datos en la dark web, conforme a las investigaciones del sitio web Cybernews?

4) ¿De acuerdo con el comunicado oficial de la plataforma, alojado en el vínculo https://news.Linkedin.com/2021/april/an-update-from-Linkedin, a qué tipo de perfiles se hace referencia con publicly viewable member profile/ miembros visibles públicamente? Señale cuál es el mecanismo utilizado para obtener la autorización de los titulares, cuya información se encuentra visible a través de los buscadores de la web.

5) Informen, si a la fecha, cuentan con registros de reclamaciones presentadas por vulneración del derecho de hábeas data de titulares de cuentas colombianas, asociadas a este incidente de seguridad”.

SEGUNDO: Que mediante escrito radicado bajo el número 21-190743- -4 del 01 de febrero de 2022, la compañía LINKEDIN IRELAND UNLIMITED COMPANY atendió el requerimiento de información remitido por esta autoridad.

TERCERO: Que, con base en la referida comunicación, esta Dirección envió el requerimiento radicado bajo el número 21-190473 -5 del 09 de agosto de 2022, a través del cual solicitó que se informara lo que, a continuación se cita:

“1. En la respuesta allegada, la compañía afirma que no tiene un desglose por país de todos los usuarios de Linkedin afectados. No obstante, es imperioso para esta Superintendencia, identificar la información afectada de Titulares ciudadanos o residentes en la República de Colombia.

Para ello, solicitamos que nos informen la cantidad exacta de cuentas asociadas a nacionales colombianos y/o residentes en Colombia, que quedaron expuestas con ocasión de los accesos a sus sistemas de información. Al respecto, informe los datos que fueron extraídos del sitio web de Linkedin.

2. Informen si, a la fecha de recibo de esta comunicación se han recibido reclamaciones por parte de titulares, respecto a la exposición de sus datos personales.

3. El literal g) del artículo 4 de la Ley 1581 de 2012 “por la cual se dictan disposiciones generales para la protección de datos personales”, contempla el Principio de Seguridad, según el cual “La información sujeta a Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento a que se refiere la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento”.

Conforme a lo descrito, ¿considera la compañía Linkedin que el “scraping” es un “acceso no autorizado o fraudulento” a la información personal de los usuarios de su plataforma?

4. En el marco de la Política de Tratamiento de Datos Personales de Linkedin vigente en el momento en el que sucedieron los hechos bajo estudio, la compañía:

a. ¿Permitía el “scraping” por parte de algún(os) tercero(s)? De ser así, ¿contaba con la autorización de los titulares de acuerdo con los estándares de la legislación nacional?

b. ¿Les informaba a los titulares sobre la práctica del “scraping” y la información que podría ser susceptible de ser recolectada a través de esta práctica?”

CUARTO: Que, a la fecha de expedición de este acto administrativo, no obra en el expediente respuesta alguna por parte de la compañía LINKEDIN CORPORATION (1) frente a esta última comunicación. Al respecto, es oportuno señalar que la presente actuación administrativa, adelantada de manera oficiosa, tiene su origen en la brecha de seguridad por “Data Scraping” (2) que en su momento fuera confirmada por LINKENDIN, en la cual terceros ajenos a esa plataforma accedieron a la información de cuentas de usuario, sin que mediara autorización para el efecto.

Sobre el particular, es preciso señalar que la extracción masiva de Datos Personales se realiza normalmente por medios automatizados. Aquella práctica, denominada en inglés como “web scraping”, ha sido identificada por las Autoridades de Protección de Datos Personales como un riesgo para el debido Tratamiento de la información personal. La capacidad de las tecnologías de extracción de datos para recopilar y tratar extensas cantidades de información de individuos en Internet plantea importantes preocupaciones, incluso cuando la información que se está extrayendo sea de acceso público.

De manera más amplia, los Titulares pierden el control cuando su información personal se extrae sin su conocimiento y en contra de sus expectativas. Por ejemplo, los extractores de datos pueden agregar y combinar datos extraídos de un sitio con otra información personal y utilizarla para fines inesperados. Esto puede socavar la confianza de los Titulares en los Responsables y Encargados del Tratamiento.

Además, incluso si los Titulares deciden suprimir/actualizar/rectificar su información de aquellas páginas con información de acceso público (redes sociales, plataformas digitales, páginas web, etc.), los extractores de datos pueden continuar utilizando y compartiendo la información que ya han extraído, limitando el control de las personas sobre su huella digital (3).

QUINTO: Que, de conformidad con lo expuesto, se procederá a hacer las siguientes:

CONSIDERACIONES DE LA DIRECCIÓN DE INVESTIGACIÓN DE PROTECCIÓN DE DATOS PERSONALES

I. Competencia de la Superintendencia de Industria y Comercio para ordenar las medidas que sean necesarias para hacer efectivo el derecho a debido Tratamiento de Datos Personales.

El artículo 19 de la Ley Estatutaria 1581 de 2012, establece que “la Superintendencia de Industria y Comercio, a través de una Delegatura para la Protección de Datos Personales, ejercerá la vigilancia para garantizar que en el Tratamiento de datos personales se respeten los principios, derechos, garantías y procedimientos previstos en la presente ley”. El artículo 21, por su parte, faculta a esta entidad para, entre otras: “b) Adelantar las investigaciones del caso, de oficio o a petición de parte y, como resultado de ellas, ordenar las medidas que sean necesarias para hacer efectivo el derecho de hábeas data. (…) e) Impartir instrucciones sobre las medidas y procedimientos necesarios para la adecuación de las operaciones de los Responsables del Tratamiento y Encargados del Tratamiento a las disposiciones previstas en la presente ley; (…) f) Solicitar a los Responsables del Tratamiento y Encargados del Tratamiento la información que sea necesaria para el ejercicio efectivo de sus funciones.”

Así las cosas, existen expresas y suficientes facultades legales para que esta Superintendencia pueda iniciar investigaciones, así como impartir órdenes o instrucciones.

II. La Ley 1581 de 2012 es aplicable a LIKEDIN CORPORATION por cuanto, a través del sitio web “LINKEDIN” se recolectan datos personales en el territorio de la República de Colombia, por medio de cookies que instala en los equipos o dispositivos de las personas residentes o domiciliadas en Colombia.

Ordena la Constitución Política de Colombia, en su artículo 15, que en cualquier actividad que recaiga sobre datos personales se respete la libertad y demás garantías consagradas en esa norma. Así, es de vital importancia recordar que el caso bajo estudio hace referencia al cumplimiento de exigencias de naturaleza Constitucional referidas al derecho fundamental al debido tratamiento de los datos personales de los ciudadanos.

En efecto, el artículo 15 de la Constitución Política Nacional no solo establece que “todas las personas (…) a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas” (4), sino que es clara al exigir que:

“En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución”.

Con fundamento en lo anterior, se promulga la Ley Estatutaria 1581 de 2012 que desarrolla, entre otras, el citado derecho constitucional de categoría fundamental. En el artículo 2 de la referida norma se dispone lo siguiente:

“La presente ley aplicará al tratamiento de datos personales efectuado en territorio colombiano o cuando al Responsable del Tratamiento o Encargado del Tratamiento no establecido en territorio nacional le sea aplicable la legislación colombiana en virtud de normas y tratados internacionales”.

El término “Tratamiento” no solo se menciona en el artículo 15 (5) de la Constitución Política de la República de Colombia, sino que, es determinante para establecer el campo de aplicación de la citada disposición normativa, la cual lo define de la siguiente manera:

“Artículo 3. Definiciones. Para los efectos de la presente ley, se entiende por:

(…)

g) Tratamiento: Cualquier operación o conjunto de operaciones sobre datos personales, tales como la recolección, almacenamiento, uso, circulación o supresión.”

Así las cosas, la Ley Estatutaria 1581 de 2012 es aplicable, entre otras, cuando:

a. El Tratamiento lo realiza el Responsable o Encargado, domiciliados o no en territorio colombiano, que directa o indirectamente, a través de cualquier medio o procedimiento, físico o electrónico, recolecta, usa, almacena o trata Datos personales en el territorio de la República de Colombia. Las anteriores hipótesis son ejemplos de “tratamiento [sic] de datos [sic] personales efectuado en territorio colombiano” a que se refiere la parte primera del mencionado artículo 2.

b. El Responsable o el Encargado no está domiciliado en la República de Colombia ni realiza Tratamiento de Datos dentro del territorio colombiano. Pero, existen normas o tratados internacionales que los obliga a cumplir la regulación colombiana.

La Corte Constitucional, por su parte, en relación con el ámbito de aplicación de ese artículo señaló en la Sentencia C-748 de 2011 (6):

“Para la Sala, esta disposición se ajusta a la Carta, pues amplía el ámbito de protección a algunos Tratamientos de datos personales que ocurren fuera del territorio nacional, en virtud del factor subjetivo. En un mundo globalizado en el que el flujo transfronterizo de datos es constante, la aplicación extraterritorial de los estándares de protección es indispensable para garantizar la protección adecuada de los datos personales de los residentes en Colombia, pues muchos de los Tratamientos, en virtud de las nuevas tecnologías, ocurren precisamente fuera de las fronteras. Por tanto, para la Sala se trata de una medida imperiosa para garantizar el derecho al habeas data” (7).

Es importante señalar que, otras autoridades de protección de datos han concluido que las cookies son mecanismos que usan empresas extranjeras para instalarlas en los equipos de las personas de otros países y recolectar sus datos.

Frente a lo anterior, a finales de 2013 la Agencia Española de Protección de Datos (en adelante AEPD) concluyó lo siguiente con ocasión de una investigación que inició contra Google:

“En todo caso, (…) la entidad Google Inc. recurre a medios situados en el territorio español con el fin de captar información en nuestro territorio (utilizando, entre otros, los equipos de los usuarios residentes en España para almacenar información de forma local a través de cookies y otros medios, así́ como ejecutando código en dichos dispositivos), sin que la utilización de tales equipos para la recogida de datos se realice exclusivamente con fines de tránsito por el territorio de la Unión Europea, es decir, no se trata de equipos de transmisión, sino que dichos equipos se emplean para la recogida y tratamiento de los datos” (8) (…)”.

En cuanto a las web cookies, el sitio web de LINKEDIN las define, en su Política de Cookies, así:

“Una cookie es un pequeño archivo colocado en tu dispositivo electrónico que habilita las funcionalidades de Linkedin. Cualquier navegador que visite nuestros sitios puede recibir cookies nuestras o de terceros, como nuestros clientes, socios o proveedores de servicios. Linkedin o terceros pueden colocar cookies en tu navegador cuando visitas sitios web que no son de Linkedin que muestran anuncios o alojan nuestros complementos y etiquetas.

Utilizamos dos tipos de cookies: persistentes y de sesión. Las cookies persistentes permanecen después de la sesión actual y se usan con muchos fines, como el de reconocerte como un usuario existente. De este modo, resulta más sencillo volver a Linkedin e interactuar con nuestros Servicios sin tener que volver a iniciar sesión. Como las cookies persistentes permanecerán en tu navegador, Linkedin las leerá cuando vuelvas a uno de nuestros sitios web o a un sitio de un tercero que utilice nuestros Servicios. Las cookies de sesión solo se almacenan durante el tiempo que dure la misma (normalmente, lo que dure la visita que estés realizando en ese momento a un sitio web o la sesión con el navegador)” (9).

En este contexto, la Política de Privacidad alojada en el enlace: https://es.Linkedin.com/legal/cookie-policy? del sitio web Linkedin informa que utiliza múltiples modalidades de cookies, informando adicionalmente que “Los terceros también pueden usar cookies en relación con nuestros Servicios externos, como los servicios publicitarios de Linkedin. Los terceros pueden utilizar cookies para ayudarnos a proporcionar nuestros Servicios. También podemos trabajar con terceros para nuestros propios fines de marketing y para permitirnos analizar e investigar nuestros Servicios”.

Al respecto, se pueden visualizar las siguientes modalidades de cookies utilizadas por Linkedin:

(…)

Frente a la recolección de información a través de Cookies, LinkedIn informa a sus usuarios, a través de la citada Política de Privacidad, que:

“Tal y como se describe en nuestra Política de cookies, utilizamos cookies y tecnologías similares (por ejemplo, balizas web y etiquetas de anuncios) para recopilar información (por ejemplo, identificadores de dispositivos) para reconocerte a ti y/o a tu dispositivo o dispositivos en los diferentes Servicios y dispositivos. También permitimos que otras personas usen cookies en el modo descrito en nuestra Política de cookies. Si no resides en uno de los Países designados, recopilamos (o terceros a los que recurrimos recopilan) información sobre tu dispositivo (por ejemplo, ID del anuncio, dirección IP, sistema operativo e información del navegador) para ofrecer a nuestros Miembros anuncios relevantes y entender mejor su eficacia. Más información. También puedes marcar la opción de autoexclusión para que no utilicemos la información de las cookies ni de tecnologías similares para hacer un seguimiento de tu comportamiento en otros sitios web para la publicidad de terceros. Los Visitantes disponen de controles aquí”.

Entonces, es dable concluir sin lugar a duda, que una cookie es un mecanismo que se instala en los equipos o dispositivos (bien sea celular, computador portátil u otro) de las personas residentes o domiciliadas en la República de Colombia, con el objetivo de recolectar algunos de sus datos personales. Por tanto, el sitio web https://www.linkedin.com , propiedad de la compañía LINKEDIN CORPORATION, realiza tratamiento de datos personales en el territorio colombiano, sujeto a las disposiciones de la Ley 1581 de 2012.

III. LINKEDIN CORPORATION tiene la obligación de cumplir la Legislación colombiana, así como las órdenes y requerimientos de esta autoridad, en cumplimiento de la Ley 1581 de 2012.

La regulación sobre tratamiento de datos personales debe aplicarse al margen de los procedimientos, metodologías o tecnologías que se utilicen para recolectar, usar o tratar ese tipo de información. La Ley colombiana permite el uso de tecnologías para tratar datos pero, al mismo tiempo, exige que se haga de manera respetuosa del ordenamiento jurídico. Quienes crean, diseñan o usan “innovaciones tecnológicas” deben cumplir todas las normas sobre tratamiento de datos personales.

Entonces, es importante decir que nuestra Constitución Política Nacional establece:

Artículo 4 “(…) Es deber de los nacionales y de los extranjeros en Colombia acatar la Constitución y las leyes, y respetar y obedecer a las autoridades” (10).

Artículo 333 “(…) La actividad económica y la iniciativa privada son libres, dentro de los límites del bien común. Para su ejercicio, nadie podrá exigir permisos previos ni requisitos, sin autorización de la ley. La libre competencia económica es un derecho de todos que supone responsabilidades. La empresa, como base del desarrollo, tiene una función social que implica obligaciones”.

Entonces, es la misma Constitución Política la que dispone el cumplimiento de la normatividad a los extranjeros que estén en este territorio. La cual, además, incluye el sometimiento a la ley en general, así como a las órdenes de autoridades administrativas, entre otras.

IV. El respeto por las leyes en el ciberespacio.

En el ciberespacio no desaparecen ni disminuyen los derechos de las personas. El ciberespacio ha sido caracterizado por ser un escenario global no delimitado por fronteras geográficas en donde las actividades suceden dentro de la arquitectura tecnológica de Internet. Aunque se trata de un “mundo virtual”, sus ciudadanos son millones de personas reales ubicadas en prácticamente cualquier lugar del “mundo físico”, cuyas actividades tienen impacto o consecuencias en el “mundo real”.

A pesar de que el campo de acción de Internet desborda las fronteras nacionales, para la Corte Constitucional el nuevo escenario tecnológico y las actividades en Internet no se sustraen del respeto de los mandatos constitucionales. Por eso, concluyó esa Corporación que “en Internet (…) puede haber una realidad virtual pero ello no significa que los derechos, en dicho contexto, también lo sean. Por el contrario, no son virtuales: se trata de garantías expresas por cuyo goce efectivo en el llamado “ciberespacio” también debe velar el juez constitucional” (11). Recalca dicha Corporación que, “nadie podría sostener que, por tratarse de Internet, los usuarios sí pueden sufrir mengua en sus derechos constitucionales”(12).

De otra parte, LinkedIn informa en su sitio web que cuenta con, alrededor de 850 millones de cuentas de usuarios en 200 territorios (13), incluyendo a Colombia, razón por la cual se puede colegir que esta tiene la obligación Constitucional y Legal de garantizarles a los nacionales colombianos el debido tratamiento de sus datos personales y el correcto ejercicio de sus derechos fundamentales en el ciberespacio.

V. Sobre el Tratamiento de Datos Personales por parte de LinkedIn

Con la finalidad de entender qué información es tratada por el sitio web y para qué finalidades, la Dirección De Investigación de Protección de Datos Personales ha procedido a revisar la información que dispone la Política de Privacidad del sitio web LinkedIn en los siguientes términos (14):

Categoría                                                                           Descripción

Registro Para crear una cuenta, debe proporcionar datos que incluyan su nombre, dirección de correo electrónico y / o número de teléfono móvil, y una contraseña. Si se registra para un Servicio premium, deberá proporcionar información de pago (por ejemplo, tarjeta de crédito) y facturación.

Perfil

Usted tiene opciones sobre la información en su perfil, como su educación, experiencia laboral, habilidades, foto, ciudad o área y endosos. No tiene que proporcionar información adicional en su perfil; sin embargo, la información del perfil le ayuda a obtener más de nuestros Servicios, incluida la ayuda a los reclutadores y las oportunidades comerciales para encontrarlo. Es su elección si desea incluir información confidencial en su perfil y hacer pública esa información confidencial. No publique ni agregue datos personales a su perfil que no desee que estén disponibles públicamente.

Publicación y carga

Recopilamos datos personales de usted cuando los proporciona, pública o carga en nuestros Servicios, como cuando completa un formulario (por ejemplo, con datos demográficos o salario), responde a una encuesta o envía un currículum vitae o completa una solicitud de empleo en nuestros Servicios. Si opta por importar su libreta de direcciones, recibimos sus contactos (incluida la información de contacto que su proveedor de servicios o aplicación agregó automáticamente a su libreta de direcciones cuando se comunicó con direcciones o números que aún no están en su lista).

Si sincroniza sus contactos o calendarios con nuestros Servicios, recopilaremos su libreta de direcciones y la información de las reuniones del calendario para seguir haciendo crecer su red sugiriendo conexiones para usted y otros, y proporcionando información sobre eventos, por ejemplo, horarios, lugares, asistentes y contactos.

No tiene que publicar o cargar datos personales; aunque si no lo hace, puede limitar su capacidad para crecer y comprometerse con su red a través de nuestros Servicios.

Contenido y Noticias

Usted y otros pueden publicar contenido que incluya información sobre usted (como parte de artículos, publicaciones, comentarios, videos) en nuestros Servicios. También podemos recopilar información pública sobre usted, como noticias y logros profesionales, y ponerla a disposición como parte de nuestros Servicios, incluso, según lo permita su configuración, en notificaciones a otros de menciones en las noticias.

Información de contacto y calendario

Recibimos datos personales (incluida información de contacto) sobre usted cuando otros importan o sincronizan sus contactos o calendario con nuestros Servicios, asocian sus contactos con perfiles de miembros, escanean y cargan tarjetas de visita o envían mensajes utilizando nuestros Servicios (incluidas invitaciones o solicitudes de conexión). Si usted u otras personas optan por sincronizar cuentas de correo electrónico con nuestros Servicios, también recopilaremos información de «encabezado de correo electrónico» que podemos asociar con los perfiles de los Miembros.

Socios

Recibimos datos personales (por ejemplo, su cargo y dirección de correo electrónico del trabajo) sobre usted cuando utiliza los servicios de nuestros clientes y socios, como empleadores o posibles empleadores y sistemas de seguimiento de solicitantes que nos proporcionan datos de solicitud de empleo.

Empresas relacionadas y otros servicios

Recibimos datos sobre usted cuando utiliza algunos de los otros servicios proporcionados por nosotros o nuestras filiales, incluido Microsoft. Por ejemplo, puede optar por enviarnos información sobre sus contactos en aplicaciones y servicios de Microsoft, como Outlook, para mejorar las actividades de redes profesionales en nuestros Servicios.

Uso del Servicio

Registramos datos de uso cuando visita o utiliza nuestros Servicios, incluidos nuestros sitios, aplicaciones y tecnología de plataforma, como cuando ve o hace clic en contenido (por ejemplo, video de aprendizaje) o anuncios (dentro o fuera de nuestros sitios y aplicaciones), realiza una búsqueda, instala o actualiza una de nuestras aplicaciones móviles, comparte artículos o solicita empleos. Utilizamos inicios de sesión, cookies, información del dispositivo y direcciones de protocolo de Internet («IP») para identificarlo y registrar su uso.

Cookies y tecnologías similares

Como se describe con más detalle en nuestra Política de cookies, utilizamos cookies y tecnologías similares (por ejemplo, píxeles y etiquetas de anuncios) para recopilar datos (por ejemplo, ID de dispositivo) para reconocerlo a usted y a su(s) dispositivo(s) en, apagado y en diferentes servicios y dispositivos donde ha interactuado con nuestros Servicios. También permitimos que otros utilicen cookies como se describe en nuestra Política de cookies. Si se encuentra fuera de los Países designados, también recopilamos (o confiamos en otros que recopilan) información sobre su dispositivo cuando no ha interactuado con nuestros Servicios (por ejemplo, ID de anuncio, dirección IP, sistema operativo e información del navegador) para que podamos proporcionar a nuestros Miembros anuncios relevantes y comprender mejor su efectividad. Más información. Puede optar por no participar en nuestro uso de datos de cookies y tecnologías similares que rastrean su comportamiento en los sitios de otros para la orientación de anuncios y otros fines relacionados con los anuncios. Para los visitantes, los controles están aquí.

Su dispositivo y ubicación

Cuando visita o abandona nuestros Servicios (incluidos algunos complementos y nuestras cookies o tecnología similar en los sitios de otros), recibimos la URL tanto del sitio del que proviene como del sitio al que va y la hora de su visita. También obtenemos información sobre su red y dispositivo (por ejemplo, dirección IP, servidor proxy, sistema operativo, navegador web y complementos, identificador y características del dispositivo, ID de cookies y / o ISP, o su operador de telefonía móvil). Si utiliza nuestros Servicios desde un dispositivo móvil, ese dispositivo nos enviará datos sobre su ubicación en función de la configuración de su teléfono. Le pediremos que se suscriba antes de usar GPS u otras herramientas para identificar su ubicación precisa.

Mensajes

Recopilamos información sobre usted cuando envía, recibe o interactúa con mensajes en relación con nuestros Servicios. Por ejemplo, si recibe una solicitud de conexión de LinkedIn, rastreamos si ha actuado en consecuencia y le enviaremos recordatorios. También utilizamos tecnología de escaneo automático en los mensajes para apoyar y proteger nuestro sitio. Por ejemplo, utilizamos esta tecnología para sugerir posibles respuestas a los mensajes y para administrar o bloquear contenido que viole nuestro Acuerdo de usuario o las Políticas de la comunidad profesional de nuestros Servicios.

De igual forma, se encontró que el sitio web LinkedIn utiliza de la siguiente manera la información recolectada de los Titulares:

Finalidad                                                            Descripción

Cómo utilizamos sus datos

La forma en que usemos sus datos personales dependerá de los Servicios que utilice, cómo los use y las elecciones que realice en su configuración. Utilizamos los datos que tenemos sobre usted para proporcionar y personalizar nuestros Servicios, incluso con la ayuda de sistemas automatizados e inferencias que hacemos, para que nuestros Servicios (incluidos los anuncios) puedan ser más relevantes y útiles para usted y otros.

Manténgase conectado

Nuestros Servicios le permiten mantenerse en contacto y al día con colegas, socios, clientes y otros contactos profesionales. Para ello, puedes «conectarte» con los profesionales que elijas y que también deseen «conectarte» contigo. Sujeto a su configuración y la de ellos, cuando se conecte con otros Miembros, podrá buscar las conexiones de los demás para intercambiar oportunidades profesionales.

Manténgase informado

Nuestros Servicios le permiten mantenerse informado sobre noticias, eventos e ideas sobre temas profesionales que le interesan y de profesionales que respeta. Nuestros Servicios también le permiten mejorar sus habilidades profesionales o aprender otras nuevas. Utilizamos los datos que tenemos sobre usted (por ejemplo, los datos que proporciona, los datos que recopilamos de su compromiso con nuestros Servicios y las inferencias que hacemos de los datos que tenemos sobre usted), para personalizar nuestros Servicios para usted, como recomendar o clasificar contenido y conversaciones relevantes en nuestros Servicios (…).

Carrera

Nuestros Servicios le permiten explorar carreras, evaluar oportunidades educativas y buscar, y ser encontrado, oportunidades de carrera. Su perfil puede ser encontrado por aquellos que buscan contratar (para un trabajo o una tarea específica) o ser contratado por usted. Utilizaremos sus datos para recomendar trabajos o aprendices, mostrarle a usted y a otros contactos profesionales relevantes (por ejemplo, que trabajan en una empresa, en una industria, función o ubicación o tienen ciertas habilidades y conexiones).

Productividad

Nuestros Servicios le permiten colaborar con colegas, buscar clientes potenciales, clientes, socios y otras personas con las que hacer negocios. Nuestros Servicios le permiten comunicarse con otros Miembros y programar y preparar reuniones con ellos. Si su configuración lo permite, escaneamos los mensajes para proporcionar «bots» o herramientas similares que faciliten tareas como programar reuniones, redactar respuestas, resumir mensajes o recomendar los próximos pasos.

Servicios Premium

Vendemos Servicios premium que brindan a nuestros clientes y suscriptores funciones y herramientas de búsqueda personalizadas (incluidas alertas de mensajería y actividad) como parte de nuestras soluciones de talento, marketing y ventas. Los clientes pueden exportar información limitada de su perfil, como nombre, titular, empresa actual, título actual y ubicación general (por ejemplo, Dublín), como administrar clientes potenciales o talento, a menos que opte por no participar. No proporcionamos información de contacto a los clientes como parte de estos Servicios premium sin su consentimiento. Los clientes de Servicios Premium pueden almacenar información que tienen sobre usted en nuestros Servicios premium, como un currículum vitae o información de contacto o historial de ventas. Los datos almacenados sobre usted por estos clientes están sujetos a las políticas de esos clientes. Otros servicios empresariales y características que utilizan sus datos incluyen TeamLink y Elevate (promoción social de contenido).

Comunicaciones

Nos pondremos en contacto con usted a través de correo electrónico, teléfono móvil, avisos publicados en nuestros sitios web o aplicaciones, mensajes a su bandeja de entrada de LinkedIn y otras formas a través de nuestros Servicios, incluidos mensajes de texto y notificaciones push. Le enviaremos mensajes sobre la disponibilidad de nuestros Servicios, seguridad u otros problemas relacionados con el servicio. También enviamos mensajes sobre cómo usar nuestros Servicios, actualizaciones de red, recordatorios, sugerencias de trabajo y mensajes promocionales de nosotros y nuestros socios. Puede cambiar sus preferencias de comunicación en cualquier momento. Tenga en cuenta que no puede optar por no recibir nuestros mensajes de servicio, incluidos los avisos legales y de seguridad.

Publicidad

Le mostraremos anuncios llamados contenido patrocinado que se parecen al contenido no patrocinado, excepto que están etiquetados como publicidad (por ejemplo, como «anuncio» o «patrocinado»). Si realiza una acción social (como dar me gusta, comentar o compartir) en estos anuncios, su acción se asocia con su nombre y otros pueden verla, incluido el anunciante. Sujeto a su configuración, si realiza una acción social en los Servicios de LinkedIn, esa acción puede mencionarse con anuncios relacionados. Por ejemplo, cuando le gusta una empresa, podemos incluir su nombre y foto cuando se muestra su contenido patrocinado.

De este modo, es claro que LinkedIn tiene realiza tratamiento de datos personales, en calidad de Responsable del tratamiento, calidad que le impone el cumplimiento de las obligaciones que en ese sentido, contempla nuestra Legislación.

VI. La existencia de riesgos para los derechos y libertades de los individuos frente al tratamiento de sus Datos personales.

Los datos personales pueden ser recogidos por diferentes fuentes, entre ellas: formularios, cookies, aplicaciones móviles, sitios web, redes sociales, registros públicos, programas de fidelización de clientes, etc. Todas estas formas de recolección, entre otras, son manifestaciones de:

1) Datos personales suministrados directamente por los titulares,

2) Datos personales recolectado en cumplimiento de un requisito legal,

3) Datos personales recopilados automáticamente con el uso de un servicio o producto (por ejemplo, datos de transacciones, direcciones IP, datos de ubicación), y

4) Datos personales inferidos mediante el Tratamiento y análisis de los datos suministrados por los individuos o recopilados con el uso del servicio o producto. Estos datos, sin lugar a dudas, también son de gran interés para terceros que no han sido autorizados para el Tratamiento de dicha información.

Si un dato personal es conocido, accedido o sustraído por terceros no autorizados, por ejemplo, piratas cibernéticos, se constituye en sí mismo como un riesgo para los derechos y libertades de los individuos, de gravedad y probabilidades variables. Considerando la cantidad y sensibilidad de la información personal que es recolectada en el ciberespacio mediante diversos mecanismos, procesos y tecnologías, la Corte Constitucional en Sentencia C-748 de 2011 subrayó el deber de los Responsables del Tratamiento de reforzar sus medidas de seguridad para proteger la información personal de los Titulares. Lo anterior como resultado de que “el mal manejo de la información puede tener graves efectos negativos, no sólo en términos económicos, sino también en los ámbitos personales y de buen nombre” (15).

VII. Del deber de conservar la información bajo condiciones de seguridad.

La seguridad de la información es una condición crucial del Tratamiento de Datos personales. Recolectada la información, esta debe ser objeto de medidas de diversa índole para evitar situaciones indeseadas que puedan afectar los derechos de los titulares y de los mismos Responsables y Encargados del Tratamiento. El acceso, la consulta y el uso no autorizado o fraudulento, así como la manipulación y pérdida de la información son los principales riesgos, pero no los únicos, que se quieren mitigar a través de medidas de seguridad de naturaleza humana, física, administrativa y/o técnica.

La seguridad de la información ha sido una preocupación del legislador colombiano y la Corte Constitucional. Esta última concluyó que, “debe reiterarse que el manejo de información no pública debe hacerse bajo todas las medidas de seguridad necesarias para garantizar que terceros no autorizados puedan acceder a ella. De lo contrario, tanto el Responsable como el Encargado del Tratamiento serán los responsables de los perjuicios causados al Titular” (16).

Las técnicas para la extracción y obtención de valor de datos públicamente accesibles están en constante evolución. De ahí que, la seguridad de los datos es una responsabilidad dinámica y la vigilancia por parte de todos los actores es fundamental.

La extracción masiva de Datos Personales se realiza normalmente por medios automatizados. Aquella práctica, denominada en inglés como “web scraping”, ha sido identificada por las Autoridades de Protección de Datos Personales como un riesgo para el debido Tratamiento de la información personal. La capacidad de las tecnologías de extracción de datos para recopilar y tratar extensas cantidades de información de individuos en Internet plantea importantes preocupaciones, incluso cuando la información que se está extrayendo sea de acceso público.

Para el efecto, la Superintendencia de Industria y Comercio, en su rol de Autoridad Nacional de Protección de Datos Personales, suscribió una declaración conjunta con otras autoridades de protección de datos sobre esta materia (17). Dentro de las preocupaciones que dicha declaración pone de presente para el debido Tratamiento de Datos Personales, son las siguientes:

1. Ataques cibernéticos dirigidos. Por ejemplo, la información de identidad y contacto extraída que se publica en «foros de piratería» puede ser utilizada por actores maliciosos en ataques de ingeniería social dirigidos o ataques de phishing.

2. Suplantación. Los datos extraídos pueden utilizarse para enviar solicitudes fraudulentas de préstamos o tarjetas de crédito, o para suplantar a la persona creando cuentas falsas en redes sociales.

3. Monitoreo, perfilamiento y vigilancia de individuos. Los datos extraídos pueden utilizarse para generar bases de datos de reconocimiento facial y proporcionar acceso no autorizado a terceros.

4. Marketing directo no deseado. Los datos extraídos pueden incluir información de contacto que se puede utilizar para enviar mensajes de marketing no solicitados a granel.

Ahora bien, dado que ninguna única medida de seguridad protegerá adecuadamente, contra todos los posibles daños a los Titulares asociados con la extracción de datos, los Responsables y Encargados del Tratamiento de aquellas páginas con información de acceso público (redes sociales, plataformas digitales, páginas web, etc.), deben implementar medidas técnicas, humanas y administrativas para mitigar los riesgos. Aquellas medidas pueden incluir, pero no limitarse, a las siguientes:

* Designar un equipo y/o roles específicos dentro de la organización para identificar e implementar controles para proteger contra la extracción de datos, monitorearla y responder a las actividades de extracción.

* Limitar la «velocidad de acceso» a otros perfiles por parte de una cuenta a un número determinado de visitas por hora o día, y limitar el acceso si se detecta actividad inusual.

* Supervisar la rapidez y agresividad con la que una nueva cuenta comienza a buscar otros usuarios. Si se detecta una actividad anormalmente alta, esto podría ser indicativo de un Tratamiento sospechoso.

* Tomar medidas para detectar a los extractores de datos identificando patrones de actividad de «bots5». Por ejemplo, se pueden detectar un grupo de direcciones IP sospechosas al monitorear desde dónde se está accediendo a una plataforma utilizando las mismas credenciales desde múltiples ubicaciones. Esto sería sospechoso si estos accesos ocurren en un corto período de tiempo.

* Tomar medidas para verificar si un extractor de datos es un «bot», por ejemplo, mediante el uso de CAPTCHAs, y bloquear la dirección IP donde se identifica la actividad de extracción de datos.

* Cuando se sospecha y/o confirma la extracción de datos, tomar medidas legales apropiadas, como el envío de cartas de «Cese y Desistimiento», exigir la eliminación de la información extraída, obtener confirmación de la eliminación y tomar otras medidas legales para hacer cumplir los términos y condiciones que prohíben la extracción de datos.

Por su parte, esta Autoridad ha sido enfática en afirmar que, bajo el ordenamiento jurídico de nuestro país, la información personal que es «públicamente disponible», «accesible al público» no es, per se, información «de naturaleza pública«. El hecho de que estén disponibles en internet no significa que cualquier persona puede tratarlos sin autorización previa, expresa e informada del Titular del Dato. Recolectar datos personales privados, semiprivados o sensibles en internet no legitima al recolector para apropiarse de dicha información y hacer lo que quiera con la misma.

Por su parte, la seguridad de los datos personales no se limita a situaciones de infiltración o burla de las medidas de seguridad que han implementado los Responsables y Encargado del Tratamiento. La Ley 1581 de 2012 va más allá porque exige lo siguiente:

“ARTÍCULO 4º. PRINCIPIOS PARA EL TRATAMIENTO DE DATOS PERSONALES. En el desarrollo, interpretación y aplicación de la presente ley, se aplicarán, de manera armónica e integral, los siguientes principios:

(…)

g) Principio de seguridad: La información sujeta a Tratamiento por el Responsable del Tratamiento o Encargado del Tratamiento a que se refiere la presente ley, se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;

(…)

ARTÍCULO 17. DEBERES DE LOS RESPONSABLES DEL TRATAMIENTO. Los Responsables del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la presente ley y en otras que rijan su actividad:

(…)

d) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento;

(…)

ARTÍCULO 18. DEBERES DE LOS ENCARGADOS DEL TRATAMIENTO. Los Encargados del Tratamiento deberán cumplir los siguientes deberes, sin perjuicio de las demás disposiciones previstas en la presente ley y en otras que rijan su actividad:

(…)

b) Conservar la información bajo las condiciones de seguridad necesarias para impedir su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento (…)”.

Nótese que la redacción del principio de seguridad tiene un criterio eminentemente preventivo, lo cual obliga a los Responsables y Encargados del Tratamiento a adoptar medidas apropiadas y efectivas para evitar afectaciones a la seguridad de la información. Es preciso aclarar que la implementación de las medidas de seguridad por parte de los Responsables y Encargados del Tratamiento no está supeditada o condicionada a que exista un daño o perjuicio de los derechos o intereses que se buscan proteger con la Ley 1581 de 2012. El solo hecho de tratar datos personales es suficiente. Una interpretación en sentido contrario no solo iría en contra de la naturaleza preventiva que se deriva expresamente de los textos legales citados, sino que privaría a los colombianos de la capacidad de exigir a los Responsables y Encargados que aseguren un nivel adecuado de protección en relación con sus datos.

VIII. De la facultad que tiene la Superintendencia de Industria y Comercio para emitir órdenes en relación con el debido Tratamiento de Datos Personales.

Ley Estatutaria 1581 de 2012 expresamente faculta a esta entidad para emitir órdenes o impartir las instrucciones que considere necesarias para que el Tratamiento de Datos personales se realice conforme con lo dispuesto en la ley. En el artículo 19 de esta ley, se le otorgó competencia a esta entidad, a través de la Delegatura para la Protección de Datos Personales, para ejercer: “(…) la vigilancia necesaria para garantizar que en el tratamiento [sic] de datos [sic] personales se respeten los principios, derechos, garantías y procedimientos previstos en la presente ley.”

Asimismo, su artículo 21 determina cuáles funciones ejercerá la Superintendencia de Industria y Comercio, en virtud de la competencia conferida por el artículo 19 mencionado:

a. “Velar por el cumplimiento de la legislación en materia de protección de datos [sic] personales;

b. “Adelantar las investigaciones del caso, de oficio o a petición de parte y, como resultado de ellas, ordenar las medidas que sean necesarias para hacer efectivo el derecho de hábeas [sic] data. Para el efecto, siempre que se desconozca el derecho, podrá disponer que se conceda el acceso y suministro de los datos [sic], la rectificación, actualización o supresión de los mismos;

(…)

e. “Impartir instrucciones sobre las medidas y procedimientos necesarios para la adecuación de las operaciones de los Responsables del Tratamiento y Encargados del Tratamiento a las disposiciones previstas en la presente ley;”.

No sobra traer a colación que, el artículo 21 fue declarado exequible por la Corte Constitucional mediante la Sentencia C-748 de 2011, la cual en su numeral 2.20.3, expresa:

“Esta disposición enlista las funciones que ejercerá la nueva Delegatura de protección de datos personales. Al estudiar las funciones a ella asignadas, encuentra esta Sala que todas corresponden y despliegan los estándares internacionales establecidos sobre la autoridad de vigilancia. En efecto, desarrollan las funciones de vigilancia del cumplimiento de la normativa, de investigación y sanción por su incumplimiento, de vigilancia de la transferencia internacional de datos y de promoción de la protección de datos.”.

Así, la ley colombiana faculta a la Superintendencia de Industria y Comercio no solo para emitir órdenes o instrucciones sino para exigir el debido Tratamiento de los Datos personales a compañías como la investigada.

SEXTO: Sin perjuicio de todo lo anterior, destacamos las siguientes CONCLUSIONES:

1. El sitio web de LinkedIn recolecta la siguiente información: “nombre, dirección de e-mail o número móvil (…) información de pago (por ejemplo, la tarjeta de crédito) (…) educación, experiencia laboral, aptitudes, una fotografía”.

2. El sitio web de LinkedIn emplea diversas tecnologías para recolectar y almacenar la información, entre las que se incluyen cookies, balizas web y etiquetas de anuncios.

3. El sitio web de LinkedIn usa “cookies” para recolectar o tratar datos personales en el territorio de la República de Colombia. Por ende, debe cumplir la Ley Estatutaria 1581 de 2012 y sus normas reglamentarias.

En otras palabras, el tratamiento de datos personales que realiza el sitio web de LinkedIn está sujeto a la legislación de la República de Colombia, toda vez que recolecta información de ciudadanos y residentes que se encuentran en el territorio nacional. Así las cosas, la Ley Estatutaria 1581 de 2012 es aplicable al sitio web de LinkedIn porque acopia o captura Datos Personales por medio de cookies que instala en dispositivos móviles y ubicados en la República de Colombia.

4. La seguridad de la información es una condición crucial del tratamiento de datos personales. Una vez recolectados deben ser objeto de medidas de diversa índole para evitar situaciones indeseadas que pueden afectar los derechos de los titulares.

5. LinkedIn ha reconocido algunas fallas de seguridad y ha adoptado medidas para subsanarlas. No obstante, conforme a lo observado en la respuesta al requerimiento obrante en el expediente, aún subsisten algunas falencias. Dado lo anterior, esta Entidad considera necesario emitir órdenes administrativas de carácter preventivo para garantizar el principio y el deber de seguridad.

SÉPTIMO: Una orden administrativa no es una sanción, sino una medida necesaria para la adecuación de las actividades u operaciones de los Responsables del Tratamiento a las disposiciones de la regulación colombiana sobre protección de datos personales. Las sanciones por infringir la Ley Estatutaria 1581 de 2012 -multas, suspensión de actividades, cierre temporal o definitivo- están previstas en el artículo 23 de dicha norma. Allí se puede constatar que las órdenes no son sanciones.

OCTAVO: Que para garantizar el debido tratamiento de los datos de las personas residentes o domiciliadas en la República de Colombia es necesario emitir varias órdenes a las compañías LINKEDIN CORPORATION y LINKEDIN IRELAND UNLIMITED COMPANY.

En mérito de lo expuesto, este Despacho.

RESUELVE

ARTÍCULO 1. ORDENAR a LINKEDIN CORPORATION y LINKEDIN IRELAND UNLIMITED COMPANY, (en adelante LINKEDIN), implementar medidas y procedimientos para la adecuación de sus operaciones en la República de Colombia a las disposiciones de la Ley 1581 de 2012, las cuales deberán contener, como mínimo los siguientes estándares:

1) Mejorar o robustecer las medidas de seguridad que ha implementado a la fecha de expedición de la presente resolución para garantizar la seguridad de los Datos personales, evitando su:

i) acceso no autorizado o fraudulento;

ii) uso no autorizado o fraudulento;

iii) consulta no autorizada o fraudulenta;

iv) adulteración o

v) pérdida.

2) Desarrollar, implementar y mantener un programa integral de seguridad de la información, que garantice la seguridad, confidencialidad e integridad de los Datos personales, evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento. El programa deberá constar por escrito, ser sujeto a pruebas periódicas para evaluar su efectividad e indicadores de cumplimiento y tener en cuenta, como mínimo, lo siguiente: a) Los principios rectores establecidos en la Ley 1581 de 2012 y los deberes que de ellos se derivan;

a) El tamaño y la complejidad de las operaciones de LinkedIn;

b) La naturaleza y el ámbito de las actividades de LinkedIn;

c) La cantidad de Titulares;

d) La naturaleza de los datos personales;

e) El tipo de tratamiento de los Datos personales;

f) El alcance, contexto y fines del Tratamiento;

g) Las actualizaciones o cualquier tipo de modificación de la plataforma de LinkedIn, sus productos cualquier otra forma en que LinkedIn utilice, recopile, comparta o trate los datos recolectados;

h) El acceso a los Datos personales por parte de los empleados, contratistas y en general los colaboradores de LinkedIn;

i) El uso de los Datos personales de los usuarios por terceros, entre ellos, aliados comerciales, empresas asociadas y desarrolladores de aplicaciones, si aplica;

j) El uso innovador o aplicación de nuevas soluciones tecnológicas;

k) Los riesgos internos y externos para la seguridad, confidencialidad y disponibilidad de los Datos personales; y

l) Los riesgos para los derechos y libertades de los Titulares.

3) Desarrollar, implementar y mantener un programa de gestión y manejo de incidentes de seguridad en datos personales, que contemple procedimiento para información sin dilación indebida a esta Superintendencia de Industria y Comercio y a los Titulares de cuando se presenten incidentes que afecten la confidencialidad, integridad y disponibilidad de los datos personales.

4) Desarrollar, implementar y mantener un programa de capacitación y entrenamiento rutinario para sus empleados y contratistas sobre su política de seguridad de la información, su política de gestión de incidentes de seguridad de datos y su Política de Tratamiento de Datos personales (o privacidad).

5) Poner en marcha un sistema de monitoreo permanente para verificar si, en la práctica, sus medidas de seguridad son útiles, suficientes o si están funcionando correctamente. En caso de que ello no sea así, adoptar las medidas necesarias para garantizar la seguridad de la información.

6) LinkedIn deberá efectuar una auditoría independiente, dentro de los cuatro (4) meses siguientes a la ejecutoria del presente acto administrativo, y cada año después de dicha fecha durante los próximos cinco (5) años, certificar a esta entidad que cuenta con las medidas técnicas, humanas, administrativas, contractuales y de cualquier otra naturaleza que sean necesarias para otorgar seguridad a los datos personales evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

ARTÍCULO 2: LinkedIn deberá cumplir lo ordenado en esta resolución dentro de los cuatro (4) meses siguientes a la ejecutoria del presente acto administrativo y acreditar ante la Dirección de Investigaciones de Protección de Datos Personales de la Superintendencia de Industria y Comercio las medidas y procedimientos adoptados dentro de los cinco (5) días siguientes al vencimiento de dicho término.

Parágrafo primero: Para demostrar el cumplimiento, LinkedIn deberá remitir, al finalizar dicho plazo, una certificación emitida por una entidad o empresa, nacional o extranjera, independiente, imparcial, profesional y especializada que acredite que se han implementado las medidas ordenadas por esta Dirección y que estas se encuentran operando con suficiente efectividad para proporcionar el grado de seguridad que exige el principio y deber de seguridad de la Ley Estatutaria 1581 de 2012 respecto de los Datos personales.

Parágrafo segundo: La entidad o empresa que emita el certificado será seleccionada por LinkedIn pero debe ser un tercero cuya gestión esté libre de todo conflicto de interés que le reste independencia y sea ajena a cualquier tipo de subordinación respecto de LinkedIn.

Parágrafo tercero: La entidad o empresa certificadora deberá ser autorizada por la autoridad competente del país de su domicilio, sólo en el caso que la regulación correspondiente exija dicha autorización para poder emitir certificaciones. Si en dicho país no se exige lo anterior, bastará con que aquella sea independiente, imparcial, profesional y especializada en temas de seguridad de la información.

ARTÍCULO 3. NOTIFICAR el contenido de la presente resolución a LinkedIn, informándole que contra el presente acto administrativo procede recurso de reposición ante el Director de Investigación de Protección de Datos Personales y de apelación ante el Superintendente Delegado para la Protección de Datos Personales, dentro de los diez (10) días siguientes a la diligencia de notificación.

ARTÍCULO 4: La Superintendencia de Industria y Comercio se permite recordar que los canales habilitados para que los investigados ejerzan sus derechos, den respuesta a requerimientos, interpongan recursos, entre otros, son:

– Correo Superindustria: [email protected]

– Sede Principal: Carrera 7 No. 31A – 36, Pisos 3 y 3A, en la ciudad de Bogotá, de lunes a viernes de 8:00 a.m. a 4:30 p.m.

NOTIFÍQUESE Y CÚMPLASE

Dada en Bogotá D. C., 15 de noviembre de 2023

El DIRECTOR DE INVESTIGACIÓN DE PROTECCIÓN DE DATOS PERSONALES,

CARLOS ENRIQUE SALAZAR MUÑOZ

————————————————–

(1) De acuerdo con lo informado en la Política de Privacidad de Linkedin, quien actúa como Responsable del tratamiento respecto a la información tratada por fuera de los países que conforman la Unión Europea, Espacio Económico Europeo y Suiza es la sociedad Linkedin Corporation.

(2) “El scraping de datos, de un modo general, se refiere a una técnica en la cual un programa informático extrae datos del resultado generado por otro programa. El scraping de datos se manifiesta normalmente en el scraping web, el proceso de utilizar una aplicación para extraer información valiosa de un sitio web”. Tomado de https://www.cloudflare.com.

(3) Cualquier publicación en internet viaja rápidamente y puede dejar una huella permanente. Es por esta razón que se debe ser cuidadoso con el tipo de información que se comparte en internet, pues los Datos de cada persona tienen valor y pertenecen únicamente a los Titulares de la información.

(4) Constitución Política de Colombia. Artículo 15.

(5) El artículo 15 de la Constitución de la República de Colombia dice, entre otras, lo siguiente: “Todas las personas tienen derecho a (…) conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en los bancos de datos y en archivos de entidades públicas y privadas. En la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías consagradas en la Constitución”.

(6) Cfr. Corte Constitucional. Sentencia C-748 de 2011. Disponible en: http://www.corteconstitucional.gov.co/relatoria/2011/c-748-11.htm

(7) Cfr. Corte Constitucional. Sentencia C-748 de 2011. Consideración 2.4.4.

(8) La AEPD concluyó lo siguiente: “la Agencia Española de Protección de Datos también es competente para decidir sobre el tratamiento llevado a cabo por un responsable no establecido en territorio del Espacio Económico Europeo que ha utilizado en el tratamiento de datos medios situados en territorio español, por lo que debe concluirse, igualmente, que la LOPD es aplicable al presente supuesto y procedente la intervención de la Agencia Española de Protección de Datos, por virtud de lo dispuesto en el artículo 2.1.c) de la LOPD“ (AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS. Resolución R/02892/2013 del 19 de diciembre de 2013. Procedimiento sancionador PS/00345/2013 instruido a las entidades Google Inc. y Google Spain, S.L. Madrid, España).

La parte pertinente de la regulación española – Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal– sobre su ámbito de aplicación dice lo siguiente:

“Artículo 2 Ámbito de aplicación.

1. La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.

Se regirá por la presente Ley Orgánica todo tratamiento de datos de carácter personal:

a) Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento.

b) Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional público.

c) Cuando el responsable del tratamiento no esté establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito. (…)”.

(9) Obtenido de la Política de Cookies alojada en el enlace https://es.Linkedin.com/legal/cookie-policy?

(10) “Dicho reconocimiento genera al mismo tiempo la responsabilidad en cabeza del extranjero de atender cabal y estrictamente el cumplimiento de deberes y obligaciones que la misma normatividad consagra para todos los residentes en el territorio de la República pues, así lo establece, entre otras disposiciones, el artículo 4º. inciso segundo de la Carta (…)”. Corte Constitucional, Sentencia C-1259 de 2001

(11) Corte Constitucional. Sentencia C-1147 del 31 de octubre de 2001. Magistrado Ponente: Dr. Manuel José Cepeda Espinosa

(12) Corte Constitucional. Sentencia C-1147 del 31 de octubre de 2001. Magistrado Ponente: Dr. Manuel José Cepeda Espinosa

(13) De acuerdo con la información alojada en el enlace https://about.linkedin.com/es-es

(14) Obtenido del sitio web: https://www.linkedin.com/legal/privacy-policy?src=direct%2Fnone&veh=direct%2Fnone#data

(15) República de Colombia. Corte Constitucional. Sentencia C-748 del 6 de octubre de 2011. Considerando 2.6.5.2.7

(16) Corte Constitucional. Sentencia C-748 del 6 de octubre de 2011.

(17) El documento oficial se encuentra disponible para su visualización en el enlace https://ico.org.uk/media/about-the-ico/documents/4026232/joint-statement-data-scraping-202308.pdf

10Sep/15

Análisis de la Reforma del Régimen Sancionador de la LOPD

Además de la famosa «Ley Sinde», la Ley de Economía Sostenible trajo consigo una esperada reforma del régimen sancionador de la Ley Orgánica de Protección de Datos.

A día de hoy se han realizado muchas comparativas entre el antiguo régimen sancionador y el nuevo, pero habiendo pasado unos meses de aplicación práctica, considero oportuno partir de cero y analizar el nuevo régimen sancionador de forma íntegra:

¿Quiénes pueden ser multados?

Según el artículo 43 de la LOPD, están sujetos al régimen sancionador de la LOPD:

  • Los Responsables de los ficheros; es decir, aquellas entidades que tratan datos personales de forma directa, por ejemplo, de sus empleados o de sus clientes.
  • Los Encargados del tratamiento; es decir, aquellas entidades que tratan datos personales por encargo del Responsable, por ejemplo, la gestoría que hace las nóminas de los empleados del Responsable, o el callcenter que atiende las llamadas de los clientes del Responsable.

¿Y qué sucede con las administraciones públicas?

(empresas públicas, ayuntamientos, etc.). No reciben multas, ya que las pagaríamos los ciudadanos de forma indirecta, pero la agencia de protección de datos que corresponda deberá dictar una resolución exigiendo las medidas que deben adaptarse para solucionar la infracción, y con la posibilidad de abrir un procedimiento disciplinario dentro de la propia administración pública. En principio, esto debería evitar casos tan graves como aquel protagonizado por la DGT y su sistema de consulta de puntos.

¿Y se puede multar a un ciudadano?

Mientras los ciudadanos traten datos dentro de su esfera personal o familiar, no. Cualquier otro tratamiento o recogida de datos personales, será potencialmente sancionable.

Como curiosidad, cabe destacar que el artículo 43 de la LOPD no menciona la figura del Responsable del Tratamiento, identificada a lo largo de toda la Ley como sinónimo del Responsable del Fichero. Sin embargo, la Agencia Española de Protección de Datos, la Audiencia Nacional y el Tribunal Supremo entienden el Responsable del Tratamiento como una figura independiente. Esto supone que en caso de recibir una denuncia como Responsable del Tratamiento, podría alegarse que la LOPD no reconoce tal figura dentro de su régimen sancionador (aunque es probable que la AEPD hiciese caso omiso de tal contradicción).

¿Qué actividades pueden ser multadas?

El artículo 44 de la LOPD diferencia 3 grados de infracción: leve, grave y muy grave.

Son infracciones leves:

  • No inscribir o no tener correctamente inscritos los ficheros en el Registro General de Protección de Datos. Una gran cantidad de ficheros inscritos en el RGPD tienen defectos o campos sin rellenar que actualmente son obligatorios.
  • No poner la cláusula informativa LOPD en todas las vías de entrada de datos personales. Sólo se apreciará esta infracción en los casos en que no sea necesario el consentimiento inequívoco, ya que en los supuestos en los que sí es necesario, la infracción será grave o, en su caso, muy grave.
  • No tener un contrato con el Encargado del tratamiento con las cláusulas exigidas por la Ley.

Son infracciones graves:

  • Incumplir el Principio de Calidad del artículo 4 de la LOPD que, en suma, significa que los datos tienen que ser correctos y actualizados, y deben ser utilizados para la finalidad para la cual se recogieron.
  • Tratar o ceder datos sin consentimiento inequívoco del afectado cuando éste sea necesario (salvo que sean datos especialmente protegidos)
  • Vulnerar el deber de secreto con respecto a los datos personales, como por ejemplo, publicarlos en Internet sin consentimiento.
  • Impedir o poner trabas al ejercicio de los derechos reconocidos por la LOPD (acceso, rectificación, cancelación y oposición).
  • No implantar correctamente las medidas de seguridad
  • No hacer caso de los requerimientos de la AEPD u obstruir su función inspectora

Finalmente, son infracciones muy graves:

  • Tratar datos de forma engañosa o fraudulenta.
  • Tratar o ceder datos especialmente protegidos sin el consentimiento necesario.
  • No cesar en el tratamiento de los datos cuando la AEPD haya declarado ilícito tal tratamiento.
  • Efectuar transferencias internacionales de datos sin cumplir con las obligaciones de la LOPD.

Mi empresa cometió una infracción hace años cuando no sabíamos nada de esta Ley. ¿Me pueden multar?

Las infracciones tienen un plazo de prescripción: 1 año para las leves, 2 para las graves y 3 para las muy graves (siempre desde la fecha de comisión de la infracción). Superado este plazo, no se pueden sancionar.

Y ¿a cuánto pueden ascender las multas?

En principio, el importe de las multas debe seguir el siguiente baremo:

  • Infracciones leves: 900 euros – 40.000 euros
  • Infracciones graves: 40.000 euros – 300.000 euros
  • Infracciones muy graves: 300.000 euros – 600.000 euros

Pero mi empresa cometió una infracción grave por accidente, ¿me van a multar con 40.000 euros o con 300.000 euros?

La AEPD puede apreciar algunas circunstancias atenuantes o agravantes a la hora de graduar una sanción:

  • El carácter continuado de la infracción.
  • El volumen de los tratamientos efectuados.
  • La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.
  • El volumen de negocio o actividad del infractor.
  • Los beneficios obtenidos como consecuencia de la comisión de la infracción.
  • El grado de intencionalidad.
  • La reincidencia por comisión de infracciones de la misma naturaleza.
  • La naturaleza de los perjuicios causados a las personas interesadas o a terceras personas.
  • La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de los datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor.

Pero los 40.000 como mínimo, no me los quita nadie, ¿no?

La AEPD podrá rebajar la multa un escalón (multar como leve una infracción grave, o como grave una infracción muy grave), en los siguientes casos:

  • Cuando concurran varias circunstancias atenuantes de las expuestas.
  • Cuando se haya corregido el defecto que dio origen a la infracción.
  • Cuando se aprecie mala fe por parte del denunciante, provocando la infracción.
  • Cuando el infractor reconozca espontáneamente su culpabilidad.
  • Cuando se haya producido un proceso de fusión por absorción y la infracción fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente (esto quiere decir que, en la compra de una empresa, podríamos ser multados por las infracciones anteriores de la empresa, por lo que es recomendable prever un régimen de responsabilidades muy fino en el contrato que regule tal operación).

Además, excepcionalmente, la AEPD podrá aplicar la figura del Apercibimiento. En tal caso, en lugar de abrir procedimiento sancionador, la AEPD exigiría la subsanación de la infracción en un plazo máximo. En caso de subsanarse correctamente, se archivaría el expediente.

Para ello, tienen que concurrir las siguientes circunstancias:

  • Que sea una infracción leve o grave (las muy graves no podrán disfrutar de tal posibilidad).
  • Que la empresa no haya sido multada previamente en materia de Protección de Datos.

Sin duda, lo mejor que puede hacer una empresa es implantar procedimientos para evitar que se comentan infracciones, pero nadie está libre de cometer errores y accidentes, y en esos casos, actuar de buena fe, reconocer el error, y corregirlo de forma diligente, puede ser la diferencia entre tener que cerrar la empresa o disponer de una segunda oportunidad.

 

Áudea Seguridad de la Información

José Carlos Moratilla
Consultor Legal
www.audea.com

10Sep/15

Plataforma E-learning de Áudea

Os presentamos la nueva Plataforma E-learning de Áudea, creada a partir de dos sistemas de gestión de distribución libre MOODLE y SCORM, que también se conocen como LMS (Learning Management System).

La modalidad online nos ofrece una formación de alto nivel, accesible, cómoda, económica y flexible, y nos permite disponer al instante de todos los materiales necesarios para completar la formación.

La libertad de horarios que nos ofrece esta modalidad permite la deslocalización y además facilita la interacción tanto profesor-alumno como de los alumnos entre sí, permitiendo además la posibilidad de realizar simulaciones virtuales en entornos controlados y facilitar la posibilidad de mantener actualizados los contenidos.

Los cursos que disponemos actualmente son los siguientes:

  • Curso de Sensibilización LOPD
  • Curso de Sensibilización de Seguridad de la Información
  • Curso de Concienciación sobre el uso de Datos Personales
  • Curso de Experto en Protección de Datos
  • Curso de Sistema de Gestión de Seguridad de la Información – ISO/IEC 27001

Damos la posibilidad de ver un curso demostración para que pueda navegar a través de nuestro entorno y conocer su funcionalidad. Solicite usuario y contraseña en [email protected]

Accede a la plataforma y comienza a formarte con nosotros!

 

Áudea Seguridad de la Información
Departamento de Marketing
www.audea.com

01Ene/15

Save Harbor vs LOPD

Safe Harbor vs LOPD

La Directiva de la Comisión Europea sobre protección de datos entró en vigor en octubre de 1998, y prohíbe la transferencia de datos de carácter personal a países no pertenecientes a la Unión Europea, que no cumplen con la adecuación estándar de protección de datos dentro de la Unión Europea.

Cualquier entidad estadounidense que quiera ser receptora de transferencias internacionales de datos de carácter personal procedentes de la Unión Europea, tienen que adherirse al acuerdo Safe Harbor (Puerto Seguro). Por lo que, si una organización está adherida a dicho acuerdo, se considera que cumple con los principios de privacidad necesarios, y el destino es «confiable».

Desde los inicios, este acuerdo ha recibido multitud de críticas en cuanto a lo sencillo que resulta obtener el certificado y las pocas garantías que éste ofrece: para obtenerlo basta con abonar las tasas correspondientes y hacer una declaración en la cual se compromete a cumplir con 7 principios de privacidad:

Notice: Deber de información (o notificación). Las entidades adheridas a Safe Harbor deben informar a los interesados de las finalidades para las cuales han sido recabados sus datos y sobre la forma en que se utilizarán.

  • Choice: El principio del  principio del consentimiento del afectado. Corresponde al interesado o afectado el poder decidir acerca de la recogida y la transferencia de sus datos de carácter personal a terceros.
  • Transfers to Third Parties: Sólo será posible la transferencia de datos cuando las entidades o países destinatarios estén suscritos al acuerdo Safe Harbor o sean países miembros de la Unión Europea.
  • Access: Las personas deben ser capaces de acceder a la información y corregirla o eliminarla si no es exacta, a efectos de poder ejercitar los derechos ARCO.
  • Security: El principio de seguridad de los datos: «adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado».
  • Data Integrity: El principio de calidad de los datos. Los datos deben ser fiables y consecuentes con el propósito para el que fueron recopilados.
  • Enforcement: Este principio se refiere a la concreta aplicación o ejecución de todo lo que conlleva Safe Harbour. Es un principio controvertido por su ambigüedad, que dispone que para garantizar el cumplimiento de los postulados de Safe Harbor, deben articularse mecanismos independientes de resolución de conflictos y de verificación del cumplimiento de los principios Safe Harbor, con potestad para sancionar, en su caso.

Una de las graves deficiencias de dicho acuerdo, es que la verificación del cumplimiento, la realizan las propias entidades sin un control externo, en España, estas competencias son asumidas por la Agencia Española de Protección de Datos. Esto, unido a la libre interpretación de los principios, hace que el nivel de protección o acceso aplicado a la información pueda ser insuficiente.

A parte, otros estudios sobre Safe Harbor han dado como resultado un escandaloso descontrol en cuanto a las empresas adheridas a este marco: listado desfasado de empresas (donde aparecen entidades que ya no existen o que han quedado fuera de Safe Harbor), empresas incluidas en la relación de entidades adheridas pero que carecen de política de privacidad y, lo más preocupante, la mayoría de empresas adheridas no cumplía con el séptimo principio (o lo hacían impracticable), relativo al mecanismo de resolución de controversias.

01Ene/15

El 95% de las PYME incumplen la Ley de Protección de Datos

El 95% de las PYME incumplen la Ley de Protección de Datos

El 95 por ciento de las pymes incumplen la Ley de Protección de Datos, según un reciente estudio realizado por la Asociación Profesional de la Privacidad de Castilla-la Mancha entre las doscientas empresas ubicadas en el polígono Campollano (Albacete).

Este porcentaje ha sido el resultado de un estudio llevado a cabo por la Asociación Profesional de la Privacidad de Castilla-la Mancha, tras examinar a doscientas empresas ubicadas en el polígono Campollano (Albacete).

Añade el citado estudio que «el 70 por ciento de esas infracciones están catalogadas en la ley como graves o muy graves», lo que llevaría aparejadas sanciones entre los 40.001 a los 600.000 euros.

La experta en Protección de Datos de IMAdvisory, Paola Redecilla, ha manifestado que estos datos indican que no existe en España una cultura de protección de datos, y que el resultado de este estudio «es perfectamente extrapolable al conjunto del tejido empresarial español», lo que a su juicio supone un grave riesgo para las empresas, que «pueden llevarlas incluso a la quiebra». En este punto es necesario advertir que merced a la modificación del procedimiento sancionador de la LOPD operada por la Ley de Economía Sostenible, la Agencia Española de Protección de Datos ha flexibilizado las sanciones, incluyendo la figura del apercibimiento, y contemplando la posibilidad de graduar las penas en función del poder económicos de las empresas.

Se hace constar en el estudio que los errores más comunes tienen que ver con la documentación que requiere el Documento de Seguridad, debido a la falta de actualización de los mismos, que lo convierte en papel mojado: «No ha habido una auditoría permanente y se aplica una regulación ya derogada», por lo que «recomendamos siempre a nuestros clientes que hagan auditorías periódicas que les aseguren estar al día en una regulación cambiante»

También se observan déficits en los compromisos de confidencialidad de los trabajadores, que «en el 85 % de las empresas no se encuentran firmados y debidamente guardados», así como en los contratos con prestadores de servicios con acceso a datos, que en el 70 % de las empresas examinadas no se han firmado. Peor es la situación relacionada con los sitios web de estas empresas, donde el 90 % de las mismas carecen de aviso legal y/o política de privacidad.

Fuente: Diario Qué

01Ene/15

La formación como fundamento del Cumplimiento LOPD

La formación como fundamento del Cumplimiento LOPD

Creo que a estas alturas no es necesario convencer a nadie de la importancia que tiene el respeto y cuidado a la hora de tratar datos personales de terceros. Todos conocemos los riesgos tanto económicos como de imagen que puede ocasionar ser sancionado o salir en la prensa por haber perdido, publicado o lo que sea, información de nuestros clientes.

Además esta vez no voy a centrar el discurso en cuestiones concretas como el cumplimiento de ciertas medidas de seguridad o el respeto escrupuloso de lo que marca la Ley. No, esta vez quiero centrar el foco de atención en aquellos que son los que tratan de verdad y día a día los datos personales y por lo tanto aquellos sobre los que descansa la responsabilidad de respetar y cumplir la legislación, los empleados.

Quiero empezar diciendo que una persona que no ha recibido formación legal no tiene porque conocer en profundidad las leyes, incluso un abogado es muy posible que tenga su especialidad y tenga sus lagunas en otras ramas del derecho. Pues bien, dicho esto creo que es normal pensar que el empleado medio de una empresa no tiene ni la más remota idea de las exigencias de la legislación en cuanto a protección de datos.

Y es aquí donde quería llegar, a unir dos conceptos fundamentales, que el cumplimiento depende del empleado pero que este no tiene porque saber como conseguir ese cumplimiento. Creo que la idea que quiero expresar puede empezar a vislumbrarse, si alguien es encargado de hacer algo pero no sabe como hacerlo… el principal interesado (la empresa) tendrá que poner los medios para enseñarle y formarle.

Y ahora sí, ahora sí aparece la figura de la empresa o responsable del fichero, el responsable de conseguir que sus empleados tengan los conocimientos y la concienciación necesaria sobre temas que afectan a la empresa de forma tan directa. Al igual que la empresa demanda la excelencia en sus empleados, también debe formarla, buscarla e invertir en ella.

Este es un pequeño alegato a favor de los empleados y requiriendo a las empresas una mayor implicación en la formación, sobre todo cuando es la propia empresa la que se juega tanto.

 

01Ene/15

Utilización de datos de los administradores de las empresas deudoras

Utilización de datos de los administradores de las empresas deudoras con el fin de interponer las demandas ante los Tribunales.

Vivimos en los tiempos de una crisis económica profunda y cada vez más empresas engrosan las listas de morosos por no hacer frente a sus deudas. Pero también, resulta muy difícil la situación de algunos acreedores ya que al no cobrar a tiempo por sus servicios, su futuro se ve comprometido, por no hablar de pequeños empresarios cuyas obligaciones frente a los proveedores o incluso su propio personal se pueden ver muy mermadas.

Las empresas morosas para evitar las posibles demandas por el impago de las deudas, realizan todo tipo de picarescas, como por ejemplo cambiar de su domicilio sin que se informe de ello a los acreedores o quede constancia pública en el Registro Mercantil, de modo que resulta muy difícil interponer correctamente la demanda ante el juzgado del partido judicial del demandado.

¿Cómo proceder ante este tipo de actuaciones? ¿Para determinar el domicilio pertinente de la empresa, se podría utilizar la dirección particular de sus administradores con el fin de interponer las demandas ante el tribunal adecuado sin vulnerar los preceptos de la normativa de protección de datos?

Estas son algunas de las preguntas que se hacen los desesperados acreedores intentando recuperar su dinero.

Respecto de la utilización de los datos personales la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) indica en su artículo 4.2 que los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos.

Para determinar la finalidad con la que se podrán tratar los datos de los administradores y en su caso utilizarlos con el fin de interponer las demandas contra las empresas que ellos administran, tenemos que averiguar que dicen al respecto otras normas legales.

Y así la Ley de Sociedades de Responsabilidad Limitada en su artículo 7 establece que «la sociedad de responsabilidad limitada fijará su domicilio dentro del territorio español en el lugar en que se halle el centro de su efectiva administración y dirección, o en que radique su principal establecimiento o explotación» y que «en caso de discordancia entre el domicilio que conste en el Registro y el que correspondería conforme al apartado anterior, los terceros podrán considerar como domicilio cualquiera de ellos.»

De acuerdo con este artículo, si la empresa no tuviera ninguna dirección conocida y fuese administrada por un administrador único se podría interpretar que el centro de su efectiva administración es el domicilio particular, salvo prueba en contrario.

A la hora de interponer la demanda, para poder elegir entre el domicilio oficial de la empresa, o el que aparece en cualquiera de los registros de carácter público, o domicilio particular del administrador, debemos también tener en cuenta lo que dice la Ley de Enjuiciamiento Civil.

En el artículo 152.2 establece que «el demandante designará, como domicilio del demandado, a efectos del primer emplazamiento o citación de éste, uno o varios de los lugares a que se refiere el apartado siguiente de este artículo… Además, el demandante deberá indicar cuantos datos conozca del demandado y que puedan ser de utilidad para la localización de éste, como números de teléfono, de fax o similares…».

El mismo artículo en su siguiente apartado dice que «A efectos de actos de comunicación, podrá designarse como domicilio el que aparezca en el padrón municipal o el que conste oficialmente a otros efectos, así como el que aparezca en Registro oficial o en publicaciones de Colegios profesionales, cuando se tratare, respectivamente, de empresas y otras entidades o de personas que ejerzan profesión para la que deban colegiarse obligatoriamente. También podrá designarse como domicilio, a los referidos efectos, el lugar en que se desarrolle actividad profesional o laboral no ocasional.»

Es decir, incluso si se conociera la dirección exacta de la empresa pero el empresario utilizase su domicilio particular para ejercer o desarrollar su actividad profesional, éste sería igualmente válido a efectos de las notificaciones.

Asimismo añade que si la demanda se dirigiese a una persona jurídica, podrá igualmente señalarse el domicilio de cualquiera que aparezca como administrador, gerente o apoderado de la empresa mercantil, o presidente, miembro o gestor de la Junta de cualquier asociación que apareciese en un Registro oficial.

Por lo que parece bastante claro que en su caso podríamos dirigir la demanda al Juzgado propio del domicilio del administrador o apoderado de cualquier empresa inscrita en el Registro Mercantil.

En este sentido podemos concluir que no se vulneraría el principio de calidad de la LOPD puesto que los datos de los administradores entre otras deben servir de garantía a la hora de determinar la sede o el centro de la efectiva administración de la empresa.

01Ene/15

La subcontratación en la LOPD

La subcontratación en la LOPD

La posibilidad de subcontratación de servicios que implican un acceso a datos por parte de terceros esta regulada en el artículo 21 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, en su Titulo III referente al encargado de tratamiento.

La subcontratación para la prestación de servicios es algo que según la actividad puede llegar a ser algo bastante normal, por lo que vamos a resumir de una forma sencilla lo que supone y sus características fundamentales.

El primer punto a tratar son los sujetos que intervienen. Como sabemos la LOPD a la hora de las prestaciones de servicios que impliquen un acceso a datos identifica dos partes, el responsable del fichero y el encargado del tratamiento. Pues bien, a la hora de la subcontratación, ¿esa tercera empresa que aparece en la ecuación que figura asume? La LOPD deja claro que la empresa subcontratada asumirá la figura de encargado del tratamiento, con todas las obligaciones y deberes de esta figura, y es que la empresa que subcontrata no lo hace como encargado del tratamiento del responsable sino que lo hace en nombre y por cuenta de este. Por lo tanto en esta situación podríamos hablar de la existencia de un responsable del fichero y dos encargados de tratamiento sobre la misma situación o servicio prestado.

La siguiente pregunta que puede surgir es cuando se puede subcontratar, o si con la voluntad del encargado del tratamiento es suficiente para hacerlo. Para la subcontratación del servicio entre el responsable y el encargado es condición obligatoria contar con el consentimiento expreso del responsable del fichero, ya sea en el momento de la contratación del servicio o a posteriori pero siempre antes de proceder a la subcontratación.

Una vez se tiene la autorización del responsable, el último paso es regularizar la situación entre el encargado del tratamiento y la empresa subcontratada. Aquí la legislación nos remite a lo ya establecido para los contratos entre responsables de fichero y encargados de tratamiento para regular los accesos a datos para la prestación de un servicio, es decir, al contrato del artículo 12 de la LOPD.

En definitiva, la LOPD regula la subcontratación de forma muy parecida a como lo hace cuando simplemente se trata de una relación entre el responsable del fichero y el encargado del tratamiento, no reconociendo al subcontratista como una figura nueva y asignándole la misma personalidad y obligaciones que un encargado del tratamiento.

 

01Ene/15

Cuando Internet entra por la puerta, la LOPD sale por la ventana

Cuando Internet entra por la puerta, la LOPD sale por la ventana

Nadie duda de las bondades de Internet, ni del ahorro de costes que supone pasarlo todo a digital… pero tampoco podemos olvidar que el ciudadano tiene unos derechos fundamentales garantizados constitucionalmente, ni que existen unas leyes que protegen dichos derechos a base de imponer cuantiosas multas.

Aún a riesgo de resultar repetitivos o de parecer demasiado conservadores (ya hemos hablado en otras ocasiones sobre el Derecho al Olvido en relación con el periodismo digital y con los boletines y diarios oficiales digitales), debemos decir que la experiencia obtenida a través de nuestros clientes, continúa revelándonos nuevos aspectos de la transición al mundo digital que chocan frontalmente con la protección de datos personales.

Hoy le toca el turno a la notificación de los accidentes de trabajo a través del Sistema Delta del Ministerio de Trabajo (o mejor dicho, de Empleo y Seguridad Social).

Pasando por encima de la complicación que supone aplicarle las medidas de seguridad de Nivel Alto al dichoso parte de accidente cuando, sin embargo, un parte de baja por enfermedad común sólo requiere el nivel básico (este tema también lo tratamos anteriormente), el procedimiento establecido por Delta, entraña un riesgo para la protección de datos mucho menos evidente.

El proceso más habitual es el siguiente:

  • Un trabajador, con más sueño que devoción, tiene un accidente de coche mientras se dirigía al trabajo por la mañana.
  • Resultado de dicho accidente, el trabajador detecta (o incluso se inventa) un dolor en el cuello, por lo que se dirige a su mutua a ver si consigue que le den la baja por AT.
  • Del análisis de dicha dolencia, se genera un registro del accidente que la mutua comunica a la empresa para que rellene el correspondiente parte Delta (si lleva descripción de la lesión sufrida, ya tenemos esos indeseables datos de salud en nuestra empresa).
  • El departamento de Recursos Humanos, o la gestoría, o quizá el Departamento de Prevención de Riesgos Laborales recibe esta notificación y, tras recabar la información necesaria, cumplimenta el tedioso parte Delta.
  • …Disculpen… corrijo el punto anterior: En realidad, UNA PERSONA FÍSICA del departamento de Recursos Humanos, o de la gestoría, o del Departamento de Prevención de Riesgos Laborales, cumplimenta el tedioso parte Delta.
  • Para ello, únicamente se necesita un «certificado digital de persona física», que en la mayoría de los casos, es el certificado digital de la FNMT.

Además, entre las funcionalidades del Sistema Delta, aparte de registrar nuevos partes, está la consulta de los partes notificados anteriormente.

Por favor, tómense un minuto de reflexión antes de seguir leyendo… ¿Ya? Bien. ¿Y cuál es el problema?

Pues básicamente, que es la persona física quien notifica o consulta los partes de accidente, no la empresa. Desde el punto de vista de protección de datos, esto puede implicar varias cosas:

  • La más preocupante es que cuando esta persona abandona la empresa, puede seguir consultando y descargándose los partes Delta que ha notificado anteriormentey lo que es peor, parece posible que también siga teniendo capacidad de notificar un nuevo parte Delta.
  • Otras consecuencias menos probables, pasarían por considerar a la persona física como Responsable del Fichero, puesto que es la única que tiene capacidad de disposición sobre la información notificada a través del Delta (debiendo cumplir con la obligación de inscribir un fichero en la AEPD, informar a los afectados, obtener su consentimiento expreso pues es un dato de salud, elaborar un documento de seguridad, etc.). Tranquilidad, que ya digo que este enfoque no me parece realista ni adecuado, pues normalmente se trata de un trabajador por cuenta ajena que sólo hace lo que le dicen sus jefes.

Por esta desconcertante situación, se planteó la siguiente consulta por email al Sistema Delta:

» Estimados señores,

(bla, bla, bla)

¿Para notificar un accidente de trabajo en una empresa es necesario disponer de algún tipo de autorización específica o basta con tener un certificado digital?

En cualquiera de los 2 casos, ¿existe alguna forma para rescindir los permisos de acceso a los partes notificados anteriormente por la persona con su certificado digital cuando ésta abandona la empresa? ¿y de impedir que notifique futuros accidentes?

Para evitar el uso de certificados personales, se ha valorado la posibilidad de utilizar certificados de persona jurídica; no obstante, nos indican desde la FNMT que ellos no pueden limitar ni restringir de ninguna forma el uso de dichos certificados (y por motivos obvios, sería interesante limitar dicho uso exclusivamente a la notificación de accidentes de trabajo).

¿El Sistema Delta ofrece alguna posibilidad de obtención de certificado exclusivo para la interacción con Delta, como es el caso del certificado Silcon del Sistema RED de la Seguridad Social?

Y en tal caso ¿existe algún procedimiento de revocación de personas autorizadas a utilizar ese certificado cuando abandonan la empresa o cuando cambien sus funciones?

Agradezco de antemano su pronta respuesta.

Reciban un cordial saludo.«

 

Sorprendentemente, la respuesta no se hizo esperar más de 10 minutos:

» Habiendo recibido y analizado su consulta, pasamos a indicarles la solución que creemos más acertada.

En Delta se registran personas físicas y no empresas. Los partes tramitados únicamente pueden ser visualizados a través de la aplicación por aquellas personas que lo tramitaron. Solo puede darse de baja de la aplicación la propia persona que esta registrada como representante de empresa. Únicamente pueden revocar las firmas digitales los propietarios de las mismas y no hay ninguna manera de evitar que estas personas no tramiten más partes. Una opción sería tramitar todos los partes de la misma empresa con una única firma digital.

Esperamos haber contribuido a solucionar su problema. De no ser así, rogamos vuelvan a contactar con nosotros, mediante un nuevo correo o llamando al 902 88 77 65 (Centro de Atención a Usuarios de aplicaciones externas del MEYSS).

Saludos cordiales,»

Sin entrar a valorar la sugerencia de que varias personas utilicen una única firma digital personal, se confirman nuestros temores. Básicamente, no hay forma de impedir que una persona que ha notificado un parte Delta con un certificado de la FNMT siga accediendo a este parte aún después de finalizar su relación con la empresa.

Sin embargo, el artículo 91 del Reglamento de Desarrollo de la LOPD, exige lo siguiente:

«1. Los usuarios tendrán acceso únicamente a aquellos recursos que precisen para el desarrollo de sus funciones.

2. El responsable del fichero se encargará de que exista una relación actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos.

3. El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados.»

Y su incumplimiento, es una infracción grave de la normativa de protección de datos, con sanciones entre 40.000 y 300.000 euros.

Es decir, que por cumplir con nuestras obligaciones (cumplimentar el parte Delta) con las herramientas que la Administración pone a nuestra disposición (certificado digital FNMT), nos arriesgamos a recibir una fuerte sanción.

¿Soluciones?

  • La más lógica sería que la AEPD tomase cartas en el asunto y forzase al Sistema Delta a implantar un procedimiento que no tenga este agujero. No obstante, después de ver la falta de pudor en algunas administraciones públicas a la hora de reconocer que no les importa la protección de datos, yo no depositaría grandes esperanzas en esta solución.
  • Otra opción más práctica y segura, es recurrir a un certificado digital de una entidad privada (cualquiera de las aceptadas por Delta servirían) que ofrezca un «Certificado corporativo de persona física», que es un certificado reconocido de persona física que identifica al suscriptor como vinculado a una determinada organización, ya sea como empleado, asociado, colaborador, cliente o proveedor. La empresa podrá revocar este certificado cuando la persona deje la organización. Lo malo es que hay que acordarse de revocarlo (algo que, en la práctica puede quedar en tierra de nadie aunque esté procedimentado por escrito), y que perdemos el acceso a los partes que conserva el Sistema Delta y que haya tramitado esta persona (lo que nos fuerza a quedarnos con una información a la que tenemos que aplicar el nivel alto de seguridad).

En fin, lo dicho: cuando Internet entra por la puerta, la LOPD sale por la ventana… y las empresas se quedan perplejos sin saber a quién tenerle más miedo.

01Ene/15

Deficiencias en el tratamiento de datos personales en el sector sanitario público español

Deficiencias en el tratamiento de datos personales en el sector sanitario público español

El sistema sanitario público sigue sin implantar las medidas de seguridad suficientes a pesar de las inspecciones que la Agencia Española de Protección de Datos (en adelante AEPD) está llevando a cabo periódicamente en este sector. Recientemente la AEPD ha emitido una resolución en la que pone de manifiesto que la Consejería de Sanidad de Castilla y León cometió dos infracciones de carácter grave al incumplir el deber de secreto y no impedir de forma efectiva el acceso de terceros no autorizados a datos de otros ciudadanos en la Página Web oficial de la Consejería. Estos hechos han supuesto la vulneración grave de las disposiciones de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal de 13 de diciembre, (en adelante LOPD) y su normativa de desarrollo (concretamente los artículos 9 y 10 de la LOPD). En este sentido se ha podido demostrar que accediendo a la Website de la Consejería, cualquier internauta podía sin grandes dificultades entrar también a datos de otros usuarios registrados en la página.

La situación es en tanto preocupante, que los organismos del sector sanitario por su naturaleza pueden tratar datos de salud, tipificados por la normativa de protección de datos como especialmente protegidos y por consiguiente requieren la adopción de unas estrictas medidas de seguridad.

En este caso concreto al cambiar el número de reclamación se podía ver las reclamaciones presentadas por otros usuarios con sus datos identificativos y los relativos a su salud.

La Dirección General de Planificación, Calidad y Ordenación ignoró en primera instancia la notificación realizada por un ciudadano que había denunciado estos hechos ante este órgano. Y sólo tras la actuación de la AEPD realizó los necesarios cambios para blindar sus sistemas de seguridad e impedir accesos no autorizados.

Debido a que la AEPD consideró que se ha tomado finalmente las medias para subsanar la incidencia, se ha decidido no instar otras medidas.

No obstante hay que tener en cuenta que las infracciones de este tipo cometidas por una empresa del sector sanitario privado le podrían suponer una sanción gravada de 300.000 a 6000.000 euros.

A pesar de tratarse de datos tan sensibles como los de salud, los incumplimientos en la custodia de la información en el sector sanitario desgraciadamente son una realidad bastante común. El estudio realizado por la AEPD en los hospitales españoles en el año 2010 ya reveló una situación preocupante y serias carencias en el tratamiento de la información médica por los hospitales públicos.

Cabe destacar que el número de denuncias ha aumentado considerablemente en los últimos años y las principales quejas expuestas por los denunciantes están relacionadas con la difusión indebida de la información personal de especial protección y su almacenamiento sin las adecuadas medidas de seguridad.

01Ene/15

El apercibimiento en la LOPD

El apercibimiento en la LOPD

La Agencia Española de Protección de datos ya está aplicando la figura del apercibimiento regulada en el artículo 45.6 de la LOPD.

Esta figura fue introducida por la Ley 3/2011, de Economía Sostenible que modificó el régimen sancionador de la Ley de Protección de Datos. Faculta a la Agencia, en casos excepcionales, para no abrir procedimiento sancionador frente al infractor y en su lugar apercibirle, entiéndase como hacerle un reproche, por los incumplimientos leves o graves que el infractor hubiese cometido, obligándole a adoptar las medidas correctoras que se estimen convenientes para restituir la situación inicial, en el plazo indicado por la Agencia, y que no se vuelva a producir el incumplimiento de la Ley por los mismos motivos.

Si no se restituyese la situación en el plazo indicado, la Agencia continuaría con la apertura del procedimiento sancionador.

Para la aplicación de esta nueva figura se exigen unos requisitos previos o principales, que son que el infractor no fuese sancionado o apercibido con anterioridad y que los hechos fuesen constitutivos como infracción leve o grave según la propia Ley; y unos requisitos accesorios, que no por ello menos importantes, regulados en el art. 45.4 y 45.5 de la misma Ley como pudieran ser el reconocimiento de la responsabilidad, la intencionalidad, volumen de negocio, beneficios obtenidos, regularización de la situación irregular de forma diligente…

La Audiencia Nacional por su parte también está reconociendo la aplicación de esta figura, cuando la Agencia Española no lo ha hecho, y se cumplen los requisitos exigidos en la Ley (Sentencia de 17 de junio de 2011).

El procedimiento a seguir sería el siguiente:

La AEPD recibe denuncia sobre posible vulneración del derecho a la protección de datos de carácter personal. Abre expediente sobre comprobación de los hechos, previa a la apertura del expediente sancionador. En fase de comprobación la AEPD puede solicitar al presunto infractor cuanta documentación estime pertinente. Aunque la LOPD no indica nada sobre el derecho de defensa del presunto infractor, en aplicación del art. 79 de la Ley 30/92 del Procedimiento Administrativo, éste podrá realizar cuantas alegaciones estime conveniente; y realizar comprobaciones presenciales, y en este caso el inspector redactará un acta que será ofrecida para la firma del investigado donde éste podrá efectuar también alegaciones. Como motivos de defensa, en ambos casos, además de los materiales, podríamos aludir a motivos formales o de procedimiento, como pudieran ser los de prescripción de los hechos.

Si se comprueba que efectivamente se está vulnerando el derecho, la Agencia puede actuar de dos modos diferentes.

1º Aplicar la figura del apercibimiento. Para ello deberá comprobar la concurrencia de los requisitos exigidos comentados anteriormente para que se aplique. En este punto, y recordando que uno de los requisitos aplicables es la no sanción o apercibimiento anterior, indicar que si anteriormente el infractor hubiese sido sancionado, o apercibido con anterioridad, se debería comprobar que la sanción hubiere prescrito, en cuyo caso se podría aplicar nuevamente el apercibimiento.

Se le concederá plazo para que realice las medidas correctoras propuestas, y en el caso de que no las aplicara se abriría expediente sancionador.

2º Abrir expediente sancionador, en cuyo caso y si al término del mismo se impusiera sanción calificada como leve o grave el sancionado podría recurrir ante la Audiencia Nacional solicitando la aplicación de la figura del apercibimiento, si se diesen los presupuestos habilitantes.

La aplicación de esta figura supone una nueva oportunidad para la empresa infractora de adaptarse a los requerimientos de la normativa vigente en materia de protección de datos, pero no olvidemos que en teoría sólo se puede aplicar una vez, por lo que lo deseable es que no se tenga que recurrir a ella nunca.

01Ene/15

INTECO publica informe sobre Seguridad WIFI

INTECO publica informe sobre Seguridad WIFI

Según el estudio del segundo cuatrimestre del 2011, INTECO publica un informe dónde encontramos datos preocupantes: La gran mayoría de los internautas (74,1%) lo hacen a través de su propia conexión, pero también existe un porcentaje de ellos que utiliza redes ajenas, ya sean públicas (25,2%) o de otro particular (11,9%).

Noticias como ésta nos hacen darnos cuenta de la cantidad de peligros a los que se exponen hoy en día los usuarios de Internet que utilizan medios no seguros de conexión para intercambiar todo tipo de datos, sin tener en cuenta que la confidencialidad de los mismos, así como su integridad podría verse fácilmente comprometida.

Esta noticia afecta tanto a la LOPD, ya que pueden verse comprometidos datos de carácter personal, como a la seguridad informática en general.

Al utilizar una WIFI abierta, por ejemplo y tal y como resalta INTECO dentro del artículo: cualquier intruso situado dentro del radio de emisión podría acceder a los datos que se estén intercambiando a través de la conexión inalámbrica.

Además la seguridad WIFI no es sólo importante a nivel de usuario, si no para PYMES, empresas y organismos públicos. Ya en Julio del 2011 publicamos un artículo sobre este tema.

Para más información sobre el informe de INTECO aquí tenéis el link.

 

 

 

 

01Ene/15

Diferentes aspectos del tratamiento de los datos personales por los corredores de seguros y reaseguros

Diferentes aspectos del tratamiento de los datos personales por los corredores de seguros y reaseguros.

Las funciones de una correduría de seguros y reaseguros, y especialmente su papel de mediador entre el interesado y compañías aseguradoras, puede plantear ciertas dudas respecto si considerarlas como responsable o encargado de tratamiento, puesto que por un lado parecen ser responsables como las entidades que recaban los datos de los interesados y deciden sobre su finalidad y por el otro, se les encarga unos determinados servicios de mediación.

Las funciones y obligaciones de los corredores se limitarán en principio, a las de ofrecer información veraz y suficiente en la promoción, oferta y suscripción de las pólizas de seguro y en su actividad de asesoramiento. Es decir, sus obligaciones son, básicamente, de carácter informativo y asesor, no pudiendo imponer directa o indirectamente la celebración del contrato de seguro.

Para determinar la condición del corredor de seguros y reaseguros, la Ley 26/2006, de 17 julio de Mediación de seguros y reaseguros privados, en sus artículos 62 y 63 analiza esta figura jurídica desde el punto de vista de protección de datos de carácter personal.

En el artículo 62. 1. c. se especifica que «A los efectos previstos en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD) los corredores de seguros y los corredores de reaseguros tendrán la condición de responsables del tratamiento respecto de los datos de las personas que acudan a ellos.», que a su vez significa que las aseguradoras cesionarias y destinatarias de esta información, serían también responsables de los ficheros que recogiesen datos de los asegurados. En este sentido, también sería de aplicación el artículo 11. 2. c. de la LOPD que indica que «Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros» no será preciso el previo consentimiento del interesado, aunque las corredurías, por la propia naturaleza de los servicios que prestan, cuentan desde el principio con el consentimiento de las personas que solicitan sus servicios a comunicar sus datos a las entidades aseguradoras.

¿Pero qué pasará cuando la relación contractual entre el asegurado y la aseguradora se extingue, podrá la correduría mantener la información relativa a los asegurados o negociar la contratación de pólizas con otras compañías?

La condición de responsable del tratamiento de la correduría implica que una vez extinguida esta relación, no procederá a la devolución de los datos, tal y como se obliga al encargado de tratamiento en los términos del artículo 12 de la LOPD, sino que debe proceder a su cancelación, como señala el artículo 4.5 de la LOPD «Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.» Por lo que el corredor que haya dejado de ostentar la condición de mediador de seguros, debe de proceder a cancelar de su base de datos la información relativa al asegurado.

Respecto del consentimiento del interesado para tratar sus datos, el artículo 6.2 de la LOPD indica que «No será preciso el consentimiento… cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento…» por lo que tratándose en este caso de una relación negocial hay que entender que el consentimiento del interesado está implícito en esta relación. No obstante, el artículo 63 de la Ley 26/2006 en sus apartados 3 y 4 lo especifica aún más apuntando que «Los corredores de seguros podrán tratar los datos de las personas que se dirijan a ellos, sin necesidad de contar con su consentimiento:

a) Antes de que aquéllos celebren el contrato de seguro, con las finalidades de ofrecerles el asesoramiento independiente, profesional e imparcial al que se refiere esta Ley y de facilitar dichos datos a la entidad aseguradora o reaseguradora con la que fuese a celebrarse el correspondiente contrato.

b) Después de celebrado el contrato de seguro, exclusivamente para ofrecerles el asesoramiento independiente, profesional e imparcial al que se refiere esta Ley o a los fines previstos en su artículo 26.3.

Por consiguiente, para la utilización y tratamiento de los datos para cualquier otra finalidad distinta de las establecidas en las dos letras anteriores, los corredores de seguros deberán contar con el consentimiento inequívoco de los interesados. Resuelto el contrato de seguro en cuya mediación hubiera intervenido un corredor de seguros o un corredor de reaseguros, éste deberá proceder a la cancelación de los datos.

En definitiva, el corredor de seguros o reaseguros no podrá facilitar los datos del interesado a otra entidad distinta de aquélla con la que el interesado hubiera celebrado el contrato resuelto si no media su consentimiento inequívoco.

Es mucho más evidente que tampoco puede, sin el consentimiento del interesado permitirse la libertad de contratarle una nueva póliza con otra aseguradora, aunque esto pudiera suponer un beneficio para el interesado. Para poder contratar una nueva póliza de seguro o cualquier otro producto de aseguramiento es imprescindible mandato expreso del interesado a la correduría de seguros.

En consecuencia si un corredor de seguros, una vez resuelto el contrato entre el asegurado y la compañía aseguradora, quisiera mantener los datos del asegurado para destinarlos a otra finalidad y, en particular, para utilizarlos en la celebración de un nuevo contrato con otra compañía aseguradora, debería primero informar al interesado sobre el producto de aseguramiento y luego recabar su consentimiento inequívoco.

Asimismo, ésta ha sido la postura adoptada por la Agencia Española de Protección de Datos en relación a tratamientos de datos personales realizados por las corredurías de seguros o reaseguros y que ha expresado tanto en sus informes jurídicos como en sus resoluciones sancionadoras.

01Ene/15

Publicación en el Tablón de Anuncios de la Comunidad de Propietarios de las Deudas de un Comunero

Publicación en el Tablón de Anuncios de la Comunidad de Propietarios de las Deudas de un Comunero

Contemplamos el supuesto de los Comuneros que por diversas razones no pagan las cuotas de comunidad o cualquier otro gasto generado y aprobado por la Junta de Propietarios y no se les puede requerir de pago o cualquier intento resulta infructuoso. Para estos casos la Ley de Propiedad Horizontal habilita un mecanismo de notificación a través del Tablón de anuncios colocado en la propia comunidad, normalmente en el zaguán y a la vista de todos los propietarios. La cuestión entonces es saber si esta publicación, parecida a la edictal, se ajusta a lo establecido en la Ley de protección de datos. Debemos distinguir que la Ley admite este supuesto, pero la publicación no se puede realizar de cualquier modo, debe seguir un procedimiento. La publicación de estos datos sin el consentimiento del titular de los datos puede conllevar la sanción por parte de la Agencia Española de Protección de datos con una multa que va de 40.001 a 300.000 euros por la comisión de una infracción grave.

Esta cuestión queda resuelta por la Agencia de protección de Datos entre otros en el Informe 188/2008 de la AEPD.

En primer lugar, esta la publicación implicará una cesión de datos de carácter personal, definida por el artículo 3.i) de la Ley 15/1999, como «toda revelación de datos realizada a una persona distinta del interesado».

En relación con la cesión, el artículo 11 de la Ley dispone que los datos personales sólo podrán ser comunicados a un tercero, con la única finalidad de cumplir con las funciones legítimas del cedente y del cesionario, y contando con el previo consentimiento del interesado. Es de suponer, que el propietario deudor, que además no ha podido o no ha querido ser localizado, no va a prestar el consentimiento para que todos los vecinos se enteren que es un moroso. En este supuesto debemos acudir a la segunda solución adoptada por la LOPD, y es que este consentimiento sea sustituido por una Ley. Es importante indicar que sólo las normas con rango de Ley habilitan para sustituir este consentimiento, y por tanto no sirve cualquier norma.

En este sentido entre las obligaciones impuestas por la Ley de Propiedad, en su objetivo de lograr que las comunidades de propietarios puedan legítimamente cobrar lo que les adeudan los copropietarios integrantes de las mismas, se encuentra la de dar publicidad a través de la convocatoria de la Junta de propietarios de aquellos que no se encuentren al corriente en el pago de todas las deudas vencidas con la comunidad. Así el artículo 16.2 de la citada Ley respecto a la convocatoria de la Junta establece, «La convocatoria contendrá una relación de los propietarios que no estén al corriente en el pago de las deudas vencidas a la comunidad y advertirá de la privación del derecho de voto si se dan los supuestos previstos en el artículo 15.2», lo que conlleva necesariamente el conocimiento de aquellos propietarios deudores, sin necesidad de recabar el consentimiento de los mismos.

Pero la convocatoria de la junta no faculta por sí sola la publicación de estos datos en el tablón de anuncios. Para cualquier citación o notificación a un propietario se debe seguir unos trámites tasados. En primer lugar se debe intentar la notificación en el domicilio que para estos efectos designe el propietario deudor, que podrá ser distinto al piso o local perteneciente a la Comunidad de Propietarios. Sólo si esta citación resulta infructuosa, la ley de propiedad horizontal faculta al Secretario de la Comunidad para intentar la citación en el piso o local, perteneciente al propietario moroso en la propia Comunidad. En este sentido la citación entregada al ocupante de este piso o local se entenderá que tiene plenos efectos jurídicos, por lo que podrá ser entregada al inquilino arrendatario, si fuese el caso.

Hacer hincapié que cualquier intento de notificación debe quedar completamente acreditado para evitar posteriores sanciones. En este sentido una carta certificada y con acuse de recibo no acreditaría el contenido de la notificación, por lo que el consejo sería que se realizase bien a través de un requerimiento notarial, o mediante una opción más barata, el envío de un Burofax, certificado, y con acuse de recibo. Este método acredita el contenido de la notificación, y la recepción o no de la misma, con el motivo de la no entrega si fuese el caso.

Por último, y tras el largo peregrinaje intentando la notificación, y si esta resultase infructuosa, la Ley de Propiedad horizontal faculta al Secretario para que pueda colocar esta comunicación en el tablón de anuncios de la comunidad, o en lugar visible de uso general habilitado al efecto. Pero además esta citación deberá cumplir con una serie de requisitos de fondo y formales, sin los cuales no se puede considerar válidamente efectuada. Cualquier notificación efectuada a través del tablón de anuncios deberá contener la fecha, los motivos por los que se procede a esta forma de notificación, deberá estar firmada por quien ejerza las funciones de secretario de la comunidad, y deberá contar con el visto bueno del presidente. La notificación practicada de esta forma producirá plenos efectos jurídicos en el plazo de tres días naturales.

En consecuencia, siempre que la publicación obedezca al hecho de que la Convocatoria de la Junta, en la que deben figurar los datos a los que se refiere el artículo 16.2 de la Ley de Propiedad Horizontal, no haya podido ser notificada a alguno de los propietarios por el procedimiento que acaba de describirse, la cesión que implica la publicación de la Convocatoria en el tablón de anuncios se encontrará amparada por el artículo 11.2.a) de la Ley Orgánica 15/1999.

 

01Ene/15

LOPD: Greatest Hits (Vol. IV)

LOPD: Greatest Hits (Vol. IV)

Más de un año después de la tercera entrega de esta saga, que bien podría haber quedado en una trilogía, la casuística de algunos de nuestros clientes nos ha empujado a elaborar una cuarta edición. Y podrá haber una quinta.

Pero antes, hagamos repaso de lo que hemos analizado en los tres primeros volúmenes:

  • Volumen I: Inscripción de ficheros, principio de calidad y deber de información.
  • Volumen II: El Consentimiento.
  • Volumen III: Datos especialmente protegidos.

Siguiendo la misma metodología de análisis que en anteriores ocasiones, llevando la estricta aplicación de la norma hasta sus últimas consecuencias, hoy trataremos ciertas curiosidades de los derechos de los ciudadanos a acceder a sus datos, rectificarlos, cancelarlos, y también a oponerse a que sean utilizados con determinada finalidad. En definitiva, los denominados Derechos ARCO.

¿Sabías que…

… en la mayoría de los casos, podrían desatenderse libremente estos derechos?

Las empresas y demás responsables de fichero tienen la obligación de ofrecer un cauce, sencillo y gratuito para que los afectados puedan ejercer sus derechos.

Es precisamente la exigencia de gratuidad lo que suele llevar aparejada una carencia de valor probatorio. Sabiendo, además, que en derecho administrativo sancionador opera el principio de presunción de inocencia, el ciudadano que denunciase tal infracción, tendría que acreditar la recepción de su solicitud por parte del responsable del fichero.

… en la mayoría de los casos, no atender debidamente el derecho, no implicará una sanción económica?

La Agencia Española de Protección de Datos es famosa por sus multas, que no van dirigidas a satisfacer al afectado, sino a castigar al infractor (es decir, no son indemnizaciones, sino multas).

Sin embargo, no es tan conocido que cuando la Agencia recibe una denuncia porque una empresa no ha atendido debidamente un derecho (ha ignorado la solicitud, o no lo ha hecho efectivo en el plazo fijado), no suele abrir un procedimiento sancionador, sino un procedimiento de Tutela de Derechos.

El procedimiento de Tutela de Derechos no tiene como fin sancionar, sino obligar a la empresa, en caso de que proceda, a atender la solicitud.

…para ejercer tus derechos ARCO es necesario que facilites una copia de tu DNI, aún cuando no hayas tenido que acreditarla cuando tus datos fueron recogidos?

La normativa establece que los derechos ARCO son derechos personalísimos, y que sólo pueden ser ejercidos por el propio afectado, previa acreditación (o por representante, con autorización firmada por el afectado, debiendo acreditarse ambas personas).

Es decir, por un lado, la normativa establece que la empresa deberá creerse los datos que le des cuando te los pida directamente. Y, sin embargo, deseas ejercer uno de tus derechos, la misma normativa te pone la traba de tener que acreditar tu identidad.

Aunque no lo parezca, puede llegar a tener todo el sentido del mundo.

Si una esposa celosa ejerciese un derecho de acceso sobre datos de su alegre marido, con engaño suficiente para que la empresa que tiene los datos se creyese que se trata de su esposo, la empresa podría llegar a ceder un historial completo de infidelidades, incumpliendo así toda base de la protección de datos.

… para ejercer los derechos ARCO de tus hijos/as, menores de 14 años, no bastará con que facilites copia del DNI, sino que también deberás facilitar copia del libro de familia, y si lo tuviesen, del DNI de tus hijos?

La normativa es tajante: «Los derechos serán denegados cuando la solicitud sea formulada por persona distinta del afectado y no se acreditase que la misma actúa en representación de aquél».

Es decir, ejercer un derecho ARCO en nombre de tus hijos, supone acreditar tu identidad, la identidad del representado, y el poder de representación que ostentas.

Tiene tanto sentido como en el caso anterior.

El problema en este caso, no es de la normativa de protección de datos, sino que actualmente no disponemos de mecanismos de acreditación de identidad y representación que sean tan ágiles como deberían.

Será que todavía no soy padre, pero antes de hacer todo eso, preferiría que siguiesen recibiendo publicidad no deseada.

Nos vemos en la próxima edición de los Grandes Éxitos de la LOPD.

01Ene/15

Organización de eventos familiares o de amigos y LOPD

Organización de eventos familiares o de amigos y LOPD

Llega la Navidad, y con ella las reuniones de familias, amigos, y compañeros de promoción, de cursos, o de trabajo. Para ello es habitual que con motivo de la reunión, alguien del grupo, o una comisión creada al efecto, se dedique a contactar con todos para citarse en un sitio y en una fecha concreta y celebrar el evento preparado. Hasta aquí el procedimiento nos suena habitual, y en principio no tiene nada de particular. Hasta que la Agencia Española de Protección de Datos, AEPD, se le ocurrió indagar sobre estos supuestos, y concluyó que el tratamiento de los datos de los compañeros de promoción de una academia militar por parte de una Comisión creada al efecto por varios colegas para la organización de una comida de confraternidad incumplía la Ley de protección de datos, y pretendía sancionar a los organizadores con una multa de 6.010,12 euros al no contar éstos con el consentimiento de los compañeros de promoción para el tratamiento de sus datos y crear un fichero con la finalidad de organizar el evento.

Esta situación conllevó que los organizadores fueran en un principio sancionados por la Agencia.

Esta situación llegó a los tribunales y la Audiencia Nacional se pronunció al respecto dejando sin efecto la sanción impuesta. De la Sentencia dictada se desprenden las siguientes conclusiones:

– Origen de los datos. El origen de los datos de los compañeros es un elemento a tener en cuenta. No es lo mismo que los datos sean recabados del colegio, academia, o empresa; o que los datos se recojan de las agendas personales de los propios compañeros. Si fuesen recogidos de las agendas de los compañeros, la Audiencia Nacional entiende que se trata de un tratamiento con fines personales o domésticos, y por tanto estaría exento de la aplicación de la Ley de protección de datos, por la aplicación del artículo 2.2.a) de esta misma ley.

La cesión de los mismos a terceros para la organización del evento podría incluirse por tanto en este supuesto.

Si por el contrario los datos fuesen recabados de las entidades enunciadas anteriormente, la situación se complica. En este caso no podríamos hablar de tratamientos con fines personales o domésticos, y la entidad organizadora, o cedente de los datos tendría que tener el consentimiento del titular de los mismos para el tratamiento con la finalidad concreta de organización de eventos, fiestas…, y además el consentimiento para la cesión de estos datos a otros compañeros, o empresas que se puedan contratar para la organización del evento, identificando en lo posible a los mismos, o como mínimo la rama de actividad de las empresas cesionarias de los datos.

– Concepto de tratamiento.  El artículo 3.c) de la LOPD define el tratamiento de datos como aquellas «operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias» y según la Agencia de Protección de Datos en este caso quedó acreditado que la citada Comisión elaboró un listado que facilitó a una agencia de viajes para la promoción del evento, de suerte que ha existido recogida de datos, grabación y comunicación de los mismos e incluso cancelación, lo que acredita la existencia de tratamiento de datos. Efectivamente para la organización del efecto se realizó un tratamiento de datos, pero según la Audiencia Nacional «El criterio del tratamiento como delimitador del ámbito de aplicación del régimen de protección de la ley 15/1 999 es insuficiente… tal actividad constituye sin duda tratamiento en el sentido expresado en el artículo 3.c) antes trascrito, y sin embargo no queda sujeto al ámbito de aplicación de la ley. Lo excluye expresamente el artículo 2.2.a).»

Por todo lo expuesto os recomendamos, que antes de organizar una cena o comida de empresa, de amigos, o de familia, tengamos en cuenta que estamos realizando un tratamiento de datos, y que el mismo debe ajustarse a lo dispuesto en la Ley Orgánica de Protección de Datos, sea por su sujeción, o para la exención del mismo por la propia Ley.

Que paséis buenas fiestas.

01Ene/15

Plazo de conservación de los documentos de auditoría

Plazo de conservación de los documentos de auditoría

Según el art. 96 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal , en adelante Reglamento, «a partir del nivel de seguridad medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento» del Título VIII del Reglamento, añadiendo que «con carácter extraordinario deberá realizarse dicha auditoria siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas». Esta auditoría inicia el cómputo de dos años señalado en el párrafo anterior.

Se dice posteriormente que el informe de auditoría deberá estar a disposición de las agencias de protección de datos pero no indica durante cuánto tiempo deben conservarse estos informes.

El art. 44.3 h) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en adelante LOPD, indica que «es infracción grave mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen». Dicha infracción prescribirá a los dos años de su comisión, tal y como dispone el art. 47.1 de la LOPD. Así la entidad requerida debería siempre tener a disposición de la Agencia un informe emitido durante los dos años anteriores al momento en el que se solicita el requerimiento.

El siguiente informe jurídico de la Agencia Española de Protección de datos corrobora lo mencionado anteriormente.

http://www.agpd.es/portalwebAGPD/canaldocumentacion/informes_juridicos/common/pdfs/2010-0191_Plazo-de-conservaci-oo-n-de-informes-de-auditor-ii-a-de-seguridad.pdf

Sin embargo la Autoridad Catalana de Protección de Datos, considera que el plazo de conservación de estos documentos de Auditoría sería de tres años en el dictamen que a continuación se relaciona.

http://www.apdcat.net/media/dictamen/es_286.pdf#search=»Historias clinicas sin medida de seguridad «

En este dictamen la Autoridad Catalana en un primer momento y con misma fundamentación que la Agencia Española llega a la conclusión que debe ser 2 años el plazo de conservación.

Pero posteriormente considera que el registro de incidencias, puede resultar un valioso elemento probatorio en la investigación de otros tipos de infracciones que tienen atribuido un plazo de prescripción más largo, en el caso de infracciones muy graves, que tendría un plazo de prescripción de tres años.

Pero además el artículo 19 de la LOPD también contempla la responsabilidad por daños o lesiones que las personas afectadas sufran en sus bienes o derechos, ya sea mediante la reclamación de la responsabilidad de la Administración, cuando el daño sea imputable a una Administración pública, o mediante el sistema de responsabilidad extracontractual establecido en el derecho civil. En este sentido, disponer de la documentación relativa a las auditorías puede ser un elemento probatorio importante para la acreditación de la diligencia del responsable en el cumplimiento de las medidas de seguridad exigibles. Al respecto hay que recordar que la letra d) del artículo 121-21 del Libro primero del Código Civil de Cataluña establece que prescriben a los tres años las pretensiones derivadas de responsabilidad extracontractual, y las demás pretensiones al cabo de diez años, salvo la recuperación de la posesión (artículos 121-20 y 121-22). En conclusión, la documentación que forma parte de las auditorías de seguridad requeridas por dicha normativa debe conservarse durante un período mínimo de tres años, o hasta que se realice la auditoría de seguridad siguiente, si esta no se ha efectuado dentro del plazo de dos años exigible.

Aurelio J. Martínez Ferre.
Consultor Legal
AUDEA, SEGURIDAD DE LA INFORMACIÓN, S.L.
www.audea.com

01Ene/15

Derecho de Acceso

Derecho de Acceso

Uno de los extremos sobre los que el responsable del fichero ha de informar de modo expreso, preciso e inequívoco, a los interesados con ocasión de solicitar sus datos personales estriba en la posibilidad de ejercitar el derecho de acceso, junto con los de rectificación, cancelación y oposición. El interesado suministra sus datos personales conocedor de este derecho definido en el artículo 15.1 de la Ley como el de solicitar y obtener, gratuitamente, información de sus datos sometidos a tratamiento, el origen de los mismo, así como las comunicaciones realizadas o que se prevén hacer de los mismos.

Existen muchas maneras para proceder, aunque la simple visualización parece el mas obvio y principal, aunque obviamente se puede proceder a la impresión del documento en cuestión, telecarga, etc…

Se establece que el derecho de acceso sólo podrá ser ejercitado a intervalos no inferiores a doce meses, salvo que el interesado acredite un interés legítimo al efecto, en cuyo caso podrá ejercitarlo antes. Se pretende un verdadero interés en el acceso, y que no se dañe a la entidad empresarial con consultas sobre los datos reiterativas y con escaso valor. Se estima que 12 meses es un plazo suficiente en este sentido.

Para ejercitar este derecho, se ha de requerir al responsable del fichero para que éste proceda a ejecutarlo. Lo mas adecuado es un escrito con las menciones que la APD -Agencia- ha establecido (ver instrucción 1/1998). A continuación, existe un mes para que, una vez recibido el requerimiento, éste resuelva. Si no resuelve, se podrá interponer denuncia ante la Agencia (ver artículo 18 de la Ley). Si no se ha cumplido el plazo de 12 meses -y no se acredite el interés legítimo- el responsable del fichero podrá denegar el derecho.

-Derechos de rectificación y cancelación.

El artículo 4 de la LOPD establece los principios inspiradores de la Ley, y entre ellos se hace mención al principio de calidad de los datos: se quiere cierta «calidad» en los datos recogidos, se aboga por un mínimo de «interés» a la hora de recabarlos. Y si no, deberán de ser cancelados, en particular si no son veraces o actualizados. Para ello, se faculta al afectado para ejercer sus derechos de rectificación y cancelación cuando lo estime oportuno, siempre en aras de la «calidad de los datos» que el mismo suministró quizás en un momento anterior.

Se ha tenido en cuenta que este es un derecho mas complejo que el de acceso: no es lo mismo un acceso que un afán rectificador por parte del sujeto afectado, sabedor de que sus datos no han sido puestos al día, independientemente de la obligación que tiene la entidad «culpable» de este extremo. Así, se quiere acabar cuanto antes con dicha situación, y tenemos que el plazo ahora es de diez días. El efecto natural de la cancelación, será la eliminación, extinción o borrado físico de los datos de que se trata cuyo procedimiento dependerá de la naturaleza del respectivo fichero. En los casos en que, siendo procedente la cancelación de los datos, no sea posible su extinción física, tanto por razones técnicos, como por causa del procedimiento o soporte utilizado, el responsable del fichero procederá al bloqueo de los datos con el fin de impedir su ulterior proceso o utilización. Aquí es interesante acudir al Real decreto 1332/1994.

La solicitud de rectificación del interesado deberá indicar el dato que es erróneo y la corrección que deba realizarse, debiendo ser acompañada de la documentación justificativa de la rectificación solicitada, salvo que la misma, depende, exclusivamente, del consentimiento del interesado. En la solicitud de la cancelación, el interesado deberá indicar si revoca el consentimiento otorgado, en los casos en que la revocación sea posible o si, por el contrario se trata de un dato erróneo o inexacto, en cuyo caso deberá acompañar la documentación justificativa. Si ejercitado el derecho por el afectado el responsable del fichero considera que no procede atender la petición, lo comunicará motivadamente a aquél en el plazo de cinco días para que pueda ejercitar la reclamación prevista en al artículo 18 de la propia Ley. Transcurridos cinco días sin respuesta expresa por parte del responsable el interesado podrá entender desestimada su petición a los efectos expresados.

Respecto al derecho de oposición, se dice que «el afectado podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal».

 

01Ene/15

El tratamiento de datos por parte de las comunidades de propietarios

El tratamiento de datos por parte de las comunidades de propietarios

Este es el primero de una serie de artículos sobre el tratamiento de datos personales en las comunidades de propietarios.

Las obligaciones que impone la LOPD y sus normas de desarrollo plantean la necesidad de que las comunidades de propietarios se adapten y cumplan escrupulosamente con la normativa de protección de datos. La organización y gestión de la comunidad de propietarios supone la existencia de al menos un fichero o tratamiento de datos personales: la de los propios integrantes de la comunidad. Existen hechos habituales de la vida de una comunidad de propietarios que conllevan la existencia y obligatoriedad de adaptar estas comunidades a lo dispuesto por la LOPD, así podríamos hablar de contratación con terceros de servicios prestados a la comunidad como el contrato con administradores externos a los propietarios de las viviendas de la comunidad, seguridad, reparaciones, limpieza…; cobro de cuotas de comunidad y como consecuencia gestión de impagados.

Según el art. 3 de la LOPD es Responsable del fichero o tratamiento la persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. Poniendo en relación esta definición con las de la Ley de Propiedad Horizontal el responsable del Fichero sería la propia Comunidad de Propietarios como persona jurídica y compuesta por tanto por la Junta de Propietarios. Esta distinción es importante puesto que nos indica que cualquier tratamiento de datos debe ser consensuado por la totalidad de los propietarios conforme a las reglas de la formación de la voluntad de los órganos de la Comunidad. En consecuencia el responsable del fichero, será el que sufra de las consecuencias de un incumplimiento de lo dispuesto en la legislación de protección de datos. Esta afirmación se corrobora por la AEPD en su informe 2000 de fecha 23-04-2.010.

Por tanto y en aplicación del art. 25 y 26 de la LOPD toda comunidad de propietarios que tenga almacenados datos de los comuneros, es decir, todas ellas, tienen obligación de crear un fichero y comunicar este a la AEPD. Esta notificación la podrá hacer el órgano de representación de la misma o bien un administrador externo a la comunidad que ejerza las funciones de administración en nombre de ésta, pero en este supuesto el responsable del fichero seguirá siendo la propia comunidad de propietarios.

La denominación del fichero dependerá de los distintos usos que se le vaya a dar al mismo. Por lo general se le denominará «Comunidad de propietarios», para identificarlo claramente de cualquier otro fichero.

En cuanto a la finalidad del mismo sería las obligaciones propias de la llevanza de la propia comunidad así por ejemplo gestión de los datos de la comunidad de propietarios, o envío de información y documentación, asistencia a juntas y en general todo lo necesario para asegurar el correcto desenvolvimiento de la comunidad, y tendría datos como D.N.I./N.I.F., nombre y apellidos, teléfono, datos económicos, financieros, seguros, transacciones.

Puede darse la circunstancia que la comunidad tenga contratados a diversos agentes para la llevanza de tareas en la comunidad. Sería el caso de porteros, limpieza, o cualquier otro que se nos pueda ocurrir, en estos casos en mi opinión deberíamos crear un fichero diferente puesto que la finalidad del mismo sería diferente a las propias de la llevanza de la comunidad. Estaríamos en un supuesto en el que el fichero se podría denominar «Personal contratado» o «personal», cuya finalidad sería la gestión del personal que trabaja en la comunidad o «Gestión de nominas».

Áudea Seguridad de la Información
Aurelio J. Martínez
Departamento Derecho NNTT
www.audea.com

01Ene/14

La figura del apercibimiento en la Ley Orgánica de Protección de Datos

La figura del apercibimiento en la Ley Orgánica de Protección de Datos. El requisito de la no sanción o apercibimiento previo.

En otras ocasiones hemos hablado de la figura del apercibimiento, regulado en el artículo 45 de la Ley Orgánica de Protección de Datos, en adelante LOPD.

En esta ocasión quisiera hacer hincapié en uno de los requisitos que la Ley exige para que se pueda aplicar esta figura. El artículo mencionado, en su párrafo 6.b. exige para la aplicación de este beneficio «que el infractor no hubiese sido sancionado o apercibido con anterioridad».

El requisito tiene su lógica y es que no se pueda beneficiar de esta figura una empresa que constantemente infrinja la LOPD. Pero también merece una crítica, y es que al contrario de lo que ocurre con las infracciones penales, las infracciones administrativas no pueden ser canceladas.

El artículo 136 del código penal indica que «Los condenados que hayan extinguido su responsabilidad penal tienen derecho a obtener del Ministerio de Justicia, de oficio o a instancia de parte, la cancelación de sus antecedentes penales», poniendo como requisito el no haber vuelto a delinquir en determinados plazos, según el delito cometido con anterioridad. Lo mismo ocurre con las medidas de seguridad impuestas. Con la cancelación de los antecedentes se entiende que el condenado ha cumplido con sus obligaciones con la justicia, y se deben considerar estos como no puestos.

En materia administrativa no he encontrado una norma similar. Sin embargo en aplicación del punto 1 del art. 24 de nuestra Constitución, y según tiene reconocida la Jurisprudencia de la Sala 3ª en lo Contencioso Administrativo, en Sentencias de fecha 14/11/85, 10/11/86 y 10/01/87 afirmó: «Es la doctrina ya consolidada, que los principios inspiradores del derecho penal, son aplicables con ciertas matizaciones al derecho administrativo sancionador… de esta forma, son de común aplicación los principios capitales de la ciencia penal: legalidad, tipicidad, imputabilidad y culpabilidad, proporcionalidad, non bis in ídem, etc. A los que deben añadirse las garantías adjetivas: no indefensión, carga de la prueba, interdicción de la reformatio in peius, etc». En este sentido la Disposición transitoria primera del actual código penal aplica la disposición más favorable para el reo, aunque los hechos hubieran sido cometidos con anterioridad a la entrada en vigor de la norma. En atención a lo expuesto este principio debería ser aplicable al procedimiento administrativo, se debería aplicar esta figura del apercibimiento, como mas favorable, aunque los hechos se hubiesen cometido con anterioridad a la instauración de este principio.

Además pienso que resultaría un agravio comparativo, además de producir indefensión, que las sanciones administrativas, al contrario que las penales, no pudiesen ser canceladas, y su influencia colgase, cual espada de Damocles, sobre la cabeza del administrado, de por vida.

Abundando en el tema, la prescripción de las sanciones muy graves en la LOPD es de 3 años, tiempo más que suficiente para considerar que un hecho por el que ya ha sido sancionado un administrado debería ser olvidado, principio inspirador de la prescripción. Este principio considero que debería ser aplicado también para la cancelación de antecedentes administrativos, máxime cuando el administrado ya ha cumplido con sus obligaciones de pago de las sanciones.

01Ene/14

Tratamiento de los datos personales de los trabajadores por el Comité de Empresa o Delegados de Personal

Tratamiento de los datos personales de los trabajadores por el Comité de Empresa o Delegados de Personal

De acuerdo con el Estatuto de los Trabajadores (ET), de 24 de marzo de 1995, los órganos representativos de los trabajadores están autorizados a acceder a cierta documentación de la empresa en el marco de sus funciones de control y vigilancia de las relaciones laborales así como condiciones de seguridad e higiene. Asimismo la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal (LOPD) define la cesión de datos como «toda revelación de datos realizada a una persona distinta del interesado». En consecuencia nos encontramos necesariamente ante una comunicación de datos por parte del empresario al Comité de Empresa o a los Delegados de Personal (en función si se tratase de una empresa de 50 o más trabajadores).

En este contexto, la cesión de los datos de los trabajadores, únicamente podría entenderse lícita si se produjera en el ámbito de las funciones que la Ley atribuye a los Delegados de Personal o el Comité de Empresa como órganos representativos del conjunto de trabajadores. A esta información podrían acceder solamente las personas autorizadas con el fin de cumplir con las funciones de vigilancia y control recogidas en el artículo 64.1 del ET que dice concretamente que «El comité de empresa tendrá las siguientes competencias: Recibir la copia básica de los contratos a que se refiere el párrafo a) del apartado 3 del artículo 8 y la notificación de las prórrogas y de las denuncias correspondientes a los mismos, en el plazo de los diez días siguientes a que tuvieran lugar.», y el apartado 9° atribuye a dicho órgano «Ejercer una labor: a) De vigilancia en el cumplimiento de las normas vigentes en materia laboral, de Seguridad Social y empleo, así como el resto de los pactos, condiciones y usos de empresa en vigor, formulando, en su caso, las acciones legales oportunas ante el empresario y los organismos o tribunales competentes; b) De vigilancia y control de las condiciones de seguridad e higiene en el desarrollo del trabajo en la empresa, con las particularidades previstas en este orden por el artículo 19 de esta Ley». En otros casos no previstos en este artículo, sería necesario recabar antes el consentimiento de los interesados para poder comunicar sus datos. En consecuencia no toda la información debería ser accesible a los representantes de los trabajadores y así por ejemplo, el empresario no debería facilitar las nóminas de sus empleados al Comité de Empresa sin su consentimiento, puesto que la información que contienen excede las funciones atribuidas por Ley a dichos representantes, siendo suficiente en esta materia la aportación de los documentos TC1 y TC2.

La situación se complica un poco si tenemos en cuenta que el ET por un lado reconoce al Comité de Empresa la capacidad para ejercer acciones administrativas y judiciales y le atribuye, unas competencias que suponen una posición de independencia respecto del empresario y por el otro lado debemos tener en cuenta que dicho órgano no tiene personalidad jurídica propia, por tanto no puede ser considerado como el responsable del fichero tal y como lo define el artículo 3 de la LOPD como «persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento». En consecuencia este órgano tampoco podría ser sancionado directamente por la Agencia Española de Protección de Datos (AEPD) aún cuando vulnerase la normativa de protección de datos.

¿Qué ocurre entonces cuando el Comité de Empresa comete infracciones derivadas de esta normativa y qué medidas debería adoptar el empresario para prevenir estas situaciones?

Ante todo hay que recalcar que los representantes de los trabajadores por el mero hecho de recibir la información confidencial, sí que están obligados a cumplir con las disposiciones de la Ley, en este sentido el artículo 11.5 de la LOPD dispone que «Aquél a quien se comuniquen los datos de carácter personal se obliga, por el solo hecho de la comunicación, a la observancia de las disposiciones de la presente Ley».

Por consiguiente, el Comité debería tratar los datos a los que tiene acceso solamente conforme a las disposiciones del artículo 64 .1 del ET, ya que en el caso de que los utilizase para cualquier otra finalidad distinta del correcto desenvolvimiento y control de la relación laboral vulneraría el artículo 4.2 de la LOPD.

Tampoco sería autorizada la divulgación de la correspondiente información por parte de los órganos de los representantes de los trabajadores por cualquier medio puesto que la publicación de la información podría implicar la cesión de datos amparada por lo dispuesto en el artículo 11 de la citada Ley.

Además, debería responsabilizarse en adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural conforme lo establece el artículo 9 de la LOPD y su normativa de desarrollo.

A su vez, el artículo 10 de la LOPD impone un deber de secreto a cualquiera que intervenga en el tratamiento de los datos personales, por lo que también los miembros del Comité de Empresa o Delegados de Personal quedarían obligados al deber de secreto y confidencialidad respecto de la información a la que tuvieran acceso en el transcurso del desarrollo de su actividad, añadiendo incluso que estas obligaciones subsistirían aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

Igualmente, el apartado 2º del ya citado artículo 65 del ET establece que «Los miembros del comité de empresa, y este en su conjunto, observarán sigilo profesional en todo lo referente a los párrafos 1.º, 2.º, 3.º, 4.º y 5.º del apartado 1 del artículo anterior, aun después de dejar de pertenecer al comité de empresa y en especial en todas aquellas materias sobre las que la dirección señale expresamente el carácter reservado. En todo caso, ningún tipo de documento entregado por la empresa al comité podrá ser utilizado fuera del estricto ámbito de aquella y para distintos fines de los que motivaron su entrega».

En último lugar, para reforzar estas disposiciones legales el empresario podría hacer firmar a todos los miembros del Comité de Empresa o Delegados de Personal un documento de confidencialidad por el que se comprometerían de forma expresa y por escrito a cumplir con todas las disposiciones legales.

Por todo lo anteriormente expuesto, la empresa podría repetir contra aquellos, cualquier tipo de sanciones o multas administrativas que le fueran impuestas por la AEPD.

01Ene/14

Aplicación Práctica del Derecho de Acceso a los Datos Personales

Aplicación Práctica del Derecho de Acceso a los Datos Personales
(La Sentencia del TS de 26 de enero de 2010)

Dentro del abanico de los derechos de protección de datos, aparece concretamente el de acceso a los mismos, recogido en el artículo 15 de la LOPD y que nos viene a decir que el titular de los datos puede y debe ejercer su derecho de acceso ante el responsable del fichero. Puede conocer también si han sido actualizados o no o bien si se quiere rectificarlos, pero éstos ya son otros derechos contemplados en el articulado y que no son objeto ahora mismo de comentario.

La sentencia que estudiamos aquí es un recurso de casación que interpuso la representación procesal de la Universidad Nacional de Educación a Distancia (en adelante UNED) para desestimar la sentencia recurrida de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional cuya cuestión controvertida no es mas que el derecho de acceso a los datos personales que parece ser ha sido infringido por una de las partes.

Por tanto, conocemos que se trata de un recurso de casación interpuesto como bien se sabe ante el Tribunal Supremo, cuyas partes legitimadas son por un lado: la representación procesal de la UNED como recurrente y la parte recurrida, el Abogado del Estado.

En lo concerniente a la disputa interpretativa ,el origen de la controversia se encuentra en la reclamación que hizo en 2004 un particular (el solicitante) ante la Agencia Española de Protección de Datos (en adelante la AEPD) pidiendo una reclamación de responsabilidad patrimonial de la Administración por daños que se derivaban de la comunicación no consentida de datos personales a terceros y por otro lado la solicitud de acceso a los datos personales.

También se alega por parte del particular la elección de medios de acceso que según él es para el propio solicitante. Creo que ésta es la parte mas relevante de la sentencia pues nos preguntamos si es cierto que ha habido violación del artículo 15 de la LOPD en lo que a medios de acceso se refiere o si la parte recurrente en casación concede este derecho de acceso.

Precisamente situándonos desde la perspectiva de la UNED,son 3 los motivos que se presentan en el recurso:el primero de ellos,basándonos en el artículo 88.3 de la LJCA,por el que el recurrente creyó que la sentencia recurrida de la AN debió mencionar que en la web de la UNED se daba la posibilidad al alumnado de acceder a sus datos personales mediante una clave que la universidad da a acada uno de ellos.Como veremos posteriormente este motivo no es admitido por el alto tribunal.

El segundo de los motivos es en base al artículo 88.1 d de la LJCA por el que la recurrente considera que se trata de una reclamación de responsabilidad patrimonial de la Administración en consecuencia infracción del artículo 70 de la LRJ-PAC y no estamos ante una solicitud de acceso a los datos personales.

El tercero y último de los motivos de los que se compone este recurso de casación es al hilo también del mismo artículo 88.1 d de la LJCA por el que se considera infracción del artículo 15 de la LOPD, pues el solicitante no tiene facultad de elegir el medio de acceso a sus datos personales.

Entrando ya en el núcleo del comentario, vemos y analizamos cómo el Tribunal Supremo señala el motivo segundo como el mas importante, el primero es descartado por completo y no lo admite. La propia sentencia señala en su fundamento de derecho tercero:«el motivo primero no puede ser admitido ,pues está incorrectamente formulado. El apartado tercero del artículo 88 de la LJCA en que se basa, no configura uno de los tipos de motivos tasados en que puede fundarse el recurso de casación….».También señala que:» es incorrecto que la recurrente aduzca como un motivo de casación autónomo la circunstancia de que la sentencia impugnada no haga referencia expresa a que todo alumno de la UNED tiene posibilidad de acceso permanente a sus datos personales por vía informática».

         Todavía en este primer motivo ,a mi modo de ver, parece que la AEPD va a darle la razón a la recurrente pero termina diciendo que no se puede exonerar de responsabilidad a ésta debido a que no se le ha dado la posibilidad al solicitante de elegir por qué medios va a acceder a sus datos personales. Creo sin lugar a dudas que no existe infracción del derecho de acceso a los datos, pues es la UNED la que permite mediante las claves personales a las que he hecho mención anteriormente, el tener conocimiento de toda la información que sobre el alumno hay en la web de la universidad y que por supuesto como bien menciona la sentencia es de mala fé:«reprochar a otro no haber hecho algo que en realidad, ya ha hecho». Parece ser que la UNED según la propia AEPD tenía que haberle dicho al solicitante qué medios quería para acceder a los datos.

       El segundo de los motivos es el que me parece mas importante, no solo por el hecho de que es admitido por el TS, sino porque aquí se presenta el debate de sí es posible en un solo escrito ,venir recogido dos o mas solicitudes diversas. Ciertamente, el alto tribunal considera que:«la recurrente no tiene razón en sostener que el escrito de x de 9 de Febrero de 2004 no era solicitud de acceso a sus datos personales, sino solo una reclamación de responsabilidad patrimonial de la Administración».

       Estamos de acuerdo con la decisión que da el Tribunal Supremo  en lo atinente a que aun dando como válido la propia solicitud de acceso a los datos personales de por sí resultaba justificada, pues ya se daba la posibilidad al alumno de acceder a éstos. Es mas, es la propia AEPD en su escrito de 2004 la que no explica concretamente que medio de acceso quería el solicitante. Basta tan solo con la posibilidad real de acceso como para descargar de responsabilidad a la propia UNED. El fundamento cuarto así lo aclara:«no se trata solo de que el solicitante dispusiera de la posibilidad permanente de acceso a sus datos personales por vía informática, sino que en su escrito de 9 de Febrero de 2004 no especificó mediante qué concreto medio de acceso quería que su derecho fuese satisfecho; y en estas circunstancias, afirmar que se le denegó el acceso en el plazo legalmente previsto resulta sencillamente una abusiva deformación de la realidad».

El tercer motivo del recurso de casación no se analiza ;se deriva de lo anteriormente comentado: que el solicitante disponía de los medios de acceso.

Finalmente, el fallo de la sentencia es la anulación de la resolución de la AEPD y también de la sentencia de la AN, sin imposición de costas.

     Pedro Jesús Macías Torres

                            Sevilla-Febrero 2.010.

01Dic/10

Reseña del Congreso de la Red Derecho TICs sobre Libertades en Internet

Reseña del Congreso de la Red Derecho TICs sobre Libertades en Internet

El pasado mes de Octubre de 2010 tuvo lugar en la facultad de Derecho de la Universidad de Valencia el tradicional congreso que la red Derecho Tics viene organizando por estas fechas. El congreso tenía como tema fundamental a debatir lo relativo a las libertades informativas en Internet. El número de ponencias que se debatieron fueron numerosas; a mi modo de ver destaco solo las que en mi opinión fueron las mas relevantes:

La primera de ellas tuvo por título:»Conceptos clásicos de libertades informativas: redefinición e incidencia de las TIC,s y fue impartida por Remedios Sánchez Ferriz, catedrática de Derecho Constitucional de la propia Universidad de Valencia. En ella se plantea la siguiente pregunta:¿en que medida la técnica ha contribuido al sentido originario de la información?.la respuesta que la docente planteó es que no siempre ha conllevado un beneficio a la información. El punto de inflexión en las técnicas está en Internet y estamos en condiciones de recuperar la libertad de expresión frente a los conocidos límites (ius communicationes del Padre Vitoria) en el que se afirma que todos somos llevados por naturaleza a la comunicación. También se afirmó que el don de la palabra nutre al entendimiento y a la voluntad del hombre. Hay que usar el discurso político para influir en la voluntad del adversario.

La segunda de las ponencias tenía como título:»La red social como ejemplo de participación: casos y cuestiones» por Francisca Ramón Fernández, profesora contratada doctora de Derecho Civil por la Universidad Politécnica de Valencia y en ella se vino a decir que en la web 2.0 está el intercambio de contenidos. La participación de usuarios es mas importante que en la web 1.0.También hay que ver las cuestiones que se presentan por ejemplo en la promoción de un producto. Se produce por tanto un aumento de la información aunque ésta puede fraccionarse y seleccionarse. También se planteó el interrogante información oral vs información virtual en la que pasamos de una web estática a otra dinámica en el que posteriormente se consume la información siendo el usuario el protagonismo absoluto. También se utilizan las redes sociales para el perfeccionamiento de las empresas porque suponen un cambio en el posicionamiento de los sujetos.

La tercera de las intervenciones que he señalado se titulaba:»El papel del informador en la era de la ciberdemocracia parlamentaria» por Eva Campos, profesora ayudante doctora de la Universidad de Valladolid en la que parte del supuesto de un periodista de élite que trabaja en un gabinete muy importante, en la que para que se cumplan una serie de condicionantes está la información a la carta: el usuario elige los contenidos que quiere y de ahí pasamos a la web 1.0 donde por ejemplo están los chats y posteriormente pasamos a la web 2.0.Ahora todos los parlamentarios tienen un blog y cada vez son mas aunque hay una mayoría que no tienen interés en hacer mas transparente su función.

La cuarta de las conferencias señaladas llevaba por título:»Garantías frente al creciente control privado y público de contenidos en la red: prohibición de censura previa y secuestro judicial en Internet» por Manuel Fernández Salmerón y en la que trata la naturaleza y el alcance de esa intervención judicial como consecuencia de la interrupción del servicio y en la que corresponde al juez avalar o no la suspensión. El juez debe limitarse a controlar si se ha producido o no la violación de un derecho fundamental por ejemplo: la libertad de expresión. Para haber suspensión deben darse dos requisitos: por un lado debe existir ánimo de lucro indirecto y por otro cuando se presente un detrimento patrimonial que es al fin y al cabo algo indeterminado.

La quinta de las exposiciones se titulaba:»La extensión de la libertad de expresión a los usuarios de la red y la amenaza de la Ley de Economía Sostenible» por Javier Maestre Rodríguez, del Bufete Almeida Abogados. El resumen que se puede hacer aquí es que se preveía que la ley fuera aprobada durante la presidencia española de la UE. El 19 de Marzo, el gobierno remitió el proyecto al Consejo en el que motivaba la actuación de la ministra de Cultura. Después del debate de la totalidad se publicaron las enmiendas de los distintos grupos parlamentarios. Enrique Dans calificó la propuesta de «triste». Cervera ,por otro lado consideró que la propuesta del PP «no fue mucho mejor». En referencia a la retención de los datos lo que se pretende es prevenir delitos y no prever violaciones al derecho de la propiedad intelectual. Se centran los aspectos en debates intrascendentes y el meollo es que se intenta llevar ante la jurisdicción contencioso-administrativa asuntos que solo corresponden a la jurisdicción civil y penal. En ningún caso se atribuye a los jueces de lo contencioso-administrativo que conozcan en profundidad asuntos de derechos de propiedad intelectual porque no hay razones de oportunidad para administrativizar esos asuntos de propiedad intelectual.

La sexta de las exposiciones lleva por título:»Una red donde todos somos menores de edad: sobre el ejercicio y tutela de derechos fundamentales a cargo de la Administración» por Andrés Boix Palop, profesor titular de Derecho Administrativo de la Universidad de Valencia. Aquí se comenta que la Administración pública puede invadir espacios donde es cuestionable que ésta actúe. Hay una valoración importante y es que hay veces en que la Administración no debe intervenir y en cambio lo hace con ausencia de voces críticas ,por ejemplo: la Ley Sinde. Y mientras esto pasa, ¿que hace la AEPD?.La Agencia Española de Protección de Datos ya no se ocupa tanto a los ficheros sanitarios o a la interconexión entre administraciones, según opina Boix sino que dedica a temas como Tuenti o Facebook. Si leemos la LOPD, en su ámbito de aplicación dice que hay que tener en cuenta los datos personales; estamos ante una ley que no pretende crear una vinculación concreta.

La séptima y última de las conferencias que menciono reza:»Revisión del marco legal de exención de responsabilidad de los proveedores de servicios por los contenidos que los usuarios suben a la red» del profesor Peguera Poch. Se parte en este caso de la Directiva 2000/31/CE y de la LSSICE y se comenta a modo de ejemplo que una empresa que transporta bits no va a ser responsable por contenidos difamatorios ni va a tener problemas por alojamiento. El que aloja contenidos por terceros no será responsable si cumple con unos requisitos concretos. Actualmente ha habido 50 casos en España con sus correspondientes resoluciones judiciales, siendo muy difíciles de encontrar los casos de primera instancia. La mitad de estos 50 casos son por difamación y la otra mitad son por descarga en servidores P2P.Otros casos en Europa resueltos de forma dispar son Google Italia, sentencia en Reino Unido por difamación por un sistema de moderación de comentarios, etc. El conocimiento efectivo es que la ley española se aparta de lo que dice la Directiva. Toda esta normativa proviene del equilibrio de derechos de propiedad intelectual.

01Oct/08

La protección de datos personales

La protección de datos personales
El impactante caso del Arzobispado de Valencia

La protección de datos personales es un tema que día tras día nos lo vamos encontrando en la práctica jurídica;son cada vez mas las sentencias y pronunciamientos judiciales que en sus escritos aparece como núcleo esencial este relevante derecho de protección de datos cuya importancia supera y con creces al propio derecho de la intimidad.

En España está en vigor la Ley de Protección de Datos (en adelante LOPD desde el año 1999;ley que derogaba la anterior de 1992 que llevaba por título «del tratamiento automatizado de datos personales de carácter personal».Nuestro actual texto omite en su enunciado el término «automatizado»,pero no supone una limitación a todos aquellos datos susceptibles de encontrarse en ficheros manuales o no automatizados,sino que es una ley que refuerza a estos últimos y los empareja,tratándolos de igual a igual,habida cuenta del estado actual de la técnica;pues no son pocas las empresas o instituciones varias que poseen ficheros que contienen dichos datos personales de personas físicas

El presente artículo trata de un posible conflicto de derechos:por un lado el derecho a la libertad religiosa (LOLR) y por otro el derecho a la protección de datos y digo conflicto puesto que estamos ante dos derechos fundamentales recogidos en nuestra Constitución Española del año 1978.

Contamos con el comentario de una reciente sentencia del Tribunal Supremo (TS) que resuelve en casación un recurso interpuesto por el Arzobispado de Valencia contra una sentencia de la Audiencia Nacional (AN) en la que consideraba ésta que los Libros de Bautismo eran ficheros y que como tales contenía datos personales. Estudiemos y analicemos este escrito:

Como he mencionado antes,estamos ante un Recurso de Casación, concretamente el 6031/2007 que resuelve y contradice el Recurso Contencioso-Administrativo 171/06 de 10 de octubre de 2007 de la Audiencia Nacional.

Una persona física pretende ejercer el derecho de cancelación y de forma exhaustiva,la cancelación de la anotación de su bautismo en el libro de éstos. Por otra parte,el Arzobispado de la ciudad española de Valencia no lo considera apropiado y se niega por completo a que el particular satisfaga sus propios intereses;intereses que de forma evidente están recogidos en la propia LOPD (acceso,rectificación,CANCELACION,oposición,bloqueo).

La Agencia Española de protección de Datos (en adelante AEPD) es el máximo órgano administrativo encargado de velar por los intereses de los perjudicados/personas físicas y emite una resolución contraria a su vez a la sentencia que es recurrida por la parte actora; en este caso el Arzobispado de Valencia.

La AN mediante Recurso Contencioso-Administrativo razona diversos fundamentos a modo de ejemplo el quinto y como ámbito objetivo:

«En primer lugar,ha de tratarse de datos de carácter personal y los que constan en el Libro de Bautismo lo son,pues se concretan en el nombre y apellidos del bautizado entre otros. En este sentido,el artículo 3.a) de la citada LO 15/1999,dispone que son datos de carácter personal»cualquier información concerniente a personas identificadas o identificables» y el nombre y apellidos insistimos lo son pues revelan una información de identificación del titular de los datos,como esta sala ha venido declarando con reiteración».

La parte actora considera que los Libros de Bautismo carecen por completo de la consideración de ficheros y por tanto no hay datos personales. La complejidad radica en que se produce un conflicto de derechos:el alegado por el Arzobispado de Valencia que aduce que se está vulnerando el artículo 1.6 de los Acuerdos Jurídicos entre la Santa Sede y el estado español de 3 de Enero de 1979;que nos encontramos ante un tratado internacional que ya forma parte del derecho internacional de España (artículos 94 y 95 de la CE9 y que aun cabiendo la posibilidad de haber un derecho vulnerado de protección de datos personales la libre organización y funcionamiento de su plena autonomía debe establecerse y no obligar por tanto al Arzobispado de Valencia a realizar las anotaciones precisamente en el Libro de Bautismos (dejamos para después las opiniones personales);así lo dice el fundamento octavo de la todavía analizada sentencia de la AN:

«Invoca igualmente la entidad actora su plena autonomía en el establecimiento de sus formas de organizase y funcionar en cuanto manifestación de su derecho fundamental a la libertad religiosa (artículos 16.1 CE y artículo 6 LO 7/1980 de Libertad Religiosa).La llevanza de sus libros y su intangibilidad sería por tanto una manifestación de ese derecho fundamental que operaría como límite del derecho a la protección de datos del afectado,en cualquiera de sus manifestaciones,de suerte que una manifestación integrada en el Estado,como es la AEPD,encargada de velar por este último derecho,no podría cursarle órdenes que fuesen contrarias a sus propias normas de funcionamiento».

En la representación del recurrente se formulan tres motivos de recurso,el primero:la infracción de dicho artículo 1.6 de los Acuerdos Santa Sede-estado español,al amparo del artículo 88.1 d) de la Ley Jurisdiccional.

El segundo motivo es la vulneración del artículo 6 de la Ley Orgánica de Libertad Religiosa en relación con el artículo 16.1 de la CE,en función de lo recientemente anotado:la autonomía en el establecimiento de sus formas de organización y establecimiento.

Y por último el tercer motivo de recurso es al amparo del también artículo 88.1 d) de la Ley Jurisdiccional en el que se consideran vulnerados los artículos 2,4,5 y 11 de la vigente LOPD,considerando que los Libros de Bautismo no son ficheros,sino hechos históricos en un momento dado. Incluye también que estos libros no están ordenados ni alfabéticamente ni por fecha de nacimiento,sino de bautismo.

Siguiendo la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de Octubre de 1995,referente a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de éstos,se define fichero como «todo conjunto organizado de datos de carácter personal,cualquiera que fuera la forma o modalidad de su creación,almacenamiento,organización y acceso».Quiero por tanto dejar mi opinión en relación a la amplia definición de fichero que se ha leído:que pese a que no están ordenados ni alfabéticamente ni por fechas de nacimiento,sí lo están por bautismo y accediendo a éstos,podríamos llegar a saber mas datos personales de cualquiera. Me aproximo en este sentido a la doctrina de la AN de que la información que aparece en los libros de bautismo son datos personales y que aquéllos son ficheros strictu sensu;la ley evidentemente debería ser de aplicación en este caso y sí cabría fundamentar la práctica de anotación marginal.

La LOPD en su artículo 3 a) dispone que son de carácter personal «cualquier información concerniente a personas físicas identificadas o identificables».Los nombres y apellidos son bajo mi punto de vista datos personales y deben estar completamente protegidos. El hecho de considerar que el fichero es un Libro de Bautismo no nos debe apartar de la consideración de encontrarse en un soporte físico y la ley habla perfectamente de soportes físicos u otros.

Resumiendo hasta ahora:tenemos nombre y apellidos (datos personales) que aparecen en un fichero registrado en soporte físico (Libro de Bautismos) y que pueden ser fácilmente tratados;atendemos en este caso a la definición de tratamiento;amplia definición por otro lado según los preceptos legales cuando nos referimos a la expedición de una partida de bautismo,pero incluso en estas partidas se hace referencia a personas fallecidas;¿a donde nos lleva esto?;pues a que los datos no están actualizados ni son veraces;vulneración también del artículo 4.3 de la LOPD: «Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado».De hecho,creo que podría tratarse de una infracción del principio de información puesto que contamos con datos de personas ya fallecidas y esos ficheros no han sido actualizados.

Según el Tribunal Supremo,no hay inexactitud de los datos y no es discutible;puede ser que todo lo reflejado en los Libros de Bautismo sea absolutamente certero,pero el criterio histórico a mi modo de ver no debería reflejarse aquí:serán datos históricos pero al fin y al cabo son datos personales,pues pueden comprobarse sus nombres y apellidos.

También me gustaría hacer referencia a un fragmento de este Recurso de Casación en lo atinente a la globalidad de procesos. Puede llegar uno a pensar en la informatización de esas partidas de bautismo;si así fuese ya estaríamos hablando de datos personales y en ficheros automatizados. Si además añadimos la posibilidad de entrecruzar esos datos de bautismo o acceder a ellos por parte de terceros,el resultado final es que con esas aplicaciones informáticas sabemos perfectamente los datos personales de los bautizados y aun así la doctrina del TS seguiría negando la consideración de los Libros de Bautismos como ficheros en sí.

Me aproximo mucho mas a la idea mostrada por la AN en su Recurso Contencioso-Administrativo de pensar en datos personales los reflejados en los Libros de Bautismos;en pensar que estos son ficheros (automatizados o no) y que el particular-persona física debería tener derecho a que se realizase por parte del Arzobispado de Valencia nota marginal en sus correspondientes Libros de Bautismos. El fallo definitivo que resuelve el TS es que casa y anula lo decidido por la AN y estima el inicial Recurso Contencioso-Administrativo interpuesto por aquel Arzobispado.

Como información añadida mencionar según nota de prensa de la propia AEPD que ésta recurrirá la sentencia del TS sobre cancelación de datos en los Libros de Bautismos,para ello presentará un incidente de nulidad de actuaciones ante el TS y de no prosperar este trámite interpondrá Recurso de Amparo ante el Tribunal Constitucional (TC).

01Sep/02

Requerimientos de inscripción de los ficheros

Requerimientos de inscripción de los ficheros

La Inscripción en el Registro General de Protección de Datos que la Agencia de Protección de Datos ha habilitado al efecto es la obligación previa en esta materia. El criterio determinante de la inscripción es bastante claro: TODOS los ficheros que contengan datos de carácter personal han de estar inscritos en el Registro, con el solo elemento caracterizador de que se trate de datos relativos a personas físicas. Ello se deduce de los siguientes preceptos:

Articulo 2.1 de la LOPD:
«La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.»

Artículo 3 a) de la LOPD, definición de dato:
«cualquier información concerniente a personas físicas identificadas o indentificables».

Es claro que la LOPD y el Reglamento no se ocupa de los datos de las Personas Jurídicas. Sin embargo, también es claro el ámbito enorme y devastador de la norma. Además, pensemos que un fichero automatizado formado por facturas de personas jurídicas pudiera contener también datos de empresas societarias unipersonales, profesionales autónomos, etc: esto lo convierte en un «fichero que contiene datos de carácter personal», con lo que las medidas de seguridad deberán de ser impuestas.

No confundir, sin embargo con la OBLIGACIÓN de su inscripción: ésta atañe tanto a personas físicas (por ejemplo, y repito, profesionales liberales -abogados-) como a personas jurídicas (incluso públicas) que procedan a la creación de ficheros que contengan datos de carácter personal. Es decir, el criterio delimitador para someterse a las medidas de seguridad -y por extensión, a la primera de ellas, la inscripción- es simplemente, «que haya datos que hagan referencia a personas físicas». Y estos datos pueden venir creados por cualquier tipo de persona física -en un ámbito profesional- o jurídica -independientemente de su forma societaria, incluida las públicas-.

El Registro General de Protección de datos puede ser consultado online en el sitio http://www.agenciaprotecciondatos.org/regis.html. Actualmente hay unos 250.000 ficheros, lo cual significa que existen una mayoría no legalizados. Y eso a pesar de las facilidades que la Agencia ha incluido para dar facilidades a la hora de su inscripción.

Básicamente, los ficheros pueden ser inscritos a través de un software que está disponible en la página web anteriormente referenciada o rellenando el formulario existente en la web. Hay que señalar que la Agencia no contiene la información de los ficheros a inscribir, sino una descripción de éstos y la dirección donde los afectados pueden ejercer sus derechos.

Por tanto, cuando hablamos de «registrar» un determinado fichero, no hablamos de proporcionar a la agencia dicho fichero: solo la información descriptiva a éste y los datos que el registro requiere, a saber: nombre del fichero, descripción, finalidad y dirección del responsable del fichero (para que se puedan ejercer los derechos de acceso, rectificación, etc…).

Aunque existen una gran cantidad de ficheros no inscritos, si no se notifica la existencia de un fichero, podría incurrirse en falta leve o grave, tal y como señala el artículo 44 de la Ley, quedando sujeto al régimen sancionador previsto.

 

14Sep/01

Otras cuestiones de interés en el ámbito laboral

Otras cuestiones de interés en el ámbito laboral

1.- NATURALEZA DE LA DIRECCIÓN DE CORREO ELECTRÓNICO A EFECTOS DE LA LOPD

Se ha cuestionado si las  direcciones tienen la consideración de dato de carácter personal, a tenor  del concepto establecido en el artículo 3.a) de la LOPD.

La dirección de correo electrónico se forma por un conjunto de signos o palabras libremente elegidos generalmente por su titular, con la única limitación de que dicha dirección no coincida con la correspondiente a otra persona.

Esta combinación podrá tener significado en sí misma o carecer del mismo, pudiendo incluso, en principio, coincidir con el nombre de otra persona distinta de la del titular.

Por ello podemos referirnos a dos supuestos esenciales de dirección de correo electrónico, atendiendo al grado de identificación que la misma realiza con el titular de la cuenta de correo.

El primero de ellos se refiere a aquellos supuestos en que la dirección de correo electrónico contenga información acerca de su titular, pudiendo esta información referirse tanto a su nombre y apellidos o, por ejemplo, a la empresa en que trabaja.

En este caso,  no existe duda de que la dirección de correo electrónico identifica, al titular de la cuenta, por lo que en todo caso dicha dirección ha de ser considerada como dato de carácter personal [1] .

Ejemplos característicos de este supuesto serían aquellos en los que se hace constar como dirección de correo electrónico el nombre y, en su caso, los apellidos del titular (o sus iniciales), correspondiéndose el dominio de primer nivel con el propio del país en que se lleva a cabo la actividad y el dominio de segundo nivel con la empresa en que se prestan los servicios (pudiendo incluso así delimitarse el centro de trabajo en que se realiza la prestación).

Un segundo supuesto sería aquel en que, en principio, la dirección de correo electrónico no parece mostrar datos relacionados con la persona titular de la cuenta (por referirse, por ejemplo, el código de la cuenta de correo a una denominación abstracta o a una simple combinación alfanumérica sin significado alguno).

En este caso, un primer examen de este dato podría hacer concluir que no nos encontramos ante un dato de carácter personal.

Sin embargo, incluso en este supuesto, la dirección de correo electrónico aparecerá necesariamente referenciada a un dominio concreto, de tal forma que podrá procederse a la identificación del titular mediante la consulta del servidor en que se gestione dicho dominio, sin que ello pueda considerarse que lleve aparejado un esfuerzo desproporcionado por parte de quien procede a la identificación.

Por todo ello se considera que también en este caso, y en aras a asegurar, en los términos establecidos por la Jurisprudencia de nuestro Tribunal Constitucional, la máxima garantía de los derechos fundamentales de las personas, entre los que se encuentra el derecho a la «privacidad», consagrado por el artículo 18.4 de la Constitución, será necesario que la dirección de correo electrónico, en las circunstancias expuestas, se encuentre amparada por el régimen establecido en la LOPD.

Por otra parte, de lo expuesto se deduce que la cesión de un listado de direcciones de correo electrónico se encuentra sujeta al artículo 11 de la LOPD, sin que la mera publicación en Internet de un directorio de direcciones de correo electrónico puede ser considerada como circunstancia que convierte los datos en accesibles al público, toda vez que dicha inclusión supone un tratamiento que, debe haber sido efectuado recabando el consentimiento informado de los afectados, tal y como establecen los arts. 5 y 6 de la LOPD.

2.- EL USO DEL CORREO ELECTRÓNICO EN EL TRABAJO

Las nuevas tecnologías de la comunicación han traído consigo, además de la aparición de nuevas empresas que operan en Internet, la obligación por parte de las ya existentes de adecuarse a las mismas y reciclar a sus empleados en el uso, por ejemplo, del correo electrónico en sus tareas diarias.

La posibilidad de comunicarse entre diferentes departamentos de forma casi inmediata, el envío de documentos sin necesidad de moverse del sitio de trabajo o el intercambio de información entre las diferentes sedes de una misma empresa son algunas de las muchas ventajas que el e-mail proporciona a las empresas.

Sin embargo, también se pueden enumerar algunos inconvenientes, como el uso abusivo e indebido de estas herramientas para usos meramente personales.

De este modo, la introducción de las tecnologías en las empresas está empezando a influir en el ámbito de las relaciones laborales. La posibilidad de que los empresarios controlen el e-mail utilizado por los trabajadores ha abierto el debate sobre una cuestión en la que puede estar en juego la protección de derechos constitucionales.

Y partiendo de que el correo electrónico no es una propiedad del trabajador [2] , resulta esencial definir qué se entiende por uso correcto del correo electrónico en la empresa. Porque junto al derecho a la intimidad del trabajador ( art. 18 CE ), está la responsabilidad de la empresa por la conducta de sus empleados en el trabajo y su poder de dirección y control ( art. 20 ET ).

Pero estos derechos se encuentran sometidos entre sí, a relaciones de coordinación, no de subordinación, puesto que ni la capacidad de control del empresario es absoluta, ni los derechos del trabajador ilimitados, porque los principios constitucionales deben coordinarse entre sí como valores que representan. De hecho, ambos se hayan sometidos al principio jurídico de buena fe contractual ( art. 5.a. y 20.2 ET ).

Lo cierto es que la utilización del correo electrónico y de Internet en el medio laboral está planteando numerosísimos problemas a las empresas, especialmente en cuanto a la utilización de estos medios para fines privados, donde influye no sólo el coste que el empresario tiene que asumir, sino también el tiempo de trabajo que el empleado dedica mientras está haciendo uso de tales medios , en el que, lógicamente, no está desarrollando su trabajo. Y la realidad es que las empresas no pueden permitirse el lujo de tener en nómina a gente que pierde media jornada laboral chateando con los amigos o navegando por Internet.

En el Derecho español no existe, por el momento, una normativa específica destinada a resolver las posibles cuestiones  generadas por el control por parte del empresario del e-mail de sus trabajadores, por lo que para resolver esta cuestión debemos acudir a la normativa de carácter general.

Se plantea entonces un conflicto entre el poder de dirección empresarial y el ejercicio de los derechos fundamentales del trabajador ; en concreto, el derecho a la intimidad, el derecho al secreto de comunicaciones y el derecho a la libertad de expresión.

En este sentido, para determinar los posibles efectos derivados de la utilización del correo electrónico y de Internet en el medio laboral debemos solucionar una cuestión previa, el debate existente entre el poder de dirección empresarial y el ejercicio de derechos fundamentales por parte del trabajador.

La respuesta que, en cada caso concreto, se de a esta cuestión determinará las posibilidades de control y supervisión empresarial del correo electrónico, remitiéndonos al Módulo de Telecomunicaciones donde trataremos específicamente esta cuestión, en relación, no ya a una posible vulneración del derecho a la intimidad del trabajador, sino desde el punto de vista del derecho al secreto de las comunicaciones.

4.- EL USO SINDICAL DEL E-MAIL

Hasta ahora hemos hecho sólo referencia al uso del correo electrónico dentro de la empresa a título individual de los trabajadores.

Por tanto, una vez analizado dicho problema, es necesario abordar, asimismo, puesto que unido al anterior es un tema de gran actualidad, el ámbito colectivo de esa utilización.

Nos referimos a la posibilidad de que la representación unitaria de los trabajadores en la empresa, o las secciones sindicales, tengan derecho a utilizar tanto el correo electrónico de la empresa como Internet, en el caso de que exista un portal de la empresa en Internet destinado a los trabajadores, es decir, el denominado portal B2E, sobre el que posteriormente hablaremos.

El debate sobre la necesidad de regular de forma específica el uso sindical del correo electrónico y de garantizar su inviolabilidad en el puesto de trabajo está más que abierto, y a él no son ajenos ni usuarios, ni sindicatos ni las formaciones políticas.

De hecho, el Senado aprobó el día 28 de noviembre de 2000, por unanimidad, una moción que insta al Gobierno a poner en marcha las medidas necesarias para considerar el correo electrónico e Internet como instrumentos de comunicación e información entre los sindicatos y los trabajadores, con garantía de inviolabilidad de las comunicaciones conforme al marco legal vigente [3] .

El texto pedía al Ejecutivo que estudiara estas fórmulas, en el plazo más breve posible, pero condiciona su aplicación a que la actividad y características generales de las empresas lo permitan.

Así pues, garantizar la inviolabilidad del correo electrónico y su uso con fines sindicales se ha convertido, hoy en día, en uno de los temas de mas actualidad, polémica a la que también se ha unido la Asociación de Internautas ( AI ), la cual, por cierto, recomienda la encriptación del correo electrónico [4] ( el programa de encriptación que la AI ofrece en su sitio web ha sido descargado por más de 30.000 internautas ).

De lo que se trata es de determinar si, de los preceptos legales aplicables, se otorga legitimidad a los representantes de los trabajadores para exigir la utilización de los medios informáticos para fines sindicales, obviamente  sin que el empresario pueda realizar una labor de control y supervisión de tal utilización.

La Sentencia del Tribunal Supremo de 13 de octubre de 1995, resuelve, en parte, alguna de estas cuestiones, desestimando la demanda de conflicto colectivo en reivindicación del derecho de los representantes sindicales a acceder a libre uso del tablón y correo electrónico a los fines de comunicación con sus representantes.

Por su parte, CC.OO reclama el derecho de los trabajadores a la utilización del correo electrónico en la empresa como medio para comunicarse con sus representantes sindicales.

No se trata de que los trabajadores adquieran nuevos derechos sindicales, sino de adaptar los ya existentes a la realidad laboral del presente, marcada por la irrupción de las nuevas tecnologías.

Precisamente CC.OO. había planteado un conflicto colectivo en el BBVA por las restricciones que la dirección del Banco había impuesto al uso del correo electrónico por sus trabajadores, conflicto que ya ha sido resuelto por la Audiencia Nacional, reconociendo el derecho de la división sindical de CC.OO. de la entidad bancaria a comunicarse por correo electrónico con sus afiliados y con los trabajadores en general [5] .

Analizando el contenido de tan importante Sentencia nos remitiremos a los antecedentes de hecho.

La Empresa dictó  una serie de normas de actuación para el uso racional del Correo Electrónico, entre las que cabe resaltar las Prácticas a evitar. Así señalaba que «el Correo Electrónico es una herramienta de productividad que el Grupo pone a disposición de sus empleados, para el desarrollo de las funciones que les tiene encomendadas.

Los usos ajenos a estos fines son por tanto considerados inapropiados y en el límite podrían configurar falta laboral. En particular la remisión a uno o varios usuarios de correos no solicitados, especialmente si esto se hace de forma masiva (actividad conocida como «spam») es una práctica rechazable y, dependiendo de las circunstancias que concurran, puede llegar a ser perseguible».

Por su parte, el Sindicato de CCOO., desde el Servidor Externo de COMFIA.NET, a través del Servidor Interno de la Empresa, enviaba a los trabajadores de la Empresa  por correo electrónico mensajes de información de acción Sindical, sin ningún tipo de problema, hasta que la entidad, al apreciar  el envío masivo de mensajes de dicha organización, el tamaño de los mismos y las largas colas de espera, , la Empresa decidió filtrar la entrada desde aquella dirección siendo  rechazadas, con notificación al remitente del rechazo.

La Audiencia estima parcialmente  la demanda, declarando el derecho del Sindicato accionante y de sus Secciones Sindicales en las Empresas del Grupo BBVA,   transmitir noticias de interés sindical a sus afiliados y a los trabajadores en general a través del correo electrónico (E-mail) con  mesura y normalidad .

Tras esta Sentencia las reacciones no se han hecho esperar. Así desde CC.OO. [6] señala que nadie discute el hecho de la utilización de las comunicaciones telefónicas o postales por parte del Sindicato para ponerse en contacto con sus afiliados en los centros de trabajo, e incluso, con los trabajadores en general, puesto que estamos ante un derecho constitucional, y desarrollado por la Ley Orgánica de Libertad Sindical .

El problema es que no existe ninguna normativa que se adapte al problema, que origina la nueva realidad tecnológica,  por lo que desde dicha organización sindical optan por una adaptación en general : si el Sindicato tiene derecho a comunicarse a través de los medios tradicionales, debería tener el mismo derecho para hacerlo a través de las nuevas tecnologías de la información.

De esta forma, se propone que, tanto los Convenios colectivos como el propio Estatuto de los Trabajadores, expliciten el derecho de las personas a no recibir información sindical, o de una opción sindical determinada.

De hecho se pretende  presentar en el Parlamento de Cataluña una propuesta de ley para regular, en función de las competencias que tiene de auto organización  sobre las AA.PP, tanto el derecho de uso sindical, como el derecho de uso personal.

Por otra parte, a nivel comunitario, existe ya una petición de la Conferencia Europea de Sindicatos relativa al tema de los ciber- delitos- sindicales, consistente en la capacidad que tiene que existir de que cuando se constituya un comité de empresa europeo, automáticamente, haya una libertad de comunicación vía Internet entre las secciones sindicales de los sindicatos de los distintos países que componen el Comité de Empresa Europeo.

Uso sindical del portal B2E

En relación al uso sindical del portal B2E de la empresa, se plantea si la sección sindical o el comité de empresa pueden reclamar una sección de dicho portal para la comunicación con los trabajadores.

Pues bien, está claro, que su uso contribuiría al ejercicio de una función del Comité, puesto que una de sus funciones, reconocida en el art. 64 ET, es la de informar a los trabajadores que representan.

Sin embargo, este portal, en principio, no es un instrumento imprescindible para realizar dicha labor, aunque lógico es que puede ayudar a ello.

Lo cierto es que el empresario, como regla general, no debería negarse a tal utilización, pero si lo hace, su postura sería legítima y difícilmente sancionable a la vista de la actual legislación.

Similar postura podríamos adoptar en el caso de un tablón de anuncios en la intranet, como alternativa al tablón físico al que se refiere el art. 81 ET ( » en las empresas o centros de trabajo, siempre que sus características lo permitan, se pondrá a disposición de los delegados de personal o del comité de empresa un local adecuado en el que puedan desarrollar sus actividades y comunicarse con los trabajadores, así como uno o varios tablones de anuncios « ), o de la facilitación de medios materiales y virtuales, como cuentas de correo, a los representantes de los trabajadores para poder comunicarse con sus representados a través de la intranet.

5.- LA UTILIZACIÓN DE LAS NUEVAS TECNOLOGIAS  PARA LA VIGILANCIA DE LOS TRABAJADORES

5.1.- Control mediante  la instalación  de cámaras  o micrófonos.

La revolución Tecnológica ha sido tan fuerte que ha cambiado completamente la organización del trabajo.

Como ya hemos señalado anteriormente, nuestra legislación laboral no está adaptada a la nueva situación tecnológica, y mientras no se logren unas relaciones laborales que se adapten más a la nueva realidad tecnológica y de organización de la empresa, estaremos desaprovechando, en la misma medida, todo lo que se podría ganar en eficiencia y competitividad en la empresa.

Sin embargo, esta irrupción de las nuevas tecnologías, de una forma, quizás tan brusca, está provocando una situación de incertidumbre, tanto para los trabajadores como para las propias empresas, sobre cuáles son las »  nuevas reglas » a las que tienen que sujetarse.

Todos los autores sostienen la necesidad de lograr un equilibrio entre las necesidades de la empresa y los derechos de los trabajadores. Sin embargo, ésta no es una labor fácil hasta que no se logre un cambio en materia laboral como consecuencia, precisamente, de su interacción con las nuevas tecnologías.

Centrándonos en el tema en cuestión, la pregunta es de total actualidad : ¿ puede el empresario instalar un circuito de televisión cerrado para controlar  a sus trabajadores?.  ¿ Y micrófonos? .¿ Qué implicaciones tiene para la intimidad del trabajador que las nuevas tecnologías se puedan utilizar para controlar o vigilar al empleado en el desarrollo de su prestación laboral ?.

Pues bien, mientras una persona desarrolla su trabajo está generando una gran cantidad de datos sobre su persona, sin ni siquiera saberlo ; cuántas horas pasa en su puesto de trabajo, qué tiempo efectivo le dedica, cuáles son sus hábitos, con qué frecuencia hace descansos, si comete errores…Todos esos datos reunidos podrían utilizarse para configurar unos perfiles individuales del trabajador, que, podrían vulnerar su derecho a la intimidad. E incluso, es posible que con la utilización de imágenes o vídeos se esté violando un derecho fundamental aún cuando no se llegue a atentar contra la intimidad o contra el derecho a la propia imagen de las personas a las que tales imágenes se pueda referir [7] .

En España no existe una normativa específica que regule la instalación y utilización de mecanismos de control y vigilancia mediante sistemas de captación de imágenes o grabación de sonidos en los centros de trabajo [8] , por lo que serán los órganos jurisdiccionales, y , en último caso, el TC, los encargados de ponderar en qué circunstancias concretas puede considerarse legítimo su uso por parte del empresario, amparándose en las facultades que el art. 20 del Estatuto de los Trabajadores reconoce, atendiéndose siempre al respeto de los derechos fundamentales del trabajador.

 El problema radica en que, todavía, no existe una tendencia jurisprudencial suficiente como para poder originar una línea interpretativa lo suficientemente concreta, es más, posteriormente comprobaremos, cómo las distintas sentencias dictadas al respecto son, en muchos casos, contradictorias, lo que no hace sino aumentar , si cabe aún más, el desconcierto.

Nos encontramos ante un conflicto de dos bienes jurídicos como son, por una parte, la intimidad personal, reconocida en al art. 18 CE, y, por otro, el poder empresarial de  control que reconoce el  art. 20.3 del ET, en  virtud del cual «el empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales » , a lo que añade que  deberá hacerlo » guardando en su adopción u aplicación la consideración debida a su dignidad humana…».

Aunque como ya hemos indicado, España carece de una regulación al respecto, sería oportuno hacer una referencia a la LO 4 / 97 de 4 de agosto, por la que se regula la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos,  que representa una importante novedad en cuanto que tiene el siguiente objeto, según su artículo 1:

1.»  La presente Ley regula la utilización por las Fuerzas y Cuerpos de Seguridad de videocámaras para grabar imágenes y sonidos en lugares públicos, abiertos o cerrados, y su posterior tratamiento, a fin de contribuir a asegurar la convivencia ciudadana, la erradicación de la violencia y la utilización pacífica de las vías y espacios públicos, así como de prevenir la comisión de delitos, faltas e infracciones relacionados con la seguridad pública «.

Asimismo, esta norma establece específicamente el régimen de garantías de los derechos fundamentales y libertades públicas de los ciudadanos que habrá de respetarse ineludiblemente en las sucesivas fases de autorización, grabación y uso de las imágenes y sonidos obtenidos conjuntamente por las videocámaras .

En su Disposición Adicional octava señala que su instalación y uso deberá realizarse  «con sujeción a lo dispuesto en las Leyes Orgánicas 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal, ( actualmente  LO 15 / 99 ) y 1/1982, de 5 de mayo, de Protección Civil del Derecho al Honor, a la Intimidad Personal y Familiar y a la Propia Imagen, en el marco de los principios de utilización de las mismas previstos en esta Ley «, entre otras.

Aunque esta Ley se refiere, exclusivamente, a los lugares públicos, nos puede servir como referencia para determinar si la imagen, y los sonidos, pueden considerarse como dato de carácter personal.

Dicha Ley nos remite a la LORTAD, hoy habrá que entender que la remisión es a la LOPD, al señalar que las garantías que se pretenden con esta Ley pasan por traer el régimen  de garantías previsto por la LORTAD, a la videovigilancia, teniendo a las imágenes captadas por  medio de esos instrumentos como datos de carácter personal.

A su vez el régimen de instalación, uso y destino de las imágenes y sonidos captados se tiene como tratamiento de dato automatizado y el régimen de conservación y acceso a las grabaciones como si de un fichero automatizado se tratase [artículo 3 ,a), b) y c) Ley Orgánica 5/1992] .

Tal y como ya sabemos, la LOPD entiende por dato de carácter personal «cualquier información concerniente a personas físicas identificadas o identificables», lo que implica que a los efectos de la Ley Orgánica 4/1997 se entiende por dato personal la  simple imagen de una persona física  deambulando , desenvolviéndose o  actuando en una vía o lugar público así como los sonidos que se recojan de las vías o lugares públicos.

Esta Ley exige como requisito cumplir con el principio de proporcionalidad, y como subprincipios, el de idoneidad, es decir, adecuación del medio al fin perseguido, y al de intervención mínima, de modo que sólo se podrá utilizar este método para cumplir con los fines perseguidos si éstos no se pueden lograr por otros medios menos dañinos.

En cuanto a sus garantías también nos remite a la LORTAD, para su destrucción, confidencialidad, régimen de cesiones, garantía de custodia…

Se trata de un régimen jurídico que busca compatibilizar determinados medios técnicos empleados en la guarda de la seguridad ciudadana y el de afectación mínima a determinados derechos fundamentales.

Hemos querido hacer referencia a esta Ley, que, aunque sólo se refiere a los lugares públicos, es importante, pues considera la imagen, y la voz, como dato de carácter personal y que, por tanto, se haya sometido a la protección de la actual LOPD.

Y es que ya la Directiva 95/46CE amplía el dato de carácter personal de imagen al incluir no sólo la captada por aparato fotográfico, sino también por videocámaras  (Considerandos 14, 15 ,16 y 17 ).

Este reconocimiento de la Directiva del sonido y de la voz como datos de carácter personal potencia la protección de los mismos en aras  de la salvaguarda de la intimidad personal, fundamentalmente, al derecho de información en el caso de obtención de datos recabados del mismo interesado como cuando los datos hayan sido recabados por terceras personas, lo que necesariamente supone dar plena eficacia al principio del dominio permanente establecido a favor de la persona a la que afectan las informaciones, y a la necesidad del cumplimiento de las medidas de seguridad oportunas [9] .

Actualmente la LOPD en su art. 3, al señalar que ciertos tratamientos de datos personales se regirán por sus disposiciones específicas, en su apartado e) incluye los procedentes de  » imágenes y sonidos obtenido mediante la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad del Estado «.

Por lo que considera la imagen y el sonido como dato de carácter personal.

Por tanto, una vez admitida la imagen como dato de carácter personal, cabe señal que, una vigilancia sistemática podría estar justificada en algunas circunstancias especiales, como la prevención de un delito o la represión penal, o cuando existan otros intereses públicos importantes.

Sin embargo, además de la posible violación de la intimidad de una persona, otra cuestión que debe tenerse en cuenta, cuando se trata la vigilancia técnica , es la de la legitimidad del tratamiento de datos.

En el artículo 7 de la Directiva comunitaria de protección de datos se enumeran los principios para la legitimación del tratamiento de datos.

Si el alcance y el posible impacto de la vigilancia aumentaran, podría alegarse que estas causas deben interpretarse en un sentido estricto.

En otras palabras, los datos personales sólo deben ser objeto de tratamiento cuando sea «estrictamente necesario» para el fin propuesto, claramente definido, a que se destina el tratamiento. Si puede lograrse el mismo fin sin hacer uso de los datos que permiten la identificación del interesado, deberán utilizarse datos anónimos.

Con frecuencia, se aprecian beneficios del uso de estas tecnologías en el ámbito laboral, sin embargo, al mismo tiempo, revelan insuficiencias notables en lo que concierne a las cuestiones de protección a la intimidad, por lo que los siguientes puntos han de ser de especial importancia :

  • Los datos personales deben ser estrictamente necesarios para el funcionamiento del sistema; en otras palabras, no deben recogerse más datos personales que los que sean necesarios.
  • Los datos personales sólo deben conservarse durante el período de tiempo que se necesiten. Una vez finalizado este período deberán cancelarse inmediatamente.
  •  Deberán tomarse medidas de seguridad adecuadas para asegurar la integridad de los datos.
  •  El sistema debe estar definido de tal manera que resulte imposible la utilización de los datos para otros fines.
  • El interesado ha de ser suficientemente informado del hecho de que se va a proceder a la recogida y tratamiento de sus datos personales.

Conclusiones que, en realidad, nos llevan a los principios generales de la protección de datos, tales como un  tratamiento leal, proporcionado, adecuado, transparente, de acuerdo a la finalidad para la que se recogió…

En el ámbito de las empresas, cada día se están planteando más debates en torno a la legalidad de la utilización de cámaras en el lugar de trabajo y su posible admisión como prueba en juicio.

A este respecto, ya hemos señalado, que la situación es de absoluta incertidumbre, pues los Tribunales están argumentando cosas absolutamente contradictorias.

A modo de ejemplo, el titular del Juzgado de lo Penal de Barcelona [10] ha admitido  el uso de cámaras ocultas para vigilar los quirófanos.

Sostiene que el método de vigilancia respeta los límites de la intimidad y el honor de las personas captadas en las grabaciones, y que el lugar donde se colocan las cámaras es un espacio privado de uso público, puesto que en los quirófanos no se desarrolla ninguna actividad que se pueda considerar íntima o personal.

El magistrado deja claro que no entiende que se atente contra el derecho a la intimidad y el honor de los médicos mediante una grabación audiovisual de una intervención quirúrgica propia de su tarea habitual. En todo caso, quienes tendrían derecho a oponerse a tales grabaciones serían los pacientes.

Por tanto, considera la filmación justificada, proporcionada y necesaria, puesto que el uso de las cámaras ocultas es una de las atribuciones  de carácter laboral al alcance de la dirección del centro, aprobando su utilización para investigar sobre el destrozo de material quirúrgico, por lo que tal medida, era la única forma de comprobar tal hecho.

Asimismo añade que la previa autorización judicial sólo es inexcusable cuando el lugar donde se produce la  filmación goza de la protección del art. 18.2 CE, es decir, en domicilios privados.

Asimismo, el Tribunal Superior de Justicia de Asturias, en sentencia de 20 de julio, admitió la legalidad de las cámaras en la empresa para vigilar la productividad de sus empleados, señalando que la instalación de las mismas se realizó, exclusivamente, para velar por el cumplimiento de las medidas de seguridad y para controlar la productividad en la misma [11] .

Considera que esta instalación un excede de las facultades previstas en el art. 20.3 ET, ni infringe el art. 18 CE puesto que no entraña daño a la consideración debida a los empleados ni violenta sus derechos fundamentales.

La instalación de cámaras no supone, a su juicio, un medio agresivo que ataque directamente este derecho fundamental, sino que guarda perfecta relación con la vigilancia del cumplimiento por los trabajadores de sus obligaciones laborales y de observancia de las medidas de seguridad legalmente exigidas [12] .

Jueces y Tribunales consideran estas sentencias contrarias a la doctrina del Tribunal Constitucional que protege el derecho a la intimidad.

Esto ha provocado que las organizaciones sindicales y los expertos judiciales insistan en que la instalación de las cámaras en el lugar de trabajo debe ser negociada previamente con los trabajadores.

En opinión de D. José Antonio Martín Pallín [13] , la empresa tiene derecho a controlar el proceso de producción y la productividad de sus empleados, pero los aparatos deben funcionar, exclusivamente, para esos fines, y no captar imágenes o conversaciones que puedan vulnerar el derecho a la intimidad.

Los trabajadores deben ser advertidos de la instalación de las mismas, y si el empresario muestra el emplazamiento de las cámaras al Comité de los trabajadores ( en virtud de la facultad que el art. 44.4. d) ET otorga a éstos de revisar los sistemas de organización y control de la empresa ), tiene que quedar definido que, cada cierto tiempo se eliminen las grabaciones que no sirvan para esa finalidad concreta de control de la producción o para la seguridad.

Rige, por tanto, el principio de adecuación al fin en su utilización, de modo que, si el empresario utiliza esas cámaras para fines distintos, sí se produciría una vulneración total de los derechos de los trabajadores y su uso, por tanto, sería considerado como una intromisión ilegítima. Hay que tener muy presente, por tanto, la finalidad de su utilización.

A juicio de CC.OO las grabaciones de conversaciones o imágenes de los trabajadores que no sean exclusivamente en el desempeño de su función, constituyen una vulneración del derecho a la intimidad y otros muchos más derechos fundamentales.

En la misma línea UGT, defiende el derecho a la intimidad de los trabajadores, afirmando que, puesto que en España existe un vacío legal en cuanto a la vigilancia por cámaras, tendremos que arroparnos en la CE y exigir que tales medidas sean materia de negociación colectiva, y que cuando se instalen sean conocidas por todos los trabajadores [14] .

Línea interpretativa del TC

El TC  ha dictado dos sentencias recientemente sobre esta cuestión ;  una relativa a la instalación de videocámaras y, otra, a la instalación de micrófonos como complemento al sistema de videocámaras del que ya se disponía en la empresa.

Ambas se basan en las mismas fundamentaciones, pero, las diferencias de los casos concretos,  le lleva a declarar en una la vulneración del derecho a la intimidad ( en la STC 98 / 2000 )  y en la otra su inexistencia (  STC 186 / 2000 ).

Estas dos sentencias nos servirán de base para conocer cuál es la línea interpretativa a seguir en estos casos, del mismo modo que ambas ponen de relieve la disparidad de conclusiones de los distintos tribunales por los que han ido pasando las  dos causas.

a) STC 98 / 2000  de 10 de abril.

Dictada como consecuencia de recurso de amparo contra la Sentencia dictada por el Tribunal Superior de Justicia de Galicia.

La cuestión se centra en decidir si la decisión de la empresa de instalar micrófonos  en el lugar de trabajo para conseguir un control de la actividad laboral, vulnera o no el derecho a la intimidad de los trabajadores.

El hecho concreto es que en dicha empresa, concretamente un casino, ya existía un circuito cerrado de televisión, como medida de control y la instalación de los micrófonos, aunque no estaban ocultos no se solicitó el informe corresponde al Comité de empresa ( art. 64.4.d . ET ).

Nos encontramos, como ya he señalado al plantear la cuestión, con el conflicto de dos bienes jurídicos ; la intimidad personal, reconocida en el art. 18.CE, y el poder empresarial de control, en virtud del art. 20.3 ET.

La demanda se plantea ante el Juzgado de lo Social nº 3 de Pontevedra, llegando a la conclusión de la ilicitud de la instalación de aparatos auditivos para grabar, de forma indiscriminada, las conversaciones de los trabajadores.

Señala, asimismo, que la instalación de medios audiovisuales es menos limitativa de la intimidad, puesto que, en el caso de grabación de conversaciones, se pueden recoger comentarios que afecten directamente al ámbito particular propio del trabajador.

Insiste en que no existe una suficiente justificación de esta medida, pues la empresa ya contaba con un circuito cerrado de televisión, de modo que, si se añadiera el control auditivo, la fiscalización sería completa, como también lo sería la vulneración de la intimidad personal del trabajador.

El demandado, ante tal fallo, interpone recurso de suplicación ante el Tribunal Superior de Justicia de Galicia que, por el contrario, considera que dicha instalación no vulnera ningún derecho fundamental de los trabajadores, puesto que, a su juicio, » las conversaciones de los trabajadores relacionadas con la actividad laboral no están amparadas por el derecho a la intimidad. Dicho derecho se ejerce en el ámbito de la esfera privada del trabajador, que en la empresa hay que entenderlo referido a sus lugares de descanso y esparcimiento, vestuarios, servicios y otros análogos, pero no en aquellos lugares en los que se desarrolla la actividad laboral «.

Contra esta Sentencia se interpone recurso de amparo ante el TC, el cual considera que el grado adicional de intromisión en la intimidad que implica que, además de la imagen, se grabe el sonido.

El circuito de televisión supone una intromisión en la intimidad que, atendida la naturaleza del centro de trabajo, puede entenderse tolerable. Pero unir a lo anterior la grabación del sonido es lo que convierte en intolerable la intromisión, pues el efecto conjunto de los distintos mecanismos de control existentes se traduce, no ya en la limitación, sino en el radical cercenamiento de la intimidad de quienes son así controlados.

Tal y como ha señalado el TC anteriormente, lo que debe el trabajador a su empresario es su prestación de trabajo y si el trabajador efectúa un comentario privado con un compañero o un cliente, no hay razón alguna relacionada con la vigilancia, el control o la dirección que autorice al empresario a despojar a quienes hagan tal comentario de su intimidad, escuchando y grabando su conversación.

Se imputa a la Sentencia recurrida en amparo la infracción del derecho a la intimidad personal consagrado en el art. 18.1 CE,  producida por la instalación y puesta en funcionamiento del sistema de captación y grabación de sonido porque la captación y grabación del sonido ni está justificada por razones de seguridad (la empresa ya disponía de un completo sistema de seguridad, ni puede tener amparo en las facultades de vigilancia y control reconocidas al empresario por la normativa laboral (art. 20.3 LET ).

El TC ha venido reiterando en numerosas sentencias ( la última 292 / 2000 de especial transcendencia ) que «el derecho a la intimidad no es absoluto, como no lo es ninguno de los derechos fundamentales, pudiendo ceder ante intereses constitucionalmente relevantes, siempre que el recorte que aquél haya de experimentar se revele como necesario para lograr el fin legítimo previsto, proporcionado para alcanzarlo y, en todo caso, sea respetuoso con el contenido esencial del derecho».

Asimismo, debe tenerse en cuenta que el poder de dirección del empresario, imprescindible para la buena marcha de la organización productiva y reconocido expresamente en el art. 20 LET, atribuye al empresario, entre otras facultades, la de adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento del trabajador de sus obligaciones laborales (art. 20.3 LET).

Pero esa facultad ha de producirse dentro del debido respeto a la dignidad del trabajador, como expresamente señalan los arts. 4.2 e) y 20.3 ET.

Si acudimos a la Ley Orgánica 1/1982, de 5 de mayo de Protección Civil del Derecho al Honor, a la Intimidad Personal y Familiar y a la Propia Imagen, considera intromisiones ilegítimas en el derecho a la intimidad, entre otras (sin perjuicio de los supuestos de consentimiento expreso del titular del derecho y de actuaciones autorizadas por una ley), «el emplazamiento en cualquier lugar de aparatos de escucha, de filmación, de dispositivos ópticos o de cualquier otro medio apto para grabar o reproducir la vida íntima de las personas» y «la utilización de aparatos de escucha, dispositivos ópticos o de cualquier otro medio para el conocimiento de la vida íntima de las personas o de manifestaciones o cartas privadas no destinadas a quien haga uso de tales medios, así como su grabación, registro o reproducción».

La jurisprudencia de este Tribunal ha insistido reiteradamente en la plena efectividad de los derechos fundamentales del trabajador en el marco de la relación laboral, ya que ésta no puede implicar, en modo alguno, la privación de tales derechos para quienes prestan servicio en las organizaciones productivas, que no son ajenas a los principios y derechos constitucionales que informan el sistema de relaciones de trabajo, de forma que el ejercicio de tales derechos únicamente admite limitaciones o sacrificios en la medida en que se desenvuelve en el seno de una organización que refleja otros derechos reconocidos constitucionalmente.

El TC rechaza, por completo, la afirmación de que el centro de trabajo no constituye por definición un espacio en el que se ejerza el derecho a la intimidad por parte de los trabajadores, de tal manera que las conversaciones que mantengan los trabajadores entre sí y con los clientes en el desempeño de su actividad laboral no están amparadas por el art. 18.1 CE.

Considera este Tribunal que, también, en aquellos lugares de la empresa en los que se desarrolla la actividad laboral puedan producirse intromisiones ilegítimas por parte del empresario en el derecho a la intimidad de los trabajadores, como podría serlo la grabación de conversaciones entre un trabajador y un cliente, o entre los propios trabajadores, en las que se aborden cuestiones ajenas a la relación laboral que se integran en lo que hemos denominado propia esfera de desenvolvimiento del individuo.

Tendremos que atender a las circunstancias concretas de cada caso, del mismo modo que habrá que atender no sólo al lugar del centro del trabajo en que se instalan por la empresa sistemas audiovisuales de control, sino también a otros elementos de juicio (si la instalación se hace o no indiscriminada y masivamente, si los sistemas son visibles o han sido instalados subrepticiamente, la finalidad real perseguida con la instalación de tales sistemas, si existen razones de seguridad, por el tipo de actividad que se desarrolla en el centro de trabajo de que se trate, que justifique la implantación de tales medios de control, etc.) para dilucidar en cada caso concreto si esos medios de vigilancia y control respetan el derecho a la intimidad de los trabajadores.

Asimismo, las facultades organizativas empresariales se encuentran limitadas por los derechos fundamentales del trabajador, quedando obligado el empleador a respetar aquéllos.

Este Tribunal viene manteniendo que, desde la prevalencia de tales derechos, su limitación por parte de las facultades empresariales sólo puede derivar bien del hecho de que la propia naturaleza del trabajo contratado implique la restricción del derecho, bien de una acreditada necesidad o interés empresarial, sin que sea suficiente su mera invocación para sacrificar el derecho fundamental del trabajador.

Pero, además de ello, la jurisprudencia constitucional ha mantenido, como no podía ser de otro modo, que el ejercicio de las facultades organizativas y disciplinarias del empleador no puede servir, en ningún caso, a la producción de resultados inconstitucionales, lesivos de los derechos fundamentales del trabajador.

Es necesario que las distintas resoluciones judiciales respeten «el necesario equilibrio entre las obligaciones dimanantes del contrato para el trabajador y el ámbito -modulado por el contrato, pero en todo caso subsistente- de su libertad constitucional».

Las limitaciones o restricciones a un derecho fundamental tienen que ser las indispensables y estrictamente necesarias para satisfacer un interés empresarial merecedor de tutela y protección, de manera que si existen otras posibilidades de satisfacer dicho interés menos agresivas y afectantes del derecho en cuestión, habrá que emplear estas últimas y no aquellas otras más agresivas y afectantes.

Se trata, en definitiva, de la aplicación del principio de proporcionalidad.

Concluye el TC que no ha quedado acreditado que la instalación del sistema de captación y grabación de sonidos sea indispensable para la seguridad y buen funcionamiento del casino.

Por lo que la implantación del sistema de audición y grabación no ha sido en este caso conforme con los principios de proporcionalidad e intervención mínima que rigen la modulación de los derechos fundamentales por los requerimientos propios del interés de la organización empresarial, pues la finalidad que se persigue resulta desproporcionada para el sacrificio que implica del derecho a la intimidad de los trabajadores (e incluso de los clientes del casino).

Este sistema permite captar comentarios privados, comentarios ajenos por completo al interés empresarial y por tanto irrelevantes desde la perspectiva de control de las obligaciones laborales, pudiendo, sin embargo, tener consecuencias negativas para los trabajadores.

Se trata, en suma, de una intromisión ilegítima en el derecho a la intimidad consagrado en el art. 18.1 CE.

b) STC 186 / 2000 de 10 de julio.

Dictada contra Sentencia de 26 septiembre 1995 del Juzgado de lo Social núm. 1 de Avilés, que estimó procedente despido de trabajador, y contra Sentencia de 2 febrero 1996, de la Sala de lo Social del Tribunal Superior de Justicia del Principado de Asturias, desestimatoria del recurso de suplicación, y contra Auto de 23 abril 1997 de la Sala de lo Social del Tribunal Supremo, que inadmite recurso de casación para la unificación de doctrina.

La cuestión se centra, al igual que en la Sentencia anterior, en comprobar si ha habido una vulneración del derecho a la intimidad de los trabajadores, en este caso, por la instalación de un circuito cerrado de televisión ante las sospechas de la empresa de ciertas irregularidades.

El Juzgado de lo Social núm. 1 de Avilés concluyó que la presentación de las grabaciones en juicio era una prueba admisible y ajustada a Derecho, pues se plantea a partir de una situación de sospecha fundada, de modo que, la instalación de las cámaras era el único medio posible para verificar tales sospechas, afirmando, asimismo, que dicho método se empleó en los límites mínimos, ya que se concretó a la vigilancia de un concreto puesto de trabajo.

Así, el  artículo 90 de la Ley de Procedimiento Laboral señala que la intimidad del trabajador no resulta agredida por el solo hecho de ser objeto de filmaciones en los hechos referidos a las relaciones sociales y profesionales en que se desarrolla su actividad laboral cuando la materia objeto de filmación no va referida a su vida íntima sino a obtener un conocimiento de cuál es su comportamiento laboral.

Sin embargo, señala el Tribunal Superior de Justicia que la instalación de una cámara fija sobre el puesto concreto de trabajo no es el sistema de control de trabajo a que alude el artículo 64.1.3 d)ET.

Por su parte, ante el recurso interpuesto ante el Tribunal Supremo el recurrente argumenta a propósito de los derechos a la intimidad y a la propia imagen que la prueba documental propuesta por la empresa demandada, consistente en ocho vídeos y declarada pertinente, es nula de pleno derecho conforme al art. 90 de la Ley de Procedimiento Laboral [15] , por haberse obtenido mediante procedimientos que lesionan los referidos derechos fundamentales.

Ello es así porque, aunque esta clase de instalaciones tengan como fin controlar el trabajo, también registran el resto de actos del trabajador pertenecientes a su intimidad, toda vez que este tipo de control no es selectivo en cuanto a las imágenes que capta.

La implantación del sistema de seguridad no se puso en conocimiento del Comité de empresa, como prescribe el art. 64.1.3 d) ET. Este tipo de control debe hacerse con publicidad, no con procedimientos ocultos, y en este caso ni el Comité de Empresa ni los trabajadores afectados lo conocían.

Por su parte, el TC señala que la demanda de amparo se fundamenta en la infracción de los derechos a la intimidad personal y a la propia imagen (art. 18.1 CE) del recurrente, en relación con su derecho a la tutela judicial efectiva (art. 24.1 CE), por haberse admitido como prueba de cargo en el proceso por despido las grabaciones de vídeo presentadas por la empresa, prueba que el recurrente estima nula de pleno derecho al haberse obtenido vulnerando derechos fundamentales del trabajador (art. 90 LPL  ).

En la STC 98/2000, antes comentada, el TC ya hizo referencia a que el derecho a la intimidad es aplicable al ámbito de las relaciones laborales, del mismo modo que, también es reiterada la doctrina de que «el derecho a la intimidad no es absoluto, como no lo es ninguno de los derechos fundamentales, pudiendo ceder ante intereses constitucionalmente relevantes, siempre que el recorte que aquél haya de experimentar se revele como necesario para lograr el fin legítimo previsto, proporcionado para alcanzarlo y, en todo caso, sea respetuoso con el contenido esencial del derecho».

Por otra parte, señala que, debe tenerse en cuenta que el poder de dirección del empresario, imprescindible para la buena marcha de la organización productiva y reconocido expresamente en el art. 20 LET, atribuye al empresario, entre otras facultades, la de adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento del trabajador de sus obligaciones laborales. Mas esa facultad ha de producirse en todo caso, dentro del debido respeto a la dignidad del trabajador, como expresamente nos lo recuerda igualmente la normativa laboral (arts. 4.2 c) y 20.3 ET).

El empresario no queda apoderado para llevar a cabo, so pretexto de las facultades de vigilancia y control que le confiere el art. 20.3 LET, intromisiones ilegítimas en la intimidad de sus empleados en los centros de trabajo.

 Los equilibrios y limitaciones recíprocos que se derivan para ambas partes del contrato de trabajo suponen, por lo que ahora interesa, que también las facultades organizativas empresariales se encuentran limitadas por los derechos fundamentales del trabajador, quedando obligado el empleador a respetar aquéllos.

Este Tribunal viene manteniendo que, desde la prevalencia de tales derechos, su limitación por parte de las facultades empresariales sólo puede derivar del hecho de que la propia naturaleza del trabajo contratado implique la restricción del derecho.

Así, dada la posición preeminente de los derechos fundamentales en nuestro ordenamiento, esa modulación sólo deberá producirse en la medida estrictamente imprescindible para el correcto y ordenado respeto de los derechos fundamentales del trabajador y, muy especialmente, del derecho a la intimidad personal que protege el art. 18.1 CE, teniendo siempre presente el principio de proporcionalidad.

En efecto, de conformidad con la doctrina de este Tribunal, la constitucionalidad de cualquier medida restrictiva de derechos fundamentales viene determinada por la estricta observancia del principio de proporcionalidad.

Señala, en este caso, los mismos requisitos del principio de proporcionalidad que ya he señalado en la anterior sentencia, por lo que no quiero hacer excesivamente extenso este resumen que, de por sí, creo que ya lo es.

Pero, además, en este caso concreto, la instalación buscaba una pretensión justificada por la circunstancia de haberse detectado irregularidades en la actuación profesional del trabajador, por lo que se trataba de verificar dichas sospechas.

Falla el TC que los derechos a la intimidad personal y a la propia imagen no han resultado vulnerados en este caso concreto.

c) Conclusiones. Criterios a tener en cuenta.

De lo señalado por el TC, parece desprenderse en qué casos se admitiría una vigilancia mediante cámaras del desarrollo del trabajo por el empleado, de forma que podríamos sintetizarlo en los siguientes puntos o criterios, que deberán ajustarse, en todo caso, al supuesto de hecho concreto ante el que nos encontremos:

  • El derecho a la intimidad personal y familiar y a la propia imagen implica la existencia de un ámbito propio y reservado frente a la acción y el conocimiento de los demás, necesario, según las pautas de nuestra cultura, para mantener una calidad mínima de la vida humana. Sin embargo, éste no es un derecho absoluto, en el sentido de que puede ceder ante intereses constitucionalmente relevantes, siempre que el recorte que aquél haya de experimentar se revele como necesario para lograr el fin legítimo previsto, proporcionado para alcanzarlo y, en todo caso, sea respetuoso con el contenido esencial del derecho.
  • En el ámbito laboral, pueden existir límites o modulaciones a tal derecho en la medida estrictamente imprescindible para el correcto y ordenado desenvolvimiento de la actividad productiva. La constitucionalidad de cualquier medida restrictiva del derecho viene determinada por la estricta observancia del principio de proporcionalidad.
  • El principio de proporcionalidad implica cumplir con tres requisitos:
    1. juicio de idoneidad, es decir, si tal medida es susceptible de conseguir el objetivo propuesto,
    2. juicio de necesidad, si además esa medida es necesaria, en el sentido, de que no exista otra más moderada para conseguir el objetivo propuesto
    3. juicio de proporcionalidad en sentido estricto, es decir, si la medida es ponderada y equilibrada por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto.
  • La facultad que el art. 20.3 ET otorga al empresario para adoptar las medidas de vigilancia y control para verificar el cumplimiento de sus obligaciones laborales, debe ser siempre respetuosa con la dignidad del trabajador, en virtud de lo dispuesto en los arts. 4.2.e. ET ( » el trabajador tiene derecho al respeto a su intimidad y a la consideración debida a su dignidad » ) y el art.20.3 ET,  ( » en la inspección y control de las medidas de seguridad e higiene, el trabajador tiene derecho a participar mediante sus representantes legales en el centro de trabajo… » ).
  •  Se debe rechazar la idea de que el centro de trabajo no constituye un espacio en el que se ejerza el derecho a la intimidad por parte de los trabajadores, de tal manera que, las conversaciones que mantengan los trabajadores en el desempeño de su actividad laboral no estén amparadas por la protección del art. 18 CE. 
  • Cabe admitir el control por cámaras como única posibilidad para evitar o identificar un hurto que dañe el patrimonio empresarial o cualquier otra actividad penal. Sin embargo, será ilegítimo utilizar los resultados derivados del control mencionado cuando excedan de la finalidad de conseguir la revelación de los eventuales ilícitos penales vinculados con los intereses de la empresa.
  • Se trata, por tanto, de buscar el equilibrio entre lo que es un derecho fundamental desarrollado por una Ley Orgánica, y el derecho que, también, tiene el empresario respecto a la organización y seguridad en la empresa.
  • Estaremos ante una utilización vedada cuando el control sea clandestino, es decir, cuando no se haya informado del mismo al trabajador o al Comité, cuando se utilicen grabaciones que debieran haber sido canceladas o cuando se produzca una desviación de la finalidad [16] .
5.2.- Control mediante la instalación de programas de la empresa

La Sentencia de la Sala de lo Social del TSJ de Cataluña de 23 de octubre de 2000, analiza el derecho a la intimidad de los trabajadores consagrado en el artículo 18.1 de la Constitución, y en el artículo 4.2 del Estatuto de los Trabajadores, en relación con la instalación de programas diseñados por la empresa para controlar la utilización que el trabajador hace de su ordenador, sin tener conocimiento de ello y sin que la aplicación pueda ser detectada por el usuario.

Una vez más, nos encontramos ante el mismo conflicto de derechos, por cuanto se enfrentan el poder de vigilancia y control del empresario reconocido en el artículo 20 del Estatuto de los Trabajadores, y el derecho a la intimidad personal reconocido como derecho fundamental en la Constitución Española, por ello se debe proceder a fijar los límites de cada uno de ellos a fin de establecer un equilibrio necesario, como ya hemos venido señalando durante toda esta exposición.

Según declara probado la sentencia recurrida, la empresa instaló un conjunto de programas diseñados para controlar la utilización que se hace del ordenador por parte del trabajador, sin comunicarlo a éste ni al comité de empresa.

La aplicación informática se implantó sin entrar en el PC del demandante, por tanto, sin violar su password y se programó de manera que no pudiese ser detectada por el usuario. Esta aplicación se activa ocultamente y de forma automática cada vez que se pone en marcha el ordenador e identifica todas las teclas pulsadas por el trabajador, los programas activados y las ventanas del programa Windows que están abiertas en cada momento.

Como también hemos señalado anteriormente, la Sentencia del Tribunal Constitucional de 10 de julio de 2000 establece que  el derecho a la intimidad personal, es perfectamente aplicable al ámbito de las relaciones laborales [17] y no es un derecho absoluto, como no lo es ninguno de los derechos fundamentales [18] .

Por su parte, repitiendo lo ya explicado,  el poder de vigilancia y control del empresario, imprescindible para la buena marcha productiva, y que le corresponde a tenor de lo dispuesto en el artículo 20 del ET para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, debe producirse sin menoscabar la dignidad del trabajador.

La doctrina del Tribunal Constitucional ha precisado que dada la posición preeminente de los derechos fundamentales en nuestro ordenamiento, cuando el poder de dirección del empresario entra en colisión con el derecho a la intimidad del trabajador, debe tenerse en cuenta el principio de proporcionalidad para lo que es necesario constatar si se cumplen los tres requisitos o condiciones siguientes: si tal medida es susceptible de conseguir el objetivo propuesto ‘juicio de idoneidad-; si, además, es necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia ‘juicio de necesidad-, y finalmente, si la misma es ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto-juicio de proporcionalidad en sentido estricto .

La Sala del Tribunal Superior de Justicia de Cataluña considera que la instalación de programas diseñados para controlar la utilización que se hace del ordenador en el puesto de trabajo y que no puede ser detectada por el trabajador no violenta el derecho a la intimidad de éste, y la medida de control informático utilizada por el empleador debe estimarse una prueba válida que debe surtir efectos en juicio puesto que resulta justificada, al existir sospechas razonables de graves irregularidades por parte del recurrente, idónea para la finalidad pretendida por la empresa, necesaria ya que la citada aplicación serviría de prueba de tales irregularidades y equilibrada, al producirse la misma en relación con el terminal informático proporcionado por la empresa como instrumento a utilizar por el trabajador.

Por ello, el Tribunal estimó como válida la prueba presentada por la empresa, y que demuestra que el trabajador dedica parte de su jornada laboral a jugar a las cartas en el ordenador de su despacho, careciendo de trascendencia constitucional el hecho de que la medida de control informático no fuera puesta previamente en conocimiento del comité de empresa y trabajador afectado, conclusión que contradice la que expondremos en el Módulo referente a Teletrabajo.

A nuestro juicio no está tan clara dicha postura, pues el art.64.1.4 del ET establece entre las competencias de los representantes de los trabajadores, el emitir informe previo a la adopción de medidas de control por parte del empresario.

Pieza fundamental de estos controles  será la obligación de informar al trabajador de la existencia de esos medios de control.

Como ya hemos señalado anteriormente, debe de considerarse clandestino un sistema de vigilancia del que no haya sido informado el propio trabajador o el Comité.

Dicha obligación de información deberá versar sobre la finalidad de dichos controles, las razones en que se fundamentan, el alcance de los mismos y , en su caso, las condiciones de la recogida, almacenamiento y uso de las informaciones registradas [19] .

Por el contrario el Juzgado de lo Social nº. 31 de Madrid, con fecha 26 de marzo de 2001, declaró la nulidad del despido de un sindicalista por vulneración de los derechos fundamentales, al monitorizar su ordenador para controlar su acceso a Internet [20] .

El Juzgado entiende que los resultados de control se llevaron a cabo con vulneración de su derecho a la libertad sindical.

Asimismo, la Sentencia, en contra de lo que viene estimando  otros Tribunales, señala que el ordenador no es simplemente un instrumento de la empresa, sino que además es un instrumento de comunicación con el resto de compañeros.


 

[1] Así  lo ha interpretado la Agencia de Protección de Datos en su Memoria de 1999.

[2] Prácticamente esta es la postura defendida por los expertos en el tema, entre ellos, por citar algunos, SERGIO PAMPLIEGA CAMPO ( abogado ), JUAN BONILLA BLASCO ( magister iuris, Universidad de Oxford ), MARC CARRILLO ( Catedrático de Derecho Constitucional de la Universidad Pompeu Fabra ) , FRANCISCO PÉREZ DE LOS COBOS ORIHUEL ( Catedrático de Derecho del Trabajo de laUniversidad Autónoma de Barcelona ),  SALVADOR DEL REY ( Catedrático de Derecho del Trabajo y Consejero de Cuatrecasas ), JUAN MANUEL TAPIA ( Secretario de Acción Sindical de CC.OO  en Cataluña ) y toda una larga lista.

[3]   Información publicada en el periódico ABC de 29 de noviembre de 2000.

[4] Información publicada en el periódico ABC de 9 de enero de 2001.

[5] Revista Tecnologik@. ABC de 1 de marzo de 2001.

[6] JUAN MANUEL TAPIA , Secretario de Acción Sindical de CC.OO. en Catalunya en declaraciones publicadas en WWW.VLEX.COM el día 19 de marzo de 2001.

[7]   QUILEZ AGREDA.E.  Abogado. Miembro de la Comisión de Libertades e Informática. » La imagen como dato personal protegido «.

[8] En algunos países como Suiza o Italia el control permanente de los trabajadores por cámaras de vídeo no es admisible salvo que se trate de un sistema de control necesario para la naturaleza del trabajo efectuado.

[9]   MARTÍN CASALLO LÓPEZ. J.J.» Implicaciones de la Directiva sobre protección de datos en la normativa española «. Encuentros sobre Informática y Derecho. 1996-1997. Editorial Aranzadi.

[10] PERIÓDICOS EL PAÍS Y EL MUNDO de 12 de diciembre de 2000.

[11] THIBAULT ARANDA, X. » EL teletrabajo. Análisis jurídico- laboral «. Editado por CES. Colección Estudios. Madrid. 2000. Pág.148.

[12] . PERIÓDICO EL PAÍS de 26 de septiembre de 2000.

[13] Clases MASTERTIC.

[14] PERIÓDICO EL PAIS de 27 de septiembre de 2000.

[15] RD Legislativo 2/1995, de 7 de abril, por el que se aprueba el Texto Refundido de la Ley de Procedimiento Laboral

[16] THIBAULT ARANDA, X. » EL teletrabajo. Análisis jurídico- laboral «. Editado por CES. Colección Estudios. Madrid. 2000. Pág.150.

[17] STC de 10 de abril de 2000.

[18] SSTC 57/1994 Y 143/1994

[19] THIBAULT ARANDA, X. » El teletrabajo .Análisis jurídico- laboral «. Editado por CES. Colección Estudios. Madrid. 2000.

[20] Diario La Ley. Número 5293. Lunes, 23 de abril de 2001. Pág.9.