La globalización obliga a los Estados a defender a las personas de intromisiones en su intimidad. Este derecho afecta también a los trabajadores y las empresas a vigilar el cumplimiento de la legislación de protección de datos, que limita la información a las empresas del propio grupo y a los representantes sindicales, bajo severas medidas sancionadoras.
A la hora de analizar los datos que la empresa puede facilitar a la matriz de su grupo empresarial, a los representantes sindicales o a terceras personas es preciso tener en cuenta que la Agencia Española de Protección de Datos (Aepd), respaldada por la Audiencia Nacional en reiteradas sentencias, considera que el tratamiento de los datos limitados tan sólo al número de identificación fiscal (NIF) o del documento nacional de identidad (DNI) de un individuo, ya implican un tratamiento de datos de carácter personal.
Incluso, en un informe de 8 de febrero de 2007, la Aepd consideró que también lo es el simple tratamiento limitado al número de la matrícula de los vehículos, el de las direcciones IP, estáticas o dinámicas, o la dirección de correo electrónico, incluso cuando no identifiquen directamente al interesado.
El hecho de que el éste no aparezca identificado en un fichero por su nombre y apellidos no supone que no contenga datos de carácter personal si la identificación puede o podría tener lugar con posterioridad a su recogida. En este sentido se ha pronunciado el Grupo de Autoridades de Protección de Datos (Gapd), al que pertenece la Agencia Española de Protección de Datos en su Dictamen 4/2007 (de 20 de junio) sobre el concepto de datos personales.
"Una persona puede ser identificada directamente por su nombre y apellidos o indirectamente por un número de teléfono, la matrícula de un coche, un número de seguridad social, un número de pasaporte o por una combinación de criterios significativos (edad, empleo, domicilio, etc.), que haga posible su identificación al estrecharse el grupo al que pertenece", afirma en el citado informe el Gapd.
Empresa matriz y participadas
La circunstancia de que una sociedad esté participada por otra, no afecta al hecho de que ambas sean distintas personas jurídicas, de modo que la comunicación de datos se produce entre dos personas distintas, sin que exista una previsión legal que flexibilice los requisitos de cesión.
Cada una de las empresas del grupo será responsable del fichero de datos de sus empleados. Y si por parte de alguna de las empresas del grupo se produce un acceso a los datos de cualquiera de las otras que componen dicho grupo o se crea una base de datos común, se crearía una situación clara de comunicación de carácter inconsentido.
Por ello, la incorporación de los datos de los empleados a una base de datos común, exige que cada empresa haya informado debidamente y obtenido el consentimiento de éstos para incorporar su información personal. Dicho consentimiento tiene, no obstante, el carácter de revocable.
Así, ocurre con los datos de salud de los empleados de una empresa filial. Para su cesión a la matriz es necesaria la información y que haya obtenido el consentimiento expreso de éstos para la incorporación de su información personal a la base de datos de la matriz del grupo.
'Listas negras' de empleo
Salvando aquellos supuestos en que las listas negras tienen de alguna manera una base legal, como sucede en el derecho español con los ficheros de solvencia patrimonial y crédito regulados en la propia Lopd, la inclusión de datos personales en un lista negra requeriría el consentimiento del interesado para ser conforme a lo dispuesto en la normativa de protección de datos.
Además, se debe garantizar a los afectados por el tratamiento, los derechos de acceso, rectificación, oposición y cancelación correspondientes. No puede entenderse válidamente prestado en el contexto de la relación laboral si su negativa a darlo, llevase aparejada algún tipo de consecuencia adversa o discriminatoria, no pudiendo hablarse de consentimiento libre.
Entrega al Comité de Empresa
La única cesión prevista en la Ley de los datos referentes a los trabajadores es la derivada de las facultades atribuidas a los representantes de los trabajadores es decir, al Comité de Empresa, a los delegados de personal, según proceda.
Los datos a ceder al Comité deben ser necesarios y proporcionados para la vigilancia del cumplimiento de las normas y pactos que regulan la relación laboral, de modo que en la petición de los datos debe aclararse la necesidad concreta para la que se precisa tal información, pues de no ser así, se daría un tratamiento desproporcionado o innecesario.
Están amparadas en el ámbito de las competencias reconocidas por el Estatuto de los Trabajadores o en el convenio colectivo en vigor para los representantes de los trabajadores. En caso contrario, será necesario el consentimiento del interesado para proceder a la comunicación de sus datos.
Sólo cuando la vigilancia o el control se refieran a un sujeto concreto, que haya planteado una queja ante el Comité, será posible la cesión de datos de dicha persona. En los demás supuestos, la función de control quedará plenamente satisfecha mediante la cesión de la información debidamente disociada, que permita al Comité conocer las circunstancias pertinentes sin referenciar la información en un sujeto concreto.
No obstante, podrían ampararse las cesiones relativas a la relación de horas extraordinarias de los trabajadores si el convenio colectivo aplicable contempla la cesión genérica de la relación, y lo mismo cabe decir sobre la comunicación de las nóminas.
También, lo es la comunicación de datos referidos al cumplimiento nominativo del horario y de las ausencias al trabajo, así como de los permisos sin sueldo de los trabajadores, que en su conjunto hacen referencia al nivel de absentismo de los mismos.
Cuando no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una Ley o convenio no disponga lo contrario, éste podrá oponerse a su tratamiento si existen motivos fundados y legítimos relativos a una situación personal concreta.
Comité Intercentros
Los datos personales de los trabajadores que formulan una reclamación de daños y perjuicios al Comité Intercentros de su empresa, no pueden ser comunicados a un sindicato que tiene representación en dicho Comité con la finalidad de entablar contacto entre el Sindicato y los reclamantes, salvo que así se reconozca expresamente en el convenio colectivo,.
Los representantes de los trabajadores, del Comité, que si tendrán acceso a esta información, están obligados a la guardar sigilo profesional sobre los datos personales que conozcan en el desarrollo de sus funciones en el ámbito de la empresa.
Prevención de accidentes
Los datos que hagan referencia al origen racial, a la salud y a la vida sexual sólo pueden recabarse, tratarse y procederse a su cesión cuando, por razones de interés general, así lo disponga una Ley o el afectado consienta expresamente.
La Ley de Prevención de Riesgos Laborales establece que los representantes de prevención de riesgos deben ser informados por el empresario sobre los daños producidos en la salud de los trabajadores una vez que haya tenido conocimiento de ellos,
Tanto la relación de accidentes de trabajo como la información sobre los daños en la salud que aparezcan en los partes de accidentes de trabajo de los trabajadores que determinen una ausencia al trabajo superior a un día, pueden facilitarse a los delegados de prevención de forma disociada, siempre que los datos que se comuniquen respeten los principios de pertinencia y no sean excesivos sobre el ámbito y finalidades legítimas para las que se hayan obtenido.
Estos datos no pueden usarse para finalidades incompatibles con las finalidades para las que los datos hubieren sido recogidos y, además, los delegados de prevención deben guardar secreto respecto de la información así obtenida.
Ayudas sociales
Para que el listado de ayudas sociales a los trabajadores pueda ser facilitada a los representantes sindicales es preciso que esté regulada en el convenio colectivo , ya que de preverse que para la solicitud, tramitación, aprobación o denegación de las ayudas sea precisa la intervención del Comité de Empresa, la información solicitada a la empresa al respecto no podría ampararse legalmente.
No obstante, la función de vigilancia y control podría entenderse correctamente cumplida sin necesidad de proceder a una información masiva. Sólo en el supuesto aquellas se refieran a un sujeto concreto, que haya planteado una queja ante el Comité de Empresa, será posible la cesión de datos específicos de dicha persona. En los demás supuestos, la función de vigilancia y control quedarán satisfecha con la cesión de la información debidamente disociada,
Partes de baja
Entre las funciones que se le atribuyen a los delegados sindicales no está la de acceder a la información de quienes están de baja, por lo que podrán acceder a ella cuando consientan los afectados.
Si el parte de baja recoge datos de salud sólo podrá ser comunicado cuando una Ley lo prevea expresamente o si los afectados otorgan su consentimiento expreso. Por lo que el acceso de los delegados a los partes de baja, sólo podrá efectuarse cuando los afectados consientan expresamente.
No obstante, todo lo señalado es aplicable a la comunicación del parte de baja, cuando en él consta la causa de la baja laboral. Cuestión distinta, es si la información que aparece en el tablón y a la que posteriormente accede el delegado sindical, es a los días que los empleados han estado de baja, sin que en ningún caso acceda al propio parte de baja.
Fuente: Ecodiario
echa: 13/12/2010
martes, 14 de diciembre de 2010
La LOPD y la videovigilancia de los parkings subterráneos públicos
Como regla general, los parkings subterráneos públicos incorporan un sistema de videovigilancia (CCTV) formado por dos subsistemas independientes: El que se ocupa de la captación y grabación de matrículas de los vehículos que acceden a los estacionamientos, y exigido por la normativa sobre aparcamientos emanada de la Ley 44/2006, modificando la Ley 40/2002 reguladora del Contrato de Aparcamiento de Vehículos que introdujo la obligación de identificar al vehículo que accede al Aparcamiento; y otro, dedicado en exclusiva al control y vigilancia en el interior de los aparcamientos, con fines de seguridad y control de posibles daños a vehículos estacionados o a las instalaciones, como obligación derivada de la Ley 40/2002.
Analicemos la obligación relativa a la identificación del vehículo que accede al estacionamiento. Los Aparcamientos Públicos están obligados a entregar al usuario en papel o en cualquier otro soporte duradero un justificante, donde constará, entre otros datos, los relativos a la hora, día y minuto de entrada así como la identificación del vehículo, que se deberá realizar preferentemente con la matrícula. Respecto a la obligación de control y vigilancia en el interior de los aparcamientos, el titular de estacionamiento tiene la obligación clara de restituir al usuario, en el estado en que le fue entregado, el vehículo y los componentes y accesorios fijos e inseparables al vehículo. Esto significa que la empresa gestora del aparcamiento público es responsable de los daños que sufra el vehículo. La ley establece deberes de vigilancia y custodia de los vehículos durante el tiempo de ocupación del establecimiento, por lo que el titular del aparcamiento responderá de los daños que sufra un vehículo por desprendimientos, inundaciones, etc., como de los daños ocasionados por el robo en el vehículo.
Por lo expuesto, podemos concluir que la captación de imágenes de acceso y para la vigilancia y custodia de los vehículos tiene una fundamentación legal con base en las normas a las que nos hemos referido más arriba.
Por su parte, la AEPD a través de la Instrucción 1/2006 establece en su artículo 1 que “La presente Instrucción se aplica al tratamiento de datos personales de imágenes de personas físicas identificadas o identificables, con fines de vigilancia a través de sistemas de cámaras y videocámaras. El tratamiento objeto de esta Instrucción comprende la grabación, captación, transmisión, conservación, y almacenamiento de imágenes, incluida su reproducción o emisión en tiempo real, así como el tratamiento que resulte de los datos personales relacionados con aquellas. Se considerará identificable una persona cuando su identidad pueda determinarse mediante los tratamientos a los que se refiere la presente instrucción, sin que ello requiera plazos y/o actividades desproporcionados. Las referencias contenidas en esta Instrucción a videocámaras y cámaras se entenderán hechas también a cualquier medio técnico análogo y, en general, a cualquier sistema que permita los tratamientos previstos en la misma”.
Además, la Instrucción 1/2006 obliga a las empresas que dispongan de sistemas de captación y/o grabación de imágenes a informar en sitio visible, tanto a empleados como a terceros que acceden a las instalaciones y precisan identificarse, de los parámetros del artículo 5 LOPD, y en todo caso ostentan los afectados los derechos de acceso, rectificación, cancelación y oposición.
Pero debemos plantearnos una cuestión ¿esas imágenes captadas son en todo caso datos de carácter personal?
A este respecto, debemos empezar por ¿qué es un dato de carácter personal? El artículo 5.1.f del Reglamento de desarrollo de la Ley Orgánica 15/1999, aprobado mediante Real Decreto 1720/2007, de 21 de diciembre, define datos de carácter personal como “Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, concerniente a personas físicas identificadas o identificables”.
En ese sentido, se pronuncia el artículo 2.1 de la Directiva 95/46/CE del Parlamento y del Consejo, de 24 de octubre de 1995, en el que identifica a efectos de dicha Directiva como datos personales “toda información sobre una persona física identificada o identificable; se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social”. Así mismo el Considerando 26 de esta Directiva se refiere a esta cuestión señalando que, para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona para identificar a aquella.
En vista de lo expuesto, ¿es realmente aplicable la Instrucción 1/2006 a todos los casos, extremos y circunstancias de la videovigilancia? ¿Y a la captación de imágenes en parkings subterráneos públicos? El objeto de este análisis es abordar la segunda de las cuestiones.
Para ello, analicemos el concepto de dato personal, según la definición de la LOPD, que requiere la concurrencia de un doble elemento: por una parte, la existencia de información o dato, y, por otra, que dicho dato pueda vincularse a una persona física identificada o identificable.
Conforme al Reglamento de desarrollo de la Ley Orgánica 15/1999, aprobado mediante Real Decreto 1720/2007, de 21 de diciembre, se considera identificable una persona física cuando puede determinarse su identidad física, siempre que para su identificación no se requiera un esfuerzo desproporcionado.
Pero, ¿cómo establecer el límite de ese esfuerzo desproporcionado? Ese será el objeto de otro artículo. En el que nos ocupa, nos vamos a centrar en la línea de interpretación en cuanto al ámbito objetivo de aplicación de la LOPD tomada por la Audiencia Nacional en una sentencia que no fue recurrida por la AEPD.
Una sentencia de la Sala de lo Contencioso Administrativo de la Audiencia Nacional de fecha 17 de septiembre de 2008 (recurso número 353/2007) que estimó el recurso contra la sanción de 60.000€ impuesta por la Agencia Española de Protección de Datos a una empresa prestadora de servicios de descargas a teléfonos móviles. En esta sentencia la Audiencia Nacional considera que la AEPD no había probado que la existencia del número de teléfono móvil por sí solo haga al titular identificable, y por tanto no se le podía aplicar la LOPD.
En esta sentencia se afirma que es evidente que, al no existir ninguna base de datos pública de números de teléfonos móviles asociados a sus titulares, la identificación de los titulares de los datos requiere un esfuerzo desproporcionado; es decir, únicamente podrían identificar a las personas físicas o los operadores de telefonía móvil respecto de sus clientes o aquellas empresas que gestionen datos identificativos asociados a números de móvil.
En este mismo sentido, si se parte de la premisa de que el número de teléfono móvil por sí solo no hace al titular identificable, en nuestra opinión se deberían analizar otros supuestos análogos que tradicionalmente se han considerado como datos de carácter personal por parte del órgano de control, como por ejemplo las direcciones IP, el número de DNI, o la imagen de la persona a pesar de que no contengan ningún dato identificativo complementario sino únicamente porque pertenezcan a una persona física.
En la línea de la Sentencia comentada, tampoco existe una base de datos pública de imágenes que identifiquen a las personas físicas con las que se relacionan dichas imágenes ni tampoco existe una base de datos pública de matrículas de vehículos que relacionen estas con las personas titulares de las mismas. Si esto es así, ¿cuál es la situación de la captación de imágenes en los parking subterráneos públicos?
Pero, ¿dónde está el límite? ¿Se puede considerar, tal y como argumenta la AEPD, que por el mero hecho de descolgar el teléfono se identifica a la persona, o por el mero hecho de la captura de la imagen de una persona, de manera accidental por vigilarse exclusivamente el espacio y los vehículos en cumplimiento de la normativa específica de aplicación, y sin más información de la misma se identifica a la persona?
Y por otra parte, ¿qué argumentos existen para considerar que las imágenes captadas en la videovigilancia de los parkings subterráneos públicos hacen identificables a las personas físicas? ¿Es posible de forma sencilla identificar a una persona física cuando únicamente contamos con una imagen, y en la mayoría de los casos sin la nitidez necesaria para llegar a detalles en sus rasgos?
Realicen una simple prueba para determinar si con el número de DNI o con el nombre y apellidos por sí solos bastaría para identificar a una persona física en las grabaciones de imágenes en el parking. Obtendrán, como hemos obtenido nosotros, resultados negativos en todos los intentos. Por lo tanto, en nuestra opinión, sería necesario un esfuerzo de investigación que podría considerarse “desproporcionado” para lograr la identificación de una persona física a partir de una imagen captada en la videovigilancia dentro de los parkings subterráneos públicos.
En este caso, únicamente podría identificarse a las personas a través de estas imágenes mediante el envío de las mismas al Ministerio del Interior o a los Cuerpos y Fuerzas de Seguridad.
Por lo tanto, podemos concluir que no hay identificación de personas físicas en esta acción de grabación de las imágenes. Sólo se produciría la identificación en las imágenes de las personas físicas en cuestión, en un visionado posterior ah doc promovido por una reclamación o solicitud al efecto en el que se aporten los datos que relacionan a esa persona física con la imagen. Hasta ese momento, la información contenida en la imagen captada es anónima respecto a la persona física que hay detrás de esa imagen. Hay dato pero no se vincula a una persona física.
Otro aspecto a tener en cuenta en esta materia es la necesidad o no de recabar el consentimiento del afectado pero que no vamos a tratar en profundidad.
En este sentido, es necesario que concurra la legitimación, dado que para que el tratamiento de los datos de carácter personal sea lícito, el artículo 6.1 de la LOPD establece que el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa” y así lo dispone el artículo 2 de la Instrucción 1/2006,
“1. Sólo será posible el tratamiento de los datos objeto de la presente instrucción, cuando se encuentre amparado por lo dispuesto en el artículo 6.1 y 2 y el artículo 11.1 y 2 de la LOPD.
2. Sin perjuicio de lo establecido en el apartado anterior la instalación de cámaras o videocámaras deberá respetar en todo caso los requisitos exigidos por la legislación vigente en la materia”.
Evidentemente, esto llevaría al absurdo de tener que pedir el consentimiento a cada ciudadano que accede a un local; por ello, la AEPD ha venido entendiendo que existe una Ley que habilita el tratamiento de las imágenes y que por tanto no es necesario solicitar el consentimiento, esta ley es la Ley 23/1992 de Seguridad Privada.
Por lo tanto, en el supuesto de los parkings subterráneos públicos debemos entender que se cumple con el deber de obtener el consentimiento de las personas que transitan por los lugares en los que se encuentran instaladas las cámaras, puesto que se consiente tácitamente al obtener el ticket de acceso al parking público, por ser el momento en el que se inicia la relación prestacional del servicio de parking; y por conformar la seguridad dentro de las instalaciones y de los vehículos una parte integrante de dicha prestación, y que conlleva la videovigilancia de las instalaciones.
Esta situación asentada en la AEPD se ha visto trastocada por la entrada en vigor de la reforma de esta Ley de Seguridad Privada propiciada por la Ley 25/2009 de 22 de diciembre, Ley Omnibus, que ha venido a crear una disposición adicional sexta que establece:
“Exclusión de las empresas relacionadas con equipos técnicos de seguridad.
Los prestadores de servicios o las filiales de las empresas de seguridad privada que vendan, entreguen, instalen o mantengan equipos técnicos de seguridad, siempre que no incluyan la prestación de servicios de conexión con centrales de alarma, quedan excluidos de la legislación de seguridad privada siempre y cuando no se dediquen a ninguno de los otros fines definidos en el artículo 5, sin perjuicio de otras legislaciones específicas que pudieran resultarles de aplicación.”
Hasta ahora, el artículo 5.1.e de la Ley de Seguridad Privada, disponía que “Con sujeción a lo dispuesto en la presente Ley y en las normas reglamentarias que la desarrollen, las empresas de seguridad únicamente podrán prestar o desarrollar los siguientes servicios y actividades (…) instalación y mantenimiento de aparatos, dispositivos y sistemas de seguridad”. Dicha previsión se reiteraba en el artículo 1 del Reglamento de Seguridad privada, aprobado por el Real Decreto 2364/1994, de 9 de diciembre.
Lo que no ha cambiado es la necesidad para la instalación y captación de sistemas de videovigilancia en parking subterráneos públicos de la preceptiva autorización de la Subdelegación/Delegación del Gobierno, con carácter previo a su instalación justificando la adopción de dicha medida en base al principio de proporcionalidad.
De conformidad con la línea argumental expuesta, la captación de imágenes a través de videocámaras constituye un tratamiento de datos personales si las imágenes captadas se refieren a personas físicas identificadas o que puedan ser identificables.
En relación al cumplimiento de las obligaciones establecidas en la Ley 40/2002, reguladora del contrato de aparcamientos de vehículos y sus posteriores modificaciones, la captación y grabación de matrículas de los vehículos que acceden a los estacionamientos y la captación de imágenes de las instalaciones con fines de seguridad y control de posibles daños a vehículos estacionados es una obligación de los gestores o explotadores de estos parkings. Las imágenes captadas por el segundo subsistema únicamente son visualizadas si se produce alguna reclamación por daños o porque lo solicite las fuerzas y cuerpos de seguridad y únicamente bajo el criterio de búsqueda de fecha y hora, siendo imposible la búsqueda individualizada de la imagen de una persona. En este sentido, en cumplimiento de la Ley 44/2006, que modifica la Ley 40/2002 reguladora del Contrato de Aparcamiento de Vehículos y de la relación contractual derivada del servicio de parking, al usuario se le hace entrega de un justificante o resguardo del aparcamiento, con expresión del día y hora de la entrada, la identificación del vehículo y si el usuario hace entrega o no al responsable del aparcamiento de las llaves del vehículo. Esos son los únicos datos que se tratan en el este tipo de aparcamientos.
Las imágenes captadas por las cámaras de videovigilancia son grabadas en un sistema automático de grabación que está configurado para grabar en ciclos periódicos, siendo ese el período máximo de conservación, que nunca superará el periodo de un mes. A estos sistemas de visualización, con carácter general, se accede mediante usuario y contraseña, cuando se produce algún tipo de reclamación por usuarios o requerimiento por parte de los Cuerpos y Fuerzas de Seguridad que resultan imprescindibles para poder identificar a las personas físicas por parte del Responsable del tratamiento en el primer caso, por parte de los Cuerpos y Fuerzas de Seguridad en el segundo. Consiguientemente, dentro del sistema de grabación de imágenes lo único que hay es una acumulación de imágenes tomadas según transcurre el tiempo y que son borradas de manera automática en periodos de tiempo establecidos en el sistema. En este sentido, resulta anecdótico que se pudieran dar situaciones como que en la fecha de contestación a una Hoja de Reclamación de Consumo acerca de la tarifa por hora del parking y por incumplimiento del artículo 5 de la Ley 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal, en el caso de que se hubiera producido la grabación de imágenes en las que pudiera aparecer el denunciante, se estuviera produciendo el borrado automático de esas imágenes con la grabación de las nuevas imágenes según la configuración del sistema de grabación.
O en el supuesto de que no se hubiera producido el borrado automático de las imágenes, sólo en ese momento, y nunca antes, por no disponerse de datos complementarios a esas imágenes que identifiquen al titular de ese dato, se podrá identificar a la persona física que está detrás de esa imagen.
Por consiguiente, en la grabación que nos ocupa, no puede considerase que dichas imágenes se destinen a integrarse en un archivo estructurado según criterios específicos relativos a las personas físicas. En todo caso, ha de diferenciarse el derecho a la intimidad y a la propia imagen con el derecho a controlar los datos de carácter personal sin que pueda hacerse una interpretación extensiva y genérica de la LOPD.
Volviendo al concepto de dato personal, según la definición de la LOPD, que requiere la concurrencia de un doble elemento: por una parte, la existencia de información o dato, y, por otra, que dicho dato pueda vincularse a una persona física identificada o identificable. Podemos concluir, que en el caso de la videovigilancia en los parkings subterráneos públicos, debemos entender que no hay tratamiento de datos de carácter personal porque no se podría acreditar, que a través de la imagen se identifique al titular de la misma o que a partir de la citada imagen fuese posible tal identificación, de forma que esa imagen ayuno de otras circunstancias que identifiquen o pudiesen permitir identificar al titular de la misma impide que pueda encajarse en la definición legal de dato de carácter personal.
Fuente: Datospersonales.org
Fecha: Diciembre de 2010
Analicemos la obligación relativa a la identificación del vehículo que accede al estacionamiento. Los Aparcamientos Públicos están obligados a entregar al usuario en papel o en cualquier otro soporte duradero un justificante, donde constará, entre otros datos, los relativos a la hora, día y minuto de entrada así como la identificación del vehículo, que se deberá realizar preferentemente con la matrícula. Respecto a la obligación de control y vigilancia en el interior de los aparcamientos, el titular de estacionamiento tiene la obligación clara de restituir al usuario, en el estado en que le fue entregado, el vehículo y los componentes y accesorios fijos e inseparables al vehículo. Esto significa que la empresa gestora del aparcamiento público es responsable de los daños que sufra el vehículo. La ley establece deberes de vigilancia y custodia de los vehículos durante el tiempo de ocupación del establecimiento, por lo que el titular del aparcamiento responderá de los daños que sufra un vehículo por desprendimientos, inundaciones, etc., como de los daños ocasionados por el robo en el vehículo.
Por lo expuesto, podemos concluir que la captación de imágenes de acceso y para la vigilancia y custodia de los vehículos tiene una fundamentación legal con base en las normas a las que nos hemos referido más arriba.
Por su parte, la AEPD a través de la Instrucción 1/2006 establece en su artículo 1 que “La presente Instrucción se aplica al tratamiento de datos personales de imágenes de personas físicas identificadas o identificables, con fines de vigilancia a través de sistemas de cámaras y videocámaras. El tratamiento objeto de esta Instrucción comprende la grabación, captación, transmisión, conservación, y almacenamiento de imágenes, incluida su reproducción o emisión en tiempo real, así como el tratamiento que resulte de los datos personales relacionados con aquellas. Se considerará identificable una persona cuando su identidad pueda determinarse mediante los tratamientos a los que se refiere la presente instrucción, sin que ello requiera plazos y/o actividades desproporcionados. Las referencias contenidas en esta Instrucción a videocámaras y cámaras se entenderán hechas también a cualquier medio técnico análogo y, en general, a cualquier sistema que permita los tratamientos previstos en la misma”.
Además, la Instrucción 1/2006 obliga a las empresas que dispongan de sistemas de captación y/o grabación de imágenes a informar en sitio visible, tanto a empleados como a terceros que acceden a las instalaciones y precisan identificarse, de los parámetros del artículo 5 LOPD, y en todo caso ostentan los afectados los derechos de acceso, rectificación, cancelación y oposición.
Pero debemos plantearnos una cuestión ¿esas imágenes captadas son en todo caso datos de carácter personal?
A este respecto, debemos empezar por ¿qué es un dato de carácter personal? El artículo 5.1.f del Reglamento de desarrollo de la Ley Orgánica 15/1999, aprobado mediante Real Decreto 1720/2007, de 21 de diciembre, define datos de carácter personal como “Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, concerniente a personas físicas identificadas o identificables”.
En ese sentido, se pronuncia el artículo 2.1 de la Directiva 95/46/CE del Parlamento y del Consejo, de 24 de octubre de 1995, en el que identifica a efectos de dicha Directiva como datos personales “toda información sobre una persona física identificada o identificable; se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social”. Así mismo el Considerando 26 de esta Directiva se refiere a esta cuestión señalando que, para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona para identificar a aquella.
En vista de lo expuesto, ¿es realmente aplicable la Instrucción 1/2006 a todos los casos, extremos y circunstancias de la videovigilancia? ¿Y a la captación de imágenes en parkings subterráneos públicos? El objeto de este análisis es abordar la segunda de las cuestiones.
Para ello, analicemos el concepto de dato personal, según la definición de la LOPD, que requiere la concurrencia de un doble elemento: por una parte, la existencia de información o dato, y, por otra, que dicho dato pueda vincularse a una persona física identificada o identificable.
Conforme al Reglamento de desarrollo de la Ley Orgánica 15/1999, aprobado mediante Real Decreto 1720/2007, de 21 de diciembre, se considera identificable una persona física cuando puede determinarse su identidad física, siempre que para su identificación no se requiera un esfuerzo desproporcionado.
Pero, ¿cómo establecer el límite de ese esfuerzo desproporcionado? Ese será el objeto de otro artículo. En el que nos ocupa, nos vamos a centrar en la línea de interpretación en cuanto al ámbito objetivo de aplicación de la LOPD tomada por la Audiencia Nacional en una sentencia que no fue recurrida por la AEPD.
Una sentencia de la Sala de lo Contencioso Administrativo de la Audiencia Nacional de fecha 17 de septiembre de 2008 (recurso número 353/2007) que estimó el recurso contra la sanción de 60.000€ impuesta por la Agencia Española de Protección de Datos a una empresa prestadora de servicios de descargas a teléfonos móviles. En esta sentencia la Audiencia Nacional considera que la AEPD no había probado que la existencia del número de teléfono móvil por sí solo haga al titular identificable, y por tanto no se le podía aplicar la LOPD.
En esta sentencia se afirma que es evidente que, al no existir ninguna base de datos pública de números de teléfonos móviles asociados a sus titulares, la identificación de los titulares de los datos requiere un esfuerzo desproporcionado; es decir, únicamente podrían identificar a las personas físicas o los operadores de telefonía móvil respecto de sus clientes o aquellas empresas que gestionen datos identificativos asociados a números de móvil.
En este mismo sentido, si se parte de la premisa de que el número de teléfono móvil por sí solo no hace al titular identificable, en nuestra opinión se deberían analizar otros supuestos análogos que tradicionalmente se han considerado como datos de carácter personal por parte del órgano de control, como por ejemplo las direcciones IP, el número de DNI, o la imagen de la persona a pesar de que no contengan ningún dato identificativo complementario sino únicamente porque pertenezcan a una persona física.
En la línea de la Sentencia comentada, tampoco existe una base de datos pública de imágenes que identifiquen a las personas físicas con las que se relacionan dichas imágenes ni tampoco existe una base de datos pública de matrículas de vehículos que relacionen estas con las personas titulares de las mismas. Si esto es así, ¿cuál es la situación de la captación de imágenes en los parking subterráneos públicos?
Pero, ¿dónde está el límite? ¿Se puede considerar, tal y como argumenta la AEPD, que por el mero hecho de descolgar el teléfono se identifica a la persona, o por el mero hecho de la captura de la imagen de una persona, de manera accidental por vigilarse exclusivamente el espacio y los vehículos en cumplimiento de la normativa específica de aplicación, y sin más información de la misma se identifica a la persona?
Y por otra parte, ¿qué argumentos existen para considerar que las imágenes captadas en la videovigilancia de los parkings subterráneos públicos hacen identificables a las personas físicas? ¿Es posible de forma sencilla identificar a una persona física cuando únicamente contamos con una imagen, y en la mayoría de los casos sin la nitidez necesaria para llegar a detalles en sus rasgos?
Realicen una simple prueba para determinar si con el número de DNI o con el nombre y apellidos por sí solos bastaría para identificar a una persona física en las grabaciones de imágenes en el parking. Obtendrán, como hemos obtenido nosotros, resultados negativos en todos los intentos. Por lo tanto, en nuestra opinión, sería necesario un esfuerzo de investigación que podría considerarse “desproporcionado” para lograr la identificación de una persona física a partir de una imagen captada en la videovigilancia dentro de los parkings subterráneos públicos.
En este caso, únicamente podría identificarse a las personas a través de estas imágenes mediante el envío de las mismas al Ministerio del Interior o a los Cuerpos y Fuerzas de Seguridad.
Por lo tanto, podemos concluir que no hay identificación de personas físicas en esta acción de grabación de las imágenes. Sólo se produciría la identificación en las imágenes de las personas físicas en cuestión, en un visionado posterior ah doc promovido por una reclamación o solicitud al efecto en el que se aporten los datos que relacionan a esa persona física con la imagen. Hasta ese momento, la información contenida en la imagen captada es anónima respecto a la persona física que hay detrás de esa imagen. Hay dato pero no se vincula a una persona física.
Otro aspecto a tener en cuenta en esta materia es la necesidad o no de recabar el consentimiento del afectado pero que no vamos a tratar en profundidad.
En este sentido, es necesario que concurra la legitimación, dado que para que el tratamiento de los datos de carácter personal sea lícito, el artículo 6.1 de la LOPD establece que el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa” y así lo dispone el artículo 2 de la Instrucción 1/2006,
“1. Sólo será posible el tratamiento de los datos objeto de la presente instrucción, cuando se encuentre amparado por lo dispuesto en el artículo 6.1 y 2 y el artículo 11.1 y 2 de la LOPD.
2. Sin perjuicio de lo establecido en el apartado anterior la instalación de cámaras o videocámaras deberá respetar en todo caso los requisitos exigidos por la legislación vigente en la materia”.
Evidentemente, esto llevaría al absurdo de tener que pedir el consentimiento a cada ciudadano que accede a un local; por ello, la AEPD ha venido entendiendo que existe una Ley que habilita el tratamiento de las imágenes y que por tanto no es necesario solicitar el consentimiento, esta ley es la Ley 23/1992 de Seguridad Privada.
Por lo tanto, en el supuesto de los parkings subterráneos públicos debemos entender que se cumple con el deber de obtener el consentimiento de las personas que transitan por los lugares en los que se encuentran instaladas las cámaras, puesto que se consiente tácitamente al obtener el ticket de acceso al parking público, por ser el momento en el que se inicia la relación prestacional del servicio de parking; y por conformar la seguridad dentro de las instalaciones y de los vehículos una parte integrante de dicha prestación, y que conlleva la videovigilancia de las instalaciones.
Esta situación asentada en la AEPD se ha visto trastocada por la entrada en vigor de la reforma de esta Ley de Seguridad Privada propiciada por la Ley 25/2009 de 22 de diciembre, Ley Omnibus, que ha venido a crear una disposición adicional sexta que establece:
“Exclusión de las empresas relacionadas con equipos técnicos de seguridad.
Los prestadores de servicios o las filiales de las empresas de seguridad privada que vendan, entreguen, instalen o mantengan equipos técnicos de seguridad, siempre que no incluyan la prestación de servicios de conexión con centrales de alarma, quedan excluidos de la legislación de seguridad privada siempre y cuando no se dediquen a ninguno de los otros fines definidos en el artículo 5, sin perjuicio de otras legislaciones específicas que pudieran resultarles de aplicación.”
Hasta ahora, el artículo 5.1.e de la Ley de Seguridad Privada, disponía que “Con sujeción a lo dispuesto en la presente Ley y en las normas reglamentarias que la desarrollen, las empresas de seguridad únicamente podrán prestar o desarrollar los siguientes servicios y actividades (…) instalación y mantenimiento de aparatos, dispositivos y sistemas de seguridad”. Dicha previsión se reiteraba en el artículo 1 del Reglamento de Seguridad privada, aprobado por el Real Decreto 2364/1994, de 9 de diciembre.
Lo que no ha cambiado es la necesidad para la instalación y captación de sistemas de videovigilancia en parking subterráneos públicos de la preceptiva autorización de la Subdelegación/Delegación del Gobierno, con carácter previo a su instalación justificando la adopción de dicha medida en base al principio de proporcionalidad.
De conformidad con la línea argumental expuesta, la captación de imágenes a través de videocámaras constituye un tratamiento de datos personales si las imágenes captadas se refieren a personas físicas identificadas o que puedan ser identificables.
En relación al cumplimiento de las obligaciones establecidas en la Ley 40/2002, reguladora del contrato de aparcamientos de vehículos y sus posteriores modificaciones, la captación y grabación de matrículas de los vehículos que acceden a los estacionamientos y la captación de imágenes de las instalaciones con fines de seguridad y control de posibles daños a vehículos estacionados es una obligación de los gestores o explotadores de estos parkings. Las imágenes captadas por el segundo subsistema únicamente son visualizadas si se produce alguna reclamación por daños o porque lo solicite las fuerzas y cuerpos de seguridad y únicamente bajo el criterio de búsqueda de fecha y hora, siendo imposible la búsqueda individualizada de la imagen de una persona. En este sentido, en cumplimiento de la Ley 44/2006, que modifica la Ley 40/2002 reguladora del Contrato de Aparcamiento de Vehículos y de la relación contractual derivada del servicio de parking, al usuario se le hace entrega de un justificante o resguardo del aparcamiento, con expresión del día y hora de la entrada, la identificación del vehículo y si el usuario hace entrega o no al responsable del aparcamiento de las llaves del vehículo. Esos son los únicos datos que se tratan en el este tipo de aparcamientos.
Las imágenes captadas por las cámaras de videovigilancia son grabadas en un sistema automático de grabación que está configurado para grabar en ciclos periódicos, siendo ese el período máximo de conservación, que nunca superará el periodo de un mes. A estos sistemas de visualización, con carácter general, se accede mediante usuario y contraseña, cuando se produce algún tipo de reclamación por usuarios o requerimiento por parte de los Cuerpos y Fuerzas de Seguridad que resultan imprescindibles para poder identificar a las personas físicas por parte del Responsable del tratamiento en el primer caso, por parte de los Cuerpos y Fuerzas de Seguridad en el segundo. Consiguientemente, dentro del sistema de grabación de imágenes lo único que hay es una acumulación de imágenes tomadas según transcurre el tiempo y que son borradas de manera automática en periodos de tiempo establecidos en el sistema. En este sentido, resulta anecdótico que se pudieran dar situaciones como que en la fecha de contestación a una Hoja de Reclamación de Consumo acerca de la tarifa por hora del parking y por incumplimiento del artículo 5 de la Ley 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal, en el caso de que se hubiera producido la grabación de imágenes en las que pudiera aparecer el denunciante, se estuviera produciendo el borrado automático de esas imágenes con la grabación de las nuevas imágenes según la configuración del sistema de grabación.
O en el supuesto de que no se hubiera producido el borrado automático de las imágenes, sólo en ese momento, y nunca antes, por no disponerse de datos complementarios a esas imágenes que identifiquen al titular de ese dato, se podrá identificar a la persona física que está detrás de esa imagen.
Por consiguiente, en la grabación que nos ocupa, no puede considerase que dichas imágenes se destinen a integrarse en un archivo estructurado según criterios específicos relativos a las personas físicas. En todo caso, ha de diferenciarse el derecho a la intimidad y a la propia imagen con el derecho a controlar los datos de carácter personal sin que pueda hacerse una interpretación extensiva y genérica de la LOPD.
Volviendo al concepto de dato personal, según la definición de la LOPD, que requiere la concurrencia de un doble elemento: por una parte, la existencia de información o dato, y, por otra, que dicho dato pueda vincularse a una persona física identificada o identificable. Podemos concluir, que en el caso de la videovigilancia en los parkings subterráneos públicos, debemos entender que no hay tratamiento de datos de carácter personal porque no se podría acreditar, que a través de la imagen se identifique al titular de la misma o que a partir de la citada imagen fuese posible tal identificación, de forma que esa imagen ayuno de otras circunstancias que identifiquen o pudiesen permitir identificar al titular de la misma impide que pueda encajarse en la definición legal de dato de carácter personal.
Fuente: Datospersonales.org
Fecha: Diciembre de 2010
Internet de las cosas Por iÑAKI vICUÑA DE nICOLÁS, * Director de la Agencia Vasca de Protección de Datos
SOMOS cada vez más los ciudadanos que iniciamos el día conectándonos a la red, damos un paseo por Windows, nos comunicamos por motivos laborales, familiares o amistosos vía e-mail, sms o Skype, nos desplazamos orientados, como por arte de magia, con GPS, o hacemos nuestros pagos con tarjeta electrónica. Nos ubicamos con total naturalidad en el planeta por Google Maps y nuestra imagen queda grabada en un sinfín de omnipresentes videocámaras que no percibimos. Si hablamos de jóvenes, sabemos que el uso de ordenador es prácticamente universal. El 94,6% de los menores lo utilizan, el 87% navegan en internet y la mayoría tiene cuentas en redes sociales, donde comparten juegos, hobbies e intereses.
Para muchas personas, estos virtuales encuentros on line y esas grabaciones están envueltos en un velo de misterio; para otras, cada vez en mayor número, esos acrónimos, anglicismos y la tecnología que encierran, forman parte de su día a día y, sin llegar a la tecnoadicción, su ausencia les paralizaría dejándoles literalmente incapaces y desconectados. Las personas crean en estas redes su propia transparencia y, junto a todas las cautelas y garantías legales, conviene no perder de vista que los riesgos se controlan mejor por los propios autores de la información. Conviene cuestionarse "si los amigos de los amigos de mis amigos, son mis amigos" y valorar las consecuencias de esa idea, tan alejada del sentir cartesiano y tan instalada en la red, de que "todos me conocen, luego existo". Conviene tener presente el sabio consejo "sálvate a ti mismo".
La mayoría de usuarios sabemos que internet es un mundo de tratamiento de datos y que, una vez dentro, nuestros datos navegan en algún lugar, en la nube, ya no somos dueños de ellos. Hasta el punto decimos "todo está en la nube" para designar la tormenta de aplicaciones y datos que hay en la red. Ahora bien, todos estos mecanismos, con su apariencia de alta tecnología en permanente innovación, también pueden favorecer la consolidación de una sociedad de control y tenemos que evitar que la seguridad y la innovación generen miedo y, a consecuencia de ello, una cultura paralizante. La normativa sobre el derecho fundamental a la protección de datos personales ha construido un sistema de garantías basado, fundamentalmente, en los principios de finalidad, calidad y consentimiento, decisivos para asegurar la tutela efectiva de las libertades.
Esta preocupación por las libertades ha sido objeto de análisis en la reciente Conferencia Internacional de Autoridades de Protección de Datos celebrada en Jerusalén que, al abordar los nuevos retos a los que se enfrenta este derecho, ha analizado de manera muy singular la denominada internet de las cosas, un término que designa a una red de objetos equipados con dispositivos de identificación minúsculos similares a una pegatina incorporada a un producto, animal o persona que no requiere visión directa entre emisor y receptor, permite saber exactamente dónde están y, por tanto, quién los ha adquirido, robado o perdido.
Aplicando este sistema de identificación a sectores como telemedicina, comercio, tráfico, seguridad, paso automático en peajes, controles de acceso, o chips en mascotas, no cabe duda de que nuestra vida cotidiana sufriría una transformación. En la internet de las cosas estas tienen identidad propia y dialogan entre sí; se trata de un nuevo sistema que permite almacenar y recuperar datos, transmitir su identidad y su ubicación, en el que se combina la información generada por personas con la generada por todo tipo de objetos conectados a personas y máquinas.
No estoy hablando de ciencia ficción. Ya en 2005 la Unión Internacional de la Comunicaciones anunciaba este fenómeno, mientras que la Comisión Europea elaboró un informe en el año 2009. Las Autoridades de Protección de Datos, conscientes de que, de entrada, este fenómeno supone un desafío para la privacidad y hace necesarios cambios normativos, venimos analizando sus consecuencias y haciendo propuestas para que el respeto a los principios de la protección de datos favorezca la confianza en los avances del mundo digital y evite que se extienda una percepción negativa de la tecnología. Y es que aquí la normativa en vigor, la tantas veces invocada autodeterminación informativa y el sálvate a ti mismo propuesto resultan ya insuficientes. No me cabe duda de que tendremos que hablar y mucho de esta tecnología. De momento, vayamos haciendo nuestro el concepto internet de las cosas.
Fuente: Deia
Fecha: 14/12/2010
Para muchas personas, estos virtuales encuentros on line y esas grabaciones están envueltos en un velo de misterio; para otras, cada vez en mayor número, esos acrónimos, anglicismos y la tecnología que encierran, forman parte de su día a día y, sin llegar a la tecnoadicción, su ausencia les paralizaría dejándoles literalmente incapaces y desconectados. Las personas crean en estas redes su propia transparencia y, junto a todas las cautelas y garantías legales, conviene no perder de vista que los riesgos se controlan mejor por los propios autores de la información. Conviene cuestionarse "si los amigos de los amigos de mis amigos, son mis amigos" y valorar las consecuencias de esa idea, tan alejada del sentir cartesiano y tan instalada en la red, de que "todos me conocen, luego existo". Conviene tener presente el sabio consejo "sálvate a ti mismo".
La mayoría de usuarios sabemos que internet es un mundo de tratamiento de datos y que, una vez dentro, nuestros datos navegan en algún lugar, en la nube, ya no somos dueños de ellos. Hasta el punto decimos "todo está en la nube" para designar la tormenta de aplicaciones y datos que hay en la red. Ahora bien, todos estos mecanismos, con su apariencia de alta tecnología en permanente innovación, también pueden favorecer la consolidación de una sociedad de control y tenemos que evitar que la seguridad y la innovación generen miedo y, a consecuencia de ello, una cultura paralizante. La normativa sobre el derecho fundamental a la protección de datos personales ha construido un sistema de garantías basado, fundamentalmente, en los principios de finalidad, calidad y consentimiento, decisivos para asegurar la tutela efectiva de las libertades.
Esta preocupación por las libertades ha sido objeto de análisis en la reciente Conferencia Internacional de Autoridades de Protección de Datos celebrada en Jerusalén que, al abordar los nuevos retos a los que se enfrenta este derecho, ha analizado de manera muy singular la denominada internet de las cosas, un término que designa a una red de objetos equipados con dispositivos de identificación minúsculos similares a una pegatina incorporada a un producto, animal o persona que no requiere visión directa entre emisor y receptor, permite saber exactamente dónde están y, por tanto, quién los ha adquirido, robado o perdido.
Aplicando este sistema de identificación a sectores como telemedicina, comercio, tráfico, seguridad, paso automático en peajes, controles de acceso, o chips en mascotas, no cabe duda de que nuestra vida cotidiana sufriría una transformación. En la internet de las cosas estas tienen identidad propia y dialogan entre sí; se trata de un nuevo sistema que permite almacenar y recuperar datos, transmitir su identidad y su ubicación, en el que se combina la información generada por personas con la generada por todo tipo de objetos conectados a personas y máquinas.
No estoy hablando de ciencia ficción. Ya en 2005 la Unión Internacional de la Comunicaciones anunciaba este fenómeno, mientras que la Comisión Europea elaboró un informe en el año 2009. Las Autoridades de Protección de Datos, conscientes de que, de entrada, este fenómeno supone un desafío para la privacidad y hace necesarios cambios normativos, venimos analizando sus consecuencias y haciendo propuestas para que el respeto a los principios de la protección de datos favorezca la confianza en los avances del mundo digital y evite que se extienda una percepción negativa de la tecnología. Y es que aquí la normativa en vigor, la tantas veces invocada autodeterminación informativa y el sálvate a ti mismo propuesto resultan ya insuficientes. No me cabe duda de que tendremos que hablar y mucho de esta tecnología. De momento, vayamos haciendo nuestro el concepto internet de las cosas.
Fuente: Deia
Fecha: 14/12/2010
viernes, 3 de diciembre de 2010
Un centenar de policías denuncian la publicación de sus datos en internet
Un centenar de policías locales de Sevilla han presentado sendas denuncias ante la Agencia de Protección de Datos, al considerar que la publicación de sus datos personales en la página web del sindicato CSIF constituye una vulneración de la ley de Protección de Datos.
La denuncia se dirige contra el sindicato y contra el Ayuntamiento de Sevilla, según explicó el policía local Luis Val, que ha llevado el caso además a los juzgados, al entender que se ha podido cometer incluso un delito de revelación de secretos. Los agentes consideran que el Consistorio también es responsable de la publicación de sus datos, puesto que según la ley vigente, "el Ayuntamiento es el propietario de la base de datos de los empleados municipales y tiene que cerciorarse y asegurarse de cómo se gestiona dicha base".
Luis Val explicó que el Sindicato Profesional de Policías Municipales de España (Sppme-A) ha ofrecido el gabinete jurídico a todos los 4.500 empleados municipales cuyos datos también aparecen en internet y que quieran sumarse a la denuncia.
Fuente: Diario de Sevilla
Fecha: 03/12/2010
La denuncia se dirige contra el sindicato y contra el Ayuntamiento de Sevilla, según explicó el policía local Luis Val, que ha llevado el caso además a los juzgados, al entender que se ha podido cometer incluso un delito de revelación de secretos. Los agentes consideran que el Consistorio también es responsable de la publicación de sus datos, puesto que según la ley vigente, "el Ayuntamiento es el propietario de la base de datos de los empleados municipales y tiene que cerciorarse y asegurarse de cómo se gestiona dicha base".
Luis Val explicó que el Sindicato Profesional de Policías Municipales de España (Sppme-A) ha ofrecido el gabinete jurídico a todos los 4.500 empleados municipales cuyos datos también aparecen en internet y que quieran sumarse a la denuncia.
Fuente: Diario de Sevilla
Fecha: 03/12/2010
Protección de Datos verá la filtración de pacientes de Inca tras denunciarlo UGT
El sindicato UGT confirmó ayer a este diario que hoy mismo remitirá por correo certificado a la Agencia Española de Protección de Datos (AEPD) un escrito en el que denuncia que el hospital comarcal de Inca no ha guardado como debía los datos de sus pacientes ingresados y le insta a investigar todo este asunto por si pudiera ser constitutivo de un delito al vulnerar la legislación vigente referente a la protección de datos.
Ahora, con la denuncia presentada por el sindicato UGT ante el organismo estatal, Protección de Datos tendrá que investigar todo este asunto. Desde la AEPD señalaron que, en caso de no recibir denuncia alguna, podrían actuar igualmente de oficio si tras analizar la documentación aparecida en los medios de comunicación se desprendiera una posible infracción de la ley.
Para ello, el sindicato adjuntará toda la documentación publicada en DIARIO de MALLORCA sobre esta presunta filtración irregular en el hospital comarcal. Como se recordará, este rotativo publicó varias listas de pacientes ingresados en el hospital comarcal en las que figuraban datos personales de los enfermos y el número de la habitación en la que estaban ingresados. Al parecer, listados como este son filtrados por alguien del centro sanitario al Partido Popular de Inca para concejales cursen visitas con un claro objetivo electoralista a los pacientes de su municipio.
Desde la conselleria de Salud se admitió que se produjo esta filtración de datos "no autorizada" por parte de los pacientes y se abrió una investigación que, hasta el momento, no ha arrojado ningún resultado.
El secretario general de la Federación de Servicios Públicos de UGT en Balears, Aurelio Martínez, reiteró que, en opinión de su sindicato, "la gerencia del hospital de Inca no ha cumplido con su obligación de guardar los datos de sus pacientes. Y de la investigación que ahora tendrá que abrir Protección de Datos se puede derivar un delito si alguien ha hecho un uso de esos datos para fines políticos, no es sólo el hecho mezquino de usar la enfermedad con estos objetivos".
Para Martínez, si la AEPD determina que se ha producido un delito tendría que sancionar a la Administración y pedir la intervención de la Fiscalía.
Fuente: Diario de MAllorca
Fecha: 18/11/2010
Ahora, con la denuncia presentada por el sindicato UGT ante el organismo estatal, Protección de Datos tendrá que investigar todo este asunto. Desde la AEPD señalaron que, en caso de no recibir denuncia alguna, podrían actuar igualmente de oficio si tras analizar la documentación aparecida en los medios de comunicación se desprendiera una posible infracción de la ley.
Para ello, el sindicato adjuntará toda la documentación publicada en DIARIO de MALLORCA sobre esta presunta filtración irregular en el hospital comarcal. Como se recordará, este rotativo publicó varias listas de pacientes ingresados en el hospital comarcal en las que figuraban datos personales de los enfermos y el número de la habitación en la que estaban ingresados. Al parecer, listados como este son filtrados por alguien del centro sanitario al Partido Popular de Inca para concejales cursen visitas con un claro objetivo electoralista a los pacientes de su municipio.
Desde la conselleria de Salud se admitió que se produjo esta filtración de datos "no autorizada" por parte de los pacientes y se abrió una investigación que, hasta el momento, no ha arrojado ningún resultado.
El secretario general de la Federación de Servicios Públicos de UGT en Balears, Aurelio Martínez, reiteró que, en opinión de su sindicato, "la gerencia del hospital de Inca no ha cumplido con su obligación de guardar los datos de sus pacientes. Y de la investigación que ahora tendrá que abrir Protección de Datos se puede derivar un delito si alguien ha hecho un uso de esos datos para fines políticos, no es sólo el hecho mezquino de usar la enfermedad con estos objetivos".
Para Martínez, si la AEPD determina que se ha producido un delito tendría que sancionar a la Administración y pedir la intervención de la Fiscalía.
Fuente: Diario de MAllorca
Fecha: 18/11/2010
Denuncian el uso de los datos del padrón para enviar una publicación
Un nuevo frente se ha abierto en Fuengirola, ésta vez por el uso del padrón municipal. El secretario local de Organización del PSOE, Samuel García Tamajón, denunció ayer públicamente el "uso indebido" de la protección de datos que se realiza desde el Ayuntamiento en lo que se refiere a la distribución de una publicación.
"El Consistorio gobernado por el PP, y más concretamente la alcaldesa, Esperanza Oña, usa los datos de los empadronados para enviar a sus casas, por medio de trabajadores públicos y funcionarios, un periódico adoctrinado del PP", indicó García Tamajón.
Al respecto, el secretario señaló que la regidora usa a los notificadores y "el dinero de todos los fuengiroleños para hacer propaganda en una publicación italiana", la cual se reparte entre los residentes con origen en este país.
Por otro lado, detalló que en la publicación hay un total de ocho páginas con informaciones del PP, dos de ellas locales, además de un anuncio municipal. García Tamajón insistió en que se están cometiendo dos delitos, uno contra la Ley de Protección de Datos y otro por la malversación de fondos y personal público.
El PSOE anunció que se van a tomar medidas legales, puesto que el secretario de Política Municipal, Juan Pedro Álvarez, afirmó que se ha cometido una "vulneración" del consentimiento dado por los ciudadanos a la hora de facilitar este tipo de informaciones privadas.
Por ello, se ha presentado una denuncia ante la Agencia Española de Protección de Datos por la vulneración de la Ley Orgánica 15/1999.
En respuesta a esta denuncia, fuentes del equipo de gobierno del PP insistieron en afirmar que el Ayuntamiento "cuenta con los informes necesarios" que avalan esta iniciativa.
Fuente: MAlaga Hoy
Fecha: 17/11/2010
"El Consistorio gobernado por el PP, y más concretamente la alcaldesa, Esperanza Oña, usa los datos de los empadronados para enviar a sus casas, por medio de trabajadores públicos y funcionarios, un periódico adoctrinado del PP", indicó García Tamajón.
Al respecto, el secretario señaló que la regidora usa a los notificadores y "el dinero de todos los fuengiroleños para hacer propaganda en una publicación italiana", la cual se reparte entre los residentes con origen en este país.
Por otro lado, detalló que en la publicación hay un total de ocho páginas con informaciones del PP, dos de ellas locales, además de un anuncio municipal. García Tamajón insistió en que se están cometiendo dos delitos, uno contra la Ley de Protección de Datos y otro por la malversación de fondos y personal público.
El PSOE anunció que se van a tomar medidas legales, puesto que el secretario de Política Municipal, Juan Pedro Álvarez, afirmó que se ha cometido una "vulneración" del consentimiento dado por los ciudadanos a la hora de facilitar este tipo de informaciones privadas.
Por ello, se ha presentado una denuncia ante la Agencia Española de Protección de Datos por la vulneración de la Ley Orgánica 15/1999.
En respuesta a esta denuncia, fuentes del equipo de gobierno del PP insistieron en afirmar que el Ayuntamiento "cuenta con los informes necesarios" que avalan esta iniciativa.
Fuente: MAlaga Hoy
Fecha: 17/11/2010
Sanción por facilitar datos de ancianos a una farmacia
El Supremo mantiene la sanción a una residencia de la tercera edad por vulnerar la Ley de Protección de Datos, al dar a una farmacia una lista con datos de residentes como el DNI, nombre y cuenta bancaria.
El Tribunal Supremo confirma la sanción de la Agencia Española de Protección de Datos (AEPD) a una residencia de ancianos por facilitar a una farmacia un listado con datos personales de los residentes. El Alto Tribunal ratifica la multa de 300.506 euros a la residencia.
Según los hechos, tras una inspección en la farmacia, el titular de la misma reconoció que la residencia de ancianos le facilitó un listado con una relación de sus clientes. El objetivo era que la farmacia cargara en la propia cuenta de los residentes aquellos productos solicitados por la residencia que no estuvieran cubiertos por la Seguridad Social.
El titular de la farmacia reconoce que la residencia de ancianos es uno de sus principales clientes y que las órdenes de pedido se refieren tanto a productos cubiertos por la Seguridad Social como a no cubiertos. En este segundo caso, el Centro Residencial comunica, bien por teléfono o por escrito, la relación de los productos con indicación del residente para el que se solicitan.
El listado aportado por la residencia de ancianos contenía los siguientes campos de información: nombre y apellidos, número del Documento Nacional de Identidad, número de cuenta bancaria al que la residencia gira la factura y un campo de observaciones. En la residencia de mayores se verificó que en sus equipos informáticos se encontraba un fichero automatizado tipo hoja de cálculo Excel, cuyo formato coincide exactamente con el listado aportado a la inspección por el titular de la farmacia. Los datos contenidos en el fichero corresponden a 162 residentes del centro, los cuales figuran también en el listado aportado a la Inspección por el titular farmacéutico.
Asimismo, ha quedado probado que en los contratos suscritos entre la residencia y los residentes no se informa a los mismos sobre los derechos que les asisten contemplados en la Ley Orgánica de Protección de Datos (LOPD).
Por su parte, la residencia de ancianos argumenta que el servicio que presta a los residentes es un servicio de atención integral de todas sus necesidades, incluidas las de acceso a medicamentos y artículos de higiene personal. Añade que “la prestación de esa concreta asistencia sólo puede realizarse mediante la confección de un pedido a la farmacia y con la facilitación de los datos de cada persona a los efectos de cobro”.
La Sala destaca que no está en condiciones de determinar el modo en que se debe proceder al suministro de medicamentos y productos de parafarmacia a las personas que se encuentran ingresadas en una residencia en la que reciben una asistencia integral. “No obstante, lo que sí se puede afirmar sin temor a error es que el mecanismo ideado para proceder a ese suministro produce claras infracciones de los derechos a la protección de datos de las personas ingresadas”, apunta.
Información expresa
El Supremo insiste en que la prestación del servicio farmacéutico por parte de la recurrente a sus residentes no fue precedido de una información expresa en la que se hiciese saber a los residentes la facilitación de sus datos de carácter personal a la oficina de farmacia. Según la Sala, tampoco puede sostenerse que la información requerida esté implícita en la relación jurídica aceptada por los residentes, aún cuando se admita que la relación de mención abarca una asistencia integral que incluye el servicio farmacéutico.
Por todo ello, se desestima el recurso de casación interpuesto por Sanidad y Residencias 21 S.A, contra sentencia de la Audiencia Nacional, que confirma la sanción de la AEPD de 300.506 euros. (TS 08/10/2010, Rº 4353/06).
Otros recursos a las decisiones de la Agencia
La AEPD ha sancionado recientemente a varias compañías. La empresa editorial Círculo de Lectores fue sancionada al haber cedido datos de exsocios para fines promocionales. Hace un año, el Supremo confirmaba la sanción a una mutua por dar información sobre el trabajador obtenida en un reconocimiento anterior cuando trabajaba para otra empresa. Sin embargo, el Supremo daba un varapalo al afán recaudatorio de la Agencia y anuló la sanción a Metrovacesa por ceder el teléfono móvil de un cliente a una caja de ahorros.
Fuente: Expansion
Fecha: 28/11/2010
El Tribunal Supremo confirma la sanción de la Agencia Española de Protección de Datos (AEPD) a una residencia de ancianos por facilitar a una farmacia un listado con datos personales de los residentes. El Alto Tribunal ratifica la multa de 300.506 euros a la residencia.
Según los hechos, tras una inspección en la farmacia, el titular de la misma reconoció que la residencia de ancianos le facilitó un listado con una relación de sus clientes. El objetivo era que la farmacia cargara en la propia cuenta de los residentes aquellos productos solicitados por la residencia que no estuvieran cubiertos por la Seguridad Social.
El titular de la farmacia reconoce que la residencia de ancianos es uno de sus principales clientes y que las órdenes de pedido se refieren tanto a productos cubiertos por la Seguridad Social como a no cubiertos. En este segundo caso, el Centro Residencial comunica, bien por teléfono o por escrito, la relación de los productos con indicación del residente para el que se solicitan.
El listado aportado por la residencia de ancianos contenía los siguientes campos de información: nombre y apellidos, número del Documento Nacional de Identidad, número de cuenta bancaria al que la residencia gira la factura y un campo de observaciones. En la residencia de mayores se verificó que en sus equipos informáticos se encontraba un fichero automatizado tipo hoja de cálculo Excel, cuyo formato coincide exactamente con el listado aportado a la inspección por el titular de la farmacia. Los datos contenidos en el fichero corresponden a 162 residentes del centro, los cuales figuran también en el listado aportado a la Inspección por el titular farmacéutico.
Asimismo, ha quedado probado que en los contratos suscritos entre la residencia y los residentes no se informa a los mismos sobre los derechos que les asisten contemplados en la Ley Orgánica de Protección de Datos (LOPD).
Por su parte, la residencia de ancianos argumenta que el servicio que presta a los residentes es un servicio de atención integral de todas sus necesidades, incluidas las de acceso a medicamentos y artículos de higiene personal. Añade que “la prestación de esa concreta asistencia sólo puede realizarse mediante la confección de un pedido a la farmacia y con la facilitación de los datos de cada persona a los efectos de cobro”.
La Sala destaca que no está en condiciones de determinar el modo en que se debe proceder al suministro de medicamentos y productos de parafarmacia a las personas que se encuentran ingresadas en una residencia en la que reciben una asistencia integral. “No obstante, lo que sí se puede afirmar sin temor a error es que el mecanismo ideado para proceder a ese suministro produce claras infracciones de los derechos a la protección de datos de las personas ingresadas”, apunta.
Información expresa
El Supremo insiste en que la prestación del servicio farmacéutico por parte de la recurrente a sus residentes no fue precedido de una información expresa en la que se hiciese saber a los residentes la facilitación de sus datos de carácter personal a la oficina de farmacia. Según la Sala, tampoco puede sostenerse que la información requerida esté implícita en la relación jurídica aceptada por los residentes, aún cuando se admita que la relación de mención abarca una asistencia integral que incluye el servicio farmacéutico.
Por todo ello, se desestima el recurso de casación interpuesto por Sanidad y Residencias 21 S.A, contra sentencia de la Audiencia Nacional, que confirma la sanción de la AEPD de 300.506 euros. (TS 08/10/2010, Rº 4353/06).
Otros recursos a las decisiones de la Agencia
La AEPD ha sancionado recientemente a varias compañías. La empresa editorial Círculo de Lectores fue sancionada al haber cedido datos de exsocios para fines promocionales. Hace un año, el Supremo confirmaba la sanción a una mutua por dar información sobre el trabajador obtenida en un reconocimiento anterior cuando trabajaba para otra empresa. Sin embargo, el Supremo daba un varapalo al afán recaudatorio de la Agencia y anuló la sanción a Metrovacesa por ceder el teléfono móvil de un cliente a una caja de ahorros.
Fuente: Expansion
Fecha: 28/11/2010
Expediente al Ayuntamiento de Mijas por uso de video-vigilancia a sus trabajador
La entidad gubernamental considera que el consistorio está cometiendo una faltagrave por instalar 14 cámaras en las dependencias municipales. CGT denuncia la utilización de estos medios para coaccionar a los trabajadores/as.
Para CGT, se trata de hechos muy graves. El Ayuntamiento de Mijas va a ser sancionado por la Agencia Españolade Protección de Datos. El organismo considera que la instalación de un sistema de vigilancia en la Nave de Servicios Operativos de La Cala de Mijas, efectuada sin cumplir los requisitos que establece la ley, vulnera los derechos a la intimidad y a la imagen de los trabajadores/as e incumple el artículo 20 de la LOPD(Ley Orgánica de Protección de Datos). Por ello, la Agencia ya ha abierto el proceso sobre esta infracción del consistorio y le ha abierto un expediente.
CGT denunció estos hechos ante el organismogubernamental. El sindicato, además, quiere protestar enérgicamente por el acoso que sufren los trabajadores/aspor este sistema y considera que el consistorio ha utilizado estos medios como medidade coacción para los trabajadores/asdel Ayuntamiento. Dos de ellos ya han sido sancionados tras ser ‘video-vigilados’. En uno de los casos, la fiscalía ha sobreseído el proceso al entender que estas grabaciones no eran concluyentes.
Ante estos hechos, CGT pone en marcha la campaña ‘No queremos un alcalde “Gran Hermano”’, en la que pone en conocimiento de todos los vecinos/as este problema. Cualquier persona que haya estado en las dependencias municipales de La Cala, como estudiantes de lasescuelastaller, proveedores/as, notificadores/as y ciudadanía en general, puede exigir responsabilidades al Ayuntamiento por vulnerar sus derechos a través de este sistema de vigilancia.
El sindicato anuncia que pondrá en marcha acciones informativas para denunciar esta situación.
CGT exige al Ayuntamiento de Mijas que ponga fin de inmediato a esta situación, que no sólo vulnera los derechos de los trabajadores/as, tal y como ha ratificado la Agencia Española de Protección de Datos, sino que además los denigra como personas.
Secc. Sind. CGT Ayto. Mijas - CGT Málaga
Fuente: Rojo y Negro
Fecha: 27/11/2010
Para CGT, se trata de hechos muy graves. El Ayuntamiento de Mijas va a ser sancionado por la Agencia Españolade Protección de Datos. El organismo considera que la instalación de un sistema de vigilancia en la Nave de Servicios Operativos de La Cala de Mijas, efectuada sin cumplir los requisitos que establece la ley, vulnera los derechos a la intimidad y a la imagen de los trabajadores/as e incumple el artículo 20 de la LOPD(Ley Orgánica de Protección de Datos). Por ello, la Agencia ya ha abierto el proceso sobre esta infracción del consistorio y le ha abierto un expediente.
CGT denunció estos hechos ante el organismogubernamental. El sindicato, además, quiere protestar enérgicamente por el acoso que sufren los trabajadores/aspor este sistema y considera que el consistorio ha utilizado estos medios como medidade coacción para los trabajadores/asdel Ayuntamiento. Dos de ellos ya han sido sancionados tras ser ‘video-vigilados’. En uno de los casos, la fiscalía ha sobreseído el proceso al entender que estas grabaciones no eran concluyentes.
Ante estos hechos, CGT pone en marcha la campaña ‘No queremos un alcalde “Gran Hermano”’, en la que pone en conocimiento de todos los vecinos/as este problema. Cualquier persona que haya estado en las dependencias municipales de La Cala, como estudiantes de lasescuelastaller, proveedores/as, notificadores/as y ciudadanía en general, puede exigir responsabilidades al Ayuntamiento por vulnerar sus derechos a través de este sistema de vigilancia.
El sindicato anuncia que pondrá en marcha acciones informativas para denunciar esta situación.
CGT exige al Ayuntamiento de Mijas que ponga fin de inmediato a esta situación, que no sólo vulnera los derechos de los trabajadores/as, tal y como ha ratificado la Agencia Española de Protección de Datos, sino que además los denigra como personas.
Secc. Sind. CGT Ayto. Mijas - CGT Málaga
Fuente: Rojo y Negro
Fecha: 27/11/2010
UCM recurrirá la decisión de Agencia de Protección de Datos y cree que ha podido ser utilizada con fines políticos
La Universidad Complutense de Madrid (UCM) recurrirá la decisión de la Agencia de Protección de Datos (APD) de la Comunidad de Madrid, que considera que el centro ha vulnerado el artículo 4.2 de la Ley Orgánica de Protección de Datos (LOPD) al utilizar el rector de la universidad, Carlos Berzosa, las direcciones de correo electrónico con fines diferentes a los que ha sido creado, y cree que "ha podido ser utilizada con fines políticos".
Fuentes de la UCM han señalado a Europa Press que la resolución de la APD madrileña será recurrida por la Universidad en los Juzgados de lo Contencioso-Administrativo al entender que "es contraria al derecho".
Estas fuentes han asegurado mostrarse "sorprendidas" ante dicho informe, y lamentan que "los responsables de una institución no puedan comunicarse con sus empleados, como lo hacen habitualmente para comunicar todo tipo de cuestiones de interés para la universidad".
"Nos sorprende, porque el rector se comunica habitualmente a través del correo electrónico y ninguno de los receptores ha expresado ninguna queja, es un canal de comunicación institucional", han expresado estas mismas fuentes.
Asimismo, consideran que "se ha podido instrumentalizar la Agencia de Protección de Datos como institución", y han recordado que es un organismo perteneciente a la Comunidad de Madrid, por lo que "ha podido ser utilizada con fines políticos".
La Agencia de Protección de Datos (APD) de la Comunidad de Madrid considera que la Universidad Complutense de Madrid (UCM) ha vulnerado el artículo 4.2 de la Ley Orgánica de Protección de Datos (LOPD) al utilizar el rector de la universidad, Carlos Berzosa, las direcciones de correo electrónico con fines diferentes a los que ha sido creado, concretamente para responder a unas acusaciones del portavoz adjunto del PP en la Asamblea, Juan Soler.
Se trata de un correo electrónico que el rector envió en abril y para el cual utilizó el fichero 'Directorio Web UCM', de forma que dicho mail llegase a toda la comunidad universitaria. El texto en cuestión suponía una contestación al portavoz adjunto del PP en la Asamblea de Madrid, Juan Soler, quien días antes le había acusado de utilizar dinero de la Universidad para la construcción de una residencia para profesores en Somosaguas.
Fuente: La Información
Fecha: 24/11/2010
Fuentes de la UCM han señalado a Europa Press que la resolución de la APD madrileña será recurrida por la Universidad en los Juzgados de lo Contencioso-Administrativo al entender que "es contraria al derecho".
Estas fuentes han asegurado mostrarse "sorprendidas" ante dicho informe, y lamentan que "los responsables de una institución no puedan comunicarse con sus empleados, como lo hacen habitualmente para comunicar todo tipo de cuestiones de interés para la universidad".
"Nos sorprende, porque el rector se comunica habitualmente a través del correo electrónico y ninguno de los receptores ha expresado ninguna queja, es un canal de comunicación institucional", han expresado estas mismas fuentes.
Asimismo, consideran que "se ha podido instrumentalizar la Agencia de Protección de Datos como institución", y han recordado que es un organismo perteneciente a la Comunidad de Madrid, por lo que "ha podido ser utilizada con fines políticos".
La Agencia de Protección de Datos (APD) de la Comunidad de Madrid considera que la Universidad Complutense de Madrid (UCM) ha vulnerado el artículo 4.2 de la Ley Orgánica de Protección de Datos (LOPD) al utilizar el rector de la universidad, Carlos Berzosa, las direcciones de correo electrónico con fines diferentes a los que ha sido creado, concretamente para responder a unas acusaciones del portavoz adjunto del PP en la Asamblea, Juan Soler.
Se trata de un correo electrónico que el rector envió en abril y para el cual utilizó el fichero 'Directorio Web UCM', de forma que dicho mail llegase a toda la comunidad universitaria. El texto en cuestión suponía una contestación al portavoz adjunto del PP en la Asamblea de Madrid, Juan Soler, quien días antes le había acusado de utilizar dinero de la Universidad para la construcción de una residencia para profesores en Somosaguas.
Fuente: La Información
Fecha: 24/11/2010
Agencia Protección de Datos cree que UCM vulneró la Ley al usar Berzosa el mail de la universidad para contestar a Soler
Se trata de un email que el rector envió en abril y para el cual utilizó el fichero 'Directorio Web UCM' de forma que dicho correo electrónico llegase a toda la comunidad universitaria. El texto en cuestión suponía una contestación al portavoz adjunto popular en la Asamblea de Madrid, Juan Soler, quien días antes le había acusado de utilizar dinero de la Universidad para la construcción de una residencia para profesores en Somosaguas
La Agencia de Protección de Datos (APD) de la Comunidad de Madrid considera que la Universidad Complutense de Madrid (UCM) ha vulnerado el artículo 4.2 de la Ley Orgánica de Protección de Datos (LOPD) al utilizar el rector de la universidad, Carlos Berzosa, las direcciones de correo electrónico con fines diferentes a los que ha sido creado, concretamente para responder a unas acusaciones del portavoz adjunto del PP en la Asamblea, Juan Soler.
Se trata de un email que el rector envió en abril y para el cual utilizó el fichero 'Directorio Web UCM' de forma que dicho correo electrónico llegase a toda la comunidad universitaria. El texto en cuestión suponía una contestación al portavoz adjunto popular en la Asamblea de Madrid, Juan Soler, quien días antes le había acusado de utilizar dinero de la Universidad para la construcción de una residencia para profesores en Somosaguas.
En concreto, la APD madrileña entiende que la universidad "ha vulnerado lo previsto en el artículo 4.2 de la LOPD", una conducta tipificada como una "infracción grave" en el artículo 44.3.d) de dicha normativa.
Este artículo considera como infracción el "tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave".
Para la Agencia de Protección de Datos, el fichero se describe con la finalidad de "gestión de los datos de los empleados públicos de la UCM con fines de Atención al Ciudadano" y se declara con la Finalidad y Usos de "procedimiento administrativa", lo que no coincidiría con el objeto del mail enviado.
Por tanto, al enviar el mail con la función de contestar a Soler se vulnerarían los términos del artículo 4.2 de la LOPD, que establece que "los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos".
LA SITUACIÓN SE REMONTA A ABRIL
Los hechos se remontan a abril de este año, cuando en una Comisión de Educación de la Asamblea de Madrid, el diputado popular Juan Soler insinuó que Berzosa había utilizado dinero de la universidad para construir pisos de lujo para profesores en Somosaguas en lugar de destinarlo a arreglar las deficiencias de los colegios mayores.
Posteriormente, Berzosa envió un email a la comunidad educativa refiriéndose a la situación e instando a Soler a que retirase sus "infundadas acusaciones" y afirmando que los orígenes de las viviendas de Somosaguas eran anteriores a su mandato y que dicha promoción no suponía coste alguno para la Universidad o la Fundación de la misma.
En dicho email, Berzosa explicaba que la promoción de viviendas Residencial Somosaguas se dirigía al personal de la UCM, tanto docente como de administración y servicios, y que "desde su inicio en 1997, se ha desarrollado en el seno de la Fundación General de la UCM, de manera que "sus orígenes son anteriores" a su mandato como rector.
Tras negar que él impulsara estas viviendas, indicaba que en 1997 la Fundación compró el solar mediante un crédito bancario, que en 2001 se realizó el sorteo de las viviendas no preadjudicadas, en julio de 2008 se presentó la solicitud de licencia de obras y que ese mismo año se firmaron los contratos de adjudicación de las 384 viviendas de la promoción. En diciembre de 2009 se celebró un nuevo sorteo para optar a las viviendas remanentes, añadía.
"Según se encuentra desarrollado en el clausulado del contrato firmado por los adjudicatarios, la promoción se desarrolla bajo el principio de asunción del coste total de la promoción por parte de los adjudicatarios, no suponiendo por tanto coste alguno ni para la Universidad ni para la Fundación, que cobra un porcentaje por gastos de gestión", indicaba el rector en su carta.
En ella también decía que "el buen fin de esta promoción social de viviendas a favor del personal de la Universidad ha exigido a lo largo de un dilatado período de tiempo una compleja gestión, que se prevé culmine satisfactoriamente en los meses centrales de 2011 con la entrega de las viviendas al personal complutense beneficiado en el sorteo, del que, a falta de las últimas adjudicaciones, 133 adjudicatarios son personal de administración y servicios".
Por todo ello, destacaba la "falsedad" de las palabras de Soler le reclamaba que rectificara lo dicho y desistiera en "su ánimo calumnioso contra la gestión de este rector y el buen nombre de la Universidad Complutense de Madrid".
Fuente: Gente Digital
Fecha: 24/11/2010
La Agencia de Protección de Datos (APD) de la Comunidad de Madrid considera que la Universidad Complutense de Madrid (UCM) ha vulnerado el artículo 4.2 de la Ley Orgánica de Protección de Datos (LOPD) al utilizar el rector de la universidad, Carlos Berzosa, las direcciones de correo electrónico con fines diferentes a los que ha sido creado, concretamente para responder a unas acusaciones del portavoz adjunto del PP en la Asamblea, Juan Soler.
Se trata de un email que el rector envió en abril y para el cual utilizó el fichero 'Directorio Web UCM' de forma que dicho correo electrónico llegase a toda la comunidad universitaria. El texto en cuestión suponía una contestación al portavoz adjunto popular en la Asamblea de Madrid, Juan Soler, quien días antes le había acusado de utilizar dinero de la Universidad para la construcción de una residencia para profesores en Somosaguas.
En concreto, la APD madrileña entiende que la universidad "ha vulnerado lo previsto en el artículo 4.2 de la LOPD", una conducta tipificada como una "infracción grave" en el artículo 44.3.d) de dicha normativa.
Este artículo considera como infracción el "tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave".
Para la Agencia de Protección de Datos, el fichero se describe con la finalidad de "gestión de los datos de los empleados públicos de la UCM con fines de Atención al Ciudadano" y se declara con la Finalidad y Usos de "procedimiento administrativa", lo que no coincidiría con el objeto del mail enviado.
Por tanto, al enviar el mail con la función de contestar a Soler se vulnerarían los términos del artículo 4.2 de la LOPD, que establece que "los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos".
LA SITUACIÓN SE REMONTA A ABRIL
Los hechos se remontan a abril de este año, cuando en una Comisión de Educación de la Asamblea de Madrid, el diputado popular Juan Soler insinuó que Berzosa había utilizado dinero de la universidad para construir pisos de lujo para profesores en Somosaguas en lugar de destinarlo a arreglar las deficiencias de los colegios mayores.
Posteriormente, Berzosa envió un email a la comunidad educativa refiriéndose a la situación e instando a Soler a que retirase sus "infundadas acusaciones" y afirmando que los orígenes de las viviendas de Somosaguas eran anteriores a su mandato y que dicha promoción no suponía coste alguno para la Universidad o la Fundación de la misma.
En dicho email, Berzosa explicaba que la promoción de viviendas Residencial Somosaguas se dirigía al personal de la UCM, tanto docente como de administración y servicios, y que "desde su inicio en 1997, se ha desarrollado en el seno de la Fundación General de la UCM, de manera que "sus orígenes son anteriores" a su mandato como rector.
Tras negar que él impulsara estas viviendas, indicaba que en 1997 la Fundación compró el solar mediante un crédito bancario, que en 2001 se realizó el sorteo de las viviendas no preadjudicadas, en julio de 2008 se presentó la solicitud de licencia de obras y que ese mismo año se firmaron los contratos de adjudicación de las 384 viviendas de la promoción. En diciembre de 2009 se celebró un nuevo sorteo para optar a las viviendas remanentes, añadía.
"Según se encuentra desarrollado en el clausulado del contrato firmado por los adjudicatarios, la promoción se desarrolla bajo el principio de asunción del coste total de la promoción por parte de los adjudicatarios, no suponiendo por tanto coste alguno ni para la Universidad ni para la Fundación, que cobra un porcentaje por gastos de gestión", indicaba el rector en su carta.
En ella también decía que "el buen fin de esta promoción social de viviendas a favor del personal de la Universidad ha exigido a lo largo de un dilatado período de tiempo una compleja gestión, que se prevé culmine satisfactoriamente en los meses centrales de 2011 con la entrega de las viviendas al personal complutense beneficiado en el sorteo, del que, a falta de las últimas adjudicaciones, 133 adjudicatarios son personal de administración y servicios".
Por todo ello, destacaba la "falsedad" de las palabras de Soler le reclamaba que rectificara lo dicho y desistiera en "su ánimo calumnioso contra la gestión de este rector y el buen nombre de la Universidad Complutense de Madrid".
Fuente: Gente Digital
Fecha: 24/11/2010
Un 'Robinson' de la publicidad
Sin necesidad de huir a una isla desierta ni recluirse en los confines del mundo, existe una solución que permite mantenerse al margen de esas fórmulas de marketing directo que hacen que cada vez sea más habitual que llegue publicidad con nombre y apellidos a nuestro correo postal, electrónico, teléfono móvil o incluso, en forma de llamadas al propio domicilio.
La Oficina Comarcal de Información al Consumidor (OMIC) de Oarsoaldea informa de la existencia de un servicio de exclusión publicitaria integral que gestiona la Federación Española de la Economía Digital (www.adigital.es), el denominado Lista Robinson.
Ander Poza, presidente de la Agencia de Desarrollo Comarcal Oarsoaldea y concejal de Desarrollo económico del Ayuntamiento de Pasaia, explica que cualquier persona puede inscribirse en la Lista Robinson de forma gratuita y sencilla a través de www.listarobinson.es.
«Sólo es necesario marcar en la casilla correspondiente el o los medios a través de los cuales no se desea recibir publicidad: correo postal o e-mail, teléfono móvil, SMS o teléfono fijo», señala el edil.
Los anunciantes, por su parte, tienen la obligación de consultar estos ficheros cuando realicen campañas en las que utilicen datos no facilitados por sus propios clientes, como se recoge en el Reglamento de desarrollo de la LOPD (Ley Orgánica de Protección de Datos).
Derecho de oposición
En el caso de que no se desee recibir publicidad de las empresas, aun siendo cliente, a los consumidores les queda lo que se califica de «derecho de oposición».
Desde la OMIC de Oarsoaldea aclaran que consiste en hacer llegar a la empresa el deseo de que utilicen tus datos exclusivamente para el servicio contratado (facturación, etc.). Aunque algunos expertos señalan que con una llamada sería suficiente, se recomienda hacerlo por escrito mediante los formularios que pone a disposición la Agencia de Protección de Datos, encargada de regular la LOPD (www.agpd.es).
Las empresas y entidades anunciantes pueden acceder a los ficheros de la Lista Robinson de dos maneras: una gratuita, para consultas puntuales y otra de pago, que posibilita la descarga, bien una única vez o cuantas sea necesario durante un año. Muchos usuarios ven ahí el peligro que puede suponer que la propia lista Robinson se convierta en una base de datos, previo pago, para los anunciantes.
Quienes se quieran registrar en esta lista deben saber también que su validez comienza en el plazo de tres meses desde el día después de la inscripción. No es algo instantáneo puesto que sus datos pueden estar siendo utilizados justo en el momento en el que se produce el registro.
Efectividad
Otro de los aspectos que hay que tener en cuenta es que tienen que coincidir todos los datos -caracteres, números y hasta los espacios- que tiene la empresa con los que el usuario facilite al registrarse en la lista.
No hay que olvidar que esta iniciativa surge de la necesidad de buscar el equilibrio entre el derecho fundamental a la protección de datos y el legítimo tratamiento de los mismos por parte de las diferentes entidades.
En cuanto a la efectividad de estas listas, la respuesta de la OMIC es clara: «Siempre es más efectivo que no hacer nada». Además, hay que recordar que los anunciantes que no respeten los datos de los usuarios registrados en la Lista Robinson, pueden ser denunciados ante de la Agencia de Protección de Datos (AGPD) y sancionados económicamente.
Fuente: Diario Vasco
Fecha: 12/11/2010
La Oficina Comarcal de Información al Consumidor (OMIC) de Oarsoaldea informa de la existencia de un servicio de exclusión publicitaria integral que gestiona la Federación Española de la Economía Digital (www.adigital.es), el denominado Lista Robinson.
Ander Poza, presidente de la Agencia de Desarrollo Comarcal Oarsoaldea y concejal de Desarrollo económico del Ayuntamiento de Pasaia, explica que cualquier persona puede inscribirse en la Lista Robinson de forma gratuita y sencilla a través de www.listarobinson.es.
«Sólo es necesario marcar en la casilla correspondiente el o los medios a través de los cuales no se desea recibir publicidad: correo postal o e-mail, teléfono móvil, SMS o teléfono fijo», señala el edil.
Los anunciantes, por su parte, tienen la obligación de consultar estos ficheros cuando realicen campañas en las que utilicen datos no facilitados por sus propios clientes, como se recoge en el Reglamento de desarrollo de la LOPD (Ley Orgánica de Protección de Datos).
Derecho de oposición
En el caso de que no se desee recibir publicidad de las empresas, aun siendo cliente, a los consumidores les queda lo que se califica de «derecho de oposición».
Desde la OMIC de Oarsoaldea aclaran que consiste en hacer llegar a la empresa el deseo de que utilicen tus datos exclusivamente para el servicio contratado (facturación, etc.). Aunque algunos expertos señalan que con una llamada sería suficiente, se recomienda hacerlo por escrito mediante los formularios que pone a disposición la Agencia de Protección de Datos, encargada de regular la LOPD (www.agpd.es).
Las empresas y entidades anunciantes pueden acceder a los ficheros de la Lista Robinson de dos maneras: una gratuita, para consultas puntuales y otra de pago, que posibilita la descarga, bien una única vez o cuantas sea necesario durante un año. Muchos usuarios ven ahí el peligro que puede suponer que la propia lista Robinson se convierta en una base de datos, previo pago, para los anunciantes.
Quienes se quieran registrar en esta lista deben saber también que su validez comienza en el plazo de tres meses desde el día después de la inscripción. No es algo instantáneo puesto que sus datos pueden estar siendo utilizados justo en el momento en el que se produce el registro.
Efectividad
Otro de los aspectos que hay que tener en cuenta es que tienen que coincidir todos los datos -caracteres, números y hasta los espacios- que tiene la empresa con los que el usuario facilite al registrarse en la lista.
No hay que olvidar que esta iniciativa surge de la necesidad de buscar el equilibrio entre el derecho fundamental a la protección de datos y el legítimo tratamiento de los mismos por parte de las diferentes entidades.
En cuanto a la efectividad de estas listas, la respuesta de la OMIC es clara: «Siempre es más efectivo que no hacer nada». Además, hay que recordar que los anunciantes que no respeten los datos de los usuarios registrados en la Lista Robinson, pueden ser denunciados ante de la Agencia de Protección de Datos (AGPD) y sancionados económicamente.
Fuente: Diario Vasco
Fecha: 12/11/2010
3 de cada 4 empresas riojanas incumplen la LOPD según un estudio
Un estudio de carácter nacional detalla que tres de cada cuatro empresas riojanas podrían ser sancionadas por infringir la Ley de Protección de Datos, según ha detallado a EFE el miembro de la Junta Directiva de la Asociación Profesional Española de Privacidad (APEP) José Helguero.
Helguero, quien ha participado en Logroño en unas jornadas del Grupo Pancorbo, ha dicho que esa es una de las conclusiones de un estudio realizado por diversas empresas consultoras nacionales sobre el cumplimiento de la Ley Orgánica de Protección de Datos (LOPD) por parte de la pequeña y mediana empresa (pyme) española en 2010.
Ha añadido que este estudio, en el que han colaborado empresas de toda la geografía nacional, pone de manifiesto el "precario" estado de las empresas riojanas en la protección de los datos que manejan.
También señala que un 24% de las empresas de La Rioja cumple las obligaciones básicas en materia de protección de datos, como es la inscripción de sus ficheros en el Registro General de Protección de Datos.
El trabajo refleja que las empresas podrían ser sancionadas con multas de hasta 600.000 euros por infracciones como no informar de la incorporación de los datos a un fichero, no adoptar las medidas de seguridad de la información que manejan o no facilitar a sus clientes el ejercicio de sus derechos.
Los autores del estudio entienden que la solución pasa porque las administraciones públicas, las empresas y las asociaciones colaboren en la difusión de la necesidad de cumplir una normativa con tanta trascendencia como la LOPD.
Ello, según Helguero, contribuiría a garantizar el derecho constitucional al honor y a la intimidad personal, que está especialmente "amenazado" ante el auge de las nuevas tecnologías en la Sociedad de la Información.
Fuente: ABC
Fecha: 11/11/2010
Helguero, quien ha participado en Logroño en unas jornadas del Grupo Pancorbo, ha dicho que esa es una de las conclusiones de un estudio realizado por diversas empresas consultoras nacionales sobre el cumplimiento de la Ley Orgánica de Protección de Datos (LOPD) por parte de la pequeña y mediana empresa (pyme) española en 2010.
Ha añadido que este estudio, en el que han colaborado empresas de toda la geografía nacional, pone de manifiesto el "precario" estado de las empresas riojanas en la protección de los datos que manejan.
También señala que un 24% de las empresas de La Rioja cumple las obligaciones básicas en materia de protección de datos, como es la inscripción de sus ficheros en el Registro General de Protección de Datos.
El trabajo refleja que las empresas podrían ser sancionadas con multas de hasta 600.000 euros por infracciones como no informar de la incorporación de los datos a un fichero, no adoptar las medidas de seguridad de la información que manejan o no facilitar a sus clientes el ejercicio de sus derechos.
Los autores del estudio entienden que la solución pasa porque las administraciones públicas, las empresas y las asociaciones colaboren en la difusión de la necesidad de cumplir una normativa con tanta trascendencia como la LOPD.
Ello, según Helguero, contribuiría a garantizar el derecho constitucional al honor y a la intimidad personal, que está especialmente "amenazado" ante el auge de las nuevas tecnologías en la Sociedad de la Información.
Fuente: ABC
Fecha: 11/11/2010
Suscribirse a:
Entradas (Atom)
Entradas
