Problemas para Facebook en vísperas de su próxima salida a bolsa. La Agencia Española de Protección de Datos (AEPD) ha abierto una investigación contra la red social por retener información de los usuarios sin autorización de los afectados. Se trata de un nuevo capítulo del denominado derecho al olvido, asunto especialmente grave porque es la segunda vez que sucede algo parecido en los últimos dos años.
En esta ocasión, la controversia gira en torno al destino de los datos, fotos y comentarios que los usuarios de Facebook han eliminado de sus respectivas páginas, pero que siguen grabados en los discos duros de la compañía de Zuckerberg. Por ese motivo, Facebook está expuesto a multas de hasta 60.000 euros por apropiación de esos datos sensibles, en contra de la voluntad de sus titulares.
Las actuaciones se han realizado a raíz de una denuncia presentada por Apedanica, una asociación contra delitos informáticos, y después de que la Fiscalía General del Estado haya instado tras la misma a que la AEPD se pronuncie al respecto.
Requerimiento
Una vez abierto el proceso en España, la AEPD tendrá ahora que realizar un requerimiento a la red social solicitando información sobre las actuaciones con los contenidos eliminados por sus autores, antes de decidir que decisión tomar.
El mismo hecho denunciado, que ahora ocupa a la AEPD, ya se reprodujo meses atrás en Irlanda, donde la compañía también está siendo auditada por la comisión de protección de datos de aquel país, tras una denuncia de una veintena de estudiantes de Derecho por presunta apropiación de 1.200 páginas de información personal borrada.
A partir de ahora, la Agencia de Protección de Datos dispone de un plazo máximo de doce meses para determinar si concurren circunstancias que justifiquen la iniciación de un procedimiento sancionador. En estas actuaciones previas, la agencia realizará todas las actividades de investigación que resulten necesarias para la adecuada resolución del procedimiento.
"En caso de que se determine que pueden existir indicios de sanción se dictará el acuerdo de inicio del procedimiento sancionador y se dará traslado a las partes", explican fuentes de la agencia de protección de datos.
Asimismo, una vez que se ha dictado el acuerdo de inicio del procedimiento sancionador, se abre una segunda fase de trámites de práctica de pruebas y alegaciones, cuya duración no podrá exceder los seis meses. Llegado a ese punto, el director de la agencia debe resolver el contencioso.
La AEPD ya tiene experiencia en analizar actuaciones relacionadas con el denominado derecho al olvido en Internet. Entre ellas destaca un expediente protagonizado por Google España, originado por personas interesadas en eliminar datos suyos publicados en cualquier sitio de Internet.
En octubre de 2010, a raíz de un artículo publicado por The Wall Street Journal, la organización de consumidores Facua se dirigió a la agencia para que investigara si los usuarios españoles se habrían podido ver afectados por la transmisión de datos de usuarios a terceros, mediante distintos juegos y aplicaciones ofrecidos por la red social.
El diario económico norteamericano había publicado que varias aplicaciones de terceros en la compañía de Zuckerberg han transmitido a empresas ajenas a la red datos sobre la identidad de los miembros de la citada red social.
Explicaciones en EEUU
Facebook, que tuvo que dar explicaciones al Congreso de EEUU, eludió aquí la apertura de un expediente sancionador. La agencia ha procedido ahora, sin embargo, a la apertura de una investigación, a raíz de la denuncia de un particular, para determinar si se ha vulnerado la legislación española al retener sin permiso los datos personales.
La Comisión Europea se ha pronunciado de forma contundente en favor del derecho al olvido, al considerarlo como elemento básico para generar confianza en la Red.
Según apuntó la pasada primavera la comisaria europea de Justicia, Viviane Reding, "los datos pertenecen a las personas y si un usuario quiere retirar del servicio datos que ha puesto, debería poder hacerlo".
Fuente: el Economista
Fecha: 27/02/2012
lunes, 27 de febrero de 2012
miércoles, 22 de febrero de 2012
La importancia de la adecuación a la LOPD en las PYMES
Fue allá en 1992 cuando se aprobó la LORTAD (Ley Orgánica de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal) como el germen de lo que pocos años después, en 1999 llegó a ser la LOPD (Ley Orgánica de Protección de Datos de Carácter Personal), es decir, que ha pasado más de una década, y merece la pena una reflexión sobre el cumplimiento de dicha legislación en las empresas y PYMES de nuestro país.
Algunas consultoras en materia de privacidad cifran en aproximadamente entre un 60% y un 70% la cantidad de empresas en nuestro país que incumple las obligaciones que la normativa impone. Llama más la atención que cada vez son más frecuentes las sanciones (con cuantías entre los 600 y 600.000 euros) tras denuncias o requerimientos de la Agencia Española de Protección de Datos, y a pesar de esto, tanto entidades privadas como públicas tienen muchos deberes sin hacer.
La pregunta es: ¿Qué gana una PYME por cumplir la normativa en cuanto a privacidad y protección de datos? Lo más importante es la imagen que estamos dando a nuestros clientes y a nuestros contactos, pues les estamos aportando un valor añadido (a veces incluso llega a ser un valor determinante para seleccionarnos con respecto a nuestra competencia) que transmite más tranquilidad sobre qué va a pasar con sus datos personales y empresariales, con la información que nos aporte. También van a poder ver recogidas sus quejas, así como las solicitudes de acceso, rectificación, cancelación u oposición de sus datos (los derechos ARCO). De igual modo, vamos a reducir los riesgos de que se roben datos de nuestra empresa, o que una vez sucedido, no podamos cuantificarlos o tomar medidas para restituirlos. Por último, vamos a tener una mayor seguridad nosotros, como empresa, y una cobertura legal para nuestras relaciones con empleados, con profesionales autónomos o empresas a las que contratemos servicios.
Teniendo en cuenta que si la Agencia Española de Protección de Datos, una vez investigue o sancione tu empresa, te va a obligar a adecuarte a la LOPD, si aún no lo has hecho, ¿por qué no anticiparnos?
Fuente: avalmadrid
Fecha: 01/02/2012
Algunas consultoras en materia de privacidad cifran en aproximadamente entre un 60% y un 70% la cantidad de empresas en nuestro país que incumple las obligaciones que la normativa impone. Llama más la atención que cada vez son más frecuentes las sanciones (con cuantías entre los 600 y 600.000 euros) tras denuncias o requerimientos de la Agencia Española de Protección de Datos, y a pesar de esto, tanto entidades privadas como públicas tienen muchos deberes sin hacer.
La pregunta es: ¿Qué gana una PYME por cumplir la normativa en cuanto a privacidad y protección de datos? Lo más importante es la imagen que estamos dando a nuestros clientes y a nuestros contactos, pues les estamos aportando un valor añadido (a veces incluso llega a ser un valor determinante para seleccionarnos con respecto a nuestra competencia) que transmite más tranquilidad sobre qué va a pasar con sus datos personales y empresariales, con la información que nos aporte. También van a poder ver recogidas sus quejas, así como las solicitudes de acceso, rectificación, cancelación u oposición de sus datos (los derechos ARCO). De igual modo, vamos a reducir los riesgos de que se roben datos de nuestra empresa, o que una vez sucedido, no podamos cuantificarlos o tomar medidas para restituirlos. Por último, vamos a tener una mayor seguridad nosotros, como empresa, y una cobertura legal para nuestras relaciones con empleados, con profesionales autónomos o empresas a las que contratemos servicios.
Teniendo en cuenta que si la Agencia Española de Protección de Datos, una vez investigue o sancione tu empresa, te va a obligar a adecuarte a la LOPD, si aún no lo has hecho, ¿por qué no anticiparnos?
Fuente: avalmadrid
Fecha: 01/02/2012
El Opus Dei, obligado a cancelar los datos personales de la solicitante que decidió darse de baja
El TS desestima el recurso interpuesto por la Prelatura del Opus Dei, Región de España, contra la resolución de la AEPD por la que se le instaba a la cancelación de los datos de la solicitante que constaban en sus archivos, en concreto su nombre y apellidos y las fechas de incorporación y baja en la Entidad religiosa.
Tribunal Supremo
Sala de lo Contencioso-Administrativo
Sentencia de 10 de noviembre de 2011
RECURSO DE CASACIÓN Núm: 5960/2008
Ponente Excmo. Sr. JOSE MARIA DEL RIEGO VALLEDOR
En la Villa de Madrid, a diez de Noviembre de dos mil once.
Visto por esta Sección Sexta de la Sala Tercera del Tribunal Supremo el recurso de casación n.º 5960/08, interpuesto por la Procuradora de los Tribunales Doña Iciar de Peña Argacha, en nombre y representación de la Prelatura del Opus Dei, Región de EspaÑa, contra la sentencia de 11 de septiembre de 2008, dictada por la Sección 1.ª de la Sala de lo Contencioso Administrativo de la Audiencia Nacional, en el recurso n.º 78/2007, sobre protección de datos, en el que interviene como parte recurrida la Administración del Estado, representada por el Abogado del Estado
ANTECEDENTES DE HECHO
PRIMERO.- La Sección Primera de la Sala de lo Contencioso Administrativo de la Audiencia Nacional dictó sentencia el 11 de septiembre de 2008, cuyo fallo contiene los siguientes pronunciamientos:
DESESTIMAR el recurso contencioso administrativo interpuesto por la representación procesal de la Prelatura del Opus Dei, Región de España, frente a la resolución de la Agencia Española de Protección de Datos de 31 de enero de 2007 que insta a dicha entidad para que en el plazo de diez días " remita al reclamante certificación en la que se haga constar que se ha procedido a la cancelación de sus datos que constaban en sus ficheros, resolución que declaramos conforme a Derecho, sin imposición de costas a ninguna de las partes".
SEGUNDO.- Notificada la sentencia, se presentó escrito por la representación procesal de la Prelatura del Opus Dei, Región de España, manifestando su intención de interponer recurso de casación, y por providencia de 6 de noviembre de 2008, se tuvo por preparado, con emplazamiento de las partes ante esta Sala del Tribunal Supremo.
TERCERO.- Con fecha 30 de diciembre de 2008 se presentó escrito de interposición del recurso de casación, haciendo valer tres motivos, todos ellos al amparo del artículo 88.1.d) de la Ley de la Jurisdicción, por infracción de las normas del ordenamiento jurídico y de la jurisprudencia que cita, solicitando se dicte sentencia que case la sentencia impugnada y estimando la pretensión interesada en el escrito de demanda, declare no conforme a derecho y anule la Resolución dictada el 31 de enero de 2007 por la Agencia Española de Protección de Datos en el procedimiento TD/00418/2006, imponiendo a la parte recurrida las costas de la instancia.
CUARTO.- Admitido a trámite el recurso, se dio traslado a la parte recurrida, que manifestó su oposición al recurso en escrito de 7 de septiembre de 2009, en el que solicitó la desestimación del recurso de casación y la confirmación de la sentencia impugnada.
QUINTO.- Conclusas las actuaciones, se señaló para votación y fallo el día 2 de noviembre de 2011, fecha en que tal diligencia ha tenido lugar.
Siendo Ponente el Excmo. Sr. D. Jose Maria del Riego Valledor,.
FUNDAMENTOS DE DERECHO
PRIMERO.- El recurso de casación se dirige contra la sentencia de la Sección 1.ª de la Sala de lo Contencioso Administrativo de la Audiencia Nacional, de 11 de septiembre de 2008, que desestimó el recurso que había interpuesto la representación procesal de la Prelatura del Opus Dei, Región de España, contra la Resolución de la Agencia Española de Protección de Datos, de 31 de enero de 2007, que había estimado una reclamación formulada por Dña. Lucía e instaba a la Prelatura del Opus Dei para que, en el plazo de diez días, remita a la reclamante una certificación en la que haga constar que ha procedido a la cancelación de sus datos que constaban en sus archivos.
La Sala de la Audiencia Nacional reprodujo los hechos que la Resolución de la Agencia Española de Protección de Datos (AEPD) tuvo por probados, que son los siguientes:
"PRIMERO. En fecha 2 de agosto de 2006, Doña Lucía solicitó la cancelación de los datos existentes en la entidad "Opus Dei".
SEGUNDO. En fecha 14 de agosto de 2006 la entidad "Opus Dei" contestó a Doña Lucía que "los únicos datos que se refieren a su persona son hechos históricos, realizados voluntariamente, que no pueden anularse. De todas formas, le comunico que en anotación marginal se hará constar su deseo de que no tengan trascendencia externa".
TERCERO. Con fecha 22 de agosto de 2006, Doña Lucía presentó reclamación de Tutela de Derechos por denegación del derecho de cancelación de sus datos existentes en la entidad "Opus Dei".
SEGUNDO.- El recurso de casación se articula en tres motivos, todos ellos al amparo del artículo 88.1.d) de la Ley de la Jurisdicción. El primer motivo denuncia infracción del artículo 1.6 de Acuerdo sobre Asuntos Jurídicos entre la Santa Sede y el Estado Español, de 3 de enero de 1979, en relación con el artículo 16 CE; el segundo motivo alega infracción del artículo 2.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos; y el tercer motivo refiere infracción de los artículos 4.5 y 16.2 de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal.
TERCERO.- El primer motivo del recurso de casación denuncia, como hemos indicado, la infracción del artículo 1.6 del Acuerdo sobre Asuntos Jurídicos entre la Santa Sede y el Estado español, de 3 de enero de 1979, en relación con el artículo 16 CE, al sostener la parte recurrente que dicho Acuerdo protege la inviolabilidad de los archivos, registros y demás documentos de las instituciones y entidades eclesiásticas, lo que constituye una concreción del principio constitucional de libertad religiosa en lo que afecta a las colectividades, añadiendo que dicha inviolabilidad no se alega frente a ningún ciudadano, sino frente a un acto de la Administración, como es la AEPD.
La parte recurrente también planteó en la instancia esta misma cuestión de la inviolabilidad de sus archivos, reconocida por el Acuerdo entre el Estado Español y la Santa Sede, y la Sala de instancia razonó lo siguiente:
En relación con la aplicación del Acuerdo entre el Estado Español y la Santa Sede, sobre Asuntos Jurídicos, de 3 de enero de 1979, debemos señalar que efectivamente estamos ante un Tratado Internacional, cuyo texto ha sido aprobado por las Cortes Generales y publicado oficialmente, lo que significa, en virtud de lo dispuesto en el artículo 96 de la CE, que forma parte de nuestro ordenamiento jurídico, en un lugar subordinado a la Constitución, atendida su posición en el sistema interno de Fuentes del Derecho y atendidos los efectos previstos en los artículos 94 y 95 de la CE.
Sentada esta posición del Tratado, en el sistema de jerarquía normativa, la regulación contenida en el mismo ha de ser interpretada conforme a la Constitución, concretamente conforme al derecho fundamental a la protección de los datos.
A juicio de esta Sala, sin embargo, el citado Acuerdo no contradice la regulación constitucional y legalmente establecida del derecho fundamental a la protección de los datos, cuando en el artículo I apartado 6 dispone que "el Estado respeta y protege la inviolabilidad de los archivos, registros y demás documentos pertenecientes a la Conferencia Episcopal Española, a las Curias episcopales, a las Curias de los superiores mayores de las Ordenes y Congregaciones religiosas, a las parroquias y a otras instituciones y entidades eclesiásticas".
Los archivos y registros relacionados en dicho artículo del Acuerdo Internacional se encuentran protegidos de cualquier intromisión procedente del Estado y resultan inviolables frente al mismo. Ahora bien, tal inviolabilidad no es predicable frente al ciudadano cuando ejercita el derecho fundamental previsto en el artículo 18.4 de la CE, en cuyo contenido esencial se integra el poder de disposición sobre los datos relativos a su persona. La solución inversa a la expuesta, que postula el recurrente, equivaldría a reconocer una superioridad de la norma contenida en un Tratado, frente a la norma constitucional.
En este sentido esta Sala no alberga dudas sobre la constitucionalidad de la norma internacional trascrita si se interpreta en el sentido expresado, pues el desarrollo legal del derecho fundamental no hubiera podido crear excepciones contrarias al contenido esencial del derecho fundamental, ex artículo 53.1 de la CE. Repárese, además, que la regulación contenida en la Ley Orgánica viene impuesta, como ya se ha manifestado, por la Directiva 95/46 / CE de 24 de octubre de 1995, relativa a la Protección de las Personas Físicas en lo que respecta al Tratamiento de Datos Personales y la Libre Circulación de estos Datos.
Debe tenerse en cuenta, igualmente, que la parte recurrente no alega estar amparado en ninguna excepción prevista en el desarrollo de este derecho fundamental a la protección de los datos, esto es, en los artículos 23 y 24 de la Ley Orgánica 15/1999, en relación con el artículo 13 de la indicada Directiva 95/46 / CE, de 24 de octubre, y la inviolabilidad invocada, en los términos previstos en el citado Acuerdo del Estado Español con la Santa Sede, como ya hemos señalado, no resulta oponible frente al titular de los datos ni, por tanto, resulta relevante o decisivo para la resolución del presente recurso.
Doctrina establecida por esta Sala respecto de los supuestos de apóstatas que pretenden la cancelación de sus datos de su Partida de Bautismo y que deviene también de aplicación al presente supuesto tomando en consideración que la Prelatura Personal ( Canon 294 y 296 del Código de Derecho Canónico), prevista por el Concilio Vaticano II, constituye un status peculiar respecto del común para el colectivo laico, que profesa la fe católica, y que se caracteriza por la flexibilidad en su finalidad de contribuir a la efectiva difusión del mensaje y vivir cristianos, por lo que su destino es el cumplimiento de fines pastorales y misionales.
La pertenencia a dicho tipo de entidades, por tanto, en cuanto presupone una determinada significación en lo que se refiere al modo de concebir las creencias religiosas, implica un dato que entra en la esfera de creencias religiosas íntimas de sus miembros, de tal modo que la baja voluntaria, aun cuando no sea equivalente a la apostasía ( no tiene por qué obedecer a un apartamiento de la fé) comporta también un dato relevante en relación esencial con las creencias religiosas.
De acuerdo con el artículo 1.6 del Acuerdo entre el Estado Español y la Santa Sede sobre Asuntos Jurídicos (BOE 300/1979, de 15 de diciembre ), "El Estado respeta y protege la inviolabilidad de los archivos, registros y demás documentos pertenecientes a la Conferencia Episcopal Española, a las Curias episcopales, a las Curias de los superiores mayores de las Ordenes y Congregaciones Religiosas, a las Parroquias y a otras Instituciones y Entidades Eclesiásticas".
Además de las consideraciones de la Sala de instancia, que acabamos de reproducir, debemos tener en cuenta que el alcance de esta cláusula concordataria se ha de interpretar de acuerdo con la práctica internacional en materia de inmunidades y privilegios de los agentes extranjeros así como de sus bienes, documentos y archivos, siendo doctrina del Tribunal Europeo de Derechos Humanos, en relación con las inmunidades y privilegios similares reconocidas a las Organizaciones internacionales, que las mismas no pueden anular la dimensión sustantiva de los derechos fundamentales de la persona (asunto Waite y Kennedy, STEDH 7/1999, de 18 de febrero, apartados 67-68 y asunto Príncipe Hans-Adam II de Liechtenstein, STEDH 464/2001, de 12 de julio, apartados 44-48).
Igualmente ponderamos en la interpretación del artículo 1.6 de los Acuerdos entre el Estado Español y la Santa Sede, invocado por la parte recurrente, que las normas sobre inmunidades y privilegios propias de los acuerdos diplomáticos entre Estados han de interpretarse más restrictivamente, sin que puedan tener un alcance absoluto, cuando el beneficiario no sea un Estado o una Organización internacional, o sus funcionarios o agentes, sino un nacional o residente permanente en el Estado receptor, como es el caso de la Región de España de la Prelatura del Opus Dei recurrente.
Procede por tanto una interpretación del artículo 1.6 del Acuerdo entre el Estado Español y la Santa Sede sobre Asuntos Jurídicos acorde con el contenido de los derechos fundamentales que el artículo 18.4 CE reconoce a los ciudadanos, en relación con la protección de su intimidad personal y familiar, en el que se integra el derecho fundamental a protección de datos personales, que garantiza a la persona un poder de control y disposición sobre los mismos.
El recurso de casación sostiene que en este caso la parte recurrente está alegando la inviolabilidad de sus registros, protegida por los Acuerdos de 1979, no frente a un particular, sino frente a la Agencia Española de Protección de Datos (AEPD), que es un órgano de la Administración del Estado.
No puede compartirse el anterior argumento, pues es evidente que la AEPD actúa en el presente caso en ejercicio de sus funciones de tutela en materia de protección de datos que le encomienda la LOPD. En efecto, la actuación de la AEPD viene precedida por la solicitud de Doña Lucía de cancelación de los datos relativos a su persona, que fue denegada por la Entidad recurrente, y de la posterior reclamación de tutela de la interesada ante la AEPD por dicha denegación del derecho de cancelación. La actuación de la AEPD se produce, por tanto, en el marco de sus funciones de resolución de reclamaciones interpuestas por las personas afectadas, en relación con los derechos de información, acceso, rectificación, oposición y cancelación de datos, atribuidas por el artículo 37.1, letras a) y d) LOPD.
El motivo por tanto ha de ser desestimado.
CUARTO.- El segundo motivo del recurso expone una infracción del artículo 2.1 de la LOPD, porque en el caso de autos los datos cuya cancelación se pretende no están incorporados a ningún soporte informático, ni tampoco son objeto de tratamiento alguno en los términos del artículo 3.d) LOPD, guardando este caso notable paralelismo con otros resueltos por esta Sala en sentido estimatorio contra Resoluciones de la AEPD que ordenaban cancelar los datos contenidos en los libros de bautismo.
Los datos a que se refiere este recurso, como establece el Fundamento de Derecho Segundo de la sentencia impugnada, con base en un escrito de la propia Entidad recurrente que obra en el expediente (folio 4), son las fechas de la incorporación y baja en la Prelatura (petición de admisión: 19/12/78, Incorporación definitiva: 19/12/85 y Baja: 05/02/00). Tales datos, según reseña igualmente la sentencia impugnada, no tienen otro soporte que una anotación mecanográfica en un papel.
Pero como acertadamente indican tanto la Resolución de la AEPD como la sentencia impugnada, los ficheros como el que es objeto del presente recurso, no están excluidos de la protección de la LOPD.
Así resulta con claridad del artículo 3 de LOPD, que en sus letras b) y c) define los ficheros a los que es de aplicación dicho texto legal, como todo conjunto organizado de datos de carácter personal, "...cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso...", y entiende por tratamiento de datos, las operaciones y procedimientos técnicos "...de carácter automatizado o no...", que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos.
Muy similares son los conceptos de fichero y de tratamiento de datos personales del artículo 2 de la Directiva 95/46 / CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
De acuerdo con el citado precepto, son ficheros de datos personales "...todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica...", y es tratamiento de datos personales "...cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción..."
En este caso los datos a que se refiere el recurso, como resulta de la carta dirigida por la Entidad religiosa a la recurrente, antes citada, en la que refiere a los datos "...que se conservan de usted...", son obviamente y en primer lugar, el nombre y apellidos de la persona interesada y además, como se indica en dicha carta, las fechas de su petición de admisión, de su incorporación definitiva y de su baja en la Entidad religiosa recurrente.
Es claro que nos encontramos ante un fichero, en el amplio sentido de la LOPD y Directiva 95/46 /CE, pues la información que se recoge está constituida por datos personales, especialmente protegidos además, de acuerdo con el artículo 7 LOPD, por afectar a las creencias religiosas, y está también presente la nota o elemento de organización, como se demuestra, como indica el Abogado del Estado en su escrito de oposición al recurso, por el hecho de que habiendo solicitado la interesada información sobre sus datos en poder de la Entidad religiosa, estos datos fueron localizados y la información fue facilitada, sin que conste, ni la Entidad religiosa haya alegado siquiera, que fuera precisa adicional información u otros datos distintos al nombre y apellidos para acceder a la información de que se trataba.
Esta característica de tratarse precisamente de un conjunto organizado de datos es lo que permite afirmar la presencia de un fichero de datos personales, en los términos del artículo 3.b) LOPD, a diferencia de lo ocurrido en los casos citados por la Entidad recurrente, que se refieren a los Libros de Bautismo, los cuales no fueron considerados por esta Sala del Tribunal Supremo como ficheros de datos, porque como razonaba la sentencia de 19 de septiembre de 2008 (recurso 6031/2007 ), los datos personales no están recogidos en dichos Libros de Bautismo como un conjunto organizado, tal y como exige el artículo 3.b) de la LOPD, sino que se trata de una pura acumulación de datos, "...que comporta una difícil búsqueda, acceso e identificación en cuanto no están ordenados ni alfabéticamente, ni por fecha de nacimiento, sino sólo por las fechas de bautismo, siendo absolutamente necesario el conocimiento previo de la Parroquia donde aquel tuvo lugar..."
Al encontrarnos por lo razonado frente a un fichero sujeto a las disposiciones de la LOPD, procede desestimar el segundo motivo del recurso de casación.
QUINTO.- En su tercer motivo de recurso la parte actora considera infringidos los artículos 4.5 y 16.2 de la LOPD, pues en contra de la tesis sostenida en la Resolución de la AEPD, no es la recurrente quien tiene que acreditar que los datos sean necesarios para la finalidad que motivó su recogida, sino al revés, debería haberse acreditado que dichos datos no eran necesarios para hacer subsumible el supuesto de hecho en lo dispuesto por el artículo 4.5 LOPD.
De conformidad con el artículo 4.5 LOPD, "...los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados...".
La parte recurrente crítica la postura de la interesada en esta cuestión, que parece entender que la única voluntad atendible fuera la suya, para a continuación defender, desde la perspectiva contraria, que el interés jurídicamente protegible es el propio de la Entidad responsable del fichero en tener constancia del inicio y final de la relación con las personas que integran la Institución.
Sin embargo, el artículo 4.5 LOPD no se remite a la voluntad de la persona interesada, ni tampoco a la del responsable del fichero para determinar cuando los datos han dejado de ser necesarios o pertinentes, sino que la necesidad del mantenimiento de los datos ha de relacionarse con la finalidad para la cual los datos fueron recogidos. Y en este punto, tanto la Resolución de la AEPD como la sentencia impugnada mantienen que los datos dejaron de ser necesarios para la finalidad que justificó su tratamiento, al haber decidido la persona afectada dejar de pertenecer al Opus Dei, sin que por la parte recurrente se haya desvirtuado tal conclusión, ni acreditado una finalidad de mantenimiento de los datos merecedora de mayor protección.
Procede por lo anterior la desestimación de este motivo del recurso.
SEXTO.- Al declararse no haber lugar al recurso de casación, procede condenar a la parte recurrente en las costas del mismo, de conformidad con la regla del artículo 139.2 LJCA, si bien, la Sala haciendo uso de la facultad que le confiere el apartado tercero del citado precepto, limita el importe máximo a reclamar por ese concepto en la cantidad de tres mil euros (3.000€) en concepto de honorarios del Letrado de la parte recurrida.
Por todo ello, en nombre de SM el Rey y en el ejercicio de la potestad que, emanada del pueblo español, nos concede la Constitución.
FALLAMOS
Que declaramos no haber lugar al presente recurso de casación 5960/08, interpuesto por la representación procesal de la Prelatura del Opus Dei, Región de España, contra la sentencia de 11 de septiembre de 2008, dictada por la Sección 1.ª de la Sala de lo Contencioso Administrativo de la Audiencia Nacional, en el recurso n.º 78/2007, y condenamos a la parte recurrente en las costas de casación, hasta el límite, respecto de la minuta de Letrado, señalado en el último Fundamento de Derecho.
Así por esta nuestra sentencia, que se publicará en la colección legislativa lo pronunciamos, mandamos y firmamos
Tribunal Supremo
Sala de lo Contencioso-Administrativo
Sentencia de 10 de noviembre de 2011
RECURSO DE CASACIÓN Núm: 5960/2008
Ponente Excmo. Sr. JOSE MARIA DEL RIEGO VALLEDOR
En la Villa de Madrid, a diez de Noviembre de dos mil once.
Visto por esta Sección Sexta de la Sala Tercera del Tribunal Supremo el recurso de casación n.º 5960/08, interpuesto por la Procuradora de los Tribunales Doña Iciar de Peña Argacha, en nombre y representación de la Prelatura del Opus Dei, Región de EspaÑa, contra la sentencia de 11 de septiembre de 2008, dictada por la Sección 1.ª de la Sala de lo Contencioso Administrativo de la Audiencia Nacional, en el recurso n.º 78/2007, sobre protección de datos, en el que interviene como parte recurrida la Administración del Estado, representada por el Abogado del Estado
ANTECEDENTES DE HECHO
PRIMERO.- La Sección Primera de la Sala de lo Contencioso Administrativo de la Audiencia Nacional dictó sentencia el 11 de septiembre de 2008, cuyo fallo contiene los siguientes pronunciamientos:
DESESTIMAR el recurso contencioso administrativo interpuesto por la representación procesal de la Prelatura del Opus Dei, Región de España, frente a la resolución de la Agencia Española de Protección de Datos de 31 de enero de 2007 que insta a dicha entidad para que en el plazo de diez días " remita al reclamante certificación en la que se haga constar que se ha procedido a la cancelación de sus datos que constaban en sus ficheros, resolución que declaramos conforme a Derecho, sin imposición de costas a ninguna de las partes".
SEGUNDO.- Notificada la sentencia, se presentó escrito por la representación procesal de la Prelatura del Opus Dei, Región de España, manifestando su intención de interponer recurso de casación, y por providencia de 6 de noviembre de 2008, se tuvo por preparado, con emplazamiento de las partes ante esta Sala del Tribunal Supremo.
TERCERO.- Con fecha 30 de diciembre de 2008 se presentó escrito de interposición del recurso de casación, haciendo valer tres motivos, todos ellos al amparo del artículo 88.1.d) de la Ley de la Jurisdicción, por infracción de las normas del ordenamiento jurídico y de la jurisprudencia que cita, solicitando se dicte sentencia que case la sentencia impugnada y estimando la pretensión interesada en el escrito de demanda, declare no conforme a derecho y anule la Resolución dictada el 31 de enero de 2007 por la Agencia Española de Protección de Datos en el procedimiento TD/00418/2006, imponiendo a la parte recurrida las costas de la instancia.
CUARTO.- Admitido a trámite el recurso, se dio traslado a la parte recurrida, que manifestó su oposición al recurso en escrito de 7 de septiembre de 2009, en el que solicitó la desestimación del recurso de casación y la confirmación de la sentencia impugnada.
QUINTO.- Conclusas las actuaciones, se señaló para votación y fallo el día 2 de noviembre de 2011, fecha en que tal diligencia ha tenido lugar.
Siendo Ponente el Excmo. Sr. D. Jose Maria del Riego Valledor,.
FUNDAMENTOS DE DERECHO
PRIMERO.- El recurso de casación se dirige contra la sentencia de la Sección 1.ª de la Sala de lo Contencioso Administrativo de la Audiencia Nacional, de 11 de septiembre de 2008, que desestimó el recurso que había interpuesto la representación procesal de la Prelatura del Opus Dei, Región de España, contra la Resolución de la Agencia Española de Protección de Datos, de 31 de enero de 2007, que había estimado una reclamación formulada por Dña. Lucía e instaba a la Prelatura del Opus Dei para que, en el plazo de diez días, remita a la reclamante una certificación en la que haga constar que ha procedido a la cancelación de sus datos que constaban en sus archivos.
La Sala de la Audiencia Nacional reprodujo los hechos que la Resolución de la Agencia Española de Protección de Datos (AEPD) tuvo por probados, que son los siguientes:
"PRIMERO. En fecha 2 de agosto de 2006, Doña Lucía solicitó la cancelación de los datos existentes en la entidad "Opus Dei".
SEGUNDO. En fecha 14 de agosto de 2006 la entidad "Opus Dei" contestó a Doña Lucía que "los únicos datos que se refieren a su persona son hechos históricos, realizados voluntariamente, que no pueden anularse. De todas formas, le comunico que en anotación marginal se hará constar su deseo de que no tengan trascendencia externa".
TERCERO. Con fecha 22 de agosto de 2006, Doña Lucía presentó reclamación de Tutela de Derechos por denegación del derecho de cancelación de sus datos existentes en la entidad "Opus Dei".
SEGUNDO.- El recurso de casación se articula en tres motivos, todos ellos al amparo del artículo 88.1.d) de la Ley de la Jurisdicción. El primer motivo denuncia infracción del artículo 1.6 de Acuerdo sobre Asuntos Jurídicos entre la Santa Sede y el Estado Español, de 3 de enero de 1979, en relación con el artículo 16 CE; el segundo motivo alega infracción del artículo 2.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos; y el tercer motivo refiere infracción de los artículos 4.5 y 16.2 de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal.
TERCERO.- El primer motivo del recurso de casación denuncia, como hemos indicado, la infracción del artículo 1.6 del Acuerdo sobre Asuntos Jurídicos entre la Santa Sede y el Estado español, de 3 de enero de 1979, en relación con el artículo 16 CE, al sostener la parte recurrente que dicho Acuerdo protege la inviolabilidad de los archivos, registros y demás documentos de las instituciones y entidades eclesiásticas, lo que constituye una concreción del principio constitucional de libertad religiosa en lo que afecta a las colectividades, añadiendo que dicha inviolabilidad no se alega frente a ningún ciudadano, sino frente a un acto de la Administración, como es la AEPD.
La parte recurrente también planteó en la instancia esta misma cuestión de la inviolabilidad de sus archivos, reconocida por el Acuerdo entre el Estado Español y la Santa Sede, y la Sala de instancia razonó lo siguiente:
En relación con la aplicación del Acuerdo entre el Estado Español y la Santa Sede, sobre Asuntos Jurídicos, de 3 de enero de 1979, debemos señalar que efectivamente estamos ante un Tratado Internacional, cuyo texto ha sido aprobado por las Cortes Generales y publicado oficialmente, lo que significa, en virtud de lo dispuesto en el artículo 96 de la CE, que forma parte de nuestro ordenamiento jurídico, en un lugar subordinado a la Constitución, atendida su posición en el sistema interno de Fuentes del Derecho y atendidos los efectos previstos en los artículos 94 y 95 de la CE.
Sentada esta posición del Tratado, en el sistema de jerarquía normativa, la regulación contenida en el mismo ha de ser interpretada conforme a la Constitución, concretamente conforme al derecho fundamental a la protección de los datos.
A juicio de esta Sala, sin embargo, el citado Acuerdo no contradice la regulación constitucional y legalmente establecida del derecho fundamental a la protección de los datos, cuando en el artículo I apartado 6 dispone que "el Estado respeta y protege la inviolabilidad de los archivos, registros y demás documentos pertenecientes a la Conferencia Episcopal Española, a las Curias episcopales, a las Curias de los superiores mayores de las Ordenes y Congregaciones religiosas, a las parroquias y a otras instituciones y entidades eclesiásticas".
Los archivos y registros relacionados en dicho artículo del Acuerdo Internacional se encuentran protegidos de cualquier intromisión procedente del Estado y resultan inviolables frente al mismo. Ahora bien, tal inviolabilidad no es predicable frente al ciudadano cuando ejercita el derecho fundamental previsto en el artículo 18.4 de la CE, en cuyo contenido esencial se integra el poder de disposición sobre los datos relativos a su persona. La solución inversa a la expuesta, que postula el recurrente, equivaldría a reconocer una superioridad de la norma contenida en un Tratado, frente a la norma constitucional.
En este sentido esta Sala no alberga dudas sobre la constitucionalidad de la norma internacional trascrita si se interpreta en el sentido expresado, pues el desarrollo legal del derecho fundamental no hubiera podido crear excepciones contrarias al contenido esencial del derecho fundamental, ex artículo 53.1 de la CE. Repárese, además, que la regulación contenida en la Ley Orgánica viene impuesta, como ya se ha manifestado, por la Directiva 95/46 / CE de 24 de octubre de 1995, relativa a la Protección de las Personas Físicas en lo que respecta al Tratamiento de Datos Personales y la Libre Circulación de estos Datos.
Debe tenerse en cuenta, igualmente, que la parte recurrente no alega estar amparado en ninguna excepción prevista en el desarrollo de este derecho fundamental a la protección de los datos, esto es, en los artículos 23 y 24 de la Ley Orgánica 15/1999, en relación con el artículo 13 de la indicada Directiva 95/46 / CE, de 24 de octubre, y la inviolabilidad invocada, en los términos previstos en el citado Acuerdo del Estado Español con la Santa Sede, como ya hemos señalado, no resulta oponible frente al titular de los datos ni, por tanto, resulta relevante o decisivo para la resolución del presente recurso.
Doctrina establecida por esta Sala respecto de los supuestos de apóstatas que pretenden la cancelación de sus datos de su Partida de Bautismo y que deviene también de aplicación al presente supuesto tomando en consideración que la Prelatura Personal ( Canon 294 y 296 del Código de Derecho Canónico), prevista por el Concilio Vaticano II, constituye un status peculiar respecto del común para el colectivo laico, que profesa la fe católica, y que se caracteriza por la flexibilidad en su finalidad de contribuir a la efectiva difusión del mensaje y vivir cristianos, por lo que su destino es el cumplimiento de fines pastorales y misionales.
La pertenencia a dicho tipo de entidades, por tanto, en cuanto presupone una determinada significación en lo que se refiere al modo de concebir las creencias religiosas, implica un dato que entra en la esfera de creencias religiosas íntimas de sus miembros, de tal modo que la baja voluntaria, aun cuando no sea equivalente a la apostasía ( no tiene por qué obedecer a un apartamiento de la fé) comporta también un dato relevante en relación esencial con las creencias religiosas.
De acuerdo con el artículo 1.6 del Acuerdo entre el Estado Español y la Santa Sede sobre Asuntos Jurídicos (BOE 300/1979, de 15 de diciembre ), "El Estado respeta y protege la inviolabilidad de los archivos, registros y demás documentos pertenecientes a la Conferencia Episcopal Española, a las Curias episcopales, a las Curias de los superiores mayores de las Ordenes y Congregaciones Religiosas, a las Parroquias y a otras Instituciones y Entidades Eclesiásticas".
Además de las consideraciones de la Sala de instancia, que acabamos de reproducir, debemos tener en cuenta que el alcance de esta cláusula concordataria se ha de interpretar de acuerdo con la práctica internacional en materia de inmunidades y privilegios de los agentes extranjeros así como de sus bienes, documentos y archivos, siendo doctrina del Tribunal Europeo de Derechos Humanos, en relación con las inmunidades y privilegios similares reconocidas a las Organizaciones internacionales, que las mismas no pueden anular la dimensión sustantiva de los derechos fundamentales de la persona (asunto Waite y Kennedy, STEDH 7/1999, de 18 de febrero, apartados 67-68 y asunto Príncipe Hans-Adam II de Liechtenstein, STEDH 464/2001, de 12 de julio, apartados 44-48).
Igualmente ponderamos en la interpretación del artículo 1.6 de los Acuerdos entre el Estado Español y la Santa Sede, invocado por la parte recurrente, que las normas sobre inmunidades y privilegios propias de los acuerdos diplomáticos entre Estados han de interpretarse más restrictivamente, sin que puedan tener un alcance absoluto, cuando el beneficiario no sea un Estado o una Organización internacional, o sus funcionarios o agentes, sino un nacional o residente permanente en el Estado receptor, como es el caso de la Región de España de la Prelatura del Opus Dei recurrente.
Procede por tanto una interpretación del artículo 1.6 del Acuerdo entre el Estado Español y la Santa Sede sobre Asuntos Jurídicos acorde con el contenido de los derechos fundamentales que el artículo 18.4 CE reconoce a los ciudadanos, en relación con la protección de su intimidad personal y familiar, en el que se integra el derecho fundamental a protección de datos personales, que garantiza a la persona un poder de control y disposición sobre los mismos.
El recurso de casación sostiene que en este caso la parte recurrente está alegando la inviolabilidad de sus registros, protegida por los Acuerdos de 1979, no frente a un particular, sino frente a la Agencia Española de Protección de Datos (AEPD), que es un órgano de la Administración del Estado.
No puede compartirse el anterior argumento, pues es evidente que la AEPD actúa en el presente caso en ejercicio de sus funciones de tutela en materia de protección de datos que le encomienda la LOPD. En efecto, la actuación de la AEPD viene precedida por la solicitud de Doña Lucía de cancelación de los datos relativos a su persona, que fue denegada por la Entidad recurrente, y de la posterior reclamación de tutela de la interesada ante la AEPD por dicha denegación del derecho de cancelación. La actuación de la AEPD se produce, por tanto, en el marco de sus funciones de resolución de reclamaciones interpuestas por las personas afectadas, en relación con los derechos de información, acceso, rectificación, oposición y cancelación de datos, atribuidas por el artículo 37.1, letras a) y d) LOPD.
El motivo por tanto ha de ser desestimado.
CUARTO.- El segundo motivo del recurso expone una infracción del artículo 2.1 de la LOPD, porque en el caso de autos los datos cuya cancelación se pretende no están incorporados a ningún soporte informático, ni tampoco son objeto de tratamiento alguno en los términos del artículo 3.d) LOPD, guardando este caso notable paralelismo con otros resueltos por esta Sala en sentido estimatorio contra Resoluciones de la AEPD que ordenaban cancelar los datos contenidos en los libros de bautismo.
Los datos a que se refiere este recurso, como establece el Fundamento de Derecho Segundo de la sentencia impugnada, con base en un escrito de la propia Entidad recurrente que obra en el expediente (folio 4), son las fechas de la incorporación y baja en la Prelatura (petición de admisión: 19/12/78, Incorporación definitiva: 19/12/85 y Baja: 05/02/00). Tales datos, según reseña igualmente la sentencia impugnada, no tienen otro soporte que una anotación mecanográfica en un papel.
Pero como acertadamente indican tanto la Resolución de la AEPD como la sentencia impugnada, los ficheros como el que es objeto del presente recurso, no están excluidos de la protección de la LOPD.
Así resulta con claridad del artículo 3 de LOPD, que en sus letras b) y c) define los ficheros a los que es de aplicación dicho texto legal, como todo conjunto organizado de datos de carácter personal, "...cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso...", y entiende por tratamiento de datos, las operaciones y procedimientos técnicos "...de carácter automatizado o no...", que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos.
Muy similares son los conceptos de fichero y de tratamiento de datos personales del artículo 2 de la Directiva 95/46 / CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
De acuerdo con el citado precepto, son ficheros de datos personales "...todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica...", y es tratamiento de datos personales "...cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción..."
En este caso los datos a que se refiere el recurso, como resulta de la carta dirigida por la Entidad religiosa a la recurrente, antes citada, en la que refiere a los datos "...que se conservan de usted...", son obviamente y en primer lugar, el nombre y apellidos de la persona interesada y además, como se indica en dicha carta, las fechas de su petición de admisión, de su incorporación definitiva y de su baja en la Entidad religiosa recurrente.
Es claro que nos encontramos ante un fichero, en el amplio sentido de la LOPD y Directiva 95/46 /CE, pues la información que se recoge está constituida por datos personales, especialmente protegidos además, de acuerdo con el artículo 7 LOPD, por afectar a las creencias religiosas, y está también presente la nota o elemento de organización, como se demuestra, como indica el Abogado del Estado en su escrito de oposición al recurso, por el hecho de que habiendo solicitado la interesada información sobre sus datos en poder de la Entidad religiosa, estos datos fueron localizados y la información fue facilitada, sin que conste, ni la Entidad religiosa haya alegado siquiera, que fuera precisa adicional información u otros datos distintos al nombre y apellidos para acceder a la información de que se trataba.
Esta característica de tratarse precisamente de un conjunto organizado de datos es lo que permite afirmar la presencia de un fichero de datos personales, en los términos del artículo 3.b) LOPD, a diferencia de lo ocurrido en los casos citados por la Entidad recurrente, que se refieren a los Libros de Bautismo, los cuales no fueron considerados por esta Sala del Tribunal Supremo como ficheros de datos, porque como razonaba la sentencia de 19 de septiembre de 2008 (recurso 6031/2007 ), los datos personales no están recogidos en dichos Libros de Bautismo como un conjunto organizado, tal y como exige el artículo 3.b) de la LOPD, sino que se trata de una pura acumulación de datos, "...que comporta una difícil búsqueda, acceso e identificación en cuanto no están ordenados ni alfabéticamente, ni por fecha de nacimiento, sino sólo por las fechas de bautismo, siendo absolutamente necesario el conocimiento previo de la Parroquia donde aquel tuvo lugar..."
Al encontrarnos por lo razonado frente a un fichero sujeto a las disposiciones de la LOPD, procede desestimar el segundo motivo del recurso de casación.
QUINTO.- En su tercer motivo de recurso la parte actora considera infringidos los artículos 4.5 y 16.2 de la LOPD, pues en contra de la tesis sostenida en la Resolución de la AEPD, no es la recurrente quien tiene que acreditar que los datos sean necesarios para la finalidad que motivó su recogida, sino al revés, debería haberse acreditado que dichos datos no eran necesarios para hacer subsumible el supuesto de hecho en lo dispuesto por el artículo 4.5 LOPD.
De conformidad con el artículo 4.5 LOPD, "...los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados...".
La parte recurrente crítica la postura de la interesada en esta cuestión, que parece entender que la única voluntad atendible fuera la suya, para a continuación defender, desde la perspectiva contraria, que el interés jurídicamente protegible es el propio de la Entidad responsable del fichero en tener constancia del inicio y final de la relación con las personas que integran la Institución.
Sin embargo, el artículo 4.5 LOPD no se remite a la voluntad de la persona interesada, ni tampoco a la del responsable del fichero para determinar cuando los datos han dejado de ser necesarios o pertinentes, sino que la necesidad del mantenimiento de los datos ha de relacionarse con la finalidad para la cual los datos fueron recogidos. Y en este punto, tanto la Resolución de la AEPD como la sentencia impugnada mantienen que los datos dejaron de ser necesarios para la finalidad que justificó su tratamiento, al haber decidido la persona afectada dejar de pertenecer al Opus Dei, sin que por la parte recurrente se haya desvirtuado tal conclusión, ni acreditado una finalidad de mantenimiento de los datos merecedora de mayor protección.
Procede por lo anterior la desestimación de este motivo del recurso.
SEXTO.- Al declararse no haber lugar al recurso de casación, procede condenar a la parte recurrente en las costas del mismo, de conformidad con la regla del artículo 139.2 LJCA, si bien, la Sala haciendo uso de la facultad que le confiere el apartado tercero del citado precepto, limita el importe máximo a reclamar por ese concepto en la cantidad de tres mil euros (3.000€) en concepto de honorarios del Letrado de la parte recurrida.
Por todo ello, en nombre de SM el Rey y en el ejercicio de la potestad que, emanada del pueblo español, nos concede la Constitución.
FALLAMOS
Que declaramos no haber lugar al presente recurso de casación 5960/08, interpuesto por la representación procesal de la Prelatura del Opus Dei, Región de España, contra la sentencia de 11 de septiembre de 2008, dictada por la Sección 1.ª de la Sala de lo Contencioso Administrativo de la Audiencia Nacional, en el recurso n.º 78/2007, y condenamos a la parte recurrente en las costas de casación, hasta el límite, respecto de la minuta de Letrado, señalado en el último Fundamento de Derecho.
Así por esta nuestra sentencia, que se publicará en la colección legislativa lo pronunciamos, mandamos y firmamos
Megaupload: La Agencia Española de Protección de Datos no es competente en el caso
Diversas notas y comentarios en varios medios de comunicación están dando a entender que una posible vía para recuperar nuestros datos alojados en Megaupload es acudir a la Agencia Española de Protección de Datos; en este sentido considero necesario aclarar que dicha Agencia no podrá ayudarnos en el caso de Megaupload por varios motivos.
Examinemos los motivos por los que debemos concluir que nuestra autoridad en materia de protección de datos de carácter personal (la Agencia Española de Protección de Datos (AEPD)), que recordemos NO es una autoridad judicial, no podrá hacer nada frente a nuestras solicitudes en relación a Megaupload en materia de su competencia: la protección de los datos de carácter personal.
En primer lugar respondamos tres preguntas claves:
¿Cuál es la nacionalidad de la empresa que gestionaba Megaupload? Megaupload era explotada por “Megaupload Limited” (entre otras sociedades) registrada y ubicada en Hong Kong y no en California como podría parecer en un primer momento.
¿Tenía sedes en España o en algún país de la Unión Europea o del Espacio Económico Europeo? NO.
Según Megaupload Limited, al hacer uso de su servicio Megaupload ¿por qué legislación me rijo? En las propias condiciones del servicio de Megaupload (que ya no están accesibles) se informaba al usuario (en inglés) que cualquier posible relación con ellos así como cualquier controversia se va a rejir por las leyes del Estado de California (EEUU).
Con esto tenemos suficiente; ahora examinemos los motivos por los que la AEPD no va a poder ayudarnos en el caso de Megaupload:
a) Comencemos por el más evidente: la AEPD no puede decirle nada a una empresa que está operando en Hong Kong y que se rije por las leyes de California. Esto es así porque nuestras leyes no se aplican en todos los paises del mundo así sin más(lógicamente). Nuestra Ley Orgánica de Protección de Datos (LOPD) nos dice en el artículo 2.1.c que se aplicará esta LOPD cuando la empresa que trata nuestros datos no esté establecida en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito.
Es decir, si una empresa no está en la Unión Europea pero utiliza medios situados en España para tratar los datos personales, entonces sí que se le aplica nuestra LOPD aunque la empresa esté en Hong Kong. Sin entrar en lo que significa “medios situados en España”, decir que una institución europea, la conocida como Grupo de Trabajo del artículo 29, en varios de sus documentos ha indicado que se entiende que una empresa utiliza medios situados en España para tratar datos cuando utiliza cookies en los ordenadores de sus “clientes” con el objetivo de tratar datos personales. Y esta es precisamente la excusa que en algunos medios se ha utilizado para afirmar que como Megaupload utilizaba cookies (presumiblemente, porque la página web ya no existe), pues entonces se aplica la LOPD española. El problema es que no cualquier cookie que una página web nos instale en nuestro navegador determina directamente la aplicación de la LOPD a la empresa que gestione esa página web (ojo, siempre según esos documentos del Grupo de Trabajo del artículo 29), se requiere además que esa cookie esté diseñada para tratar nuestros datos personales y normalmente por “tratar” debemos entender “obtener”. Así por ejemplo, una cookie que sea utilizada para recordar en el navegador la marcación o no de una casilla no entraría en este caso. Es por ello que sería necesario auditar qué hacían las cookies de Megaupload, lo cual ya es imposible. Al ser imposible determinar siquiera si Megaupload utilizaba cookies, no podremos aplicar esta excepción de “medios situados en España”, por lo que la LOPD no puede ser de aplicación.
b) Megaupload Limited no tiene establecimientos permanentes ni en España ni en Europa. Esto es relevante porque se ha intentado hacer ver, de forma errónea, una similitud entre el caso de Megaupload y el caso del buscador Bing (gestionado por Microsoft en Luxemburgo). En una reciente resolución de la AEPD se ha estimado una tutela de derechos frente al buscador Bing dirigida a Microsoft Iberica S.L. y no a Microsoft Luxemburgo. Las diferencias con el caso de Megaupload son esenciales, en primer lugar porque Luxemburgo es miembro de la Unión Europea y por tanto entra dentro de la aplicación de la Directiva Europea sobre protección de datos, pero lo determinante es que el propio buscador (la propia Microsoft) en sus condiciones de uso te da a elegir entre que te acojas a la legislación/jurisdicción de Luxemburgo o a la legislación/jurisdicción de tu país, dice así:
“Todas las demandas, incluidas las relacionadas con las leyes de protección del consumidor, la legislación relativa a la competencia desleal y en caso de responsabilidad extracontractual, se resolverán en virtud de las leyes de Luxemburgo o del país en el que usted resida. Con respecto a la jurisdicción, usted puede elegir el tribunal responsable en Luxemburgo o en el país en el que resida para resolver los conflictos derivados de este contrato o relativos a él.”
Por tanto, y teniendo en cuenta que Microsoft tiene un establecimiento permanente en España, no hay lugar a dudas de que si el ciudadano español así lo desea, puede ejercer sus derechos de protección de datos en España. Pero ojo, esta política de Microsoft lleva vigente desde el 31 de agosto de 2010.
c) Se ha indicado también que los usuarios españoles dirijan sus solicitudes en materia de protección de datos frente a las autoridades de EEUU; creo que no es necesario explicar que invocar una ley española de protección de datos ante una autoridad policial o judicial en Estados Unidos está fuera de lugar. Por supuesto, no esperéis que os respondan desde EEU y podéis ahorraros el tiempo de acudir a nuestra AEPD para quejaros por el hecho de que el FBI o los tribunales de Estados Unidos no han atendido vuestra solicitud relativa a la protección de datos; si de hecho recientemente el Tribunal Supremo ha determinado que la AEPD no tiene competencia para actuar frente a órganos judiciales españoles, imaginaros frente a órganos de países fuera de la Unión Europea.
d) Pero es que además, aunque fuera de aplicación nuestra LOPD, los casos en los que podría aplicarse serían muy muy reducidos. Recordemos que esta ley se aplica en relación a “datos de carácter personal” y no a cualquier dato o información. Si hemos subido unos apuntes de clase, una película o una canción, todo eso no son datos de carácter personal y tampoco se va a aplicar la LOPD. Pero aunque fuesen datos de carácter personal, habría que ver cómo se demuestra que efectivamente están en los servidores ahora en poder del FBI y bajo unas leyes penales en Estados Unidos.
Llegados a este punto donde queda claro que por un motivo u otro no podremos aplicar la LOPD o la tutela de la AEPD frente a Megaupload, podemos preguntarnos ¿qué podemos hacer para recuperar esos ficheros que subí a Megaupload?
Antes de responder, pregunto yo ¿alguien se había leído las condiciones de uso de Megaupload? Es que da la sensación de que parece que las condiciones de uso de un servicio están de adorno y no, esas condiciones de uso suelen tener información importante en casos de problemas. Veamos lo que decían las condiciones de uso de Megaupload en el apartado de “datos alojados en Megaupload por los usuarios”:
“El cliente es el único responsable y tiene la responsabilidad sobre lo que almacena en Megaupload. Megaupload anima al cliente a archivar regular y frecuentemente sus datos. El cliente tiene toda la responsabilidad por los datos que almacene y será el único responsable por la pérdida o por no poder recuperar sus datos.”
Y luego añade en el apartado “Sin garantías”:
“El uso que hagas del Servicio es bajo tu propia responsabilidad. El servicio de Megaupload es ofrecido “como es” y “con su disponibilidad”. [...] Megaupload no puede garantizar la duración del Servicio o que no sea interrumpido. [...] Megaupload se reserva el derecho de interrumpir el servicio en cualquier momento sin previo aviso. Si no estás de acuerdo con nuestras condiciones o con nuestro Servicio o con cualquier otra de nuestras reglas, tu única opción es dejar de utilizar nuestro Servicio”.
Y termina indicando lo que comentaba al principio, que cualquier controversia será resuelta por los tribunales de Santa Clara (California).
En definitiva, que Megaupload no se hacía responsable de nada que alojaras con ellos y que podían dar el servicio por terminado en cualquier momento, sin previo aviso. Esas eran sus reglas del juego y se jugaba en el Estado de California, si no te gustaba tu única opción era no jugar.
Por último añadir que en relación a la noticia sobre que la AEPD ha pedido a la Comisión Federal de Comercio en Estados Unidos información sobre lo que sucederá con los datos almacenados en Megaupload es simplemente eso, una consulta realizada por nuestra AEPD que bajo mi punto de vista tiene como finalidad la de ofrecer una falsa sensación de tranquilidad o control sobre este asunto, que realmente no tiene.
Fuente: Periodistas en español
Fecha: 07/02/2012
Examinemos los motivos por los que debemos concluir que nuestra autoridad en materia de protección de datos de carácter personal (la Agencia Española de Protección de Datos (AEPD)), que recordemos NO es una autoridad judicial, no podrá hacer nada frente a nuestras solicitudes en relación a Megaupload en materia de su competencia: la protección de los datos de carácter personal.
En primer lugar respondamos tres preguntas claves:
¿Cuál es la nacionalidad de la empresa que gestionaba Megaupload? Megaupload era explotada por “Megaupload Limited” (entre otras sociedades) registrada y ubicada en Hong Kong y no en California como podría parecer en un primer momento.
¿Tenía sedes en España o en algún país de la Unión Europea o del Espacio Económico Europeo? NO.
Según Megaupload Limited, al hacer uso de su servicio Megaupload ¿por qué legislación me rijo? En las propias condiciones del servicio de Megaupload (que ya no están accesibles) se informaba al usuario (en inglés) que cualquier posible relación con ellos así como cualquier controversia se va a rejir por las leyes del Estado de California (EEUU).
Con esto tenemos suficiente; ahora examinemos los motivos por los que la AEPD no va a poder ayudarnos en el caso de Megaupload:
a) Comencemos por el más evidente: la AEPD no puede decirle nada a una empresa que está operando en Hong Kong y que se rije por las leyes de California. Esto es así porque nuestras leyes no se aplican en todos los paises del mundo así sin más(lógicamente). Nuestra Ley Orgánica de Protección de Datos (LOPD) nos dice en el artículo 2.1.c que se aplicará esta LOPD cuando la empresa que trata nuestros datos no esté establecida en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito.
Es decir, si una empresa no está en la Unión Europea pero utiliza medios situados en España para tratar los datos personales, entonces sí que se le aplica nuestra LOPD aunque la empresa esté en Hong Kong. Sin entrar en lo que significa “medios situados en España”, decir que una institución europea, la conocida como Grupo de Trabajo del artículo 29, en varios de sus documentos ha indicado que se entiende que una empresa utiliza medios situados en España para tratar datos cuando utiliza cookies en los ordenadores de sus “clientes” con el objetivo de tratar datos personales. Y esta es precisamente la excusa que en algunos medios se ha utilizado para afirmar que como Megaupload utilizaba cookies (presumiblemente, porque la página web ya no existe), pues entonces se aplica la LOPD española. El problema es que no cualquier cookie que una página web nos instale en nuestro navegador determina directamente la aplicación de la LOPD a la empresa que gestione esa página web (ojo, siempre según esos documentos del Grupo de Trabajo del artículo 29), se requiere además que esa cookie esté diseñada para tratar nuestros datos personales y normalmente por “tratar” debemos entender “obtener”. Así por ejemplo, una cookie que sea utilizada para recordar en el navegador la marcación o no de una casilla no entraría en este caso. Es por ello que sería necesario auditar qué hacían las cookies de Megaupload, lo cual ya es imposible. Al ser imposible determinar siquiera si Megaupload utilizaba cookies, no podremos aplicar esta excepción de “medios situados en España”, por lo que la LOPD no puede ser de aplicación.
b) Megaupload Limited no tiene establecimientos permanentes ni en España ni en Europa. Esto es relevante porque se ha intentado hacer ver, de forma errónea, una similitud entre el caso de Megaupload y el caso del buscador Bing (gestionado por Microsoft en Luxemburgo). En una reciente resolución de la AEPD se ha estimado una tutela de derechos frente al buscador Bing dirigida a Microsoft Iberica S.L. y no a Microsoft Luxemburgo. Las diferencias con el caso de Megaupload son esenciales, en primer lugar porque Luxemburgo es miembro de la Unión Europea y por tanto entra dentro de la aplicación de la Directiva Europea sobre protección de datos, pero lo determinante es que el propio buscador (la propia Microsoft) en sus condiciones de uso te da a elegir entre que te acojas a la legislación/jurisdicción de Luxemburgo o a la legislación/jurisdicción de tu país, dice así:
“Todas las demandas, incluidas las relacionadas con las leyes de protección del consumidor, la legislación relativa a la competencia desleal y en caso de responsabilidad extracontractual, se resolverán en virtud de las leyes de Luxemburgo o del país en el que usted resida. Con respecto a la jurisdicción, usted puede elegir el tribunal responsable en Luxemburgo o en el país en el que resida para resolver los conflictos derivados de este contrato o relativos a él.”
Por tanto, y teniendo en cuenta que Microsoft tiene un establecimiento permanente en España, no hay lugar a dudas de que si el ciudadano español así lo desea, puede ejercer sus derechos de protección de datos en España. Pero ojo, esta política de Microsoft lleva vigente desde el 31 de agosto de 2010.
c) Se ha indicado también que los usuarios españoles dirijan sus solicitudes en materia de protección de datos frente a las autoridades de EEUU; creo que no es necesario explicar que invocar una ley española de protección de datos ante una autoridad policial o judicial en Estados Unidos está fuera de lugar. Por supuesto, no esperéis que os respondan desde EEU y podéis ahorraros el tiempo de acudir a nuestra AEPD para quejaros por el hecho de que el FBI o los tribunales de Estados Unidos no han atendido vuestra solicitud relativa a la protección de datos; si de hecho recientemente el Tribunal Supremo ha determinado que la AEPD no tiene competencia para actuar frente a órganos judiciales españoles, imaginaros frente a órganos de países fuera de la Unión Europea.
d) Pero es que además, aunque fuera de aplicación nuestra LOPD, los casos en los que podría aplicarse serían muy muy reducidos. Recordemos que esta ley se aplica en relación a “datos de carácter personal” y no a cualquier dato o información. Si hemos subido unos apuntes de clase, una película o una canción, todo eso no son datos de carácter personal y tampoco se va a aplicar la LOPD. Pero aunque fuesen datos de carácter personal, habría que ver cómo se demuestra que efectivamente están en los servidores ahora en poder del FBI y bajo unas leyes penales en Estados Unidos.
Llegados a este punto donde queda claro que por un motivo u otro no podremos aplicar la LOPD o la tutela de la AEPD frente a Megaupload, podemos preguntarnos ¿qué podemos hacer para recuperar esos ficheros que subí a Megaupload?
Antes de responder, pregunto yo ¿alguien se había leído las condiciones de uso de Megaupload? Es que da la sensación de que parece que las condiciones de uso de un servicio están de adorno y no, esas condiciones de uso suelen tener información importante en casos de problemas. Veamos lo que decían las condiciones de uso de Megaupload en el apartado de “datos alojados en Megaupload por los usuarios”:
“El cliente es el único responsable y tiene la responsabilidad sobre lo que almacena en Megaupload. Megaupload anima al cliente a archivar regular y frecuentemente sus datos. El cliente tiene toda la responsabilidad por los datos que almacene y será el único responsable por la pérdida o por no poder recuperar sus datos.”
Y luego añade en el apartado “Sin garantías”:
“El uso que hagas del Servicio es bajo tu propia responsabilidad. El servicio de Megaupload es ofrecido “como es” y “con su disponibilidad”. [...] Megaupload no puede garantizar la duración del Servicio o que no sea interrumpido. [...] Megaupload se reserva el derecho de interrumpir el servicio en cualquier momento sin previo aviso. Si no estás de acuerdo con nuestras condiciones o con nuestro Servicio o con cualquier otra de nuestras reglas, tu única opción es dejar de utilizar nuestro Servicio”.
Y termina indicando lo que comentaba al principio, que cualquier controversia será resuelta por los tribunales de Santa Clara (California).
En definitiva, que Megaupload no se hacía responsable de nada que alojaras con ellos y que podían dar el servicio por terminado en cualquier momento, sin previo aviso. Esas eran sus reglas del juego y se jugaba en el Estado de California, si no te gustaba tu única opción era no jugar.
Por último añadir que en relación a la noticia sobre que la AEPD ha pedido a la Comisión Federal de Comercio en Estados Unidos información sobre lo que sucederá con los datos almacenados en Megaupload es simplemente eso, una consulta realizada por nuestra AEPD que bajo mi punto de vista tiene como finalidad la de ofrecer una falsa sensación de tranquilidad o control sobre este asunto, que realmente no tiene.
Fuente: Periodistas en español
Fecha: 07/02/2012
El Supremo anula el artículo 10.2.b del Reglamento de desarrollo de la LOPD y permite el uso de datos personales sin permiso
El Tribunal Supremo ha dictado sentencia anulando el artículo 10.2.b del Real Decreto 1720/2007 de desarrollo de la LOPD, por ser contrario al derecho comunitario.
Dicho artículo exigía que, para tratar o ceder datos personales sin el consentimiento del interesado, se cumpliese el requisito adicional de que dichos datos figurasen en fuentes accesibles al público.
La demanda la realizó la Federación de Comercio Electrónico y Marketing Directo (FECEMD), Asociación Española de Economía Digital, en 2008, por considerar que la regulación española en materia de protección de datos era más restrictiva que la europea
En opinión de Rafael García del Poyo y Miguel Ángel Serrano, (en la foto), abogados y socios de “CREMADES & CALVO-SOTELO”. Ambos intervinieron como abogados y representantes de ADIGITAL en los asuntos acumulados C-468/10 y C-469/10 seguidos ante el Tribunal de Justicia de la Unión Europea, desde su punto de vista ” en la Sentencia publicada ayer día 14 de Febrero el Tribunal Supremo español ha declarado nula la restricción añadida por el legislador español en el artículo 10, apartado 2, letras a), supuesto primero, y b), párrafo primero del Real Decreto 1720/2007 sobre protección de datos personales.
El Reino de España estaba, a tenor de la sentencia del Tribunal de Justicia de la UE manteniendo un nivel distinto de protección al de los demás Estados miembros. Y esta situación, a su vez, dificultaba las actividades económicas en dicha Unión, impidiendo la libre circulación de datos personales y la libre prestación de servicios entre los Estados miembros. ”
En opinión de estos expertos, “no sobrará añadir, además, que suponía una seria desventaja competitiva para los operadores afectados por la aplicación del referido artículo 10, lo que, a buen seguro, afectaba a las libertades de establecimiento y de prestación de servicios en la medida en que sedificultaba o, simplemente, se hacía menos atractivo el ejercicio de estas libertades en España.”
Otras reacciones al fallo del Supremo
Para Diego Ramos, socio de protección de datos de DLA Piper “el Tribunal Supremo, cómo advertimos que podía suceder en su momento, no se ha limitado a transcribir mecánicamente las decisiones del TJUE, sino que ha hecho una interpretación activa y creativa de los fallos del TJUE,” desde su punto de vista
”En primer lugar, ha declarado legal y ha mantenido en vigor el artículo 10.1.a del Reglamento LOPD, rechazando el recurso en ese punto. De esa forma, sólo si una norma aplicable en España admite tratar los datos sin el consentimiento del afectado se podrá efectuar ese tratamiento. Respecto a si una Directiva podrá aplicarse también, la sentencia lo admite de pasada pero la forma en que lo hace sugiere que sería sólo en casos de aplicación directa (como sucede con un Reglamento Comunitario) o de no trasposición correcta de la Directiva.
En segundo lugar, ANULA el 10.2.b del Reglamento LOPD. La redacción del fallo de la sentencia es imprecisa en este punto, porque lo que se tendría que haber hecho es anular el requisito de que los datos estén en fuentes accesibles al público, no el conjunto del 10.2.b. Al anular el apartado en bloque, elimina también la habilitación para usar sin consentimiento los datos personales de los afectados cuando haya un interés legítimo del responsable del fichero.
Con lo cual estaríamos peor que antes del recurso. Imaginamos que se pondrá inmediatamente un recurso de aclaración para que el Tribunal Supremo declare en vigor todo el apartado salvo la restricción de “fuentes accesibles al público” que era la que se buscaba anular. Si no fuera así, habría que defender una aplicación directa de la directiva, una fórmula posible y con cierto apoyo en esta sentencia (cuando habla del 10.1.a) y en la del TJUE, pero incómoda porque requiere confiar en una fina argumentación jurídica y en jurisprudencia española y comunitaria, más que en una norma española específica.
Ello puede retraer a empresas deseosas de poner en marcha esquemas innovadores de captación y gestión de datos. Incluso si se aclara que el apartado sigue en vigor, la AEPD es probable que sostenga que el Supremo opina (indirectamente) que la protección de los derechos fundamentales puede válidamente exigir que los datos recogidos de forma ilegal, engañosa o sin un consentimiento por parte del afectado para esos fines concretos no puedan tratarse ni cederse al amparo del 10.2.b “modificado”. El debate continúa así pues, y será necesario validar cada nueva fuente de datos que queramos usar.
En todo caso, el Tribunal Supremo le ha dado a la AEPD y al gobierno, probablemente sin querer, la pista para cerrar la ventana que ahora se ha abierto.
Si el gobierno traspasa la restricción de que los datos deben venir de “fuentes accesibles al público” desde el inicio del apartado al final (como una forma de proteger los derechos fundamentales de los afectados, más que como una condición adicional), el Tribunal Supremo podría no poner obstáculos a su validez. Es por ello previsible que, de uno y otro lado, el gobierno esté sometido a fuertes presiones para que lo haga o se abstenga de hacerlo.”
Por su parte, Fco. Javier Carbayo, asociado senior del área de Governance, Risk & Compliance de ECIJA comenta que realmente, esta Sentencia trae causa de una del Tribunal de Justicia de la Unión Europea (TJUE) de 24 de noviembre de 2011.
De hecho, en un momento determinado, la propia Agencia Española de Protección de Datos ya emitió una Nota de prensa sobre la citada Sentencia del TJUE que se puede ver en este enlace que adjuntamos a continuación, donde se llegaba a decir , entre otras cosas, principalmente que:,
a) la interpretación y la aplicación que hasta el momento se ha venido realizando en España, tanto por la AEPD como los órganos judiciales, ya se estaba llevando a cabo una ponderación en la línea de lo exigido por el artículo 7 f) de la Directiva, atendiendo a criterios diversos, tales como la finalidad del tratamiento de los datos, el marco legal aplicable, -p. ej. La existencia de una ley que ampare intereses legítimos- o circunstancias concurrentes en el caso como, entre otras, la existencia de una relación jurídica, o que los datos figuren o no en fuentes accesibles al público.
b) de la Sentencia del TJUE no parece derivarse una alteración sustancial del marco vigente de protección de los datos personales en España si bien en el futuro será preciso acentuar la ponderación de las circunstancias que concurran en cada supuesto concreto para decidir sobre la legitimidad del tratamiento.
c) se necesita la Sentencia del Supremo que ahora ha recaído, puesto que al fin y al cabo la sentencia del TJCE resuelve una cuestión prejudicial planteada ante aquel.
A juicio de Carbayo, esta Sentencia del Tribunal Supremo es seguidora de la opinión del TJCE; “la cuestión ahora es, por un lado, delimitar qué se entiende por “interés legítimo”, y por otro lado, ver qué pasa con las sanciones dictadas con amparo al art. 10.2.b RLOPD, que la Sentencia anula. “
La cuestión es que la Agencia ha parecido querer anticiparse a este segundo efecto, indicando en la citada nota de prensa que su interpretación hasta el momento se puede alinear con la del TJCE (tanto respecto al interés legítimo, como más importante aún, respecto a que éste no es el único criterio a ponderar en la mayoría de casos), lo que parece una “advertencia” a las reclamaciones contras sanciones ya impuestas.
“En definitiva, se elimina con la anulación del art. 10.2.b RLOPD la necesidad del requisito adicional de origen en fuentes accesibles al público para la invocación del “interés legítimo” como base del tratamiento, pero no se descarta que la decisión sancionadora no se pueda basar o no se pondere en base a otros requisitos adicionales o diferentes. Por tanto, la virtualidad práctica de la Sentencia del Tribunal Supremo es relativa o está aún pendiente de determinar, puesto que depende de cómo se re-interpreten las sanciones ya impuestas que puedan ser ahora objeto de recursos. E incluso, no se descarta un cambio normativo para perfilar el efecto de la sentencia del TJCE.”
Desde el Grupo Antevenio, empresa de publicidad digital, su directora juridica Analore Garcia, también vocal de ENATIC, recién constituida asociacion de profesionales de derecho de la información, señala que esta sentencia demuestra que España no ha llevado a cabo la transposición de la Directiva 95/46/CE en el respeto del espíritu de la misma.
A su juicio, en el sector de Internet, encontramos en demasiadas ocasiones normas que, con una interpretación paternalista de los derechos de los ciudadanos, limitan las posibilidades comerciales en muchos ámbitos, en perjuicio de las empresas y players españoles, también con respecto a sus competidores europeos, e incluso en detrimento de la concienciación de los ciudadanos como herramienta de control y decisión.
De la sentencia del Tribunal Supremo cabe resaltar sobre todo dos aspectos.
“En primer lugar, declara la nulidad del requisito adicional al del “interés legítimo perseguido” exigido por la norma como título habilitador para proceder al tratamiento o cesión de datos por un Responsable de Tratamiento sin el consentimiento del afectado. La Sentencia interpreta que el legislador español ha “añadido” un requisito limitativo adicional, el de la proveniencia de los datos de fuentes accesibles al público como conditio sine qua non para ampararse en la excepción del artículo 10.2.b) del RD 1720/2007, contraviniendo así la disposición europea. Declara, por lo tanto, la nulidad del precepto.”
Por otro lado, la Sentencia reitera que el artículo 7.f) de la Directiva tiene “efecto directo”, al ser contraria la norma nacional, por lo que debe interpretarse que el tratamiento de datos personales será lícito sin obtener consentimiento del afectado, si es necesario para la satisfacción del interés legítimo perseguido por el Responsale de Tratamiento y siempre que no se oponga a los derechos fundamentales de éste. ”
Por lo tanto, según comenta la responsable legal de Antevenio, “ahora mismo la coyuntura implica la necesidad de interpretar un concepto jurídico indeterminado: “El interés legítimo perseguido por el Responsable del Tratamiento”, debate que ya empieza a fraguarse en los medios.”
Ahora bien, no podemos olvidar que la Viviane Reding recientemente hizo una propuesta en forma de “paquete de medidas” cuyo espíritu, de momento, no parece indicar que vaya a permitirse una interpretación lata de este concepto.
Como conclusión final, Garcia indica que ”siendo una sentencia positiva, que aplana el camino para la armonización europea real, y de alguna manera censura la tendencia conservadora en las transposiciones normativas españolas.
Pero aún no sabemos cómo se instrumentará la interpretación del “interés legítimo perseguido” ni la modificación que, previsiblemente, aprobará España en un futuro cercano. Esperemos que el legislador tome en cuenta, además de su obligación de proteger los derechos de los ciudadanos, también su obligación de formar e informar a los mismos, no entorpeciendo así, el desarrollo y evolución sector del marketing y de Internet en España.”
Por último, APEP; Asociación Profesional de la Privacidad hizo público un comunicado suscrito por su presidente, Ricard Martínez, donde hace algunas puntualizaciones a la citada sentencia:
Desde esta entidad se señala que considerar que las empresas podrán comercializar datos personales sin pedir permiso supone una interpretación simplista y nada rigurosa del tenor literal de la sentencia.
Esta se limita a declarar:
La imposibilidad competencial de derogar lo dispuesto por el art. 6.2 de la LOPD.
- La conformidad del art. 10.2.a) RLOPD con la Directiva 95/46/CE.
La contradicción entre el citado art. 10.2.b) RLOPD y el art. 7.f de la Directiva 95/46/CE lo que determina su anulación.
La sentencia únicamente extrae como consecuencia de la resolución del Tribunal de Justicia de la Unión Europea en los asuntos C-468/10 y C-469/10 la primacía del Derecho de la Unión y el principio de de interpretación conforme reconocidos, entre otros, en la sentencia Costa contra Enel del 15 de julio de 1964.
Que, por tanto, no se excluye en absoluto la aplicación tanto de los principios generales de la LOPD como los propios de la Directiva 95/46/CE de los que la LOPD trae causa.
APEP recuerda en todo caso que los profesionales de la privacidad y los operadores deben actuar con rigor en esta materia y, a tal efecto, es muy conveniente subrayar algunos extremos relevantes:
1) El principio de interés legítimo es un concepto jurídico indeterminado que debe ser interpretado en función del contexto. Por tanto, tener un interés económico en tratar un dato no supone necesariamente que éste sea legítimo. Habrá que estar al caso concreto para apreciar la presencia de este interés.
2) Que este principio viene limitado por la protección del derecho fundamental a la protección de datos y a los demás derechos fundamentales del afectado tal y como se prevé en la Directiva 95/46/CE y que, por tanto, en cada caso habrá que ponderar con rigor si estos prevalecen frente al interés legítimo en tratar los datos.
3) Que, con independencia de la concurrencia de interés legítimo, en aquellos casos en los que se proceda a un tratamiento de datos personales sin consentimiento conviene extremar la diligencia de nuestros clientes en lo que afecta al deber de información del art. 5.4 LOPD y los supuestos de legítimo ejercicio del derecho de oposición al tratamiento conforme a lo dispuesto por el art. 6.4 LOPD y de modo muy específico, para el caso objeto de la demanda en los arts. 34 y 51 del RLOPD. Por otra parte, no deben olvidarse en ningún caso, caso de tratamientos con fines de marketing directo, los ficheros de exclusión regulados pro el art. 49 RLOPD.
Desde APEP se ve positivo que exista el necesario alineamiento de la LOPD con la Directiva 95/46/CE. Sin embargo, “debemos subrayar que esto no significa, ni puede significar de conformidad con la Directiva 95/46/EC, sin mayor detalle, abrir la puerta a la comercialización de datos personales obtenidos sin consentimiento.”
APEP sugiere que “ todo proceso de cumplimiento normativo en esta materia exige un estudio riguroso y adaptado al caso concreto. Conviene recordar que la propuesta del futuro Reglamento comunitario que pretende sustituir la Directiva 95/46/CE y sus trasposiciones nacionales concede una gran importancia a los conceptos de «data protection impact assesment» y «data protection by default», pero esos valores y procedimientos deben ser aplicados desde este mismo momento y, en especial, en casos difíciles como el que nos ocupa”.
Fuente: Diario Jurídico
Fecha: 15/02/2012
Dicho artículo exigía que, para tratar o ceder datos personales sin el consentimiento del interesado, se cumpliese el requisito adicional de que dichos datos figurasen en fuentes accesibles al público.
La demanda la realizó la Federación de Comercio Electrónico y Marketing Directo (FECEMD), Asociación Española de Economía Digital, en 2008, por considerar que la regulación española en materia de protección de datos era más restrictiva que la europea
En opinión de Rafael García del Poyo y Miguel Ángel Serrano, (en la foto), abogados y socios de “CREMADES & CALVO-SOTELO”. Ambos intervinieron como abogados y representantes de ADIGITAL en los asuntos acumulados C-468/10 y C-469/10 seguidos ante el Tribunal de Justicia de la Unión Europea, desde su punto de vista ” en la Sentencia publicada ayer día 14 de Febrero el Tribunal Supremo español ha declarado nula la restricción añadida por el legislador español en el artículo 10, apartado 2, letras a), supuesto primero, y b), párrafo primero del Real Decreto 1720/2007 sobre protección de datos personales.
El Reino de España estaba, a tenor de la sentencia del Tribunal de Justicia de la UE manteniendo un nivel distinto de protección al de los demás Estados miembros. Y esta situación, a su vez, dificultaba las actividades económicas en dicha Unión, impidiendo la libre circulación de datos personales y la libre prestación de servicios entre los Estados miembros. ”
En opinión de estos expertos, “no sobrará añadir, además, que suponía una seria desventaja competitiva para los operadores afectados por la aplicación del referido artículo 10, lo que, a buen seguro, afectaba a las libertades de establecimiento y de prestación de servicios en la medida en que sedificultaba o, simplemente, se hacía menos atractivo el ejercicio de estas libertades en España.”
Otras reacciones al fallo del Supremo
Para Diego Ramos, socio de protección de datos de DLA Piper “el Tribunal Supremo, cómo advertimos que podía suceder en su momento, no se ha limitado a transcribir mecánicamente las decisiones del TJUE, sino que ha hecho una interpretación activa y creativa de los fallos del TJUE,” desde su punto de vista
”En primer lugar, ha declarado legal y ha mantenido en vigor el artículo 10.1.a del Reglamento LOPD, rechazando el recurso en ese punto. De esa forma, sólo si una norma aplicable en España admite tratar los datos sin el consentimiento del afectado se podrá efectuar ese tratamiento. Respecto a si una Directiva podrá aplicarse también, la sentencia lo admite de pasada pero la forma en que lo hace sugiere que sería sólo en casos de aplicación directa (como sucede con un Reglamento Comunitario) o de no trasposición correcta de la Directiva.
En segundo lugar, ANULA el 10.2.b del Reglamento LOPD. La redacción del fallo de la sentencia es imprecisa en este punto, porque lo que se tendría que haber hecho es anular el requisito de que los datos estén en fuentes accesibles al público, no el conjunto del 10.2.b. Al anular el apartado en bloque, elimina también la habilitación para usar sin consentimiento los datos personales de los afectados cuando haya un interés legítimo del responsable del fichero.
Con lo cual estaríamos peor que antes del recurso. Imaginamos que se pondrá inmediatamente un recurso de aclaración para que el Tribunal Supremo declare en vigor todo el apartado salvo la restricción de “fuentes accesibles al público” que era la que se buscaba anular. Si no fuera así, habría que defender una aplicación directa de la directiva, una fórmula posible y con cierto apoyo en esta sentencia (cuando habla del 10.1.a) y en la del TJUE, pero incómoda porque requiere confiar en una fina argumentación jurídica y en jurisprudencia española y comunitaria, más que en una norma española específica.
Ello puede retraer a empresas deseosas de poner en marcha esquemas innovadores de captación y gestión de datos. Incluso si se aclara que el apartado sigue en vigor, la AEPD es probable que sostenga que el Supremo opina (indirectamente) que la protección de los derechos fundamentales puede válidamente exigir que los datos recogidos de forma ilegal, engañosa o sin un consentimiento por parte del afectado para esos fines concretos no puedan tratarse ni cederse al amparo del 10.2.b “modificado”. El debate continúa así pues, y será necesario validar cada nueva fuente de datos que queramos usar.
En todo caso, el Tribunal Supremo le ha dado a la AEPD y al gobierno, probablemente sin querer, la pista para cerrar la ventana que ahora se ha abierto.
Si el gobierno traspasa la restricción de que los datos deben venir de “fuentes accesibles al público” desde el inicio del apartado al final (como una forma de proteger los derechos fundamentales de los afectados, más que como una condición adicional), el Tribunal Supremo podría no poner obstáculos a su validez. Es por ello previsible que, de uno y otro lado, el gobierno esté sometido a fuertes presiones para que lo haga o se abstenga de hacerlo.”
Por su parte, Fco. Javier Carbayo, asociado senior del área de Governance, Risk & Compliance de ECIJA comenta que realmente, esta Sentencia trae causa de una del Tribunal de Justicia de la Unión Europea (TJUE) de 24 de noviembre de 2011.
De hecho, en un momento determinado, la propia Agencia Española de Protección de Datos ya emitió una Nota de prensa sobre la citada Sentencia del TJUE que se puede ver en este enlace que adjuntamos a continuación, donde se llegaba a decir , entre otras cosas, principalmente que:,
a) la interpretación y la aplicación que hasta el momento se ha venido realizando en España, tanto por la AEPD como los órganos judiciales, ya se estaba llevando a cabo una ponderación en la línea de lo exigido por el artículo 7 f) de la Directiva, atendiendo a criterios diversos, tales como la finalidad del tratamiento de los datos, el marco legal aplicable, -p. ej. La existencia de una ley que ampare intereses legítimos- o circunstancias concurrentes en el caso como, entre otras, la existencia de una relación jurídica, o que los datos figuren o no en fuentes accesibles al público.
b) de la Sentencia del TJUE no parece derivarse una alteración sustancial del marco vigente de protección de los datos personales en España si bien en el futuro será preciso acentuar la ponderación de las circunstancias que concurran en cada supuesto concreto para decidir sobre la legitimidad del tratamiento.
c) se necesita la Sentencia del Supremo que ahora ha recaído, puesto que al fin y al cabo la sentencia del TJCE resuelve una cuestión prejudicial planteada ante aquel.
A juicio de Carbayo, esta Sentencia del Tribunal Supremo es seguidora de la opinión del TJCE; “la cuestión ahora es, por un lado, delimitar qué se entiende por “interés legítimo”, y por otro lado, ver qué pasa con las sanciones dictadas con amparo al art. 10.2.b RLOPD, que la Sentencia anula. “
La cuestión es que la Agencia ha parecido querer anticiparse a este segundo efecto, indicando en la citada nota de prensa que su interpretación hasta el momento se puede alinear con la del TJCE (tanto respecto al interés legítimo, como más importante aún, respecto a que éste no es el único criterio a ponderar en la mayoría de casos), lo que parece una “advertencia” a las reclamaciones contras sanciones ya impuestas.
“En definitiva, se elimina con la anulación del art. 10.2.b RLOPD la necesidad del requisito adicional de origen en fuentes accesibles al público para la invocación del “interés legítimo” como base del tratamiento, pero no se descarta que la decisión sancionadora no se pueda basar o no se pondere en base a otros requisitos adicionales o diferentes. Por tanto, la virtualidad práctica de la Sentencia del Tribunal Supremo es relativa o está aún pendiente de determinar, puesto que depende de cómo se re-interpreten las sanciones ya impuestas que puedan ser ahora objeto de recursos. E incluso, no se descarta un cambio normativo para perfilar el efecto de la sentencia del TJCE.”
Desde el Grupo Antevenio, empresa de publicidad digital, su directora juridica Analore Garcia, también vocal de ENATIC, recién constituida asociacion de profesionales de derecho de la información, señala que esta sentencia demuestra que España no ha llevado a cabo la transposición de la Directiva 95/46/CE en el respeto del espíritu de la misma.
A su juicio, en el sector de Internet, encontramos en demasiadas ocasiones normas que, con una interpretación paternalista de los derechos de los ciudadanos, limitan las posibilidades comerciales en muchos ámbitos, en perjuicio de las empresas y players españoles, también con respecto a sus competidores europeos, e incluso en detrimento de la concienciación de los ciudadanos como herramienta de control y decisión.
De la sentencia del Tribunal Supremo cabe resaltar sobre todo dos aspectos.
“En primer lugar, declara la nulidad del requisito adicional al del “interés legítimo perseguido” exigido por la norma como título habilitador para proceder al tratamiento o cesión de datos por un Responsable de Tratamiento sin el consentimiento del afectado. La Sentencia interpreta que el legislador español ha “añadido” un requisito limitativo adicional, el de la proveniencia de los datos de fuentes accesibles al público como conditio sine qua non para ampararse en la excepción del artículo 10.2.b) del RD 1720/2007, contraviniendo así la disposición europea. Declara, por lo tanto, la nulidad del precepto.”
Por otro lado, la Sentencia reitera que el artículo 7.f) de la Directiva tiene “efecto directo”, al ser contraria la norma nacional, por lo que debe interpretarse que el tratamiento de datos personales será lícito sin obtener consentimiento del afectado, si es necesario para la satisfacción del interés legítimo perseguido por el Responsale de Tratamiento y siempre que no se oponga a los derechos fundamentales de éste. ”
Por lo tanto, según comenta la responsable legal de Antevenio, “ahora mismo la coyuntura implica la necesidad de interpretar un concepto jurídico indeterminado: “El interés legítimo perseguido por el Responsable del Tratamiento”, debate que ya empieza a fraguarse en los medios.”
Ahora bien, no podemos olvidar que la Viviane Reding recientemente hizo una propuesta en forma de “paquete de medidas” cuyo espíritu, de momento, no parece indicar que vaya a permitirse una interpretación lata de este concepto.
Como conclusión final, Garcia indica que ”siendo una sentencia positiva, que aplana el camino para la armonización europea real, y de alguna manera censura la tendencia conservadora en las transposiciones normativas españolas.
Pero aún no sabemos cómo se instrumentará la interpretación del “interés legítimo perseguido” ni la modificación que, previsiblemente, aprobará España en un futuro cercano. Esperemos que el legislador tome en cuenta, además de su obligación de proteger los derechos de los ciudadanos, también su obligación de formar e informar a los mismos, no entorpeciendo así, el desarrollo y evolución sector del marketing y de Internet en España.”
Por último, APEP; Asociación Profesional de la Privacidad hizo público un comunicado suscrito por su presidente, Ricard Martínez, donde hace algunas puntualizaciones a la citada sentencia:
Desde esta entidad se señala que considerar que las empresas podrán comercializar datos personales sin pedir permiso supone una interpretación simplista y nada rigurosa del tenor literal de la sentencia.
Esta se limita a declarar:
La imposibilidad competencial de derogar lo dispuesto por el art. 6.2 de la LOPD.
- La conformidad del art. 10.2.a) RLOPD con la Directiva 95/46/CE.
La contradicción entre el citado art. 10.2.b) RLOPD y el art. 7.f de la Directiva 95/46/CE lo que determina su anulación.
La sentencia únicamente extrae como consecuencia de la resolución del Tribunal de Justicia de la Unión Europea en los asuntos C-468/10 y C-469/10 la primacía del Derecho de la Unión y el principio de de interpretación conforme reconocidos, entre otros, en la sentencia Costa contra Enel del 15 de julio de 1964.
Que, por tanto, no se excluye en absoluto la aplicación tanto de los principios generales de la LOPD como los propios de la Directiva 95/46/CE de los que la LOPD trae causa.
APEP recuerda en todo caso que los profesionales de la privacidad y los operadores deben actuar con rigor en esta materia y, a tal efecto, es muy conveniente subrayar algunos extremos relevantes:
1) El principio de interés legítimo es un concepto jurídico indeterminado que debe ser interpretado en función del contexto. Por tanto, tener un interés económico en tratar un dato no supone necesariamente que éste sea legítimo. Habrá que estar al caso concreto para apreciar la presencia de este interés.
2) Que este principio viene limitado por la protección del derecho fundamental a la protección de datos y a los demás derechos fundamentales del afectado tal y como se prevé en la Directiva 95/46/CE y que, por tanto, en cada caso habrá que ponderar con rigor si estos prevalecen frente al interés legítimo en tratar los datos.
3) Que, con independencia de la concurrencia de interés legítimo, en aquellos casos en los que se proceda a un tratamiento de datos personales sin consentimiento conviene extremar la diligencia de nuestros clientes en lo que afecta al deber de información del art. 5.4 LOPD y los supuestos de legítimo ejercicio del derecho de oposición al tratamiento conforme a lo dispuesto por el art. 6.4 LOPD y de modo muy específico, para el caso objeto de la demanda en los arts. 34 y 51 del RLOPD. Por otra parte, no deben olvidarse en ningún caso, caso de tratamientos con fines de marketing directo, los ficheros de exclusión regulados pro el art. 49 RLOPD.
Desde APEP se ve positivo que exista el necesario alineamiento de la LOPD con la Directiva 95/46/CE. Sin embargo, “debemos subrayar que esto no significa, ni puede significar de conformidad con la Directiva 95/46/EC, sin mayor detalle, abrir la puerta a la comercialización de datos personales obtenidos sin consentimiento.”
APEP sugiere que “ todo proceso de cumplimiento normativo en esta materia exige un estudio riguroso y adaptado al caso concreto. Conviene recordar que la propuesta del futuro Reglamento comunitario que pretende sustituir la Directiva 95/46/CE y sus trasposiciones nacionales concede una gran importancia a los conceptos de «data protection impact assesment» y «data protection by default», pero esos valores y procedimientos deben ser aplicados desde este mismo momento y, en especial, en casos difíciles como el que nos ocupa”.
Fuente: Diario Jurídico
Fecha: 15/02/2012
España armoniza la LOPD a Europa
El Tribunal Supremo pone fin a una década de incoherencia y armoniza la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) española a Europa, tras la Sentencia que el Tribunal de Justicia de la Unión Europea(TJCE) emitió en noviembre sobre la figura del consentimiento.
Desde ayer, 14 de febrero, en España se ha producido una completa y adecuada armonización a la Directiva Comunitaria en materia de Protección de Datos ya que se puede realizar el tratamiento de los mismos además de cuanto exista consentimiento del interesado, cuando exista un interés legítimo tanto de la entidad que trate los datos como de los terceros a los que se cedan los mismos, siempre que no se vulneren los derechos y libertades de los afectados.
Esta reivindicación que ASNEF ha abanderado desde el 2007 -para no estar en desventaja con sus homólogos europeos-, finalmente ha sido reconocida tanto por el Tribunal de Justicia de la Comunidad Europea (1) como por el Tribunal Supremo (2) español.
Por otra parte, y para que se produzca un punto de equilibrio, habrá de valorarse caso a caso cuando existe “de facto” interés legítimo para tratar o consultar datos sin el consentimiento del usuario.
Ya con la Sentencia del TJUE, que es de aplicación inmediata, determinados tratamientos realizados por el sector financiero en los que existe claramente un interés legítimo por ayudar a cumplir con las normas comunitarias y nacionales sobre el crédito responsable, como es la consulta a bases de datos de solvencia y positivas, pueden a partir del 24 de noviembre de 2011 ser legítimos sin necesidad de recabar el consentimiento del interesado, que debe ser adecuadamente informado sobre la existencia de este tratamiento.
Hasta ahora la protección de datos en España era la más restrictiva de toda la Unión Europea, al impedir el correcto funcionamiento del mercado interior que protege la Directiva. Con la sentencia del TJUE se aclaran aspectos fundamentales que incidirán de manera inmediata en la aplicación del sistema de protección de datos en España y, sobre todo, en su aspecto sancionador.
Consecuencias
Tras la Sentencia del Tribunal Supremo, que declara nulo, por “disconforme a derecho”, el artículo 10.2b) del Reglamento de Desarrollo de la Ley Orgánica de Protección de datos de Carácter Personal, en aplicación directa de lo establecido en el artículo 7 f) de la Directiva 95/46/CE, se podrán realizar tratamientos de datos personales sin el consentimiento del titular de los mismos siempre y cuando “ese tratamiento de datos personales sea necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos y no prevalezcan los derechos y libertades fundamentales del interesado”.
En la práctica, se traduce, en que habrá que estar caso a caso, sin que pueda darse una regla general, y que la ponderación de ese interés legítimo por un lado y la libertad y derecho fundamental, por el otro, previsiblemente en España, será ponderado por la Agencia Española de Protección de Datos en primera instancia, y los Juzgados y Tribunales en última instancia.
La cronología de esta reclamación ha sido la siguiente: Desde el 2007 ASNEF ha mantenido que España no ha realizado una adecuada trasposición a la Directiva Comunitaria en materia de Protección de Datos (3) relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y la libre circulación de los mismos- ya que siempre ha chocado con la normativa nacional que exige que no se lesionen los derechos y libertades fundamentales de las personas cuyos datos consten en fuentes accesibles al público, sin tener en cuenta los intereses legítimos de terceros o de la entidad que los trate.
Por ello ASNEF recurrió ante el Tribunal Supremo el RD 1720/2007 por el que se aprobó el Reglamento en desarrollo de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal.
El 15 de julio de 2010 el Tribunal Supremo decidió plantear al Tribunal de Justicia de la Unión Europea (TJCE) en Luxemburgo los aspectos sin resolver: el consentimiento del afectado cuando existe interés legítimo entre el responsable del tratamiento de datos y el tercero al que se trasmiten y el efecto directo y primacía de la directiva sobre la normativa española.
El 24 de Noviembre el TJCE ha dictado Sentencia a la cuestión planteada por el Tribunal Supremo y reconoce que existen, además del consentimiento y de las fuentes accesibles al público, otras posibilidades de tratar los datos fundándose en causas legítimas.
Además TJCE ha estimado que la regulación española se ha extralimitado al imponer exigencias adicionales existiendo en la actualidad un nivel distinto de protección de datos entre España y los demás estados miembros de la Unión Europea lo que dificulta las actividades económicas en dicha Unión.
8 de Febrero de 2012, finalmente, la Sentencia del Tribunal Supremo declara la nulidad de dicho artículo (10.2b LOPD), y se abre la posibilidad de alegar, en cualquier procedimiento sancionador, o recurso contencioso - administrativo, actualmente en trámite, basado en la conculcación de este precepto, alegar la existencia del interés legítimo del responsable del tratamiento, sin que se restrinja la esfera de libertades y derechos fundamentales del titular del derecho.
Como hemos reseñado anteriormente, a modo de ejemplo, un ámbito en el que la consecución de este interés legítimo puede prevalecer sobre los derechos y libertades fundamentales del individuo titular de los datos objeto del tratamiento, es la lucha contra el fraude en la contratación, en la que actualmente para poder acudir a bases de datos que permitan verificar y autenticar la identidad e información proporcionada por el contratante, hay que contar con su consentimiento inequívoco.
Por otro lado, no hay que olvidar la fundamentación que realiza el Tribunal Supremo en la sentencia de 8 de Febrero sobre la misma cuestión de prejudicialidad planteada por la FECEMD, en la que ésta solicita la declaración de nulidad y subsidiariamente la declaración de no aplicabilidad del artículo 6.2 de la Ley Orgánica de Protección de Datos, y respecto de la cual, y aunque no se pronuncia sobre el fondo por considerarse fuera del ámbito de la litis planteada en el recurso original, si señala en su Fundamento de Derecho Segundo que “la inaplicabilidad del referido precepto legal habrá de plantearse en su caso ante un acto de aplicación” y ante la jurisdicción competente, al tratarse de una disposición con rango de Ley.
Dicho pronunciamiento, parece confirmar la tesis mantenida por ASNEF, y que se contenía en el escrito de demanda, y que no es otra que ni el artículo 6 ni el artículo 11 de la Ley Orgánica de Protección de Datos, han acertado a transponer correctamente el artículo 7 f) de la Directiva 95/46/CE.
Desde ayer, 14 de febrero, en España se ha producido una completa y adecuada armonización a la Directiva Comunitaria en materia de Protección de Datos ya que se puede realizar el tratamiento de los mismos además de cuanto exista consentimiento del interesado, cuando exista un interés legítimo tanto de la entidad que trate los datos como de los terceros a los que se cedan los mismos, siempre que no se vulneren los derechos y libertades de los afectados.
Esta reivindicación que ASNEF ha abanderado desde el 2007 -para no estar en desventaja con sus homólogos europeos-, finalmente ha sido reconocida tanto por el Tribunal de Justicia de la Comunidad Europea (1) como por el Tribunal Supremo (2) español.
Por otra parte, y para que se produzca un punto de equilibrio, habrá de valorarse caso a caso cuando existe “de facto” interés legítimo para tratar o consultar datos sin el consentimiento del usuario.
Ya con la Sentencia del TJUE, que es de aplicación inmediata, determinados tratamientos realizados por el sector financiero en los que existe claramente un interés legítimo por ayudar a cumplir con las normas comunitarias y nacionales sobre el crédito responsable, como es la consulta a bases de datos de solvencia y positivas, pueden a partir del 24 de noviembre de 2011 ser legítimos sin necesidad de recabar el consentimiento del interesado, que debe ser adecuadamente informado sobre la existencia de este tratamiento.
Hasta ahora la protección de datos en España era la más restrictiva de toda la Unión Europea, al impedir el correcto funcionamiento del mercado interior que protege la Directiva. Con la sentencia del TJUE se aclaran aspectos fundamentales que incidirán de manera inmediata en la aplicación del sistema de protección de datos en España y, sobre todo, en su aspecto sancionador.
Consecuencias
Tras la Sentencia del Tribunal Supremo, que declara nulo, por “disconforme a derecho”, el artículo 10.2b) del Reglamento de Desarrollo de la Ley Orgánica de Protección de datos de Carácter Personal, en aplicación directa de lo establecido en el artículo 7 f) de la Directiva 95/46/CE, se podrán realizar tratamientos de datos personales sin el consentimiento del titular de los mismos siempre y cuando “ese tratamiento de datos personales sea necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos y no prevalezcan los derechos y libertades fundamentales del interesado”.
En la práctica, se traduce, en que habrá que estar caso a caso, sin que pueda darse una regla general, y que la ponderación de ese interés legítimo por un lado y la libertad y derecho fundamental, por el otro, previsiblemente en España, será ponderado por la Agencia Española de Protección de Datos en primera instancia, y los Juzgados y Tribunales en última instancia.
La cronología de esta reclamación ha sido la siguiente: Desde el 2007 ASNEF ha mantenido que España no ha realizado una adecuada trasposición a la Directiva Comunitaria en materia de Protección de Datos (3) relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y la libre circulación de los mismos- ya que siempre ha chocado con la normativa nacional que exige que no se lesionen los derechos y libertades fundamentales de las personas cuyos datos consten en fuentes accesibles al público, sin tener en cuenta los intereses legítimos de terceros o de la entidad que los trate.
Por ello ASNEF recurrió ante el Tribunal Supremo el RD 1720/2007 por el que se aprobó el Reglamento en desarrollo de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal.
El 15 de julio de 2010 el Tribunal Supremo decidió plantear al Tribunal de Justicia de la Unión Europea (TJCE) en Luxemburgo los aspectos sin resolver: el consentimiento del afectado cuando existe interés legítimo entre el responsable del tratamiento de datos y el tercero al que se trasmiten y el efecto directo y primacía de la directiva sobre la normativa española.
El 24 de Noviembre el TJCE ha dictado Sentencia a la cuestión planteada por el Tribunal Supremo y reconoce que existen, además del consentimiento y de las fuentes accesibles al público, otras posibilidades de tratar los datos fundándose en causas legítimas.
Además TJCE ha estimado que la regulación española se ha extralimitado al imponer exigencias adicionales existiendo en la actualidad un nivel distinto de protección de datos entre España y los demás estados miembros de la Unión Europea lo que dificulta las actividades económicas en dicha Unión.
8 de Febrero de 2012, finalmente, la Sentencia del Tribunal Supremo declara la nulidad de dicho artículo (10.2b LOPD), y se abre la posibilidad de alegar, en cualquier procedimiento sancionador, o recurso contencioso - administrativo, actualmente en trámite, basado en la conculcación de este precepto, alegar la existencia del interés legítimo del responsable del tratamiento, sin que se restrinja la esfera de libertades y derechos fundamentales del titular del derecho.
Como hemos reseñado anteriormente, a modo de ejemplo, un ámbito en el que la consecución de este interés legítimo puede prevalecer sobre los derechos y libertades fundamentales del individuo titular de los datos objeto del tratamiento, es la lucha contra el fraude en la contratación, en la que actualmente para poder acudir a bases de datos que permitan verificar y autenticar la identidad e información proporcionada por el contratante, hay que contar con su consentimiento inequívoco.
Por otro lado, no hay que olvidar la fundamentación que realiza el Tribunal Supremo en la sentencia de 8 de Febrero sobre la misma cuestión de prejudicialidad planteada por la FECEMD, en la que ésta solicita la declaración de nulidad y subsidiariamente la declaración de no aplicabilidad del artículo 6.2 de la Ley Orgánica de Protección de Datos, y respecto de la cual, y aunque no se pronuncia sobre el fondo por considerarse fuera del ámbito de la litis planteada en el recurso original, si señala en su Fundamento de Derecho Segundo que “la inaplicabilidad del referido precepto legal habrá de plantearse en su caso ante un acto de aplicación” y ante la jurisdicción competente, al tratarse de una disposición con rango de Ley.
Dicho pronunciamiento, parece confirmar la tesis mantenida por ASNEF, y que se contenía en el escrito de demanda, y que no es otra que ni el artículo 6 ni el artículo 11 de la Ley Orgánica de Protección de Datos, han acertado a transponer correctamente el artículo 7 f) de la Directiva 95/46/CE.
"Disponemos de herramientas suficientes para garantizar la privacidad"
La alarma saltó hace unos días. Acompañada de confusión. El Tribunal Supremo anulaba el artículo 10.2.b (pdf) del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos (LOPD). Esta norma exigía que, para tratar o ceder datos personales sin el consentimiento del usuario, dichos datos estuviesen en fuentes accesibles al público, es decir, en “ficheros que puedan ser consultados libremente sin más requisito que el pago de una contraprestación”.
La derogación de dicho artículo “no implica libertad absoluta para comercializar con datos personales, ni supone en realidad y a efectos prácticos, un cambio sustancial en el régimen existente actualmente”, explica Yolanda Peña, abogada experta en marketing y nuevas tecnologías.
Sin embargo, hubo titulares que convirtieron la noticia en varapalo a la Agencia Española de Protección de Datos (AEPD) y sentenciaron directamente la privacidad avisando a los usuarios de que, a partir de ahora, las empresas podrán utilizar sus datos como les plazca sin su consentimiento. No es así. La Asociación Profesional Española de Privacidad (APEP) se aprestó a subrayar que “considerar que las empresas podrán comercializar datos personales sin pedir permiso supone una interpretación simplista y nada rigurosa del tenor literal de la sentencia”.
Por su parte, Peña considera que “se ha dado una información general de la sentencia un tanto alarmista”. “No hay que olvidar que el deber de información regulado en el artículo 5 de la LOPD implica la obligación de informar sobre la captación de los datos personales de forma previa a su tratamiento”, insiste la abogada. “Por lo tanto, aun cuando en determinados casos se pueda entender que no es preciso el consentimiento del interesado, siempre se exigirá el deber de información previo, respecto al cual el interesado podrá ejercer el derecho de oposición”.
Además, la experta precisa que esta sentencia no afecta a las comunicaciones comerciales efectuadas por vía electrónica (la mayoría, hoy en día) porque la Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSI) sigue prohibiendo el envío de comunicaciones que no hayan sido solicitadas o expresamente autorizadas por los destinatarios.
En todo caso, insiste Peña, “habrá que tener siempre en cuenta que para el tratamiento de los datos debe existir un justo equilibrio entre el interés legítimo del responsable del fichero y los derechos fundamentales del interesado (y entre ellos, el derecho a la privacidad y la protección de datos).” El Tribunal de Justicia de la Unión Europea también deja claro que el interés legítimo no es cualquier interés, pero los expertos coinciden en que el concepto es “indeterminado”, a pesar de la claridad de su definición en la RAE.
“Está claro que la normativa de protección de datos va a tener que ir evolucionando y adecuándose a los avances tecnológicos que se vayan produciendo pero, a fecha de hoy, podemos afirmar que disponemos de herramientas suficientes para garantizar la privacidad de los usuarios”, concluye Peña.
Fuente: La Vanguardia
Fecha: 21/02/2012
La derogación de dicho artículo “no implica libertad absoluta para comercializar con datos personales, ni supone en realidad y a efectos prácticos, un cambio sustancial en el régimen existente actualmente”, explica Yolanda Peña, abogada experta en marketing y nuevas tecnologías.
Sin embargo, hubo titulares que convirtieron la noticia en varapalo a la Agencia Española de Protección de Datos (AEPD) y sentenciaron directamente la privacidad avisando a los usuarios de que, a partir de ahora, las empresas podrán utilizar sus datos como les plazca sin su consentimiento. No es así. La Asociación Profesional Española de Privacidad (APEP) se aprestó a subrayar que “considerar que las empresas podrán comercializar datos personales sin pedir permiso supone una interpretación simplista y nada rigurosa del tenor literal de la sentencia”.
Por su parte, Peña considera que “se ha dado una información general de la sentencia un tanto alarmista”. “No hay que olvidar que el deber de información regulado en el artículo 5 de la LOPD implica la obligación de informar sobre la captación de los datos personales de forma previa a su tratamiento”, insiste la abogada. “Por lo tanto, aun cuando en determinados casos se pueda entender que no es preciso el consentimiento del interesado, siempre se exigirá el deber de información previo, respecto al cual el interesado podrá ejercer el derecho de oposición”.
Además, la experta precisa que esta sentencia no afecta a las comunicaciones comerciales efectuadas por vía electrónica (la mayoría, hoy en día) porque la Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSI) sigue prohibiendo el envío de comunicaciones que no hayan sido solicitadas o expresamente autorizadas por los destinatarios.
En todo caso, insiste Peña, “habrá que tener siempre en cuenta que para el tratamiento de los datos debe existir un justo equilibrio entre el interés legítimo del responsable del fichero y los derechos fundamentales del interesado (y entre ellos, el derecho a la privacidad y la protección de datos).” El Tribunal de Justicia de la Unión Europea también deja claro que el interés legítimo no es cualquier interés, pero los expertos coinciden en que el concepto es “indeterminado”, a pesar de la claridad de su definición en la RAE.
“Está claro que la normativa de protección de datos va a tener que ir evolucionando y adecuándose a los avances tecnológicos que se vayan produciendo pero, a fecha de hoy, podemos afirmar que disponemos de herramientas suficientes para garantizar la privacidad de los usuarios”, concluye Peña.
Fuente: La Vanguardia
Fecha: 21/02/2012
MULTA LOPD A CORREDURIA DE SEGUROS
La Nueva España, publicaba hace unos días la sentencia de Supremo por el que condenaban a una correduría a pagar 60.000 € en lugar de 300.000 €.
Los hechos se remontan al 2002, lo típico de que una compañía rompe relaciones con una correduría y está traspasa las pólizas a otra, por lo que parece en este caso sin el consentimiento expreso de una clienta que quería quedarse en la compañía original.
En defensa de la correduría hay que reconocer que en 2002, la LOPD todavía era poco o nada conocida y sus consecuencias e implicaciones menos todavía. Desde entonces ya son muchos los casos que se han dado y creo poder asegurar que la inmensa mayoría de las corredurías se lo piensan dos veces antes de cambiar a un cliente de compañía sin su consentimiento.
Sin ser su objetivo, está ley se ha convertido en uno de los mejores aliados de las compañías para evitar los cambios masivos de carteras. Ciertamente el cliente es “nuestro”, somos nosotros los que le asesoramos y le recomendamos un producto de una compañía determinada. Sin embargo las cosas evolucionan, el producto se puede quedar desfasado, la compañía puede sufrir fusiones y adquisiciones, puede deteriorarse el servicio y la correduría legítimamente y a favor de sus clientes querría cambiar a sus clientes hacía otra.
Sin embargo, la obligación de recabar el consentimiento expreso de todos y cada uno de los clientes, en ocasiones se convierte en una labor tan titánica, que se hace imposible. Por lo que a la vez, incumplimos otra de nuestras obligaciones, que es la de estar atentos a la mejor opción posible para nuestros clientes.
Ciertamente, en el pasado se han cometido abusos y ha habido bandazos de carteras por razones no tan nobles, como el pago de una sobre comisión (ahora prohibidas) en una compañía sobre otra.
El resultado es que estamos en una pescadilla que se muerde la cola, si cambiamos nos arriesgamos a multas millonarias y si no lo hacemos, nos arriesgamos a perder al cliente por mal servicio.
Fuente: alainpuyo
Fecha: 17/01/2012
Los hechos se remontan al 2002, lo típico de que una compañía rompe relaciones con una correduría y está traspasa las pólizas a otra, por lo que parece en este caso sin el consentimiento expreso de una clienta que quería quedarse en la compañía original.
En defensa de la correduría hay que reconocer que en 2002, la LOPD todavía era poco o nada conocida y sus consecuencias e implicaciones menos todavía. Desde entonces ya son muchos los casos que se han dado y creo poder asegurar que la inmensa mayoría de las corredurías se lo piensan dos veces antes de cambiar a un cliente de compañía sin su consentimiento.
Sin ser su objetivo, está ley se ha convertido en uno de los mejores aliados de las compañías para evitar los cambios masivos de carteras. Ciertamente el cliente es “nuestro”, somos nosotros los que le asesoramos y le recomendamos un producto de una compañía determinada. Sin embargo las cosas evolucionan, el producto se puede quedar desfasado, la compañía puede sufrir fusiones y adquisiciones, puede deteriorarse el servicio y la correduría legítimamente y a favor de sus clientes querría cambiar a sus clientes hacía otra.
Sin embargo, la obligación de recabar el consentimiento expreso de todos y cada uno de los clientes, en ocasiones se convierte en una labor tan titánica, que se hace imposible. Por lo que a la vez, incumplimos otra de nuestras obligaciones, que es la de estar atentos a la mejor opción posible para nuestros clientes.
Ciertamente, en el pasado se han cometido abusos y ha habido bandazos de carteras por razones no tan nobles, como el pago de una sobre comisión (ahora prohibidas) en una compañía sobre otra.
El resultado es que estamos en una pescadilla que se muerde la cola, si cambiamos nos arriesgamos a multas millonarias y si no lo hacemos, nos arriesgamos a perder al cliente por mal servicio.
Fuente: alainpuyo
Fecha: 17/01/2012
Telefónica mantiene a una persona en una lista de morosos por una deuda falsa de 0,01 euros
Telefónica tendrá que abonar una multa de 40.000 euros por incluir a un usuario en Asnef, directorio de morosos, por error.
La comprobación de la Agencia Española de Protección de Datos (AEPD) determinó que Telefónica y el registro de morosos reflejaban dos deudas del cliente, tal y como publica el blog de la web www.salirdeinternet.es, empresa que defiende la intimidad de los usuarios en internet y lucha por la eliminación de cualquier información que atente contra sus clientes.
La primera supuesta deuda del usuario, de 62,08 euros, fue sustituida por otra de un céntimo de euro durante un mes, hasta que finalmente se anuló.
La persona denunció los hechos en su día, alegando que no había contraído el compromiso del que se le acusaba.
Por ello, la AEPD sancionó en un principio al operador con 60.101,21 euros, al entender que había incluido los datos personales del interesado en un registro de morosos sin que procediese su inclusión y su mantenimiento, porque el operador no aportó el contrato que probase la existencia de la deuda.
La infracción imputada a Telefónica de España SAU se refleja en el artículo 4 apartado 3 de la LOPD: "Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado".
Pero el operador recurrió ante la Audiencia Nacional con estos argumentos, siempre según www.salirdeinternet.es: "por razones puramente comerciales, se procedió a compensar la deuda de 62,08 euros al cliente, pero por un error puntual de calculó quedó un importe de 0,01 euros de deuda".
De esta forma, según Telefónica, no existió alta en el fichero de Asnef sino un error material en el cálculo, y no se comunicó la baja en el registro de morosos porque sólo hacía falta “rectificar el error material que publicaba el fichero”.
Sin embargo, la Audiencia Nacional ha desestimado la posición de Telefónica y ha confirmado la Resolución de 7 de junio de 2010 de la AEPD, dictada en el procedimiento PS 00457/2009, por la que se sanciona a Telefónica (aunque se rebaja la multa de 60.101,21 a 40.001 euros), por aplicación de las cuantías establecidas en la LES.
Fuente: Lainformacion.com
Fecha: 18/01/2012
La comprobación de la Agencia Española de Protección de Datos (AEPD) determinó que Telefónica y el registro de morosos reflejaban dos deudas del cliente, tal y como publica el blog de la web www.salirdeinternet.es, empresa que defiende la intimidad de los usuarios en internet y lucha por la eliminación de cualquier información que atente contra sus clientes.
La primera supuesta deuda del usuario, de 62,08 euros, fue sustituida por otra de un céntimo de euro durante un mes, hasta que finalmente se anuló.
La persona denunció los hechos en su día, alegando que no había contraído el compromiso del que se le acusaba.
Por ello, la AEPD sancionó en un principio al operador con 60.101,21 euros, al entender que había incluido los datos personales del interesado en un registro de morosos sin que procediese su inclusión y su mantenimiento, porque el operador no aportó el contrato que probase la existencia de la deuda.
La infracción imputada a Telefónica de España SAU se refleja en el artículo 4 apartado 3 de la LOPD: "Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado".
Pero el operador recurrió ante la Audiencia Nacional con estos argumentos, siempre según www.salirdeinternet.es: "por razones puramente comerciales, se procedió a compensar la deuda de 62,08 euros al cliente, pero por un error puntual de calculó quedó un importe de 0,01 euros de deuda".
De esta forma, según Telefónica, no existió alta en el fichero de Asnef sino un error material en el cálculo, y no se comunicó la baja en el registro de morosos porque sólo hacía falta “rectificar el error material que publicaba el fichero”.
Sin embargo, la Audiencia Nacional ha desestimado la posición de Telefónica y ha confirmado la Resolución de 7 de junio de 2010 de la AEPD, dictada en el procedimiento PS 00457/2009, por la que se sanciona a Telefónica (aunque se rebaja la multa de 60.101,21 a 40.001 euros), por aplicación de las cuantías establecidas en la LES.
Fuente: Lainformacion.com
Fecha: 18/01/2012
La LOPD cada vez mas una realidad en Europa (derecho al olvido digital)
Cada usuario europeo de Internet merece el ‘olvido digital’, siempre y cuando quiera conseguirlo. La Comisión Europea incluyó este nuevo derecho en un proyecto de ley de protección de datos personales.
De ser aprobada por los legisladores de los 27 países de la UE, la norma establecerá que cada ciudadano podrá exigir en cualquier momento a las empresas controladoras del espacio virtual que borren toda la información de que dispongan sobre él, sea visual, de contacto o la simple mención de la persona. Solo la existencia de algunos “argumentos legítimos” para conservarlos, eximiría a las empresas de acatar una solicitud de ese tenor.
Asimismo, el proyecto estipula el derecho a exigir que los proveedores de las redes sociales le entreguen al usuario la lista de los materiales referentes a su persona. También se contemplan multas para las compañías que se atrevan a cobrar por proporcionar esos datos a terceros. Las penas en este caso pueden llegar al 0,5% de la facturación anual de la firma sancionada.
El proyecto alcanza no solo a las redes sociales, sino a cualquier empresa que maneje datos personales; entre otras, a las consultoras de selección de personal. Las obligarán a revisar su forma de trabajar para asegurarse de que estén observando la ley. En particular, cada empresa con más de 250 empleados deberá contar con un responsable de protección de datos.
El concepto del derecho al olvido digital surgió por primera vez después de que un sondeo, realizado en Estados Unidos en 2009, revelara la dimensión del problema de la existencia de materiales comprometedores en la red. Un 45% de los empleadores buscaba en Internet información sobre el pasado de los aspirantes a un trabajo. Una tercera parte de los encuestados reconoció que lo que encontraron en la red influyó en el proceso de selección.
Fuente: ActualidadRT
Fecha: 26/01/2012
De ser aprobada por los legisladores de los 27 países de la UE, la norma establecerá que cada ciudadano podrá exigir en cualquier momento a las empresas controladoras del espacio virtual que borren toda la información de que dispongan sobre él, sea visual, de contacto o la simple mención de la persona. Solo la existencia de algunos “argumentos legítimos” para conservarlos, eximiría a las empresas de acatar una solicitud de ese tenor.
Asimismo, el proyecto estipula el derecho a exigir que los proveedores de las redes sociales le entreguen al usuario la lista de los materiales referentes a su persona. También se contemplan multas para las compañías que se atrevan a cobrar por proporcionar esos datos a terceros. Las penas en este caso pueden llegar al 0,5% de la facturación anual de la firma sancionada.
El proyecto alcanza no solo a las redes sociales, sino a cualquier empresa que maneje datos personales; entre otras, a las consultoras de selección de personal. Las obligarán a revisar su forma de trabajar para asegurarse de que estén observando la ley. En particular, cada empresa con más de 250 empleados deberá contar con un responsable de protección de datos.
El concepto del derecho al olvido digital surgió por primera vez después de que un sondeo, realizado en Estados Unidos en 2009, revelara la dimensión del problema de la existencia de materiales comprometedores en la red. Un 45% de los empleadores buscaba en Internet información sobre el pasado de los aspirantes a un trabajo. Una tercera parte de los encuestados reconoció que lo que encontraron en la red influyó en el proceso de selección.
Fuente: ActualidadRT
Fecha: 26/01/2012
El desconocimiento de la ubicacion de la nube no exime de responsabilidades en materia de protección de datos
acens Cloudstage congregó hace unos días en el centro de innovación del BBVA a expertos en tecnología y derecho para debatir los aspectos legales del cloud hosting
La legislación vigente y los contratos marco de prestación de servicios posibilitan la resolución de los aspectos legales del cloud
Los participantes coincidieron en la conveniencia de que el legislativo escuche a las empresas de cloud hosting ante una eventual regulación del sector
Madrid, 27 de enero de 2012.- Ante el desconocimiento que muchas empresas tienen sobre los beneficios de la nube, acens Cloudstage ha querido desgranar las claves de uno de los temas que puede generar inquietudes adicionales: “los aspectos legales del cloud”, en el marco de un encuentro celebrado hace unos días en el Centro de innovación del BBVA.
El evento concentró a profesionales del mundo del derecho y de la tecnología como Rafael García del Poyo (Socio Director del Departamento de Derecho y Tecnologías de Cremades, Calvo & Sotelo), Javier Aparicio Salom (Socio de nuevas tecnologías de Cuatrecasas GP y co-autor de la redacción de LOPD) y Jorge Villarino Marzo (Letrado de las Cortes Generales y Director de presupuestos y contratación del Senado, y primer investigador doctoral sobre aspectos legales del cloud), que hicieron una serie de recomendaciones para las empresas que quieran contratar servicios en la nube con total seguridad.
“Lo primero, es desmitificar las dificultades del cloud, porque contratar cloud no es tan complicado y se puede hacer con total garantía en España”, afirmó Rafael García del Poyo, Socio Director del Departamento de Derecho y Tecnologías de Cremades, Calvo & Sotelo quien recomendó firmar contratos marcos e incorporar anexos para aquellos servicios específicos que necesita una empresa.
“Contratar servicios con una empresa extranjera tiene un problema muy gordo que es el de demostrar y exigir a la empresa que cumpla la normativa establecida en materia de tratamiento de los datos y así poderlo acreditar ante la Agencia de Protección de Datos”, advirtió Javier Aparicio Salom, Socio de nuevas tecnologías de Cuatrecasas GP.
Otro de los aspectos más resaltados fue el de la necesidad de saber dónde se encuentra la nube y toda la información confidencial de la empresa, y, sobre todo, con vistas al cumplimiento de la normativa en materia de protección de datos, quién, cómo y cuándo se puede acceder a los datos almacenados por el proveedor.
“Si una empresa tiene los servidores en un país que no es estable las autoridades locales pueden hacer absolutas barbaridades con la información, y un servidor que pueda contener información susceptible de ser políticamente interesantes para ese estado es muy probable que quieran acceder a él”, avisó Javier Aparicio.
De ahí que la recomendación, especialmente en los casos de contratación de servicios con empresas extranjeras donde se produce una transferencia internacional de datos, se haga especial hincapié en el modo en que se van a tratar los datos, el acceso a la información, así como la finalidad para la que se van a destinar esos datos.
“Los datos están en la nube, pero los propietarios y responsables de esa información están en la tierra”, recordó Jorge Villarino Marzo, Letrado de las Cortes Generales y Director de Presupuestos del Senado, que abogó por revisar las condiciones de recuperación de la información una vez extinguida la relación contractual fijando cláusulas de salida: tiempo que tarda el proveedor en devolverte los datos, en qué formato lo hace…
Fuente: Asturi.as
Fecha: 27/01/2012
La legislación vigente y los contratos marco de prestación de servicios posibilitan la resolución de los aspectos legales del cloud
Los participantes coincidieron en la conveniencia de que el legislativo escuche a las empresas de cloud hosting ante una eventual regulación del sector
Madrid, 27 de enero de 2012.- Ante el desconocimiento que muchas empresas tienen sobre los beneficios de la nube, acens Cloudstage ha querido desgranar las claves de uno de los temas que puede generar inquietudes adicionales: “los aspectos legales del cloud”, en el marco de un encuentro celebrado hace unos días en el Centro de innovación del BBVA.
El evento concentró a profesionales del mundo del derecho y de la tecnología como Rafael García del Poyo (Socio Director del Departamento de Derecho y Tecnologías de Cremades, Calvo & Sotelo), Javier Aparicio Salom (Socio de nuevas tecnologías de Cuatrecasas GP y co-autor de la redacción de LOPD) y Jorge Villarino Marzo (Letrado de las Cortes Generales y Director de presupuestos y contratación del Senado, y primer investigador doctoral sobre aspectos legales del cloud), que hicieron una serie de recomendaciones para las empresas que quieran contratar servicios en la nube con total seguridad.
“Lo primero, es desmitificar las dificultades del cloud, porque contratar cloud no es tan complicado y se puede hacer con total garantía en España”, afirmó Rafael García del Poyo, Socio Director del Departamento de Derecho y Tecnologías de Cremades, Calvo & Sotelo quien recomendó firmar contratos marcos e incorporar anexos para aquellos servicios específicos que necesita una empresa.
“Contratar servicios con una empresa extranjera tiene un problema muy gordo que es el de demostrar y exigir a la empresa que cumpla la normativa establecida en materia de tratamiento de los datos y así poderlo acreditar ante la Agencia de Protección de Datos”, advirtió Javier Aparicio Salom, Socio de nuevas tecnologías de Cuatrecasas GP.
Otro de los aspectos más resaltados fue el de la necesidad de saber dónde se encuentra la nube y toda la información confidencial de la empresa, y, sobre todo, con vistas al cumplimiento de la normativa en materia de protección de datos, quién, cómo y cuándo se puede acceder a los datos almacenados por el proveedor.
“Si una empresa tiene los servidores en un país que no es estable las autoridades locales pueden hacer absolutas barbaridades con la información, y un servidor que pueda contener información susceptible de ser políticamente interesantes para ese estado es muy probable que quieran acceder a él”, avisó Javier Aparicio.
De ahí que la recomendación, especialmente en los casos de contratación de servicios con empresas extranjeras donde se produce una transferencia internacional de datos, se haga especial hincapié en el modo en que se van a tratar los datos, el acceso a la información, así como la finalidad para la que se van a destinar esos datos.
“Los datos están en la nube, pero los propietarios y responsables de esa información están en la tierra”, recordó Jorge Villarino Marzo, Letrado de las Cortes Generales y Director de Presupuestos del Senado, que abogó por revisar las condiciones de recuperación de la información una vez extinguida la relación contractual fijando cláusulas de salida: tiempo que tarda el proveedor en devolverte los datos, en qué formato lo hace…
Fuente: Asturi.as
Fecha: 27/01/2012
Desde la AEPD se piensa que la nueva normativa europea en protección de datos mejorará la protección de los derechos de los ciudadanos
La Agencia Españolade Protección de Datos (AEPD) celebró el pasado viernes la “4ª Sesión Anual Abierta dela AEPD” en los Teatros del Canal de Madrid, a la que han acudido más de 800 expertos, organizada en el marco de la celebración mañana, 28 de enero, del Día de la protección de datos en Europa.
Durante el acto de apertura de la jornada, el director dela AEPD, José Luis Rodríguez Álvarez, destacó la creciente concienciación ciudadana acerca del valor de su información personal en nuestro país, y ha puesto de relieve que el número de denuncias recibidas enla AEPDha crecido aproximadamente en un 50% con respecto al año 2010 y el de reclamaciones de tutela en más de un 34%. “Estos incrementos contrastan fuertemente con la relativa estabilización que se produjo en 2010 respecto del año anterior”, añadió
Asimismo, José Luis Rodríguez Álvarez se refirió a la reciente presentación por parte de la Comisión Europeadel nuevo marco europeo de protección de datos, subrayando que “esta iniciativa legislativa supone un importante avance para fortalecer la protección de los datos personales de los individuos en el territorio dela Unión Europea”.
El director de la AEPD subrayó que la Agencia ha recibido con especial satisfacción que se reconozca expresamente la existencia de un derecho al olvido en Internet, “algo que hemos venido defendiendo e intentando materializar de forma continuada en los últimos años”
Rodríguez Álvarez también indicó el importante avance que supondrá reforzar las Autoridades de Protección de Datos, y equiparar sus poderes en todos los Estados Miembros, entre los que se incluye el de imponer sanciones económicas sobre la base de un régimen sancionador que también se armoniza para todala Unión.
Además, el director dela AEPD recalcó que la posición jurídica y las garantías de los ciudadanos se ven también reforzadas en la medida en que el Reglamento establece expresamente su aplicación no sólo a las entidades establecidas enla UE, sino también a aquellas que, no estándolo, traten datos de residentes enla Uniónpara ofrecerles bienes o servicios o para monitorizar sus actividades. “Con ello se logrará poner fin a una práctica frecuente en los últimos tiempos de ciertas corporaciones que alegan que no les es aplicable el derecho europeo, negando con ello a sus usuarios europeos algunos derechos que éste les garantiza”, ha añadido.
Consulta Cloud Computing
En cuanto al tema central de la jornada, -la Computaciónen Nube- el director de la AEPD recordó a los asistentes que, ante las cuestiones que plantean estos servicios en nube para la protección de los datos personales, la AEPD está desarrollando diversas iniciativas, entre las que se encuentran reuniones con las empresas prestadoras; la participación activa en la formulación de criterios generales en el Grupo de Autoridades Europeas de Protección de Datos, y la consulta pública abierta porla Agencia para conocer mejor las necesidades, experiencias y criterios de los prestadores y usuarios en España.
El primer bloque de la jornada, titulado “Cloud Computing: sujetos que intervienen, ley aplicable, garantías. Transferencias Internacionales de Datos”, contó con la participación del adjunto al director dela AEPD, Jesús Rubí, y la subdirectora general del Registro dela AEPD, Mª José Blanco.
Durante su intervención, Rubí repasó las distintas modalidades de Nubes y de servicios susceptibles de prestación en estos entornos, y recordó que la ley aplicable en este ámbito es la ley nacional del responsable del tratamiento datos o cliente.
Asimismo, el adjunto al director dela AEPD manifestó que tanto las empresas responsables de los datos como las empresas contratadas para prestar servicios de Cloud Computing, deben actuar con arreglo a lo establecido en la legislación de protección de datos (la LOPDy su reglamento de desarrollo). En este sentido, deben existir en los contratos unas cláusulas contractuales que recojan las garantías que exige la legislación española de protección de datos -finalidad y usos de la información, seguridad, confidencialidad devolución o traslado a otro prestador de servicios.
Por su parte, Mª José Blanco centró su intervención en abordar las implicaciones dela Computaciónen Nube en las transferencias internacionales de datos, y analizo régimen aplicable y los requisitos para cumplir con los principios establecidos en la LOPD.
En el segundo bloque, dedicado a abordar las principales novedades en materia de protección de datos en el ámbito nacional e internacional, el abogado del Estado-jefe de la AEPD, Agustín Puente se refirió a consultas, informes y sentencias más relevantes de 2011. Entre otras sentencias se ha referido a la sentencia del Tribunal Supremo de 2 de diciembre de 2011, que si bien no cuestiona la sujeción de los órganos judiciales ala LOPD, establece que la competencia en este ámbito no corresponde ala Agencia sino al CGPJ, tanto en lo que respecta a los ficheros jurisdiccionales como a los no jurisdiccionales o gubernativos.
También señaló la sentencia del Tribunal de Justicia dela Unión Europea(TJUE), que resuelve las cuestiones prejudiciales planteadas por el TS sobre la interpretación del artículo7.f) dela Directiva Europeade Protección de Datos. Dicha sentencia proclama que el citado artículo tiene efecto directo en España y precisa el alcance del citado artículo, haciendo hincapié en la necesidad de ponderar caso a caso los derechos e intereses en conflicto.
Puente indicó que, en la práctica, la incorporación de la doctrina del TJUE no debería llevar a un escenario sustancialmente distinto del actual, si bien, a partir de ahora será necesario proceder a un examen más exhaustivo de las circunstancias concurrentes en cada caso concreto y a su adecuada ponderación, con el fin de decidir sobre la legitimidad del tratamiento.
Por otra parte, este segundo bloque de la jornada abordó, de la mano del subdirector general de Inspección de Datos dela AEPD, José López Calvo, los principales casos tramitados en el último año en el área de inspección. López Calvo ha subrayado que en 2011 la entrada de denuncias y reclamaciones de tutela creció frente a 2010 en aproximadamente un 50% y un 34,5 %, respectivamente.
Asimismo, el subdirector general de Inspección dela AEPD hizo alusión a los primeros meses de aplicación del nuevo régimen sancionador dela LOPD aplicable tras la entrada en vigor en marzo de 2011 dela Leyde economía sostenible, que introdujo la figura del apercibimiento. En este contexto, López Calvo explicó que entre el 3 de marzo y el 31 de diciembre de 2011 se dictaron 394 resoluciones sancionadoras y 284 apercibimientos, es decir, que el 42 % de los asuntos en los que se aprecia una infracción acabaron en apercibimiento, sin imposición de sanciones, atendiendo a los criterios para la aplicación de esta figura contenidos enla Ley.
Posteriormente, la subdirectora general del Registro General dela AEPD presentó un nuevo modelo de cláusulas contractuales de transferencias internacionales de datos en respuesta a la demanda surgida por parte de empresas españolas prestadoras de servicios para poder dirigirse directamente ala Agenciapara solicitar autorizaciones de transferencias internacionales de datos.
Blanco puso de manifiesto que si bien el criterio dela Agenciaera que el exportador de los datos tenía que ser el responsable del fichero,la Decisión2010/87 ofrece la posibilidad de ofrecer esta misma flexibilidad a los encargados de tratamiento nacionales, criterio que recoge el nuevo contrato presentado porla AEPD.
En el ámbito de los desarrollos internacionales, el coordinador del Área de Internacional dela AEPD, Rafael García, al igual que el director dela AEPD centró gran parte de su intervención en el nuevo marco normativo europeo presentado porla Comisión Europea.Durante su intervención, ha valorado positivamente quela Comisiónhaya elegido la figura del Reglamento –norma aplicable directamente en todala UE-como instrumento para lograr una mayor armonización y un marco uniforme del sistema europeo de protección de datos y superar las actuales diferencias que se derivan de las distintas aplicaciones nacionales dela Directiva.
Fuente: Diario Juridico
Fecha: 30/01/2012
Durante el acto de apertura de la jornada, el director dela AEPD, José Luis Rodríguez Álvarez, destacó la creciente concienciación ciudadana acerca del valor de su información personal en nuestro país, y ha puesto de relieve que el número de denuncias recibidas enla AEPDha crecido aproximadamente en un 50% con respecto al año 2010 y el de reclamaciones de tutela en más de un 34%. “Estos incrementos contrastan fuertemente con la relativa estabilización que se produjo en 2010 respecto del año anterior”, añadió
Asimismo, José Luis Rodríguez Álvarez se refirió a la reciente presentación por parte de la Comisión Europeadel nuevo marco europeo de protección de datos, subrayando que “esta iniciativa legislativa supone un importante avance para fortalecer la protección de los datos personales de los individuos en el territorio dela Unión Europea”.
El director de la AEPD subrayó que la Agencia ha recibido con especial satisfacción que se reconozca expresamente la existencia de un derecho al olvido en Internet, “algo que hemos venido defendiendo e intentando materializar de forma continuada en los últimos años”
Rodríguez Álvarez también indicó el importante avance que supondrá reforzar las Autoridades de Protección de Datos, y equiparar sus poderes en todos los Estados Miembros, entre los que se incluye el de imponer sanciones económicas sobre la base de un régimen sancionador que también se armoniza para todala Unión.
Además, el director dela AEPD recalcó que la posición jurídica y las garantías de los ciudadanos se ven también reforzadas en la medida en que el Reglamento establece expresamente su aplicación no sólo a las entidades establecidas enla UE, sino también a aquellas que, no estándolo, traten datos de residentes enla Uniónpara ofrecerles bienes o servicios o para monitorizar sus actividades. “Con ello se logrará poner fin a una práctica frecuente en los últimos tiempos de ciertas corporaciones que alegan que no les es aplicable el derecho europeo, negando con ello a sus usuarios europeos algunos derechos que éste les garantiza”, ha añadido.
Consulta Cloud Computing
En cuanto al tema central de la jornada, -la Computaciónen Nube- el director de la AEPD recordó a los asistentes que, ante las cuestiones que plantean estos servicios en nube para la protección de los datos personales, la AEPD está desarrollando diversas iniciativas, entre las que se encuentran reuniones con las empresas prestadoras; la participación activa en la formulación de criterios generales en el Grupo de Autoridades Europeas de Protección de Datos, y la consulta pública abierta porla Agencia para conocer mejor las necesidades, experiencias y criterios de los prestadores y usuarios en España.
El primer bloque de la jornada, titulado “Cloud Computing: sujetos que intervienen, ley aplicable, garantías. Transferencias Internacionales de Datos”, contó con la participación del adjunto al director dela AEPD, Jesús Rubí, y la subdirectora general del Registro dela AEPD, Mª José Blanco.
Durante su intervención, Rubí repasó las distintas modalidades de Nubes y de servicios susceptibles de prestación en estos entornos, y recordó que la ley aplicable en este ámbito es la ley nacional del responsable del tratamiento datos o cliente.
Asimismo, el adjunto al director dela AEPD manifestó que tanto las empresas responsables de los datos como las empresas contratadas para prestar servicios de Cloud Computing, deben actuar con arreglo a lo establecido en la legislación de protección de datos (la LOPDy su reglamento de desarrollo). En este sentido, deben existir en los contratos unas cláusulas contractuales que recojan las garantías que exige la legislación española de protección de datos -finalidad y usos de la información, seguridad, confidencialidad devolución o traslado a otro prestador de servicios.
Por su parte, Mª José Blanco centró su intervención en abordar las implicaciones dela Computaciónen Nube en las transferencias internacionales de datos, y analizo régimen aplicable y los requisitos para cumplir con los principios establecidos en la LOPD.
En el segundo bloque, dedicado a abordar las principales novedades en materia de protección de datos en el ámbito nacional e internacional, el abogado del Estado-jefe de la AEPD, Agustín Puente se refirió a consultas, informes y sentencias más relevantes de 2011. Entre otras sentencias se ha referido a la sentencia del Tribunal Supremo de 2 de diciembre de 2011, que si bien no cuestiona la sujeción de los órganos judiciales ala LOPD, establece que la competencia en este ámbito no corresponde ala Agencia sino al CGPJ, tanto en lo que respecta a los ficheros jurisdiccionales como a los no jurisdiccionales o gubernativos.
También señaló la sentencia del Tribunal de Justicia dela Unión Europea(TJUE), que resuelve las cuestiones prejudiciales planteadas por el TS sobre la interpretación del artículo7.f) dela Directiva Europeade Protección de Datos. Dicha sentencia proclama que el citado artículo tiene efecto directo en España y precisa el alcance del citado artículo, haciendo hincapié en la necesidad de ponderar caso a caso los derechos e intereses en conflicto.
Puente indicó que, en la práctica, la incorporación de la doctrina del TJUE no debería llevar a un escenario sustancialmente distinto del actual, si bien, a partir de ahora será necesario proceder a un examen más exhaustivo de las circunstancias concurrentes en cada caso concreto y a su adecuada ponderación, con el fin de decidir sobre la legitimidad del tratamiento.
Por otra parte, este segundo bloque de la jornada abordó, de la mano del subdirector general de Inspección de Datos dela AEPD, José López Calvo, los principales casos tramitados en el último año en el área de inspección. López Calvo ha subrayado que en 2011 la entrada de denuncias y reclamaciones de tutela creció frente a 2010 en aproximadamente un 50% y un 34,5 %, respectivamente.
Asimismo, el subdirector general de Inspección dela AEPD hizo alusión a los primeros meses de aplicación del nuevo régimen sancionador dela LOPD aplicable tras la entrada en vigor en marzo de 2011 dela Leyde economía sostenible, que introdujo la figura del apercibimiento. En este contexto, López Calvo explicó que entre el 3 de marzo y el 31 de diciembre de 2011 se dictaron 394 resoluciones sancionadoras y 284 apercibimientos, es decir, que el 42 % de los asuntos en los que se aprecia una infracción acabaron en apercibimiento, sin imposición de sanciones, atendiendo a los criterios para la aplicación de esta figura contenidos enla Ley.
Posteriormente, la subdirectora general del Registro General dela AEPD presentó un nuevo modelo de cláusulas contractuales de transferencias internacionales de datos en respuesta a la demanda surgida por parte de empresas españolas prestadoras de servicios para poder dirigirse directamente ala Agenciapara solicitar autorizaciones de transferencias internacionales de datos.
Blanco puso de manifiesto que si bien el criterio dela Agenciaera que el exportador de los datos tenía que ser el responsable del fichero,la Decisión2010/87 ofrece la posibilidad de ofrecer esta misma flexibilidad a los encargados de tratamiento nacionales, criterio que recoge el nuevo contrato presentado porla AEPD.
En el ámbito de los desarrollos internacionales, el coordinador del Área de Internacional dela AEPD, Rafael García, al igual que el director dela AEPD centró gran parte de su intervención en el nuevo marco normativo europeo presentado porla Comisión Europea.Durante su intervención, ha valorado positivamente quela Comisiónhaya elegido la figura del Reglamento –norma aplicable directamente en todala UE-como instrumento para lograr una mayor armonización y un marco uniforme del sistema europeo de protección de datos y superar las actuales diferencias que se derivan de las distintas aplicaciones nacionales dela Directiva.
Fuente: Diario Juridico
Fecha: 30/01/2012
Rastreator.com afirma que ha cumplido todos los criterios legales de la Ley de Protección de Datos
En un comunicado en respuesta a la denuncia presentada por Facua ante la Agencia Española de Protección de Datos, la compañía indica que el pasado 1 de enero envió un email a sus usuarios informándoles de que podrían recibir en el futuro, siempre y cuando lo autorizasen, correos publicitarios y promocionales de este servicio de comparación de otros productos, aunque en ningún caso "hará publicidad de terceros ni cederá los datos personales de sus usuarios con fines comerciales".
Así, Rastreator.com subraya que el envío de este email no tiene carácter comercial, sino que es*de*carácter informativo previo, en cumplimiento de lo exigido por la LOPD y de su Reglamento.
Finalmente, la compañía muestra su apoya a la labor de asociaciones como Facua, en cuanto a la protección de los derechos de los consumidores y usuarios y afirma estar abierta a ofrecer cualquier tipo de aclaración, "teniendo en cuenta que todos los pasos se han realizado siguiendo un estricto cumplimento de la ley".
Fuente: el Economista
Fecha: 05/01/2012
Así, Rastreator.com subraya que el envío de este email no tiene carácter comercial, sino que es*de*carácter informativo previo, en cumplimiento de lo exigido por la LOPD y de su Reglamento.
Finalmente, la compañía muestra su apoya a la labor de asociaciones como Facua, en cuanto a la protección de los derechos de los consumidores y usuarios y afirma estar abierta a ofrecer cualquier tipo de aclaración, "teniendo en cuenta que todos los pasos se han realizado siguiendo un estricto cumplimento de la ley".
Fuente: el Economista
Fecha: 05/01/2012
Una firma estafada es culpable si mete a un inocente en el fichero de morosos
La culpabilidad de una empresa que incluye en un fichero de morosos a una persona que no contrató con ella, no puede considerarse excluida ni atenuada por el hecho de que haya mediado una actuación delictiva de un tercero que no ha podido ser identificado.
Así, lo establece una sentencia de la Audiencia Nacional, de 23 de junio de 2011, que considera que la responsabilidad de la empresa no deriva de la actuación de esa tercera persona sino de la suya propia, puesto que la infracción por tratamiento de los datos personales sin que conste el consentimiento del titular, viene motivado por la celebración de un contrato sin las debidas cautelas y garantías.
Por ello, señala el ponente, el magistrado Guerrero Zaplana, que esta culpabilidad es independiente de la conducta delictiva que puede investigarse por la jurisdicción Penal.
Una deuda inexistente
Resulta que la entidad recurrente incorporó a su sistema de información de clientes los datos de la denunciante sin disponer de acreditación de la efectiva contratación por el mismo.
Por ello, el tratamiento posterior de tales datos personales para la emisión de facturas derivadas de la contratación que no se había producido supuso, por parte de la empresa de venta a distancia, la imputación de una deuda que resultó no ser cierta, vencida ni exigible.
Posteriormente, ante el impago de las facturas, esa entidad informó sus datos personales al fichero de solvencia patrimonial a pesar de que el afectado ya había comunicado que no había contratado ningún servicio con ella.
La propia Sala de lo Contencioso se ha pronunciado en sentencias de 10 de septiembre de 2009 y 7 de octubre de 2010 sobre conductas de empresas que han sido objeto de fraude o engaño y ello no ha justificado que se aplicase la eliminación de la culpabilidad.
El articulo 6 de la Ley Orgánica de Protección de Datos (LOPD) , determina que el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, aunque no será preciso el consentimiento cuando los datos de carácter personal se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento, lo que no sucedió en este caso, puesto que el contrato con la persona afectada no existió en ningún momento.
Y tampoco puede considerarse que los datos figurasen en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.
En el caso en litigio, la empresa no pudo presentar una prueba que pueda evidenciar que la denunciante había otorgado su consentimiento para el tratamiento de los datos personales para girarle cargos por unos productos de cuya adquisición carecía de prueba.
Es por ello que, la sentencia desestima la existencia de causa alguna que exima la prestación de consentimiento al no probar a existencia de relación contractual entre las partes.
Fuente: El Economista
Fecha: 06/01/2012
Así, lo establece una sentencia de la Audiencia Nacional, de 23 de junio de 2011, que considera que la responsabilidad de la empresa no deriva de la actuación de esa tercera persona sino de la suya propia, puesto que la infracción por tratamiento de los datos personales sin que conste el consentimiento del titular, viene motivado por la celebración de un contrato sin las debidas cautelas y garantías.
Por ello, señala el ponente, el magistrado Guerrero Zaplana, que esta culpabilidad es independiente de la conducta delictiva que puede investigarse por la jurisdicción Penal.
Una deuda inexistente
Resulta que la entidad recurrente incorporó a su sistema de información de clientes los datos de la denunciante sin disponer de acreditación de la efectiva contratación por el mismo.
Por ello, el tratamiento posterior de tales datos personales para la emisión de facturas derivadas de la contratación que no se había producido supuso, por parte de la empresa de venta a distancia, la imputación de una deuda que resultó no ser cierta, vencida ni exigible.
Posteriormente, ante el impago de las facturas, esa entidad informó sus datos personales al fichero de solvencia patrimonial a pesar de que el afectado ya había comunicado que no había contratado ningún servicio con ella.
La propia Sala de lo Contencioso se ha pronunciado en sentencias de 10 de septiembre de 2009 y 7 de octubre de 2010 sobre conductas de empresas que han sido objeto de fraude o engaño y ello no ha justificado que se aplicase la eliminación de la culpabilidad.
El articulo 6 de la Ley Orgánica de Protección de Datos (LOPD) , determina que el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, aunque no será preciso el consentimiento cuando los datos de carácter personal se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento, lo que no sucedió en este caso, puesto que el contrato con la persona afectada no existió en ningún momento.
Y tampoco puede considerarse que los datos figurasen en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.
En el caso en litigio, la empresa no pudo presentar una prueba que pueda evidenciar que la denunciante había otorgado su consentimiento para el tratamiento de los datos personales para girarle cargos por unos productos de cuya adquisición carecía de prueba.
Es por ello que, la sentencia desestima la existencia de causa alguna que exima la prestación de consentimiento al no probar a existencia de relación contractual entre las partes.
Fuente: El Economista
Fecha: 06/01/2012
LA AUDITORÍA BIENAL DE LA LOPD
Una de las principales obligaciones que vienen marcadas por la normativa de protección de datos, en concreto en los artículos 96 y 110 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 12 diciembre, de Protección de Datos de Carácter Personal, es la realización de una auditoría de carácter bienal, sobre el nivel de cumplimiento de las medidas de seguridad adaptada por las organizaciones, cuando los datos tratados o bien sean de nivel medio y/o alto, o cuando se produzcan modificaciones sustanciales en los sistemas de información.
Es bastante fácil entender cuál fue la voluntad del legislador a la hora de incluir esta obligación. Con la imposición de dicha auditoría se instaura un método que avala el continuo y correcto cumplimiento de las medidas técnicas, organizativas y jurídicas que contribuya a la seguridad de los datos manejados por las empresas, asegurando con ello que no basta una simple adaptación de los procedimientos y sistemas de tratamiento a la Ley Orgánica de Protección de Datos y su normativa de desarrollo, si no también la actualización a los procesos evolutivos que sufra el tratamiento de datos.
Esta obligación cobra especial importancia en los Centros Sanitarios tanto públicos como privados, dado que por un lado, al menos uno de sus ficheros declarados contendrá los datos de salud de sus pacientes y por ende les es de aplicación las medidas de seguridad de nivel alto. La realidad es, como destacó la Agencia Española de Protección de Datos en su última memoria anual, que la realización de la auditoría bienal de seguridad del fichero de Historias Clínicas es uno de los aspectos en los que se observa un menor nivel de cumplimiento de la normativa de protección de datos, ya que en un 32,5% de centros esta actuación no se lleva a cabo. En un 85,6% de los centros que realizan la auditoría, se han detectado en ella deficiencias de seguridad. Un 22,5% de los hospitales han realizado la última auditoría en 2010, un 30,8% en 2009, un 10% en 2008 y un 7,4% en 2006 o años anteriores. Un 29,3% de los centros no aporta información sobre la fecha de la última auditoría de seguridad realizada.
Pero no debemos olvidar, que la obligación de esta Auditoría no se da como hemos dicho, únicamente por tratar datos de nivel medio y/o alto, sino también por cambios sustanciales en los sistemas de tratamiento de datos, que cada vez son más frecuentes, a causa de la integración de las tecnologías de la información y la comunicación aplicadas al mundo sanitario, con conceptos tales como la Historia Clínica Electrónica y la E-Receta, así como la evolución de los software de salud, conllevando la necesidad de una continua actualización y realización de las aquí mencionadas Auditorías con una periodicidad menor a esos dos años marcados.
El incumplimiento por parte de los responsables del tratamiento de datos de la realización de esta revisión de medidas de seguridad lleva aparejada el inicio de un procedimiento sancionador de la Agencia Española de Protección de Datos, que califica el hecho como una infracción grave, con una posible sanción que oscila entre los 40.001€ hasta los 300.000€, acumulándose a la posible sanción por fracción grave por la incumplimiento de requerimiento por parte de las autoridades, ya que este informe final deberá de estar a disposición de la Agencia Española de Protección de Datos, previa solicitud de este organismo.
Por todo lo expuesto, queda claro que el cumplimiento de la normativa de protección de datos va más allá de una simple y primera adaptación, dado que como legislación flexible a los procesos evolutivos de las entidades que la aplican, es necesaria su constante actualización a través de Auditorías, que plasmen en primer lugar, la situación real del cumplimiento de las medidas de seguridad, junto con las recomendaciones necesarias para su correcta aplicación de las deficiencias que puedan ser encontradas.
Publicado en Redacción Médica el Jueves, 15 de diciembre de 2011. Número 1580. Año VIII.
Es bastante fácil entender cuál fue la voluntad del legislador a la hora de incluir esta obligación. Con la imposición de dicha auditoría se instaura un método que avala el continuo y correcto cumplimiento de las medidas técnicas, organizativas y jurídicas que contribuya a la seguridad de los datos manejados por las empresas, asegurando con ello que no basta una simple adaptación de los procedimientos y sistemas de tratamiento a la Ley Orgánica de Protección de Datos y su normativa de desarrollo, si no también la actualización a los procesos evolutivos que sufra el tratamiento de datos.
Esta obligación cobra especial importancia en los Centros Sanitarios tanto públicos como privados, dado que por un lado, al menos uno de sus ficheros declarados contendrá los datos de salud de sus pacientes y por ende les es de aplicación las medidas de seguridad de nivel alto. La realidad es, como destacó la Agencia Española de Protección de Datos en su última memoria anual, que la realización de la auditoría bienal de seguridad del fichero de Historias Clínicas es uno de los aspectos en los que se observa un menor nivel de cumplimiento de la normativa de protección de datos, ya que en un 32,5% de centros esta actuación no se lleva a cabo. En un 85,6% de los centros que realizan la auditoría, se han detectado en ella deficiencias de seguridad. Un 22,5% de los hospitales han realizado la última auditoría en 2010, un 30,8% en 2009, un 10% en 2008 y un 7,4% en 2006 o años anteriores. Un 29,3% de los centros no aporta información sobre la fecha de la última auditoría de seguridad realizada.
Pero no debemos olvidar, que la obligación de esta Auditoría no se da como hemos dicho, únicamente por tratar datos de nivel medio y/o alto, sino también por cambios sustanciales en los sistemas de tratamiento de datos, que cada vez son más frecuentes, a causa de la integración de las tecnologías de la información y la comunicación aplicadas al mundo sanitario, con conceptos tales como la Historia Clínica Electrónica y la E-Receta, así como la evolución de los software de salud, conllevando la necesidad de una continua actualización y realización de las aquí mencionadas Auditorías con una periodicidad menor a esos dos años marcados.
El incumplimiento por parte de los responsables del tratamiento de datos de la realización de esta revisión de medidas de seguridad lleva aparejada el inicio de un procedimiento sancionador de la Agencia Española de Protección de Datos, que califica el hecho como una infracción grave, con una posible sanción que oscila entre los 40.001€ hasta los 300.000€, acumulándose a la posible sanción por fracción grave por la incumplimiento de requerimiento por parte de las autoridades, ya que este informe final deberá de estar a disposición de la Agencia Española de Protección de Datos, previa solicitud de este organismo.
Por todo lo expuesto, queda claro que el cumplimiento de la normativa de protección de datos va más allá de una simple y primera adaptación, dado que como legislación flexible a los procesos evolutivos de las entidades que la aplican, es necesaria su constante actualización a través de Auditorías, que plasmen en primer lugar, la situación real del cumplimiento de las medidas de seguridad, junto con las recomendaciones necesarias para su correcta aplicación de las deficiencias que puedan ser encontradas.
Publicado en Redacción Médica el Jueves, 15 de diciembre de 2011. Número 1580. Año VIII.
Las cámaras, denunciadas
El grupo de juristas por los derechos individuales y colectivos, 17 de Marzo, ha presentado una denuncia ante la Agencia Española de Protección de Datos por una posible vulneración de varios artículos de la Ley Orgánica de Protección de Datos (LOPD) por parte del Ayuntamiento de Sevilla, al no haber señalizado todavía las cámaras de videovigilancia tras la derogación del conocido como Plan Centro.
Según el escrito, que fue presentado el pasado jueves 22 de diciembre, “una vez derogado el Plan Centro”, en julio de 2011, “se procedió a retirar las señalizaciones de la existencia de dichas cámaras, permaneciendo todas las cámaras y desconociendo si siguen funcionando”. Según este colectivo de juristas, el Ayuntamiento podría estar vulnerando hasta dos artículos de la LOPD.
Siguen grabando
Las cámaras, que fueron instaladas para controlar las entradas y salidas de vehículos, sí siguen grabando, a pesar de que fue derogado el Plan Centro.
Así se demostró durante la comisión de investigación sobre dicho plan que el propio Ayuntamiento puso en marcha. En unas de las sesiones un funcionario mostró imágenes (fotogramas) de las cámaras, captadas en noviembre. El propio secretario del Ayuntamiento, Luis Enrique Flores, instó el pasado dos de diciembre al Ayuntamiento a señalizar “debidamente” las cámaras para dar “mayor garantía” del derecho de información al ciudadano.
Críticas a PSOE e IU
Desde el Grupo 17 de marzo además de criticar la “inacción” del Gobierno Municipal, también critican a la oposición, PSOE e Izquierda Unida, “ya que conociendo esta situación desde hace meses no la han paliado ni denunciado ante los organismos competentes, como es la Agencia Española de Protección de Datos”.
El PSOE pide que se “ponga remedio”
El PSOE pidió ayer a Juan Ignacio Zoido que ponga “remedio cuanto antes a la vulneración de los derechos a la información y a la protección de su imagen de los ciudadanos”.
El Ayuntamiento asegura que “en breve” estarán las señales
Tras conocerse la denuncia ante la Agencia Española de Protección de Datos el Ayuntamiento de Sevilla reaccionó ayer anunciando que se encuentra preparando una resolución, que se prevé sea emitida “en breve”, y que incluirá las indicaciones pertinentes sobre el modo y el método más adecuado de establecer la señalización de las cámaras del centro de la ciudad ante su nuevo uso tras la derogación del Plan de Ordenación Viaria del Casco Antiguo y Protección de la Zona Monumental.
Tras conocerse el informe del secretario del Ayuntamiento el pasado dos de diciembre, “los técnicos comenzaron a trabajar de forma inmediata y se están siguiendo los pasos necesarios para llevar a cabo esta resolución sobre la señalización de las cámaras del centro”, resaltan desde el Consistorio.Desde el Grupo 17 de marzo creen que “es increíble que lleven ya casi un mes para poner unos simples carteles que indiquen a los ciudadanos que están siendo grabados, tal y como establece la ley”.
Sevilla “no tiene pulso” para otro Plan Centro
El sector del taxi de Sevilla ha reaccionado al anuncio por parte del Ayuntamiento hispalense referente a que el próximo mes de enero se presentará el nuevo plan de tráfico del centro del gobierno municipal -más constreñido al conjunto monumental histórico-, considerando que a día de hoy la ciudad “no tiene pulso” como para que sea preciso instaurar un sistema de estas características.
El presidente de la asociación Solidaridad Hispalense del Taxi, Enrique Filgueras, ha subrayado a Europa Press que el gremio no conoce detalles del mismo, si bien “en principio no parece mala idea que el tráfico rodado no entre en la zona del casco antiguo”, para añadir en tono irónico que “siempre entendiendo que el casco antiguo no es Pino Montano”.
“Cuando sepamos los términos del plan daremos una opinión más formada, aunque si se plantea como círculos concéntricos de menor penetración, es lo que ya se hace en otras ciudades con muchas similitudes a la nuestra, como Florencia”, ha expuesto Filgueras.
Sin embargo, el presidente de Solidaridad Hispalense del Taxi ha expuesto que, si bien antes podía haberse debatido la conveniencia de un plan de estas características, ahora no hay “movimientos” ni grandes atascos, algo que ya confirmó recientemente el delegado municipal de Movilidad, Demetrio Cabello.
Fuente: Andalucía Información
Fecha: 27/12/2011
Según el escrito, que fue presentado el pasado jueves 22 de diciembre, “una vez derogado el Plan Centro”, en julio de 2011, “se procedió a retirar las señalizaciones de la existencia de dichas cámaras, permaneciendo todas las cámaras y desconociendo si siguen funcionando”. Según este colectivo de juristas, el Ayuntamiento podría estar vulnerando hasta dos artículos de la LOPD.
Siguen grabando
Las cámaras, que fueron instaladas para controlar las entradas y salidas de vehículos, sí siguen grabando, a pesar de que fue derogado el Plan Centro.
Así se demostró durante la comisión de investigación sobre dicho plan que el propio Ayuntamiento puso en marcha. En unas de las sesiones un funcionario mostró imágenes (fotogramas) de las cámaras, captadas en noviembre. El propio secretario del Ayuntamiento, Luis Enrique Flores, instó el pasado dos de diciembre al Ayuntamiento a señalizar “debidamente” las cámaras para dar “mayor garantía” del derecho de información al ciudadano.
Críticas a PSOE e IU
Desde el Grupo 17 de marzo además de criticar la “inacción” del Gobierno Municipal, también critican a la oposición, PSOE e Izquierda Unida, “ya que conociendo esta situación desde hace meses no la han paliado ni denunciado ante los organismos competentes, como es la Agencia Española de Protección de Datos”.
El PSOE pide que se “ponga remedio”
El PSOE pidió ayer a Juan Ignacio Zoido que ponga “remedio cuanto antes a la vulneración de los derechos a la información y a la protección de su imagen de los ciudadanos”.
El Ayuntamiento asegura que “en breve” estarán las señales
Tras conocerse la denuncia ante la Agencia Española de Protección de Datos el Ayuntamiento de Sevilla reaccionó ayer anunciando que se encuentra preparando una resolución, que se prevé sea emitida “en breve”, y que incluirá las indicaciones pertinentes sobre el modo y el método más adecuado de establecer la señalización de las cámaras del centro de la ciudad ante su nuevo uso tras la derogación del Plan de Ordenación Viaria del Casco Antiguo y Protección de la Zona Monumental.
Tras conocerse el informe del secretario del Ayuntamiento el pasado dos de diciembre, “los técnicos comenzaron a trabajar de forma inmediata y se están siguiendo los pasos necesarios para llevar a cabo esta resolución sobre la señalización de las cámaras del centro”, resaltan desde el Consistorio.Desde el Grupo 17 de marzo creen que “es increíble que lleven ya casi un mes para poner unos simples carteles que indiquen a los ciudadanos que están siendo grabados, tal y como establece la ley”.
Sevilla “no tiene pulso” para otro Plan Centro
El sector del taxi de Sevilla ha reaccionado al anuncio por parte del Ayuntamiento hispalense referente a que el próximo mes de enero se presentará el nuevo plan de tráfico del centro del gobierno municipal -más constreñido al conjunto monumental histórico-, considerando que a día de hoy la ciudad “no tiene pulso” como para que sea preciso instaurar un sistema de estas características.
El presidente de la asociación Solidaridad Hispalense del Taxi, Enrique Filgueras, ha subrayado a Europa Press que el gremio no conoce detalles del mismo, si bien “en principio no parece mala idea que el tráfico rodado no entre en la zona del casco antiguo”, para añadir en tono irónico que “siempre entendiendo que el casco antiguo no es Pino Montano”.
“Cuando sepamos los términos del plan daremos una opinión más formada, aunque si se plantea como círculos concéntricos de menor penetración, es lo que ya se hace en otras ciudades con muchas similitudes a la nuestra, como Florencia”, ha expuesto Filgueras.
Sin embargo, el presidente de Solidaridad Hispalense del Taxi ha expuesto que, si bien antes podía haberse debatido la conveniencia de un plan de estas características, ahora no hay “movimientos” ni grandes atascos, algo que ya confirmó recientemente el delegado municipal de Movilidad, Demetrio Cabello.
Fuente: Andalucía Información
Fecha: 27/12/2011
Protección de datos: la AEPD no cae en la trampa de la Asociación Videográfica Española
Determinadas instituciones públicas se ponen al servicio de empresas privadas que, mediante la aplicación torticera de Leyes y para proteger intereses privados, pretenden provocar la quiebra de ciudadanos que simplemente ejercen el más elemental derecho a la libertad de expresión.
La Asociación Videográfica Española Independiente (en adelante AVEI) adoptó la decisión en 2008 de denunciar a un gran listado de páginas webs (blogs, foros, portales…), personales y profesionales porque, según ellos, no estaban respetando el artículo 10 de la LSSI.
En concreto, la denuncia se presenta porque, según ese artículo 10, cualquiera de nosotros que tengamos un blog, foro o página web personal en la que estemos prestando un servicio de la sociedad de la información (por ejemplo tengamos un banner por el que ingresemos 1 euro al mes) estamos obligados a indicar en la web nuestro nombre completo, número de DNI, domicilio, email y poner a disposición de los usuarios una vía de contacto directo (un teléfono, formulario de contacto, etc).
Si no ponemos estos datos nos enfrentamos a una multa de hasta 150.000 euros.
Como decía, AVEI presentó una denuncia donde simplemente aportaba un listado enorme de páginas webs que incumplían ese precepto, con un denominador común en todas ellas: eran webs donde se habla o hablaba de películas o series de televisión (y no solo me estoy refiriendo a páginas de descargas o enlaces, también blogs personales de esa temática donde no hay ni un enlace a contenido).
Resultaba evidente que lo que perseguía AVEI era una mera sanción que provocase la destrucción civil del titular de la web, pues como es de esperar, los que no se dedican profesionalmente a la explotación de webs ignoran que tienen ciertas obligaciones formales; y además de la sanción, consigue identificar, con nombre y apellidos, a los titulares de las páginas webs que a ella le interesan, todo ello sin invertir un euro, pues la investigación correría a cargo de la Administración Pública (la Secretaría de Estado de las Telecomunicaciones en este caso).
Esa denuncia prosperó y ha provocado la iniciación de decenas de expedientes sancionadores contra los más variados sujetos, provocando en la mayoría de los casos una sanción económica importante.
A día de hoy (tres años después de presentarse la denuncia) todavía se están produciendo sanciones derivadas de esa denuncia. ¿Tanto tarda un procedimiento sancionador de estas características?
En realidad no, lo que pasa es que la Secretaría de Estado de las Telecomunicaciones tiene un personal muy limitado y en absoluto se podía prever que de un día para otro se recibieran el equivalente a unas 200 denuncias, por eso, todavía hoy, siguen trabajando sobre esa denuncia presentada en 2008. En otras palabras, el personal de esta Secretaría de Estado está trabajando esencialmente para AVEI, identificando y sancionando a los que AVEI indicó en ese listado y lógicamente están desbordados.
Es más, como transcurre tanto tiempo, algunas de las páginas que fueron denunciadas en su día, hoy ya no existen como tal, y solo son un dominio en “parking” lo cual no obsta a que se identifique y sancione al titular de ese dominio web.
Para que os hagáis una idea, esta Secretaría de Estado debe requerir datos a organismos públicos, empresas privadas, Cuerpos y Fuerzas de Seguridad del Estado, etc, para conseguir identificar a un chaval de 20 años que tiene un blog personal que habla sobre las series que más le gustan, todo ello porque ese chaval no ha puesto su DNI y domicilio en su web, y eso le costará una multa de hasta 150.000 euros.
Si habéis seguido leyendo hasta aquí quizá os estéis preguntando qué tiene esto que ver con la Agencia Española de Protección de Datos (AEPD)…
Veamos; AVEI, no contenta con el dolor que estaba sembrando gracias a su cooperador necesario (la Secretaría de Estado de Telecomunicaciones), pretendió repetir la jugada con la AEPD. Presentó otra denuncia masiva ante la AEPD, alegando cosas como que esas páginas no respetaban el artículo 5.1 de la LOPD (deber de información y de identificar el titular de la web) y que además no quedan protegidos los datos de los menores de edad pues no se establecen mecanismos para evitar que sean captados.
Pero la AEPD no está para tonterías y le deja la cosas bien claras a AVEI, en una resolución que todavía no ha sido publicada:
“Al margen de las denuncias presentadas por AVEI, la Agencia no ha recibido hasta la fecha denuncia alguna en la que los usuarios o los representantes de los menores se hubieran referido a una supuesta desprotección en el tratamiento de los datos de carácter personal del colectivo a los que se dirigen los servicios prestados por los sitios web denunciados por AVEI.”
Y continua:
“Por el contrario, cabe intuir en la asociación denunciante un interés distinto a la garantía del derecho fundamental a la protección de datos, y que se refiere a otro bien jurídico digno de protección, como es la propiedad intelectual…”.
Termina indicando:
“La seriedad que conlleva el ejercicio de la potestad sancionadora aconseja que se pongan en marcha los mecanismos administrativos y jurisdiccionales correspondientes solo cuando se suponga que se ha producido una verdadera violación del derecho fundamental a la protección de datos”.
Por supuesto, la AEPD archiva las denuncias presentadas y no inicia procedimiento sancionador.
En mi opinión es así como debería haber actuado también la Secretaría de Estado de Telecomunicaciones, mecanismos jurídicos tenían para no entrar en el juego de AVEI, pero decidió hacerlo con todas las consecuencias.
Fuente: Periodistas en Español
Fecha: 31/12/2011
La Asociación Videográfica Española Independiente (en adelante AVEI) adoptó la decisión en 2008 de denunciar a un gran listado de páginas webs (blogs, foros, portales…), personales y profesionales porque, según ellos, no estaban respetando el artículo 10 de la LSSI.
En concreto, la denuncia se presenta porque, según ese artículo 10, cualquiera de nosotros que tengamos un blog, foro o página web personal en la que estemos prestando un servicio de la sociedad de la información (por ejemplo tengamos un banner por el que ingresemos 1 euro al mes) estamos obligados a indicar en la web nuestro nombre completo, número de DNI, domicilio, email y poner a disposición de los usuarios una vía de contacto directo (un teléfono, formulario de contacto, etc).
Si no ponemos estos datos nos enfrentamos a una multa de hasta 150.000 euros.
Como decía, AVEI presentó una denuncia donde simplemente aportaba un listado enorme de páginas webs que incumplían ese precepto, con un denominador común en todas ellas: eran webs donde se habla o hablaba de películas o series de televisión (y no solo me estoy refiriendo a páginas de descargas o enlaces, también blogs personales de esa temática donde no hay ni un enlace a contenido).
Resultaba evidente que lo que perseguía AVEI era una mera sanción que provocase la destrucción civil del titular de la web, pues como es de esperar, los que no se dedican profesionalmente a la explotación de webs ignoran que tienen ciertas obligaciones formales; y además de la sanción, consigue identificar, con nombre y apellidos, a los titulares de las páginas webs que a ella le interesan, todo ello sin invertir un euro, pues la investigación correría a cargo de la Administración Pública (la Secretaría de Estado de las Telecomunicaciones en este caso).
Esa denuncia prosperó y ha provocado la iniciación de decenas de expedientes sancionadores contra los más variados sujetos, provocando en la mayoría de los casos una sanción económica importante.
A día de hoy (tres años después de presentarse la denuncia) todavía se están produciendo sanciones derivadas de esa denuncia. ¿Tanto tarda un procedimiento sancionador de estas características?
En realidad no, lo que pasa es que la Secretaría de Estado de las Telecomunicaciones tiene un personal muy limitado y en absoluto se podía prever que de un día para otro se recibieran el equivalente a unas 200 denuncias, por eso, todavía hoy, siguen trabajando sobre esa denuncia presentada en 2008. En otras palabras, el personal de esta Secretaría de Estado está trabajando esencialmente para AVEI, identificando y sancionando a los que AVEI indicó en ese listado y lógicamente están desbordados.
Es más, como transcurre tanto tiempo, algunas de las páginas que fueron denunciadas en su día, hoy ya no existen como tal, y solo son un dominio en “parking” lo cual no obsta a que se identifique y sancione al titular de ese dominio web.
Para que os hagáis una idea, esta Secretaría de Estado debe requerir datos a organismos públicos, empresas privadas, Cuerpos y Fuerzas de Seguridad del Estado, etc, para conseguir identificar a un chaval de 20 años que tiene un blog personal que habla sobre las series que más le gustan, todo ello porque ese chaval no ha puesto su DNI y domicilio en su web, y eso le costará una multa de hasta 150.000 euros.
Si habéis seguido leyendo hasta aquí quizá os estéis preguntando qué tiene esto que ver con la Agencia Española de Protección de Datos (AEPD)…
Veamos; AVEI, no contenta con el dolor que estaba sembrando gracias a su cooperador necesario (la Secretaría de Estado de Telecomunicaciones), pretendió repetir la jugada con la AEPD. Presentó otra denuncia masiva ante la AEPD, alegando cosas como que esas páginas no respetaban el artículo 5.1 de la LOPD (deber de información y de identificar el titular de la web) y que además no quedan protegidos los datos de los menores de edad pues no se establecen mecanismos para evitar que sean captados.
Pero la AEPD no está para tonterías y le deja la cosas bien claras a AVEI, en una resolución que todavía no ha sido publicada:
“Al margen de las denuncias presentadas por AVEI, la Agencia no ha recibido hasta la fecha denuncia alguna en la que los usuarios o los representantes de los menores se hubieran referido a una supuesta desprotección en el tratamiento de los datos de carácter personal del colectivo a los que se dirigen los servicios prestados por los sitios web denunciados por AVEI.”
Y continua:
“Por el contrario, cabe intuir en la asociación denunciante un interés distinto a la garantía del derecho fundamental a la protección de datos, y que se refiere a otro bien jurídico digno de protección, como es la propiedad intelectual…”.
Termina indicando:
“La seriedad que conlleva el ejercicio de la potestad sancionadora aconseja que se pongan en marcha los mecanismos administrativos y jurisdiccionales correspondientes solo cuando se suponga que se ha producido una verdadera violación del derecho fundamental a la protección de datos”.
Por supuesto, la AEPD archiva las denuncias presentadas y no inicia procedimiento sancionador.
En mi opinión es así como debería haber actuado también la Secretaría de Estado de Telecomunicaciones, mecanismos jurídicos tenían para no entrar en el juego de AVEI, pero decidió hacerlo con todas las consecuencias.
Fuente: Periodistas en Español
Fecha: 31/12/2011
Suscribirse a:
Entradas (Atom)
Entradas
