jueves, 2 de junio de 2016

El Reglamento General de Protección de Datos ya está aquí

Finalmente, el Reglamento General de Protección de Datos (“RGPD”, a partir de ahora y en todos los post, que no estoy para perder el tiempo) ha sido publicado en el Diario Oficial de la Unión Europea. Se avecinan tiempos emocionantes para los profesionales de la privacidad, y muy particularmente, los “blojeros”. Imagínense, la cantidad de post "chipas" que vamos a escribir (sobre la primera sanción, el primer acto delegado, las primeras BCR, etc., conformes a la nueva normativa...)

Todavía estamos a la espera de que se publiquen los primeros documentos con sustancia (del Grupo de Trabajo del Artículo 29, por ejemplo), y se tardará tiempo en fijar criterios de aplicación de RGPD que nos permitan movernos con seguridad en la implantación de las nuevas obligaciones.
Los documentos que han aparecido hasta el momento son, digámoslo así, introducciones al RLOPD: resúmenes de aspectos fundamentales, que aclaran dudas inmediatas y proponen soluciones de sentido común a problemas básicos. No entran en detalle. 

Así, la AEPD (“AGEPEDÉ”, para los entendidos en la materia) ha tenido a bien publicar un resumen de la nueva norma en 12 preguntas claves. Las dos primeras son muy interesantes, y seguro que ustedes han estado dándole vueltas a este tema: 

"1. La entrada en vigor del Reglamento, ¿supone que ya no se aplica la Ley Orgánica de Protección de Datos española?

No. El Reglamento ha entrado en vigor el 25 de mayo de 2016 pero no comenzará a aplicarse hasta dos años después, el 25 de mayo de 2018. Hasta entonces, tanto la Directiva 95/46 como las normas nacionales que la trasponen, entre ellas la española, siguen siendo plenamente válidas y aplicables.

2. ¿Cuál es, entonces, el significado de que el Reglamento haya entrado en vigor?

El periodo de dos años hasta la aplicación del Reglamento tiene como objetivo permitir que los Estados de la Unión Europea, las Instituciones Europeas y también las organizaciones que tratan datos vayan preparándose y adaptándose para el momento en que el Reglamento sea aplicable.

En esos dos años, por ejemplo, los Estados miembros pueden adoptar o iniciar la elaboración de determinadas normas que sean necesarias para permitir o facilitar la aplicación del Reglamento. Esas normas no pueden ser contrarias a las disposiciones de la vigente Directiva ni tampoco ir más allá de los poderes de actuación normativa que el propio Reglamento prevé de forma explícita o implícita."

El texto completo se encuentra disponible aquí.

Aunque no está mal el documento preparado por nuestra autoridad nacional, me ha gustado mucho más la Guía del ICO, y su estupenda iniciativa de crear un blog dedicado al RGPD. Si ustedes se sienten solos, deprimidos e inseguros en cuanto a lo que el futuro nos deparará, les recomiendo que lean el documento titulado "What to expect and when".

La CNIL, por su parte, ha optado por preparar unas fichas prácticas con dibujos. Se pueden consultar aquí.El poster descargable queda muy bien en la habitación de los niños. En fin, no sé qué decirles. Son ese tipo de cosas inexplicables que hacen de vez en cuando los franceses (espero que el pueblo que inventó la Grandeur nos acabe obsequiando con una guía en condiciones del RGPD). 

La autoridad alemana también dispone de una guía sobre el RGPD, que en alemán se dice Datenschutz-Grundverordnung. Sin duda es el documento más contundente de los publicados hasta la fecha. Poco más les puedo de él, salvo que si van a la página 6, verán la foto de una señora gorda. Aquí lo dejo porque, pero me están entrando ganas de invadir Polonia. Buenas noches. 


domingo, 29 de mayo de 2016

Tratamiento privado de datos relativos a comisión de infracciones

Como sin duda ustedes ya saben, el apartado 5 del todavía vigente artículo 7 LOPD es una especie de chambre de bonne para datos especialmente protegidos de segunda categoría, que no merecen vivir en las plantas nobles del edificio junto a los datos de saludo o de ideología política (de hecho, a pesar de estar incluidos en este precepto nadie los considera como tales)Dispone el artículo 7.5 LOPD que "los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo podrán ser incluidos en ficheros de las Administraciones públicas competentes en los supuestos previstos en las respectivas normas reguladoras".

El citado artículo 7.5 establece una prohibición general que parece de sentido común. Sin embargo, ocasiona más de un quebradero de cabeza a aquellos responsables de ficheros privados que, circunstancialmente, deben tratar datos relativos a infracciones. Pensemos en mi caso: como abogado tengo varios archivadores con datos de este tipo de mis clientes. Nadie parece haberse planteado hasta la fecha la ilegalidad de nuestro proceder (por favor, organicemos una charla sobre esto en el ICAM a la mayor brevedad posible). También se encuentran en una situación de riesgo las aseguradoras, gestorías, y cualquier entidad privada que solicite un certificado de antecedentes penales para determinadas posiciones, en muchos casos por motivos de seguridad o por imposición legal. 

En mi opinión, esta norma debería interpretarse en el sentido de que una entidad privada no puede crear un fichero con la exclusiva finalidad de tratar datos relativos a infracciones penales o administrativas, pero sí pueden tratar estos datos de forma accesoria cuando sea necesario para llevar a cabo tratamientos legítimos. La interpretación de la Agencia Española de Protección de Datos ha venido siendo estricta con la literalidad del texto del citado artículo 7.5 LOPD. En un informe jurídico del año 2009, se mostraba así de tajante:

"Por otra parte, y refiriéndonos en particular a los ficheros en que se contengan datos relacionados con la comisión de infracciones penales y administrativas, el artículo 7.5 de la LOPD establece que tales datos “sólo podrán ser incluidos en ficheros de las Administraciones Públicas competentes en los supuestos previstos en las respectivas normas reguladoras”.

En consecuencia, el artículo 7.5 de la Ley establece una regla específica para este tipo de datos, que impide, en todo caso, su tratamiento por parte de cualquier entidad de derecho privado, quedando limitado dicho tratamiento a las Administraciones Públicas y, exclusivamente, cuando así lo establezca una norma con rango suficiente. De ello se desprende que, incluso si los datos contenidos en las resoluciones judiciales fueran considerados incorporados a fuentes accesibles al público (cuestión ésta a la que nos referiremos posteriormente), su tratamiento inconsentido se encontraría vedado por la Ley a la consultante, dada su naturaleza jurídico-privada".


En otro brillante a la par que exhaustivo informe del año 2013, la AEPD (y noten que estoy haciendo grandes esfuerzos por no escribir AGEPEDÉ) soltaba la siguiente parrafada a una Administración Pública que estaba obligada a publicar tablones edictales: 

"Pero al propio tiempo, esta previsión deberá complementarse con otra que garantice que los datos personales contenidos en los edictos puedan ser susceptibles de almacenamiento masivo o incluso de conservación por parte de terceros, aunque dicha conservación se derive directamente del acceso al Tablón y no de la consulta del mismo a través de motores de búsqueda.

En este sentido, debe recordarse, en lo que afecta a los actos de contenido sancionador, que el artículo 7.5 de la Ley Orgánica 15/1999 dispone que “los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo podrán ser incluidos en ficheros de las Administraciones Públicas competentes en los supuestos previstos en las respectivas normas reguladoras”.

La sentencia de la Audiencia Nacional de 6 de octubre de 2010 analiza el supuesto en que una empresa mantenía un fichero, denominado “potenciales clientes”, con el contenido de los edictos publicados en los distintos boletines oficiales en materia sancionadora de tráfico y seguridad vial, considerando dicha conducta contraria a lo dispuesto en la Ley Orgánica 15/1999, sin perjuicio de la estimación del recurso por otros motivos. Dicha sentencia señala lo siguiente:

“(...) no es posible y está prohibida la creación de ficheros como el que aquí nos ocupa, relacionados con infracciones administrativas de tráfico, por entidades distintas de la Administración Pública competente.
Téngase en cuenta, que en el sitio web desde el que se accede a los datos recogidos en el fichero “Potenciales Clientes” se invita a realizar una “búsqueda entre más de 2,5 millones de multas” o lo que es igual de sanciones impuestas por la comisión de otras tantas infracciones administrativas, por lo que el tratamiento de los mencionados datos personales recogidos en el citado fichero y a los que se accede por
cualquier persona a través del sitio web [*] utilizando los criterios de búsqueda más arriba expuestos es un tratamiento que vulnera el citado artículo 7.5 LOPD.

A lo anterior no obsta que dichos datos procedan o hayan sido recogidos de boletines oficiales que tienen la consideración de fuentes accesibles al público, según el artículo 3 j) de la LOPD. En efecto, si bien el artículo 6.2 de la LOPD excepciona de la necesidad de recabar el consentimiento del afectado para el tratamiento de sus datos, cuando procedan de fuentes accesibles al público, dicha excepción no entra en 
juego en supuestos como el presente, a la vista de la regla específica del artículo 7.5 LOPD para ese tipo de datos, por lo que el origen público del dato resulta irrelevante en casos como el de autos en que una entidad 
privada se dedica a recopilar infracciones administrativas en un fichero (más de 2,5 millones de multas de tráfico) y tratar los datos personales de las mismas, lo que sólo puede llevarse a cabo por las Administraciones Públicas cuando esté previsto en su normativa reguladora.

En conclusión, nos hallamos ante una conducta contraria a la LOPD que vulnera el citado artículo 7.5.”

Pues bien, cuando ya me veía en la cárcel por incumplir sistemáticamente el art. 7.5 LOPD, el insigne Gabinete Jurídico ha emitido otro informe revelador que abre una luz para la esperanza. 

La consulta que da origen a este informe la plantea un empresario (probablemente dedicado al transporte escolar), que debe cumplir con la Ley Orgánica 1/1996, de 15 de enero de Protección Jurídica del Menor. Dicha ley dispone en su art. 13.5: “Será requisito para el acceso y ejercicio a las profesiones, oficios y actividades que impliquen contacto habitual con menores, el no haber sido condenado por sentencia firme por algún delito contra la libertad e indemnidad sexual, que incluye la agresión y abuso sexual, acoso sexual, exhibicionismo y provocación sexual, prostitución y explotación sexual y corrupción de menores, así como por trata de seres humanos. A tal efecto, quien pretenda el acceso a tales profesiones, oficios o actividades deberá acreditar esta circunstancia mediante la aportación de una certificación negativa del Registro Central de delincuentes sexuales”. 

Como podrán imaginar, el nuestro heroico empresario se veía en una difícil encrucijada: Contratar pedarastas o incumplir la Lopedé. Así que decidió plantear una Consulta a la Agencia Española de Protección de Datos. 

Su insigne Gabinete Jurídico, como les he adelantada, suaviza el criterio mantenido anteriormente. En este caso concreto, indica que se podrán conservar los certificados del Registro Central de delincuentes sexuales durante el proceso de selección, mientras dure la relación laboral y, una vez finalizada ésta, durante los plazos necesarios para atender posibles responsabilidades del empresario (acción por despido, etc.). Léanlo ustedes mismos aquí (páginas 4 y 5)

Amigos de Multuato, todavía hay esperanza para nosotros. Buenas tardes. 

jueves, 7 de mayo de 2015

Badoo cambia de criterio

Entre esta resolución y ésta ha ocurrido algo fundamental. La sociedad británica Badoo Trading, Ltd., propietaria de la red social Badoo (como los más sagaces de Ustedes ya habrán deducido), ha cambiado su criterio en relación a la comunicación de datos de IPs de sus usuarios.

En el primer caso, Dª B.B.B. fue sancionada con 2.000 €, entre otras cosas, por crear un perfil falso en la citada red social utilizando fotografías de Dª C.C.C.

Aunque Dª C.C.C. no sabía quién estaba detrás de los mensajes que corrían por Facebook injuriándola, ni conocía la identidad de la persona que había abierto una cuenta en Badoo con 27 fotografías suyas pidiendo explícitamente contactos sexuales, sospechaba que se trataba de alguien cercano a su ex marido. Presentó una denuncia a la Agencia Española de Protección de Datos exponiendo simplemente los hechos, sin señalar culpables.

La AEPD abrió la correspondiente investigación. Como suele hacer en estos casos, se dirigió a los responsables de las redes sociales.

De manera diligente, Badoo Tranding Ltd. dio de baja el perfil falso y comunicó a la Agencia las direcciones IP de los equipos desde los que se había creado y actualizado dicho perfil. Como se indica en la resolución:

A partir de esta información y de la facilitada por los operadores de telecomunicaciones que tienen asignado el uso de esas direcciones IP, se desprende que los datos de carácter personal de la denunciante fueron tratados en la red social Badoo los días 26 y 28 de diciembre de 2011, 4, 9, 12 y 28 de enero de 2012. Según estas informaciones, los accesos se produjeron desde equipos conectados a internet a través de la línea telefónica de la que es titular doña B.B.B. (en lo sucesivo la denunciada), instalada en una localidad próxima a aquella en la que reside la denunciante.”

La denuncia se presentó en mayo de 2012, y entendemos que las actuaciones no se debieron demorar mucho. Como decimos, finalmente, el asunto se cerró con una multa a Dª B.B.B. de 2.000 € por tratar datos sin el consentimiento de la denunciante.

Sin embargo, pocos meses después, en diciembre de 2012, el departamento legal de Badoo Trading, Ltd. remitió un escrito a la AEPD señalando que cambiaba su criterio, y que no facilitaría las IPs de los usuarios. Así, cuando a principios de 2014 la Guardia Civil de La Victoria de Acentejo dio traslado a la Agencia de dos atestados relativos a denuncias por suplantación de la identidad de dos niñas de 16 años, a través de perfiles falsos en Badoo, se tuvo que archivar el procedimiento sin multa para los responsables. La resolución concluye con la siguiente explicación:

“A este respecto, en escrito de fecha 19 de diciembre de 2012, por el departamento legal de la compañía de nacionalidad británica Badoo Trading, Ltd. se confirmó a la Inspección de Datos un cambio de criterio respecto a la atención de las solicitudes de información que hasta entonces venían canalizándose a través del departamento técnico de la compañía. Badoo Trading, Ltd., con domicilio social en Inglaterra, interpreta que, desde una perspectiva territorial, la norma que le resultaría aplicable a Badoo sería la Ley de Protección de Datos del Reino Unido, y declara que, con carácter general, la misma prohíbe facilitar datos de carácter personal sin el consentimiento expreso del titular de los mismos, salvo que sean requeridos por una autoridad competente en Inglaterra. Por otra parte, la Autoridad británica de protección de datos, Information Commissioner’s Office, ha confirmado a esta Agencia que carece de competencia legal para solicitar información sobre direcciones IP a los prestadores de servicios de la sociedad de la información, facultad conferida exclusivamente a la Policía en el marco de un procedimiento penal.

Por otra parte, la Autoridad británica de protección de datos, Information Commissioner’s Office, ha confirmado a esta Agencia que carece de competencia legal para solicitar información sobre direcciones IP a los prestadores de servicios de la sociedad de la información, facultad conferida exclusivamente a la Policía en el marco de un procedimiento penal. En el presente caso, por la Inspección de Datos no se ha obtenido información relevante que permita la identificación de los autores de los perfiles denunciados.”

Más suerte tuvo la denunciante de la tercera resolución que les comentaré hoy. El 5 de marzo de 2014, una señorita que se declara “camarera de animación” puso en conocimiento de la AEPD que su ex jefe había creado un perfil falso en Badoo utilizando su fotografía “como reclamo para contactar con chicas que pudieran estar interesadas en participar en los espectáculos lésbicos que organiza la empresa que dirige”.

Sí, han leído bien…pero centrémonos en los temas relativos a protección de datos. Al ex jefe le cayó una multa de 2.000 euros. ¿Cómo es posible, si Badoo no facilita datos de IPs de diciembre de 2012? ¿Han vuelto a cambiar de criterio estos ingleses? No. Son gente de fiar y muy seria. Lo que ocurre es que el denunciado había sobreimpreso en la fotografía su número de teléfono personal y el nombre comercial de su empresa. Así es difícil negar los hechos.

Lean el texto completo de la resolución aquí.

martes, 6 de enero de 2015

Una casilla lo cambia todo

No son muchas las resoluciones en las que la Agencia Española de Protección de Datos analiza con detalle la redacción de las cláusulas informativas utilizadas en procesos de recogida de datos. En los próximos días, Dios mediante, analizaremos tres interesantes resoluciones publicadas en 2014 sobre este particular. Para empezar el año, he elegido la mejor de todas. Ya verán. Parece el guión de una película de Frank Capra. 

El denunciante, el señor A.A.A., es sin duda alguien con ideales elevados, alguien que lucha por un mundo justo, donde las grandes compañías no envían publicidad por e-mail, ni elaboran perfiles de sus clientes, ni ceden datos a terceros. 

En fin, nuestro héroe, cansado de las condiciones abusivas impuestas por Jazztel, denuncia a esta compañía con la intención principal, y cito textualmente, de "conseguir que Jazztel y las demás empresas de telecomunicaciones y de otros sectores que se valgan de los mismos métodos para el envío de información comercial:

- Incluyan una casilla/recuadro de envío de información comercial en los contratos.
- Que se incluya una cláusula de cesión de datos para envío de publicidad en los
contratos.
- Que pongan una letra que sea legible.”

Un fin, muy loable, sí señor. Me imagino a D. A.A.A. como a James Stewart en "Caballero sin Espada". Eso sí, menos ingenuo. Se nota que este héroe contemporáneo está en tercero de lopedé, ya que antes de presentar la denuncia, ató bien todos los cabos y, entre otras cosas, grabó una conversación telefónica en la que se le negaba repetidamente el ejercicio de su derecho de oposición. Vuelvo a citar textualmente:

" Consta en el expediente grabación de una contratación telefónica de una línea móvil de JAZZTEL efectuada por el denunciante en fecha 29/04/2014, en la cual el denunciante puesto al habla con el departamento de ventas móviles de JAZZTEL solicita contratar una nueva línea de móvil. Después de confirmar con el denunciante sus datos personales (nombre y apellidos, DNI, dirección, teléfono de contacto y correo electrónico), así como la tarifa contratada, se le informa que la conversación va a ser grabada y que en cumplimiento de la LOPD se le informa que sus datos van a ser incorporados a un fichero automatizado de JAZZTEL con los fines de comercialización, prestación e información comercial y publicidad y que podrán ser cedidos a otras entidades que colaboran con JAZZTEL en la realización de los mismos. Se le informa que podrá ejercitar los derechos de acceso, rectificación, cancelación y oposición por escrito  enviándolo a una dirección postal, o mediante llamada a una teléfono gratuito (1565). El denunciante manifiesta hasta en tres ocasiones la negativa a que sus datos sean utilizados con fines comerciales y publicitarios y su cesión a otras entidades, manifestando que quiere que sean tratados únicamente para el mantenimiento de la relación contractual (facturación). JAZZTEL niega la posibilidad de tal oposición al tratamiento con fines comerciales informando al denunciante que si desea ejercer tal derecho debe llamar al teléfono gratuito 1565 para oponerse al envío de información comercial (folios 69-73)."

Vayamos a lo interesante. El caso es que Jazztel se pasaba por el forro eso de ofrecer la posibilidad al interesado de oponerse a recibir publicidad en el momento de la contratación del servicio mediante la marcación de una casillita. Y aquí va lo que dice la AEPD, y lo que deben recordar cuando redacten una cláusula lopedé (Otra cita literal. Estoy en plan Ana Rosa...Voy a tener que pagar derechos de autor a Monsieur le Directeur):

"En este supuesto, de las actuaciones practicadas y pruebas aportadas se acredita que JAZZTEL incumple lo dispuesto en el artículo 5.1 de la LOPD y 15 del RLOPD por cuanto en las contrataciones telefónicas de sus servicios no ofrece al cliente la posibilidad de oponerse la tratamiento de sus datos personales con fines comerciales, incorporándolos a su fichero automatizado con tal finalidad, obligando por tanto al cliente que desea oponerse a dicho tratamiento a dirigirse con posterioridad a JAZZTEL, por escrito mediante envío postal, o mediante llamada gratuita al 1565, para manifestar su deseo de oponerse al tratamiento de sus datos con fines comerciales y publicitarios.

(...) Es decir, en el presente caso no basta con informar que los datos facilitados en la contratación serán incorporados a un fichero automatizado de datos de carácter personal creado bajo la responsabilidad de JAZZTEL, con los fines de publicidad, prestación del servicio y promoción comercial, así como informar de la cesión a otras entidades. Además de informar sobre la finalidad publicitaria del tratamiento hay que permitir al titular de los datos que manifieste expresamente su negativa al tratamiento de sus datos para finalidades ajenas a la relación contractual, pues sólo así se observa plenamente el requisito de informar sobre la finalidad del tratamiento. En este caso, en lugar de haber informado al denunciante de la posibilidad de oponerse al tratamiento de sus datos con fines comerciales y publicitarios y de su cesión a otras entidades, en un momento posterior a haber sido incluido en el fichero con tales finalidades, debería ofrecer, en el mismo momento de efectuar la contratación telefónica, la posibilidad de oponerse al tratamiento de sus datos con los citados fines comerciales y publicitarios, hecho, que como se acredita en el expediente no se produce en dichas contrataciones telefónicas.

Aduce JAZZTEL que ha garantizado el cumplimiento de lo previsto en el artículo 15 del RDLOPD al haber optado por una de las opciones que se otorgan al responsable del tratamiento para cumplir con la obligación descrita en tal precepto, puesto que tenía implementado un procedimiento que permitía al afectado manifestar su negativa, ejercitando su derecho de oposición mediante comunicación escrita dirigida a una dirección postal o llamada gratuita al número habilitado al efecto.

Dicha afirmación debe rechazarse, ya que con independencia del procedimiento para el ejercicio del derecho de oposición, lo cierto es que JAZZTEL no ha acreditado la implementación de un procedimiento para que el cliente que contrata telefónicamente sus servicios, tenga la posibilidad, como exige la normativa de protección de datos, de oponerse, en el momento en que se recaban sus datos, al tratamiento de los mismos con fines distintos a los estrictamente necesarios para el mantenimiento de la relación contractual, en este caso, con fines comerciales y  publicitario"

Como habrán deducido, gana los buenos y a Jazztel le cae una multa de 40.000 euros para Jazztel. Don A.A.A. puede estar contento. Eso sí, me temo que la empresa sancionada pagará la multa sin despeinarse (simples migajas), y no modificará demasiado sus prácticas.

Mañana más. Buenas noches. 

lunes, 9 de junio de 2014

III Concurso de Microrrelatos: Derecho al Olvido y Calcetines

Tras el éxito de la segunda edición, la Dirección de Ad Edictum convoca el III Concurso de Microrrelatos. Las reglas son sencillas (o ese espero):
- Los relatos deben tener una extensión máxima de 160 palabras, título excluido.
- Deben incluir necesariamente los términos "Derecho al Olvido" y "calcetines".
- Pueden ser enviados mediante comentario en este post o por correo electrónico a consultasblogtic@gmail.com.
El ganador tendrá un premio muy bonito.