jueves, 27 de octubre de 2016

Más lecturas de interés


El inesperado éxito de mi post de ayer, me ha empujado a preparar una segunda entrega, con nuevas guías sobre el Reglamento General de Protección de Datos. Ahí van:
Y si no les vale con todo lo anterior, siempre pueden consultar la entrada del RGPD en la Wikipedia, o comprarse este estupendolibro, que tiene un oso en la portada.
Es todo por hoy (hay que ponerse a remar). Síganme en Twitter, que me hace ilusión (@AdEdictum).

miércoles, 26 de octubre de 2016

Lecturas recomendadas

Como ustedes probablemente ya habrán notado, nadie que se precie en el mundo de la privacidad ha dejado pasar la oportunidad de publicar un guía sobre le Reglamento Europeo de Protección de Datos. ¡Hasta nuestra querida Agepedé lo ha hecho!

Les ofrezco a continuación una selecta lista de enlaces, en los que encontrarán lectura para el resto de la semana:

Guía de Bird&Bird.

Guía de Hogan Lovells.

Guía de Linklaters.




domingo, 25 de septiembre de 2016

¿Renovar el consentimiento?


El Reglamento (UE) 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (“Reglamento General de Protección de Datos” o “RGPD”) define consentimiento del interesado, en su artículo 4, como “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.

La referencia a una declaración o acción afirmativa excluye, según aclara el considerando (32) del RGPD, la posibilidad de que el silencio o la simple inacción puedan interpretarse en el sentido de entender que el titular de los datos consiente a un determinado tratamiento. Esta interpretación fue, además, confirmada por la Directora de la Agencia Española de Protección de Datos en la 8ª Sesión Anual Abierta de esta entidad celebrada el pasado 29 de Junio.

Hasta la fecha, en nuestro país, el consentimiento ha sido la base de la gran mayoría de los tratamientos efectuados, incluso en circunstancias en las que se ha puesto en duda la validez del mismo de forma reiterada (por ejemplo, en los entornos laborales, para finalidades no estrictamente relacionadas con la gestión del contrato o para legitimar transferencias internacionales). Los altos estándares previstos para la obtención del consentimiento en el RGPD, le harán perder importancia en este sentido.

Los responsables del tratamiento que no puedan garantizar la obtención del consentimiento mediante una declaración o acción afirmativa deberán recurrir a las otras circunstancias previstas en el artículo 6.1 del RGPD. Entre ellas, se encuentra el interés legítimo, que tras la sentencia del Tribunal de Justicia de la Unión Europea de 24 de noviembre de 2011 se ha convertido en “el nuevo consentimiento” para las empresas españolas.

El artículo 3 de la todavía vigente Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (“LOPD”) también define consentimiento como una “manifestación de voluntad, libre, inequívoca, específica e informada”. Sin embargo, salvo en el caso de los datos especialmente protegidos, y porque así lo prevé su artículo 7, la LOPD permite que el consentimiento se preste tácitamente. De hecho, su reglamento de desarrollo (“RLOPD”) regula un procedimiento para la obtención del consentimiento tácito (artículo 14).

Además, el artículo 15 del RLOPD permite que el consentimiento para finalidades adicionales en el contexto de una relación contractual se obtenga facilitando al interesado una casilla que pueda marcar para manifestar su oposición. A sensu contrario, dicha casilla no se marcará si el usuario acepta el tratamiento adicional (es decir, se permite consentir mediante una inacción;  dicho de otra forma, la “no acción” se interpreta como consentimiento). Ésta ha sido la forma en la que muchas empresas han recogido el consentimiento de sus clientes para remitirles publicidad, o para compartir información entre las empresas del mismo grupo.Si hacemos una interpretación literal del considerando (32) del RGPD parece que estos mecanismos que implican consentir por inacción (el denominado “opt-out”) no se admitirán como formas válidas de obtener el consentimiento para el tratamiento de los datos. 

No obstante, lo realmente importante es que el considerando (171) del RGPD incluye una previsión retroactiva en este sentido:

“Cuando el tratamiento se base en el consentimiento de conformidad con la Directiva 95/46/CE, no es necesario que el interesado dé su consentimiento de nuevo si la forma en que se dio el consentimiento se ajusta a las condiciones del presente Reglamento, a fin de que el responsable pueda continuar dicho tratamiento tras la fecha de aplicación del presente Reglamento. Las decisiones de la Comisión y las autorizaciones de las autoridades de control basadas en la Directiva 95/46/CE permanecen en vigor hasta que sean modificadas, sustituidas o derogadas.”

El cumplimiento de esta obligación afectaría no sólo a los responsables del tratamiento que utilizaron el sistema previsto en el artículo 14 del RLOPD, sino también a todos aquellos que han obtenido el consentimiento mediante sistemas de “opt-out”. Todos ellos se verán obligados a “renovar” el consentimiento. La Directora de la Agencia Española de Protección de Datos sí fue clara en la 8ª Sesión Anual Abierta al instar a los responsables del fichero a iniciar las acciones necesarias para obtener un nuevo consentimiento que cumpla con los requisitos del RGPD.

Sin embargo, los problemas que se plantean son muchos:

1.- En primer lugar, las empresas de cierto tamaño o de determinados sectores se enfrentarán a la necesidad de recoger el consentimiento de un número considerable de clientes y usuarios con los que han utilizado sistemas de opt-out (probablemente, el grueso de las bases de datos de los departamentos de marketing).

2.- Adicionalmente, se deberá pensar y articular un mecanismo que ofrezca la posibilidad de emitir una declaración o realizar una acción afirmativa para consentir. Algunas opciones son las siguientes:

-        El envío de e-mails que soliciten marcar una casilla para confirmar que desean que una empresa en cuestión continúe efectuando el tratamiento que ha venido llevando a cabo hasta la fecha, bien en el propio e-mail, o reenviando a una página web diseñada al efecto.

-        La realización de llamadas telefónicas que graben el consentimiento del usuario manifestado expresamente.

-        La recogida de firmas a través de documentos en formato papel cuando el cliente o usuario vuelva a utilizar el servicio o a realizar una compra.

Es lógico suponer que un gran número de registros se perderán en este proceso. Además, resulta probable que acciones como las descritas molesten más a los interesados que continuar recibiendo una newsletter o las ofertas y descuentos de una empresa de la que son clientes, lo cual no deja de ser un contrasentido.

3.-  Por último, los responsables del tratamiento pueden intentar legitimar la utilización de los datos en otras de las circunstancias recogidas en el artículo 6.1 del RGPD. El interés legítimo parece la más evidente, pero requerirá un análisis del equilibrio de los intereses en juego en cada caso concreto. La justificación del interés legítimo para finalidades de marketing y publicidad puede resultar complicada. Previsiblemente, se realizarán consultas a la Agencia Española de Protección de Datos para que aclare este extremo.

Si la introducción del consentimiento expreso en el RGPD fue discutida, la aplicación de estos estándares con efectos retroactivos lo será aún más. Debemos recordar que la aplicación de una norma con carácter retroactivo ha de ser un recurso excepcional, por las implicaciones desestabilizadoras que puede llegar a tener para la seguridad jurídica. En el caso analizado, los responsables del tratamiento utilizaron mecanismos de recogida del consentimiento previstos en la normativa vigente en su momento, que ya incluían garantías a favor del titular de los datos, como la posibilidad de revocar el consentimiento en cualquier momento, o la de ejercer los derechos de cancelación y oposición. La exigencia de que renueven estos consentimientos (especialmente, si el tratamiento se ha prolongando durante cierto tiempo y el interesado ha tenido ocasión de oponerse y no lo hecho), no redundará en una mayor protección de los titulares de los datos. En cambio, impone una obligación ciertamente gravosa para los responsables del tratamiento. 

jueves, 2 de junio de 2016

El Reglamento General de Protección de Datos ya está aquí

Finalmente, el Reglamento General de Protección de Datos (“RGPD”, a partir de ahora y en todos los post, que no estoy para perder el tiempo) ha sido publicado en el Diario Oficial de la Unión Europea. Se avecinan tiempos emocionantes para los profesionales de la privacidad, y muy particularmente, los “blojeros”. Imagínense, la cantidad de post "chipas" que vamos a escribir (sobre la primera sanción, el primer acto delegado, las primeras BCR, etc., conformes a la nueva normativa...)

Todavía estamos a la espera de que se publiquen los primeros documentos con sustancia (del Grupo de Trabajo del Artículo 29, por ejemplo), y se tardará tiempo en fijar criterios de aplicación de RGPD que nos permitan movernos con seguridad en la implantación de las nuevas obligaciones.
Los documentos que han aparecido hasta el momento son, digámoslo así, introducciones al RLOPD: resúmenes de aspectos fundamentales, que aclaran dudas inmediatas y proponen soluciones de sentido común a problemas básicos. No entran en detalle. 

Así, la AEPD (“AGEPEDÉ”, para los entendidos en la materia) ha tenido a bien publicar un resumen de la nueva norma en 12 preguntas claves. Las dos primeras son muy interesantes, y seguro que ustedes han estado dándole vueltas a este tema: 

"1. La entrada en vigor del Reglamento, ¿supone que ya no se aplica la Ley Orgánica de Protección de Datos española?

No. El Reglamento ha entrado en vigor el 25 de mayo de 2016 pero no comenzará a aplicarse hasta dos años después, el 25 de mayo de 2018. Hasta entonces, tanto la Directiva 95/46 como las normas nacionales que la trasponen, entre ellas la española, siguen siendo plenamente válidas y aplicables.

2. ¿Cuál es, entonces, el significado de que el Reglamento haya entrado en vigor?

El periodo de dos años hasta la aplicación del Reglamento tiene como objetivo permitir que los Estados de la Unión Europea, las Instituciones Europeas y también las organizaciones que tratan datos vayan preparándose y adaptándose para el momento en que el Reglamento sea aplicable.

En esos dos años, por ejemplo, los Estados miembros pueden adoptar o iniciar la elaboración de determinadas normas que sean necesarias para permitir o facilitar la aplicación del Reglamento. Esas normas no pueden ser contrarias a las disposiciones de la vigente Directiva ni tampoco ir más allá de los poderes de actuación normativa que el propio Reglamento prevé de forma explícita o implícita."

El texto completo se encuentra disponible aquí.

Aunque no está mal el documento preparado por nuestra autoridad nacional, me ha gustado mucho más la Guía del ICO, y su estupenda iniciativa de crear un blog dedicado al RGPD. Si ustedes se sienten solos, deprimidos e inseguros en cuanto a lo que el futuro nos deparará, les recomiendo que lean el documento titulado "What to expect and when".

La CNIL, por su parte, ha optado por preparar unas fichas prácticas con dibujos. Se pueden consultar aquí.El poster descargable queda muy bien en la habitación de los niños. En fin, no sé qué decirles. Son ese tipo de cosas inexplicables que hacen de vez en cuando los franceses (espero que el pueblo que inventó la Grandeur nos acabe obsequiando con una guía en condiciones del RGPD). 

La autoridad alemana también dispone de una guía sobre el RGPD, que en alemán se dice Datenschutz-Grundverordnung. Sin duda es el documento más contundente de los publicados hasta la fecha. Poco más les puedo de él, salvo que si van a la página 6, verán la foto de una señora gorda. Aquí lo dejo porque, pero me están entrando ganas de invadir Polonia. Buenas noches. 


domingo, 29 de mayo de 2016

Tratamiento privado de datos relativos a comisión de infracciones

Como sin duda ustedes ya saben, el apartado 5 del todavía vigente artículo 7 LOPD es una especie de chambre de bonne para datos especialmente protegidos de segunda categoría, que no merecen vivir en las plantas nobles del edificio junto a los datos de saludo o de ideología política (de hecho, a pesar de estar incluidos en este precepto nadie los considera como tales)Dispone el artículo 7.5 LOPD que "los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo podrán ser incluidos en ficheros de las Administraciones públicas competentes en los supuestos previstos en las respectivas normas reguladoras".

El citado artículo 7.5 establece una prohibición general que parece de sentido común. Sin embargo, ocasiona más de un quebradero de cabeza a aquellos responsables de ficheros privados que, circunstancialmente, deben tratar datos relativos a infracciones. Pensemos en mi caso: como abogado tengo varios archivadores con datos de este tipo de mis clientes. Nadie parece haberse planteado hasta la fecha la ilegalidad de nuestro proceder (por favor, organicemos una charla sobre esto en el ICAM a la mayor brevedad posible). También se encuentran en una situación de riesgo las aseguradoras, gestorías, y cualquier entidad privada que solicite un certificado de antecedentes penales para determinadas posiciones, en muchos casos por motivos de seguridad o por imposición legal. 

En mi opinión, esta norma debería interpretarse en el sentido de que una entidad privada no puede crear un fichero con la exclusiva finalidad de tratar datos relativos a infracciones penales o administrativas, pero sí pueden tratar estos datos de forma accesoria cuando sea necesario para llevar a cabo tratamientos legítimos. La interpretación de la Agencia Española de Protección de Datos ha venido siendo estricta con la literalidad del texto del citado artículo 7.5 LOPD. En un informe jurídico del año 2009, se mostraba así de tajante:

"Por otra parte, y refiriéndonos en particular a los ficheros en que se contengan datos relacionados con la comisión de infracciones penales y administrativas, el artículo 7.5 de la LOPD establece que tales datos “sólo podrán ser incluidos en ficheros de las Administraciones Públicas competentes en los supuestos previstos en las respectivas normas reguladoras”.

En consecuencia, el artículo 7.5 de la Ley establece una regla específica para este tipo de datos, que impide, en todo caso, su tratamiento por parte de cualquier entidad de derecho privado, quedando limitado dicho tratamiento a las Administraciones Públicas y, exclusivamente, cuando así lo establezca una norma con rango suficiente. De ello se desprende que, incluso si los datos contenidos en las resoluciones judiciales fueran considerados incorporados a fuentes accesibles al público (cuestión ésta a la que nos referiremos posteriormente), su tratamiento inconsentido se encontraría vedado por la Ley a la consultante, dada su naturaleza jurídico-privada".


En otro brillante a la par que exhaustivo informe del año 2013, la AEPD (y noten que estoy haciendo grandes esfuerzos por no escribir AGEPEDÉ) soltaba la siguiente parrafada a una Administración Pública que estaba obligada a publicar tablones edictales: 

"Pero al propio tiempo, esta previsión deberá complementarse con otra que garantice que los datos personales contenidos en los edictos puedan ser susceptibles de almacenamiento masivo o incluso de conservación por parte de terceros, aunque dicha conservación se derive directamente del acceso al Tablón y no de la consulta del mismo a través de motores de búsqueda.

En este sentido, debe recordarse, en lo que afecta a los actos de contenido sancionador, que el artículo 7.5 de la Ley Orgánica 15/1999 dispone que “los datos de carácter personal relativos a la comisión de infracciones penales o administrativas sólo podrán ser incluidos en ficheros de las Administraciones Públicas competentes en los supuestos previstos en las respectivas normas reguladoras”.

La sentencia de la Audiencia Nacional de 6 de octubre de 2010 analiza el supuesto en que una empresa mantenía un fichero, denominado “potenciales clientes”, con el contenido de los edictos publicados en los distintos boletines oficiales en materia sancionadora de tráfico y seguridad vial, considerando dicha conducta contraria a lo dispuesto en la Ley Orgánica 15/1999, sin perjuicio de la estimación del recurso por otros motivos. Dicha sentencia señala lo siguiente:

“(...) no es posible y está prohibida la creación de ficheros como el que aquí nos ocupa, relacionados con infracciones administrativas de tráfico, por entidades distintas de la Administración Pública competente.
Téngase en cuenta, que en el sitio web desde el que se accede a los datos recogidos en el fichero “Potenciales Clientes” se invita a realizar una “búsqueda entre más de 2,5 millones de multas” o lo que es igual de sanciones impuestas por la comisión de otras tantas infracciones administrativas, por lo que el tratamiento de los mencionados datos personales recogidos en el citado fichero y a los que se accede por
cualquier persona a través del sitio web [*] utilizando los criterios de búsqueda más arriba expuestos es un tratamiento que vulnera el citado artículo 7.5 LOPD.

A lo anterior no obsta que dichos datos procedan o hayan sido recogidos de boletines oficiales que tienen la consideración de fuentes accesibles al público, según el artículo 3 j) de la LOPD. En efecto, si bien el artículo 6.2 de la LOPD excepciona de la necesidad de recabar el consentimiento del afectado para el tratamiento de sus datos, cuando procedan de fuentes accesibles al público, dicha excepción no entra en 
juego en supuestos como el presente, a la vista de la regla específica del artículo 7.5 LOPD para ese tipo de datos, por lo que el origen público del dato resulta irrelevante en casos como el de autos en que una entidad 
privada se dedica a recopilar infracciones administrativas en un fichero (más de 2,5 millones de multas de tráfico) y tratar los datos personales de las mismas, lo que sólo puede llevarse a cabo por las Administraciones Públicas cuando esté previsto en su normativa reguladora.

En conclusión, nos hallamos ante una conducta contraria a la LOPD que vulnera el citado artículo 7.5.”

Pues bien, cuando ya me veía en la cárcel por incumplir sistemáticamente el art. 7.5 LOPD, el insigne Gabinete Jurídico ha emitido otro informe revelador que abre una luz para la esperanza. 

La consulta que da origen a este informe la plantea un empresario (probablemente dedicado al transporte escolar), que debe cumplir con la Ley Orgánica 1/1996, de 15 de enero de Protección Jurídica del Menor. Dicha ley dispone en su art. 13.5: “Será requisito para el acceso y ejercicio a las profesiones, oficios y actividades que impliquen contacto habitual con menores, el no haber sido condenado por sentencia firme por algún delito contra la libertad e indemnidad sexual, que incluye la agresión y abuso sexual, acoso sexual, exhibicionismo y provocación sexual, prostitución y explotación sexual y corrupción de menores, así como por trata de seres humanos. A tal efecto, quien pretenda el acceso a tales profesiones, oficios o actividades deberá acreditar esta circunstancia mediante la aportación de una certificación negativa del Registro Central de delincuentes sexuales”. 

Como podrán imaginar, el nuestro heroico empresario se veía en una difícil encrucijada: Contratar pedarastas o incumplir la Lopedé. Así que decidió plantear una Consulta a la Agencia Española de Protección de Datos. 

Su insigne Gabinete Jurídico, como les he adelantada, suaviza el criterio mantenido anteriormente. En este caso concreto, indica que se podrán conservar los certificados del Registro Central de delincuentes sexuales durante el proceso de selección, mientras dure la relación laboral y, una vez finalizada ésta, durante los plazos necesarios para atender posibles responsabilidades del empresario (acción por despido, etc.). Léanlo ustedes mismos aquí (páginas 4 y 5)

Amigos de Multuato, todavía hay esperanza para nosotros. Buenas tardes.