domingo, 28 de diciembre de 2008

El tratamiento de datos con fines históricos (II)

Como recordarán, el viernes a las tres de la madrugada les estaba contando el régimen jurídico aplicable a los tratamientos de datos con fines históricos, cuando me entró el sueño. Por ello, tuve que interrumpir mi relato justo cuando iba a explicarles la regulación que recibe este tipo de tratamientos en el RLOPD.

Comprendo la tensión con la que habrán vivido las últimas horas. Pues bien, dejen de morderse las uñas, porque hoy podrán leer el desenlace de tan interesante post.

El nuevo reglamento dedica un artículo especificamente al tratamiento de datos con fines históricos, estadísticos y científicos:

"Artículo 9.
Tratamiento con fines estadísticos, históricos o científicos.

1. No se considerará incompatible, a los efectos previstos en el apartado 3 del artículo anterior, el tratamiento de los datos de carácter personal con fines históricos, estadísticos o científicos.

Para la determinación de los fines a los que se refiere el párrafo anterior se estará a la legislación que en cada caso resulte aplicable y, en particular, a lo dispuesto en la Ley 12/1989, de 9 de mayo, Reguladora de la función estadística pública, la Ley 16/1985, de 25 junio, del Patrimonio histórico español y la Ley 13/1986, de 14 de abril de Fomento y coordinación general de la investigación científica y técnica, y sus respectivas disposiciones de desarrollo, así como a la normativa autonómica en estas materias.

2. Por vía de excepción a lo dispuesto en el apartado 6 del artículo anterior, la Agencia Española de Protección de Datos o, en su caso, las autoridades de control de las comunidades autónomas podrán, previa solicitud del responsable del tratamiento y conforme al procedimiento establecido en la sección segunda del capítulo VII del título IX del presente reglamento, acordar el mantenimiento íntegro de determinados datos, atendidos sus valores históricos, estadísticos o científicos de acuerdo con las normas a las que se refiere el apartado anterior."

Desde la aprobación del nuevo reglamento, parece claro que el tratamiento de datos con fines históricos:
  • Sólo podrá realizarse al amparo de lo establecido en el Título VII de la Ley 16/1985, de 25 de junio, del Patrimonio Histórico Español, que es el dedicado al patrimonio documental y bibliográfico y de los archivos, bibliotecas y museos.
  • Requerirá autorización de la Agencia estatal o autonómica. El propio reglamento establece el procedimiento para solicitarla en sus artículos 157 y 158, en los que se determina el contenido del la solicitud, el plazo máximo de duración del procedimiento y el efecto positivo de la falta de resolución expresa transcurrido el mismo.

Les destacaré dos artículos de la Ley de Patrimonio Histórico.

En primer lugar, el artículo 49 donde se describe qué se entiende por documento y las categorías de documentos que forman parte del Patrimonio Histórico.

"Artículo 49.

1. Se entiende por documento, a los efectos de la presente Ley, toda expresión en lenguaje natural o convencional y cualquier otra expresión gráfica, sonora o en imagen, recogidas en cualquier tipo de soporte material, incluso los soportes informáticos. Se excluyen los ejemplares no originales de ediciones.

2. Forman parte del patrimonio documental los documentos de cualquier época generados, conservados o reunidos en el ejercicio de su función por cualquier organismo o entidad de carácter público, por las personas jurídicas en cuyo capital participe mayoritariamente el Estado u otras Entidades públicas y por las personas privadas, físicas o jurídicas, gestoras de servicios públicos en lo relacionado con la gestión de dichos servicios.

3. Forman igualmente parte del patrimonio documental los documentos con una antigüedad superior a los cuarenta años generados, conservados o reunidos en el ejercicio de sus actividades por las entidades y asociaciones de carácter político, sindical o religioso y por las entidades, fundaciones y asociaciones culturales y educativas de carácter privado.

4. Integran asimismo el patrimonio documental los documentos con una antigüedad superior a los cien años generados, conservados o reunidos por cualesquiera otras entidades particulares o personas físicas.

5. La Administración del Estado podrá declarar constitutivos del patrimonio documental aquellos documentos que, sin alcanzar la antigüedad indicada en los apartados anteriores, merezcan dicha consideración.”

Como ven, para que la información mantenida por un particular pueda considerarse Patrimonio Histórico, tiene que tener una antigüedad mínima de 1oo años, por lo que difícilmente se encontrarán datos de carácter personal en ella. Es en las Administraciones Públicas donde la conservación de datos con fines históricos puede tener cierto interés...Aunque ya saben... Entre que se decide solicitar la autorización de la Agencia y que pasa el plazo del 158 RLOPD para que Monsieur Directeur responda, los titulares de los datos tratados habrán fallecido y los documentos no quedarán sometidos a la normativa de protección de datos.

En segundo lugar, y en cuanto al acceso a los datos de carácter personal históricos, el art. 57.1 de la Ley de Patrimonio Histórico determina lo siguiente:

“Artículo 57.

1. La consulta de los documentos constitutivos del patrimonio documental español a que se refiere el artículo 49.2 se atendrá a las siguientes reglas:

Con carácter general, tales documentos concluida su tramitación y depositados y registrados en los archivos centrales de las correspondientes entidades de derecho público, conforme a las normas que se establezcan por vía reglamentaria, serán de libre consulta a no ser que afecten a materias clasificadas de acuerdo con la Ley de Secretos Oficiales o no deban ser públicamente conocidos por disposición expresa de la Ley, o que la difusión de su contenido pueda entrañar riesgos para la seguridad y la defensa del Estado o la averiguación de los delitos.

No obstante lo dispuesto en el párrafo anterior, cabra solicitar autorización administrativa para tener acceso a los documentos excluidos de consulta pública. Dicha autorización podrá ser concedida, en los casos de documentos secretos o reservados, por la autoridad que hizo la respectiva declaración, y en los demás casos, por el jefe del departamento encargado de su custodia.

Los documentos que contengan datos personales de carácter policial, procesal, clínico o de cualquier otra índole que puedan afectar a la seguridad de las personas, a su honor, a la intimidad de su vida privada y familiar y a su propia imagen, no podrán ser públicamente consultados sin que medie consentimiento expreso de los afectados o hasta que haya transcurrido un plazo de veinticinco años desde su muerte, si su fecha es conocida, o, en otro caso, de cincuenta años, a partir de la fecha de los documentos.”

Piensen en ello. Yo me voy, que mañana trabajo.

sábado, 27 de diciembre de 2008

El tratamiento de datos con fines históricos (I)

Nadie parece haberse dado cuenta del mayor despropósito de las resoluciones de la Agencia sobre cancelación de datos en partidas bautismales: El tratamiento de datos históricos constituye una excepción al principio de cancelación. Ya les comenté en otro post que coincido plenamente con la siguiente afirmación de la Sentencia del Tribunal Supremo de 19 de Septiembre de 2008:

"Pero es que a mayor abundamiento no cabría estimar tampoco aplicable el art. 4.3 de la citada Ley, en que se funda el acto administrativo impugnado y se confirma por la Sentencia.Ese precepto señala que los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado. Pues bien, en los Libros de Bautismo no cabe apreciar ninguna inexactitud de datos, en cuanto en los mismos se recoge un dato histórico cierto, salvo que se acredite la falsedad, cual es el referente al bautismo de una persona y cuando esta solicita la cancelación de ese hecho, no está pretendiendo que se corrija una inexactitud en cuanto al mismo, sino que en definitiva está intentando y solicitando un sistema nuevo y diferente de registro de nuevos datos personales." (Fundamento Jurídico Cuarto).

Desde luego, el Supremo no pudo entrar en el análisis detallado de esta cuestión, que no estaba incluida entre las causas de casación del Arzobispado recurrente, y acabó divagando sobre la consideración de fichero de los Libros Bautismales y la exclusión de los tratamientos manuales del ámbito de aplicación de la LOPD, interpretando el artículo 2 de esta norma de acuerdo con el considerando (27) de la Directiva 95/46/CE.

Como no puedo dormirme, y me gustan los razonamientos absurdos, hoy les hablaré de los tratamientos de datos históricos en la LOPD. Ya verán, es muy curioso.

El tratamiento de datos históricos se regula, conjuntamente con el tratamiento para fines estadísticos y científicos, en los siguientes artículos:

Les llamo la atención sobre el hecho de que hasta la aprobación del RLOPD no se disponía de un procedimiento específico que permitiera solicitar autorización para la conservación de datos con estas finalidades. Los Arzobispados, en el momento en el que se produjo la campaña de ejercicio del derecho de cancelación, no disponían de ninguna norma que les indicara como obtener una declaración formal de que el tratamiento realizado en los Libros Bautismales tenía la consideración de histórico.

La LOPD articula la conservación de datos históricos como excepción al principio de calidad, que determina, por una parte que los datos deben ser exactos y puestos al día, y por otra, que se cancelarán de oficio, sin que sea necesario que solicitud del interesado, una vez hayan cumplido las finalidades para las que fueron recogidos. El art. 4.5 LOPD señala lo siguiente:

“5. Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.

No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados.

Reglamentariamente se determinará el procedimiento por el que, por excepción, atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación específica, se decida el mantenimiento integro de determinados datos.”

A parte de esto, la LOPD sólo se refiere a los tratamientos con fines históricos, estadísticos o científicos en otro artículo, el 11.2.e), que establece que no será preciso el consentimiento del interesado para la cesión de datos cuando ésta se produzca entre Administraciones Públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.

La conservación del dato como reflejo de una circunstancia concreta del pasado constituye la esencia de la información histórica, y determina una primera limitación en su tratamiento: los datos no podrán modificarse, por lo que pocos tratamientos a parte del almacenamiento del dato y el acceso a los mismos en circunstancias concretas estarán permitidos.

La segunda limitación es la temporal. Con ello, no me refiero a que existan plazos máximos de conservación, sino a que por la propia naturaleza del dato de carácter personal, su tratamiento con fines históricos dejará de estar amparado por la LOPD tarde o temprano: Los datos de carácter personal no lo son eternamente porque van referidos a personas físicas y la personalidad civil se extingue con la muerte (art. 32 del Código Civil).

Recuerden que nuestro artículo favorito del nuevo reglamento, el art. 2, excluye de su ámbito de aplicación a las personas fallecidas (apartado 4). Sin embargo, pensarán los más atentos de Ustedes, se reconoce el derecho a las personas vinculadas al fallecido a dirigirse a los responsables de los ficheros para notificar el óbito y a solicitar, cuando hubiera lugar a ello, la cancelación de los datos. ¿Se podría solicitar la cancelación de datos tratados con fines históricos?

En mi opinión, no. Si el titular no puedo hacerlo en vida, ¿que razón habría para atender la petición de una persona vinculada al finado? No se habla de una cancelación automática, sino de cancelar "cuando hubiere lugar a ello". En fin, veremos cómo lo interpreta Monsieur le Directeur si se produce algún supuesto de este tipo en el futuro. Esperemos que también tenga a bien explicarnos qué debemos entender por "persona vinculada", porque tal y como está redactado el artículo 2.4 RLOPD, cuando yo pase a mejor vida, podrá solicitar la cancelación de datos mi vecino o el mismísimo Paco.

¿Se dan cuenta? ¡Qué gran paradoja, queridos lectores! Por un lado, el dato histórico mantiene su valor con el paso del tiempo (de hecho, lo acrecienta); por otro, transcurrido un periódico de alrededor de 75 años (esperanza de vida media actual), dejaremos de aplicar la normativa sobre protección de datos....Y ahora que se ponen las cosas interesante, me entra sueño...Les termino de contar mañana.....

jueves, 25 de diciembre de 2008

Esperando al Fantasma de las Navidades Futuras

Aquí me tienen, esperando al Fantasma de las Navidades Futuras. Mientras llega, les comentaré un artículo que he leído hace poco en la Revista de la OMPI.

"Negros, creadores, engaños", de la Profesora Jane C. GINSBURG, apunta breves notas sobre el nombre de autor como marca comercial, partiendo del clásico enfrentamiento entre MAQUET y Alejandro DUMAS. ¿Se han parado a pensar en los beneficios que puede tener publicar bajo un nombre? La reputación, el reconocimiento, .... A pesar de que se demostró que MAQUET escribió como negro parte de algunas obras de DUMAS, cuando empezó a publicar por su cuenta tuvo escaso éxito.

Este artículo me plantea la duda de si existe un estatuto jurídico del negro literario (ghostwriter, como lo llaman los ingleses, tan políticamente correctos). Regular jurídicamente esta profesión o actividad resultaría un tanto difícil, ya que de lo que se trata es de pactar una renuncia a la autoría de una obra que, además, como norma general, debe permanecer en secreto.

Si se fijan, Internet ofrece nuevas posibilidades para esta vieja tradición -¿Creen que todos los famosos escriben los blogs en los que aparece su foto?- y también mejora las perspectivas de organización y venta de servicios. Por ejemplo, visiten esta web de negros literarios, que garantiza discreción para sus clientes y trato cordial para sus escritores en plantilla.

martes, 23 de diciembre de 2008

Nuevas adquisiciones

La zona de Bábara de Braganza cada vez tiene más glamour. Además de encontrarse a pocos metros de distancia dos de las mejores librerías jurídicas de Madrid, el Tribunal Supremo y la Audiencia Nacional, cada vez abren más tiendas de moda. De hecho, la primera tienda de Marc Jacobs en España ha sustituido al antiguo concesionario de coches que había al lado de la librería Lex Nova.

El viernes me pasé por Lex Nova para comprar algunos libros, y tras babear en el escaparate de Marc Jacobs, me hice con los que aquí les comento brevemente:

- COTINO HUESO, Lorenzo (coord.): Libertad en Internet. La red y las libertades de expresión e información. Tirant Lo Blanch. Valencia, 2007. Sí, lo han adivinado. Se trata de una colección de artículos sobre Internet y su regulación. Sólo he leído el de Antoni ROIG BATALLA sobre anonimato en la red y me ha sugerido ideas muy interesantes.

- MOLES PLAZA, Ramón J.: Derecho y control en Internet. La regulación de Internet. Ariel Derecho. Barcelona, 2004. Ni es una novedad editorial ni tiene pinta de ser exhaustivo (sólo son 157 páginitas, tan sólo 4 de bibliografía). Igual me llevo una sorpresa cuando lo lea. Se preguntarán por qué me lo he comprado....Por mis tendencias compulsivas.

Buenas noches.

martes, 16 de diciembre de 2008

Videos del Congreso Nacional de Policías Tecnológicas

Como saben, últimamente me interesa la prueba electrónica. Leyendo sobre este tema, he dado con los vídeos del Segundo Congreso Nacional de Policías Tecnológicas, celebrado los pasados días 5 y 6 de noviembre en Madrid. Aunque el evento está organizado por la BSA (entidad que no cuenta con mis simpatías), las ponencias que llevo vistas me parecen interesantes.

Quizás se las comente mañana con mayor detalle. Buenas noches.

lunes, 15 de diciembre de 2008

Libro del mes (Diciembre)

VARIOS AUTORES (MEGÍAS QUIRÓS, José Justo, coord.): Sociedad de la información: Derecho, libertad, comunidad. The Global Law Collection. Edictorial Aranzadi. Pamplona, 2007.

El libro de este mes está constituido por una colección de trabajos realizados en el marco del Proyecto I+D Libertad y Nuevas Tecnologías: delimitación jurídica, financiado por el Ministerio de Educación y Ciencia. Dicho esto, ya pueden imaganirse cuál es el nexo de unión de los artículos que incluye, que son los siguientes:
  • CABRERA CARO, Leticia: "Presentación: Por una sociedad digital sensata".
  • DE MORA QUIRÓS, Enrique V.: "De la comunidad heróica a la comunidad virtual".
  • RODRÍGUEZ PUERTO, Manuel Jesús: "Libertad y derecho en Internet: El mito del ciberespacio".
  • DÍAZ DE TERÁN VELASCO, Mª Cruz: "El desarrollo de la sociedad de la información: Pilares para su regulación".
  • MEGÍAS QUEIRÓS, José Justo: "Hacia una propiedad intelectual comunitarista".
  • VELARDE, Caridad: "La violencia en la sociedad de la Información".
Como en todos los libros colectivos, el interés y originalidad de los trabajos resulta desigual. No obstante, el conjunto alcanza un nivel de calidad más que aceptable y constituye una de las escasas (y más recientes publicaciones) sobre este tema.

Por cierto, en la misma colección, se encuentra disponible La Tercera Generación de Derechos Humanos de Antonio-Enrique PÉREZ LUÑO.

domingo, 14 de diciembre de 2008

¿Qué han hecho sin mí?

He vuelto. Nada más aterrizar de Dublín, entré en la página web de la Agencia para ver cómo se las habían arreglado sin mis comentarios en este humilde blog, faro de la LOPD en el ciberespacio. Veamos las novedades más interesantes.

Con bastante retraso con respecto a la Agencia de Protección de Datos de la Comunidad de Madrid, Monsieur le Directeur nos informa en una nota de prensa que la Agencia está trabajando en una instrucción sobre la publicación de datos en Boletines Oficiales. No es por echarme flores (los que me conocen en carne mortal saben de mi modestia enfermiza), pero ya avisaba yo de la necesidad de regular este tema en mi post de 1 de octubre de este año.

Por otro lado, les destaco los siguientes informes jurídicos entres los últimos publicados:
  • El Informe Jurídico 575/2008 contiene una aburrida divagación sobre si el número de teléfono móvil es un dato de carácter personal o no. Como diría Pumares, sólo apto para los incondicionales del género.
  • Más sobre el artículo 2 del nuevo reglamento. Por si no les quedaban claros los límites dentro de los cuales se puede tratar el dato de persona de contacto sin que se aplique la LOPD, la Agencia vueleve sobre el tema en el Informe Jurídico 443/2008. Lo que más me sorprende es la facilidad que tiene el Gabinete Jurídico para hacer refritos de informes anteriores sin responder a la consulta que se plantea.
  • Sé que Ustedes ya lo sabían: Las empresas de un mismo grupo que reciban servicios de la central, deben firmar con ella un contrato de encargado del tratamiento (Informe Jurídico 494/2008).
  • Y dejo para el final lo más interesante. Lean con atención el Informe Jurídico 439/2008, sobre alcance del deber de informar en caso de reestructuración societaria. La Agencia reconoce la presunción de exactitud de los datos que son facilitados por el interesado en el marco de una relación contractual. Consecuencia: Si se mantiene una relación contractual con el interesado y es obligación de éste mantener actualizado sus datos de contacto (no olviden ponerlo en sus contratos, amigos), no podrá considerarse que el Responsable del Fichero incumple el deber de actualización del art. 4 LOPD en tanto la relación continúe en vigor.

Si Dios no lo remedia, mañana volveré a mi rutina de colgar un post regularmente. Buenas noches.

sábado, 6 de diciembre de 2008

Deberes para el puente

Me voy de viaje a Dublín, donde como Ustedes saben hace una temperatura estupenda en esta época del año. Como no quiero que se aburran en mi ausencia, les he buscado algunos links interesantes:
  • He descubierto el blog K-government via e-cuaderno y me ha gustado el hecho de que entre sus categorías incluya el ciberactivismo.
  • La Agencia Vasca de Protección de Datos ha colgado en su web documentos interesantes. Les recomiendo darse una vuelta por la sección de material de difusión, donde podrán ver el vídeo "Las luces funcionan....Cumpliendo con la protección de datos personales". El título no es un acierto, pero no me negarán la ilusión que les hace ver este tipo de frikadas, en plan vídeo de educacion sexual de los años 60.
  • También en la página de la Agencia Vasca, pueden descargarse un manual de buenas prácticas para las entidades locales.
  • Ya se encuentra disponible el vídeo en diferido de las Jornadas de Seguridad de la Información de la Politécnica, que les comenté en otro post.
  • Por último, les recomiendo que se den una vuelta por el blog Los futuros del Libro, de Joaquín RODRIGUEZ, uno de cuyos temas principales es la edición en la era digital.

Estaré de vuelta la semana que viene. No olviden supervitaminarse y mineralizarse.

miércoles, 3 de diciembre de 2008

Más lecturas orwellianas

Si recuerdan, hace unos días le comentaba un artículo sobre uso del Remote Forensic Software por la policía y los Servicios Secretos, que había leído en la newsletter de Cybex del mes de Noviembre. Ya he recibido la segunda entrega de este trabajo (boletín nº 44). En ella, Wiebke ABEL esboza algunos problemas legales de las evidencias obtenidas con este tipo de programas en Alemania y Reino Unido: la autenticidad de las pruebas recabadas digitalmente, la imposibilidad de discriminar la información de interés para una investigación concreta, el encaje de este tipo de búsquedas en la regulación existente de búsqueda de evidencias físicas,...No resulta un análisis exhaustivo ni incluye valoraciones personales, pero me parece curioso y me suscita diversas dudas sobre la normativa española aplicable a estos supuestos.

Por otro lado, dado que les interesan tanto las lecturas orwellianas, les recomiendo el libro de José F. ALCANTARA La sociedad de control. Con permiso del autor, también responsable del blog Versvs, pueden descargarse la versión en pdf aquí.

lunes, 1 de diciembre de 2008

La sentencia de la Audiencia Nacional de 17 de septiembre de 2008

Se ha publicado el nuevo número de la Revista Datos Personales (Nº 36, 28 de noviembre de 2008). No cuenta con artículos especialmente reseñables, aunque les recomiendo, más que nada por estar al día, el muy breve comentario de la Sentencia de la Audiencia Nacional de 17 de septiembre de 2008 que publica Álvaro RAMOS SUÁREZ. El autor es el responsable del Departamento de Nuevas Tecnologías de Abril Abogados, el despacho que representaba a la empresa sancionada y recurrenete en este procedimiento.

En la revista, sección de Jurisprudencia, podrán encontrar el texto completo de la sentencia comentada, también muy breve. Lo interesante está en el Fundamento Jurídico Cuarto, que indica lo siguiente:

"CUARTO.- De los hechos declarados probados, no cuestionados en este concreto aspecto, resulta que don XXX remitió a la hoy recurrente un SMS al número 5577 desde su teléfono móvil NUM000 con el fin de bajarse una melodía tras ver su anuncio en televisión.

Pues bien, el primer problema que se suscita en el presente caso es si el número de teléfono móvil puede incluirse en el concepto de "datos personales" que recoge el artículo 3.a) de la LOPD (RCL 1999, 3058) que identifica como tales "cualquier información concerniente a personas físicas identificadas o identificables". Es claro que un número telefónico asociado a un nombre y apellidos es un dato de carácter personal pues nos proporciona información sobre una persona identificada. Es más, el propio número de teléfono, sin aparecer directamente asociado a una persona, puede tener la consideración de dato personal si a través de él se puede identificar a su titular.

En el presente caso la Agencia Española de Protección de Datos no ha razonado, y menos ha acreditado, que a través del número de teléfono móvil se haya identificado al titular del mismo o que a partir del citado número fuese posible tal identificación, de forma que el citado número de teléfono ayuno de otras circunstancias que identifiquen o pudiesen permitir identificar al titular del mismo impide que pueda encajarse en la definición legal de dato de carácter personal.

Cuestión distinta es la valoración que pueda hacerse de la conducta de la recurrente respecto a la información transmitida a través del anuncio televisivo y del SMS remitido en contestación al SMS del señor XXX así como la dificultad para darse de baja de un servicio. Aspectos, todos ellos, que exceden el ámbito de conocimiento de la Agencia Española de Protección de Datos y que podrían ser enjuiciados, en su caso, por las autoridades competentes.

Siendo así, procede la estimación del recurso y la anulación de la resolución impugnada con los efectos derivados de tal anulación."

Aunque no he tenido acceso a los escritos de las partes, me da la impresión de que la Agencia no fundamenta suficientemente el hecho de que el número el número de móvil es un dato de carácter personal porque nadie lo ponía en duda. En efecto, el recursos presentado por la empresa sancionada, según resumen de la propia sentencia, se basaba en los siguientes puntos (Fundamento Jurídico Tercero):

"TERCERO.- En la demanda se invocan como fundamentos de la pretensión actora los siguientes argumentos: 1º) el propio titular del teléfono móvil facilita el número del mismo a través del envío de un SMS solicitando un servicio, por lo tanto, desde ese mismo momento está otorgando su consentimiento para el tratamiento, en este caso única y exclusivamente de su número de teléfono móvil. Además, el denunciante inicia de forma voluntaria una relación jurídica con la denunciada, través de la solicitud de servicios, remitiendo un SMS al 5577, relación que está sujeta unilateralmente a la única decisión del cliente solicitante del servicio, siendo, en todo caso, de aplicación la excepción prevista en el artículo 6.2 de la LOPD (RCL 1999, 3058) pues el fallo en la identificación del teléfono de destino, para interrumpir esta relación, por parte del cliente se debe única y exclusivamente a su manifiesta negligencia; 2º) la suscripción a "polimorena", comercializado por la recurrente, no induce a error al destinatario al anunciar claramente que es un servicio de suscripción, su coste y la información del procedimiento para darse de baja. Así, a los tres minutos de haber efectuado el alta en el servicio, el denunciante es conocedor de que se encuentra ante un servicio de suscripción, solicitando su baja, si bien la misma la remitió a un número que en ningún momento ni en ningún SMS se le había facilitado, el 7755; 3º) con carácter subsidiario, se alega en la demanda la falta de proporcionalidad en la sanción impuesta, máxime cuando la recurrente y otras empresas del sector, ante la ausencia de regulación en la prestación de los servicios vía telefonía móvil, han determinado una autorregulación en este tipo de servicios a través de un código de conducta; 4º) la Agencia Española de Protección de Datos no tiene competencia alguna para proponer una sanción en el caso examinado ya que tendría que ser abordado, en su caso, desde el punto de vista de protección de consumidores y usuarios (...)".

Lejos de indicar que el movil no es un dato de carácter personal, lo aceptaba alegando que su tratamiento estaba exceptuado del consentimiento de acuerdo al art. 6.2 de la LOPD (si no fuera un dato de carácter personal no se aplicaría la norma general ni la excepción).

Por otro lado, deducir del fundamento jurídico cuarto que acabo de repetir textualmente que el número de móvil no es un dato de carácter personal en todo caso, como he leído en muchos artículos estos últimos días, resulta excesivo. ¿No les parece? (Referenciar sentencias de oidas o extraer citas parciales tiene estas cosas). Tampoco en la resolución de la AEPD objeto de recurso he podido encontrar que se discuta el carácter de dato personal del número de móvil. Si les interesa, pueden leerla aquí.

La Audiencia no aporta nada nuevo. Se limita a señalar lo que todos sabemos, que si el número se relaciona con una persona será un dato de carácter personal, si no, no (y todo ello, sin que nadie le pregunte sobre el particular). Supongo que por esto la Agencia habrá decidido no recurrir la sentencia.

Buenas noches.

domingo, 30 de noviembre de 2008

Sobre cómo interpretar el artículo 2.3 del RD 1720/2007

Como saben, el artículo 2.3 del RLOPD determina que quedan fuera de su ámbito de aplicación objetivo de la norma "los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros, también se entenderán excluidos del régimen de aplicación de la protección de datos de carácter personal".

Respondiendo a la pregunta planteada por un blogtor, paso a resumirles lo que la Agencia indica sobre este controvertido precepto.

Según la Agencia, cada caso debe analizarse por separado para establecer el límite entre la esfera privada y la actividad profesional. Como norma general, los datos de los empresarios individuales que se refieren exclusivamente a su actividad comercial o mercantil quedan fuera del ámbito de la normativa de protección de datos, incluyendo el nombre del propio empresario cuando éste identifica un establecimiento, producto o marca. Así por ejemplo, una base de datos de farmacias mantenido a efectos de facturación por un proveedor de productos médicos no quedará sometida a lo previsto en el RLOPD, aunque el rótulo de muchas farmacias incluya el nombre de su propietario.

Esto no significa que los datos de los empresarios individuales queden desprotegidos en todo caso. Si la información es tratada fuera del ámbito de ejercicio de la actividad profesional a la que se dedican, por ejemplo, como consumidores particulares, se aplicaría la normativa sobre protección de datos.

Si desean más información, pueden consultar los informes jurídicos 78/2008 y 234/2008.

sábado, 29 de noviembre de 2008

Envío de publicidad por e-mail (II): El concepto de comunicación comercial

Independientemente de que resulte de aplicación la LOPD en algunos supuestos, el envío de comunicaciones comerciales por medios electrónicos se encuentra regulado en los artículos 19 a 22 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSICE).

Como norma general, el art. 21.1 determina:

“Artículo 21. Prohibición de comunicaciones comerciales realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes.
1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas. "

Antes de continuar con nuestra explicación, conviene detenerse en el concepto de comunicación comercial. Éste aparece definido en el Anexo de la LSSICE (apartado f), donde se indica que comunicación comercial es:

"Toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional.

A efectos de esta Ley, no tendrán la consideración de comunicación comercial los datos que permitan acceder directamente a la actividad de una persona, empresa u organización, tales como el nombre de dominio o la dirección de correo electrónico, ni las comunicaciones relativas a los bienes, los servicios o la imagen que se ofrezca cuando sean elaboradas por un tercero y sin contraprestación económica."

Como se desprende del segundo párrafo, no toda comunicación que se remita a un correo electrónico por parte de una empresa tendrá la consideración de comunicación comercial. Por ejemplo, no lo será el correo electrónica que remita a un tercero por cualquier motivo en el que figuran al pie mi condición de abogado y la página web del despacho en el que trabajo. Sin embargo, el concepto resulta bastante amplio (y ambiguo) al incluir la promoción indirecta y referirse no sólo a bienes y servicios, sino a la imagen de la compañía.

La Agencia de Protección de Datos ha emitido recientemente un informe jurídico en el que interpreta esta definición, aunque no tengo claro que esté habilitada para hacerlo. Desde luego, su opinión debe ser tenida en cuenta, dado que es la entidad a quien corresponde sancionar en materia de envío de comunicaciones no deseadas a través de medios electrónicos desde la modificación de la LSSICE que entró en vigor el 20 de marzo de 2004.
Les resalto los siguientes párrafos del informe jurídico de la AEPD:

"(...) El hecho de que las comunicaciones sean remitidas por una entidad sin ánimo de lucro no implica necesariamente que las mismas no puedan ser consideradas comunicaciones comerciales a los efectos de la normativa reguladora de las comunicaciones comerciales no solicitadas. Debe en este sentido tenerse en cuenta que la definición contenida en la Ley 34/2002 no limita este tipo de comunicaciones a las empresas, sino a las organizaciones y a personas que realizan actividades industriales, comerciales, artesanales y profesionales, pudiendo además la comunicación no sólo referirse a productos y servicios, sino incluso a la "imagen" del remitente.

Teniendo esto en cuenta, en caso de que los eventos o actividades a los que se refiere la consulta puedan tener por objeto alguna actividad que pueda ser considerada de publicidad, promoción o prospección de la entidad consultante o de terceros, como por ejemplo, los miembros de su patronato, la remisión de los mensajes a los que se refiere la consulta podría ser considerado comunicación comercial a los efectos previstos en la Ley 34/2002, requiriéndose el consentimiento de los afectados para que la misma pueda tener lugar.

De los términos de la consulta no se deduce claramente la concurrencia o no en el caso analizado de las circunstancias a las que acaba de hacerse referencia, dado que se ignora si los eventos o actividades tiene por objeto la captación de fondos por parte de la fundación (sin perjuicio de que la misma no tenga ánimo de lucro) o la promoción de determinados productos de software cuya promoción y difusión es precisamente el "primer objetivo" de la consultante.

Por ello, no es posible dar una respuesta terminante a la cuestión planteada, debiendo estarse a lo que se ha indicado como criterio general."

En las siguientes entregas de esta serie, trataré de explicarle más sobre este concepto con ejemplos prácticos.

martes, 25 de noviembre de 2008

Tercer Día Internacional de la Seguridad de la Información (DISI 2008)

A través del blog de Julián Inza (al que Paco y yo idolatramos en la distancia), me he enterado de la celebración unas jornadas sobre seguridad de la información el próximo 1 de diciembre. Están organizadas por la Universidad Politécnica de Madrid, en la Escuela Universitaria de Ingeniería Técnica de Telecomunicación.

No sólo la asistencia es gratuita, sino que además se invitará a los asistentes a un cóctel. Para la mayor parte de mis blogtores, esto es incentivo suficiente para ir. No obstante, si desea más información sobre el evento (el programa y otras cosas sin importancia) pinche aquí.

Nueva Inspección Sectorial de Oficio de la AEPD

Si como yo no se pueden dormir, les animo a leer el Informe de la última Inspección Sectorial de Oficio realizada por la AEPD. Se refiere a dos aspectos diferenciados: por un lado, las llamadas telefónicas; por otro, los mensajes a telefonía móvil con fines comerciales y publicitarios. Les sorprenderá comprobar que, a diferencia de lo que venía siendo habitual otros años y en la línea de la nueva política de transparencia y divulgación, el informe contiene recomendaciones para usuarios.

lunes, 24 de noviembre de 2008

I Seminario Internacional sobre Protección de Datos y Personalidad

Sé que mi blogtores se apuntan a todo lo que sea gratis, así que aquí les dejo el link al I Seminario Internacional sobre Protección de Datos y Personalidad, organizado por la Universidad Rey Juan Carlos de Madrid.

Diferencia entre cesión y licencia

El Fundamento Jurídico Tercero de la Sentencia núm. 363/2006, de 14 junio, de la Audiencia Provincial de Zaragoza, nos indica lo siguiente en relación a la diferencia entre "cesión" y "licencia":

"En este procedimiento nos enfrentamos a la tensión entre unos derechos difíciles de aquilatar en su comprensión, puesto que necesitan de categorías intelectuales diferentes a las clásicas utilizadas en la configuración de los derechos materiales. Es el ámbito propio de la propiedad intelectual e industrial, que recaen sobre "bienes inmateriales", que ocupan hoy en día una parte fundamental de la actividad económica. La gran y trascendental diferencia entre los bienes materiales y los inmateriales es que éstos, al ser ilimitadamente reproducibles, poseen autonomía respecto a sus creadores y puedan ser poseídos simultáneamente por un número ilimitado de personas. De esta manera, la protección del titular de un derecho sobre un bien inmaterial está representado, en su más amplio nivel, por la garantía a la "explotación exclusiva", con la consiguiente prohibición a los demás de la utilización o explotación de ese bien inmaterial, en la medida en que ese uso no le sea concedido por el titular de ese derecho sobre el bien inmaterial de que se trate.

Surgen así los conceptos de "cesión" y "licencia" en el ámbito de las propiedades intelectuales e industriales. El primero haría referencia a la transmisión de la titularidad sobre el derecho y la segunda puede entenderse como el "derecho a usar o explotar el objeto protegido por la propiedad industrial o intelectual, a cambio (generalmente) de unas determinadas contraprestaciones". Se trata, pues, de negocios jurídicos con sus evidentes especialidades, pero en absoluto desvinculados de las reglas generales de las obligaciones y contratos de nuestro Código Civil.

Así, en el caso concreto que hoy nos ocupa el hecho central objeto de controversia es, precisamente, el posible abuso de las licencias contratadas y de determinados programas de ordenador o "software". Se entiende por tal genéricamente un "programa de ordenador", aunque, siguiendo las Disposiciones Tipo de la Organización Mundial de la Propiedad Intelectual (OMPI), el software está compuesto por tres elementos: el programa de ordenador, la descripción del programa y el material de apoyo.

Distinguiéndose dos tipos de programas: los de "explotación", que están ligados al funcionamiento de la máquina, son los denominados "sistemas operativos" y que generalmente están instalados en el propio ordenador y los programas de "aplicación", que sirven para satisfacer las variadas necesidades de los usuarios. Dentro de éstos aún habría que distinguir entre los "paquetes de software", aquéllos que sirven para un número elevado de usuarios y los "programas específicos", que responden a las necesidades de un usuario concreto.

En nuestro caso estaríamos ante programas de "aplicación", desconociendo con certeza si se trata de un software genérico para empresas o específico para "SXXXXX". En todo caso, lo que se pretende proteger por la legislación específica (nacional e internacional) son las importantes inversiones que las compañías creadoras del "software" realizaban para inventar aquellos programas, en ocasiones fácilmente reproducibles. De tal manera que se pretende dotar de medios jurídicos (amén de las técnicas que puedan aplicarse) para que el titular del derecho pueda controlar la explotación y distribución de su propiedad intelectual.

En España se ha optado por la vía de la Propiedad Intelectual (derecho de autor), aunque es un tema en discusión el relativo a su posible protección a través del derecho de patentes."

domingo, 23 de noviembre de 2008

Lecturas orwellianas

Es un tópico de la disidencia electrónica citar la obra de Orwell como advertencia al resto de la Humanidad de lo que podría estar haciendo el Gobierno (no importa de qué país, pero especialmente, el Americano) con nuestros datos. Para satisfacer a mis lectores más paranoicos, he encontrado dos lecturas fascinantes.

En la e-newsletter de este mes, Cybex nos presenta la primera entrega de un artículo sobre el uso de remote forensic software por la policía y los servicios secretos. Está escrito por Wiebke ABEL, profesora de la Escuela de Derecho de la Universidad de Edimburgo, donde como algunos de Ustedes saben tuve la desgracia de asistir a un curso el verano pasado. Pero esa es otra historia.

La autora nos habla de algunas prácticas policiales de investigación como la consistente en infectar con un troyano los ordenadores de los sospechosos a través de archivos o programas ubicados en páginas oficiales como la de Hacienda o la Conserjería de Asuntos Sociales. No puedo negar que el trabajo me ha interesado y espero impaciente la continuación, aunque su prosa deja bastante que desear (supongo que se debe a problemas de traducción). El artículo resulta por otra parte de actualidad, dado que recientemente hemos conocido los problemas de la policía para acceder al ordenador del terrorista Txeroki, que utilizaba PGP.

La segunda lectura es el libro de Gerald REISCHL El engaño Google, que me compré ayer cuando fui a desayunar al VIPs al módico precio de 18 euros. No les puedo contar mucho más, porque todavía no lo he leído.

Por cierto, si quieren citar de primera mano 1984, tienen el texto disponible aquí, junto a diversa información sobre Orwell y su aburrida biografía.

jueves, 20 de noviembre de 2008

Un ejemplo de activismo on-line

Mientras desayuno, me permito recomendarles el post que acabo de leer en el siempre interesante blog de Benito Castro.

Se refiere a cómo una rama de "Johnson and Johnson" (Motrin) tuvo que retirar una campaña publicitaria ante las protestas realizadas en blogs, Youtube y twitter: "With regard to the recent Motrin advertisement, we have heard you", dicen en la nota de disculpas de su página web.

El motivo de las protestas es que se insinuaba que las mujeres que usan portabebés lo hacen para presumir de su condición de madres. Me gustaría comentar este tema con más detenimiento, pero debo irme a remar en mi banco de galera. Si quiere más información, puede leer la noticia publicada en Advertising Age.

martes, 18 de noviembre de 2008

Wikitel

A través del Blog de Red.es, me entero de que la Comisión Nacional del Mercado de las Telecomunicaciones ha abierto un Wiki. Aunque no me acaba de gustar visualmente, me parece una idea muy interesante. Veremos cómo evoluciona.

lunes, 17 de noviembre de 2008

El documento de seguridad en el nuevo reglamento

Aunque es indigno de un primer espada como yo dedicarse a estas tareas serviles, hoy he pasado gran parte de mi jornada laboral preparando diferentes cuestionarios para una auditoría. No sé si se han dado cuenta, pero a la hora de revisar las menciones mínimas del documento de seguridad, no sólo tienen que fijarse en el art. 88 del RLOPD. Diversos artículos del Título VIII incluyen aspectos que deberá recoger el documento de seguridad en todo caso o cuando se produzcan determinadas circunstancias. Hagamos un repaso.

Entre las disposiciones generales, aplicable a todos los niveles (sí, yo también me pregunto el por qué de este apartado teniendo en cuenta que las medidas de seguridad son acumulativas), encontramos lo siguiente:

Art. 82:
- Cuando el responsable del fichero o tratamiento facilite el acceso a los datos, a los soporte que los contengan o a los recursos del sistema de información que los trate, aun encargado del tratamiento que preste sus servicios en los locales del primero deberá hacerse constar esta circunstancia en el documento de seguridad en el documento de seguridad de dicho responsable.
- Cuando dicho acceso sea remoto habiéndose prohibido al encargado incorporar tales datos a sus sistemas o soportes distintos de los del responsable, este último deberá hacer constar esta circunstancia en el documento de seguridad del responsable.
- Si el servicio fuera prestado por el encargado del tratamiento en sus propios locales deberá elaborar un documento de seguridad identificando el fichero o tratamiento y el responsable del mismo e incorporando las medidas de seguridad a implantar en relación con dicho tratamiento.

Art. 84:
- Las autorizaciones que en el Título VIII RLOPD se atribuyen al responsable del fichero o tratamiento podrán ser delegadas en las personas designadas al efecto. En este caso, deberán constar en el documento de seguridad.

Art. 86:
- Cuando los datos personales se almacenen en dispositivos portátiles o se traten fuera o de los locales del responsable del fichero o del encargado del tratamiento, será preciso que exista una autorización previa del responsable del fichero o tratamiento. Estas autorizaciones tendrán que constar en el documento de seguridad y podrá establecerse para un usuario o para un perfil de usuarios y determinando un periodo de validez para las mismas.

Los artículos referidos al documento de seguridad en el nivel básico son:

Art. 89:
- Las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de carácter personal y a los sistemas de información estarán claramente definidas y documentadas en el documento de seguridad.
- También se definirán las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento.

Art. 92:
- Los soportes y documentos que contengan datos de carácter personal deberán permitir identificar la información que contienen, ser inventariados y sólo deberán ser accesibles por el personal autorizado para ello en el documento de seguridad.
- Se exceptúan estas obligaciones cuando las características físicas del soporte imposibiliten su cumplimiento, quedando constancia motivada de ello en el documento de seguridad.
- Salida de soportes y documentos: (incluidos los comprendidos y/o anejos a un correo electrónico): debe ser autorizada por responsable del fichero o tratamiento o encontrarse autorizadas en el documento de seguridad.


Art. 93:
- El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que se almacenarán de forma ininteligible.

Art. 94:
- En caso de pérdida o destrucción de los datos, cuando se proceda a grabar manualmente los datos tal circunstancia quedará reflejada, y debidamente motivada, en el documento de seguridad.
- Las pruebas anteriores a la implantación o modificación de los sistemas de información que traten ficheros con datos de carácter personal no se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realización en el documento de seguridad.

Para el nivel medio sólo encontramos una referencia:

Art. 95:
- En el documento de seguridad deberán designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo. Esta designación puede ser única para todos los ficheros o tratamiento de datos de carácter personal o diferenciada según los sistemas de tratamiento utilizados, circunstancia que deberá hacerse constar claramente en el documento de seguridad.

Por último, en lo que se refiere al nivel alto, tenemos:

Art. 103:
- No será necesario el registro de accesos si el responsable del fichero o tratamiento es una persona física o si garantiza que sólo él tiene acceso y trata los datos. Tales circunstancias se harán constar en el documento de seguridad.

Art. 111:
- Los armarios, archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de carácter personal deberán encontrase en áreas en las que el acceso esté protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Dichas áreas deberán permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero. Si no fuera posible cumplir lo esto, el responsable se adoptarán medidas alternativas que, debidamente motivadas, se incluirán en el documento de seguridad.

domingo, 16 de noviembre de 2008

A quién seguir en Facebook

Tras leer un sorprendente post sobre Obama en un blog de street style, me he dado cuenta que ya no tengo a quién seguir en Twitter, ahora que se han acabado las elecciones americanas. Así que, me he abierto una cuenta en Facebook para poder hacerme fan de Pancho, el perro de la primitiva.

viernes, 14 de noviembre de 2008

Al hilo de....

Al hilo de mi post del miércoles, profundizando en la idea de que Internet no es una fuente accesible al público, me gustaría recomendarles la lectura de un informe jurídico de la Agencia Vasca de Protección de Datos. Responde a una pregunta planteada sobre publicación en Internet de datos de participantes en concursos a puestos de trabajo reservados a personal funcionario. El interés del informe, y el motivo por el que se lo destaco, es la inclusión de un Anexo práctico, muy sencillo, con los puntos que debe tener en cuenta una Administración que se disponga a publicar datos de opositores o similares en red.

Les transcribo una de la recomendaciones del protocolo que debe cumplirse en estos casos (pueden consultar el informe completo aquí):

"3.- En cuanto a la información en la propia Web de los diferentes extremos de la publicación que en ella se realiza, deberá dejarse constancia de la naturaleza de los datos que en ella se recogen. Así deberá indicarse que los listados que se publican en la página Web y que contienen datos de carácter personal se ajustan a la legislación actual de protección de datos y su única finalidad, [XXXX Ejemplo de matrícula: de conformidad con lo previsto en el artículo 59 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, es la de proceder a notificar a cada uno de los aspirantes, el resultado de la prueba de nivel, a los efectos del proceso de matriculación.]

También deberá incluirse un párrafo informativo en el que se deje constancia de que, “estos listados no constituyen fuente de acceso público y no podrán ser reproducidos ni en todo ni en parte, ni transmitidos ni registrados por ningún sistema de recuperación de información, sin el consentimiento de los propios afectados”."

Quizás sea una buena idea incluir un texto de este tipo en las página web en las que se publican datos de carácter personal, ¿no les parece?.

Por cierto, Monsieur le Directeur acaba de dictar una resolución relacionada con este tema, la resolución R/00027/2008, que analiza un supuesto de difusión pública de datos en el ámbito de la concesión de plazas escolares. Y como recordarán, hace un tiempo les comenté la recomendación de la Agencia de Protección de Datos de la Comunidad de Madrid sobre publicacion de datos peronales en sitios web de Administraciones Públicas.

miércoles, 12 de noviembre de 2008

Envío de publicidad por e-mail (I): Consideraciones previas

Comenzamos hoy una nueva serie de posts en la que les explicaré las reglas básicas para el envío de publicidad a través de correo electrónico. Antes de entrar en materia, me gustaría aclarar dos puntos que considero importantes:

1º. No nos referiremos exclusivamenete a la normativa de protección de datos. También analizaremos las disposiciones contenidas en la LSSICE, norma que se aplica tanto a personas físicas como a personas jurídicas. Destierren Ustedes de su cabeza la idea de que si un e-mail no se relaciona fácilmente con una persona, y por tanto, no tiene la consideración de dato de carácter personal, puede utilizarse libremente con fines publicitarios.

2º. Internet no es una fuente accesible al público. Los correos electrónicos que aparecen en páginas web corporativas o en blogs como el mío, aunque se encuentren accesibles a cualquiera, no pueden usarse para remitir publicidad sin consentimiento del interesado bajo la excusa de que han sido obtenidos de una fuente accesible al público. La Agencia señala claramente en su reciente Informe Jurídico 342/2008:

"La definición de fuentes accesibles al público se contempla en el al artículo 3 j) de la Ley Orgánica 15/1999, son fuentes accesibles al público "Aquellos ficheros cuya consulta puede ser realizada por cualquier persona, no impedida por una norma limitativa, o sin mas exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público, los Diarios y los Boletines oficiales y los medios de comunicación".

Este artículo debe de complementarse con lo dispuesto en el artículo 7 del Real Decreto 1720/2007, de 21 de diciembre por el que se desarrolla la Ley Orgánica 15/1999 donde establece que "1. A efectos del artículo 3, párrafo j) de la Ley Orgánica 15/1999, se entenderá que sólo tendrán el carácter de fuentes accesibles al público:

a) El censo promocional, regulado conforme a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre.
b) Las guías de servicios de comunicaciones electrónicas, en los términos previstos por su normativa específica.
c) Las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección profesional e indicación de su pertenencia al grupo. La dirección profesional podrá incluir los datos del domicilio postal completo, número telefónico, número de fax y dirección electrónica. En el caso de Colegios profesionales, podrán indicarse como datos de pertenencia al grupo los de número de colegiado, fecha de incorporación y situación de ejercicio profesional.
d) Los diarios y boletines oficiales.
e) Los medios de comunicación social.

2. En todo caso, para que los supuestos enumerados en el apartado anterior puedan ser considerados fuentes accesibles al público, será preciso que su consulta pueda ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación."

Ambas definiciones tienen una enumeración taxativa respecto a lo que cabe considerar como fuentes accesibles al público, lo que impide que consideremos a las páginas web como fuentes accesibles al público. Por ello, para tratar la información contenida en dichas páginas debería de obtenerse el consentimiento de los afectados. "

Con estas reflexiones, les dejo hasta mañana.

martes, 11 de noviembre de 2008

Informe de Asimelec sobre la industria de contenidos digitales

Me ha parecido simplista el breve apartado dedicado a contenidos generados por usuarios (a partir de la página 71) del informe de Asimelec sobre la industria de contenidos digitales . En realidad, todo el informe me lo ha parecido. Se reduce a una relación de datos deslabazados que no ofrece ninguna conclusión original ni útil.

Está bien presentado, contiene muchos gráficos de colores y cuenta con financiación de la SETSI del Ministerio de Industria. Pero si se detienen Ustedes a leerlo, comprobarán que no aporta nada interesate. Pueden descargar el texto completo aquí.

lunes, 10 de noviembre de 2008

Los problemáticos tratamientos no automatizados

De vuelta a la cruda realidad, compruebo que la Sentencia del Supremo relativa a los Libros Bautismales ha suscitado en algunos la duda sobre la diferencia entre fichero y tratamiento. A pesar de que ambos términos se definen de manera distinta en el art. 3 de la LOPD, se utilizan casi como sinónimos en el resto del articulado.

Podemos afirmar que, salvo la obligación de inscripción, el tratamiento automatizado de datos de carácter personal que no se organiza en ficheros queda sometido a las mismas obligaciones que el que sí adopta la forma de fichero.

En el caso de los tratamientos no automatizados, la duda se plantea por el hecho de que la Directiva 95/46/CE los excluye claramente de su ámbito de aplicación, claramente, en su considerando (27):

"(27) Considerando que la protección de las personas debe aplicarse tanto al tratamiento automático de datos como a su tratamiento manual; que el alcance de esta protección no debe depender, en efecto, de las técnicas utilizadas, pues la contrario daría lugar a riesgos graves de elusión; que, no obstante, por lo que respecta al tratamiento manual, la presente Directiva sólo abarca los ficheros, y no se aplica a las carpetas que no están estructuradas (....)"

Sin embargo, no parece que tal haya sido la intención del legislador español. Fíjense si no, en Título VIII del nuevo reglamento, que expresamente se refiere a ficheros y tratamientos no automatizados. Ahora bien, ¿qué obligaciones deben cumplir los responsables de tratamientos no automatizados, además de la adopción de medidas de seguridad del título VIII del RLOPD? Incluso la aplicación de medidas de seguridad acaba siendo confusa. Para muestra un botón. Díganme cómo debe aplicarse el art. 106 del RLOPD a un tratamiento de datos que no es fichero y por consiguiente no está organizado atendiendo a criterios específico relativos a personas físicas:

"Artículo 106.
Criterios de archivo.
El archivo de los soportes o documentos se realizará de acuerdo con los criterios previstos en su respectiva legislación. Estos criterios deberán garantizar la correcta conservación de los documentos, la localización y consulta de la información y posibilitar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación.
En aquellos casos en los que no exista norma aplicable, el responsable del fichero deberá establecer los criterios y procedimientos de actuación que deban seguirse para el archivo."

¿No se dan cuenta que si organizo el tratamiento para localizar expedientes o documentos referidos a una persona concreta convierto ese tratamiento en fichero, dado que fichero no automatizado se define como "todo conjunto de datos de carácter personal organizado de forma no automatizada y estructurado conforme a criterios específicos relativos a personas físicas, que permitan acceder sin esfuerzos desproporcionados a sus datos personales, ya sea aquél centralizado, descentralizado o repartido de forma funcional o geográfica"?

Me duele la cabeza. Me voy a dormir.

lunes, 3 de noviembre de 2008

Oh là là!

Debido a mi próximo viaje a París (donde en esta época del año hace una temperatura excelente, como todos Ustedes saben), no actualizaré el blog hasta la semana que viene. Así que les dejo una selección de links para que se lo pasen bien en mi ausencia (aunque no tanto como yo):
  • Por un lado, pueden Ustedes echar un vistazo a los cursos y casos prácticos multimedia del Instituto de empresa, licenciados con Creative Commons, como explica Enrique Dans en su blog. Son gratuitos y muy bien presentados. Me ha gustado sobre todo el del blog de France Vichy Cosmetic.
  • Para los interesados en la protección de datos, sepan que hoy mismo la Agencia ha colgado en su web la Guía de Seguridad 2008. La mayor parte de su contenido ya estaba disponible en la página (por ejemplo, el modelo de documento de seguridad), pero se han añadido algunos epígrafes interesantes como el de preguntas frecuentes, que empieza en la página 54.
  • Como siento simpatía por los disidentes, les recomiendo que visiten la página Devolución del Impuesto Windows, a la que he llegado a través de la curiosa (y heróica) historia de un profesor que "reivindica su derecho a elegir el sistema operativo integrado en el portátil que compró hace tres años".
Y ahora les dejo, que tengo que preparar la maleta.

domingo, 2 de noviembre de 2008

Libro del mes (Noviembre)

VARIOS AUTORES (ABEL LLUCH, Xavier, dir.): Empresa y Prueba Informática. Colección de Formación Continua de la Facultad de Derecho de ESADE. Bosch Editores. Barcelona, 2006.

El libro de este mes recoge tres breves trabajos (en conjunto, no reunen más de 130 páginas) que tienen como tema central el estudio de la aportación de pruebas informáticas al juicio.

El primer de ellos, escrito por Abraham PASAMAR, lleva el mismo título que el libro y repasa el proceso de obtención, custodia y presentación de la prueba en soportes informáticos.

El segundo, a cargo de Guillermo ORMAZABAL, examina la eficacia probatoria de la firma electrónica, tras una introducción a la Ley 59/2003. Me ha gustado el epígrafe final en el que analiza la proposición de prueba cuando se cuestiona su autenticidad.

Por último, Manuel BELLIDO ASPAS ofrece una visión de la "Utilización del correo electrónico como motivo de despido laboral", que, aunque no recoge la última jurisprudencia al respecto, tampoco carece de interés.

En resumen, una obra sucinta y bien escrita para aquellos que quieran adquirir unas nociones generales sobre el derecho procesal vinculado a las nuevas tecnologías.

viernes, 31 de octubre de 2008

Diccionario de la Sociedad de la Información (III)

Desde el verano, no les había ofrecido ninguna entrega de la serie "Diccionario de la Sociedad de la Información". Sé que les encanta aprender palabras nuevas y utilizarlas en sus presentaciones power point. Ya que estamos en temporada alta de propuestas de servicios, pensado en Ustedes, en sus necesidades laborales, en su desarrollo personal, he aquí una nueva selección de términos:
  • Macintosh. ¿Recuerdan cuando Apple lanzó el Macintosh 128Kb en enero de 1984 con un fastuoso anuncio homenaje a la distopía Orwelliana? Poco tiene que ver el origen de su nombre con el estilizado comercial dirigido por Ridley Scott (que por cierto, sólo se ha visto superado muchos años despúes con "There's only one sun", de nuestro adorado Won Kar Wai, para Philips). Macintosh es un juego de palabras con McIntosh, el tipo de manzana favorita de Steve Jobs. Su fruta fetiche se había convertido en el emblema de la empresa porque a nadie se le ocurrió en tres meses un nombre mejor.
  • Spam. Asombrosamente, este término proviene de una película de los Monty Python. En los años 40 se hicieron muy populares una latas de carne comercializadas por Hormel Foods denominadas Hormel's Spiced Ham (abreviado, SPAM). Tuvieron tanto éxito que la marca se convirtió en una palabra genérica para denominar la carne en lata. En un sketch de 1970, los Monty Phyton hacen cantar a un grupo de wikingos hambrientos una canción en la que la palabra SPAM se repite como estribillo sin sentido: "Spam, spam, spam, spam. ¡Rico spam! ¡Maravilloso spam! Spam, spa-a-a-a-a-am, spa-a-a-a-a-a-am, spam. ¡Rico spam! ¡Rico spam! ¡Rico spam! ¡Rico spam! ¡Rico spam! Spam, spam, spam, spam". Pensando en una repetición de texto sin fin y sin valor, se llamó a los correos electrónicos no deseados de esta manera.
  • Crossconsumer. Según el autor de e-cuaderno, que reseña un libro con este título de Víctor GIL y Felipe ROMERO, este concepto hace referencia a "un consumidor sofisticado que ha saltado las barreras que tradicionalmente le separaban de los productores, que entiende los trucos del marketing, que utiliza herramientas de comunicación para conversar sobre las marcas y que incluso llega a participar en los procesos de innovación de las empresas (crowdsourcing)".

miércoles, 29 de octubre de 2008

Le Monde Diplomatique contra la Ley Hadopi

Les confieso que tengo cierta simpatía por Le Monde Diplomatique, a pesar de su línea editorial progre-trasnochada. De hecho, lo leo con cierta frecuencia, cada vez menos desde que publican en español (¡qué falta de glamour!).

Hace unos días, me encontré con un artículo en la edición digital sobre la Ley "Creación e Internet", también conocida como Ley Hadopi. Firmado por Vincent Caron, bajo el título de "¿Represión de los internautas o remuneración de los artistas?", critica el proyecto de ley presentado al Senado Francés para regular las violaciones de los derechos de autor en Internet.

El texto, al parecer excesivamente garantista de la propiedad intelectual, ha generado controversia hasta el extremo de ser calificado como "proyecto monstruoso" por algunas asociaciones de consumidores y usuarios.

Me sorprende comprobar que hay una entrada en la wikipedia sobre la Ley Hadopi.

martes, 28 de octubre de 2008

Pocas nueces

Supongo que, como a mí, les llamaría la atención la noticia sobre la sentencia de condena por desproteger un programa de ordenador, que apareció comentada en la edición digital de diversos periódicos, entre ellos Expansión. Esta mañana he leído las cuatro páginas que la componen y poco más hay que añadir a lo que señala Assumpta Zorraquino, en su blog.

La sentencia me ha parecido bastante insustancial. El acusado llegó a un acuerdo con el Fiscal , mostrándose conforme con la calificación y la pena solicitada en el juicio oral, por lo que el Juez se limita casi exclusivamente a relatar los hechos. Si quieren acceder al texto completo, la Red Derecho Tic lo tiene disponible aquí.

Otra noticia muy comentada estos días es el Código Ético por la Libertad de Expresión y la Privacidad patrocinado por importantes empresas de nuevas tecnologías como Google, Yahoo y Microsoft. El blog oficial de Google le dedica una entrada, y El Mundo, un artículo en su sección de Tecnología. No he encontrado el texto del código (tampoco he buscado mucho), pero dudo que nos hallemos ante un acontencimiento fundamental en la historia de Internet.

Más divertidos e interesantes me resultaron los posts que leí en dos de mis bitácoras favoritas, a favor y encontra de los blogs (aunque va resultando ya un poco aburrido esto de que la blogosfera se mire constantemente el ombligo). Mientras Enrique Dans nos dice que tenemos blogs para rato, El Catalejo informa que tener uno ha quedado demodé. Personalmente, prefiero pensar que esto último, porque me gusta sentirme como el Príncipe de Salina.

domingo, 26 de octubre de 2008

Fichero o tratamiento

La Agencia nos está ofreciendo algunos de sus más brillantes razonamientos jurídicos en procedimientos relativos a cámaras de videovigilancia. Hoy les animo a leer la resolución R/01049/2008, interesante porque analiza la diferencia entre fichero y tratamiento.

Los hechos son los siguientes: El propietario de un negocio de joyería al por mayor, situado en un inmueble comporatido con viviendas particulares, instaló dos cámaras de seguridad, una el ascensor de la vivienda y otra en la mirilla del local, ubicado en el piso 1º izquierda. Un vecino denunció la existencia de las mismas a la Agencia de Protección de Datos, que tras investigar el asunto, abrió procedimiento sancionador. El propietario de la joyería señaló en sus alegaciones que las cámaras no grabanban y que se utilizaba el cartel descrito en la instrucción 1/2006, salvo por la mención al ejercicio de derechos, que no resulta posible. Igualmente, presentó como pruebas la resolución del Subdelegado del Gobierno donde se autoriza la puesta en funcionamiento de la Joyería y donde se menciona que se han comprobado las medidas de seguridad de la normativa de aplicación, así como copia de un oficio de la Subdelegación del Gobierno en el que se indica que "se ha realizado una visita de inspección en el inmueble citado, y se ha podido comprobar que se había instalados dos cámaras …una de ellas funciona como si de un video portero se tratase, siendo propiedad del titular del establecimiento denominado almacen de Joyería T.T.T. C.B. ubicado en el piso 1º izquierda de la primera planta, donde se ven las imágenes captadas en un monitor de TV, no pudiendo ser grabadas … se comprobó la existencia de un cartel anunciador con la siguiente inscripción "zona videovigilada" (...)"

¿Y qué dirán que hizo la Agencia? Pues sancionar por incumplimiento del artículo 5 de la LOPD. En opinión de la Agencia, la reproducción de imágenes a tiempo real, aunque éstas no se graben, suponen un tratamiento de datos personales desde el punto de vista de la instrucción 1/2oo6 y de la LOPD. Sin embargo, este tratamiento no genera un fichero, y en este sentido, el art. 7.2 de la instrucción determina: "A estos efectos, no se considerará fichero el tratamiento consistente exclusivamente en la reproducción o emisión de imágenes en tiempo real".

"En consecuencia, -
explica la resolución - al amparo de lo dispuesto en los artículos 3 y 7.2 de la Instrucción 1/2006, la utilización de sistemas de videocámaras con fines de seguridad, que no graban imágenes, constituyen un tratamiento de datos que obliga a informar del mismo, pero no genera ningún fichero.

Respecto al modo de ejercitar los derechos de acceso, rectificación, cancelación y oposición de los afectados, cualquier afectado podrá ejercitar sus derechos ante el responsable del fichero y éste deberá en todo caso atenderlos y responderlos, dado que así lo indica lo dispuesto en la norma segunda punto tercero de la Instrucción 1/1998, de 19 de enero, de la Agencia Española de Protección de Datos, relativa al ejercicio de los derechos de acceso, rectificación y cancelación, donde se señala que "El responsable del fichero resolverá sobre la solicitud de acceso en el plazo máximo de un mes a contar desde la recepción de la solicitud (…). En el caso de que no disponga de datos de carácter personal de los afectado deberá igualmente comunicárselo en el mismo plazo".

Coincidimos con la Agencia en que los tratamientos de datos se encuentran dentro del ámbito de aplicación de la Ley (de hecho, su ámbito de aplicación se define en relación a tratamientos, no a ficheros), pero ¿no les parece ridículo que se obligue a informar en este caso de la posibilidad de ejercicio de derechos? ¿Por qué cuando se redactó la Instrucción 1/2006 no se pensó en un anexo específico para el supuesto de las cámaras que no graban imágenes, supuesto muy común en la práctica? Y ya puestos, que nos explique Monsieur le Directeur qué obligaciones deben cumplirse respecto a los tratamientos que no generan ficheros.

martes, 21 de octubre de 2008

¡Oh, los compromisos de confidencialidad!

A aquellos obsesionados con hacer firmar compromisos de confidencialidad a todo el peronal con acceso a datos , les interesará leer el Informe 346/2008 de la AEPD, y en concreto el párrafo que dice:

"La segunda y tercera cuestión está íntimamente conectada con la anteriormente señalado, dado que el deber de confidencialidad y secreto se ha de cumplirse por todos aquellos que tratan datos de carácter personal sin necesidad de formalizar un contrato específico sobre dicho extremo pues así lo establece el artículo 10 de la Ley Orgánica15/1999".

Este tipo de acuerdos resultan inútiles si no se transmiten a los empleados instrucciones concretas sobre lo que se debe y lo que no se debe hacer en relación al tratamiento de los datos personales.

En mi vida profesional, me he topado con compromisos de confidencialidad que repetían textualmente el artículo 197 del Código Penal (¿qué pasa? ¿el Código Penal no es derecho imperativo y se requiere el acuerdo de las partes para exigir su cumplimiento?), pero que no incluían ninguna referencia a cuestiones tan importantes la prohibición de sacar sorportes o documentos de lo lugares de trabajo. No tiene sentido recoger en un contrato lo que la ley ya dispone que se cumpla de manera obligatoria.

Por mi parte, no me canso nunca de repetir a mis clientes que lo fundamental no es que el trabajador firme un contrato de confidencialidad de cuatro páginas, sino un "recibí" de la normativa interna de seguridad que se le entrega en el momento de iniciar su relación laboral con la empresa, reconociendo haberla leido y comprometiéndose a su cumplimiento bajo de pena de sanción disciplinaria.

En lugar de atemorizar al empleado con la posibilidad ir a la cárcel, hay que explicarle claramente cuáles son sus obligaciones, las consecuencias del incumplimiento, y por supuesto, dejar prueba de ello. "Recibís", correo electrónicos remitidos con recordatorios de obligaciones concretas, planes de concienciación sobre protección de datos, registros de asistencia a cursos sobre seguridad....todas estas evidencias podrán ser aportadas en un juicio, o ante la Agencia Española de Protección de Datos, para acreditar que los empleados de una compañía conocían cómo debían actuar.

sábado, 18 de octubre de 2008

La verdad sobre Google

Sé que muchos de Ustedes piensan que convierto cada uno de mis post en una hagiografía de Google y que este blog debería ser editado en formato papel por Ediciones Paulinas. Nada más lejos de la realidad...

Les dejo un link al vídeo que explica toda la verdad sobre la empresa: su Plan de Dominación Mundial, con subtítulos en español (para que el mensaje llegue también a los compañeros revolucionarios que, en lugar de aprender la lengua del imperialismo, optaron por estudiar Chino en el Colegio). Sí, irónicamente, se encuentra disponible en Youtube, pero existe una página oficial, muy cuidada, que pueden visitar aquí.

En Pixel and Dixel, encontrarán más información sobre el estupendo documental (Por cierto, está basado en el libro de este mes). También les recomiendo la lectura de un post antiguo de Microsiervos, que ofrece pruebas irrefutables del PDM de Google.

jueves, 16 de octubre de 2008

Lecturas sobre la Ley de Acceso

La Junta de Catilla y León ha redactado una Guía de Adaptación de las Entidades Locales a la Ley 11/2007, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos. Me ha parecido interesante para sistematizar y ordenar ideas sobre las obligaciones que impone la Ley. Además, resulta bastante práctica al contener ejemplos que muestran el tipo de Administración Electrónica desarrollada por los Ayuntamientos.

Esta publicación se incluye dentro de una colección de guías de calidad irregular (por ejemplo, la de protección de datos resulta bastante incompleta) pero indudable mérico en lo que a iniciativa se refiere, todas disponibles en la web "Red de municipios de Castilla y León".

Por otro lado, la Agencia de Protección de Datos de la Comunidad de Madrid ha preparado una recomendación sobre tratamiento de datos de carácter personal en servicios de Administración Electrónica (RECOMENDACIÓN 3/2008, de 30 de abril). Sin perjuicio de que en otro momento les comente su contenido con mayor detalle, les señalaré tan sólo unas pinceladas:
  • Considera la IP como dato de carácter personal en la línea de la interpretación que viene realizando la AEPD y el Grupo de Trabajo del artículo 29.
  • Indica que constituye un tratamiento de datos la utilización de “cookies” o cualquier tipo de mecanismo de seguimiento, con independencia del tipo de información que se almacene en las mismas, al poder vincularse con el usuario de un determinado dispositivo conectado a Internet y permitir obtener un perfil del mismo.
  • Fomenta el ejercicio telemático de derechos utilizando el e-DNI.
  • Regula el tratamiento de datos que se realiza en los CAPI (Centros de Acceso Público a Internet).
  • Recoge el contenido de las "políticas de privacidad" de las web de las Administraciones.
  • Marca pautas para el uso de foros, chats, suscripción a noticias y envío de SMS.
  • Introduce el concepto de PET (Tecnología de Protección del Derecho a la Intimidad).

En fin, si no pueden Ustedes dormir esta noche, empiecen a leerla.

martes, 14 de octubre de 2008

Anuncios

Hoy tengo dos importantes anuncios que haceles.

El primero es que, dado el interés demostrado por algunos de mis blogtores en el post de ayer, he decidido iniciar una serie dedicada a la publicidad realizada por e-mail. Como me gustan las cosas sencillas, originales y breves, la titularé: "Todo lo que siempre quiso saber sobre la publicidad por e-mail y nunca se atrevió a preguntar". No obstante, espero que sí se atrevan a preguntarme sus dudas en la dirección de correo que figura en la columna de la derecha. Trataré de dar respuesta a todas ellas durante las siguientes semanas.

En segundo lugar, les informo que Monsieur le Directeur ha decidido presentar incidente de nulidad de actuaciones frente a la sentencia del Tribunal Supremo relativa a la cancelación de datos recogidos en los libros bautismales. Por lo que se desprende de la nota informativa preparada al efecto, la Agencia justifica su próxima actuación en lo siguiente:

"La configuración del derecho fundamental a la protección de datos se ve vulnerada por la Sentencia como consecuencia de la interpretación que en la misma se efectúa del concepto de “fichero”, que limita en gran medida la doctrina del Tribunal Constitucional en relación con el ámbito de aplicación de las garantías otorgadas por el artículo 18.4 de la Constitución.
La Sentencia, al negar el carácter de ficheros a conjuntos de datos “ordenados” con arreglo a un determinado criterio que permita la accesibilidad a los mismos, puede implicar una grave restricción del propio derecho fundamental, aplicable no sólo al supuesto enjuiciado, sino a otros posibles supuestos que se planteasen al Tribunal en el futuro, en que en aplicación de dicha doctrina, el Tribunal podría llegar a valorar si incluso, existiendo un “conjunto ordenado de datos”, dicho conjunto tiene efectivamente la condición de fichero, negando tal condición a conjuntos de datos respecto de los que efectivamente debe operar la garantía del derecho fundamental a la protección de datos."

Tengo pensado dedicar un post al comentario detallado del ejercicio del derecho de cancelación en relación a los libros bautismales, tema que me interesa también como ejemplo de activismo relacionado con las nuevas tecnologías.

Desde luego, llaman la atención las cifras ofrecidas por la Agencia: 650 resoluciones en procedimientos de tutelas de derecho referidas a la solicitud de cancelación de datos en libros de bautismo y 556 solicitudes de tutela de derechos pendientes de resolución. Da qué pensar, sobre todo en lo que relativo a la utilización de las garantías previstas para la defensa de un derecho fundamental para fines ajenos a dicho derecho en el marco de campañas organizadas de presión, que la Agencia, en lugar de parar, fomenta. Pero en fin, "ne jugez pas", como diría André Gide.

Les adelanto que lo fundamental, en mi opinión, no es si los libros bautismales son o no ficheros, sino el análisis de la naturaleza del derecho de cancelación en este supuesto concreto. Suscribo palabra por palabra lo que la Sentencia del Supremo, cuyo texto completo pueden leer aquí, indica en su Fundamento de Derecho cuarto:

"Pero es que a mayor abundamiento no cabría estimar tampoco aplicable el art. 4.3 de la citada Ley, en que se funda el acto administrativo impugnado y se confirma por la Sentencia.
Ese precepto señala que los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado. Pues bien, en los Libros de Bautismo no cabe apreciar ninguna inexactitud de datos, en cuanto en los mismos se recoge un dato histórico cierto, salvo que se acredite la falsedad, cual es el referente al bautismo de una persona y cuando esta solicita la cancelación de ese hecho, no está pretendiendo que se corrija una inexactitud en cuanto al mismo, sino que en definitiva está intentando y solicitando un sistema nuevo y diferente de registro de nuevos datos personales."

Les dejo sumidos en esta profunda reflexión, mientras yo me apresuro a meterme en la cama para ver "Los paraguas de Cherburgo".