martes, 30 de septiembre de 2008

Cómo redactar una cláusula LOPD (V): Medios de informar y obtener el consentimiento

De acuerdo al art. 12.3 del RLOPD, “corresponderá al responsable del tratamiento la prueba de la existencia del consentimiento del afectado por cualquier medio de prueba admisible en derecho”. Análoga obligación se establece con respecto al deber de información en el art. 18.1 del reglamento: “El deber de información a que se refiere el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, deberá llevarse a cabo a través de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento de los datos del afectado.”

Es decir, no basta con cumplir con los principios de información y consentimiento, sino que es necesario poder acreditar que dichas prescripciones se han observado. En el caso de que se utilicen formularios, cupones o contratos para la recogida de datos, la solución se presenta relativamente sencilla: bastará con crear un archivo organizado de estos documentos, que en el caso del deber de información podrá incluir documentos escaneados, no originales. Antes de la aprobación del nuevo reglamento, el almacenamiento de cupones publicitarios en empresas para las que resulta fundamental mantener una base de datos de márketing ocasionaba serios problemas de gestión.

El artículo 18.2 del RLOPD indica, tras señalar que corresponde al responsable del fichero acreditar el cumplimiento del deber de información, determina que:

El responsable del fichero o tratamiento deberá conservar el soporte en el que conste el cumplimiento del deber de informar. Para el almacenamiento de los soportes, el responsable del fichero o tratamiento podrá utilizar medios informáticos o telemáticos. En particular, podrá procederá al escaneado de la documentación en soporte papel, siempre y cuando garantice que en dicha automatización no ha mediado alteración alguna de los soportes originales.”
Les llamo la atención sobre tres extremos:
  1. El deber de conservación alcanza únicamente mientras dure el tratamiento de los datos. En caso de que abra un procedimiento sancionador por vulneración del artículo 5 de la LOPD, no podrán exigirles que presente acreditación de haber cumplido con el deber si el tratamiento de los datos en cuestión ya había finalizado.
  2. No basta con el simple escaneo. Es necesario utilizar algún mecanismo que garantice la no alteración de los originales (por ejemplo, firma electrónica).
  3. El art. 18 del reglamento se refiere exclusivamente al cumplimiento de la obligación de información, no a la recogida del consentimiento. Ya conocen Ustedes la diferencia.

A estas alturas, se estarán preguntado qué hacer cuando no se utiliza un cupón o formulario de papel para recoger los datos del interesado. La Agencia Española de Protección de Datos ha respondido a esta pregunta en dos informes jurídicos.

En el Informe Jurídico 93/2008, nos indica respecto a la forma de obtener el consentimiento a través de páginas webs:

"En el supuesto de que la recogida de datos se realice a través de una página web, las obligaciones a las que acabamos de referirnos, suelen cumplirse mediante formularios y cláusulas a los que se accede a través de enlaces como pueden ser “aviso legal” o “política de protección”. También es importante incluir algún tipo de “link” de este tipo en relación con los derechos de los interesados de rectificación, cancelación, acceso y oposición.
En cuanto al consentimiento informado, este habrá de recabarse de tal forma que resulte imposible la introducción de dato alguno sin que previamente el afectado haya conocido la advertencia que contenga las menciones a las que nos hemos referido, pudiendo servir como prueba del consentimiento la acreditación de que el programa impide introducir los datos sin antes haber aceptado el aviso legal al que hemos hecho referencia. Todo ello tiene por objeto asegurar que el consentimiento de los afectados sea efectivamente específico e inequívoco tal y como exige la Ley."

En cuanto a los datos recogidos a través del teléfono, el Informe Jurídico 0268/2008 señala:

"La consideración de haber cumplido con el deber de informar según doctrina reiterada de la Audiencia Nacional corresponde al responsable del fichero la prueba del cumplimiento del deber de informar, y dicha prueba no podría obtenerse en caso de una mera información verbal.
En el supuesto de que la recogida de datos se realice telefónicamente, la acreditación de los requisitos exigidos por la Ley para proceder al tratamientos de datos personales, podrá hacerse a través del establecimiento de una alocución permanente grabada en la que se haga referencia al tratamiento de los datos informando de los extremos contenidos en el artículo 5.1 y de la conservación de las cintas mientras dure el tratamiento. "

domingo, 28 de septiembre de 2008

Twitter y las elecciones americanas

¿Aún no están siguiendo a Obama en Twitter? Sí, yo no tengo la prudencia de Pepiño Blanco, y desde este blog manifiesto mi preferencia por el candidato demócrata, aunque con ello influya en el resultado de las elecciones.

Dudo mucho que sea el propio Obama quien twittee, pero aquí les dejo la dirección: http://twitter.com/BarackObama.

Les confesaré que me parece bastante aburrido (sólo habla de mítines y reenvía a vídeos). Me gusta más la parodia de Sarah Palin que pueden encontrar en http://twitter.com/fakesarahpalin.

¿Existe la ciberguerra?

El Mundo informa que en Oriente Medio la guerra se extiente a la red: Jóvenes israelíes de 18 años atacan sitios musulmanes, y piratas informáticos árabes, responden hackeando la web de la Bolsa de Tel Aviv o distintos Centros Universitarios.

Llevo mucho tiempo leyendo sobre ataques de este tipo. Sin embargo, ninguno ha tenido una repercusión tal que afecte a la vida cotidiana de un número significativo de ciudadanos.

Hace poco leía una noticia similar sobre hackeos mutuos entre georgianos y rusos. Una de las acciones consistió en reenviar todas las entradas a la web del presidente de Georgia, Mijail Saakashvili, a otra web que lo identificaba con Hitler...Si lo piensan es bastante naïf. Estas acciones están más cerca de la propaganda política que de los ataques militares. Al fin y al cabo, Internet es un medio de comunicación y debería utilizarse como tal.

jueves, 25 de septiembre de 2008

El MI5 y la protección de datos

La página oficial del MI5, el servicio secreto británico, resulta tan curiosa que lo que menos le sorprenderá de ella es que incluya información sobre protección de datos.

La sección "Myths and Misunderstandings" no tiene desperdicio. Al parecer, entre los británicos existe la idea de que no hay espías altos (tiene cierta lógica: ¿se imaginan a un tipo de 1,90 detrás de un periódico con dos agujeros para los ojos?). Sin embargo, el MI5 nos dice: "You can be tall and work for the Security Service!". Eso sí, no le asignarán tareas de seguimiento.

Otro de los mitos que desmiente la página oficial es que lleven a cabo asesinatos: "We do not kill people or arrange their assassination". Normal, yo tampoco confesaré lo que le hago a las ardillas del Retiro en este blog.

En fin, una web tan divertida e interesante, ejemplo de comunicación corporativa aplicado a la Administración Pública, no podía dejar de informar del derecho de acceso a los archivos secretos. ¿Le gustaría conocer si hay algún expediente abierto a su nombre? En el Reino Unido, el acceso a la documentación pública puede solicitarse no sólo al amparo de la Data Protection Act de 1998, sino también en virtud de la Freedom of Information Act, en vigor desde el 1 de enero de 2005.

Le tranquilizará saber que el MI5 ha nombrado un "Data Controller", encargado de analizar caso por caso cada petición de acceso planteada. Yo me lo imagino, no sé por qué, al estilo de Sir Humphrey Appleby.

También nos prometen examinar caso por caso las consultas relativas a si un familiar nuestro fallecido trabajó para el servicio. Debe de ser bastante común intentar justificar las excentricidades del tío William diciendo que era un espía, porque se ha incluído una faq con el trámite a seguir para solicitar detalles al respecto.

martes, 23 de septiembre de 2008

El derecho al olvido

Google deberá hacer efectivo el derecho de oposición ejercido frente a él por alguien que no quería que determinada información relativa a su persona apareciera entre los resultados de las búsquedas que se efectuaban introduciendo su nombre.

La resolución R/00924/2008 de la Agencia Española de Protección de Datos vuelve a recordar que "ningún ciudadano que ni goce de la condición de personaje público ni sea objeto de hecho noticiable de relevancia pública tiene que resignarse a soportar que sus datos de carácter personal circulen por la RED sin poder reaccionar ni corregir la inclusión ilegítima de los mismos en un sistema de comunicación universal como Internet".

Bajo esta frase, subyace el poético "derecho al olvido", que se manifiesta en la LOPD en la posibilidad de solicitar la cancelación de datos y de oponerse al tratamiento, en la facultad de revocación del consentimiento y, sobre todo, en el principio de calidad de su artículo 4. En definitiva, el tratamiento de los datos debe tener un plazo temporal, no puede resultar eterno, nadie puede apropiarse para siempre de las informaciones relativas a nuestra persona.

Como ven, estamos ante la faceta más proustiana de la protección de datos. Si les interesa el tema, les recomiendo lo que estoy leyendo ahora: la tesis doctoral de Louis-Xavier RANO, titulada La force du droit à l'oublie.

domingo, 21 de septiembre de 2008

¿Ante quién solicitar la cancelación de los datos personales que aparecen en un blog?

Una sorprendente resolución de la Agencia, la Resolución 32/2008, recaída en el procedimiento de tutela TD/0041/2008, nos lo aclara. El reclamante solicita tutela al considerar que un sindicato ante el que ejerció su derecho de cancelación no atendió adecuadamente éste, al no retirar su nombre del blog que mantiene en Internet. El sindicato alega que el blog no en un fichero y que la mención que se realiza en el mismo del reclamante supone únicamente información sobre su actuación como delegado sindical en un ayuntamiento.
La Agencia estima la petición del interesado, pero no insta al sindicato a cancelar el nombre que figura en el blog, sino que le requiere para que remita al reclamante certificación en la que informe de quién es el responsable del sitio web para que pueda ejercitar ante éste el derecho de cancelación. A continuación, les resumo los puntos fundamentales del razonamiento que lleva a la Agencia a esta extravagante conclusión.
Para empeza considera que los blogs entran dentro de la categoría de ficheros:
"Así, como señala la Sentencia de 18/12/2006, "todo fichero de datos exige para tener esta consideración una estructura u organización con arreglo a criterios determinados. El mero acúmulo de datos sin criterio alguno no podrá tener la consideración de fichero a los efectos de la Ley".
Según declaró la Audiencia Nacional en sentencia de 17/03/2006, un sitio web requiere siempre
"cualquiera que sea su finalidad una organización o estructura que permita el acceso a la información en él contenida".
El propio Tribunal de Justicia de la Unión Europea, en la sentencia de 06/11/2003 /caso Lindqvist) abordó la cuestión y determinó que "la conducta que consiste en hacer referencia, en una página web, a diversas personas y en identificarlas por su nombre o por otros medios, como su número de teléfono o información relativa a sus condiciones de trabajo y a sus aficiones, constituye un tratamiento total o parcialmente de datos personales".
En definitiva, el sitio web "www...X..." es un fichero automatizado de datos de carácter personal al contener informaciones relativas a personas físicas (...)"
Sentado esto, Ustedes podrían pensar que lo lógico es determinar que el responsable del fichero es el sindicato que mantiene dicho blog. Pero aquí, la Agencia cita el articulo 6 del LSSICE, relativo a los prestadores de servicios de la sociedad de la información que albergan datos, que precisamente indica que no serán responsables de los datos albergados por sus clientes cuando no tengan conocimiento de que el contenido es ilícito, y colige que el responsable del fichero es la empresa responsable del portal que facilita alojamiento y herramientas al sindicato para la creación del blog:
"Del precepto transcrito se colige, que, si bien XXXXXX no es responsable de los contenidos del blog, si tiene la obligación de imposibilitar el acceso a los mismos cuando así lo solicite el reclamante mediante el ejercicio del derecho de cancelación."
Dejando las consecuencias prácticas que tiene la consideración de las páginas web como ficheros, no parece que esta última afirmación de la AEPD encaje muy bien con la definición de responsable del fichero. ¿Tiene acaso el proveedor de alojamiento capacidad de decisión sobre la finalidad contenido y uso del blog? ¿Quién debe registrar el fichero?
Así es que, los que se den por aludidos en este blog, y no quieran permanecer en la memoria de la red "ad eternum", ya saben a quién tienen que dirigir sus peticiones.

martes, 16 de septiembre de 2008

¿Cómo se pueden cancelar los datos en soporte papel?

La cancelación de datos procede:
  • Cuando la insta un interesado ejerciendo el derecho que le reconoce el artículo 16 de la LOPD.
  • Cuando los datos de carácter personal inexactos o incompletos, o han dejado de ser necesarios o pertinentes para la finalidad por la que se recabaron, siendo el responsable del fichero quien, de oficio, debe proceder a cancelarlos según dispone el artículo 4 de la LOPD.
La cancelación no equivale a borrado o eliminación física de datos. La identificación que hacía la Instrucción 1/1998 de cancelación y borrado de datos suscitó cierta confusión y fue objeto de análisis detallado en un informe jurídico del año 2001 sobre bloqueo de datos, donde se indicaba:
“Existirán determinados supuestos en los que la propia relación jurídica que vincula al afectado con el Responsable del fichero y que determina, en definitiva, el tratamiento del dato de carácter personal cuya cancelación se pretende, así como las obligaciones de toda índole que pudieran derivarse de la citada relación jurídica y que aparecen impuestas por la Ley impedirá que la cancelación se materialice de forma inmediata en un borrado físico de los datos.
Por el contrario, el Responsable del Fichero estará obligado, bien por el contenido de aquélla relación jurídica, bien por lo establecido en una norma imperativa, al mantenimiento del dato, si bien sometido a determinadas condiciones que aseguren y garanticen el derecho del afectado a la protección de sus datos de carácter personal, no pudiendo disponer de tales datos en la misma medida en que podría hacerlo en caso de que no procediera (de oficio -por haber dejado de ser necesarios para el cumplimiento de la finalidad del fichero- o a solicitud del afectado) la cancelación de los mismos."
En la misma línea, el artículo 5.1.a) del nuevo reglamento nos proporciona la siguiente definición del término “cancelación”:
"b) Cancelación: Procedimiento en virtud del cual el responsable cesa en el uso de los datos. La cancelación implicará el bloqueo de los datos, consistente en la identificación y reserva de los mismos con el fin de impedir su tratamiento excepto para su puesta a disposición de las Administraciones públicas, Jueces o Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades. Transcurrido ese plazo deberá procederse a la supresión de los datos”.
En el caso de los tratamientos automatizados, articular un procedimiento de cancelación de datos en los términos previstos por la citada disposición resulta bastante sencillo, restringiendo el acceso a los registros cancelados a los usuarios del sistema. Sin embargo, la cuestión se complica cuando pensamos en cancelar datos de un registro manual.
Si se trata de cancelar un expediente o una parte fácilmente separable de un archivo, bastaría con destinar una dependencia o armario para guardar tales documentos y restringir su acceso al personal. Se cumpliría de esta forma con la obligación de reservar su ,separando estos datos del resto de los que componen el archivo y que deben continuar en activo. Pero, ¿y si de lo que se trata es de cancelar datos que se encuentran en un documento que debe seguir activo?
La Agencia Española de Protección de Datos, en un supuesto similar, ha determinado que bastará con realizar una anotación marginal que indique que los datos no pueden utilizarse al haber sido cancelados. Tal es el sistema que propone para hacer efectiva la cancelación de los datos recogidos en los libros bautismales que mantiene la iglesia católica en soporte papel. Así, en la resolución de 10 de junio de 2008, recaída en el procedimiento de tutela de derechos 88/2008, indica:
“En el presente caso, la cancelación de los datos personales contenidos en los Libros de Bautismo se articula mediante la inclusión de una “nota marginal”, cuyo objetivo es que no se pueda tener acceso a los mismos, y por tanto se conviertan en inaccesibles, alcanzando con ello el deseo del recurrente de que sus datos no sean conocidos”.
Me reservo la opinión que me merece esta frase y las sutilezas del razonamiento jurídico que realiza la Agencia ante de llegar a la conclusión de que se pueden cancelar datos de las partidas bautismales para otro post.

lunes, 15 de septiembre de 2008

Cómo redactar una cláusula LOPD (IV): Más sobre el consentimiento para la cesión

Si recuerdan, dediqué un post al problema del consentimiento para las cesiones de datos. En el modelo que les proponía, el consentimiento para la cesión de datos se recababa con una fórmula bastante sencilla, donde se daba la posibilidad al afectado de marcar una casilla si no deseaba que la comunicación se efectuase:

"Si desea que sus datos sean cedidos a la Editorial Libros S.A. para que le remita información sobre actos y ofertas, marque esta casilla dándose por informado de la primera cesión...............................................xx".

Un blogtor me pregunta si es obligatorio ofrecer siempre esta opción e indicar el nombre de la empresa cesionaria, o se puede poner simplemente, como hacen muchas cláusulas, "sus datos serán cesidos a empresas del grupo". Tal fórmula de recabo del consentimiento para cesión, que es cierto que se ve a menudo, no parece demasiado acertada, sobre todo a la vista de la Recomendación de la Agencia de Protección de Datos a la Banca a Distancia, recogida en la Memoria del año 2002:

“Si bien las entidades analizadas han manifestado no realizar cesiones de datos a terceros, lo cierto es que en la información que algunas de ellas facilitan a los clientes figuran cláusulas tipo que informan de la posibilidad de efectuar cesiones a «empresas del grupo» para «la oferta y contratación de otros productos y servicios», sin especificar ni las empresas ni los sectores de actividad a que pertenezcan las mismas y sin que éstos sectores puedan deducirse en base a la naturaleza de los productos y servicios que pudieran ofertarse.
En relación con cláusulas como la apuntada cabe señalar que su contenido resultaría insuficiente, ya que no permite conocer la finalidad a que se destinarían los datos cedidos o el tipo de actividad de aquel a quien se pretenden comunicar, por lo que dicho consentimiento sería nulo a tenor de lo recogido en el artículo 11.3 de la LOPD. En definitiva, y como establece el artículo 4.1 de la LOPD, las finalidades para las que se recaben datos han de ser determinadas, explícitas y legítimas.
Por lo expuesto, en caso de que se prevea la realización de cesiones a otras empresas deberá recabarse con carácter previo a la cesión el correspondiente consentimiento en los términos establecidos en la Ley. Igualmente, la cláusula por la que se informa de la posibilidad de la cesión de los datos personales a terceros deberá recoger un procedimiento que permita al interesado expresar su oposición, como por ejemplo la inclusión de una casilla al efecto.”

sábado, 13 de septiembre de 2008

Buenas prácticas en el uso de fax

Pocas empresas disponen de una política sobre uso de fax. Sin embargo, el fax es un medio de comunicación a través del cual puede entrar y salir información de la empresa que debe controlarse. Tenga en cuenta las siguientes recomendaciones:

1º. Prepare una carátula corporativa para los faxes de su empresa y pida a sus trabajadores que la utilicen. ¿No le molesta recibir hojas donde no aparece indicado el destinatario ni el nombre de quien las envía? ¿No ha recibido nunca faxes por error o defectusos donde no aparecía un número teléfono de contacto? Señalar claramente el destinatario, el asunto, la fecha, el emisor y su número de teléfono son reglas básicas de una buena organización empresarial. Además, en la carátula corporativa, podrá añadir un aviso de confidencialidad como el que sigue:

“El contenido de este fax es confidencial y va dirigido exclusivamente a la persona que figura como destinatario. Está totalmente prohibida cualquier divulgación, distribución o reproducción de esta comunicación. Si lo ha recibido por error, por favor, destrúyalo y póngase en contacto con el emisor en su número de teléfono.”

2º. Prohíba a su personal el envío de publicidad por mail sin autorización de la dirección. Las campañas de publicidad por fax hay que planificarlas con cuidado. En el caso de envío de publicidad por fax, debemos tener en cuenta otras leyes a parte de la LOPD. En un primer momento se podría pensar que si el número de fax se encuentra en una guía de teléfonos podemos usarlo libremente, puesto que es una fuente accesible al público a efectos de la normativa sobre protección de datos, o que si está a nombre de una empresa, queda fuera del ámbito de aplicación de la LOPD. Sin embargo, no es así.

El artículo 38.3.h) de la Ley General de Telecomunicaciones dispone:
“En particular, los abonados a los servicios de comunicaciones electrónicas tendrán los siguientes derechos:...
“h) A no recibir llamadas automáticas sin intervención humana o mensajes de fax, con fines de venta directa sin haber prestado su consentimiento previo e informado para ello.”

El artículo 69.1 del Real Decreto 424/2005 indica:
“Las llamadas no solicitadas por los abonados con fines de venta directa que se efectúen mediante sistemas de llamada automática, a través de servicios de comunicaciones electrónicas, sin intervención humana (aparatos de llamada automática) o facsímil (fax), sólo podrán realizarse a aquellos que hayan dado su consentimiento previo, expreso e informado.”

Por tanto, no podemos enviar publicidad por fax que previamente no haya sido consentida por el titular de la línea, independientemente de que ese número corresponda a una empresa o figure en un listín telefónico (abonado se refiere tanto a particulares como a empresas).

Eso sí, la sanción que le puede imponer la Agencia Española de Protección de Datos, que tiene competencia también en estos casos, es muy inferior a la que le correspondería por vulnerar la LOPD.

3º. Destruya periódicamente los faxes recibidos que se acumulan en la bandeja de salida del fax. No permita que se amontonen papeles que nadie recoge durante más de dos o tres semanas. Informe al personal de que se deben revisar los mensajes entrantes cada día y nombre un responsable de revisar la documentación recibida y destruir la inservible.

4º. Aunque no es recomendable prohibir el uso del fax para enviar o recibir información personal de los trabajadores (no se trata de imponer un estado policial), recomiende identificar claramente estos mensajes y estar pendientes de su recogida.

5º. Coloque una nota junto al fax con las normas de uso del mismo para concienciar al personal de su cumplimiento:

  • Utilización obligatoria de carátula
  • Rcogida de faxes diaria
  • Revisión del número marcado antes de dar a enviar
  • Aviso al receptor del envío y comprobación de la correcta recepción en el caso de documentos importantes


miércoles, 10 de septiembre de 2008

Cómo redactar una cláusula LOPD (III): Modelo de cláusula para contrato de trabajo

En el primer post de esta serie, indicaba que es necesario cumplir con el principio de información incluso en aquellos casos en los que no sea necesario recabar el consentimiento del interesado de acuerdo con el art. 6.2 de la LOPD, como por ejemplo, en un contrato. Uno de mis blogtores me pregunta si esta regla se aplica también a los contratos de trabajo, cuando se utiliza el modelo normalizado del INEM. La respuesta es sí. Quizás sea un error del INEM no facilitar una leyenda LOPD adecuada en sus modelos, pero el empresario puede incluir los anexos y cláusulas adicionales al mismo que considere convenientes.

La AEPD ya ha sancionado a algunas empresas que no informaban a sus trabajadores del tratamiento que se daría a sus datos (a este respecto, les recomiendo que lean la R/00371/2005).

Piensen que cuanto mayor sea la cantidad de datos del trabajador que se tratan, más importancia tendrá incluir esta cláusula. A veces, los trabajadores se muestran reticentes o suspicaces cuando el empresario les solicita datos, y en estos casos, actuar con transparencia resulta fundamental. Cuanta más información facilitemos al trabajador, mejor.

A continuación, les presento un modelo de cláusula para contratos de trabajo. Imaginemos que se trata de una empresa que ha implantado una política que obliga a todos los trabajadores identificarse mediante una tarjeta con foto. La cláusula que utilizaría podría ser la siguiente:

"Los datos incluidos en este contrato, así como cualquier otro facilitado directa o indirectamente por el trabajador mientras dure la relación laboral, serán almacenados en un fichero debidamente inscrito en el Registro General de Protección de Datos bajo responsabilidad de EMPRESA, con domicilio social en CALLE/ Nº/CP/LOCALIDAD y CIF B-00000000.

Dichos datos serán utilizados para gestionar la relación entre las partes. El trabajador se compromete a mantenerlos actualizados, especialmente aquellos que sirvan para mantener la comunicación con el empresario (dirección y teléfono).

La fotografía que se solicita en el momento de la firma de este contrato aprecerá en las tarjetas de identificación corporativa, con la finalidad de mantener la seguridad en el acceso a edificios y zonas restringidas. No entregarla supondrá un incumplimiento de las instrucciones del empresario, conducta que podría ser objeto de sanciones disciplinarias.

El interesado podrá ejercer sus derechos de acceso, rectificación, cancelación y oposición dirigiéndose a EMPRESA CALLE/Nº/CP/LOCALIDAD."

lunes, 8 de septiembre de 2008

Cómo redactar una cláusula LOPD (II): Consentimiento para la cesiones de datos

En la primera entrega de esta serie de post sobre cómo redactar cláusula LOPD, obvié a propósito los problemas que plantean las cesiones de datos en la leyendas informativas.

El art. 11 LOPD indica:
"1. Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.
(...)
3. Será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero, cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquel a quien se pretenden comunicar."

Por tanto, es evidente que nuestra cláusula informativa deberá contener una referencia a las cesiones que se pretendan realizar, y ésta habrá de resultar lo más concreta posible.

Una duda que se ha planteado con frecuencia es si se consideran cesiones de datos las comunicaciones que se produzcan entre las empresas de un mismo grupo. La AEPD determina que sí y señala lo siguiente en un Informe Jurídico del año 2000:

El criterio de la Agencia de Protección de Datos, que considera que la transmisión de datos entre empresas de un mismo grupo es constitutiva de un supuesto de cesión que, en consecuencia, requiere el consentimiento del afectado o la habilitación legal para la misma, ha sido ratificado por la Sentencia de la Sección Novena de la Sala de lo Contencioso-administrativo del Tribunal Superior de Justicia de Madrid, de 16 de octubre de 2000, en la que literalmente se señala que "cualquier empresa es libre de constituirse en cualquiera de las formas societarias que el Derecho Mercantil regula.
Asimismo, las empresas que pueden unirse a través de las distintas formas reguladas en derecho: fusión, absorción, sociedades anónimas y, como tales, independientes y con personalidad jurídica autónoma y que por el hecho de que la una sea propiedad de la otra, el particular que contrata con la primera pueda verse perjudicado, precisamente, por la estructura empresarial que la sociedad ha elegido. Si la recurrente ha preferido constituir dos sociedades y trabajar con ellas de manera independiente, beneficiándose así del mantenimiento de dos personas jurídicas distintas, no puede, al mismo tiempo, pretender justificar el conocimiento por parte de la matriz de los datos que le constan a la filial por las operaciones en que esta última ha intervenido pues ello supone olvidarse de que se trata de personas jurídicas distintas. Por otro lado, si el particular contrata con la filial, es a esta sociedad a la que, voluntariamente, se le comunican los datos que, en consecuencia, la filial no puede comunicar a la sociedad matriz en perjuicio del particular."


Volvamos a nuestro ejemplo de ayer. Si la librería pretendiera ceder los datos de los compradores a una editorial de su grupo de empresas, debería solicitar el consentimiento para la cesión. La cláusua quedaría redactada como sigue:
“Los datos que nos facilite a través del formulario de pedido serán incluidos en un fichero debidamente inscrito en el Registro General de Protección de Datos bajo responsabilidad de MISLIBROS S.L., con domicilio social en la calle XXXXX y CIF B-0000000.Los datos marcados con un asterisco son obligatorios. Sin ellos, no podremos proceder a tramitar su pedido. Utilizaremos sus datos para gestionar todos los aspectos que se deriven de la compra que realiza.
Si desea ser incluido en nuestra lista de distribución de información sobre ofertas y nuevas publicaciones por e-mail, marque esta casilla…………………...........................xx
Si desea que sus datos sean cedidos a la Editorial Libros S.A. para que le remita información sobre actos y ofertas, marque esta casilla, dándose por informado de la primera cesión...............................................xx
En cualquier caso, Usted podrá darse de baja de nuestra lista o ejercer sus derechos de acceso, rectificación, cancelación y oposición dirigiéndose a nuestro domicilio social o al buzón MISLIBROS@mislibros.bb.”

domingo, 7 de septiembre de 2008

Cómo redactar una cláusula LOPD (I): Información y consentimiento no son lo mismo

Hoy aprenderemos a redactar esas leyendas que aparecen en letra pequeña en cupones y formularios advirtiendo de que los datos personales serán incluidos en un fichero, utilizados y cedidos.

Estas cláusulas tienen como finalidad informar y, en ocasiones, recoger el consentimiento para el tratamiento de los datos. Se redactan en base a la siguiente normativa de referencia, a la que nos referiremos a lo largo de la explicación:

Debemos tener en cuenta que los principios de información y consentimiento son dos principios distintos.

El principio de consentimiento está recogido en el artículo 6.1 LOPD, donde se indica:

“1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.”

No obstante, esta regla general admite una serie de excepciones que están recogidas en el apartado segundo del mismo artículo 6. Dicho precepto indica que “no será preciso el consentimiento”:
  • cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias
  • cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento
  • cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley
  • cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.
El principio de información implica, como norma general, que en el momento de la recogida de los datos, si estos se obtienen directamente del interesado, se procederá a indicarle una serie de aspectos relativos al tratamiento que figuran enumerados en el art. 5.1 LOPD. Por tanto, para redactar cláusulas informativas hay que tener en tener siempre a la vista este artículo.

El art. 5.1 dice que:

"1. Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:
a.De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
b.Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
c.De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d.De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
e.De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante."

El principio de información no admite excepciones fácilmente. Hay que informar incluso en estos supuestos:

1º. Cuando los datos no se recaban directamente del interesado (por ejemplo, se han obtenido de una fuente accesible al público como la guía telefónica). En estos casos, habrá de remitirse la información al titular de los datos dentro de los tres meses siguientes al registro.

2º. Cuando no es necesario contar con el consentimiento del interesado para el tratamiento de sus datos (por ejemplo, los datos tratados como consecuencia de una relación contractual entre las partes, para la gestión de la misma).

A la hora de redactar una cláusula, recuerden que una cosa es solicitar el consentimiento del interesado para proceder al tratamiento de los datos y otra informarle de las condiciones del tratamiento, aún en los supuestos en los que no sea necesario que consienta. Habrá casos en los sólo tengamos que informar y otros en los que, además de informar, recabemos el consentimiento.


Pensemos en la cláusula que debería figurar en el caso de que comprara un libro on-line.

Para tratar los datos del comprador (mi nombre, mi domicilio, mi NIF, el teléfono de contacto, etc…) no es necesario recabar el consentimiento para el tratamiento de los datos, de acuerdo al artículo 6.2 LOPD: Se trata de una relación contractual. No se puede comprar el libro sin facilitar estos datos. Quien consienta a la compra, debe consentir por tanto al tratamiento de los datos necesarios para gestionar la compra. No se puede comprar de manera anónima, y por tanto, carece de sentido solicitar un consentimiento para el tratamiento de los datos “independiente” del consentimiento prestado al objeto del contrato.

Ahora bien, es posible que el responsable del fichero piense utilizar los datos para otras finalidades distintas, que no se derivan necesariamente de la compra del libro, como por ejemplo enviar publicidad sobre novedades editoriales y ofertas. Para estas finalidades, sí hay que recabar el consentimiento de manera separada al consentimiento del contrato, y además, ofrecer la posibilidad para el interesado de que se oponga a estos tratamientos en el mismo momento de la recogida de los datos. Para esto, se suele pedir al interesado que marque una casilla.

En este sentido, debemos tener en cuenta lo que indica el artículo 15 RLOPD, y que ya había señalado la Agencia en distintos informes jurídicos:

"Si el responsable del tratamiento solicitase el consentimiento del afectado durante el proceso de formación de un contrato para finalidades que no guarden relación directa con el mantenimiento, desarrollo o control de la relación contractual, deberá permitir al afectado que manifieste expresamente su negativa al tratamiento o comunicación de datos.
En particular, se entenderá cumplido tal deber cuando se permita al afectado la marcación de una casilla claramente visible y que no se encuentre ya marcada en el documento que se le entregue para la celebración del contrato o se establezca un procedimiento equivalente que le permita manifestar su negativa al tratamiento."



Teniendo en cuenta todo lo explicado, la cláusula que podría utilizar la librería es la siguiente:

“Los datos que nos facilite a través del formulario de pedido serán incluidos en un fichero debidamente inscrito en el Registro General de Protección de Datos bajo responsabilidad de MISLIBROS S.L., con domicilio social en la calle XXXXX y CIF B-0000000.
Los datos marcados con un asterisco son obligatorios. Sin ellos, no podremos proceder a tramitar su pedido. Utilizaremos sus datos para gestionar todos los aspectos que se deriven de la compra que realiza.
Si desea ser incluido en nuestra lista de distribución de información sobre ofertas y nuevas publicaciones por e-mail, marque esta casilla…………………...............................................................xx

En cualquier caso, Usted podrá darse de baja de nuestra lista o ejercer sus derechos de acceso, rectificación, cancelación y oposición dirigiéndose a nuestro domicilio social o al buzón MISLIBROS@mislibros.bb.”

miércoles, 3 de septiembre de 2008

¿Qué se entiende por actividades personales o domésticas?

Hoy les comentaré una sentencia de la Audiencia Nacional en la que se estima el recurso contencioso-administrativo presentado por unos militares que habían sido sancionados por la Agencia. Esto significa que se anula la resolución recurrida y la multa impuesta, sentando un criterio interpretativo diferente.
Lo que me interesa de ella es el análisis que realiza de uno de los supuestos de exclusión de la LOPD. Como Ustedes saben, la LOPD en su artículo 2.2 excluye de su ámbito de aplicación tres categorías de ficheros. Según indica el citado precepto:
"2.2. El régimen de protección de los datos de carácter personal que se establece en la presente Ley Orgánica no será de aplicación:
a) A los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.
b) A los ficheros sometidos a la normativa sobre protección de materias clasificadas.
c) A los ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada. No obstante, en estos supuestos el responsable del fichero comunicará previamente la existencia del mismo, sus características generales y su finalidad a la Agencia Española de Protección de Datos."

La sentencia analiza el primer tipo de ficheros, los destinados a usos personales o domésticos, concepto del que hasta ahora no disponíamos de un análisis exhaustivo.
Pero además, como interés adicional, el supuesto de hecho que origina la denuncia resulta bastante común en la vida diaria: Se trata de la organización de una reunión para celebrar las bodas de plata de una promoción por parte de un comité de antiguos alumnos, en este caso, de la Academia Militar de Zaragoza. El comité utilizó para enviar las invitaciones datos obtenidos sin el consentimiento de sus titulares. Las direcciones actuales de los antiguos alumnos provenían de agendas personales, esto es, se obtuvieron preguntando a otros alumnos por sus compañeros más cercanos.
Para la Audiencia Nacional, estamos ante un caso de uso de datos para finalidades personales o domésticas, que por tanto, queda fuera del ámbito de aplicación de la LOPD.
Veamos el razonamiento de la Sentencia de 15 de junio de 2006 de la Sala de lo Contencioso Administrativo de la Audiencia Nacional:
"Qué ha de entenderse por “personal” o “doméstico” no resulta tarea fácil.
En algunos casos porque lo personal y lo profesional aparece entremezclado. En este sentido el adverbio “exclusivamente” utilizado en el art. 2.2.a) apunta a que los ficheros mixtos, en los que se comparten datos personales y profesionales, quedarían incluidos en el ámbito de aplicación de la ley al no tener como finalidad exclusiva el uso personal.
Tampoco hay que entender que el tratamiento se desarrolla en un ámbito exclusivamente personal cuando es realizado por un único individuo. Por ejercicio de una actividad personal no debe entenderse ejercicio de una actividad individual. No deja de ser personal aquella actividad de tratamiento de datos que aún siendo desarrollada por varias personas físicas su finalidad no trasciende de su esfera más íntima o familiar, como la elaboración de un fichero por varios miembros de una familia a los efectos de poder cursar invitaciones de boda. Y un tratamiento de datos personales realizado por un solo individuo con finalidad profesional, mercantil o industrial estará claramente incluido en el ámbito de aplicación de la ley 15/1 999.
Será personal cuando los datos tratados afecten a la esfera más íntima de la persona, a sus relaciones familiares y de amistad y que la finalidad del tratamiento no sea otra que surtir efectos en esos ámbitos.
En un caso como el enjuiciado —elaboración de un fichero para celebrar las bodas de plata de una promoción de la Academia General Militar- la finalidad del tratamiento no excede del ámbito que acabamos de expresar pues tiene por objeto mantener los lazos de amistad y compañerismo creados durante el período formativo mediante la celebración de un acto puntual de confraternización de todos los miembros de una determinada promoción con ocasión del veinticinco aniversario de su jura de bandera. -
No se pretende pues una finalidad profesional, aunque todos los partícipes de la celebración pertenezcan a una misma corporación profesional como es la militar.
Por otra parte, este tipo de celebraciones son habituales en numerosos ámbitos de la vida —aniversarios de bodas, de estudios universitarios, de oposiciones, etc... - y aunque participen en ellos colectivos numerosos de personas no exceden de su ámbito más íntimo y privado. En todas ellas es preciso un mínimo de organización que necesariamente ha de conllevar un “tratamiento de datos”, en el amplio concepto que la ley contempla. Ello no significa sin embargo que haya de sujetarse al régimen de protección de la ley al no exceder, como hemos visto, de esa esfera personal o doméstica de la que habla la ley, quedando por tanto excluidos de su ámbito de aplicación.
La propia Directiva 9546/CE, de la que es desarrollo la ley 15/1999, establece en su considerando 12 que la aplicación de los principios de la protección de datos debe excluirse cuando el tratamiento de datos efectuado por una persona física lo haya sido en el ejercicio de actividades exclusivamente personales o domésticas, poniendo de ejemplo la correspondencia o la llevanza de un repertorio de direcciones.
La pretensión de que tales actividades, en cuanto al tratamiento de datos, debieran quedar sujetas a los principios de protección contemplados en la ley 15/1999, con fundamento en una concepción maximalista del principio del consentimiento, como parece expresar la Agencia de Protección de Datos, conllevaría una desnaturalización de las relaciones sociales, sometiéndolas a unos rigores formales en cuanto al manejo de datos personales totalmente ajenos al sentir social y en modo alguno exigidas por el derecho fundamental a la autodeterminación informativa, derecho que no es absoluto y que debe ser interpretado en cuanto a sus manifestaciones y exigencias partiendo de su contraposición con otros derechos y valores constitucionales, como el libre desarrollo de la personalidad, y de la realidad social a la que está dirigido.
De las razones expuestas se deduce en definitiva que no hay una conducta antijurídica de la que pueda hacerse derivar una responsabilidad para los integrantes de la “Comisión para la bodas de plata de la XXXV promoción de la Academia General Militar de Zaragoza”, razón por la que la resolución impugnada debe ser anulada en los términos interesados por los demandantes, con estimación de su recurso."

martes, 2 de septiembre de 2008

¡Por fin!

Ya era hora de que la Agencia Española de Protección de Datos pusiera a disposición de los responsables de ficheros una guía para ayudarles en el cumplimiento de la LOPD.
Otras autoridades de protección de datos europeas lo habían hecho hace tiempo, al igual que la Agencia de Protección de Datos de la Comunidad de Madrid. Ésta última colgó en su web de un interesante cuaderno dirigido a empleados públicos (que podría tomarse de modelo para elaborar manuales de usuarios, por cierto).
Es curioso, pero en lo que se refiere a transparencia y publicaciones, la AEPD va siempre por detrás de la mucho más modesta Agencia de la Comunidad de Madrid. Si no me creen, echen un vistado a la Publicaciones de la APDCM.

lunes, 1 de septiembre de 2008

Libro del mes (Septiembre)

LUCAS MURIILO DE LA CUEVA, Pablo: Informática y protección de datos personales. Estudio sobre la Ley Orgánica 5/1992, de Regulación del Tratamiento Automatizado de Datos de Carácter Personal. Centro de Estudios Constitucionales. Madrid, 1993.

El libro que les recomiendo este mes no sólo no es un novedad editorial, sino que además analiza la LORTAD, disposición que como todos Ustedes saben está derogada. Sin embargo, aprenderán más de este libro que de la mayor parte de las publicaciones recientes.

La obra, muy breve, cuenta con poco más de 150 páginas. Las que reviste mayor interés, en mi opinión, son las comprendidas en los cuatro primeros capítulos.

El autor, magistrado del Tribunal Supremo y Catedrático de Derecho Constitucional, delimita claramente la diferencia entre el derecho reconocido en el artículo 18.4 CE y el derecho a la intimidad, en un momento en el esta cuestión no quedaba clara ni en la propia exposición de motivos de la entonces vigente LORTAD. Así, al hablar el bien jurídico protegido por la LORTAD señala:

“(...) El bien jurídico subyacente es la libertad informática o –en fórmula menos estética pero más precisa- la autodeterminación informativa y consiste, sencillamente, en el control que a cada uno de nosotros no corresponde sobre la información que nos concierte personalmente sea íntima o no (…) Pudiera parecer que la LORTAD no se sitúa aparentemente en la perspectiva que se está defendiendo. En efecto, su artículo 1 repite el texto del apartado 4 del artículo 18 de la Constitución en lo que hace al honor, a la intimidad personal y familiar y al pleno ejercicio de los derechos. Ahora bien, en realidad sus autores son conscientes –y el contenido de la ley así lo refleja- de que no sirve situarse en el campo de la intimidad estricta, de que le honor no puede ser la perspectiva preferente t de que el ejercicio de los derechos es un aspecto secundario, un resultado de la previa satisfacción de otros objetivos. Por eso, se ven obligados a distinguir entre intimidad y privacidad. Según la exposición de motivos, lo que el progreso tecnológico pone en cuestión es esta última (…)”.
(pp. 32 y 33).

En definitiva, en este libro encontrarán un ejemplo de cómo la buena literatura jurídica no pierde su valor por el hecho de derogarse la norma objeto de comentario.