jueves, 31 de diciembre de 2009

Novedades en videovigilancia

Comenzaremos el año con una importante novedad en materia de videovigilancia.

La Agencia Española de Protección de Datos acaba de publicar una nota informativa sobre la modificación que se produce tras la entrada en vigor, el pasado 27 de diciembre, de la Ley 25/2009.

Esta norma liberaliza determinadas actividades de seguridad privada, permitiendo que la venta, entrega, instalación o mantenimiento de sistemas de vigilancia podrá llevarse a cabo por particulares y empresas distintas de las de seguridad privada (es decir, sin necesidad de autorización del Ministerio del Interior) siempre que la instalación no implique una conexión con centrales de alarma.

martes, 8 de diciembre de 2009

Novedades sobre tratamiento de datos de los trabajadores

Sí, queridos blogtores. He vuelto. Para todos aquellos fans que se preocupaban por mi estado de salud, les diré que me encuentro mucho mejor.

En este tiempo, han pasado muchas cosas en el mundo Lopedé. He leído con fruición los nuevos informes jurídicos de la web de la Agencia y sobre todo, su guía sobre relaciones laborales, disponible aquí.

También se refiere al tratamiento de datos de los trabajadores el Informe Jurídico 529/2009. Léanlo, no se arrepentirán.

Por último, una resolución sobre instalación de cámaras para vigilar a empleados. Esta vez, la entidad sancionada es ERICSSON.

domingo, 8 de noviembre de 2009

Estándares internacionales sobre protección de datos y privacidad

Supongo que estarán ustedes ansiosos por leer los resultados de la Conferencia Internacional sobre Privacidad, celebrada en Madrid hace unos días. Ya ven, Monsieur le Directeur está volcado en sus aspiraciones imperiales, como Alfonso X. Sigo sin ánimos para comentarios más profundos.

viernes, 6 de noviembre de 2009

Proyecto de Real Decreto por el que se regula el Esquema Nacional de Seguridad

El Consejo Superior de Informática ha publicado el borrador del Real Decreto por el que se regula el Esquema Nacional de Seguridad, norma que dará cumplimiento a lo dispuesto en el art. 42.2 y en la disposición de final octava de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos. Se merece un comentario más amplio por mi parte, pero, sinceramente, hoy no tengo ánimos. Lean aquí el texto completo.

jueves, 5 de noviembre de 2009

El caso de los datos de pacientes publicados en un tablón

La resolución de hoy (R/00955/2008) es bastante bizarra. El Colegio de Médicos de Catabria, a petición de varios colegiados, denuncia a un centro hospitalario por publicar en un tablón protocolos de actuación relativos a cinco pacientes que reciben tratamiento de metadona. Ni cortos ni perezosos, los denunciantes mandaron al Notario del Pueblo a que levantara acta de este hecho:

"El acta notarial levantada el 22/03/2006 por el Notario D. Y.Y.Y., con nº (....) de su protocolo, es comprensiva de una diligencia que recoge lo siguiente: “el día veintitrés del mismo mes y año que el acta precedente ... me persono, yo el notario ... en el Centro de Salud situado en la (C/..........), observando lo siguiente : Que en el tablón anuncios que se encuentra situado en la planta baja, junto a la puerta de acceso al salón de reuniones, hay colgado, entre otros, un documento extendido en un folio de papel común, del que el requirente me entrega una fotocopia para incorporar a esta matriz, y que compruebo es fiel reproducción del que aparece publicado en dicho tablón de anuncios”."

El Centro de salud alegó en su defensa que dicho tablón no se encontraba expuesto al público y que los datos debieron colocarse allí para informar a los facultativos contrarios al programa que se negaban a cumplirlo, y que, se insinúa, por eso mismo interponen la denuncia ante la AEPD.

La Agencia determina:

"A esta Agencia no le compete valorar las medidas que el “Cargo 2” del Centro adopta en el desempeño de su cargo para la efectividad de sus competencias, pero sí le corresponde valorar el cumplimiento de la normativa sobre protección de datos personales, concluyéndose como contrario a la “confidencialidad y el deber de secreto” que debe mantenerse en el tratamiento de datos especialmente protegidos acudir, como se efectuó, a la inserción en el panel informativo del Centro de un documento sobre las pautas de dispensación de metadona sobre cinco afectados sin su consentimiento.

Es mas, el número reducido de cinco destinatarios incluidos en el documento publicado se estima hacía innecesario acudir a la inserción en el panel informativo. Por ello, la notificación del documento con las pautas sobre el suministro de metadona debió observar el ”secreto y la confidencialidad” de los datos de los afectados y limitarse, exclusivamente, a el “Cargo 2”, al afectado y a su medico, y sin que se aprecie a efectos del derecho fundamental a la “prestación sanitaria” necesario la publicación del documento en el panel informativo."

Sin ánimo de emitir opiniones sobre hechos que no conozco, la inquina mostrada por los médicos, el mandar a un Notario a levantar acta, el que este procedimiento no lo inicie ninguno de los afectados, me hace pensar que una vez más se está utilizando el derecho fundamental a la protección de datos con finalidades que nada tienen que ver con el mismo. Afortunadamente, el centro era público y no pagó ninguna multa.

Buenas noches.

miércoles, 28 de octubre de 2009

Más sobre comunidades de propietarios

Dado que la mayor parte de lectores de este blog son morosos profesionales (excepto Don Emilio, presidente de mi club de fans, hombre de moral intachable), he considerado de interés comentarles una nueva resolución de la Agencia en la que se sanciona a una comunidad de propietarios por publicar datos de cuotas indebidas.

En este caso (resolución R/01528/2009), la comunidad sancionada alegó que los datos de los propietarios morosos se habían publicado en los tablones, conjuntamente con la convocatoria de Junta General, ya que dicha convocatoria debe contener una relación de propietarios que no estén al corriente en el pago de las deudas vencidas a la Comunidad, advirtiendo de la privación del derecho al voto. De esta forma, se entendía que la comunicación de datos queda amparada en las excepciones del artículo 11.2.c) de la LOPD.

Ya les expliqué en un post anterior en qué condiciones resultaba lícito publicar estos datos, tal y como había explicado la Agencia en distintas ocasiones. Efectivamente, si se intenta comunicar la convocatoria de Junta a los morosos por otros medios y no es posible, el art. 9 de la Ley de Propiedad Horizontal permite la notificación de la misma a través de los tablones de anuncio del edificio.

Pues bien, la Agencia determina lo siguiente:

"Entre las obligaciones de cada propietario, el artículo 9.1 h) de la vigente Ley 49/1960 de 21 de julio, sobre Propiedad Horizontal, establece la consistente en:

"Comunicar a quien ejerza las funciones de secretario de la comunidad, por cualquier medio que permita tener constancia de su recepción, el domicilio en España a efectos de citaciones y notificaciones de toda índole relacionadas con la comunidad. En defecto de esta comunicación se tendrá por domicilio para citaciones y notificaciones el piso o local perteneciente a la comunidad, surtiendo plenos efectos jurídicos las entregadas al ocupante del mismo.

Si intentada una citación o notificación al propietario fuese imposible practicarla en el lugar prevenido en el párrafo anterior, se entenderá realizada mediante la colocación de la comunicación correspondiente en el tablón de anuncios de la comunidad, o en lugar visible de uso general habilitado al efecto, con diligencia expresiva de la fecha y motivos por los que se procede a esta forma de notificación, firmada por quien ejerza las funciones de secretario de la comunidad, con el visto bueno del "Cargo 1". La notificación practicada de esta forma producirá plenos efectos jurídicos en el plazo de tres días naturales".

En consecuencia, siempre que la publicación obedezca al hecho de que la convocatoria de la Junta, en la que deben figurar los datos a los que se refiere el artículo 16.2 de la Ley de Propiedad Horizontal, no haya podido ser notificada a alguno de los propietarios por el procedimiento que acaba de describirse, la cesión que implica la publicación de la Convocatoria en el tablón de anuncios se encontrará amparada por el artículo 11.2.a) de la Ley Orgánica 15/1999."

De este modo, la inclusión de los datos de los propietarios que no se encuentran al corriente de sus pagos se encuentra en todo caso habilitada por la Ley de Propiedad Horizontal, y por ende por el artículo 11.2 a) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, siempre que se produzca con la convocatoria de la Junta, siempre que se reúnan todos los requisitos que buscan un galantismo para evitar presiones."

No obstante, el caso objeto de esta denuncia, no se halla incluido en el supuesto que habilitaría la exposición pública. En este supuesto, se manifiesta que se entrega la convocatoria en el buzón de cada propietario, por lo tanto si así fue, no se precisaría la comunicación edictal en tablones. De otra forma, si no se hubiera notificado de ese modo comúnmente admitido por los vecinos, se podría haber enviado por correo certificado y solo si de modo no se constatara su entrega, se pasaría siguiendo el artículo 9.1.h) a la colocación en tablones, con las diligencias expresadas, que tampoco en este caso figuran en el tablón.

Por tanto, no se cumplen los requisitos para poder publicar en tablones de anuncios la convocatoria de Junta. "

Y les pone una multa de 1.200 euros, de la que el propietario moroso, en su caso, tendría que pagar la cuota proporcional ...

Buenas noches.

domingo, 25 de octubre de 2009

Libro del Mes (Octubre)

LUCAS MURILLO DE LA CUEVA, Pablo y PIÑAR MAÑAS, José Luis: El derecho a la autodeterminación informativa. Fundación Coloquio Jurídico Europeo. Madrid, 2009.

El libro que les recomiendo este mes recoge dos breves análisis (en conjunto no llegan a las 200 páginas) sobre el fundamento del derecho a la protección de datos.

El primero de ellos, "La construcción del derecho a la autodeterminación informativa y las garantías para su efectividad", está escrito por Pablo LUCAS MURILLO DE LA CUEVA, Catedrático de Derecho Constitucional y Magistrado del Tribunal Supremo. Se trata de uno de los primeros autores que ofreció un análisis coherente sobre el derecho reconocido en el art. 18.4 de nuestra Constitución, y al que sigue llamando "derecho a la autodeterminación informativa", a pesar de que el Tribunal Constitucional se ha decantado ya por otra denominación. Ya les recomendé otro libro suyo en septiembre del año pasado.

El segundo trabajo, titulado "Protección de datos: origen, situación actual y retos de futuro", corre a cargo de José Luis PIÑAR MAÑAS, Catedrático de Derecho Administrativo de mi Alma Mater (el CEU-San Pablo), y anterior Director de la Agencia Española de Protección de Datos.

A pesar de que no se trata de estudios pormenorizados de cada detalle de la norma, ambos textos aportan reflexiones importantes sobre la materia. No dudo que su lectura resultará de interés a todos aquellos que alguna vez se han cuestionado por qué existe una ley orgánica que regula el tratamiento que se realiza de los datos de carácter personal.

Pueden encontrarlo, al precio de 15 euros, en la Libreria Lex Nova, tanto en la tienda de Madrid (ya saben, al lado de la de Marcs Jacobs), donde yo lo compré, como en venta on-line.

sábado, 24 de octubre de 2009

Mensaje de la Dirección

Como verán, la Dirección de Ad Edictum se ha decidido a publicar una pequeña nota explicando que desde este blog, aunque se trate de responder todas las dudas que se plantean, no se realiza ningún asesoramiento profesional.

Ad Edictum incluye reflexiones y comentarios sobre el Derecho de las Nuevas Tecnologías, como los puede incluir un artículo de opinión, y por tanto no asume ninguna responsabilidad por las consecuencias que puedan derivarse de seguir el criterio que manifiesta.

Los contenidos son gratuitos, no insertamos publicidad, y no obtenemos más beneficio que el de disfrutar del cariño de Ustedes (que, por cierto, ya podrían manifestar más a menudo, y no sólo cuando hay un libro de por medio).

lunes, 19 de octubre de 2009

Y si.....

¿Y si, Dios no lo quiera, Monsieur le Directeur cayera víctima de la gripe A? ¿Se paralizaría el mundo de la LOPD mientras él estuviera en el lecho del dolor? ¿Nadie sería sancionado? ¿Las empresas enviarían impunemente publicidad sin consultar la lista Robinson de la FECEMD? ¿Se colgaría videos en Youtube sin criterio? ¿Cualquier bar instalaría cámaras de video vigilancia para grabar a sus clientes comiendo churros sin el preceptivo cartel informativo?

No se preocupen. Esta posibilidad ya está prevista. El año pasado se modificó el estato de la AEPD, añadiendo un nuevo artículo, el 13 bis (ya les vale, podrían haber añadido el 14 bis), que dice lo siguiente:

"Art. 13 bis. Régimen de suplencia.

1. En los supuestos de ausencia, vacante o enfermedad del Director de la Agencia Española de Protección de Datos, el ejercicio de las competencias previstas en los artículos 12.2 y 13.1 del presente Estatuto, así como las que le correspondieran en aplicación de lo previsto en el artículo 37 de la Ley Orgánica 5/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, será asumido por el Subdirector General de la Inspección de Datos. En el supuesto de que cualquiera de las circunstancias mencionadas concurriera igualmente en él, el ejercicio de las competencias afectadas será asumido por el Subdirector General del Registro General de Protección de Datos y, en su defecto, por el Secretario General.

2. Cuando, conforme a lo previsto en la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, concurriera en el Director de la Agencia Española de Protección de Datos alguna causa de abstención o recusación, el ejercicio de las competencias a las que se refiere el apartado anterior, será asumido por el Subdirector General de la Inspección de Datos. En el supuesto de que cualquiera de las causas mencionadas concurriera igualmente en él, el ejercicio de las competencias afectadas será asumido por el Subdirector General del Registro General de Protección de Datos y, en su defecto, por el Secretario General.
"

(Real Decreto 1665/2008, de 17 de octubre, por el que se modifica el Estatuto de la Agencia Española de Protección de Datos, aprobado por Real Decreto 428/1993, de 26 de marzo)

sábado, 17 de octubre de 2009

Segunda parte

¿SON NECESARIAS LAS POLÍTICAS DE USO DE INTERNET Y CORREO ELECTRÓNICO EN LAS EMPRESAS? (II)

Continuación. Lea la primera parte aquí.

La importancia de esta sentencia reside en el hecho de que simplifica los procedimientos y las circunstancias en las que el empresario podrá acceder a los equipos informáticos de los trabajadores.

Ya no será necesario cumplir con los requisitos explicados del 18 del ET: el límite al control empresarial vendrá marcado por la adecuada difusión de políticas e instrucciones de uso difundidas entre los trabajadores.

Resulta fundamental redactar políticas con un contenido adecuado y dejar pruebas de su distribución entre los trabajadores de la empresa. Respecto a esto último, el empresario puede optar por distintos mecanismos: desde incluir un anexo o cláusula en el contrato del trabajo a solicitar la firma de la correspondiente política en un momento posterior, pasando por avisos automáticos en los sistemas informáticos de la empresa.

Por lo que se refiere al contenido de la política, desde el año 2002 disponemos de un documento redactado por el Grupo de Trabajo del artículo 29 (GT29) relativo a la vigilancia de las comunicaciones electrónicas en el lugar de trabajo. El GT29, que se crea en cumplimiento del citado artículo de la Directiva 95/46/CE, marca una serie de pautas que fijan los límites legítimos en que se puede efectuar dicha vigilancia. Para redactar este documento, el GT29 se basa no sólo en la interpretación de la directiva 96/46/CE, sino en la Jurisprudencia del Tribunal Europeo de Derechos Humanos y diversos textos internacionales como las recomendaciones de la Oficina Internacional del Trabajo.

El documento detalla la información mínima que el empresario debe transmitir al trabajador sobre el tipo de controles que pretende realizar por lo que resulta de gran utilidad práctica para las empresas que quieran implantar instrucciones al respecto entre sus empleados. El GT29 argumenta sus recomendaciones sobre vigilancia en el lugar de trabajo en base a los principios de transparencia, necesidad y proporcionalidad. El principio de transparencia es el primer presupuesto necesario de cualquier acción de vigilancia o control que se lleve a cabo sobre el uso de Internet y correo electrónico por parte de los trabajadores. Supone en la práctica que al trabajador se le suministrará dos tipos de información:

- Información sobre la presencia, utilización y objetivo del dispositivo

- Información sobre abusos detectados al trabajador que los hubiera realizado. Tal prescripción es acorde con la máxima de que "la prevención debe prevalecer sobre la detección". La vigilancia encubierta debe ser excepcional.

El documento del GT29 señala como ejemplo de situación que la justifica la necesidad de preconstituir pruebas que puedan servir de base a despido en caso de sospecha fundada de que un trabajador está realizando prácticas prohibidas o delictivas.Los principios de necesidad y proporcionalidad implican que las medidas de control adoptadas han de ser las adecuadas para el objetivo perseguido, prefiriéndose siempre los métodos tradicionales de control, menos intrusivos en la intimidad del trabajador, a aquellas medidas que implican el uso de las nuevas tecnologías.

El GT29 nos ofrece también en este caso ejemplos de medidas proporcionadas y desproporcionadas de control. Un ejemplo de medida desproporcionada sería establecer que el administrador de correo podrá realizar controles aleatorios de cualquier tipo de correos enviados o recibidos por los trabajadores para evitar la entrada de virus en los sistemas. En cambio, es proporcionado introducir mecanismos que eviten que se envíen archivos ejecutables desde las cuentas de correo de la compañía o fijar un tamaño máximo para los archivos que podrán ser enviados o recibidos desde las cuentas corporativas. Estas dos últimas medidas no implican leer ningún correo electrónico.

Como conclusión, y siguiendo las pautas fijadas por el documento del GT29, podemos indicar que una política de uso de Internet y de correo electrónico debería incluir como mínimo los siguientes puntos:

  • Las condiciones en las que se autoriza el uso de Internet y del correo electrónico en la empresa con fines privados. Se desaconseja una prohibición absoluta de utilización para temas personales. Así por ejemplo, se podrá fijar un periodo máximo de navegación personal por Internet o autorizar el uso de cuentas de correo de servidores de correo gratuito.
  • Finalidad del control (seguridad del sistema informático, continuación de las actividades del trabajador cuando está ausente, …)
  • Los sistemas y mecanismos instalados para impedir el acceso a algunos sitios o para detectar una posible utilización abusiva (si existe un filtro a determinadas páginas, un tamaño máximo de archivos que se podrán enviar o recibir desde las cuentas corporativas…)
  • Uso que se hará de los datos recabados mediante el control.
  • Supuestos de accesos específicos al correo del trabajo (situaciones de baja temporales, vacaciones, …).
  • Sanciones disciplinarias en caso de incumplimiento de la política.

martes, 13 de octubre de 2009

Martes 13

Desafiando a los Hados me atrevo a escribirles hoy un post. Eso sí, será muy breve porque me he pasado el día en el duro banco de una galera turquesa (ambas manos en el remo y los ojos en la tierra). Me limitaré a recomendarles que lean este interesante post del Blog que mantienen en Expansión los abogados de Landwell Javier Ribas y Assumpta Zorraquino. Se refiere a la medida que ha tomado la Federal Trade Comission para que los bloggers informen de la relación que tienen con los fabricantes de los productos que comentan. Como ven, la opinión que se vierte en estos medios es cada vez más importante e influyente.

domingo, 11 de octubre de 2009

II Jornada de Seguridad en el Tratamiento de Datos de Carácter Personal

Sí, otro evento gratuito de los que a Ustedes les gustan. Lo organiza la Agencia de Protección de Datos de la Comunidad de Madrid y se celebrará el próximo 28 de octubre, de 09:15 horas a 14:30 horas, en el Auditorio de Promomadrid (C/ Suero de Quiñones).

Consulte el programa aquí e inscríbase aquí.

Buenos días.

lunes, 5 de octubre de 2009

La AEPD cambia de criterio

Entre los últimos informes jurídicos de la AEPD, quiero destacar uno por dos motivos:

1º. Porque se refiere a un supuesto bastante común en la vida diaria de las empresas

2º. Porque supone un cambio de criterio en la interpretación que había mantenido hasta ahora la Agencia Española de Protección de Datos.

En fin, lean sin más preámbulos el informe jurídico 412/2009, sobre cesión de TC2 al empresario que subcontrata servicios. Si antes no se podían ceder estos datos sin consentimiento del trabajador (que además había de ser expreso por si contenía datos de salud), ahora sí se puede.

sábado, 3 de octubre de 2009

Lecturas para el sábado por la mañana

Aquí me tienen, amados blogtores, leyendo mientras me tomo un estupendo desayuno lopedé. No puedo dejar de compartir con Ustedes estos links de interés:
  • Como recordarán, les hablé del revuelo que causó en Estados Unidos que Amazon borrara de forma remota un libro electrónico on-line, sin consultar ni avisar, descargado en el dispositivo kindle. Para más inri, el libro era "1984" de Orwell. Ahora leo en El Mundo, que la compañía deberá pagar una indemnización a un joven al que no sólo le borró el libro, sino también el comentario que hizo del mismo durante la vacaciones.
  • Parece ser, dice la BBC, que Estados Unidos dará autonomía al ICANN ¿Se lo creen?
  • Por último, échenle un vistazo al último número de la revista Datos Personales, editada por la Agencia de la Comunidad de Madrid (nº 41, septiembre de 2009). Como de costumbre, los artículos expertos no me parecen interesantes, pero sí las secciones de Jurisprudencia, novedades legislativas y noticias.

Ahora les dejo, que tengo que pasarme por Lex Nova a comprar el libro del mes.

lunes, 28 de septiembre de 2009

Lecturas de interés

Para el deleite de todos Ustedes, he encontrado las conclusiones del abogado general del Tribunal de Justicia de la UE en el asunto de Louis Vuitton contra Google, que pueden leer aquí. Y a los que hayan leido la noticia de la multa de 30.000 euros que ha impuesto la AEPD a Tic Tack Ticket, les he buscado la resolución completa, que prometo comentarles otro día.

Buenas noches.

domingo, 27 de septiembre de 2009

Los editores franceses contra Google

Ayer, les contaba los problemas que ha tenido Google con algunas marcas de lujo ante los tribunales franceses. Hoy, les recomiendo que lean este artículo de El Mundo, donde se explica que el Sindicato Nacional de Editores (SNE) y la Sociedad de Gentes de Letras (SGDL) han decidido demandar a Google, también en Francia, al considerar que su servicio Google Books incluye obras sujetas al pago de derecho de autor.

sábado, 26 de septiembre de 2009

El modelo de negocio de Google y los derechos de marca

Como sin duda saben, varias marcas de lujo encabezadas por Louis Vuitton emprendieron acciones legales ante los tribunales franceses para evitar que Google France vendiera a anunciantes de productos similares su marca registrada como palabra clave. Cuando el usuario introduce el nombre de la marca en el cajetín de búsqueda, aparecen, además de los resultados de la búsqueda, anuncios pagados por empresas que han elegido con qué palabra quieren que se les relacione.

Después de varios años, y sentencias a favor y en contra, se planteó una cuestión prejudicial al Tribunal de Justicia de la UE, para que éste se pronunciara sobre la posible vulneración del derecho de marca por parte de Google.

Ahora es noticia, según leo en el El País, que el Abogado General del órgano comunitario ha determinado que la práctica antes descrita no supone ninguna vulneración del derecho de marca, ya que no implica la venta de ningún producto o servicio.

Buenos días.

viernes, 25 de septiembre de 2009

Lista Robinson

Por si les interesa, aquí les dejo el link a un podcast que ha colgado la FECEMD en Youtube explicando cómo utilizar la lista Robinson:

http://www.youtube.com/watch?v=YFX5KHMltLs

sábado, 19 de septiembre de 2009

Conferencia de interés

Dado el éxito del post dedicado a cursos del ICAM, les paso la referencia de una conferencia que organiza el Instituto de Empresa sobre gestión legal de contenidos en Internet.

Será impartida por Dña. María González, Directora de la Asesoría Jurídica de Google, y D. Alejandro Sánchez del Campo, Gerente de Derecho de Nueva Economía de Telefónica Móviles España, el próximo 1 de octubre, a las 19:30, en la sede del IE de María de Molina.

La asistencia es gratuita, previa inscripción (llamen al número de teléfono 91 745 03 18).

miércoles, 16 de septiembre de 2009

El timo de la loteria nigeriana y los problemas de jurisdicción

Hoy tengo para Ustedes una interesante sentencia del Tribunal Supremo que se refiere al conocido timo de la loteria nigeriana. Esta estafa consiste básicamente en enviar un correo electrónico a una persona comunicándole que ha sido agraciada con un premio de loteria en otro país y que para retirarlo debe pagar una cantidad en concepto de impuestos.

Aunque así descrito parece imposible que nadie se lo tome en serio, la estafa tiene muchas variantes y puede estar tan bien montanda que consiga engañar a personas habituadas a utilizar Internet. Por ejemplo, en ocasiones el premio lo ha recibido un tercero que intenta comprarnos algo en e-bay o algún portal similar. Paga una parte del precio y nos indica que no puede realizar el pago completo hasta que retire el premio obtenido.

En el caso objeto de la sentencia que les comento, la policía española detuvo a un grupo de nigerianos que, operando desde Málaga, habían estafado a varios ciudadanos de otros países, residentes todos ellos fuera de España. Tras ser condenados por el tribunal de primera instancia por estafa y falsedad documental, algunos recurrieron la sentencia alegando diversos motivos. El que nos interesa es el que ponía en duda la competencia de la jurisdicción española para conocer de este asunto. Vean el razonamiento del Tribunal Supremo a este respecto:

"El Recurso, en el motivo Segundo en concreto, cuestiona la competencia de los Tribunales españoles para conocer de los delitos enjuiciados, pero, al margen de la inoportunidad de plantear una cuestión semejante a través del cauce de la infracción de Ley en lugar de otros posibles planteamientos más idóneos, como la vulneración del Juez legalmente predeterminado, lo cierto es que al resultar de aplicación, para la determinación de la jurisdicción nacional competente, el principio de "ubicuidad", según el cual puede atribuirse aquella a cualquiera de los órganos territoriales de los lugares donde se cometieron actos ejecutivos del delito y en este caso, como con tanto acierto indica el Fiscal en su escrito de impugnación del Recurso, gran parte de esos actos ejecutivos de los delitos de las defraudaciones se han cometido en nuestro país, entre otros los estrictamente consumativos de los ilícitos como el hecho de quedar el dinero defraudado a disposición del sujeto activo precisamente en España, es evidente la competencia de nuestros Tribunales para conocer de este enjuiciamiento."

Si quieren leer el texto completo de la Sentencia del Tribunal Supremo 788/2009, de 12 de julio 2009, pueden hacerlo aquí.

sábado, 12 de septiembre de 2009

Cursos del ICAM

Mirando el programa de cursos del Ilustre Colegio de Abogados de Madrid, compruebo que hay varios dedicados a nuevas tecnologías. Tomen nota:

  • Además del curso de introducción a la LOPD (que Ustedes como lectores asiduos de este humilde blog no necesitan porque yo les he enseñado todo lo que deben saber), este año se organizan unas jornadas sobre "Documentación y Procedimientos en materia de Protección de Datos". En el programa, se especifica que se verá cómo redactar contratos del art. 12, cómo preparar un documento de seguridad y modelos de escritos de alegaciones ante la AEPD. Al módico precio de 100 euros, se impartirá del 30 de septiembre al 2 de octubre. Consulte aquí el programa.
  • Los días 11, 18 y 16 de noviembre, en horario de tarde, tenemos un curso sobre derecho de autor en la sociedad de la información, centrado en el derecho de puesta a disposición del público. Empleen sabiamente esos 150 euros que guardan para un motel de Las Rozas.
  • Hasta 4o afortunados podrán disfrutar de unas amenas jornadas sobre Delincuencia en Internet los días 6 y 8 de octubre. Son sólo 80 euros, lo que les deja un margen para tomarse una merendola en la Cafetería Mallorca.
  • Por último, les recomiendo el curso sobre Comercio Electrónico y Propiedad Intelectual e Industrial en la red que hice el año pasado. Pueden pensárselo tranquilamente porque comienza en abril del año que viene.
Lamentablemente, estos cursos son presenciales y se imparten en Madrid. Si Ustedes conocen eventos interesantes en sus respectivas ciudades levíticas, les animo a dejar un comentario a este post comentándolos.

miércoles, 9 de septiembre de 2009

Los peligros de la disociación

Ya les cometé el informe de la Agencia en la que se define procedimiento de disociación. Muchos de mis clientes creen, equivocadamente, que para disociar datos basta con suprimir nombre y apellidos. A este respecto, les recomiendo leer el muy ilustrativo post de Enrique Dans sobre las dificultades de la anonimización de datos a medida que crecen las tecnologías aplicadas al tratamiento de la información:

"Para empresas como Google, que almacenan datos indefinidamente tras su “anonimización”, las implicaciones son importantes, porque en realidad almacenan datos que serían perfectamente capaces de conducir a una identificación inequívoca aunque haya transcurrido más tiempo del período inicialmente pactado con sus usuarios. Datos que, pensando en el tipo de información que hoy en día manejamos en la red, abarcan un conjunto de cuestiones tan amplio, que puede llegar a dar vértigo, no necesariamente por lo secreto, sino por lo privado de los mismos: datos que no necesariamente busco ocultar, pero sobre los que sí tengo una determinada
expectativa de privacidad. A medida que compartimos más datos y que éstos quedan registrados en más sitios, la necesidad de ser exquisitos en su protección y custodia crece, y la expectativa de privacidad disminuye, sin que parezca existir ninguna solución sencilla: incrementar los requisitos legales en el almacén de la información conduce a hacerla inservible. ¿Signo de los tiempos? ¿Resignación? ¿Generacional? ¿Metáfora de la aldea pequeña? Sin duda, algo sobre cuyas consecuencias no hemos pensado suficiente aún."

En otro de los blogs que sigo, el de Samuel Parra,
encontré hace unos días una entrada dedicada a la dificultar de preservar la intimidad de las personas mencionadas en los artículos periodísticos, que generalmente aparecen referenciadas por sus iniciales, pero sobre las cuales se nos transmiten muchísimos detallles que puede llevar a su identificación por medios más o menos sencillos. Léanlo aquí, merece la pena.

Buenas noches.

martes, 8 de septiembre de 2009

Novedades sobre el acceso a la historia clínica de fallecidos

Recordarán que hace unos días, les manifesté mi indignación al comprobar que sistemáticamente la Agencia Española de Protección de Datos tutela el derecho de acceso a la historia clínica de fallecidos ejercido por personas distintas a paciente (generalmente, familiares). Pues bien, podrán Ustedes imaginar el asombro con el que leía esta mañana el Informe Jurídico 171/2008, en el que el Gabinete Jurídico de la alta Autoridad señala:

"Con carácter previo, teniendo en cuenta la situación concurrente en las dos personas respecto de las que se solicita el acceso, es preciso efectuar dos consideraciones:

- Respecto del acceso a la tía del solicitante que ha fallecido, el artículo 2.4 del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, aprobado por Real decreto 1720/2007, de 21 de diciembre, dispone que "este Reglamento no será de aplicación a los datos referidos a personas fallecidas. No obstante, las personas vinculadas al fallecido, por razones familiares o análogas, podrán dirigirse a los responsables de los ficheros o tratamientos que contengan datos de éste con la finalidad de notificar el óbito, aportando acreditación suficiente del mismo, y solicitar, cuando hubiere lugar a ello, la cancelación de los datos". En consecuencia, con carácter general, no será aplicables al tratamiento de los datos personales de la fallecida las normas de la citada Ley Orgánica. No obstante, como se verá, la legislación especial aplicable al supuesto planteado establece determinadas aclaraciones para este supuesto que igualmente habrán de ser tenidas en cuenta.

- En segundo lugar, debe señalarse que siendo distinta de la paciente la persona que ejercita el acceso y dado que no parece existir, en relación con la persona no fallecida ningún tipo de apoderamiento al solicitante por parte de aquélla, el mismo habrá de ser considerado como una cesión de datos de carácter personal, definida por el artículo 3 i) de la Ley Orgánica 15/1999 como "toda revelación de datos realizada a una persona distinta del interesado"."

Se ve que no existe mucha comunicación entre los Abogados del Estado y los instructores de la Agencia. En cualquier caso, los profesionales sanitarios y centros de salud que reciban un escrito de la AEPD en el que se les notifica la apertura de un procedimiento de tutela, ya saben lo que tienen que hacer: Indicar que no se trata de un ejercicio del derecho de acceso de acuerdo a la LOPD y adjuntar copia de este maravilloso informe.

Buenas noches.

domingo, 6 de septiembre de 2009

¿En qué consiste la disociación de datos?

No se trata simplemente de eliminar el nombre y el apellido de las personas que aparecen en un listado. A veces es posible identificarlas por otras circunstancias. A este respecto les recomiendo la lectura del informe jurídico de la Agencia 283/2008:

"La consulta plantea si el número de historia clínica, después de la disociación descrita en la misma, es un dato de carácter personal de conformidad con la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal.

Partiendo de ello, debe analizarse si el procedimiento de disociación de los datos, al que se hace referencia en el escrito de consulta, implica, de suyo, que el tratamiento de dichos datos no deba considerarse sometido a la Ley Orgánica 15/1999, de 13 de diciembre.

De acuerdo con lo dispuesto por el artículo 3 f) de la Ley Orgánica 15/1999, se define el "procedimiento de disociación" de los datos personales como "Todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable".

Esta definición se reitera en el artículo 5 del Real Decreto 1720/2007, de 21 de diciembre, por el que se desarrolla la Ley Orgánica, donde en su apartado p) define el Procedimiento de disociación: Todo tratamiento de datos personales que permita la obtención de datos disociados"

Y en el apartado e) concreta que es un Dato disociado: "aquél que no permite la identificación de un afectado o interesado.

En consecuencia, para entender que se ha efectuado correctamente la disociación, es necesario que no se permita por ningún medio identificar al paciente. Del tenor de la consulta se desprende que cada centro médico va a otorgar un número de historia clínica a los datos de sus pacientes, quiere decir que en cada centro médico el número de historia clínica está asociado a la identidad de una persona.

Pues bien, en virtud de dichos preceptos, será suficiente que exista la mera posibilidad, incluso remota, de que, mediante la utilización, con carácter previo, coetáneo o posterior de cualquier medio (proceso informático, programa, herramienta del sistema, etcétera), la información concerniente a los pacientes, que obre en poder de la consultante, pueda revelar la identidad de los afectados, para que quede plenamente sometida a la Ley Orgánica.

En consecuencia, para que un procedimiento de disociación pueda ser considerado suficiente a los efectos de la Ley Orgánica 15/1999, será necesario que de la aplicación de dicho procedimiento resulte imposible asociar un determinado dato con un sujeto determinado."

martes, 1 de septiembre de 2009

Libro del mes (Septiembre)

SÁINZ GONZÁLEZ, J. Patricio: Propiedad Industrial y Revolución Industrial. Historia del Sistema Español de Patentes (1759-1929). Oficina Española de Patentes y Marcas. Ministerio de Industria y Energía. Madrid, 1995.

El libro recomendado de este mes es una obra curiosa y bien escrita que les ayudará a afrontar con buen ánimo la vuelta al banco de galera.

Memoria de licenciatura de su autor, en poco más de 180 páginas, relata el desarrollo del sistema de patentes en españa como resultado de la industrialización del país y de la introducción del libre mercado. No se trata de una obra jurídica en sentido estricto, pero sí de una lectura muy amena.

Pueden Ustedes descargar de manera gratuita la versión electrónica del libro aquí.

lunes, 31 de agosto de 2009

¡Oh, la rentrée!

De vuelta de mis vacaciones en el Mar Báltico, me atrevo a recomendarles dos seminarios de interés. Para los que dudan entre comprarse la colección de Superhéroes Marvel o apuntarse a inglés, aquí van mis sugerencias:
  • "La prueba electrónica y los delitos económicos". Organizado por Cybex y el Consejo General del Poder Judial, se celebrará en el Hotel Hesperia de Madrid los próximos días 13 y 14 de Octubre. Para más información, consulte aquí el programa.
  • "Curso sobre patentes y modelos de utilidad: Fundamentos, transferencia, documentación, particularidades químico-farmacéuticas, infracción y redacción". La Oficina Española de Patentes y Marcas y el Centro de Patentes de la Universidad de Barcelona ofrecen una nueva edición de este curso al que podrán Ustedes asistir en Madrid durante el próximo mes de noviembre. Pueden leer aquí el contenido de los distintos módulos y su precio.

Buenas tardes.

viernes, 14 de agosto de 2009

Leves lecturas de verano

Ah, l'été, l'été!...Espero que sepan disculpar el aliterado título de este post por las fechas en las que nos encontramos. Aunque sigo con esta horrible dejadez veraniega, no quiero marcharme a Estocolmo sin buscarles algo qué leer:

Volveré en una semana. Buenas noches.

sábado, 8 de agosto de 2009

La cuenta bancaria de los fallecidos

Al hilo de mi post sobre las historias clínicas de los fallecidos...Miren esta resolución sobre las cuentas bancarias de los fallecidos....Parece ser que si lo que el facellido ha dejado es una cuenta bancaria, y no una historia clínica, los herederos no pueden ejercer el derecho de acceso al amparo de la LOPD, ni por consiguiente, solicitar la tutela de la Agencia:

"Sin embargo, el acceso a la información a la que a la que se ha hecho referencia no puede entenderse relacionado con el derecho de acceso consagrado en la legislación de protección de datos de carácter personal ya que el articulo 32 del Código Civil dispone que “la personalidad civil se extingue por la muerte de las personas”, lo que determinaría, en principio, la extinción con la muerte de los derechos inherentes a la personalidad.

En consecuencia, a la vista de lo que se ha venido exponiendo, los herederos podrán tener acceso a los datos del causante en cuanto ello suponga el ejercicio, ante las instancias pertinentes, de una acción en defensa de su derecho hereditario. Sin embargo, tales accesos no podrán ser considerados como manifestaciones del derecho de acceso, consagrado por el artículo 15 de la LOPD."

Como ven, la personalidad del paciente no se extingue con la muerte, pero la del cliente del banco sí.

Buenas tardes.

miércoles, 5 de agosto de 2009

La historia clínica de los fallecidos

Lamento haberles abandonado tanto tiempo. Los achaques de la edad y la horrible levedad de este verano me han impedido dedicarles la atención que se merecen. Para que se entretengan, les recomiendo que lean la R/01226/2009 y mediten sobre el hecho de si puede ejercerse el derecho de acceso en relación a la historia clínica de una persona fallecida.

Recuerden lo que dice el art. 2.4 del reglamento de desarrollo de la LOPD:

"4. Este reglamento no será de aplicación a los datos referidos a personas fallecidas. No obstante, las personas vinculadas al fallecido, por razones familiares o análogas, podrán dirigirse a los responsables de los ficheros o tratamientos que contengan datos de éste con la finalidad de notificar el óbito, aportando acreditación suficiente del mismo, y solicitar, cuando hubiere lugar a ello, la cancelación de los datos."

¿Por qué la Agencia se empeña en tutelar los ejercicios de acceso de los familiares de los fallecidos a la historia clínica de éstos últimos?

sábado, 1 de agosto de 2009

Monsieur le Directeur en su laberinto (III)

Leyendo el reglamento de funcionamiento de la Lista Robinson me encuentro lo siguiente:

"Artículo 11.- De los responsables de ficheros

Los responsables de ficheros serán los responsables de consultar, por sí o a través de un encargado del tratamiento, el Servicio de Lista Robinson a fin de excluir a los interesados que figuren en el fichero en los casos en que de acuerdo con los supuestos establecidos en el artículo 46.2 del RLOPD se les considere como responsables del tratamiento de datos necesario para el desarrollo de las campañas publicitarias.

En este supuesto debe considerarse igualmente incluidos los responsables que utilicen su fichero de clientes para remitirles, cuando exista legitimación suficiente para ello, publicidad de terceros".

Es decir, aunque Usted haya solicitado y obtenido el consentimiento de sus clientes para remitirles publicidad de terceros (sin ceder en ningún caso los datos, por ejemplo, incluyéndola en comunicaciones de facturas o similares que les remita periódicamente), debe pagar a la FECEMD.

"Artículo 33.- De las modalidades de consulta

(....)4. FECEMD podrá solicitar una contraprestación a las entidades que el usuario haya seleccionado con la finalidad de que FECEMD se ponga en contacto con las mismas a los efectos de cursar las solicitudes que los interesados envíen para manifestar su negativa al tratamiento de sus datos con la finalidad de enviar o recibir de las mismas comunicaciones comerciales no deseadas con carácter publicitario de sus productos o servicios a través de llamadas telefónicas fijas o móviles".

¿Si un cliente de su empresa ejerce el derecho de oposición ante la FECEMD en lugar de ante la empresa, la FECEMD va a cobrar al responsable del fichero? Pero ¿nos hemos vuelto todos locos?

Buenos días.

jueves, 30 de julio de 2009

Libro del mes (Julio-Agosto)

PLAZA PENADÉS, Javier: Propiedad Intelectual y Sociedad de la Información. Thomson Aranzadi. Elcano (Navarra), 2002.

El libro de este mes aborda en aproximadamente 250 páginas (sin contar anexos normativos) distintos problemas relacionados con la propiedad intelectual en Internet.

Les advierto que es del 2002, por lo que no recoge las últimas novedades en esta materia (directiva sobre protección del software, últimas tendencias legislativas, como la Ley Hadopi, o jurisprudenciales,etc...). Sí podrán encontrar una breve introducción a la regulación de los derechos de autor en España (Capítulo II) y en Europa (Capítulo IV). Incluye algunas observaciones interesantes sobre protección de páginas webs y responsabilidad por utilización de links.

No se trata de una estudio definitivo, pero desde luego no estará de más en su biblioteca.

domingo, 26 de julio de 2009

Lecturas de verano

Como todos los veranos, Ad Edictum se permite recomendarles las mejores lecturas para el tiempo de relax. Apúntense de momento estas dos:
  • El nuevo número de la revista de la OMPI, disponible aquí.
  • El libro El Código 2.0, de Lawrence Lessig, que puede dercargarse gratuitamente aquí.

jueves, 23 de julio de 2009

Monsieur le Directeur en su laberinto (II)

En la jornada del lunes pasado, le preguntaron a Monsieur Rubí en qué infracción encajaba el incumplimiento de la supuesta obligación de consulta de la Lista Robinson de la FECEMD. Monsieur respondió que sería una temeridad por su parte indicar en cuál sería la infracción típica en este caso. Apuntó que constituiría, por ejemplo, un tratamiento de datos sin consentimiento del interesado. El abanico es enorme, dijo. Y cito de memoria: "El abanico dependerá de lo que acabe pasando en este mundo".

Nuestra sugerencia es que la AEPD aproveche el cajón de sastre del art. 44.3.d), que determina que constituye una infracción grave: "Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave."

Al parecer, la FECEMD ha recurrido el art. 49 del reglamento de desarrollo de la LOPD. Según dijeron, no les parece adecuado que la consulta de su Lista Robinson sea obligatoria. Si tan mal les parece esto, desde aquí les ofrezco una solución pragmática que acabará con el dilema moral que se les plantea al tener que acatar una ley injusta: Que finalicen la prestación del servicio de Lista Robinson hasta que se resuelva el recurso. ¿No les parece lo más lógico?

Buenas noches.

martes, 21 de julio de 2009

Monsieur le Directeur en su laberinto (I)

El lunes asistí con asombro a la jornada divulgativa (o lo que sea) que ofreció la FECEMD para informar sobre su reinventado servicio de Lista Robinson. Con la asistencia de Monsieur Rubí, Adjunto al Director de la AEPD, se indicó que la consulta de dicha lista, mantenida por una asociación privada, es OBLIGATORIA para todos aquellos que vayan a remitir publicidad a personas físicas que no sean sus clientes (por ejemplo, en caso de datos obtenidos de fuentes accesibles al público) por correo postal, correo electrónico, teléfono, sms y mms. También se deberá consultar para realizar publicidad por teléfono a los propios clientes.

Al parecer, esta obligación deriva del art. 49 del nuevo reglamento, dedicado a ficheros comunes de exclusión.

El servicio NO ES GRATUITO para las empresas. Sí lo es para los titulares de los datos, los afectados. A las empresas, eso sí, se les permite graciosamente la descarga de 100 registros sin pago a la Asociación. Ya me dirán para qué sirve esto.

Una guapa e inteligente señorita le preguntó a Monsiuer Rubí por qué esto era así, por qué se tenía que pagar un abono anual de alrededor de 500 euros, que si no sería más lógico que esta Lista la gestionara la propia Agencia de manera gratuita.

Monsiuer Rubí le respondió que el precio del servicio estaba orientado a costes, que utilizara la opción de los 100 registros, y que si esto era poco para los registros que manejaba su empresa en los envíos, tuviera en cuenta que nadie la obligaba a mantener una base de datos de 20.000 registros. Tampoco obliga nadie a vender coches, a construir casas, a montar una heladería...

Lean, si se encuentran con ánimo, el reglamento de esta Lista Robinson, disponible en https://www.listarobinson.es/.

Paco está indignadísimo. Y con razón.

Buenas noches.

martes, 14 de julio de 2009

Y qué pasa si.....

Al hilo de mi último post, varios blogtores me han preguntado qué ocurre si el encargado del tratamiento presta el servicio en sus propias oficinas, y en concreto, si el fichero se encuentra alojado en su sistema informático. Por ejemplo, una gestoría lleva las nóminas de la empresa X con un programa informático instalado en sus ordenadores. La empresa X no accede en ningún caso a la base de datos generada con dicha aplicación ¿Quién tiene que registrar el fichero? ¿Hay que incluirlo en el documento de seguridad de la empresa X?

El fichero debe registrarlo siempre el responsable (en este caso, la empresa X). Por otro lado, en el documento de seguridad de la Empresa X, debe figurar una mención a que dicho fichero se encuentra ubicado fuera de los locales de la empresa y el encargado del tratamiento es la gestoría. En correlación con esto, la gestoría, que es encargado del tratamiento y se compromete al cumplimiento de las medidas de seguridad, ha de incluir el fichero en su documento. Esto implica que en el uso del mismo se seguirán procedimientos, normas y estándares establecidos en la oficina.

jueves, 9 de julio de 2009

Et voilà!: Un modelo de cláusula de encargado del tratamiento

El art. 12 de la LOPD determina que el acceso a datos necesario para la prestación de un servicio debe estar regulado en un contrato que conste por escrito o en alguna otra forma que permita acreditar su celebración y contenido.

Si entre el responsable del fichero y el encardo del tratamiento se ha firmado un contrato de prestación de servicios, bastará con incluir una cláusula sobre protección de datos en el mismo.

Aquí les dejo un ejemplo muy sencillo. Imaginemos que se trata de una librería on-line que contrata a una empresa de informática para que desarrolle una plataforma de gestión a clientes a medida y migre los datos de la antigua aplicación a la nueva. El trabajo se realizará en las oficinas del cliente:

"En la prestación de los servcios de desarrollo de software, el PRESTADOR deberá acceder a los ficheros de datos de carácter personal de los que el CLIENTE es responsable. Por lo que respecta a dicho acceso, el PRESTADOR tendrá la condición de ENCARGADO DEL TRATAMIENTO y seguirá en todo caso las instrucciones marcadas por el CLIENTE.

No aplicará los datos a finalidades distintas de los servicios acordados, ni los comunicará a terceros sin autorización expresa y por escrito del CLIENTE.

Todos los trabajadores y colaboradores del PRESTADOR asignados al proyecto deberán respetar la normativa interna y protocolos de seguridad del CLIENTE, y especialmente, el documento de seguridad corporativo. Se les hará entrega de una copia de aquellas procedimientos incluidos en el mismo que les afecten en el desarrollo de sus funciones. El PRESTADOR se compromete a sustituir, sin coste para el CLIENTE, a aquellos trabajadores que incumplan dicha normativa de seguridad.

Una vez finalizado el servicio, el PRESTADOR no podrá conservar en su poder ninguna copia de los datos personales a los que haya accedido, debiendo devolver de las que disponga. En caso de que considere necesario conservar alguna para acreditar el servicio prestado, podrá hacerlo previa solicitud expresa y por escrito al CLIENTE."

lunes, 6 de julio de 2009

La diferencia entre el art. 11.2.c) y el tratamiento de datos por encargo

Como sin duda saben, la LOPD dispone que la cesión de datos precisa del consentimiento del interesado salvo en los supuestos recogidos en su art. 11.2. Entre estas excepciones, se encuentra la que determina que no será necesario el consentimiento del interesado cuando la cesión "responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros".

Ustedes pueden pensar que no hay diferencia entre este artículo y el archicitado art. 12 LOPD, que regula la figura del encargado del tratamiento. Pues bien, hoy veremos cuándo se aplica uno y otro.

El art. 12 sólo entra en juego cuando existe un tipo concreto de acuerdo entre las partes, que se corresponde con el contrato de prestación de servicios de nuestro Código Civil (cada vez me convenzo más que hablar de outsourcing es una horterada). Además, regula exclusivamente el acceso a datos en una dirección, del responsable del fichero al encargado del tratamiento. En estos casos, la ley dice que no existe cesión (no es necesario ni informar ni recabar el consentimiento) y siempre que se firme un contrato con un contenido específico (recogido en el mismo art. 12, y al que dedicaremos nuestro siguiente post).

Frente a esto, el art. 11.2.c) no se refiere a ningún tipo de contrato en concreto. De hecho, habla de relación jurídica en general (ni siquiera sería necesaria la existencia de contrato) y no fija una dirección específica en el tránsito de los datos. Por ejemplo, imagínenese que una empresa (llamémosla A) contrata a otra para que le preste un servicio de desarrollo y mantenimiento de aplicaciones que implica el acceso a ficheros de datos personales. La empresa A firmará un contrato del art. 12 con su proveedor informático, que legitima el acceso que éste realice a las bases de datos de A. Sin embargo, A exige conocer el nombre y el cv de los trabajadores del prestador asignados al proyecto....Esa comunicación de datos no puede ampararse en el art. 12, obviamente, porque quien solicita los datos es el cliente ¿La empresa debería solicitar el consentimiento de sus trabajadores para ceder los datos? ¿Y si se niegan? En este caso, se aplica el art. 11.2.c). Se trata de una cesión de datos, pero exceptuada del consentimiento. Por cierto, de acuerdo al art. 27 LOPD, también se encuentra exceptuada de la necesidad de informar al interesado.

Así que ya ven, al final, en el caso del 11.2.c) no hay que informar ni solicitar el consentimiento, ni firmar un contrato de tratamiento de datos por encargo. Resulta mucho más sencillo.

Buenas noches.

jueves, 2 de julio de 2009

Se ha puesto de moda...

....Informar a los menores de los peligros de las redes sociales. A la guía de la Agencia Española de Protección de Datos, que lleva el título social demócrata de "Derechos de niños y niñas-Deberes de padres y madres", se suma:

- El portal para adolescentes y educadores KONTUZDATOS.

- Los manuales de buenas prácticas en el uso de las tecnologías para jóvenes elaborados en colaboración con la Comisión de Libertades de Informáticas, disponibles aquí y aquí.

martes, 30 de junio de 2009

Lecturas recomendadas

Esta noche les he seleccionado dos lecturas que creo serán de su interés.

La primera es el nuevo número de la Revista de "Derecho, Internet y Política" de la UOC, dedicada al Software libre.

La segunda, una página web dedicada a la familia de las iso 27.000, que como Ustedes sabrán, tratan sobre gestión de la seguridad de la información. La web en cuestión, ISO27001 Security, me resulta muy completa y útil para estar al día sobre cómo adelantan los trabajos de elaboración de esta serie de normas.

Buenas noches.

sábado, 27 de junio de 2009

El simple enlace a una web no supone una infracción de los derechos de propiedad intelectual

En la página del Bufet Almedia, pueden encontrar Ustedes el texto completo del auto de 27 de mayo de 2009, dictado pro el Juzgado de Instrucción nº 48 de Madrid en relación a la demanda interpuesta por la SGAE contra los responsables de la web http://www.cvdgo.com/.

Dicha web facilita links a otras web desde las que se obtienen descargas de ficheros. La sentencia determina que se trata de un servicio de la sociedad de la información, sometido a la LSSICE, cuyo art. 17 establece:

“Los prestadores de servicios de la sociedad de la información que faciliten enlaces a otros contenidos o incluyan en los suyos directorios o instrumentos de búsqueda de contenidos no serán responsables por la información a la que dirijan a los destinatarios de sus servicios, siempre que: a) no tengan conocimiento efectivo de que la actividad o la información a la que remiten o recomiendan es ilícita o de que lesiona bienes o derechos de un tercero susceptibles de indemnización, o b) si lo tienen, actúen con diligencia para suprimir o inutilizar el enlace correspondiente”.

El Juzgado considera que no queda acreditado "que los imputados conocieran que la información a que remiten o reconducen a los usuarios que acceden a su página, sea ilícita o que, por otro lado, lesione bienes y derechos de un tercero susceptibles de ser indemnizados". Para comprender el por qué de esta conclusión, deben Ustedes leer el Informe del Ministerio Fiscal, donde se razona lo siguiente:

"Hay que considerar que el simple enlace simple no supone infracción de los derechos de propiedad intelectual. Ello constituye únicamente una forma de facilitar al usuario de Internet el acceso a otra página web, sin tener que “teclear’ el nombre de esa página. Por eso no supone una reproducción ni una distribución de la página web, ya que no reproducen la página enlazada, ni dan lugar a un almacenamiento de la misma en la propia página web de la remitente. No se pude hablar, por ello, de infracción de ningún derecho.

En conclusión, tanto el principio de intervención mínima, como la necesidad de la salvaguarda de los bienes jurídicos, conduce, como se dice en las resoluciones analizadas, a proclamar dos exigencias: a) la de que un hecho es constitutivo de delito en la medida en que contiene un real ataque a un bien jurídico a través, además, de una conducta dotada de una expresión sustancialmente objetiva, en la que los elementos subjetivos pueden tener la función de requisitos adicionales; y b) se exige que los tipos penales aparezcan formulados con unos contornos precisos, evitando cláusulas indeterminadas que priven a las figuras de delito de límites claros y seguros."

jueves, 18 de junio de 2009

¿Se pueden instalar cámaras ocultas para vigilar a los trabajadores?

Vaya por delante que quien me suele hacer esta pregunta son los propios trabajadores, no los empresarios. La respuesta es que sí, pero en supuestos muy excepcionales.

La Sentencia del Tribunal Constitucional 186/2000, de 10 de julio, cuyo texto completo pueden consultar aquí, admite la grabación oculta cuando existan indicios de incumplimientos graves de las obligaciones asumidas por el trabajador. Por si no quieren leerla entera, les citaré la miga:

"En efecto, de conformidad con la doctrina de este Tribunal, la constitucionalidad de cualquier medida restrictiva de derechos fundamentales viene determinada por la estricta observancia del principio de proporcionalidad. A los efectos que aquí importan, basta con recordar que (como sintetizan las SSTC 66/1995, de 8 de mayo, FJ 5; 55/1996, de 28 de marzo, FFJJ 6, 7, 8y 9; 207/1996, de 16 de diciembre, FJ 4 e), y 37/1998, de 17 de febrero, FJ 8) para comprobar si una medida restrictiva de un derecho fundamental supera el juicio de proporcionalidad, es necesario constatar si cumple los tres requisitos o condiciones siguientes: si tal medida es susceptible de conseguir el objetivo propuesto (juicio de idoneidad); si, además, es necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia (juicio de necesidad); y, finalmente, si la misma es ponderada ó equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto). En definitiva, como hemos señalado en la ya citada STC 98/2000 (FJ 8), el control que debe realizar este Tribunal de las resoluciones judiciales recurridas en amparo ha de recaer, precisamente en enjuiciar si, como exige la doctrina reiterada de este Tribunal que ha quedado expuesta, el órgano jurisdiccional ha ponderado adecuadamente que la instalación y empleo de medios de captación y grabación de imágenes por la empresa ha respetado en el presente caso el derecho a la intimidad personal del solicitante de amparo, de conformidad con las exigencias del principio de proporcionalidad.

7. Pues bien, del razonamiento contenido en las Sentencias recurridas se desprende que, en el caso que nos ocupa, la medida de instalación de un circuito cerrado de televisión que controlaba la zona donde el demandante de amparo desempeñaba su actividad laboral era una medida justificada (ya que existían razonables sospechas de la comisión por parte del recurrente de graves irregularidades en su puesto de trabajo); idónea para la finalidad pretendida por la empresa (verificar si el trabajador cometía efectivamente las irregularidades sospechadas y en tal caso adoptar las medidas disciplinarias correspondientes); necesaria (ya que la grabación serviría de prueba de tales irregularidades); y equilibrada (pues la grabación de imágenes se limitó a la zona de la caja y a una duración temporal limitada, la suficiente para comprobar que no se trataba de un hecho aislado o de una confusión, sino de una conducta ilícita reiterada),por lo que debe descartarse que se haya producido lesión alguna del derecho a la intimidad personal consagrado en el art. 18.1 C.E.

En efecto, la intimidad del recurrente no resulta agredida por el mero hecho de filmar cómo desempeñaba las tareas encomendadas en su puesto de trabajo, pues esa medida no resulta arbitraria ni caprichosa, ni se pretendía con la misma divulgar su conducta, sino que se trataba de obtener un conocimiento de cuál era su comportamiento laboral, pretensión justificada por la circunstancia de haberse detectado irregularidades en la actuación profesional del trabajador, constitutivas de transgresión a la buena fe contractual. Se trataba, en suma, de verificar las fundadas sospechas de la empresa sobre la torticera conducta del trabajador, sospechas que efectivamente resultaron corroboradas por las grabaciones videográficas, y de tener una prueba fehaciente de la comisión de tales hechos, para el caso de que el trabajador impugnase, como así lo hizo, la sanción de despido disciplinario que la empresa le impuso por tales hechos.

Pero es más, como ya quedó advertido, en el caso presente la medida no obedeció al propósito de vigilar y controlar genéricamente el cumplimiento por los trabajadores de las obligaciones que les incumben, a diferencia del caso resuelto en nuestra reciente STC 98/2000, en el que la empresa, existiendo un sistema de grabación de imágenes no discutido, amén de otros sistemas de control, pretendía añadir un sistema de grabación de sonido para mayor seguridad, sin quedar acreditado que este nuevo sistema se instalase como consecuencia de la detección de una quiebra en los sistemas de seguridad ya existentes y sin que resultase acreditado que el nuevo sistema, que permitiría la audición continuada e indiscriminada de todo tipo de conversaciones,resultase indispensable para la seguridad y buen funcionamiento del casino. Por el contrario, en el presente caso ocurre que previamente se habían advertido irregularidades en el comportamiento de los cajeros en determinada sección del economato y un acusado descuadre contable. Y se adoptó la medida de vigilancia de modo que las cámaras únicamente grabaran el ámbito físico estrictamente imprescindible (las cajas registradoras y la zona del mostrador de paso de las mercancías más próxima a los cajeros). En definitiva, el principio de proporcionalidad fue respetado.
El hecho de que la instalación del circuito cerrado de televisión no fuera previamente puesta en conocimiento del Comité de empresa y de los trabajadores afectados (sin duda por el justificado temor de la empresa de que el conocimiento de la existencia del sistema de filmación frustaría la finalidad apetecida) carece de trascendencia desde la perspectiva constitucional, pues,fuese o no exigible el informe previo del Comité de empresa a la luz del art. 64.1.3 d) L.E.T., estaríamos en todo caso ante una cuestión de mera legalidad ordinaria, ajena por completo al objeto del recurso de amparo. Todo ello sin perjuicio de dejar constancia de que los órganos judiciales han dado una respuesta negativa a esta cuestión, respuesta que no cabe tildar de arbitraria o irrazonable, lo que veda en cualquier caso su revisión en esta sede.
Por tanto, los derechos a la intimidad personal y ala propia imagen, garantizados por el art. 18.1 C.E., no han resultado vulnerados."
Leyendo el libro recomendado de este mes, he encontrado que algunas referencias de sentencias de Tribunales Superiores de Justicia donde se admite la grabación oculta en el lugar de trabajo para verificar que un empleado dormía en su despacho (STSJ de la Comunidad Valenciana de 14 de enero de 2004) y para comprobar si se cumple la normativa de seguridad e higiene en el trabajo (en concreto, no utilizar mascarilla de protección, STSJ de Extremadura de 14 de abril de 2004).

Buenas noches.

lunes, 15 de junio de 2009

Una duda frecuente

Uno de los apartados más importantes del documento de seguridad es el que se refiere al ámbito de aplicación. A la hora de completarlo, se plantea el problema de si incluir o no los ficheros de los que es responsable la empresa, pero que no son tratados en las instalaciones de ésta, y que se encuentran ubicados en equipos de un encargado del tratamiento.

Tengan presente los siguientes artículos del RLOPD:
  • Artículo 82. Encargado del tratamiento.
    1. Cuando el responsable del fichero o tratamiento facilite el acceso a los datos, a los soportes que los contengan o a los recursos del sistema de información que los trate, a un encargado de tratamiento que preste sus servicios en los locales del primero deberá hacerse constar esta circunstancia en el documento de seguridad de dicho responsable, comprometiéndose el personal del encargado al cumplimiento de las medidas de seguridad previstas en el citado documento.
  • Art. 88. 6. En aquellos casos en los que datos personales de un fichero o tratamiento se incorporen y traten de modo exclusivo en los sistemas del encargado, el responsable deberá anotarlo en su documento de seguridad. Cuando tal circunstancia afectase a parte o a la totalidad de los ficheros o tratamientos del responsable, podrá delegarse en el encargado la llevanza del documento de seguridad, salvo en lo relativo a aquellos datos contenidos en recursos propios. Este hecho se indicará de modo expreso en el contrato celebrado al amparo del artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, con especificación de los ficheros o tratamientos afectados.
    En tal caso, se atenderá al documento de seguridad del encargado al efecto del cumplimiento de lo dispuesto por este reglamento.

Lo normal será que los ficheros que se encuentran en los locales del encargado del tratamiento sólo aparezcan referenciados en el documento de seguridad de la empresa responsable. No se incluirán en el ámbito de aplicación de su documento de seguridad, sino en el documento de seguridad del encargado del tratamiento.

Buenas noches.

jueves, 11 de junio de 2009

El caso del Monstruo de un Solo Ojo

Hace unas semanas, asistí a las Jornadas del Colegio de Abogados de Madrid sobre Propiedad Intelectual e Industrial y Comercio Electrónico.

Aunque muy breves, me sirvieron para actualizar conocimientos, ordenar ideas y conocer otros puntos de vista. Buena parte del contenido (el correspondiente a conflictos de nombres de dominios y marcas y comercio electrónico) se basan en el manual del que es autor el director del curso, Pablo GARCÍA MEXIA, Derecho Europeo de Internet.

En fin, en la primera clase, dedicada a Propiedad Intelectual, a cargo del Profesor Fernando BONDÍA ROMÁN, uno de los alumnos planteó un interesante debate sobre el encaje de las licencias Creative Commons en la normativa española. Se comentaron dos sentencias en las que se desestima la demanda presentada por la SGAE reclamando el pago de una cantidad correspondiente a los derechos de propiedad intelectual por realización de actos de comunicación pública de obras musicales incluidas en su repertorio, al conseguir probar los locales demandados consiguieron probar que la música ofrecida a sus clientes estaba licenciada bajo Creative Commons.

Uno de estos locales tiene por nombre "El Monstruo de un Solo Ojo" (les confieso que la mayor parte de los asistentes soltamos una risita cuando lo oímos, como si estuvieramos en COU). La sentencia resulta muy interesante y la pueden consultar on-line aquí.

Les destaco los siguientes párrafos:

"Pues bien, en el supuesto de litis, la demandada arguye, en defensa de su tesis de reproducir en su local tan sólo música no sujeta al pago de canon, el recurso para ello a una doble vía: 1) la utilización de obras musicales realizadas por compositores e intérpretes no profesionales y que no son objeto de distribución por las empresas discográficas sino que son grabadas por los propios autores en un soporte conocido como "maqueta", del que sacan copias que ceden luego gratuitamente a los titulares de locales públicos, destinados a bares de copas o disco-pubs, a los que autorizan su difusión; y 2) el empleo de música libre e independiente (copyleft), colgada en la red, a través de su descarga de internet.

En ambas situaciones, late la voluntad del autor de la obra musical de darla a conocer al público de forma libre y gratuita.

Y es que, recientemente, y propiciado por los avances tecnológicos, está alcanzando auge un movimiento denominado "música libre", muy relacionado con la expansión de internet, ámbito en el que los propios creadores de piezas musicales, sin intermediación de la industria discográfica, pueden poner a disposición de los usuarios de internet, copias digitales de sus obras con amparo en licencias conocidas como "creative commons", que consisten en diversas clases de autorizaciones que da el titular de su obra para un uso más o menos libre y gratuito de la misma. Pudiendo las mencionadas licencias "creative commons" incluir la claúsula "copyleft", en cuya virtud el titular permite la transformación o modificación de su obra, obligando al responsable de la obra modificada a poner la misma a disposición del público con las mismas condiciones, esto es, permitiendo el libre acceso y su transformación.

Tal novedosa circunstancia ha venido a deparar el surgimiento de una corriente jurisprudencial que entiende posible la desvirtuación de aquella inicial presunción (antaño de muy difícil logro), mediante la acreditación por el demandado de disponer de capacidad personal y técnica para acceder a dicho tipo de música libre e independiente, de contar con medios personales y materiales para utilizarla y reproducirla en su establecimiento, así como de probar que efectivamente así lo viene realizando; de forma que, al destruirse así la presunción, pasa a recaer sobre la parte actora la carga de demostrar que las obras musicales reproducidas en el local de la demandada, en todo o en parte, se corresponden con las pertenecientes a su repertorio.

Así las cosas, en el caso objeto de enjuiciamiento, la demandada ha conseguido probar que la amenización de su establecimiento se realiza a través de la reproducción de música libre e independiente, a medio de la documental aportada consistente en una relación de grupos musicales no profesionales y de títulos de maquetas de los mismos ajenos al ámbito de las obras protegidas que conforman el repertorio gestionado por la SGAE, con sus correspondientes CD,s -y que son utilizados en el local- y en un listado de webs desde donde se puede descargar música copyleft, lo que se completa con los testimonios de tres testigos-clientes habituales del establecimiento, dos de ellos músicos compositores de temas incluidos en los títulos de las maquetas interpretados por los grupos musicales del listado a que anteriormente se ha hecho mención, en el sentido de tratarse el establecimiento de la demandada de un local caracterizado por emitir música libre e independiente, en ningún caso comercial.

Frente a ello, la actora no ha logrado acreditar que la utilización en el local de obras musicales, aparte de la procedente de autores de música libre, se extienda también a otros autores de música comercial, cuya gestión de derechos de propiedad intelectual le hubiere sido encomendada, dada la escasa fiabilidad que ofrecen los testimonios prestados por la encargada de zona de la SGAE y el detective privado contratado por dicha entidad para informar acerca de las características del establecimiento y de su música, por las mismas razones apuntadas en la resolución apelada y a las que cabe remitirnos en aras de evitar repeticiones innecesarias, siendo de interés el resaltar las significativas manifestaciones del testigo detective, quién, pese a presentarse como una persona aficionada a la música e indicar ser también titular de un pub, reconoce no haber podido identificar la música que sonaba en el local de la demandada, al cual le resulta difícil de encuadrar por ser poco conocida la música objeto de reproducción en el mismo."

En la última clase del curso, Jorge VILLARINO MARZO nos entregó una selección de sentencias relativas a nombres de domio y propiedad industrial, pero esas se las comentaré otro día.

lunes, 8 de junio de 2009

Libro del mes (Junio)

GOÑI SEIN, José Luis: La videovigilancia empresarial y la protección de datos personales. Civitas Aranzadi. Cizur Menor (Navarra), 2007

José Luis GOÑI SEIN, catedrático del Derecho del Trabajo de la Universidad Pública de Navarra, preparó en el año 2007, poco después de que se aprobara la Instrucción sobre Videovigilancia de la Agencia, el estupendo estudio que les recomiendo para este mes de junio.

Obra clara y bien escrita, centra el análisis de los tratamientos derivados de la videovigilancia en el ámbito en el que el autor es especialista. No obstante, resultará de interés para aquellos de Ustedes apasionados por el tema de la videovigilancia en general. Se compone de siete capítulos. En mi opinión, resultan de especial interés el tercero y el último, el séptimo. El tercero se dedica a los principios de protección de datos aplicables en el momento de adopción del sistema de videovigilancia empresarial (principios de finalidad legítima, porporcionalidad y transparencia). El séptimo recoge los problemas derivados del valor probatorio de las pruebas videográficas.

Por cierto, aunque es anterior a la polémica sentencia de la Audiencia Nacional que declara que las grabaciones de imágenes constituyen un tratamiento no automatizado, dedica una interesante reflexión a este asunto en las páginas 91 a 95. No les cuento más. Tendrán que comprarlo o robarlo.

Buenas noches.

domingo, 31 de mayo de 2009

Otra sanción por colgar videos en Youtube

Esta tarde les invito a leer la resolución R/00555/2009, en la que nuevamente la Agencia sanciona a un particular por colgar vídeos en Youtube. En este caso, se trata de unas imágenes grabadas sin consentimiento de sus titulares, en las que aparecen unos menores de origen inmigrante a los que se acusa de apropiarse de un parque y se incita a la violencia contra ellos.

El sancionado estitular de la línea ADSL que se corresponde con la dirección IP desde la que se creó la cuenta en Youtube a través de la que se pusieron en línea los vídeos. Éste manifestó en sus alegaciones que en su casa existían cinco ordenadores, uno por cada miembro de la familia. Los de sus hijos eran habitualmente utilizados tanto por éstos como por sus amigos.

La Agencia concluye que:

“En el caso analizado, se constató que, a fecha 27 de febrero de 2008, aparecían publicados en “YouTube” un vídeo con imágenes captadas en la calle en el que se señala y visualiza una serie de chicos menores de edad. Respecto a estas imágenes, que permiten identificar a las personas, deben ser consideradas datos de carácter personal, conforme al artículo 3.a) de la LOPD, y tales imágenes constituyen, en sí mismas consideradas, un tratamiento de datos en los términos de la LOPD.

La captación y reproducción de imágenes de ciudadanos en la calle, que constituyen datos de carácter personal, y su publicación en “YouTube”, accesible para cualquier usuario de Internet, se encuentra sometida al consentimiento de sus titulares, de conformidad con lo dispuesto en el artículo 6.1 de la LOPD.

No consta que el denunciado tuviese consentimiento de los chicos que aparecen en el vídeo para que sus imágenes fuesen publicadas en redes de comunicación telemática. Tampoco se ha producido ninguna excepción del consentimiento exigido, según las excepciones previstas en el trascrito artículo 6.2 de la LOPD.

Es cierto que la realidad de Internet requiere realizar una interpretación del principio de consentimiento que evite una aplicación estricta que la paralizaría o la convertiría en una red profusa en vulneraciones de datos personales de millones de personas accesibles fácilmente usando un mero buscador y de los que no cabe aportar el consentimiento previo.”

La escasa cuantía de la multa (unos 600 euros) hace improbable que el sancionado recurra, con lo que no dudo que seguiremos viendo sanciones similares.

jueves, 28 de mayo de 2009

Lecturas recomendadas

Hoy les he seleccionados tres revistas para que sustituyan el "Yo Dona" y el "Mujer de Hoy" del fin de semana:

martes, 26 de mayo de 2009

Más sobre la aplicación de la LOPD a los tratamientos no automatizados

Preparando una Jornada sobre LOPD en Administraciones Públicas me he encontrado esta explicación de Manuel FERNÁNDEZ SALMERÓN sobre la aplicación de la LOPD a los tratamientos manuales, tema que tanto les interesa a mis adorados lectores. Dice así FERNÁNDEZ SALMERÓN en las páginas 166 y 167 de su muy completo manual:

“Así, el considerando 27º de la DPD establece que “las carpetas (léase “expedientes”) y conjuntos de carpetas, así como sus portadas, que no estén estructuradas conforme a criterios específicos no están comprendidas en ningún caso en el ámbito de aplicación de la presente Directiva”. Llevadas al máximo, las consecuencias de este planteamiento normativo no son desdeñables. Si los conjuntos de datos en los que se plasma de ordinario la actividad administrativa -los expedientes, según refiere el propio artículo 37 LRJPC-, no se encuentran comprendidos en la disciplina de la protección de datos personales, existe una absoluta independencia entre ambos fenómenos y su conexión o sometimiento recíproco resultará meramente accidental.

Pero la realidad es que, de conformidad con la vigente LOPDP, suscitas notables dudas el hecho de que los expedientes administrativos deban considerarse en todo caso excluidos del régimen jurídico establecido por esta norma y, más en particular, por la normativa española. En efecto, al margen de otros argumentos que desarrollaremos seguidamente, debe tenerse en cuenta que durante la vigencia de la LORTAD –que, como es sabido, se aplicaba exclusivamente, según disponía su artículo 2.1, a los datos personales incorporados en ficheros automatizados, regencia ésta que ha sido radical y sintomáticamente modificada por el mismo artículo de la LOPDP- y a la vista de la exclusión que la DPD había llevado a cabo en relación con los expedientes o carpetas no estructuradas, ciertos autores concluyeron que, en cambio y en una interpretación a contrario, se encontraban sometidos a la LORTAD los expedientes o carpetas no estructurados pero sí informatizados.

Esta interpretación, que consideramos coherente con la LORTAD, no parece tener, sin embargo, mucho sentido en la actualidad de conformidad con el ámbito aplicativo definido en el art. 2.1 LOPDP que, acogiendo parcialmente los extremos de la DPD, parece no obstante haber ampliado sus instrumentos o garantías (operación perfectamente lícita, según entendemos, como lo demuestra la realidad de otros ordenamientos como el italiano) a cualquier utilización de los datos personales, sea cual sea el soporte en el que consten, su grado de organización o la naturaleza de las operaciones a que se sometan. Además, debe advertirse que no cualquier carpeta o expediente se encuentra fuera de la definición de fichero (…), de tal modo que entran dentro del ámbito aplicativo de la DPD los expedientes que facilitan el acceso a los datos personales (por ejemplo, porque se identifiquen mediante datos nominativos), lo que resulta relativamente ordinario en la actividad administrativa.”

(FERNANDEZ SALMERÓN, Manuel: Protección de los datos personales en las Administraciones Públicas. Thomson Civitas y APDCM. Madrid, 2003).

Está tan bien explicado que poco se puede añadir. Eso sí, es anterior a la Sentencia del Supremo sobre los libros Bautismales que cambia esta interpretación….