viernes, 30 de enero de 2009

Guía sobre Videovigilancia

Ya se encuentra disponible en la página web de la AEPD la guía sobre Videovigilancia que se presentó en pasado miércoles en la Jornada de Puertas Abiertas.

La Agencia ya había emitido distintos informes jurídicos sobre la Instrucción 1/2006. Sin embargo, esta guía era necesaria por lo frecuente de la instalación de cámaras en todo tipo de entornos y por el porcentaje comparativamente alto de denuncias y sanciones relativas a grabación de imágenes.

Les recomiendo que lean la última sección, la dedicada a preguntas frecuentes. En ellla he encontrado algunas de las que más me hacen mis clientes, así que no dudo que les resultará de utilidad.

martes, 27 de enero de 2009

Mañana es un gran día

Queridos blogtores:

Les tengo a Ustedes muy abandonados debido a que me he puesto a trabajar en serio en mi tesis doctoral. Por si se lo preguntan, les diré que no tiene nada que ver con la protección de datos, que me parece un tema sólo al alcance de los colosos intelectuales, entre los cuales no me encuentro.

En fin, no quería irme a la cama hoy sin recordarles que mañana es un gran día por dos motivos.

En primer lugar, porque la Agencia Española de Protección de Datos celebra su Segunda Jornada Anual de puertas abiertas en Leganés. Estará dedicada a videovigilancia, y si no pueden asistir como es mi caso, no se preocupen, porque se colgará la documentación de la jornada en la web de la AEPD.

En segundo lugar, mañana (sí, mañana) es el día europeo de la protección de datos. No sé qué van a hacer Ustedes para celebrarlo, pero yo me vestiré de blanco impoluto por respeto a ese derecho fundamental que a todos nos asiste.

Buenas noches.

miércoles, 21 de enero de 2009

Primeras consecuencias de la Sentencia del Supremo de 19 de Septiembre de 2008

Ya les he comentado en otros post la Sentencia del Tribunal Supremo relativa a la cancelación de datos en Libros Bautismales. En ella, se determina que los Registros de Bautismo mantenidos por la Iglesia Católica no constiyen ficheros en el sentido en que define tal término el art. 3 de la LOPD, y además, como tratamiento manual, queda excluido del ámbito de aplicación de la ley.

Aunque la Agencia ha anunciado su intención de presentar incidente de nulidad frente a la sentencia, por ahora, debe acartarla. Es lo que ha hecho en la resolución de archivo de actuaciones
E/00284/2008.

En este caso, una persona denuncia a la Real Parroquia de San Mauro y San Francisco por no haber registrado como ficheros los Libros de Bautismo, Libros de Confirmación, Libros de Matrimonio y Libros de Defunción.

Notarán Ustedes cierto retintín de Monsieur le Directeur cuando, en el Fundamento Jurídico III, indica:

"Sin embargo, recientemente, la sentencia de 19 de septiembre de 2008 del Tribunal Supremo recaída en el recurso de casación 6031/07, interpuesto por Arzobispado de Valencia, ha marcado un cambio del criterio mantenido hasta el momento en esta materia al declarar nula la sentencia de la Audiencia Nacional de fecha 10 de Octubre de 2007 citada en el párrafo anterior, al señalar que los razonamientos que la Audiencia Nacional hace para considerar los Libros de Bautismo ficheros en los términos definidos en el art. 3.b), de la LOPD no pueden ser aceptados. Esto es así, dado que el art. 3.b) de la LOPD nos define fichero como:

"todo conjunto organizado de datos de carácter personal, cualquiera que fuera la forma o modalidad de su creación, almacenamiento, organización y acceso".

A partir de esta definición, la Audiencia Nacional había estimado que los datos que reputa como de carácter personal, son al menos el nombre y apellidos del bautizado y el hecho mismo del bautismo, que están recogidos en los Libros de Bautismo, con arreglo a los criterios preestablecidos que permiten su tratamiento, considerando la expedición de una partida de bautismo, como una forma de tratamiento de los datos personales.

Sin embargo, el Tribunal Supremo considera que "no cabe aceptar que esos datos personales estén recogidos en los Libros de Bautismo como un conjunto organizado tal y como exige el art. 3.b) de la LO 15/99, sino que son una pura acumulación de éstos que comporta una difícil búsqueda, acceso e identificación en cuanto no están ordenados ni alfabéticamente, ni por fecha de nacimiento, sino sólo por las fechas de bautismo, siendo absolutamente necesario el conocimiento previo de la Parroquia donde aquel tuvo lugar, no resultando además accesibles para terceros distintos del bautizado, que no podrían solicitar ajenas partidas de bautismo."

Establece el Tribunal Supremo que "… debemos concluir que los Libro de Bautismo no constituyen ficheros en los claros y específicos términos en que se consideran tales por la LO 15/99(art. 3.b), recogiendo igualmente la definición de estos plasmada en el art. 2 de la Directiva 94/46 CE".

Continúa diciéndonos que "El ámbito de aplicación de la citada Ley Orgánica viene definido en su artículo 2.1 que establece que la misma será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptible de tratamiento, lo que no ocurre por las razones expuestas con los Libros de Bautismo, en estricta aplicación del citado art. 3.b de la LO 15/99."

En conclusión, siguiendo el criterio marcado por la Sentencia del Tribunal Supremo (STS) citada en los párrafos anteriores y confirmada en la STS de 14 octubre de 2008, los Libros de Bautismo, y por extensión los de Confirmación, Matrimonio y Defunción no constituyen ficheros en los términos en que se consideran por la Ley O. 15/1999 y además, tampoco cabe estimar aplicable el art. 4.3 de la citada Ley, relativo a la exactitud y veracidad en cada momento de los datos, motivo por el que se instaba la anotación marginal en los Libros de la Iglesia."

En fin, los Libros de Defunción ni siquiera contienen datos de carácter personal. No habría estado demás aclararlo....

Buenas noches.

lunes, 19 de enero de 2009

Vigilancia en el lugar de trabajo

La sentencia del Tribunal Supremo de 26 de septiembre de 2007 unificó la doctrina sobre el control del empresarial de las herramientas informáticas puestas a disposición de los trabajadores.

Fue muy comentada en su momento, puesto que declaraba, frente a lo mantenido por algunas sentencias de tribunales inferiores, que a los registros realizados en el ordenador personal no se aplican las garantías del art. 18 del Estatuto de los Trabajadores (Dicho artículo es el que rige en relación a la taquilla del trabajador e implica que los registros se realicen en el lugar de trabajo y en el horario laboral, con presencia del trabajador y del representante de los trabajadores).

En definitiva, el empresario puede controlar el uso de las herramientas informáticas que realizan sus trabajadores, siempre que haya distribuido instrucciones precisas sobre su utilización en ejercicio de las facultades de dirección que le atribuye el Estatuto de los Trabajadores. Es decir, resulta necesario establecer una política de uso de las herramientas informáticas y dejar constancia de su entrega al trabajador.

Para saber cómo afecta esta sentencia a la protección de datos, les recomiendo la lectura de un informe muy completo sobre el particular: el Informe 0247/2008. En él, la AEPD concluye, tras realizar un análisis de documentos del Grupo de Trabajo del art. 29 y de la citada sentencia del Supremo:

En virtud de lo expuesto podemos entender que existe legitimación para filtrar el contenido del correo electrónico de los empleados, pero siempre que se trate de una cuenta de correos proporcionada por la empresa para el desarrollo de sus funciones laborales y siempre que se haya informado previamente a los trabajadores sobre dicho filtrado y los medios que se van a utilizar.”

Por tanto:
  • Si Usted es un gris trabajador, siempre que no se le hayan distribuido instrucciones o prohibiciones al respecto, utilice cuanto quiera su e-mail y visite este blog en su horario laboral.
  • Si Usted es un vil empresario, apresúrese a redactar políticas de uso de herramientas informáticas y podrá cumplir su sueño: controlar los correos que envía su secretaria a sus amigas.
Hace poco he leído dos resoluciones de archivo de actuaciones ponen de manifiesto la posibilidad del empresario de tratar los datos personales de sus trabajadores sin el consentimiento de éstos, bastando con cumplir la obligación de informar prevista en el art. 5 de la LOPD.

En la primera resolución (E/01171/2007), una trabajadora denuncia ante la Agencia que su empresa, entre otras cosas, graba las conversaciones telefónicas mantenidas por los operadores con los clientes. La AEPD determina:

El tratamiento de datos de carácter personal tiene que contar con el consentimiento del afectado o, en su defecto, debe acreditarse que los datos provienen de fuentes accesibles al público, que existe una Ley que ampara ese tratamiento o una relación contractual, laboral o negocial entre el titular de los datos y el responsable del tratamiento que sea necesaria para el mantenimiento del contrato.

En el presente caso, ha quedado acreditado que la denunciante mantiene una relación laboral con CATSA por lo que la citada entidad no requiere el consentimiento de sus trabajadores para el tratamiento de sus datos en el momento de efectuar su trabajo. No obstante, CATSA informó a todos sus trabajadores acerca de la implantación del nuevo sistema de monitorización de la calidad de los servicios.


Más interesante me parece la resolución E/01078/2007. En este caso, el Comité de Empresa denunció que se había procedido a la instalación de cámaras de videovigilancia para verificar el cumplimiento por el trabajador de sus obligaciones. La Agencia señala:

"El artículo 20.3 del Estatuto de los Trabajadores (ET) dispone que “El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso”.

Por otra parte, no se puede obviar la doctrina del Tribunal Supremo, en Sentencia de 18 de junio de 2006, en virtud de la cual dichas medidas (como las relacionadas con la utilización de Internet y correo electrónico) deben haber sido hechas constar expresamente al trabajador, pasando así a formar parte de la propia relación laboral y siendo el tratamiento de los datos necesario para su adecuado desenvolvimiento.

De todo ello se desprende que el empresario, en este caso ARLUY, S.L., se haya legitimada para tratar las imágenes de los trabajadores en el ámbito laboral, al amparo del artículo 20.3 del ET. Ahora bien, esta legitimación no es absoluta y exige por parte del empresario la obligación de informar de dicho tratamiento a los trabajadores(cumpliendo así con el deber de informar previsto tanto en el artículo 10 de la Directiva 95/46/CE como en el artículo 5 de la LOPD.).
(….) En el caso que nos ocupa, ARLUY, S.L., ha cumplido con este deber de información previo a la instalación del sistema de videovigilancia, mediante cartas dirigidas y notificadas al Comité de Empresa de fechas 14 de abril de 2007 y 24 de mayo de 2007. Así como circular informativa expuesta en los tablones de anuncios de la empresa de fecha 24 de mayo de 2007, adjuntando plano de ubicación exacta de las cámaras."

De esta resolución, también merece la pena destacarse el siguiente párrafo, aplicable no sólo a vigilancia en el lugar de trabajo, sino a cualquier instalación de cámaras de seguridad:

“Ahora bien, en cuanto a si las cámaras han de ser identificadas con algún tipo de señalización concreta, en consulta planteada al efecto, el Gabinete Jurídico de esta Agencia Española de Protección de Datos, puso de manifiesto, en el informe 0503/2006, que, desde el ámbito competencial de la Agencia, sólo podemos exigir el cumplimiento de la normativa de protección de datos y sus disposiciones de desarrollo, en las que no se encuentra la necesariedad o no de identificar la ubicación de las cámaras, y respecto de la ubicación del cartel informativo, no es necesario que se coloque debajo de la cámara, siendo suficiente conforme alo dispuesto en el artículo 3.a) de la Instrucción 1/2006, colocar el distintivo informativo en lugar suficientemente visible, tanto en espacios abiertos como cerrados.

En el caso que nos ocupa, se ha podido verificar que la entidad ARLUY S.L., cumple con el artículo 3.a) de la Instrucción 1/2006, al tener instalados carteles informativos acordes a dicha Instrucción, tanto en el interior como en el exterior del centro de trabajo, por lo que no se aprecia a este respecto vulneración del artículo 5 de la LOPD.”

Por tanto, como la propia Agencia indica, no existe un lugar específico para la ubicación de los carteles informativos a que hace referencia la instrucción 1/2006, y no resulta necesario colocar el cartel debajo de cada cámara. En este supuesto, se ha considerado apropiado, ubicarlo a la entrada del edificio y en su interior.

En los próximos post, les sugeriré contenidos para que su política de uso de herramientas informáticas resulte efectiva.

jueves, 15 de enero de 2009

Para curiosos

Muchos de Ustedes habrán leído en la eidición digital de "El Mundo" la noticia sobre la recuperación por Carlos Slim del dominio de una web que llevaba su nombre.

El titular destaca que la recuperación ha sido "gratuita" (aunque no cuenta con los gastos que ha tenido que asumir el Señor Slim al recurrir al procedimiento arbitral de la OMPI), e incluye como información en letra más pequeña que el antiguo propietario exigía 55 millones de dólares a cambio del dominio, amenazando, en caso contrario, con vincularlo a un sitio pornográfico.

En fin, como ven, parece un caso de libro de Cybersquatting,.... Yo pensaba que ya nadie se dedicaba a esto, o los que lo hacían eran lo suficientemente hábiles como para no poner de manifiesto de manera tan clara su mala fe.

He buscado la resolución del Panelista la OMPI (Luca Barbero) por si les interesa leerla, aunque en este caso carece de complicación jurídica pues se evidencia la falta de vinculación del registrante con el nombre y apellidos de Slim y la mala fe que motivaba su acción.

martes, 13 de enero de 2009

Libro del mes (Enero)

ZABÍA DE LA MATA, Juan (coord.): Protección de datos. Comentarios al Reglamento. Editorial Lex Nova. Valladolid, 2008.

Complemento imprescindible del Libro del Mes de Julio, este comentario del Real Decreto 1720/2007, editado por Lex Nova, no puede faltar en su estantería LOPD.

Sus autores son:
  • Irene María AGÚNDEZ LERÍA, Abogada del Estado en la Agencia Española de Protección de Datos
  • María Asunción ALONSO DURÁN, Consejera Técnica de Informes de la Vicesecretaría General Técnica del Ministerio del Interior.
  • María José BLANCO ANTÓN, Subdirectora General del Registro General de Protección de Datos de la AEPD.
  • Lucía CALVO VÉRGUEZ, Abogada del Estado.
  • Mar MARTÍNEZ SÁNCHEZ, Licenciada en Informática, actualmente Business Development Manager para el Sector Público en el grupo SIA, ha formado parte de los Comités de Dirección de la Agencia Española de Protección de Datos desde su inicio hasta el 2005. Durante 12 años, ocupó el puesto de Subdirectora General del Registro General de Protección de Datos. Participó en el grupo de trabajo encargado de la redacción del antiguo reglamento de medidas de seguridad RD 994/1999. Lógicamente, a su cargo corre el capítulo XIII del libro, dedicado a “novedades en relación con las medidas de seguridad”.
  • Pablo PASCUAL HUERTA, Director de la Asesoría Jurídica de Experian España.
  • José Luis PIÑAR MAÑAS, Catedrático de Derecho Administrativo y ex – Director de la AEPD (el primer director razonable que tuvo la insigne casa).
  • Agustín PUENTE ESCOBAR, Abogado del Estado-Jefe de la AEPD (y cabeza pensante de algunos de los razonamientos jurídicos sometidos a exégesis en este blog).
  • Javier PUYOL MONTERO, Magistrado. Letrado del Tribunal Constitucional. En la obra, que aporta un interesante análisis de los derechos del interesado.
  • Jesús RUBÍ NAVARRETE. Adjunto al Director de la Agencia Española de Protección de Datos (los Directores van y viene, pero Monsieur Rubí permanece). Es autor del capítulo VII, sobre “tratamiento para actividades de publicidad y prospección comercial”, completo y bien escrito.
  • Luis SERRANO DE PABLO VALDENEBRO. Abogado.
  • Manuel VILLASCA LÓPEZ, Jefe de Área de Ficheros Privados de la AEPD (yo no sabía que existiera esta área, ¿y Ustedes?).
  • Juan ZABÍA DE LA MATA, Abogado del Estado y coordinador de la obra.

Les resultará muy útil como obra de consulta.

lunes, 12 de enero de 2009

Propaganda y contrapropaganda

Las recientes Conclusiones del Consejo, de 20 de noviembre de 2008, relativas al desarrollo de las ofertas legales de contenidos culturales y creativos en línea y a la prevención de la piratería digital, enfatizan la necesidad de que los Estados Miembros informen a los consumidores mediante campañas de comunicación sobre los beneficios de respetar los derechos de los autor. ¿Qué hacer si no? No se puede criminalizar una conducta generalizada, y cuando fallan los mecanismos coercitivos, sólo queda la propaganda.

En esta línea, el Ministerio de Cultura lanzó su campaña "Si eres legal, eres legal" (seguramente, idea por los creadores de "Que molen tus muelas" y "Sólo con condón, sólo con coco", en los que la influencia de Gloria Fuertes resulta más que obvia).

Hacktivistas.net ha organiado una parodia-contracampaña, en forma de página web paralela a la del Ministerio, que copia su formato y cambia su contenido. Si eres legal, comparte es quizás el ejemplo de ciberactivismo más sofisticado -y efectivo- que he visto en España.

sábado, 10 de enero de 2009

Derecho de participación en beneficio del autor de una obra de arte original

En el B.O.E. de 25 de diciembre, se publicó la Ley 3/2008, de 23 de diciembre, relativa al derecho de participación en beneficio del autor de una obra de arte original.

La nueva ley, que supone la trasposición de la Directiva 2001/84/CE, deroga, por una parte, el art. 24 y la disposición adicional 2 de la Ley de Propiedad Intelectual, y por otra, los arts. 1.a) y 2 a 8 del Real Decreto 1434/1992, de 27 de noviembre.

El art. 5 de la ley 3/2008 define el porcentaje que corresponde al artista sobre el precio de reventa de la obra por tramos (desde el 4% de los primeros 50.000 euros, hasta el 0,25% de la parte del precio de la reventa que exceda de 500.000 euros).

Se aplica a ventas superiores a 1.200 euros, impuestos excluidos, no pudiendo superar en ningún caso, el derecho del artita podrá superar los 12.500 euros.

De acuerto a su artículo 3, la ley comprende todas las reventas en las "que participen, como vendedores, compradores o intermediarios, profesionales del mercado del arte tales como salas de venta, salas de subastas, galerías de arte, marchantes de obras de arte y, en general, cualquier persona física o jurídica que realice habitualmente actividades de intermediación en este mercado", incluyendo aquellas realizadas a través de Internet.

martes, 6 de enero de 2009

De lo inexacto a lo inexistente

Ya saben que cuando no puedo dormir me da por pensar en la conservación de datos con fines históricos. Ayer, por ejemplo, me puse a leer esta resolución de la AEPD.

Se trata de un procedimiento de tutela de derechos (TD/00785/2007). Una mujer pasó un mes en prisión provisional a la espera de sentencia. Cuando ésta finalmente se dicta, se la absuelve de todo cargo. La interesada ejerce entonces el derecho de cancelación frente a la Dirección General de Instituciones Penitenciarias, que desestima la petición argumentando el valor histórico de los datos y un acuerdo de la Comisión Calificadora de Documentos de Documentos Administrativos del Ministerio del Interior, en su reunión del 20 de noviembre de 2002, que dictaminó que:

"(...) La serie documental que obra en los centros penitenciarios con la denominación Expedientes personales de internos era de conservación permanente, por lo tanto no estaba sujeta a eliminación de ninguno de los expedientes que la componen, y aprobó el plazo de 52 años como plazo de permanencia, por razones de gestión, en los archivos de los centros penitenciarios, a cuya finalización se deben transferir a los Archivos Históricos Provinciales correspondientes. Respecto a los datos contenidos en los ficheros automatizados, existe la base de datos denominada Sistema de Información Penitenciaria (SIP), en la que constan esenciales de cada Expediente Personal de Interno que, en soporte papel, conserva el centro penitenciario desde el que ha sido excarcelado el recluso. La base de datos se creó por necesidades de gestión, para localizar los expedientes n papel dispersos por toda la geografía nacional. Por lo tanto, se entiende, que si el dictamen recaído sobre los expedientes ha sido la conservación permanente, las informaciones contenidas en la base de datos deberían serlo también teniendo en cuenta los fines para los que fue creada."

Ya saben Ustedes que el art. 49 de la Ley de Patrimonio Histórico indica que:

" 1. Se entiende por documento, a los efectos de la presente Ley, toda expresión en lenguaje natural o convencional y cualquier otra expresión gráfica, sonora o en imagen, recogidas en cualquier tipo de soporte material, incluso los soportes informáticos. Se excluyen los ejemplares no originales de ediciones.
2. Forman parte del patrimonio documental los documentos de cualquier época generados, conservados o reunidos en el ejercicio de su función por cualquier organismo o entidad de carácter público, por las personas jurídicas en cuyo capital participe mayoritariamente el Estado u otras Entidades públicas y por las personas privadas, físicas o jurídicas, gestoras de servicios públicos en lo relacionado con la gestión de dichos servicios (...)"

Por tanto, de acuerdo a lo anterior, cualquier expediente generado por la Dirección General de Instituciones Penitenciarias forma parte del patromonio documental histórico español....Pues bien, Monsieur le Directeur da la razón a la solicitante de tutela, entre otras cosas, porque los datos son inexactos (como Ustedes pueden imaginar, que una persona pase un mes en prisión provisional podrá ser injusto, pero no inexacto) y carecen de valor histórico. Lean su inefable conclusión:

"En definitiva, la Dirección General de Instituciones Penitenciarias ha justificado la negativa a cancelar los datos de la reclamante en el Acuerdo de la Comisión de Clasificación de Documentos del Ministerio del Interior que, en virtud del valor histórico, estadístico, y las necesidades de gestión, calificó "de conservación permanente" tanto los expedientes personales de los internos en centros penitenciarios, como el fichero automatizado denominado "SIP-INTERNOS". No puede admitirse tal habilitación legal, por cuanto ambos ficheros recogen unos datos que, en el caso de la reclamante, son inexactos y no se encuentran actualizados, habida cuenta de que ésta no se encuentra "interna" en ningún institución del sistema penitenciario. Tampoco puede admitirse como argumento para denegar la cancelación solicitada la referencia genérica a un "supuesto valor histórico o estadístico" que dichos datos pudieran llegar a alcanzar, y mucho menos las "necesidades de gestión" propias de la Administración Penitenciaria, ya que el mantenimiento íntegro de datos con dichos fines tiene un carácter excepcional regulado por exigencia del artículo 4.5 de la LOPD.

En consecuencia no cabe admitir los motivos esgrimidos por la Dirección General de Instituciones Penitenciarias para denegar la cancelación de datos solicitada por la reclamante habida cuenta que no puede motivarse la misma en una ausencia de regulación por parte del Reglamento Penitenciario, al tiempo que debe rechazarse que los datos de la afectada continúen en un fichero en el que constan los datos personales de internos (o personas recluidas) en Instituciones Penitenciarias, ya que, en el caso de la reclamante, son datos inexactos. "

No sé a Ustedes, pero a mí preocupa cada vez más que la Agencia se arrogue la facultad de decidir sobre el valor histórico de las informaciones generadas por la Administración Pública (sobre todo cuando hay una ley al respecto) o por otras instituciones. Buenos días.

domingo, 4 de enero de 2009

También la Agencia Catalana de Protección de Datos...

...Ha publicado una recomendación sobre difusión de datos en Internet (recomendación 1/2008, de 15 de abril). No aborda el problema con la profundidad y precisión que lo hacen las recomendaciones que la Agencia Madrileña, pero marca pautas de actuación sencillas a las administraciones públicas catalanas.

Por cierto, me ha resultado curioso que se refiera a los derechos de acceso, rectificación, cancelación y oposición "derechos de habeas data". Y yo que pensaba que desde las sentencias del Tribunal Constitucional del año 2000 nadie utilizaba ese nombre.

jueves, 1 de enero de 2009

Qué hacer el próximo 20 de enero

Si no se les ocurre nada más interesante, pueden anotar en su agenda la presentación del libro Movimientos Sociales y Cultura Digital, de Ángel GORDO e Ígor SADABA, que tendrá lugar en la Sala Valle-Inclán del Círculo de Bellas Artes a eso de las 20:00.

Lo obvio

Fue muy discutido el Informe Jurídico 327/2003 de la Agencia Española de Protección de Datos donde se analizaba la IP como dato de carácter personal. Frente al razonamiento de la AEPD, algunos argumentaron que la IP puede, como mucho, identificar el ordenador, no a una persona, y que por lo tanto, en ningún caso debe ser considerada un dato de carácter personal.

Parece ser que la Sentencia de la Audiencia Nacional de 17 de septiembre de 2008 que les comenté hace unos días ha reabierto el debate. Les recuerdo que la tan comentada y poco leída Sentencia indicaba en su Fundamento Jurídico Cuarto:

"(...)la Agencia Española de Protección de Datos no ha razonado, y menos ha acreditado, que a través del número de teléfono móvil se haya identificado al titular del mismo o que a partir del citado número fuese posible tal identificación, de forma que el citado número de teléfono ayuno de otras circunstancias que identifiquen o pudiesen permitir identificar al titular del mismo impide que pueda encajarse en la definición legal de dato de carácter personal (...)"

Los que defendía que la IP no debe considerarse dato de carácter personal han creído ver confirmados por la Audiencia Nacional sus pensamientos más íntimos: Si el número de móvil no es un dato de carácter personal porque no identifica a una person, la IP tampoco puede serlo.

Sinceramente, poco aporta esta sentencia al concepto de dato de personal y poco modifica lo que el Grupo de Trabajo del artículo 29 estableció en el año 2007 en relación a la IP (Dictamen 4/2007, sobre el concepto de dato de carácter personal. WP 136):

"El Grupo de trabajo considera las direcciones IP como datos sobre una persona identificable. En ese sentido ha declarado que «los proveedores de acceso a Internet y los administradores de redes locales pueden identificar por medios razonables a los usuarios de Internet a los que han asignado direcciones IP, pues registran sistemáticamente en un fichero la fecha, la hora, la duración y la dirección IP dinámica asignada al usuario de Internet. Lo mismo puede decirse de los proveedores de servicios de Internet que mantienen un fichero registro en el servidor HTTP. En estos casos, no cabe duda de que se puede hablar de datos de carácter personal en el sentido de la letra a) del artículo 2 de la Directiva».

Especialmente en aquellos casos en los que el tratamiento de direcciones IP se lleva a cabo con objeto de identificar a los usuarios de un ordenador (por ejemplo, el realizado por los titulares de los derechos de autor para demandar a los usuarios por violación de los derechos de propiedad intelectual), el responsable del tratamiento prevé que los «medios que pueden ser razonablemente utilizados» para identificar a las personas pueden obtenerse, por ejemplo, a través de los tribunales competentes (de otro modo la recopilación de información no tiene ningún sentido), y por lo tanto la información debe considerarse como datos personales.

Un caso particular sería el de algunos tipos de direcciones IP que en determinadas circunstancias y por diversas razones técnicas y organizativas no permiten realmente la identificación del usuario. Así sucede, por ejemplo, con las direcciones IP atribuidas a un ordenador instalado en un cibercafé, en el que no se pide identificación alguna a los clientes. En este caso, puede argüirse que los datos recogidos sobre el uso de un determinado ordenador «X» durante una determinada franja horaria no permiten la identificación del usuario con medios razonables y, por lo tanto, no son datos personales. Sin embargo cabe señalar que, muy probablemente, los prestatarios de servicios de Internet no sabrán si la dirección IP en cuestión permite la identificación o no, y tratarán los datos asociados a ese IP de la misma manera que tratarían la información asociada a las direcciones IP de los usuarios debidamente registrados e identificables. Así pues, a menos que el prestatario de servicios de Internet sepa con absoluta certeza que los datos corresponden a usuarios que no pueden ser identificados, tendrá que tratar toda información IP como datos personales, para guardarse las espaldas."

¿De verdad creen que merece la pena dar más vueltas sobre esta obviedad?