miércoles, 29 de abril de 2009

Dos lecturas sobre Administración Electrónica

Muy brevemente, dado que ya es tarde (sé que Paco se morirá de envidia cuando lea esto....He estado cenando con Cristina ALMUZARA, coautora del libro de este mes):
  • El texto sobre aspectos jurídicos de la Administración Electrónica que pone a disposición de los lectores Julián VALERO en su blog.
  • Manual de Supervivencia de la Administración, elaborado por Alberto LÓPEZ TALLÓN, de descarga gratuita en el blog del autor. Por cierto, no se pierdan la entrevista al autor en OpenProPolis.

Buenas noches.

lunes, 27 de abril de 2009

La meritoria labor de la Agencias Autonómicas

A veces olvidamos que las páginas de las Agencias Autonómicas de Protección de Datos contienen información muy interesante, especialmente la decana, la de la Comunidad de Madrid. Hoy quiero aconsejarles la lectura de una recomendación antigua de éste órgano, pero que encontrarán de interés: Recomendación 1/2006, de 3 de abril, de la Agencia de Protección de Datos de la Comunidad de Madrid, sobre cesiones de datos de empleados públicos de la Comunidad de Madrid a las secciones sindicales, comités de empresa y juntas de personal.

Por cierto, muy pocas personas saben que tanto la Agencia de la Comunidad de Madrid como la Catalana han dictado instrucciones sobre videovigilancia con carteles distintos a los que figuran en el Anexo de la Instrucción de la AEPD.

Buenas noches.

domingo, 26 de abril de 2009

Primavera

Los cursos también florecen en primavera, y para muestra un botón:
  • La cátedra de la UPM y Applus+ organizó el pasado 18 de abril un seminario sobre seguridad en redes sociales. Los vídeos del mismo estarán disponibles a partir del 7 de mayo en la siguiente dirección: http://www.capsdesi.upm.es/
  • El Colegio de Abogados de Madrid pone a su disposición dos cursos relacionados con las nuevas tecnologías. Un curso de introducción a la protección de datos, se celebrará del 4 al 13 de mayo , lunes, miércoles y viernes de 16.00 h. a 20.00 h. (precio: 300 euros). Otro sobre comercio electrónico y propiedad intelectual e industrial en al red tendra lugar los días 25, 27 y 29 de mayo, de 16.00 h. a 20.00 h. (precio: 180 euros). Pueden acceder Ustedes a más información en http://www.icam.es/web3/cache/NS_CE_cf_cei.html. El ICAM también imparte un curso on-line sobre adecuación a la protección de datos de despachos de abogados, aunque no creo que sea de su interés.
  • Finalmente, mañana mismo, la Universidad San Pablo CEU de Madrid, mi Alma Mater, organiza una jornada sobre los límites a los derechos de propiedad intelectual, cuyo programa pueden consultar aquí.

lunes, 20 de abril de 2009

Miscelánea rosa

Abrimos hoy una nueva sección de este blog dedicada a las noticias rosa de la LOPD.

No puedo dejar de comentarles la presentación la recepción ofrecida por los Príncipes de Asturias a Monsieur le Directeur en el Palacio de la Zarzuela con motivo de la presentación de la Memoria del 2008 (ya disponible en la web de la AEPD, por cierto) ¿Qué conjunto eligió la Princesa? ¿Estaría Don Artemi a la altura de tanta elegancia?

Por cierto, aquí entre nosotros, Monsieur le Directeur parece no haber tenido infancia: ¡Se ha atrevido a abrir un procedimiento a Caramelos Paco! Afortunadamente, se archivaron las actuaciones.

Aprovecho para recordar a los fans de este blog que mañana es mi cumpleaños, y que todos los regalos y felicitaciones en tan aciaga fecha mitigarán mi dolor y serán bien recibidos.

domingo, 19 de abril de 2009

Libro del mes (Abril)

ALMUZARA ALMAIDA, Cristina (coordinadora): Estudio práctico sobre la protección de datos de carácter personal. Adaptación al Reglamento de Desarrollo de la LOPD. Lex Nova. Valladolid, 2008.

Ya les comenté que uno de mis
Desert Island LOPD Books es el manual comocoordinado por Cristina ALMUZARA, y en el que participan como autoras Fanny COUDERT, Ana MARZO y Yolanda NAVALPOTRO, obra muy completa y con abundante referencia jurisprudencial.

Recientemente, las mismas autoras han preparando una adenda a su libro, en la que analizan las principales novedades del nuevo reglamento.

Se trata de un comentario enfocado a la resolución de problemas en el mundo empresario, con respuestas concretas basadas en los todavía pocos informes y resoluciones de la AEPD. No se divaga innecesariamente alrededor de conceptos abstractos. Por ello, si lo que Usted busca que hacerse una idea de cómo el nuevo reglamento afecta a su negocio o a la gestión que venía realizando de la LOPD en su empresa, no duda en comprarse esta adenda.

El fastuoso manual de Cristina está agotado en Internet en la Libreria Lex Nova, pero aún pueden adquirirlo en Tirant lo Blanch.

martes, 14 de abril de 2009

Las sentencias no son fuentes accesibles al público (o Errar es humano)

Las sentencias no son fuentes accesibles al público. Piensen en las consencuencias que tendría lo contrario en la era de Internet: veríamos publicados en la red desde juicios de faltas por riñas entre vecionos a los temas más escabrosos (homicios, delitos sexuales, divorcios, etc...).

El concepto de fuente accesible al público, como el concepto de ensañamiento, es un concepto jurídico. Esto implica que tiene el significado que una norma le atribuye a efectos legales, sin que quepa interpretarlo de acuerdo al sentido que se dé a esa palabra en el habla común. En resumen, para determinar que es una fuente accesible al público no hay que acudir al Diccionario de la Real Academia de la Lengua.

Las fuentes accesibles al público aparecen definidas en el art. 3.j) de la LOPD, donde se indica:

"j) Fuentes accesibles al público: aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación."

A pesar de la desafortunada redacción del precepto, se viene entendiendo que el listado recogido en él es un numerus clausus, o sea, que sólo son fuentes accesibles al público las que se mencionan expresamente. Las distintas bases de datos, archivos y registros que cumplan con los requisitos de la definición (consulta pública sin más exigencia que el pago de una contraprestación, en su caso), no tendrán la consideración de fuentes accesibles al público si no están entre las listadas. Como ven, no aparecen las sentencias judiciales. Por si se lo preguntan, los Registros Mercantil, de la Propiedad y Civil tampoco son fuentes accesibles al público…

Curiosamente, el nuevo reglamento no ha incluido el concepto de fuentes accesibles al público en su artículo de definiciones, sino que le ha dedicado uno en exclusiva, el art. 7 del RLOPD, donde se determina:

"Artículo 7. Fuentes accesibles al público.
1. A efectos del artículo 3, párrafo j de la Ley Orgánica 15/1999, se entenderá que sólo tendrán el carácter de fuentes accesibles al público:
a. El censo promocional, regulado conforme a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre.
b. Las guías de servicios de comunicaciones electrónicas, en los términos previstos por su normativa específica.
c. Las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección profesional e indicación de su pertenencia al grupo. La dirección profesional podrá incluir los datos del domicilio postal completo, número telefónico, número de fax y dirección electrónica. En el caso de Colegios profesionales, podrán indicarse como datos de pertenencia al grupo los de número de colegiado, fecha de incorporación y situación de ejercicio profesional.
d. Los diarios y boletines oficiales.
e. Los medios de comunicación social.
2. En todo caso, para que los supuestos enumerados en el apartado anterior puedan ser considerados fuentes accesibles al público, será preciso que su consulta pueda ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación."

El cambio de orden (primero la lista, luego la definición) quizás aclara un poco el concepto, aunque en general, consideramos que este artículo resultaba prescindible.

Pero no nos desviemos de la cuestión. Les estaba comentado que las sentencias no son fuentes accesibles al público porque recientemente he leído una resolución de la AEPD en la que se sanciona a Aranzadi por colgar en el Westlaw una sentencia con los nombres de las personas físicas implicadas en el procedimiento. Se trata de la Resolución R/00486/2004.

El Westlaw es un repositorio de jurisprudencia (en mi opinión, el mejor de los que hay ahora en el mercado, con diferencia). Aranzadi tiene un acuerdo con el Centro de Documentación Jurídica (CENDOJ), dependiente del Consejo General del Poder Judicial, en virtud del cual este órgano entregan las sentencias a la editorial y ésta las somete a un proceso de anonimización manual antes de indexarlas en sus base de datos.

Pues bien, en este proceso, por un error humano, se mantuvo el nombre de una persona que había sido parte en un procedimiento. El resultado es que Aranzadi ha pagado 6.010,12 € de multa.

Comprendo la indignación de la interesada, pero no el razonamiento de la Agencia. Creo que en este caso se trata de una cuestión que afecta más al derecho al honor que a la protección de datos. Además, miran a qué diferente conclusión llegó Monsieur le Directeur en un caso en el que también se había producido un error humano, el envío de un fax publicitario a un número equivocado:

"Para el caso que nos ocupa, de acuerdo a lo manifestado por el denunciante, no ha existido consentimiento, ni relación comercial alguna que justifique los envíos, punto que ha sido corroborado por POLI TOURS. Sin embargo, del estudio de la información facilitada por las partes, se desprende que las comunicaciones publicitarias recibidas por el denunciante son fruto de un error en la remisión de las mismas, en la medida en que, si bien POLI TOURS realiza en su calidad de mayorista, dichas comunicaciones a sus clientes (Agencias de Viajes), la propia dinámica empresarial del sector provoca, en ocasiones que los cambios de domicilio, teléfono, fax o ceses de negocios, no le sean notificados, por lo que, debido a dichas circunstancias, empresas o particulares que sucedan a dichas Agencias en los correspondientes nº de fax o teléfono acaban recibiendo las comunicaciones referidas. Por tanto, no existe una voluntad de remisión de comunicaciones, sino que, fruto del error, éstas acaban siendo recibidas por la empresa denunciante.

Hemos de tener en cuenta, por tanto, que estamos ante una situación desafortunada, que si bien causa un perjuicio, al no existir un elemento volitivo en el tratamiento de datos, no activa el procedimiento sancionador en el ámbito de la protección de datos de acuerdo a la doctrina jurisprudencial existente para estos casos. En este sentido, tenemos que tener en cuenta lo establecido por la Sentencia de la Audiencia Nacional de 17 de marzo de 2004 que dispone en su Fundamento de Derecho cuarto:

“ (…)De mantenerse la interpretación que subyace en la resolución recurrida resultaría que cualquier error de anotación, por nimio que fuese, en los movimientos de cualquier cuenta corriente constituiría una infracción grave de la Ley Orgánica 15/1999, conclusión ésta que por su misma desproporción resulta inaceptable.”

O la sentencia de la Audiencia Nacional de 2 de marzo de 2005, que sobre el error nos dice:

“… lo acontecido es resultado de un simple error cuya imputación de carga infractora de algún tipo implicaría una interpretación forzada de la legislación de protección de datos de carácter personal, teniendo en cuenta el carácter restrictivo y nunca expansivo que debe presidir toda acción administrativa sancionadora incluida, claro está, la regulada en la Ley Orgánica 15/1999, de 13 de Diciembre.”
(...)

Por tanto, en la medida en que no sería imputable a POLI TOURS la actividad infractora, ya que los envíos publicitarios eran derivados de un error en la remisión de los mismos, no se podría activar el correspondiente procedimiento sancionador, no constando que en la actualidad se sigan produciendo los hechos controvertidos, ya que si en la actualidad, teniendo conocimiento del error en la remisión , POLI TOURS diera lugar a nuevos envíos, habría de instarse el correspondiente procedimiento sancionador."

La cita que recojo arriba proviene de la resolución de archivo deactuaciones E/00939/2007. Guarden esta referencia como oro en paño, y no duden en citarla cuando se les presente un supuesto similar.

Buenas noches.

lunes, 13 de abril de 2009

En el banco de galera

Me perdonarán que no haya escrito ningún post durante las vacaciones...Llevo unas semanas horribles y necesitaba desacansar: Primero Mari Trini, luego Corín Tellado. Además, ya saben, se aproxima mi cumpleaños. Lamento informarles que no he abierto un libro lopedé estos días. Por el contrario, me he dedicado a leer la muy delicada biografía de Evelyn Waugh, quien, prueba de su gusto exquisito, nunca usó su primer nombre -Arthur-, y un libro sobre Leo McCarey de Miguel Marías.

Pero en fin, ya sé que estas veleidades a Ustedes no les interesan, y si entran aquí es por la lopedé. Hoy, les he encontrado una joyita.

En la resolución R/00836/2007, la AEPD analiza el cumplimiento del principio de información en un supuesto singular: un número de emergencias médicas. Lógicamente, el responsable del fichero argumenta con buena criterio que no se puede utilizar una alocución grabada en este tipo de teléfonos, puesto que haría perder al interesado un tiempo precioso....Monsieur le Directeur concluye:

"El artículo 5 de la LOPD distingue dos supuestos en la recogida de datos personales, de los que se derivan diferencias en cuanto al momento de cumplir la obligación de información que este artículo establece. Cuando los datos se recaban directamente del afectado, mediante formulario u otro impreso, la información debe figurar en los mismos, y cuando no se utilicen éstos, el interesado deberá ser informado previamente. En aquellos casos en que se los datos no hayan sido recabados del interesado, éste deberá ser informado por el responsable del fichero en el plazo de tres meses.

Por tanto, en aquellos casos en los que los datos personales se recaben directamente del interesado en una llamada de urgencia sanitaria, por la prevalencia mencionada del derecho a la vida, no debe obstaculizarse la gestión sanitaria mediante la información previa al usuario que se ponga en contacto con Urxencias Sanitarias de Galicia-061.

De este modo, cabría concluir, que, si bien es necesario, por imperativo del artículo 5.1 de la LOPD dar cumplimiento al deber de información al afectado, puede acudirse a otros mecanismos alternativos que, sin interferir la adecuada gestión sanitaria, garantice el conocimiento por el afectado de que sus datos, incluyendo la voz, mediante la grabación de la llamada, se incorporan al fichero "Servicios y Llamadas".

A titulo indicativo, se señala la solución, considerada adecuada por la Agencia Española de Protección de Datos, en otro supuesto, en el que recogiéndose los datos directamente del afectado, resultaba complicado proceder a la información individualizada al mismo. A título de ejemplo, baste recordar lo establecido en la Instrucción 1/2006, de 8 de noviembre, sobre tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras (.....)

En consecuencia, teniendo en cuenta los servicios prestado por la Fundación Pública Urxencias Sanitarias de Galicia-061, que son la coordinación sanitaria urgente y la consulta médica telefónica, hay que diferenciar la distinta situación en la que se encuentran los usuarios de estos servicios de emergencia de los empleados (médicos, personal sanitario, personal administrativo, etc.) de la propia fundación, por lo que es conveniente establecer procedimientos diferenciados para dar cumplimiento a lo dispuesto en el artículo 5.1 de la LOPD.

Los usuarios de los servicios de emergencia pueden ser informados mediante procedimientos informativos similares al establecido en la Instrucción 1/2006, de 8 de noviembre, antes citada, mediante la inclusión en la página web Fundación Pública Urxencias Sanitarias de Galicia-061 y/o en su publicidad institucional, de forma que recoja la información que contuviera los extremos previstos en dicho artículo 5, por lo que esta entidad tiene que establecer un procedimiento para informar a los afectados de forma que no interfiera la eficaz prestación de sus servicios .

Sin embargo, la información que debe facilitarse a los propios empleados de los servicios prestados por esa fundación pública debe realizarse de la forma establecida en el artículo 5.1 de la LOPD. "

Moraleja: Sean imaginativos con el principio de información. Buenas noches.

martes, 7 de abril de 2009

Dos revistas, dos

Si buscan revista para esta noche, les recomiendo que echen un vistazo al número de febrero de la Revista de la OMPI, que está lleno de curiosidades. Por ejemplo, ¿sabían Ustedes que el inventor del karaoke no lo patentó, pero sí otros productos relacionados con él como un dispositivo que libera productos químicos para matar a las cucarachas que entran en los aparatos? ¿Se les ha ocurrido alguna vez que determinados olores y sabores pueden patentarse asociados a una marca? ¿Acaso han visitado el Museo de las Falsificaciones de París, que subsiste en gran medida con donaciones de los responsables de Aduanas? ¿Habían caído en la cuenta que este año entran en el dominio público las creaciones de E.C. Segar, creador de Popeye, en aquellos países en los que las obras quedan protegidas por un período de 70 años tras la muerte de su autor?

Por otro lado, les informo que ya se ha publicado el nuevo número de la Revista Datos Personales, editada por la Agencia de Protección de Datos de la Comunidad de Madrid (número 38, marzo de 2009)

Buenas noches.

lunes, 6 de abril de 2009

Tuenti y la AEPD

De acuerdo a la nota de prensa de fecha 2 de abril, disponible en la página web de la Agencia, Monsieur le Directeur ha conseguido, con su poder de convicción basado en el art. 45 de la LOPD, que Tuenti desarrolle procedimientos más efectivos para comprobar la identidad de sus nuevos usuarios. Igualmente, utilizará por defecto la opción de grado máximo de privacidad.

En fin, supongo que a algunos de Ustedes les interesará esta noticia más que mis divagaciones sobre el bien común: He recibido agrias críticas de algunos blogtores por mis dos últimos post....

Ya saben de mi escasa afición por las redes sociales. Desde luego, no deseo intercambiar mails ni fotos con compañeros de colegio, a los que si viera por la calle, me cambiaría de acera (dado que lo único que hacen es pegarme sablazos jurídicos o monetarios, especialmente, los primeros).

Como ven, estoy de muy buen ánimo: Pronto cumpliré años. Me acerco a la edad en la que Zaratustra bajó de la montaña.

Buenas noches.