domingo, 31 de mayo de 2009

Otra sanción por colgar videos en Youtube

Esta tarde les invito a leer la resolución R/00555/2009, en la que nuevamente la Agencia sanciona a un particular por colgar vídeos en Youtube. En este caso, se trata de unas imágenes grabadas sin consentimiento de sus titulares, en las que aparecen unos menores de origen inmigrante a los que se acusa de apropiarse de un parque y se incita a la violencia contra ellos.

El sancionado estitular de la línea ADSL que se corresponde con la dirección IP desde la que se creó la cuenta en Youtube a través de la que se pusieron en línea los vídeos. Éste manifestó en sus alegaciones que en su casa existían cinco ordenadores, uno por cada miembro de la familia. Los de sus hijos eran habitualmente utilizados tanto por éstos como por sus amigos.

La Agencia concluye que:

“En el caso analizado, se constató que, a fecha 27 de febrero de 2008, aparecían publicados en “YouTube” un vídeo con imágenes captadas en la calle en el que se señala y visualiza una serie de chicos menores de edad. Respecto a estas imágenes, que permiten identificar a las personas, deben ser consideradas datos de carácter personal, conforme al artículo 3.a) de la LOPD, y tales imágenes constituyen, en sí mismas consideradas, un tratamiento de datos en los términos de la LOPD.

La captación y reproducción de imágenes de ciudadanos en la calle, que constituyen datos de carácter personal, y su publicación en “YouTube”, accesible para cualquier usuario de Internet, se encuentra sometida al consentimiento de sus titulares, de conformidad con lo dispuesto en el artículo 6.1 de la LOPD.

No consta que el denunciado tuviese consentimiento de los chicos que aparecen en el vídeo para que sus imágenes fuesen publicadas en redes de comunicación telemática. Tampoco se ha producido ninguna excepción del consentimiento exigido, según las excepciones previstas en el trascrito artículo 6.2 de la LOPD.

Es cierto que la realidad de Internet requiere realizar una interpretación del principio de consentimiento que evite una aplicación estricta que la paralizaría o la convertiría en una red profusa en vulneraciones de datos personales de millones de personas accesibles fácilmente usando un mero buscador y de los que no cabe aportar el consentimiento previo.”

La escasa cuantía de la multa (unos 600 euros) hace improbable que el sancionado recurra, con lo que no dudo que seguiremos viendo sanciones similares.

jueves, 28 de mayo de 2009

Lecturas recomendadas

Hoy les he seleccionados tres revistas para que sustituyan el "Yo Dona" y el "Mujer de Hoy" del fin de semana:

martes, 26 de mayo de 2009

Más sobre la aplicación de la LOPD a los tratamientos no automatizados

Preparando una Jornada sobre LOPD en Administraciones Públicas me he encontrado esta explicación de Manuel FERNÁNDEZ SALMERÓN sobre la aplicación de la LOPD a los tratamientos manuales, tema que tanto les interesa a mis adorados lectores. Dice así FERNÁNDEZ SALMERÓN en las páginas 166 y 167 de su muy completo manual:

“Así, el considerando 27º de la DPD establece que “las carpetas (léase “expedientes”) y conjuntos de carpetas, así como sus portadas, que no estén estructuradas conforme a criterios específicos no están comprendidas en ningún caso en el ámbito de aplicación de la presente Directiva”. Llevadas al máximo, las consecuencias de este planteamiento normativo no son desdeñables. Si los conjuntos de datos en los que se plasma de ordinario la actividad administrativa -los expedientes, según refiere el propio artículo 37 LRJPC-, no se encuentran comprendidos en la disciplina de la protección de datos personales, existe una absoluta independencia entre ambos fenómenos y su conexión o sometimiento recíproco resultará meramente accidental.

Pero la realidad es que, de conformidad con la vigente LOPDP, suscitas notables dudas el hecho de que los expedientes administrativos deban considerarse en todo caso excluidos del régimen jurídico establecido por esta norma y, más en particular, por la normativa española. En efecto, al margen de otros argumentos que desarrollaremos seguidamente, debe tenerse en cuenta que durante la vigencia de la LORTAD –que, como es sabido, se aplicaba exclusivamente, según disponía su artículo 2.1, a los datos personales incorporados en ficheros automatizados, regencia ésta que ha sido radical y sintomáticamente modificada por el mismo artículo de la LOPDP- y a la vista de la exclusión que la DPD había llevado a cabo en relación con los expedientes o carpetas no estructuradas, ciertos autores concluyeron que, en cambio y en una interpretación a contrario, se encontraban sometidos a la LORTAD los expedientes o carpetas no estructurados pero sí informatizados.

Esta interpretación, que consideramos coherente con la LORTAD, no parece tener, sin embargo, mucho sentido en la actualidad de conformidad con el ámbito aplicativo definido en el art. 2.1 LOPDP que, acogiendo parcialmente los extremos de la DPD, parece no obstante haber ampliado sus instrumentos o garantías (operación perfectamente lícita, según entendemos, como lo demuestra la realidad de otros ordenamientos como el italiano) a cualquier utilización de los datos personales, sea cual sea el soporte en el que consten, su grado de organización o la naturaleza de las operaciones a que se sometan. Además, debe advertirse que no cualquier carpeta o expediente se encuentra fuera de la definición de fichero (…), de tal modo que entran dentro del ámbito aplicativo de la DPD los expedientes que facilitan el acceso a los datos personales (por ejemplo, porque se identifiquen mediante datos nominativos), lo que resulta relativamente ordinario en la actividad administrativa.”

(FERNANDEZ SALMERÓN, Manuel: Protección de los datos personales en las Administraciones Públicas. Thomson Civitas y APDCM. Madrid, 2003).

Está tan bien explicado que poco se puede añadir. Eso sí, es anterior a la Sentencia del Supremo sobre los libros Bautismales que cambia esta interpretación….

martes, 19 de mayo de 2009

¿Pero qué es un tratamiento no automatizado?

Leo en la edición digital del ABC que la Audiencia Nacional ha estimado el recurso contencioso-administrativo presentado por la SGAE contra aquella resolución de la Agencia que la condenaba a pagar una multa de 60.000 euros por grabar bodas.

Se trata de otra consencuencia de la Sentencia del Supremo sobre los libros Bautismales. De acuerdo a la Audiencia Nacional, la grabación en vídeo de una persona no constituye un tratamiento automatizado de datos, y por tanto, al no estar incluido en un fichero, queda fuera del ámbito de aplicación de la LOPD. Pueden consultar el texto completo de la Sentencia aquí.

No sé si se han dado cuenta que no disponemos de una definición de tratamiento no automatizado. Sí tenemos una de fichero manual que no aclara gran cosa sobre lo que significa no automatizado a efectos jurídicos ¿Constituyen las grabaciones de video un tratamiento no automatizado o manual? ¿Qué opinan Ustedes?

lunes, 18 de mayo de 2009

El caso del formulario de reclamaciones oficial

Nuevamente, les presento dos resoluciones en las que se puede comprobar la discrecionalidad de la Agencia. Ante hechos muy similares, por no decir idénticos, resuelve de manera diferente.

La empresa A (resolución R/01500/2008) fue denunciada por un cliente que presentó una reclamación contra la compañía y comprobó que en los formularios utilizados al efecto no se informaba del tratamiento que se daría a sus datos personales. La compañía alegó que utilizaba el modelo oficial de la Dirección General de Consumo de la Generalitat Valenciada, regulado por el Real Decreto 77/1994, de 12 de abril, del Gobierno Valenciano, donde no se recoge la información preceptuada por el art. 5 de la LOPD. La Agencia concluye que procede el archivo del procedimiento en virtud del principio de confianza legítima:

"Así las cosas, aunque el modelo utilizado por Eurolíneas Marítimas, S.L. (Balearia) no informa de los extremos contenidos en el artículo 5 de la LOPD, procede proponer el archivo del presente procedimiento, en virtud del principio de confianza legítima al no contener el referido Decreto ninguna referencia a la obligatoriedad de las entidades que comercializan bienes o prestan servicios de facilitar a los usuarios que cumplimentan alguna hoja de reclamación o denuncia la información recogida en el artículo 5 de la LOPD."

La empresa B (resolución R/01946/2008) también fue denunciada por un cliente que echaba de menos la información exigida por la normativa sobre protección de datos en un formulario de reclamación. Esta empresa también alegó que se trataba del formulario oficial, regulado por la Orden FOM/3398/2002, de 20 de diciembre, por la que se establecen normas de control en relación con los transportes públicos de viajeros por carretera. En este caso, la Agencia no tiene en cuenta el principio de confianza legítima y sanciona a la empresa B con 601,01 euros de multa.

viernes, 15 de mayo de 2009

Libro del mes (mayo)

VARIOS AUTORES: La potestad sancionadora de la Agencia Española de Protección de Datos. Thomson Aranzadi y AEPD. Pamplona, 2008.

El libro de este mes es un novedad editorial que pueden Ustedes tener en su mesilla de noche para leer un capítulo cada día. Se trata de una colección de ponencias y coloquios (taquigrafiados literalmente) sobre un tema interesante y generalmente olvidado en los manuales sobre protección de datos: el ejercicio de las potestades de inspección y sanción por parte de la AEPD.

Si Ustedes no tienen una formación jurídica, probablemente encontrarán la materia excesivamente árida, pero les recuerdo que la LOPD es, al fin y al cabo, una ley no una estandar internacional o una norma técnica. Por tanto, su interpretación y aplicación habrán de realizarse según los principios generales del derecho y en relación con el resto del ordenamiento jurídico. Las potestades de inspección y sanción de la Agencia se ejercitan de acuerdo al Derecho Administrativo, y difícilmente tendrán Ustedes una visión completa de un procedimiento sancionador si no conocen una palabra de esta materia.

Los participantes en este libro provienen del mundo académico (catedráticos y profesores) y de la Agencia Española de Protección de Datos. Entre ellos, se encuentran Ricard MARTÍNEZ MARTÍNEZ, Manuel FERNÁNDEZ SALMERÓN, Julián VALERO, Alejandro HUERGO LORA y José LÓPEZ CALVO.

A pesar de la densidad de su contenido, encontrarán la obra de interés.

lunes, 11 de mayo de 2009

Ustedes se merecen lo mejor

Usted, lector anónimo de Zaragoza que entra compulsivamente en esta casa; Usted, lector de Palma de Mallorca; Usted, de Álava; y Usted también... Sí, sí, se lo merecen...

La dirección del blog ha meditado mucho cómo celebrar el primer aniversario de Ad Edictum y ha decidido organizar un CONCURSO DE COMENATARIOS PELOTAS.

De aquí al 30 de junio, tienen tiempo para hacer la declaración de la renta y pensar las cosas bonitas que van a decirme.
Dejen su comentario en este post, o en cualquier otro, o envíenmelo por mail, pero escríbanme.
Acabo de cumplir años, me siento mayor y me hace falta cariño (Del más falso, por supuesto, pongan imaginación y exageración en lo escriban).

Y ahora lo que les interesa
: El ganador recibirá un ejemplar del
libro de Cristina ALMUZARA sobre el nuevo reglamento. Si reside en Madrid, la entrega se realizará en mano (con lo cual, el afortunado disfrutará del premio adicional de conocerme en carne mortal). Si no, Ad Edictum se compromete a enviarlo gratuitamente a la dirección que indiquen.

Los criterios de valoración serán subjetivos. Luego no se quejen.

miércoles, 6 de mayo de 2009

Cómo saltarse el principio de consentimiento

Léanlo en esta resolución. Una empresa que envía publicidad utilizando datos obtenidos del buzón del interesado. La Agencia determina que no se produce incumplimiento de la LOPD porque no consta que los datos se encuentren incluidos en un fichero y el tratamiento necesario para el envío de la carta es exclusivamente manual.

"El Tribunal Supremo en su reciente Sentencia de 10 de octubre de 2008, interpretando la Directiva 46/95, señala que todo el centro y eje de la tutela de la protección de datos y de la regulación de los mismos al “tratamiento”, debe interpretarse teniendo en cuenta su 15 Considerando que recoge que “los tratamientos que afecten a dichos datos sólo quedan amparados por la presente Directiva cuando estén automatizados, o cuando los datos a que se refieren se encuentren contenidos, o se destinen a encontrarse contenidos, en un archivo estructurado según criterios específicos relativos a las personas, a fin de que se pueda acceder fácilmente a los datos de carácter personal de que se trate,”. Así, añade el Tribunal Supremo, la propia directiva 46/95 refiere al ámbito de la protección que regula al tratamiento del dato, y en relación tanto con postratamientos automatizados como respecto a los que no lo estén, siempre que en este caso los datos obtenidos se destinen a encontrarse en un fichero, entendido este como un archivo estructurado según criterios específicos relativos a las personas que permitan acceder fácilmente a los datos personales.

En el presente caso, se ha puesto de manifiesto la existencia de tratamiento de datos personales, en el sentido de que se realizo un envío publicitario utilizando los datos personales del denunciante. Sin embargo, no se ha acreditado la existencia de un fichero en el que consten o hayan constado dichos datos y haya sido utilizado para la conformación del envío comercial. En este sentido la Sentencia de la Audiencia Nacional de fecha 26 de Noviembre de 2008, recaída en el Recurso 137/2008.

En atención a lo expuesto, sin la acreditación de la existencia de los datos utilizados en un fichero de los definidos en la LOPD, no procede sanción alguna, por no darse los supuestos objetivos que legitimarían su imposición.”