viernes, 17 de diciembre de 2010

¿Se destruyen adecuadamente los datos de carácter personal responsabilidad de las empresas que quiebran?

En alguna ocasión les he comentado el vacío legal que existe en nuestra normativa de protección de datos en lo que se refiere a empresas en liquidación que desaparecen del tráfico jurídico, sin que ninguna otra sociedad se subrogue en sus obligaciones.

En estos casos, el responsable del fichero deja de existir, se extingue. Es el equivalente a la muerte de una persona física. El responsable del fichero, en teoría, debería cancelar la inscripción de los ficheros que en su día realizó al Registro General de Protección de Datos, y destruir la documentación  de una forma segura.

¿Pero qué ocurre si no lo hace así? Les recuerdo que el art. 43 de la LOPD, establece que sólo el responsable del fichero y el encargado del tratamiento podrán resultar sancionados por los incumplimientos que se deriven de la ley:

"Artículo 43. Responsables.
1. Los responsables de los ficheros y los encargados de los tratamientos estarán sujetos al régimen sancionador establecido en la presente Ley."

Si el responsable del fichero ha desaparecido del tráfico jurídico y no existe ningún encargado del tramiento, ¿a quién se va a abrir el correspondiente procedimiento sancionador? ¿a quién se va a exigir responsabilidad?

Veamos con un ejemplo práctico como actúa la Agencia en estos casos.

La resolución que les voy a comentar (E/03158/2009) se refiere a un supuesto de aparición de datos personales abandonados en la vía pública.

Los datos, fichas de clientes de un Bingo que acaba de cerrar, fueron encontradas por una persona que denunció los hecho a los Mossos d'Escuadra. Éstos se personaron en la calle en cuestión, comprobando que tanto en el suelo como en un contenedor de obra, situado frente al local ya vacío del Bingo de Urgell, aparecía un gran número de papeles con datos de carácter personal. Los Mosos recogieron la documentación y la destruyeron, a excepción de algunas fichas que adjuntaron como prueba en el informe remitido a la Agencia. 

En el momento de la apertura del procedimiento sancionador, la empresa propietaria del Bingo, la sociedad Binresa, había solicitado el concurso voluntario de acreedores y no pudo ser localizada para que presentase alegaciones en su defensa.

El razonamiento de Monsieur le Directeur resulta un tanto confuso. Como en casos similares, se señala que el hecho de aparecer la documentación en la calle implica que Binresa ha incumplido su deber de tratar los datos con las medidas de seguridad adecuadas (como saben, es una obligación de resultado). También se indica que el responsable ha incumplido su deber de secreto.

Sin embargo, tras exponer esto, Monsieur le Directeur, que se ve que tenía ganas de cerrar un procedimiento que no iba a ningún sitio, concluye que, como la empresa ha desaparecido y no ha presentado alegaciones que aclaren los hechos, no existe la certeza y la concreción exigida para poder calificar la conducta como sancionable. Sin prueba de cargo suficiente contra Binresa, se archiva el procedimiento. ¿Qué les parece?

jueves, 16 de diciembre de 2010

Informes Jurídicos Extravagantes VII

Entre los últimos informes jurídicos subidos a la web de la AEPD, hay uno que merece formar parte de la serie preferida de los lectores de Ad Edictum. Se trata del informe 446/2010. En él, la Agencia analizar si la marcación del PIN de la tarjeta a la vista de los empleados de un comercio por parte del cliente supone una vulneración de la normativa de protección de datos.

Como saben, muchas entidades financieras han sustuido la firma del titular por la marcación del número secreto cuando se paga con tarjeta. Esta operación se realiza en el lector de tarjetas del establecimiento, casi siempre, delante del dependiente que nos está atendiendo. Pues bien, alguien consideró que tan infame acto podría suponer un riesgo para el derecho fundamental a la protección de datos y se decidió a enviar una consulta a Monsieur le Directeur.

En un momento de cordura, de esos que no suele tener a menudo, el Gabinete Jurídico de la Agencia respondió lo siguiente:

"El artículo 2.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, dispone en su primer párrafo que “la presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado”, siendo datos de carácter personal, conforme al artículo 3 a) de la Ley “calquier información concerniente a personas físicas identificadas o identificables”.

En el mismo sentido, debe señalarse que el precepto reproducido trae causa del ámbito de aplicación establecido por el artículo 3.1 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, según el cual “las disposiciones de la presente Directiva se aplicarán al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero”.

Pues bien, la cuestión planteada no se refiere a la realización por parte del establecimiento de tratamiento alguno relacionado con los datos personales del interesado, más allá del referido al número de la correspondiente tarjeta de crédito o débito para llevar a cabo la transacción, que se encuentra amparado por lo dispuesto en el artículo 6.2 de la Ley Orgánica 15/1999, en cuya virtud “xxx”. De este modo, el hecho de que el interesado deba teclear el código personal de su tarjeta para que la transacción pueda tener lugar no guarda relación con la aplicación de la Ley Orgánica 15/1999."

Como ven, un razonamiento impecable. Buenas noches.

domingo, 12 de diciembre de 2010

Historias de spammers rusos

Las noticias de spammers rusos que llegan de tiempo en tiempo a los periódicos "occidentales" tienen el exotismo y toque ácido de algunos relatos de Gogol. 

En octubre, conocíamos que era un tal Ígor Gúsev quien estaba detrás de la mayor parte de los anuncios de venta de viagra que recibimos diariamente en nuestros correos. Actualmente en paredero desconocido, huyó cuando había sido denunciando en los tribunales y se enfrentaba a cinco años de cárcel.

No sabemos cómo terminará esta historia, pero es difícil que su final sea más rocambolesco que el de su precedecesor, Vardan Kushnir. Éste fue encontrado muerto en su apartamento de Moscú en julio de 2005. Le habían destrozado la cabeza a golpes. Tenía 35 años, y compartía la casa con su madre Olga (que fue quien encontró el cadáver) y varios gatos.

No extrañó a nadie: Era un personaje conocido y odiado por los internautas rusos, que llevaban tiempo denunciado sus actividades (se llegaron a publicar datos personales suyos, como su teléfono, en la red).
Al principio, la prensa rusa comentó que el asesinato tenía que ver con los correos no deseados que enviaba Kushni promocionando su negocio, la academia de idiomas American Language Center. Los periódicos hicieron chistes de dudoso gusto: "El remitente de spam tuvo su merecido", "El spam es mortal", o "La última solución al problema del spam". 

Más tarde se supo que su muerte no estaba relacionada con el spam sino con algo más sórdido. Volvió a casa acompañado de varias chicas, una de ellas menor de edad, que le drogaron y apalearon hasta la muerte para robarle.

WIRED le dedicó un extenso artículo, de título nabokoviano "The Sleazy Life and Nasty Death of Russia’s Spam King". Gracias a él sabemos que fue un alumno modélico de origen armenio. Consiguió una beca para estudiar en un Instituto Tecnológico de Moscú y completar su formación en Los Ángeles. De allí, volvió a Rusia hablando un inglés casi perfecto y abrió su academia de idiomas. También tenía otros negocios. Había intentado convertirse en un nuevo Bill Gates, pero sus empresas de desarrollo de software no tuvieron demasiado éxito.

Si alguna vez se han preguntado qué pinta tienen los spammers, todavía hay fotos de Kushni por la web. Se le ve con aire lánguido y una rubia tremebunda, llena de transparecias. Hoy, después de muerto, tiene una entrada en la wikipedia por el dudoso mérito de colapsar cuentas de correos moscovitas.

martes, 7 de diciembre de 2010

Varios

Ha sido muy comentada en los medios la comparecencia estelar de Monsieur le Directeur ante la Comisión Constitucional del Congreso (lo de la línea roja y bla, bla, bla, ya saben).

Por mi parte, quiero llamarles la atención sobre lo siguiente: la posibilidad de modulación de las sanciones (es decir, de imponer la cantidad mínima correspondiente a una escala, o bien la escala inferior) se ha ampliado en un 40%. Por esta razón, resalta Don Artemi, el total de multas impuestas se ha mantenido en los niveles del año 2006, a pesar de haberse abierto más del doble de procedimientos sancionadores. Un gran logro de contención para una entidad que se autofinancia.

Los motivos que han llevado a apreciar esta modulación han sido cuatro:

- Que existan procedimientos o protocolos de actuación adecuados (conducta diligente que ha fallado de forma excepcional).

- Que se tomen medidas correctoras a la mayor brevedad.

- Que la infracción se deba a cuestiones de cualificación técnica sobre las que no cabe exigir la misma diligencia a una PYME que una gran empresa.

- Que la infracción sea resultado de una falta de diligencia o corresponsabilidad del propio afectado (no sé en qué casos se habrá apreciado esta circunstancia).

Pueden Ustedes leer el texto completo de la comparecencia aquí.
 
Por otro lado, les recomiendo que consulten los vídeos de la Jornada sobre "Consumidores, usuarios y entidades financieras ante el fraude electrónico" que se celebró en la Universidad de Valencia el pasado día 19 de Noviembre. Se encuentran disponibles en la Red DerechoTic. Además, por si se aburren, tienen el último número de la Revista de Protección de Datos de la Comunidad de Madrid.

lunes, 6 de diciembre de 2010

Libro del Mes (Diciembre)

PÉREZ LUÑO, Antonio Enrique: ¿Ciberciudadaní@ o ciudadaní@.com? Editorial Gedisa. Capellades (Barcelona), 2004.

El libro recomendado de este mes es muy breve (apenas 142 páginas) y, quizás, incluya ideas y conceptos desactualizados.

De las tres partes en las que se divide, la más interesante es la primera: "Ciudadanía y Definiciones". En ella, echo de menos una mayor atención a la evolución histórica del concepto de ciudadano para comprender los cambios que supone la Sociedad de la Información en el mismo.

La segunda parte, "Ciudadanía y teledemocracia", se centra en las posibilidades de participación política que ofrecen las nuevas tecnologías. La tercera y última está dedicada a "La Carta de Niza y la ciudadanía europea".

El autor no presta atención a cuestiones como la organización de movimientos cívicos a través de Internet, sólose refiere al ejercicio de la ciudadanía que discurre dentro de los cauces ordenados del voto a un partido político constituido. Con citas frecuentes de Cass Sunstein y de los artículos trasnochados de Ramonet en Le Monde Diplomatique, a veces los comentarios y conclusiones resultan obvios. No obstante, creo que su lectura les resultará interesante ya que hay poco escrito sobre este tema.

domingo, 5 de diciembre de 2010

Houellebecq y las Licencias Creative Commons

Ya saben lo que significa "licencia viral" cuando hablamos de software libre: Todo lo que se base en la obra incial se "contagia" de las condiciones de uso de la licencia utilizada.

Pues bien, la Wikipedia utiliza la licencia Creative Commons 3.0 , que fija entre sus condiciones de uso que cualquiera podrá copiar, distribuir, comunicar públicamente la obra, o crear obras derivadas, a partir de la obra inicial siempre que se respeten las siguientes condiciones:

"Atribución — Debe reconocer los créditos de la obra de la manera especificada por el autor o el licenciante (pero no de una manera que sugiera que tiene su apoyo o que apoyan el uso que hace de su obra).

Compartir bajo la Misma Licencia — Si altera o transforma esta obra, o genera una obra derivada, sólo puede distribuir la obra generada bajo una licencia idéntica a ésta."

Basándose en esto, un joven abogado de apenas 29 años, Florent Gallaire, se ha permitido colgar en su blog el texto íntegro de la última novela de Michel Houellebecq. "La carte et le territoire", premio Goncourt 2010, inclye extractos prácticamente idénticos artículos de la Wikipedia sobre la mosca doméstica, la ciudad de Beauvais y Frédéric Nihous. Houellebecq no ha negado que se inspirara en la célebre enciclopedia libre para escribir su novela ¿La convierte esto en una obra licenciada bajo Creative Commons? Gallaire opinaba que sí, y por eso, la subió en pdf a la red para que pudiera ser descargada gratuitamente.
 
A día de hoy, y tras haber amenazado Flammarion, editora de la novela, con tomar medidas legales, el blogger ha retirado la obra de Internet, afirmando que esto no supone el reconocimiento de haber cometido un delito.

sábado, 27 de noviembre de 2010

El caso "Salvemos al Padre Bru" o lo que se puede hacer con una foto publicada en Facebook

En la página web de Libertad Digital, se encuentra publicado el texto íntegro del Auto de 4 de noviembre de 2010, del Juzgado de 1ª Instancia nº 70 de Madrid.

Dicho auto deniega la medida cuatelar solicitada por Don Manuel María Bru, Director de contenidos socio-religiosos de la COPE, en el momento de la presentación de una demanda en defensa de su derecho al honor, a la intimidad y a la propia imagen frente a dos componentes del Grupo Risa.

Los humoristas demandandos, que abandonaron la COPE con Federico Jiménez Losantos, suelen imitar al Padre Bru en Es.Radio, con la saña y el acierto propio de los antiguos compañeros de trabajo. Aquí tienen un ejemplo.

La demanda no se no se refiere a estas imitaciones, sino a la creación de un grupo en Facebook denominado "Salvemos al Padre Bru".

En su escrito, Don Manuel María pone de manifiesto que tanto los comentarios realizados en el muro del grupo, como la inclusión de éste en la categoría de "animales y mascotas", atentan contra su derecho al honor.

También se señala que dicho grupo utiliza una fotografía de perfil en la que aparece Manuel María Bru con varios amigos, todos ellos en bañador, y que fue obtenida del album personal que éste mantiene en la misma red social. Alega el demandante que, con la utilización de esa foto, se le intenta vincular con la pedofilia y homosexualidad.

Además, considera que la difusión de la fotografía sin su permiso vulnera su derecho a la imagen y a la intimidad, ya que se trata de una imagen privada que sólo quería compartir con sus familiares y amigos en Facebook.

El auto, como decimos, desestima la medida cautelar de cierre del grupo entendiendo que no concurren los requisitos que exige la Ley de Enjuiciamiento Cvil para su aplicación.

Por un lado, no se desprende "apariencia de buen derecho" de la documentación aportada por el padre Bru (un acta notarial donde se da fe del contenido existente en el Grupo de Facebook en una fecha concreta). En opinión de la Jueza, la fotografía en cuestión no insinúa una tendencia sexual concreta. Efectivamente, todas las personas que aparecen en ella son mayores de edad, y no muestran ningún signo de cariño entre sí que pudiera denotar que mantienen una relación sentimental.

Por otro lado, y esto es lo importante, Don Manuel María aceptó unas condiciones de uso al crear su perfil en la red, que permiten la difusión de las fotografías alojadas en los perfiles en los términos previstos en ellas:

"1.Para el contenido protegido por derechos de propiedad intelectual, como fotografías y vídeos (en adelante, "contenido de PI”), nos concedes específicamente el siguiente permiso, de acuerdo con la configuración de privacidady aplicación: nos concedes una licencia no exclusiva, transferible, con posibilidad de ser sub-otorgada, sin royalties, aplicable globalmente, para utilizar cualquier contenido de PI que publiques en Facebook o en conexión con Facebook (en adelante, "licencia de PI"). Esta licencia de PI finaliza cuando eliminas tu contenido de PI o tu cuenta (a menos que el contenido se ha compartido con terceros y éstos no lo han eliminado)."

Por este motivo, se determina que no se puede formar un juicio provisional e indiciario a favor de la vulneración del derecho a la intimidad y a la imagen del actor.

Tenemos que esperar todavía a la Sentencia que resuelva sobre la demanda principal, pero las cosas pintan mal para el Padre Bru (al menos, en primera instancia).

En cualquier caso, la cita que se hace en el auto de las condiciones de uso de Facebook pone de manifiesto que una vez colgamos una foto en nuestro perfil perdemos su control, también desde el punto de vista legal. Piénsenlo antes de colgar su album familiar o aceptar nuevos amigos.

NOTA: El Grupo Risa niega haber creado el grupo "Salvemos al Padre Bru", extremo que tampoco ha podido demostrar el demandante. Fuera quien fuera el administrador del grupo, éste se canceló a los pocos días de hacerse públicos en el programa de Federico Jiménez Losantos los motivos de la demanda.

miércoles, 24 de noviembre de 2010

Consejos prácticos para eliminar sus datos personales de Google

Según lo manifestado por la Agencia Española de Protección de datos en sus informes jurídicos y resoluciones, y visto los argumentos que expone Monsieur le Director en el artículo sobre derecho al olvido digital que les comentaba en mi último post, resulta sencillo conseguir que Google deje de indexar páginas web donde se menciona a un particular.

Bastará con ejercer el derecho de oposición ante la filial espoñola de la compañía (en tanto siga abierta en nuestro país; con este acoso, cualquier día la cierran). Probablemente, se lo denegarán por coherencia con las alegaciones presentadas por Google Spain en los procedimientos que le ha abierto la Agencia, pero no tienen más que solicitar la tutela de la autoridad de protección de datos, que ya se encargará ella de que Usted no aparezca en los resultados de las búsquedas.

Da igual que Google Spain S.L. no sea ni responsable del fichero ni encargado del tratamiento, o que la Agencia, mezclando las churras con las merinas, se autoproclame entidad competente, de acuerdo a la LSSICE, para decidir cuándo un prestador de servicios debe retirar una información de su web. A Monsieur le Directeur nunca le han importado las minucias.

No obstante, yo les recomiendo que previamente a esta solución drástica, se pongan en contacto con Google a través del mecanismo de denuncia que ha habilitado en su pestaña de privacidad y que permite eliminar rápidamente información sensible del buscador ("números de DNI, datos de tarjetas de crédito u otra información confidencial en los resultados de búsqueda").

Para ello, deben acceder al aviso sobre "Privacidad" que figura en la parte inferior derecha de http://www.google.es/. Una vez aquí, pinche en el enlace que les permite ponerse en contacto con Google vía web:

"Si tiene alguna pregunta relacionada con esta Política de privacidad, puede ponerse en contacto con nosotros a través de nuestro sitio web .... "

A partir de aquí, sólo tiene que ir eligiendo, entre las distintas opciones que le ofrecen, aquella que se ajuste a lo que desea hacer. Si tiene alguna duda sobre este tema o quiere comentar su experiencia al respecto, envíenos un mail o déjenos un comentario.

Buenas noches.

lunes, 22 de noviembre de 2010

El derecho al olvido digital y Google Inc

Como sabrán, ya se encuentra disponible el número 85 de la Revista Telos, dedicado a los derechos fundamentales en Internet. Les sorprenderá saber que Monsieur le Directeur publica en él un artículo titulado "El derecho al olvido y su protección", donde anima a los ciudadanos a ejercer los derechos que les asisten para evitar la difusión de sus datos personales en Internet. Termina su brillante exposición con las siguientes palabras:

"Los ciudadanos se preguntan: ¿tengo que soportar estar expuesto en Internet? La respuesta es No. Tal y como se ha expresado, en los últimos tiempos la AEPD ha venido materializando y conformando este llamado ‘derecho al olvido' mediante la aplicación de los instrumentos de defensa y tutela de los derechos de los ciudadanos que el legislador les ha atribuido. No obstante, junto a ello se hace preciso demandar de los responsables de estos servicios un papel activo y una diligencia específica en las garantías de los derechos de los ciudadanos y especialmente en la atención del derecho al olvido de los internautas.

Ofrecer garantías frente a los nuevos riesgos que plantean y aventuran las nuevas tecnologías, mediante el reconocimiento de nuevos derechos que garanticen el necesario equilibrio entre la naturaleza abierta de Internet y la protección de la privacidad, debe formar parte de la agenda social de este momento y sin duda representa uno de los desafíos actuales, a fin de proteger los derechos y libertades necesarios en cualquier sociedad democrática."

Al parecer, entre esos "instrumentos de defensa y tutela" que el legislador nos atribuye a todos nosotros, se encuentra el derecho de oposición frente a Google. En la línea del informe jurídico 214/2010 que les comentaba hace unos días, Monsieur le Directeur expone por qué considera que Google Inc. se encuentra obligado a hacer efectivo el ejercicio de este derecho:

"La fundamentación jurídica sobre la que se asientan dichas resoluciones parte, de un lado, del sometimiento de los prestadores de estos servicios a la legislación nacional (aun encontrándose el responsable de tratamiento situado fuera del Espacio Económico Europeo, la legislación comunitaria se aplica cuando cuenta con un establecimiento en un Estado miembro o cuando acude a medios situados en éste), y de la ausencia de precepto legal o amparo constitucional a la permanencia de la información en los índices de búsqueda, ni en las páginas que buscadores conservan temporalmente en memoria ‘caché'.

Cabe incidir en que en el caso de los buscadores no sólo es la normativa específica de protección de datos la que determina la ley nacional aplicable, sino que dicha normativa resultaría en todo caso aplicable por determinación del tenor literal de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI). Esta norma, que incluye a los buscadores dentro de la definición de ‘Servicios de la Sociedad de la Información', establece que los servicios de búsqueda, como servicios de intermediación en los que el prestador del servicio no es, en principio, responsable de los contenidos informativos a los que facilita el acceso, debe eliminarlos o impedir dicho acceso a requerimiento de un órgano competente que cuestione su licitud."

Eso sí, lo que no explica Don Artemi es por qué, aplicándole la legislación a Google Inc. como se le aplica, los procedimientos se los abre también a la filial española, Google Spain S.L., a pesar de que esta compañía no tiene ninguna responsabilidad en la prestación de los servicios de búsqueda (ni siquiera como encargado del tratamiento). ¿Una advertencia?

domingo, 21 de noviembre de 2010

Los "despidos Facebook"

A finales de 2008, tres trabajadores de ALTEN fueron despedido por "incitar a la rebelión" contra la Directora de Recursos Humanos, animando a sus compañeros a "hacer la vida imposible" a la jerarquía de la empresa. Esto no sería una noticia si no hubieran hecho tales comentarios en Facebook, desde sus casas, un sábado por la tarde en el que los tres coincidieron conectados a la red social.

Alguno de sus contactos en Facebook (los periódicos no indican quién ni por qué motivo) denunció a los trabajadores a la dirección de la compañía, que consideró que habían cometido una falta grave. 

Los despedidos argumentaban que habían expresado sus opiniones en un ámbito estrictamente privado. Sin embargo, para la empresa ALTEN, Facebook es una red social abierta, y los tribunales franceses le han dado la razón. Al parecer sus perfiles no estaban restringidos y podían ser vistos por los "amigos de sus amigos".

Tras dos años de negociaciones y litigios,  el "Conseil des Prud'hommes" (órgano judicial de lo social) de Boulogne-Billancourt dictó sentencia el pasado jueves. Uno de los trabajadores no estaba presente en el juicio porque en este tiempo había llegado a un acuerdo amistoso con su antiguo empleador.

La sentencia, que probablemente será recurrida, determina que la página mencionando los própositos de los trabajadores constituye un medio de prueba lícito y bien fundado para el despedido. Para el abogado de los demandantes, se está abriendo la puerta a la delación: Si en el futuro se puede despedir por lo que se comenta en Facebook, la vida privada se verá amenazada.

En un momento en el se habla tanto del derecho al olvido, y Google y Facebook se encuentran en el punto de mira de las autoridades de protección de datos europeas, los medios más influyentes han demostrado prudencia al llamar la atención no sobre la falta de políticas adecuadas de privacidad en las redes sociales, sino sobre la necesidad de hacer un uso consciente de ellas. Los verdaderos culpables de que se produzcan casos como éste son los usuarios, no Facebook.

Jean-Marc Manach, autor del blog BUG BROTHER, se pregunta cómo se puede llevar una "vida privada" cuando todo se hace a la vista de miles de personas, de "amigos" que no se conocen personalmente. Noten que llega a la misma conclusión que el Grupo de Trabajo del art. 29, cuando señala, en el tan criticado dictamen 5/2009, que un gran número de contactos en una red social "puede indicar que no se aplica la excepción doméstica y el usuario podría entonces ser considerado como un responsable del tratamiento de datos".

La jovencísima Ministra Nathalie Kosciusko-Morizet, famosa por utilizar Internet como plataforma de comunicación con el electorado, mencionaba en su blog los "despidos Facebook", recordando que el diálogo de los trabajadores había sido transmitido al empresario por uno de los "amigos facebook" de los despedidos. "Este asunto nos recuerda oportunamente que todo dato difundido por internet se escapa a nuestro control, incluso cuando creemos que sólo podrán verlo nuestros amigos".

En la edición digital de Le Monde, un abogado especialista en nuevas tecnologías comenta el asunto ampliamente el asunto, y llega a la misma conclusión: No controlamos los datos que publicamos en Facebook. Considera que tal vez se deberían colocar advertencias como la de "Fumar mata" que aparece en los paquetes de tabaco (algo así como: "Usted va a hacer un comentario en Internet. Atención al contenido").

Esta sentencia tiene relevancia porque prácticamente no existe jurisprudencia sobre casos similares. Sólo he encontrado otro supuesto: Hace poco, en Estados Unidos, una trabajadora fue despedida por escribir en su muro de Facebook que su jefe era un enfermo mental. El motivo fue el incumplimiento de la política interna de la compañía que prohibía hablar de la empresa en las redes sociales. Al contrario que el tribunal francés, el National Labor Relations Board (NLRB), la agencia federal americana que protege los derechos de los trabajadores, determinó que un comentario en Facebook tiene un carácter privado y anuló el despido.

En fin, con los "despidos facebook" está pasando lo mismo que con los despidos por comentarios hechos en blogs, cuando éstos eran una novedad: Los primeros casos tuvieron una repercusión mundial. Ahora, la cosas se han ido normalizando y ya no se leen noticias del estilo "despedido por criticar en su blog a un jefe". Algunos tardaron en comprender que lo que se escribía en un blog podía ser leído y encontrado por cualquiera, y dejaba de pertenecer a la esfera íntima de la persona. Los tres trabajadores franceses, como se suele decir, han pagado la novatada.

sábado, 20 de noviembre de 2010

Vídeos del Congreso sobre Libertades Informativas en Internet


Creo que encontrarán de especial interés dos de las intervenciones que se refieren a regulación jurídica de las redes sociales:
  • "Intimidad y redes sociales: ¿Cómo alcanzar la tutela penal?", por Paz Lloria, Profesora de Derecho Penal de la Univerdad de Valencia.
  • "La red social como ejemplo de participación: casos y cuestiones", por Francisca Ramón Fernández, Profesora Contratada Doctora de Derecho Civil, Universidad Politécnica de Valencia.
Buenos días.

miércoles, 17 de noviembre de 2010

La utilización de cámaras ocultas en reportajes periodísticos: Sentencia del Tribunal Supremo de 16 de enero de 2009

La Setencia que quiero comentarles hoy se refiere a un supuesto de grabación con cámaras ocultas, uno de los temas que más interesa a los lectores de este blog.

Doña R. había instalado en su vivienda una clínica naturista que ella misma atendía. Una periodista de Canal Mundo Producciones Audiovisuales pidió cita para un masaje, grabando con cámara oculta cómo se desarrolló la sesión y la conversación mantenida. Posteriormente, esas grabaciones fueron emitidas en un programa de la Televisión Autonómica Valenciana.

Doña R. incoó acciones civiles contra la periodista, Canal Mundo y la Televisión Valenciana, al considerar que tanto las grabaciones con cámara oculta como los comentarios sobre su persona que se realizaron en el transcurso del programa atentaban contra su derecho al honor, a la intimidad y la propia imagen. Las pretensiones de la demandada fueron desestimadas tanto en primera instancia como en apelación.

En concreto, la Audiencia Pronvicial "se sirvió para tomar su decisión de un conjunto de argumentos referidos a la libertad de información, en relación con el periodismo de investigación y la condición neutral del reportaje; al lugar en que la grabación se había realizado disimuladamente; a la autorización dada por la demandante a la reportera para que entrara en el espacio destinado a consulta; y a la circunstancia de haber sido grabada la conversación por una de las personas que intervino en ella, no por un tercero - con invocación de la sentencia del Tribunal Constitucional 114/1.984 -."

La Sentencia del Tribuanl Supremo, sin embargo, da la razón a Doña R. Dos aspectos de la misma me parecen de interés:

El primero es la ponderación que realiza de los derechos en conflicto (la intimidad, por un lado; y el derecho a la información, por otro). Para el alto tribunal, "(...) el método utilizado para consumar la primera fase de la intromisión – la llamada cámara oculta – no era imprescindible para descubrir la verdad de lo que acontecía en la consulta de la actora. Hubiera bastado con que la reportera entrevistara a los clientes de la misma – como se hizo con una- para conocer con total fidelidad lo que supo de propia mano mediante la grabación directa. En tales condiciones el sacrificio del derecho de doña R. no puede ser calificado como legítimo."

En segundo lugar, el Supremo considera que el carácter oculto de la grabación no queda suficientemente argumentado por las demandadas, que indicaban que "de otra manera el grado de espontaneidad del interlocutor pudiere, razonablemente, entenderse mediatizado, con pérdida evidente del valor de la información que se trata de obtener”.

Concluye el Tribunal que no sólo se vulnera el derecho a la intimidad de la demandante, sino también el derecho a la imagen de Doña R:

"Es, por otro lado, evidente que, tanto en el momento de la grabación como en el de la emisión del programa de televisión, la demandante fue privada del derecho a decidir, para consentirla o impedirla, sobre la reproducción de la representación de su aspecto físico determinante de una plena identificación.

Por otro lado, la finalidad del reportaje y de su difusión, verdaderos medios de denuncia referida a la actividad de la demandante como ejemplo de una práctica socialmente reprobada, convirtieron a la misma, plenamente identificada por sus rasgos físicos – incluso durante la emisión, mediante técnicas que atraían hacia ellos la atención del espectador -, en elemento fundamental de la información.

Lo que impide entender que se grabó y publicó una imagen meramente accesoria de la información, a los efectos del aparado segundo, letra c) del artículo 8 de la Ley 1/1980."

En definitiva, la utilización de cámaras ocultas en reportajes periodísticos no está justificada en todo caso, y habrá que valorar numerosos aspectos, no sólo el contenido de la grabación, sino el programa en el que se emite y la presentación de contenidos en el mismo.

lunes, 15 de noviembre de 2010

Informe sobre distribución de competencias entre la Agencia Española y las Autoridades Autonómicas

Les he buscado otro informe jurídico magistral, evacuado (en el sentido jurídico del término) por el Gabinete de la AEPD en el año 2002. Pueden leerlo aquí.

El informe viene motivado por la siguiente consulta de una de las agencias autonómicas:

"Se ha planteado por una Autoridad de control autonómica, de las previstas en el artículo 41.1 de la LOPD el modo en que habría de resolverse el problema de que los ficheros sometidos a su ámbito de aplicación hayan de ser inscritos tanto en el Registro general de Protección de Datos como en el gestionado por la propia Agencia autonómica, considerando que el Registro ante el que debe efectuarse originariamente la inscripción es el de ésta última, siendo la inscripción en el Registro General de Protección de Datos "complementaria" de la anterior, a los meros efectos de publicidad."

En el razonamiento que sigue, la AEPD habla de los dos límites que establece el art. 41 de la LOPD al ámbito de actuación de las autoridades autonómicas: "uno en cuanto a las efectivas competencias que podrán ejercerse y otro en lo referente a los ficheros sobre los cuales cabrá ejercer la competencia."

Por supuesto, la Agencia determina que la función de dar publicidad a los tratamientos está atribuida expresamente y en exclusiva por la LOPD a la autoridad nacional. Además, para apoyar su interpretación, echa mano de la doctrina del Tribunal Constitucional, y cita la Sentencia 290/2000, que merece la pena recordar:

"A esta conclusión coadyuva también la doctrina sentada por el Tribunal Constitucional, en su Sentencia 290/2000, de 30 de noviembre, que delimita el reparto competencial entre el Estado y las Comunidades Autónomas en esta materia. Según indica el Fundamento Jurídico 14 de la citada Sentencia, tras consagrar la naturaleza de derecho fundamental de la protección de datos de carácter personal:

"...la exigencia constitucional de protección de los derechos fundamentales en todo el territorio nacional requiere que éstos, en correspondencia con la función que poseen en nuestro ordenamiento (art. 10.1 CE), tengan una proyección directa sobre el reparto competencial entre el Estado y las Comunidades Autónomas «ex» art. 149.1.1 CE para asegurar la igualdad de todos los españoles en su disfrute. Asimismo, que dicha exigencia faculta al Estado para adoptar garantías normativas y, en su caso, garantías institucionales.

A este fin la LORTAD ha atribuido a la Agencia Española de Protección de Datos diversas funciones y potestades, de información, inspección y sanción, para prevenir las violaciones de los derechos fundamentales antes mencionados. Y dado que la garantía de estos derechos, así como la relativa a la igualdad de todos los españoles en su disfrute es el objetivo que guía la actuación de la Agencia Española de Protección de Datos, es claro que las funciones y potestades de este órgano han de ejercerse cualquiera que sea el lugar del territorio nacional donde se encuentren los ficheros automatizados conteniendo datos de carácter personal y sean quienes sean los responsables de tales ficheros"."

Buenas noches.

domingo, 14 de noviembre de 2010

Diferencia entre revocación del consentimiento y derecho de cancelación

La Agencia explica magistralmente en su informa jurídico 35/2010 la diferencia entre revocación del consentimiento y derecho de cancelación. Veamos lo que dice:

"La Ley Orgánica 15/1999 que exige, con carácter general, el consentimiento del interesado para el tratamiento y cesión de datos, permite, igualmente, la revocación del mismo, esto es, que el interesado pueda exigir el cese en el tratamiento de sus datos mediante su pura y simple manifestación de voluntad, al disponer en su artículo 6.3 “El consentimiento a que se refiere el artículo podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos.” De la misma manera el artículo 11.4 establece que “El consentimiento para la comunicación de los datos de carácter personal tiene también un carácter de revocable.”

Este derecho de revocación, debe ser diferenciado del derecho de cancelación a que hace referencia el artículo 16.2 de la Ley Orgánica 15/1999 y conforme al cual “Serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la presente Ley y, en particular, cuando tales datos resulten inexactos o incompletos.”

Así el derecho de cancelación se encuentra vinculado al incumplimiento por parte del responsable del fichero, en este caso, el titular de la página web, de los principios consagrados en el artículo 4 de la Ley Orgánica 15/1999, en particular los de actualización, exactitud y conservación de los datos, aunque la rectificación o cancelación puede proceder de la conculcación de cualquiera de los principios enumerados en dicho artículo. La revocación del consentimiento, por el contrario, no implica un incumplimiento por parte del responsable, no obstante, debe tenerse en cuenta que si el interesado revoca el consentimiento para el tratamiento de sus datos, su mantenimiento supondrá una vulneración de lo dispuesto en dicha Ley Orgánica, al conservarse éstos sin respetar los principios en ella establecidos.

Siendo supuestos diferentes con fundamentos diferentes, el artículo 31.2 del Reglamento aclara que la revocación no supone el ejercicio del derecho de cancelación al señalar ”En los supuestos en que el interesado invoque el ejercicio del derecho de cancelación para revocar el consentimiento previamente prestado, se estará a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre y en el presente reglamento."

De esta manera el procedimiento a seguir no es el contenido en los artículo 31 y siguientes del Reglamento, sino el previsto en el artículo 17 de la misma norma que dispone lo siguiente:

"1. El afectado podrá revocar su consentimiento a través de un medio sencillo, gratuito y que no implique ingreso alguno para el responsable del fichero o tratamiento. En particular, se considerará ajustado al presente reglamento el procedimiento en el que tal negativa pueda efectuarse, entre otros, mediante un envío prefranqueado al responsable del tratamiento o la llamada a un número telefónico gratuito o a los servicios de atención al público que el mismo hubiera establecido.

No se considerarán conformes a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, los supuestos en que el responsable establezca como medio para que el interesado pueda manifestar su negativa al tratamiento el envío de cartas certificadas o envíos semejantes, la utilización de servicios de telecomunicaciones que implique una tarificación adicional al afectado o cualesquiera otros medios que impliquen un coste adicional al interesado.”

En el número tercero de dicho precepto, y a diferencia de lo previsto para el derecho de cancelación que no requiere comunicación alguna al interesado, se establece la posibilidad de que afectado solicite la confirmación el cese del tratamiento, en cuyo caso el responsable “deberá responder expresamente a la solicitud.”

En cuanto a los efectos de la revocación se expresan en el número segundo del artículo 17 que señala “El responsable cesará en el tratamiento de los datos en el plazo máximo de diez días a contar desde el de la recepción de la revocación del consentimiento, sin perjuicio de su obligación de bloquear los datos conforme a lo dispuesto en el artículo 16.3 de la Ley Orgánica 15/1999, de 13 de diciembre.”"

De acuerdo a lo que acabamos de leer, el interesado tiene las siguientes posibilidades para que un responsable de fichero deje de tratar su datos:

1º. El derecho de cancelación, vinculado al incumplimiento por parte del responsable del fichero de los principios de calidad de datos recogidos en el art. 4 de la LOPD. No olvidemos que este mismo artículo prevé la "cancelación de oficio" por parte del responsable, sin necesidad de que la inste el afectado.

2º. El derecho de oposición, que puede ejercerse en tres supuestos: Cuando los datos se tratan sin consentimiento del interesado (por ejemplo, provienen de fuentes accesibles al público), cuando los datos se destinan a fines publicitarios y cuando el tratamiento tenga por finalidad la adopción de una decisión referida al afectado y basada únicamente en un tratamiento automatizado de sus datos de carácter personal.

3º. La revocación del consentimiento, que no es un derecho del interesado (y por tanto no se puede solicitar su tutela ante la Agencia), y que sigue un procedimiento específico que se regula en el art. 17 del RLOPD. Dicho precepto no exige respuesta formal por parte del responsable del fichero, salvo que el interesado lo solicite expresamente.

Supuesto práctico 1: Un cliente que ha otorgado su consentimiento en el momento de la celebración del contrato para recibir publicidad, cambia de idea ¿Qué debe hacer: ejercer el derecho de oposición o revocar el consentimiento?

Supuesto práctico 2: Como responsable del fichero, recibo una petición en la que, utilizando el modelo de ejercicio de derecho de cancelación de la web de la AEPD, en realidad, lo que se me solicita, es la revocación del consentimiento (ya que los datos tratados no son inexactos ni incorrectos, ni incumplen el resto de principios del art. 4 de la LOPD). ¿Qué hago: respondo al interesado que se ha equivocado de cauce, deniego el ejercicio del derecho de cancelación, o simplemente, no contesto? ¿Si reclama en tutela, la Agencia lo admitirá?

Espero que Monsieur le Directeur se decida a preparar folletos informativos donde oriente a los ciudadanos en la elección de la más adecuada entre todas las posibilidades que la LOPD pone en sus manos, que son muchas. También sería deseable que facilitara a los responsables de fichero modelos de respuesta tipo para hacer frente a las distintas peticiones que pueden recibir de los interesados.

lunes, 8 de noviembre de 2010

Las nuevas competencias de la autoridad catalana de protección de datos

Esta mañana he estado comentando con el destituido Don Paco la poca atención que ha recibido en los medios la aprobación de la Ley 32/2010, de 1 de octubre, de la Autoridad Catalana de Protección de Datos. Esta norma, además de cambiar de nombre al ente que hasta ahora conocíamos como Agencia Catalana de Protección de Datos, le atribuye nuevas competencias que afectan a ficheros privados y potestad sancionadora (léase recaudatoria) respecto a éstos. 

En el art. 3 de la Ley 32/2010, se indica lo siguiente: 

"Artículo 3. Ámbito de actuación

El ámbito de actuación de la Autoridad Catalana de Protección de Datos comprende los ficheros y los tratamientos que llevan a cabo:

a) Las instituciones públicas.

b) La Administración de la Generalidad.

c) Los entes locales.

d) Las entidades autónomas, los consorcios y las demás entidades de derecho público vinculadas a la Administración de la Generalidad o a los entes locales, o que dependen de ellos.

e) Las entidades de derecho privado que cumplan, como mínimo, uno de los tres requisitos siguientes con relación a la Generalidad, a los entes locales o a los entes que dependen de ellos:

Primero. Que su capital pertenezca mayoritariamente a dichos entes públicos.

Segundo. Que sus ingresos presupuestarios provengan mayoritariamente de dichos entes públicos.

Tercero. Que en sus órganos directivos los miembros designados por dichos entes públicos sean mayoría.

f) Las demás entidades de derecho privado que prestan servicios públicos mediante cualquier forma de gestión directa o indirecta, si se trata de ficheros y tratamientos vinculados a la prestación de dichos servicios.

g) Las universidades públicas y privadas que integran el sistema universitario catalán, y los entes que de ellas dependen.

h) Las personas físicas o jurídicas que cumplen funciones públicas con relación a materias que son competencia de la Generalidad o de los entes locales, si se trata de ficheros o tratamientos destinados al ejercicio de dichas funciones y el tratamiento se lleva a cabo en Cataluña.

i) Las corporaciones de derecho público que cumplen sus funciones exclusivamente en el ámbito territorial de Cataluña a los efectos de lo establecido por la presente ley."

Esta modificación deriva del artículo 156 del Estatuto Catalán. Hasta ahora, ninguna agencia autonómica ha tenido competencias sobre ficheros privados. La interpretación que se derivaba del art. 41.1 de la LOPD estaba clara. La expresión utilizada por dicho precepto, "ficheros de datos de carácter personal creados o gestionados por las Comunidades Autónomas y por la Administración Local de su ámbito territorial, por los órganos correspondientes de cada Comunidad", sólo daba cabida a ficheros públicos.

Sin embargo, ya ven: Parece ser que la Autoridad Catalana podrá inspeccionar y sancionar a determinadas entidades de derecho privado cuando, por ejemplo, ejerzan funciones públicas, presten servicios públicos o sus recursos provengan en su mayor parte de la Generalidad. El listado de las entidades que entran dentro del ámbito fijado por el artículo 3 de la Ley 30/2010 requiere un estudio detallado. Aunque aquí lo fundamental es resolver el conflicto legal que parece que se produce entre el art. 41 de la LOPD y el art. 156 del Estatuto.

Mientras tanto, nadie dice nada. Tan sólo en el blog Privacidad Práctica han incluído un post dedicado al asunto.

domingo, 7 de noviembre de 2010

Un caso de libro de cybersquatting

Los amantes de la coctelería están de enhorabuena. Comprenderán por qué cuando lean esta resolución del Centro de Mediación y Arbitraje de la OMPI, que permite a la que la compañía francesa Rémy Cointreau of Cognac conseguir el dominio "cointreau.co". Éste había sido registrado por un ciudadano Chino, de nombre Luke Skywalker (no sé si les suena).

El panelista único, Señor Richard G. Lyon, no tuvo muchas dudas a la hora de decidir la transferencia del dominio al reclamante. En primer lugar, la compañía Rémy Cointreau es titular de la marca "Cointreau" en distintos países, entre ellos China (Hong Kong), lugar de residencia de la persona que registró el dominio. Además, el demandado, que ni siquiera se molestó en presentar alegaciones, había alojado en la dirección objeto de disputa una página web de las denominadas "de aparcamiento", en la que aparecían distintos anuncios a bebidas alcohólicas, además de una nota en inglés donde se ofertaba la venta del nombre de dominio.

Teniendo en cuenta lo anterior, el panelista da por probada la mala fe del demandado y afirma que se trata de un caso de libro de cybersquatting. Probablemente, a la compañia Rémy Cointreau le habría salido más barato comprar que acudir a la OMPI, pero este tipo de decisiones tiene el peligro de crear un precedente y fomentar el registro ilicíto de dominios. Los tiempos en los que se podía hacer negocio registrando como nombres de dominio de marcas conocidas terminaron hace años.

sábado, 6 de noviembre de 2010

Crónica Social

Ayer, 5 de Noviembre, se celebró según lo acordado, con gran éxito de crítica y público, la Primera Reunión de Amigos de la Lopedé.

La Dirección del Blog quiere agradecer su asistencia a Don Alfonso, Don José Ignacio y Don Álvaro (autor del estupendo blog Lexfori), así como a Don José Fernando, nuevo Secretario y Tesorero de esta casa, y a Don Paco. Éste último fue cesado en todos sus cargos por motivos que requerirían un post aparte.

Ni Doña Critina ni Doña Carmen, que habían confirmado su participación en el acto, pudieron acudir, por lo que todos los presentes (excepto Don Alvaro, hombre de moral intachable), se quejaron de la escasa presencia femenina.

Afortunadamente, no se consumieron bebidas alcoholicas ni se habló de futbol.

Se trataron distintos temas, algunos de ellos relacionados con la protección de datos. Don José Ignacio demostró un malsano interés por las Transferencias Internacionales de Datos, Don Álvaro nos ilustró sobre los adelantos en comunicaciones vía SMS y Don Alfonso comentó esta resolución de la Agencia, por la que siente especial cariño.

Se echó de menos al presidente del club fans Ad Edictum, Don Emilio, geográficamente aislado de la civilización en la cuna del Gran Viriato.

Con esta reunión, queda inaugurado el Club de Amigos de la Lopedé, que se reserva el derecho de admisión de nuevos socios.  

miércoles, 3 de noviembre de 2010

Los principales ficheros de solvencia patrimonial y crédito (III)

Recapitulemos: En esta serie de post dedicada a los "ficheros de morosos",  hemos hablado ya de los tres más conocidos: RAI, ASNEF y BADEXCUG. El primero sólo incluye información de personas jurídicas, por lo que no queda sometido al cumplimiento de la LOPD. Los otros dos recogen información que ponen en común distintas empresas (sobre todo, del sector financiero y del sector de telecomunicaciones), siendo dichas empresas las responsables de la calidad del dato.

Hay un cuarto fichero de solvencia patrimonial y crédito que ha adquirido cierta relevancia en los últimos años. La razón es que se centra en datos de un ámbito económico muy concreto: el fichero de inquilinos morosos de FIM IBERICA. En su web corporativa, podemos leer la siguiente descripción de la base de datos:

"FIM es el Fichero de Inquilinos Morosos, contiene información sobre arrendamientos impagados, tanto de personas físicas como jurídicas, aportada por los propios arrendadores y profesionales en la gestión de arrendamientos. Contiene también toda la información procedente de sentencias judiciales por desahucio, convirtiéndose en la base de datos más amplia y completa sobre morosidad en arrendamientos en el territorio nacional. FIM es la herramienta indispensable de consulta de más de diez mil profesionales de toda España. La participación en este registro se basa en el principio de reciprocidad, que consiste en beneficiarse de los datos ajenos aportando los propios."

Yo no les puedo contar mucho más sobre este fichero porque no tengo referencias de usuarios del mismo, ni he recibido ninguna queja de personas incluidas en él (algo que, por ejemplo, me pasa constantemente con ASNEF, dado que operadores de telecomunicaciones tienen la política de comunicar datos de clientes suyos que no son morosos profesionales por impagos de dedudas ridículas).
 
En fin, creo que con esto tendrán Ustedes una visión general de los principales ficheros de morosos privados. Como les comenté, el que es quizás el más importante fichero de morosos lo gestiona el Banco de España, y constituye una importatísima garantía para el buen funcionamiento de nuestro sistema financiero. Entre otras cosas, evita que se produzcan muchos casos como éste que leí hace unos días.
 
La información contenida en la Central de Información de Riesgos del Banco de España (CIRBE), proviene de las entidades sometidas a supervisión de esta entidad, que son las únicas, junto al Banco de España, que pueden consultar la base de datos.
 
Su funcionamiento se encuentra regulado en la Ley 44/2002, de de 22 de noviembre, de Medidas de Reforma del Sistema Financiero. El importe mínimo de la declaración es de 6.000 euros.
 
Por supuesto, al Banco de España no le gusta que llamen a la CIRBE "fichero de morosos". Por eso, en su página web podemos leer lo siguiente:
 
"¿Qué diferencia hay entre la Central de Información de Riesgos (CIR) y los registros de morosos?
 
La Central de Información de Riesgos (CIR) no es un registro de morosos, sino un gran banco de datos en el que se recogen todos los riesgos que tienen las entidades de crédito con sus clientes (créditos o préstamos concedidos, avales otorgados, valores propios de renta fija, etc.) por encima de los 6.000 euros.

La información es independiente de si sus titulares están al corriente de pago o no, si bien hay que decir que en el caso de que haya morosidad (retraso en los pagos) la entidad tiene que declararlo, cualquiera que sea la cantidad, siempre que se refiera a un crédito declarado.

Las entidades financieras están obligadas a enviar a la Central de Información de Riesgos (CIR) información sobre los riesgos vivos que cada una mantiene y con quién. El objetivo de la Central de Información de Riesgos (CIR) es facilitar a las entidades datos necesarios para su actividad. Por ejemplo, un banco puede conocer los riesgos que un determinado cliente tiene con otras entidades, y valorar mejor la conveniencia de darle un crédito. Además, la finalidad de la Central de Información de Riesgos (CIR) es también colaborar en el ejercicio de la supervisión bancaria. "

En fin, creo que fue Hayek el que dijo que la primera batalla que hay que ganar es la del lenguaje (o quizás fue Confucio). En los siguientes post, si Dios no lo remedia, les seguiré hablando de la regulación de los ficheros de solvencia patrimonial y crédito, y les presentaré una serie de links a artículos de interés sobre el tema.

Buenas noches.

lunes, 1 de noviembre de 2010

Libro del mes (Noviembre)

VARIOS AUTORES: Seguridad y Protección de Datos Personales. Thomson - Civitas y Agencia de Protección de Datos de la Comunidad de Madrid. Madrid, 2009.

El libro que les propongo este mes pertenece a la colección de publicaciones sobre protección de datos en ámbitos sectoriales de la Agencia de la Comunidad de Madrid. En esta misma colección, se han editado, por ejemplo, las guías sobre Servicios Sanitarios, Servicios Sociales y Universidades Públicas, que probablemente Ustedes conocen.

Seguridad y Protección de Datos personales cuenta, como es habitual, con un extenso prólogo del Señor Troncoso (casi es lo mejor de la guía). También encontrarán en él un análisis pormenorizado del Título VIII del Reglamento de Desarrollo de la LOPD, una selección de consultas resueltas por la Agencia sobre el tema, los modelos de documento de seguridad propuestos por esta autoridad y un DVD "las mejores prácticas en protección de datos".

Parte de este material ya se encontraba publicado en la web de la Agencia de la Comunidad de Madrid. Por ejemplo, aquí pueden Ustedes encontrar el documento de seguridad y aquí las consultas frecuentes.

A pesar de ello y de que está dirigido a responsables de ficheros públicos, no creo que este libro sobre en las estanterías de sus bibliotecas.

sábado, 30 de octubre de 2010

Los principales ficheros de solvencia patrimonial y crédito (II)

Antes de entrar en materia, permítanme recomenarles dos lecturas de interés:

La primera es una entrevista con el Señor Ricard Martínez, de la Agencia Española de Protección de Datos, que publican en La Nueva España y que lleva por título "Internet no es gratis, las redes sociales se benefician de nuestros datos".

En segundo lugar, se ha dictado otra sentencia sobre responsabilidad de prestadores de servicios de la Sociedad de la Información (¡qué mes llevamos!). La comentan en El Mundo.

Y ahora, sin más preámbulos, pasemos a comentar más aspectos de interés sobre los "ficheros de morosos".

En el primer post de esta serie, les hablé de los que son, probablemente, los dos ficheros de morosos más conocidos: el RAI y el ASNEF. El primero de ellos, si recuerdan, sólo incluía información de personas jurídicas y es titularidad del Centro de Cooperación Interbancaria, aunque su gestión se realiza con la colaboración de Experian Bureau de Crédito.

Esta última entidad es, además, responsable de un fichero de morosos con datos de consumidores: el fichero BADEXCUG. Pueden consultar la información relativa a la inscripción del fichero BADEXCUG en el Registros de la AEPD aquí.

Debo decirles que la página de EXPERIAN incluye una sección expresamente dedicada a los consumidores que pudieran haber sido incluidos en su fichero. Entra otras cosas, facilita una explicación muy clara y sencilla sobre cómo ejercitar los derechos ARCO:

"Experian Bureau de Crédito dispone de un departamento exclusivamente dedicado a atender las reclamaciones y solicitudes de los consumidores, y en particular, a hacer efectivos los derechos que la ley reconoce a los titulares de datos personales.

Para ejercitar los derechos de acceso, cancelación, rectificación u oposición podrá dirigir una solicitud por escrito a la siguiente dirección:

Fichero BADEXCUG Apartado de Correos 1188 - 28108 Alcobendas (Madrid).

Es imprescindible que la solicitud vaya firmada personalmente por el afectado, y que se acompañe fotocopia del DNI o documento equivalente. La exigencia de estos requisitos se deriva no sólo de la obligatoriedad de cumplir la normativa vigente, sino de la necesidad de salvaguardar la confidencialidad de los datos del Bureau, de forma que no se suministre información a persona distinta del propio interesado.

Además, es necesario que, en su caso, se acompañe a la solicitud documentación acreditativa de la petición formulada (por ejemplo, documentos relativos al pago de la deuda, etc.).

Los datos contenidos en los ficheros son personales y confidenciales y no se pueden suministrar por teléfono."

Existen más ficheros de morosos, de los que les iré hablando en sucesivas entregas. En nuestro siguiente post comentaremos el fichero CIRBE, del Banco de España, que cuenta con una régimen de funcionamiento específico.

miércoles, 27 de octubre de 2010

Los principales ficheros de solvencia patrimonial y crédito (I)

Como ya les indiqué, en la reunión del día 5 hablaremos sobre los "ficheros de morosos". Por tal motivo, tenia pendiente escribir algún post al respecto.

Los ficheros de solvencia patrimonial y crédito aparecen regulados en el art. 29 de la LOPD, donde se indica:

"Artículo 29. Prestación de servicios de información sobre solvencia patrimonial y crédito.

"1. Quienes se dediquen a la prestación de servicios de información sobre la solvencia patrimonial y el crédito sólo podrán tratar datos de carácter personal obtenidos de los registros y las fuentes accesibles al público establecidos al efecto o procedentes de informaciones facilitadas por el interesado o con su consentimiento.

2. Podrán tratarse también datos de carácter personal relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien actúe por su cuenta o interés. En estos casos se notificará a los interesados respecto de los que hayan registrado datos de carácter personal en ficheros, en el plazo de treinta días desde dicho registro, una referencia de los que hubiesen sido incluidos y se les informará de su derecho a recabar información de la totalidad de ellos, en los términos establecidos por la presente Ley.

3. En los supuestos a que se refieren los dos apartados anteriores, cuando el interesado lo solicite, el responsable del tratamiento le comunicará los datos, así como las evaluaciones y apreciaciones que sobre el mismo hayan sido comunicadas durante los últimos seis meses y el nombre y dirección de la persona o entidad a quien se hayan revelado los datos.

4. Sólo se podrán registrar y ceder los datos de carácter personal que sean determinantes para enjuiciar la solvencia económica de los interesados y que no se refieran, cuando sean adversos, a más de seis años, siempre que respondan con veracidad a la situación actual de aquéllos."

En el reglamento de desarrollo de la LOPD, se ha dedicado una sección específica a este tipo de ficheros en el Título IV (Disposiciones aplicables a determinados ficheros de titularidad privada): los artículos 38 a 44. Como veremos, el tribunal supremo ha anulado recientemente previsiones contenidas en ellos.

El único motivo de inclusión en los denominados "ficheros de morosos" es la existencia de una deuda impagada. Esta información, como normal general, la transmite el propio acreedor al responsable del fichero de solvencia. La deuda debe ser en todo caso vencida, líquida y exigible, y el acreedor tiene la obligación de reclamarla previamente a la incluisión en el fichero. Una vez incluido el dato, se debe informar al afectado nuevamente. Por ello, es muy difícil que los datos de una persona consten en estos ficheros sin que ella lo sepa (salvo que haya cambiado de domicilio o se encuentre ilocalizable).

Uno de los ficheros de morosos más conocidos es el RAI o Registro de Aceptaciones Impagadas, que gestiona el Centro de Cooperación Interbancaria. Actualmente, este servicio se presta a través de Experian Bureau de Crédito, S.A. El fichero dispone de una web, donde se detalla claramente el tipo de datos que contiene y quiénes podrán consultarlos.

"El Registro de Aceptaciones Impagadas (RAI) está constituido por la información relativa a aquellos impagos, exclusivamente de personas jurídicas, de cuantía igual o superior a 300 euros, que se produzcan en documentos en los que conste la firma del deudor reconociendo la deuda (letras aceptadas, pagarés cambiarios, cheques de cuenta corriente y pagarés de cuenta corriente), que sean de uso en masa en el sistema bancario y que tengan fuerza ejecutiva. Asimismo, recoge los recibos que suplan a las letras de cambio en los que conste la aceptación del deudor con su firma y cumplan los restantes requisitos antes señalados, salvo el de fuerza ejecutiva. La información la aportan Bancos, Cajas de Ahorro, Cajas Rurales y Cooperativas de Crédito ("entidades de depósito"). El plazo de permanencia de la información contenida en el RAI es, actualmente, de treinta meses. A través de este servicio se suministra información del RAI a los acreedores (personas físicas o jurídicas que puedan acreditar que tienen un crédito concedido o solicitado por una persona jurídica) y a las empresas de informes de solvencia (aquellas cuya actividad sea proporcionar informes de solvencia). La información que se podrá consultar es el importe pendiente de pago por el deudor y el número de apuntes asociados a un deudor. La consulta debe realizarse necesariamente por el CIF del deudor."

Pueden consultar los ficheros notificados el Registro de la Agencia por las Asociación Centro de Cooperación Inerbanciaria aquí. Obviamente, el fichero RAI no figura entre ellos porque no contiene datos de personas físicas.
 
Sin duda, es mucho más probable que sus datos acaben en otro fichero, el fichero Asnef, gestionado por Equifax Ibérica. A este fichero, comunican los datos de sus clientes morosos no sólo entidades financieras, sino operadores de telecomunicaciones.
 
La informaciòn sobre el registro del fichero Asnef en la AEPD se encuentra disponible aquí. Como curiosidad, les diré que Equifax también gestiona un fichero de buenos pagadores, de "información positiva", aunque con mucho menos éxito del que tiene en Estados Unidos.
 
Por el momento, dejamos aquí la explicación. Continuaremos en siguientes post. Espero que me remitan sus comentarios y dudas.

martes, 26 de octubre de 2010

Chat con Monsieur le Directeur en el diario Público

El diario Público dedica especial atención a todo lo relacionado con los derechos de los ciudadanos frente a las nuevas tecnologías. Por eso, no me ha extrañado que Don Artemi participara ayer en un chat con los lectores de dicho periódico, como mencionaba un lector anónimo de este blog. Pueden leer la transcripción del encuentro virtual aquí.

La verdad es la Agencia Española de Protección de Datos que está realizando una meritoria labor de concienciación y de puesta a difusión de material de interés, que se inció con el anterior director de la Agencia, el Señor Piñar. También hay que decir que la Agencia de Protección de Datos de la Comunidad de Madrid,  sin contar con tantos medios económicos, ha sido pionera en organización de eventos gratuitos, edición de monografías, elaboración de modelos de documentos de seguridad (copiados hasta la saciedad por consultoras de todo tipo), y muchas otras cosas. Que no se le reconozca este mérito, no deja de sorprenderme

domingo, 24 de octubre de 2010

Algunos comentarios sobre la III Jornada Abierta de la AEPD

La  Agencia Española de Protección de Datos organizó el pasado 20 de octubre su III Jornada Abierta con gran éxito de crítica y público. A tal efecto, los pasillo (y sobre todo, los baños) de la Facultad de Medicina de la Universidad Complutense se llenaron de consultores lopedé, y las máquinas de vending hicieron más números que cuando Rosa Díez va a dar una conferencia. 

El acto resultó animadísimo, francamente interesante. Creo que colgarán los vídeos del evento en la página web. Mientras tanto, pueden Ustedes consultar las presentaciones en power point de los ponentes aquí.

Me sorprendió:
  • Que Monsieur Rubí, al parecer, sólo conociera el Anteproyecto de Ley de Transparencia por las noticias que lee en el periódico.
  • Que durante la primera parte de la Jornada, cuando se presentaba la "Guía 0" de Administración Electrónica, no se mencionara que la Agencia de Protección de Datos de la Comunidad de Madrid hace tiempo que preparó una instrucción sobre este tema.
  • Que tampoco se hiciera ninguna referencia a la posibilidad de ejercer el derecho de oposición frente a Google, empresa en el punto de mira de Monsieur le Directeur, y frente a la cual, sin ser responsable del fichero, se han estimado procedimientos de tutela de derechos que obligan a la "desindenxación" manual de datos que continúan colgados en las webs de los verdaderos responsables de los tratamientos.
  • Que se notara cierto deje de orgullo en la voz del Jefe del Gabinete Jurídico cuando recordó que las recientes Sentencias del Tribunal Supremo que anulan artículos del RLOPD confirman la distinción entre responsable del fichero y responsable del tratamiento.
  • Que a pesar de que durante toda la Jornada se habló de la necesidad de evitar la difusión masiva de datos en Internet para proteger el derecho al olvido de los particulares, en la sección del "peticiones del oyente" la Agencia concluyó que las empresas de recobro pueden utilizar los datos que encuentren en la red para localizar a sus moroso.
En resumen, me lo pasé muy bien. Sólo lamento que no se diera más tiempo a la peculiar visión del "Diario de Patricia" Lopedé que son las consultas micrófono en mano de los asistentes.

miércoles, 20 de octubre de 2010

Informes Jurídicos extravagantes (VI)

En la página 22 de la Guía de Seguridad de la AEPD (de la que, por cierto, acaban de publicar una segunda versión que incluye un modelo de documento de seguridad editable), el apartado dedicado a "Gestión de soportes y documentación" comienza  señalando:

"Los soportes que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y serán almacenados en , lugar de acceso restringido al que solo tendrán acceso las personas con autorización que se relacionan a continuación: Tener en cuenta el procedimiento a seguir para casos en que personal no autorizado tenga que tener acceso a los locales por razones de urgencia o fuerza mayor>."

Como saben, estas indicaciones están pensada para que el responsable del fichero refleje en su documento de seguridad cómo cumple con los artículos del Reglamento de Desarrollo de la LOPD relativos a gestión de soporte (arts. 92, 97 y 101).

La obligación de que esté especificado el personal con acceso a los lugares de almacenamiento de soportes se encuentra en el primer apartado del art. 92 RLOPD que indica:

"1. Los soportes y documentos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y solo deberán ser accesibles por el personal autorizado para ello en el documento de seguridad."

La última acotación sobre personal no autorizado con acceso a los locales en casos de urgencia debió de resultar especialmente críptica para el protagonista de nuestro informe de hoy, ya que planteó la siguiente consulta a la Agencia:

"(...) el sentido que debe darse a la expresión “Tener en cuenta el procedimiento a seguir para casos en que personal no autorizado tenga que tener acceso a los locales por razones de urgencia o fuerza mayor”,
contenida en la versión de abril de 2008 de la Guía de Seguridad de esta Agencia (...)"

Y la Agencia responde:

" En cumplimiento de dicho precepto [art. 92 RLOPD] será preciso que se indique tanto el lugar en que se produzca el almacenamiento de los soportes o documentos como el personal autorizado a acceder al lugar donde se almacenan los soportes que contengan datos de carácter personal, así como el procedimiento establecido para habilitar o retirar el permiso de acceso.

La guía de seguridad no obstante tiene en consideración el hecho de que en determinadas circunstancias excepcionales, y a fin de garantizar precisamente la seguridad e integridad de la información almacenada en los lugares establecidos al efecto, sea necesaria la entrada en dichas instalaciones de personal que no aparece expresamente autorizado para ello en el documento de seguridad, pero sin cuya participación resultará imposible una adecuada garantía de dichas medidas.

Así sucederá en supuestos tales como incendio o inundación, así como cuando fuera necesario para el mantenimiento de las instalaciones o de los propios elementos en que se almacene la información.

En este sentido, el documento debería prever estas circunstancias, a fin de acreditar que, por una parte, existirán medidas que garanticen la seguridad de la información en estos supuestos excepcionales y, por otra, se delimiten los supuestos en los que estos accesos extraordinarios a locales podrán tener lugar, debiendo tenerse en cuenta que este acceso debería quedar limitado a supuestos en los que exista una causa justificada de “urgencia o fuerza mayor” que exija el acceso a los locales."

En fin, por mi parte, también les recomiendo que mencionen en sus documentos de seguridad que, el Día del Apocalipsis, los Arcángeles del Señor tendrán acceso al cajón donde guardan las copias de seguridad de sus ficheros.

Buenas noches.

martes, 19 de octubre de 2010

Salir de Internet es difícil (pero de Google, no)

Por si nos les quedaba claro con las últimas resoluciones de la AEPD sobre este particular, Monsieur le Directeur expone su particular visión del derecho al olvido en el Informe Jurídico 214/2010. La consulta que da origen al informe se refiere a publicación de sanciones en boletines oficiales y a la posibilidad de ejercer los derechos de cancelación y oposición frente a las Administraciones Públicas responsables de los mismos. Al parecer, los consultantes se habían dirigido a una Diputación Provincial para que ésta tomaran medidas tendentes a impedir que los boletines oficiales donde aparecían sus nombres y las infracciones cometidas fueran indexados por motores de búsqueda (léase, Google).

Para empezar, la Agencia determina que la publicación de datos en el boletín se encuentra amparada por la Ley 30/1992, por lo que, de acuerdo al art. 6.2 de la LOPD, no es necesario el consentimiento del interesado. Sentado esto, analiza si procede atender los derechos de cancelación y oposición.

Veamos qué dice sobre el derecho de cancelación:

"En cuanto a la posibilidad de solicitar la cancelación de sus datos, el artículo 31.2 del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, aprobado por Real Decreto 1720/2007, de 21 de diciembre, define el derecho de cancelación, al señalar que “el ejercicio del derecho de cancelación dará lugar a que se supriman los datos que resulten ser inadecuados o excesivos, sin perjuicio del deber de bloqueo conforme a este Reglamento”. En consecuencia, es preciso analizar si el tratamiento efectuado en el supuesto analizado resulta inadecuado o excesivo, para que procediera atender a la solicitud formulada.

La notificación en el Boletín Oficial, en los términos de los artículos 59 y 61 citados, no resulta en ningún caso, ni inadecuada ni excesiva, por lo que en ningún caso se podrá cancelar dicha información."

No se puede estar más de acuerdo, ¿verdad? Pasemos al derecho de oposición. El razonamiento de la AEPD es el siguiente:

"La regulación del derecho de oposición aparece en el artículo 6.4 de la Ley Orgánica 15/1999 donde se reconoce al afectado el ejercicio del derecho de oposición, estableciendo que “en los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una Ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado”.

En supuestos como el planteado el acceso a la información personal se produce por la concurrencia de dos hechos: la publicación de la notificación en la edición electrónica del Diario Oficial y su indexación por el servicio de búsqueda en Internet.


Por ello, los afectados podrán ejercitar el mencionado derecho ante los buscadores, en cuyo caso concurren todos los requisitos necesarios para que atiendan tal petición."

Por tanto, ya lo saben: salir de Internet es difícil, pero de Google, no. No tienen más que dirigirse a esta compañía ejerciendo su derecho de oposición. Mañana les explicaré cómo, porque hoy me duele la espalda. Buenas noches.