martes, 29 de junio de 2010

Uso sindical del correo electrónico

Ayer, leí una sentencia del Tribunal Supremo que trata sobre uso sindical del correo electrónico corporativo. En este caso, la empresa había solicitado, en cumplimiento de las políticas internas de la Organización, que una persona figurara como responsable del buzón de correo asignado a cada sindicato.

La mayor parte de las secciones sindicales de la compañía aceptaron esta norma, excepto una, que alegó que esta práctica iba en contra de la libertad sindical. Por supuesto, demandó a la empresa.

El sindicato perdió en primera instancia, y en casación, donde el Tribunal Supremo razona acertadamente:

"Pero la circunstancia de que el ejercicio de ese derecho haya pasado -en la era de las tecnologías de la infocomunicación- del tablón de anuncios al tablón virtual de la utilización de las estructuras informáticas y telemáticas de la empresa (en tanto que contenido adicional -que no esencial- del derecho de libertad sindical: citada STC 281/2005, de 7/noviembre, FJ 5), en manera alguna puede comportar que ese derecho on-line pueda actuarse sin cumplir las exigencias razonables que se impongan por la empresa o vengan determinados por su sistema informático (vid. el fundamento jurídico 8 de la sentencia citada), cual puede ser el de identificar una persona responsable de la administración de la cuenta de correo, siempre que tal responsabilidad se halle limitada -como está declarado probado en autos- a la custodia y distribución de los mensajes, sin alcanzar al contenido de aquéllos; el condicionamiento empresarial -nominar un administrador individual de la cuenta de correo- no puede considerarse, bajo ninguna consideración, como obstrucción al derecho de libertad sindical, cuyo ejercicio se facilita con los medios telemáticos de que la empresa dispone, consintiendo -en palabras de la tan referida STC 281/2005- el "ejercicio fluido, eficiente y actualizado de las funciones representativas", sin el "establecimiento de dificultades a su ejercicio más allá de lo razonable".

En resumen: Ser representante sindical no otorga una patente de corso para saltarse las normas de seguridad o las políticas internas de la compañía. Las conductas de este tipo se repiten con frecuencia. En mi último post, les comenté un supuesto sorprendente, el del sindicalista que se que se encuentra un pendrive de otro sindicato, que además contenía información personal de su propietaria, y "lo retiene como prueba". En fin, si quieren leer el texto de Sentencia del Tribunal Supremo de 16 de febrero de 2010, véanlo aquí.

sábado, 26 de junio de 2010

Un resolución singular

He encontrado una resolución, digna de aparecer en una antología de absurdos. La cosa empieza normal: Una sección sindical denuncia a El Corte Inglés. Pero cuando empezamos a leer los hechos de la denuncia…

En fin, en un centro de El Corte Inglés hay una sala que la empresa a puesto a disposición de distintos sindicatos, y donde se comparte espacio y medios informáticos. Al parecer, un sindicalista del sindicato A encontró un pen-drive en uno de los ordenadores de uso común. El sindicalista hizo lo que cualquier persona haría en su lugar: apropiarse del pen-drive y examinar su contenido. Por lo que se ve, no pasó por su cabeza retirarlo y guardarlo en un cajón, o preguntar de quién es (y esto, a pesar de que contenía una carpeta personal de su propietaria denominada “Alejandra en mi barriguita”). Así pues, como pueden leer en la resolución:

"3. Los representantes de CC.OO informaron del hallazgo mediante escrito recibido por el Director de personal del centro de Preciados-Callao de EL CORTE INGLES el 01/02/0809.

4. Decidieron retener la memoria USB para terminar de analizarlo y aportarlo como prueba en una futura posible demanda."

Por supuesto, acabaron denunciando a El Corte Inglés en la Agencia, no al otro sindicato. Aunque la Agencia abrió procedimiento sancionador, éste acabó archivándose finalmente. Si les interesa, pueden leer el texto completo aquí.

No es el razonamiento jurídico que hace la AEPD en este caso lo que me interesa resaltarles, sino la conducta de quien recoge el pen-drive de una sala común, se dedica a ver su contenido y decide "retenerlo" ¿A nadie le parece que esto podría ser constitutivo de un delito? El pen-drive no estaba abandonado, estaba en una zona de trabajo para los representantes sindicales, donde todos se conocen (parece obvio que se trataba de un olvido), y además, contenía fotografías y ecografías privadas. En fin, les recuerdo lo que dice el art. 197.1 del Código Penal:

"El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales o intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses."

Espero sus comentarios. Buenas tardes.

lunes, 21 de junio de 2010

Responsable del fichero y Responsable del tratamiento

¿Son dos figuras distintas? La Agencia deja claro en su último informe jurídico que sí, como les comentaba el otro día. No sé si son Ustedes conscientes de los problemas que conlleva esta diferenciación. Se me ocurren dos:

Uno es de carácter metáfisico y afecta al conocimiento del ser de las cosas. El art. 3 de la LOPD define igual Responsable del fichero y Responsable del tratamiento:

"Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento."

En principio, dos cosas que se definen igual, son lo mismo, o por lo menos, intercambiables. De hecho, la LOPD utiliza ambos términos indistintamente.

El segundo problema es de índole más práctica. De acuerdo con el art. 43 de la LOPD, "los responsables de los ficheros y los encargados de los tratamientos estarán sujetos al régimen sancionador establecido en la presente Ley". Si el Responsable del tratamiento es una figura distinta al Responsable del fichero, y la LOPD no considera al primero responsable de las infracciones contenidas en su artículado, ¿en base a qué se le va a sancionar?

¿Qué opinan Ustedes? ¿Se han encontrado en la práctica con alguna sanción de la Agencia a un Responsable del tratamiento?

jueves, 17 de junio de 2010

Diferencia entre responsable del fichero y responsable del tratamiento

Por si Ustedes dudaban que responsable del fichero y responsable del tratamiento son dos figuras distintas, aquí tienen lo que dice la AEPD en un reciente informe jurídico:

"En segundo término, debe tenerse en cuenta que el precepto tiene por objeto la plasmación en el desarrollo reglamentario de la Ley Orgánica 15/1999 de la doctrina emanada de la Sala tercera del Tribunal Supremo en relación con la determinación de las entidades responsable del fichero y del tratamiento en el marco de las actividades de publicidad y prospección comercial.

La diferencia entre ambas figuras aparece recogida en la Sentencia del Tribunal Supremo de 5 de junio de 2004, que recuerda:

“(...) las sentencias de contraste contemplan una regulación -la de la LORTAD de 1992- que en el problema que nos ocupa -y tal como expone muy claramente la sentencia impugnada, ejemplo de buen hacer judicial- ha cambiado sustancialmente en la nueva Ley 15/1999 de
Protección de datos de carácter personal, que distribuye perfectamente entre responsable del fichero y responsable del tratamiento, y que en el título VII dedicado a regular las infracciones y sanciones dice muy claramente que «los responsables de los ficheros y los encargados de los tratamientos estarán sujetos al régimen sancionador establecido en la presente Ley»”.

La propia Sentencia hace suyos los argumentos de la SAN de 16 de octubre de 2003, objeto de recurso, que señalaban lo siguiente:

“Se desprende asimismo de los repetidos apartados del art. 3, como ya se ha manifestado, la diferenciación de dos responsables en función de que el poder de decisión vaya dirigido al fichero o al propio tratamiento de datos. Así, el responsable del fichero es quien decide la creación del fichero y su aplicación, y también su finalidad, contenido y uso, es decir, quien tiene capacidad de decisión sobre la totalidad de los datos registrados en dicho fichero. El responsable del tratamiento, sin embargo, es el sujeto al que cabe imputar las decisiones sobre las concretas actividades de un determinado tratamiento de datos, esto es, sobre una aplicación específica. Se trataría de todos aquellos supuestos en los que el poder de decisión debe diferenciarse de la realización material de la actividad que integra el tratamiento”.

Esta doctrina es igualmente sustentada por la Sentencia del Tribunal Supremo de 26 de abril de 2005, que aporta consideraciones sumamente reveladoras de la intención del legislador en este punto.

Así, en primer lugar, es preciso recordar que la propia Sentencia, con cita de la de la Audiencia Nacional objeto de recurso, describe la conducta objeto de sanción por la Agencia Española de Protección de Datos, en los siguientes términos:

“(...) la cuestión controvertida, se circunscribe a determinar, si la entidad actora que encargó la realización de una campaña publicitaria a X consistente en el envío de unas invitaciones a determinadas personas (seleccionadas entre hombres y mujeres, de 30 a 53 años, de cinco niveles de formación determinados y residiendo en los distritos postales 28036 y 28039 de Madrid, en cantidad aproximada de 9.000 unidades [folio 79], para asistir en un hotel de Madrid a un acto promocional de la firma Y en el que se les entregaba unos regalos), extraídas de un fichero facilitado por Z a X, es responsable de la infracción imputada.”

Es decir, una entidad beneficiaria de la publicidad encomienda a otra el envío de la publicidad con base en determinados “parámetros identificativos” fijados por aquélla, referidos a la edad, nivel de formación y domicilio de los destinatarios de la campaña. En relación con el hecho de que la entidad sancionada no “realizase mate
rialmente el tratamiento, la Sentencia recuerda, también con cita de la fundamentación sostenida en instancia, lo siguiente:

“(...) el hecho de que la entidad recurrente, efectivamente, como señala la parte actora, no tuviera en ningún momento la disponibilidad material de los datos, no quiere decir que no decidiera sobre la finalidad, contenido y uso del tratamiento, y que no sea responsable del tratamiento, porque precisamente la LOPD viene a efectuar una ampliación subjetiva de la responsabilidad, de manera que por efecto de la externalización de los servicios informáticos no queden impunes aquellos agentes que con capacidad de decisión sobre el tratamiento intervienen en el proceso y aparentemente su actuación queda diluida por la relevancia de otras conductas más importantes en el proceso.”


El texto del informe, en el que se analiza el controvertido artículo 46 del RLOPD, lo tienen disponible aquí. Espero sus comentarios.

Buenas noches.

miércoles, 16 de junio de 2010

Varios

Gracias a Don Álvaro, he conocido un fraude lopedé del que espero no sean Ustedes víctimas. Al parecer, alguien realmente malvado se está haciendo pasar por la Agencia Española de Protección de Datos para conseguir que empresas incautas les contraten auditorías y similares. Léanlo aquí.

Por otro lado, se ha publicado ya el nuevo número de la revista “Datos Personales”, que como siempre es muy interesante en su sección de jurisprudencia. La revista menciona la presentación del Libro Principios y derechos de protección de datos personales, a la que Ad Edictum asistió. Pueden escuchar los audios del evento aquí, y tratar de encontrarme en estas fotos.

También asistí a la Jornada sobre Privacidad y Seguridad que la Agencia Española de Protección de Datos organizó en sus salones versallescos de la primera planta (por dios, cuánto espejo!!). Oí de pasada que uno de los participantes extranjeros comentaba admirado a alguien de la Agencia: “Desde luego, tenéis el mejor edificio de todas las Autoridades de Protección de Datos de Europa”. Efectivamente, sólo faltaba Isabel con una bandeja de Ferreros.

Por lo demás, mi salud sigue muy resentida,´y creo que tendré que ceder esta tribuna al Señor P. Roberts para que me sustituya una temporada.

Buenas noches.

martes, 1 de junio de 2010

Varios

A pesar de mi lamentable estado de salud, no puedo dejar de compartir con Ustedes lo siguiente:

Primero: Sorprende comprobar que la Agencia Española de Protección de Datos ha recurrido a esa práctica que tanto critica cuando la llevan a cabo una administración: La publicación en el B.O.E. de una resolución ante la imposibilidad de notificar la misma al interesado. Miren si no el B.O.E. de 13 de mayo...Para muestra un botón.

Segundo: Una sentencia de 18 de marzo de este año, del Juzgado de lo Mercantil nº 5 de Madrid, absuelve a Radar (Electronic Sounds Bar) frente a la demanda interpuesta por las entidades de gestión de los productores fonográficos (AGEDI) y de los intérpretes o ejecutantes (AIE): El bar demandado pudo demostrar que la música que ponían en el local no estaba incluida en los repertorios gestionados por estas entidades. Lean más sobre esta sentencia aquí.

Tercero: Nuevos informes de la AEPD. Tras leerlos, no puedo menos que dar las gracias a Dios por ese Gabinete Jurídico que ha concedido en gracia a la Agencia. Muchas veces, se habrán preguntado durante cuánto tiempo se deben conservar los informes de auditoría de medidas de seguridad. Aprecien el sutil razonamiento:

"A la vista de lo anterior, teniendo en cuenta los plazos de prescripción y de obligación de sometimiento a la auditoría, el término durante el cual el informe debería estar a disposición de la Agencia Española de Protección de Datos o autoridad autonómica de control competente debería ser el de dos años, da modo que si no se dispusiera de un informe de esa antigüedad la entidad responsable o encargada estaría vulnerando lo dispuesto en la Ley Orgánica 15/1999 y su Reglamento de desarrollo, al no haber sometido los sistemas a una nueva auditoría en el plazo señalado.

En todo caso, y a fin de evitar la posible comisión de una infracción en caso de haberse llevado a cabo una nueva auditoría y no haberse ultimado las conclusiones de la misma, se considera que sería conveniente que en todo caso se encontrase a disposición de la Agencia el último informe de auditoría que se hubiese emitido, no siendo preciso mantener a su disposición los anteriores a aquél."


Texto completo aquí.

Buenas noches.