sábado, 30 de octubre de 2010

Los principales ficheros de solvencia patrimonial y crédito (II)

Antes de entrar en materia, permítanme recomenarles dos lecturas de interés:

La primera es una entrevista con el Señor Ricard Martínez, de la Agencia Española de Protección de Datos, que publican en La Nueva España y que lleva por título "Internet no es gratis, las redes sociales se benefician de nuestros datos".

En segundo lugar, se ha dictado otra sentencia sobre responsabilidad de prestadores de servicios de la Sociedad de la Información (¡qué mes llevamos!). La comentan en El Mundo.

Y ahora, sin más preámbulos, pasemos a comentar más aspectos de interés sobre los "ficheros de morosos".

En el primer post de esta serie, les hablé de los que son, probablemente, los dos ficheros de morosos más conocidos: el RAI y el ASNEF. El primero de ellos, si recuerdan, sólo incluía información de personas jurídicas y es titularidad del Centro de Cooperación Interbancaria, aunque su gestión se realiza con la colaboración de Experian Bureau de Crédito.

Esta última entidad es, además, responsable de un fichero de morosos con datos de consumidores: el fichero BADEXCUG. Pueden consultar la información relativa a la inscripción del fichero BADEXCUG en el Registros de la AEPD aquí.

Debo decirles que la página de EXPERIAN incluye una sección expresamente dedicada a los consumidores que pudieran haber sido incluidos en su fichero. Entra otras cosas, facilita una explicación muy clara y sencilla sobre cómo ejercitar los derechos ARCO:

"Experian Bureau de Crédito dispone de un departamento exclusivamente dedicado a atender las reclamaciones y solicitudes de los consumidores, y en particular, a hacer efectivos los derechos que la ley reconoce a los titulares de datos personales.

Para ejercitar los derechos de acceso, cancelación, rectificación u oposición podrá dirigir una solicitud por escrito a la siguiente dirección:

Fichero BADEXCUG Apartado de Correos 1188 - 28108 Alcobendas (Madrid).

Es imprescindible que la solicitud vaya firmada personalmente por el afectado, y que se acompañe fotocopia del DNI o documento equivalente. La exigencia de estos requisitos se deriva no sólo de la obligatoriedad de cumplir la normativa vigente, sino de la necesidad de salvaguardar la confidencialidad de los datos del Bureau, de forma que no se suministre información a persona distinta del propio interesado.

Además, es necesario que, en su caso, se acompañe a la solicitud documentación acreditativa de la petición formulada (por ejemplo, documentos relativos al pago de la deuda, etc.).

Los datos contenidos en los ficheros son personales y confidenciales y no se pueden suministrar por teléfono."

Existen más ficheros de morosos, de los que les iré hablando en sucesivas entregas. En nuestro siguiente post comentaremos el fichero CIRBE, del Banco de España, que cuenta con una régimen de funcionamiento específico.

miércoles, 27 de octubre de 2010

Los principales ficheros de solvencia patrimonial y crédito (I)

Como ya les indiqué, en la reunión del día 5 hablaremos sobre los "ficheros de morosos". Por tal motivo, tenia pendiente escribir algún post al respecto.

Los ficheros de solvencia patrimonial y crédito aparecen regulados en el art. 29 de la LOPD, donde se indica:

"Artículo 29. Prestación de servicios de información sobre solvencia patrimonial y crédito.

"1. Quienes se dediquen a la prestación de servicios de información sobre la solvencia patrimonial y el crédito sólo podrán tratar datos de carácter personal obtenidos de los registros y las fuentes accesibles al público establecidos al efecto o procedentes de informaciones facilitadas por el interesado o con su consentimiento.

2. Podrán tratarse también datos de carácter personal relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien actúe por su cuenta o interés. En estos casos se notificará a los interesados respecto de los que hayan registrado datos de carácter personal en ficheros, en el plazo de treinta días desde dicho registro, una referencia de los que hubiesen sido incluidos y se les informará de su derecho a recabar información de la totalidad de ellos, en los términos establecidos por la presente Ley.

3. En los supuestos a que se refieren los dos apartados anteriores, cuando el interesado lo solicite, el responsable del tratamiento le comunicará los datos, así como las evaluaciones y apreciaciones que sobre el mismo hayan sido comunicadas durante los últimos seis meses y el nombre y dirección de la persona o entidad a quien se hayan revelado los datos.

4. Sólo se podrán registrar y ceder los datos de carácter personal que sean determinantes para enjuiciar la solvencia económica de los interesados y que no se refieran, cuando sean adversos, a más de seis años, siempre que respondan con veracidad a la situación actual de aquéllos."

En el reglamento de desarrollo de la LOPD, se ha dedicado una sección específica a este tipo de ficheros en el Título IV (Disposiciones aplicables a determinados ficheros de titularidad privada): los artículos 38 a 44. Como veremos, el tribunal supremo ha anulado recientemente previsiones contenidas en ellos.

El único motivo de inclusión en los denominados "ficheros de morosos" es la existencia de una deuda impagada. Esta información, como normal general, la transmite el propio acreedor al responsable del fichero de solvencia. La deuda debe ser en todo caso vencida, líquida y exigible, y el acreedor tiene la obligación de reclamarla previamente a la incluisión en el fichero. Una vez incluido el dato, se debe informar al afectado nuevamente. Por ello, es muy difícil que los datos de una persona consten en estos ficheros sin que ella lo sepa (salvo que haya cambiado de domicilio o se encuentre ilocalizable).

Uno de los ficheros de morosos más conocidos es el RAI o Registro de Aceptaciones Impagadas, que gestiona el Centro de Cooperación Interbancaria. Actualmente, este servicio se presta a través de Experian Bureau de Crédito, S.A. El fichero dispone de una web, donde se detalla claramente el tipo de datos que contiene y quiénes podrán consultarlos.

"El Registro de Aceptaciones Impagadas (RAI) está constituido por la información relativa a aquellos impagos, exclusivamente de personas jurídicas, de cuantía igual o superior a 300 euros, que se produzcan en documentos en los que conste la firma del deudor reconociendo la deuda (letras aceptadas, pagarés cambiarios, cheques de cuenta corriente y pagarés de cuenta corriente), que sean de uso en masa en el sistema bancario y que tengan fuerza ejecutiva. Asimismo, recoge los recibos que suplan a las letras de cambio en los que conste la aceptación del deudor con su firma y cumplan los restantes requisitos antes señalados, salvo el de fuerza ejecutiva. La información la aportan Bancos, Cajas de Ahorro, Cajas Rurales y Cooperativas de Crédito ("entidades de depósito"). El plazo de permanencia de la información contenida en el RAI es, actualmente, de treinta meses. A través de este servicio se suministra información del RAI a los acreedores (personas físicas o jurídicas que puedan acreditar que tienen un crédito concedido o solicitado por una persona jurídica) y a las empresas de informes de solvencia (aquellas cuya actividad sea proporcionar informes de solvencia). La información que se podrá consultar es el importe pendiente de pago por el deudor y el número de apuntes asociados a un deudor. La consulta debe realizarse necesariamente por el CIF del deudor."

Pueden consultar los ficheros notificados el Registro de la Agencia por las Asociación Centro de Cooperación Inerbanciaria aquí. Obviamente, el fichero RAI no figura entre ellos porque no contiene datos de personas físicas.
 
Sin duda, es mucho más probable que sus datos acaben en otro fichero, el fichero Asnef, gestionado por Equifax Ibérica. A este fichero, comunican los datos de sus clientes morosos no sólo entidades financieras, sino operadores de telecomunicaciones.
 
La informaciòn sobre el registro del fichero Asnef en la AEPD se encuentra disponible aquí. Como curiosidad, les diré que Equifax también gestiona un fichero de buenos pagadores, de "información positiva", aunque con mucho menos éxito del que tiene en Estados Unidos.
 
Por el momento, dejamos aquí la explicación. Continuaremos en siguientes post. Espero que me remitan sus comentarios y dudas.

martes, 26 de octubre de 2010

Chat con Monsieur le Directeur en el diario Público

El diario Público dedica especial atención a todo lo relacionado con los derechos de los ciudadanos frente a las nuevas tecnologías. Por eso, no me ha extrañado que Don Artemi participara ayer en un chat con los lectores de dicho periódico, como mencionaba un lector anónimo de este blog. Pueden leer la transcripción del encuentro virtual aquí.

La verdad es la Agencia Española de Protección de Datos que está realizando una meritoria labor de concienciación y de puesta a difusión de material de interés, que se inció con el anterior director de la Agencia, el Señor Piñar. También hay que decir que la Agencia de Protección de Datos de la Comunidad de Madrid,  sin contar con tantos medios económicos, ha sido pionera en organización de eventos gratuitos, edición de monografías, elaboración de modelos de documentos de seguridad (copiados hasta la saciedad por consultoras de todo tipo), y muchas otras cosas. Que no se le reconozca este mérito, no deja de sorprenderme

domingo, 24 de octubre de 2010

Algunos comentarios sobre la III Jornada Abierta de la AEPD

La  Agencia Española de Protección de Datos organizó el pasado 20 de octubre su III Jornada Abierta con gran éxito de crítica y público. A tal efecto, los pasillo (y sobre todo, los baños) de la Facultad de Medicina de la Universidad Complutense se llenaron de consultores lopedé, y las máquinas de vending hicieron más números que cuando Rosa Díez va a dar una conferencia. 

El acto resultó animadísimo, francamente interesante. Creo que colgarán los vídeos del evento en la página web. Mientras tanto, pueden Ustedes consultar las presentaciones en power point de los ponentes aquí.

Me sorprendió:
  • Que Monsieur Rubí, al parecer, sólo conociera el Anteproyecto de Ley de Transparencia por las noticias que lee en el periódico.
  • Que durante la primera parte de la Jornada, cuando se presentaba la "Guía 0" de Administración Electrónica, no se mencionara que la Agencia de Protección de Datos de la Comunidad de Madrid hace tiempo que preparó una instrucción sobre este tema.
  • Que tampoco se hiciera ninguna referencia a la posibilidad de ejercer el derecho de oposición frente a Google, empresa en el punto de mira de Monsieur le Directeur, y frente a la cual, sin ser responsable del fichero, se han estimado procedimientos de tutela de derechos que obligan a la "desindenxación" manual de datos que continúan colgados en las webs de los verdaderos responsables de los tratamientos.
  • Que se notara cierto deje de orgullo en la voz del Jefe del Gabinete Jurídico cuando recordó que las recientes Sentencias del Tribunal Supremo que anulan artículos del RLOPD confirman la distinción entre responsable del fichero y responsable del tratamiento.
  • Que a pesar de que durante toda la Jornada se habló de la necesidad de evitar la difusión masiva de datos en Internet para proteger el derecho al olvido de los particulares, en la sección del "peticiones del oyente" la Agencia concluyó que las empresas de recobro pueden utilizar los datos que encuentren en la red para localizar a sus moroso.
En resumen, me lo pasé muy bien. Sólo lamento que no se diera más tiempo a la peculiar visión del "Diario de Patricia" Lopedé que son las consultas micrófono en mano de los asistentes.

miércoles, 20 de octubre de 2010

Informes Jurídicos extravagantes (VI)

En la página 22 de la Guía de Seguridad de la AEPD (de la que, por cierto, acaban de publicar una segunda versión que incluye un modelo de documento de seguridad editable), el apartado dedicado a "Gestión de soportes y documentación" comienza  señalando:

"Los soportes que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y serán almacenados en , lugar de acceso restringido al que solo tendrán acceso las personas con autorización que se relacionan a continuación: Tener en cuenta el procedimiento a seguir para casos en que personal no autorizado tenga que tener acceso a los locales por razones de urgencia o fuerza mayor>."

Como saben, estas indicaciones están pensada para que el responsable del fichero refleje en su documento de seguridad cómo cumple con los artículos del Reglamento de Desarrollo de la LOPD relativos a gestión de soporte (arts. 92, 97 y 101).

La obligación de que esté especificado el personal con acceso a los lugares de almacenamiento de soportes se encuentra en el primer apartado del art. 92 RLOPD que indica:

"1. Los soportes y documentos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y solo deberán ser accesibles por el personal autorizado para ello en el documento de seguridad."

La última acotación sobre personal no autorizado con acceso a los locales en casos de urgencia debió de resultar especialmente críptica para el protagonista de nuestro informe de hoy, ya que planteó la siguiente consulta a la Agencia:

"(...) el sentido que debe darse a la expresión “Tener en cuenta el procedimiento a seguir para casos en que personal no autorizado tenga que tener acceso a los locales por razones de urgencia o fuerza mayor”,
contenida en la versión de abril de 2008 de la Guía de Seguridad de esta Agencia (...)"

Y la Agencia responde:

" En cumplimiento de dicho precepto [art. 92 RLOPD] será preciso que se indique tanto el lugar en que se produzca el almacenamiento de los soportes o documentos como el personal autorizado a acceder al lugar donde se almacenan los soportes que contengan datos de carácter personal, así como el procedimiento establecido para habilitar o retirar el permiso de acceso.

La guía de seguridad no obstante tiene en consideración el hecho de que en determinadas circunstancias excepcionales, y a fin de garantizar precisamente la seguridad e integridad de la información almacenada en los lugares establecidos al efecto, sea necesaria la entrada en dichas instalaciones de personal que no aparece expresamente autorizado para ello en el documento de seguridad, pero sin cuya participación resultará imposible una adecuada garantía de dichas medidas.

Así sucederá en supuestos tales como incendio o inundación, así como cuando fuera necesario para el mantenimiento de las instalaciones o de los propios elementos en que se almacene la información.

En este sentido, el documento debería prever estas circunstancias, a fin de acreditar que, por una parte, existirán medidas que garanticen la seguridad de la información en estos supuestos excepcionales y, por otra, se delimiten los supuestos en los que estos accesos extraordinarios a locales podrán tener lugar, debiendo tenerse en cuenta que este acceso debería quedar limitado a supuestos en los que exista una causa justificada de “urgencia o fuerza mayor” que exija el acceso a los locales."

En fin, por mi parte, también les recomiendo que mencionen en sus documentos de seguridad que, el Día del Apocalipsis, los Arcángeles del Señor tendrán acceso al cajón donde guardan las copias de seguridad de sus ficheros.

Buenas noches.

martes, 19 de octubre de 2010

Salir de Internet es difícil (pero de Google, no)

Por si nos les quedaba claro con las últimas resoluciones de la AEPD sobre este particular, Monsieur le Directeur expone su particular visión del derecho al olvido en el Informe Jurídico 214/2010. La consulta que da origen al informe se refiere a publicación de sanciones en boletines oficiales y a la posibilidad de ejercer los derechos de cancelación y oposición frente a las Administraciones Públicas responsables de los mismos. Al parecer, los consultantes se habían dirigido a una Diputación Provincial para que ésta tomaran medidas tendentes a impedir que los boletines oficiales donde aparecían sus nombres y las infracciones cometidas fueran indexados por motores de búsqueda (léase, Google).

Para empezar, la Agencia determina que la publicación de datos en el boletín se encuentra amparada por la Ley 30/1992, por lo que, de acuerdo al art. 6.2 de la LOPD, no es necesario el consentimiento del interesado. Sentado esto, analiza si procede atender los derechos de cancelación y oposición.

Veamos qué dice sobre el derecho de cancelación:

"En cuanto a la posibilidad de solicitar la cancelación de sus datos, el artículo 31.2 del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, aprobado por Real Decreto 1720/2007, de 21 de diciembre, define el derecho de cancelación, al señalar que “el ejercicio del derecho de cancelación dará lugar a que se supriman los datos que resulten ser inadecuados o excesivos, sin perjuicio del deber de bloqueo conforme a este Reglamento”. En consecuencia, es preciso analizar si el tratamiento efectuado en el supuesto analizado resulta inadecuado o excesivo, para que procediera atender a la solicitud formulada.

La notificación en el Boletín Oficial, en los términos de los artículos 59 y 61 citados, no resulta en ningún caso, ni inadecuada ni excesiva, por lo que en ningún caso se podrá cancelar dicha información."

No se puede estar más de acuerdo, ¿verdad? Pasemos al derecho de oposición. El razonamiento de la AEPD es el siguiente:

"La regulación del derecho de oposición aparece en el artículo 6.4 de la Ley Orgánica 15/1999 donde se reconoce al afectado el ejercicio del derecho de oposición, estableciendo que “en los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una Ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado”.

En supuestos como el planteado el acceso a la información personal se produce por la concurrencia de dos hechos: la publicación de la notificación en la edición electrónica del Diario Oficial y su indexación por el servicio de búsqueda en Internet.


Por ello, los afectados podrán ejercitar el mencionado derecho ante los buscadores, en cuyo caso concurren todos los requisitos necesarios para que atiendan tal petición."

Por tanto, ya lo saben: salir de Internet es difícil, pero de Google, no. No tienen más que dirigirse a esta compañía ejerciendo su derecho de oposición. Mañana les explicaré cómo, porque hoy me duele la espalda. Buenas noches.

lunes, 18 de octubre de 2010

Informes Jurídicos extravantes (V)

Son varios los informes jurídicos que la Agencia de Protección de Datos del País Vasco ha emitido a petición del Departamento de Sanidad del Gobierno Vasco, todos ellos muy interesantes. El que hoy les comento, disponible aquí, trata distintas cuestiones relativas a la sanidad mortuoria. Para ponerles en antecedentes, les diré que es del año 2006, y por tanto, anterior a la aprobación del reglamento de desarrollo de la LOPD, cuyo art. 2 excluye de su ámbito de aplicación los datos de las personas fallecidas.

El informe comienza muy bien, como una película de Roger Corman:

“Las consultas que le planteamos han surgido con ocasión de los ficheros de nivel básico Sanitaria Mortuoria, responsabilidad de las Direcciones Territoriales del Departamento de Sanidad, tal y como viene recogido en la Orden de 1 de junio de 2005, del Consejero de Sanidad, por la que se regulan los ficheros de datos de carácter personal del Departamento de Sanidad. La finalidad de estos ficheros es la de control y registro de funerarias y servicios sanitarios, así como de defunciones, transporte y exhumaciones de cadáveres y restos (humanos y cadavéricos) ocurridas en el Territorio Histórico correspondiente. Los usos previstos son para fines estadísticos y gestión de usuarios”.

Entre los datos que las funerarias deben comunicar al Departamento de Sanidad figuran nombre, apellidos y DNI del fallecido, y fecha de su defunción. Las Entidades de Previsión Social Voluntaria de Euskadi solicitan a la Administración estos datos argumentando que resultan fundamentales para el ejercicio de su actividad (lo que en cristiano significa que los quieren para evitar fraudes de sus clientes, ya que estas entidades cubren, entre otras cosas, pensiones de jubilación complementarias y pensiones por enfermedad)

El Departamento de Sanidad no tiene claro que los datos de los fallecidos sean datos de carácter personal. Tampoco está seguro de lo que hacer en caso de que se considere que lo son. Así que, con mucha educación, preguntan lo siguiente:

“(…) agradeceríamos conocer su criterio sobre si los datos de las personas fallecidas han de ser considerados datos de carácter personal, y por lo tanto, sujetos a las limitaciones que sobre cesión de los mismos contiene la normativa de protección de datos, o si por el contralor, pueden ser libremente tratados, y en su caso, cedidos, con las claras limitaciones derivadas de la protección del derecho al honor y la intimidad del fallecido, pero sin las limitaciones impuestas por el derecho a la autodeterminación informativa.”

No obstante, y para el caso de que se considerase que son datos que deben quedar sujetos a la normativa de protección de datos, planteamos las dudas que exponemos a continuación.”
 
“El artículo 11.1 de la Ley 15/1999, de 16 de diciembre, posibilita la comunicación de datos a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado. En el caso de una posible cesión de datos a las EPSV se ha planteado la posibilidad de que éstas requieran de sus socios el consentimiento para pedir estos datos del Registro “Sanitaria Mortuoria” de las Direcciones Territoriales de este Departamento lo que suscita dos nuevas cuestiones:

Dada la finalidad meramente estadística declarada de estos ficheros ¿el consentimiento expreso del beneficiario para que el Departamento de Sanidad ceda a la EPSV pagadora su nombre, apellidos, DNI y fecha de fallecimiento a la EPSV es título suficiente para permitir dicha cesión?

Ya que los datos solicitados están recogidos en los ficheros Sanitaria Mortuoria que son de nivel básico, conforme a la normativa, resulta suficiente que el consentimiento del interesado sea inequívoco, sin que sea necesario que sea expreso. En el caso de que se solicitase el consentimiento del interesado y éste no contestase en el plazo que se fije ¿es posible entender (siempre que previamente se le advierte al interesado) esa omisión de oponerse al tratamiento como un consentimiento tácito del mismo?”

“Y para terminar, en el caso de que nos encontráramos ante datos de carácter personal y no se obtuviera el consentimiento de los interesados, ¿podría ser aplicable el artículo 11.2 c) de la LOPD? Este supuesto exime de consentimiento cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros, siempre que la comunicación se limite a la finalidad que la justifique. El necesario control que deben ejercer las EPSV sobre las prestaciones satisfechas justificaría la cesión de datos solicitada, siempre que se garantizase, vía convenio o contrato, la confidencialidad y el uso limitado de los datos por parte de las EPSV?”

Entiendo que la solución propuesta por las EPSV es solicitar al asociado (generalmente, el propio fallecido) su consentimiento para que la información relativa a su defunción le sea remitida a la entidad desde el Departamento de Salud Mortuoria (algo así como un consentimiento para la cesión del dato de forma póstuma). No creo que en caso de ser el beneficiario de la prestación un tercero necesiten que el Departamento de Sanidad les comunique la defunción de nadie: Ya se encargarán los familiares de exigir los pagos correspondientes a la entidad de previsión aportando los certificados de defunción correspondientes. El problema de las EPSV es el fraude cuando no se comunica la muerte de una persona que cobra una prestación.

En fin, la respuesta de la Agencia no tiene desperdicio. Fíjense qué sutilezas lógicas anuncian estos párrafos:

“Efectivamente, como bien se deduce de los términos en los que se plantea la consulta, no resulta fácil (y no sería además práctico) ofrecer una respuesta con pretensiones de alcance general y absoluto respecto a la cuestión que se encuentra en la base de la consulta y que se formula a través de la primera pregunta: si los datos de una persona fallecida pueden ser o no calificados como datos de carácter personal.

Decimos que no se aportaría ninguna solución práctica, porque la respuesta que con dicho alcance general pudiera ofrecerse, debiera ser afirmativa: sí pueden. Pero parece evidente que con dicha respuesta no cumpliríamos las expectativas de la consultante porque inmediatamente cabría preguntarse ¿Cuándo pueden? ¿Quién sería su titular? ¿A qué régimen se someten? etc.…”

Y continúa aún mejor:

“De acuerdo con la definición que de dato de carácter personal ofrece la LOPD (“cualquier información concerniente a personas físicas identificadas o identificables”), en opinión de esta Agencia, y con las cautelas más arriba referidas, no sólo los datos de una persona fallecida pueden ser calificados como datos de carácter personal, sino que, lo que puede resultar de mayor interés por relación al marco concreto en el que se realiza la pregunta, el propio dato del fallecimiento de una persona es un dato de carácter personal, si bien que su titular no es la propia persona fallecida, sino un tercero o terceros, también por referencia al marco concreto que nos ocupa, el o los familiares, en cuanto respecto de ellos, el dato del fallecimiento de la persona, es una información que, no sólo le concierne, sino que determina el nacimiento de nuevos derechos y obligaciones (piénsese en cuestiones de tipo sucesorio, relativas a prestaciones de Seguridad Social o tributarias, por ejemplo) o que tienen una especial trascendencia en su ámbito personal (circunstancias sociales del fallecido, datos de salud, repercusión mediática, etc.…)”

De acuerdo con lo explicado en la consulta y en dicho ámbito, el dato puede ser determinante de la atribución de derechos.

“La anterior solución concuerda, creemos, con la que puede deducirse de las citas contenidas en la consulta a las respuestas ofrecidas por la Agencia de Protección de Datos de la Comunidad de Madrid.

Efectivamente, en ellas, además de parecer apuntar la misma solución metodológica que más arriba se ha planteado (“… en función de cada caso concreto”, se dice en una de las citadas), se aborda la cuestión desde perspectivas diversas, de tal manera que no existe contradicción, a nuestro juicio, entre la declaración de que los fallecidos no son sujetos pasivos de la normativa de protección de datos, y el hecho de que el tratamiento de los datos de personas fallecidas, queden sometidos (se insiste, en función de cada caso concreto) al régimen jurídico de la protección de datos de carácter personal. Y ello por la razón más arriba apuntada que los datos de carácter personal que pertenecían al fallecido o el propio dato del fallecimiento de una persona, pueden ser datos de carácter personal, cuyo titular será un tercero, en especial, los familiares de la persona fallecida.”

A esto, sigue un razonamiento que les ahorraré sobre si es o no necesario el consentimiento del beneficiario para la cesión (¿por qué no de todos los herederos? ¿qué hacer si no hay beneficiario?) o si se puede aplicar alguna de las excepciones del art. 11.2 de la LOPD. Vayamos directamente a las conclusiones:

"1.- Los datos de carácter personal referentes a personas fallecidas o el dato del fallecimiento de una persona pueden ser considerados datos de carácter personal a efectos de aplicación de la normativa sobre protección de datos.

2.- Los datos de carácter personas referentes a personas fallecidas están sujetos, respecto a la cesión de los mismos, al régimen general previsto en la LOPD.

3.- La cesión de datos de carácter personal contenidos en el fichero Sanitaria Mortuoria a las EPSV no estaría amparada en la excepción contenida en el artículo 11.2 c) de la LOPD.

4.- Dicha cesión sería posible si contara con el consentimiento inequívoco de los interesados

5.- Dicho consentimiento puede ser prestado tácitamente."

Como se indica en el informe, el hecho de que una persona ha fallecido puede considerarse un dato de carácter personal siempre que se asocie a una persona viva, y exclusivamente porque se refiera a esta última. La razón es clara: la LOPD sólo se aplica a las personas físicas (así lo indica su art. 1); y la personalidad civil, de acuerdo al artículo 32 del Código Civil, se extingue con la muerte.

Nombre, apellidos, DNI y fecha de defunción, por si solos, no pueden ser considerados datos de carácter personal. El objeto de la consulta es analizar si se pueden ceder estos datos, no los de los beneficiarios o los de los herederos, que en muchos no existirán o no serán clientes o socios de las entidades de previsión, y desde se trata de información que el departamento de sanidad no parece conocer).

En mi opinión, esta operación no queda sujeta a la LOPD. Pero además, si lo estuviera, tendríamos el problema de a quién solicitar el consentimiento. El interesado será, no el muerto, sino aquél con quien se relacionen esos datos: la viuda, la querida, los hijos…No tiene que ser necesariamente el heredero o todos los herederos. Y desde luego, es posible que nunca se lleguen a relacionar los datos del fallecido con un cliente o asociado de las EPSV, o con una persona viva.

Pensemos dos supuestos bastante frecuentes: el anciano sin familia al que encuentran muerto después de tirar la puerta abajo los bomberos y el típico fraude que consiste en no decir que el abuelo ha muerto para seguir cobrando el cheque de la pensión.

En el primer caso, el beneficiario de la prestación y socio de la entidad es el propio finado, y no sé a quién pretenderían pedir el consentimiento para la cesión, ni qué persona viva se relacionaría con estos datos.

En el segundo supuesto, el beneficiario y socio también es el muerto. La entidad es posible que ni siquiera tenga datos de quienes son sus familiares o de quienes están cometiendo el fraude. Lo que le interesa a la EPSV es dejar de pagar la pensión que se recibía a nombre de alguien que ha muerto. Como en el caso anterior, no sé a quienes van a pedirles el consentimiento para la cesión, pero si se lo piden a los herederos que quieren seguir cobrando la pensión del abuelo, dadas las circunstancias, no creo que lo presten.

No sé qué pensarán Ustedes, pero a mí esta interpretación de la Agencia Vasca me parece una excesivamente estricta, y además, roza lo absurdo.

La respuesta más sencilla habría sido la siguiente:

1º. Los datos de los fallecidos por sí solos no son datos de carácter personal. Las bases de datos de Sanidad Mortuoria que no contengan información de personas vivas no son ficheros de datos de carácter personal a efectos de la LOPD. Y en cualquier caso, si fueran ficheros, ya que nos ponemos así de estrictos ¿por qué darles el nivel de seguridad básico? A mí no se me ocurre otro dato que exprese mejor la salud de una persona que el hecho de que no continúe con vida.

2º. No obstante, la defunción de una persona puede considerarse un dato de carácter personal si se asocia a una persona viva, por ejemplo, porque sea su heredero o el beneficiario de un seguro de vida.

3º. Si sólo se van a ceder informaciones de fallecidos, no relacionados con personas físicas vivas, a dicha comunicación no se le aplica la LOPD.

Buenas noches.

martes, 12 de octubre de 2010

De vuelta al banco de galera

Para que la vuelta al banco del galera les resulte lo más agradable posible, he seleccionado para Ustedes dos post muy interesantes sobre seguridad de la información.

El primero de ellos fue publicado en abril de este año en el  blog de la SEIS (Sociedad Española de Informática de la Salud). Trata un tema generalmente olvidado en las políticas de seguridad de las empresas: las fotocopiadoras desechadas. El autor del Blog, el Señor Aced, nos comenta que desde el año 2002, la mayor parte de las fotocopiadoras están provistas de un disco duro que almacena todas las copias realizadas...Por tanto, tomen precauciones antes de donar su fotocopiadora antigua a una ONG o antes de dejar que un técnico de la casa se la lleve y la sustituya por otra. 

También quiero recomendarles un post del blog Apuntes de Seguridad de la Información, donde encontrarán una original parábola en la que se aplican las enseñanzas del cuento de los tres cerditos a la organización de la seguridad en una empresa.

lunes, 11 de octubre de 2010

Libro del mes (Octubre)

VARIOS AUTORES: Publicidad, Defensa de la Competencia y Protección de Datos. Aranzadi. Thomson Reuters y Agencia Española de Protección de Datos. Pamplona, 2010.

Monsieur le Directeur tomó la iniciativa, hace unos tres años, de organizar seminarios internos en los que se debaten cuestiones relativas a la protección de datos, con participación de juristas de reconocido prestigio y personal de la Agencia. Las ponencias de dichos seminarios (e incluso la transcripción de los debates posteriores) son luego publicadas en forma de libro. En fin, que esos seminarios deben de ser algo así como el mítico programa “Apostrophes” de la televisión francesa (se acuerdan cuando entrevistaron a Nabokov…).

Hoy les recomiendo un nuevo libro de esta colección, que cuenta con el prólogo de un antiguo director de la Agencia, Don Juan Manuel FERNÁNDEZ LÓPEZ. Las ponencias que se reúnen bajo el “leitmotiv” de “Publicidad, Defensa de la Competencia y Protección de Datos” son las siguientes:

- "Protección de Datos, cookies y otros instrumentos de de Navegación". Antonia PANIZA FULLANA. Profesora Titular de Derecho Civil de la Universidad de las Islas Baleares

- "Aspectos Jurídicos del Spam". Anxo TATO PLAZA. Catedrático de Derecho Mercantil de la Universidad de Vigo.

- "Prácticas comerciales agresivas". José MASSAGUER FUENTES. Catedrático de Derecho Mercantil de la Universidad Pompeu Fabra.

- "Publicidad y Protección de Datos". Isabel NAVARRO ALONSO. Inspectora de Datos.

- "Libertad de empresa, registros de morosidad y protección de datos personales". Javier VICIANO PASTOR: Profesor Titular de Derecho Mercantil. Universidad de Valencia.

- "Funciones inspectoras de las autoridades de defensa de la competencia y sus límites". Juan Manuel FERNÁNDEZ LÓPEZ. Magistrado. Ex Director de la AEPD.

- "El acceso por competidores a información comercial sensible, incluidos datos de carácter personal, desde el derecho de defensa de la competencia". Julio COSTAS COMESAÑA. Catedrático de la Universidad de Vigo y Consejero de la CNC.

El tema de la publicidad a través de medios electrónicos ha sido analizado ya con profusión. En este libro. encontrarán una visión general y bien fundamentada, pero nada que no sepan ya.

Más interesante, sin duda, les parecerán las últimas ponencias. No tengo constancia de ningún otro análisis sobre el derecho a la protección de datos en relación a la Ley de Defensa de la Competencia. En el suyo, el Profesor COSTAS expone distintos supuestos en las que es obligado dar acceso a otras empresas del sector a determinados datos de clientes o abonados (así por ejemplo, en los casos Céntrica, cinco expedientes de abuso de posición dominante incoados contra distintas compañías eléctricas). Igualmente, disfrutarán de la ponencia del Profesor VICIANO, sobre ficheros de morosos, uno de los temas predilectos de los lectores de este blog.

Esperemos que la AEPD se anime pronto a poner en su web los vídeos de tan interesantes seminarios.

jueves, 7 de octubre de 2010

Contraprogramación

La Agencia de la Comunidad de Madrid organiza un interesante seminario sobre videovigilancia el mismo día que la Agencia Española celebra su Jornada Abierta (el 20 de octubre). ¿Casualidad? No lo creo. Espero que no monte nada similar para el 5 de noviembre.

domingo, 3 de octubre de 2010

Lecturas de domingo

Se ha publicado el nuevo número de la revista "Datospersonales" (nº 47 septiembre de 2010),editada por la Agencia de la Comunidad de Madrid. En ella, se incluye un artículo sobre la Cátedra UNESCO de Privacidad de Datos, con sede en la Universidad Rovira i Virgili. Esta Cátedra ha desarrollado un software que evita que Google cree perfiles de preferencias de búsquedas para los usuarios. El autor del artículo, Josep DOMINGO-FERRER, indica lo siguiente:

"(...) hemos puesto a punto un software libre denominado GooPIR, que puede bajarse de http://unescoprivacychair.urv.cat/goopir

GooPIR es un software que se ejecuta localmente en el ordenador del usuario y, antes de mandar la consulta a Google, añade automáticamente términos adicionales al término que desea buscar el usuario. Los términos añadidos tienen una frecuencia similar a la del término que desea el usuario, con el fin de maximizar la incertidumbre de Google sobre el verdadero término del usuario. Finalmente, GooPIR filtra los resultados devueltos por Google y solamente presenta al usuario aquellos que corresponden al término que éste deseaba. Este procedimiento no sobrecarga ni al navegador ni a Google y es totalmente transparente para el usuario. Su única limitación es que requiere un tesauro de términos individuales con frecuencias."

También les recomiendo la lectura del comentario a la sentencia del Juzgado Mercantil Núm. 7 de Barcelona, de 9 de marzo de 2010, sobre el sitio web de enlaces P2P "elrincondejesus.com", que ha realizado el Profesor Miquel PEGUERA POCH, y que se encuentra disponible en su blog.

sábado, 2 de octubre de 2010

El deber de secreto: una obligación de resultado

Hoy les comentaré la R/01633/2010 (Procedimiento Nº AP/00081/2009) de la Agencia Española de Protección de Datos. Ya verán qué interesante.

Los hechos son los siguientes: Una persona es detenida por la policía, que procede a registrar sus datos, incluyendo la fotografía que se le toma en comisaría, en el fichero denominado PERPOL. PERPOL es una base de datos común a todas las comisarías, sometida a las medidas de seguridad de nivel alto, en atención al tipo de datos tratados. Pocos días después, esa misma fotografía aparece publicada en el diario “EL MUNDO” del 12 de mayo de 2009 (los que tengan mejor memoria recordarán que este día se publicó la fotografía que consta en la ficha policial del Señor Correa, por lo que lo más probable es que sea el denunciante en este procedimiento).

El Fichero PERPOL, de nivel alto, dispone de un sistema de registro de accesos (art. 103 RLOPD), que permite determinar que se han producido siete consultas de la ficha del denunciante:

- Tres accesos correspondientes a funcionarios destinados en la unidad del organismo denunciado que tramita las reseñas y fichas policiales

- Dos accesos de un funcionario destinado en la unidad del organismo denunciado que interviene en la instrucción de la diligencias previas por las que el denunciante está imputado

- Dos accesos de un funcionario destinado en una comisaría de Coslada-San Fernando, que no fueron motivados debidamente.

Este funcionario de Coslada fue imputado como presunto autor de delitos de revelación de secretos, descubrimiento de secretos, violación de secretos y cohecho.

El organismo denunicado había implantado las medidas de seguridad correspondientes al tipo de daos tratados, que luego permitieron determinar quién podría haber llevado a cabo la filtración. No se puede decir que existiera falta de diligencia. De hecho, en la resolución de la Agencia, se indica lo siguiente:

"Tanto en las alegaciones realizadas por el organismo denunciado como en el acta de la inspección llevada a cabo por inspectores de esta Agencia se concluye que:

- Se ha adoptado un control de accesos restringido y limitado al fichero PERPOL, únicamente pueden acceder los funcionarios del organismo denunciado que cuentan con autorización expresa para ello. Para la concesión de esta autorización se requiere que se formalice una petición por el responsable policial del funcionario propuesto justificando la necesidad de la misma para el desarrollo de las funciones que éste tiene encomendadas.

- La autorización implica la asignación de un usuario, que coincide normalmente con el número del Documento Nacional de Identidad, más una clave y una contraseña de libre designación por cada usuario. Estas últimas son obligatoriamente cambiadas de forma periódica al exigirlo la propia aplicación.

- Existe definido un time-out en el fichero, de manera que transcurrido un período de inactividad se produce la desconexión de la aplicación de acceso al fichero.

- Se dispone de una aplicación, CAUPOL, que permite la realización de auditorías de los accesos realizados, persona que lo ha efectuado, datos consultados, día, hora y año de la consulta, así como el ordenador desde el que se ha efectuado el acceso.

- Las solicitudes de autorizaciones se centralizan y se valoran en la Unidad de Documentación de Españoles y Archivo, concediéndose previo el cumplimiento de los requisitos antes expuestos.

El fichero PERPOL reúne las condiciones exigidas por la LOPD y a través de la aplicación CAUPOL, control de accesos de usuarios, el organismo denunciado pudo comprobar que entre los días 11 de febrero a 4 de marzo de 2009, hubo siete accesos a la ficha policial del denunciante pertenecientes a tres usuarios diferentes autorizados"

Sin embargo, la Agencia abrió un procedimiento de declaración de infracción de las Administraciones Públicas ¿Qué había hecho mal el organismo denunciado? En realidad, nada, pero Monsieur le Directeur considera que ha vulnerado el deber de secreto (art. 10 LOPD) de acuerdo al siguiente razonamiento:

"A pesar de las alegaciones del organismo denunciado, en lo que a la protección de datos atañe no puede tenerse en cuenta la afirmación de que el deber de secreto es un deber que se exige a título personal. El artículo 43.1 de la LOPD determina que:

“los responsables de los ficheros y los encargados de los tratamientos estarán sujetos al régimen sancionador establecido en la presente ley.”

Así pues en virtud de este artículo sólo los responsables de los ficheros y los encargados de los tratamientos pueden ser sujetos activos del régimen sancionador establecido en la LOPD, pues sólo a ellos les es aplicable el régimen sancionador que se diseña en la ley por medio de su artículo 43.1.

El responsable del fichero PERPOL es el organismo denunciado, la D.D.D., ya que tal y como define el artículo 3 d) de la LOPD, se entiende por responsable del fichero “a toda persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.” Como responsable del fichero, el organismo denunciado, por indicación expresa de la ley, está sujeto a su régimen sancionador.

Hay que señalar que la infracción del deber de secreto es una infracción de resultado y así lo ha establecido la Audiencia Nacional entre otras en la sentencia recaída en el recurso 205/2008 donde expresamente se señala:

“esta Sala tiene establecido como la infracción del deber de secreto es una infracción de resultado en la que lo relevante es que se llegue a producir la divulgación de un secreto”, o en la recaída en el recurso 471/2008 cuyo tenor literal expresa “la infracción tipificada en el art. 44.3 g) es una infracción de resultado que exige que los datos personales sobre los que exista un deber de secreto profesional…se hayan puesto de manifiesto a un tercero…”

Así pues lo relevante en esta infracción es que se produzca el resultado, que se vulnere la confidencialidad de los datos cuya custodia corresponde al responsable del fichero.

En este caso la confidencialidad se ha vulnerado al poner de manifiesto a terceros los datos personales del denunciante que posteriormente aparecieron publicados en varios medios de comunicación."

Este procedimiento no tuvo como resultado una multa económica, al tratarse de una Administración Pública. Si hubiera sido una empresa privada, ésta habría tenido que pagar por la actuación dolosa de un empleado. Es cierto que luego se podría exigir responsabilidad a éste en tribunales, pero eso no implica que parezca injusto que se atribuya culpabilidad objetivamente a los responsables de ficheros o encargados de tratamiento por una obligación personal, la de guardar secreto que corresponde a cualquiera con acceso a los datos.