sábado, 27 de noviembre de 2010

El caso "Salvemos al Padre Bru" o lo que se puede hacer con una foto publicada en Facebook

En la página web de Libertad Digital, se encuentra publicado el texto íntegro del Auto de 4 de noviembre de 2010, del Juzgado de 1ª Instancia nº 70 de Madrid.

Dicho auto deniega la medida cuatelar solicitada por Don Manuel María Bru, Director de contenidos socio-religiosos de la COPE, en el momento de la presentación de una demanda en defensa de su derecho al honor, a la intimidad y a la propia imagen frente a dos componentes del Grupo Risa.

Los humoristas demandandos, que abandonaron la COPE con Federico Jiménez Losantos, suelen imitar al Padre Bru en Es.Radio, con la saña y el acierto propio de los antiguos compañeros de trabajo. Aquí tienen un ejemplo.

La demanda no se no se refiere a estas imitaciones, sino a la creación de un grupo en Facebook denominado "Salvemos al Padre Bru".

En su escrito, Don Manuel María pone de manifiesto que tanto los comentarios realizados en el muro del grupo, como la inclusión de éste en la categoría de "animales y mascotas", atentan contra su derecho al honor.

También se señala que dicho grupo utiliza una fotografía de perfil en la que aparece Manuel María Bru con varios amigos, todos ellos en bañador, y que fue obtenida del album personal que éste mantiene en la misma red social. Alega el demandante que, con la utilización de esa foto, se le intenta vincular con la pedofilia y homosexualidad.

Además, considera que la difusión de la fotografía sin su permiso vulnera su derecho a la imagen y a la intimidad, ya que se trata de una imagen privada que sólo quería compartir con sus familiares y amigos en Facebook.

El auto, como decimos, desestima la medida cautelar de cierre del grupo entendiendo que no concurren los requisitos que exige la Ley de Enjuiciamiento Cvil para su aplicación.

Por un lado, no se desprende "apariencia de buen derecho" de la documentación aportada por el padre Bru (un acta notarial donde se da fe del contenido existente en el Grupo de Facebook en una fecha concreta). En opinión de la Jueza, la fotografía en cuestión no insinúa una tendencia sexual concreta. Efectivamente, todas las personas que aparecen en ella son mayores de edad, y no muestran ningún signo de cariño entre sí que pudiera denotar que mantienen una relación sentimental.

Por otro lado, y esto es lo importante, Don Manuel María aceptó unas condiciones de uso al crear su perfil en la red, que permiten la difusión de las fotografías alojadas en los perfiles en los términos previstos en ellas:

"1.Para el contenido protegido por derechos de propiedad intelectual, como fotografías y vídeos (en adelante, "contenido de PI”), nos concedes específicamente el siguiente permiso, de acuerdo con la configuración de privacidady aplicación: nos concedes una licencia no exclusiva, transferible, con posibilidad de ser sub-otorgada, sin royalties, aplicable globalmente, para utilizar cualquier contenido de PI que publiques en Facebook o en conexión con Facebook (en adelante, "licencia de PI"). Esta licencia de PI finaliza cuando eliminas tu contenido de PI o tu cuenta (a menos que el contenido se ha compartido con terceros y éstos no lo han eliminado)."

Por este motivo, se determina que no se puede formar un juicio provisional e indiciario a favor de la vulneración del derecho a la intimidad y a la imagen del actor.

Tenemos que esperar todavía a la Sentencia que resuelva sobre la demanda principal, pero las cosas pintan mal para el Padre Bru (al menos, en primera instancia).

En cualquier caso, la cita que se hace en el auto de las condiciones de uso de Facebook pone de manifiesto que una vez colgamos una foto en nuestro perfil perdemos su control, también desde el punto de vista legal. Piénsenlo antes de colgar su album familiar o aceptar nuevos amigos.

NOTA: El Grupo Risa niega haber creado el grupo "Salvemos al Padre Bru", extremo que tampoco ha podido demostrar el demandante. Fuera quien fuera el administrador del grupo, éste se canceló a los pocos días de hacerse públicos en el programa de Federico Jiménez Losantos los motivos de la demanda.

miércoles, 24 de noviembre de 2010

Consejos prácticos para eliminar sus datos personales de Google

Según lo manifestado por la Agencia Española de Protección de datos en sus informes jurídicos y resoluciones, y visto los argumentos que expone Monsieur le Director en el artículo sobre derecho al olvido digital que les comentaba en mi último post, resulta sencillo conseguir que Google deje de indexar páginas web donde se menciona a un particular.

Bastará con ejercer el derecho de oposición ante la filial espoñola de la compañía (en tanto siga abierta en nuestro país; con este acoso, cualquier día la cierran). Probablemente, se lo denegarán por coherencia con las alegaciones presentadas por Google Spain en los procedimientos que le ha abierto la Agencia, pero no tienen más que solicitar la tutela de la autoridad de protección de datos, que ya se encargará ella de que Usted no aparezca en los resultados de las búsquedas.

Da igual que Google Spain S.L. no sea ni responsable del fichero ni encargado del tratamiento, o que la Agencia, mezclando las churras con las merinas, se autoproclame entidad competente, de acuerdo a la LSSICE, para decidir cuándo un prestador de servicios debe retirar una información de su web. A Monsieur le Directeur nunca le han importado las minucias.

No obstante, yo les recomiendo que previamente a esta solución drástica, se pongan en contacto con Google a través del mecanismo de denuncia que ha habilitado en su pestaña de privacidad y que permite eliminar rápidamente información sensible del buscador ("números de DNI, datos de tarjetas de crédito u otra información confidencial en los resultados de búsqueda").

Para ello, deben acceder al aviso sobre "Privacidad" que figura en la parte inferior derecha de http://www.google.es/. Una vez aquí, pinche en el enlace que les permite ponerse en contacto con Google vía web:

"Si tiene alguna pregunta relacionada con esta Política de privacidad, puede ponerse en contacto con nosotros a través de nuestro sitio web .... "

A partir de aquí, sólo tiene que ir eligiendo, entre las distintas opciones que le ofrecen, aquella que se ajuste a lo que desea hacer. Si tiene alguna duda sobre este tema o quiere comentar su experiencia al respecto, envíenos un mail o déjenos un comentario.

Buenas noches.

lunes, 22 de noviembre de 2010

El derecho al olvido digital y Google Inc

Como sabrán, ya se encuentra disponible el número 85 de la Revista Telos, dedicado a los derechos fundamentales en Internet. Les sorprenderá saber que Monsieur le Directeur publica en él un artículo titulado "El derecho al olvido y su protección", donde anima a los ciudadanos a ejercer los derechos que les asisten para evitar la difusión de sus datos personales en Internet. Termina su brillante exposición con las siguientes palabras:

"Los ciudadanos se preguntan: ¿tengo que soportar estar expuesto en Internet? La respuesta es No. Tal y como se ha expresado, en los últimos tiempos la AEPD ha venido materializando y conformando este llamado ‘derecho al olvido' mediante la aplicación de los instrumentos de defensa y tutela de los derechos de los ciudadanos que el legislador les ha atribuido. No obstante, junto a ello se hace preciso demandar de los responsables de estos servicios un papel activo y una diligencia específica en las garantías de los derechos de los ciudadanos y especialmente en la atención del derecho al olvido de los internautas.

Ofrecer garantías frente a los nuevos riesgos que plantean y aventuran las nuevas tecnologías, mediante el reconocimiento de nuevos derechos que garanticen el necesario equilibrio entre la naturaleza abierta de Internet y la protección de la privacidad, debe formar parte de la agenda social de este momento y sin duda representa uno de los desafíos actuales, a fin de proteger los derechos y libertades necesarios en cualquier sociedad democrática."

Al parecer, entre esos "instrumentos de defensa y tutela" que el legislador nos atribuye a todos nosotros, se encuentra el derecho de oposición frente a Google. En la línea del informe jurídico 214/2010 que les comentaba hace unos días, Monsieur le Directeur expone por qué considera que Google Inc. se encuentra obligado a hacer efectivo el ejercicio de este derecho:

"La fundamentación jurídica sobre la que se asientan dichas resoluciones parte, de un lado, del sometimiento de los prestadores de estos servicios a la legislación nacional (aun encontrándose el responsable de tratamiento situado fuera del Espacio Económico Europeo, la legislación comunitaria se aplica cuando cuenta con un establecimiento en un Estado miembro o cuando acude a medios situados en éste), y de la ausencia de precepto legal o amparo constitucional a la permanencia de la información en los índices de búsqueda, ni en las páginas que buscadores conservan temporalmente en memoria ‘caché'.

Cabe incidir en que en el caso de los buscadores no sólo es la normativa específica de protección de datos la que determina la ley nacional aplicable, sino que dicha normativa resultaría en todo caso aplicable por determinación del tenor literal de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI). Esta norma, que incluye a los buscadores dentro de la definición de ‘Servicios de la Sociedad de la Información', establece que los servicios de búsqueda, como servicios de intermediación en los que el prestador del servicio no es, en principio, responsable de los contenidos informativos a los que facilita el acceso, debe eliminarlos o impedir dicho acceso a requerimiento de un órgano competente que cuestione su licitud."

Eso sí, lo que no explica Don Artemi es por qué, aplicándole la legislación a Google Inc. como se le aplica, los procedimientos se los abre también a la filial española, Google Spain S.L., a pesar de que esta compañía no tiene ninguna responsabilidad en la prestación de los servicios de búsqueda (ni siquiera como encargado del tratamiento). ¿Una advertencia?

domingo, 21 de noviembre de 2010

Los "despidos Facebook"

A finales de 2008, tres trabajadores de ALTEN fueron despedido por "incitar a la rebelión" contra la Directora de Recursos Humanos, animando a sus compañeros a "hacer la vida imposible" a la jerarquía de la empresa. Esto no sería una noticia si no hubieran hecho tales comentarios en Facebook, desde sus casas, un sábado por la tarde en el que los tres coincidieron conectados a la red social.

Alguno de sus contactos en Facebook (los periódicos no indican quién ni por qué motivo) denunció a los trabajadores a la dirección de la compañía, que consideró que habían cometido una falta grave. 

Los despedidos argumentaban que habían expresado sus opiniones en un ámbito estrictamente privado. Sin embargo, para la empresa ALTEN, Facebook es una red social abierta, y los tribunales franceses le han dado la razón. Al parecer sus perfiles no estaban restringidos y podían ser vistos por los "amigos de sus amigos".

Tras dos años de negociaciones y litigios,  el "Conseil des Prud'hommes" (órgano judicial de lo social) de Boulogne-Billancourt dictó sentencia el pasado jueves. Uno de los trabajadores no estaba presente en el juicio porque en este tiempo había llegado a un acuerdo amistoso con su antiguo empleador.

La sentencia, que probablemente será recurrida, determina que la página mencionando los própositos de los trabajadores constituye un medio de prueba lícito y bien fundado para el despedido. Para el abogado de los demandantes, se está abriendo la puerta a la delación: Si en el futuro se puede despedir por lo que se comenta en Facebook, la vida privada se verá amenazada.

En un momento en el se habla tanto del derecho al olvido, y Google y Facebook se encuentran en el punto de mira de las autoridades de protección de datos europeas, los medios más influyentes han demostrado prudencia al llamar la atención no sobre la falta de políticas adecuadas de privacidad en las redes sociales, sino sobre la necesidad de hacer un uso consciente de ellas. Los verdaderos culpables de que se produzcan casos como éste son los usuarios, no Facebook.

Jean-Marc Manach, autor del blog BUG BROTHER, se pregunta cómo se puede llevar una "vida privada" cuando todo se hace a la vista de miles de personas, de "amigos" que no se conocen personalmente. Noten que llega a la misma conclusión que el Grupo de Trabajo del art. 29, cuando señala, en el tan criticado dictamen 5/2009, que un gran número de contactos en una red social "puede indicar que no se aplica la excepción doméstica y el usuario podría entonces ser considerado como un responsable del tratamiento de datos".

La jovencísima Ministra Nathalie Kosciusko-Morizet, famosa por utilizar Internet como plataforma de comunicación con el electorado, mencionaba en su blog los "despidos Facebook", recordando que el diálogo de los trabajadores había sido transmitido al empresario por uno de los "amigos facebook" de los despedidos. "Este asunto nos recuerda oportunamente que todo dato difundido por internet se escapa a nuestro control, incluso cuando creemos que sólo podrán verlo nuestros amigos".

En la edición digital de Le Monde, un abogado especialista en nuevas tecnologías comenta el asunto ampliamente el asunto, y llega a la misma conclusión: No controlamos los datos que publicamos en Facebook. Considera que tal vez se deberían colocar advertencias como la de "Fumar mata" que aparece en los paquetes de tabaco (algo así como: "Usted va a hacer un comentario en Internet. Atención al contenido").

Esta sentencia tiene relevancia porque prácticamente no existe jurisprudencia sobre casos similares. Sólo he encontrado otro supuesto: Hace poco, en Estados Unidos, una trabajadora fue despedida por escribir en su muro de Facebook que su jefe era un enfermo mental. El motivo fue el incumplimiento de la política interna de la compañía que prohibía hablar de la empresa en las redes sociales. Al contrario que el tribunal francés, el National Labor Relations Board (NLRB), la agencia federal americana que protege los derechos de los trabajadores, determinó que un comentario en Facebook tiene un carácter privado y anuló el despido.

En fin, con los "despidos facebook" está pasando lo mismo que con los despidos por comentarios hechos en blogs, cuando éstos eran una novedad: Los primeros casos tuvieron una repercusión mundial. Ahora, la cosas se han ido normalizando y ya no se leen noticias del estilo "despedido por criticar en su blog a un jefe". Algunos tardaron en comprender que lo que se escribía en un blog podía ser leído y encontrado por cualquiera, y dejaba de pertenecer a la esfera íntima de la persona. Los tres trabajadores franceses, como se suele decir, han pagado la novatada.

sábado, 20 de noviembre de 2010

Vídeos del Congreso sobre Libertades Informativas en Internet


Creo que encontrarán de especial interés dos de las intervenciones que se refieren a regulación jurídica de las redes sociales:
  • "Intimidad y redes sociales: ¿Cómo alcanzar la tutela penal?", por Paz Lloria, Profesora de Derecho Penal de la Univerdad de Valencia.
  • "La red social como ejemplo de participación: casos y cuestiones", por Francisca Ramón Fernández, Profesora Contratada Doctora de Derecho Civil, Universidad Politécnica de Valencia.
Buenos días.

miércoles, 17 de noviembre de 2010

La utilización de cámaras ocultas en reportajes periodísticos: Sentencia del Tribunal Supremo de 16 de enero de 2009

La Setencia que quiero comentarles hoy se refiere a un supuesto de grabación con cámaras ocultas, uno de los temas que más interesa a los lectores de este blog.

Doña R. había instalado en su vivienda una clínica naturista que ella misma atendía. Una periodista de Canal Mundo Producciones Audiovisuales pidió cita para un masaje, grabando con cámara oculta cómo se desarrolló la sesión y la conversación mantenida. Posteriormente, esas grabaciones fueron emitidas en un programa de la Televisión Autonómica Valenciana.

Doña R. incoó acciones civiles contra la periodista, Canal Mundo y la Televisión Valenciana, al considerar que tanto las grabaciones con cámara oculta como los comentarios sobre su persona que se realizaron en el transcurso del programa atentaban contra su derecho al honor, a la intimidad y la propia imagen. Las pretensiones de la demandada fueron desestimadas tanto en primera instancia como en apelación.

En concreto, la Audiencia Pronvicial "se sirvió para tomar su decisión de un conjunto de argumentos referidos a la libertad de información, en relación con el periodismo de investigación y la condición neutral del reportaje; al lugar en que la grabación se había realizado disimuladamente; a la autorización dada por la demandante a la reportera para que entrara en el espacio destinado a consulta; y a la circunstancia de haber sido grabada la conversación por una de las personas que intervino en ella, no por un tercero - con invocación de la sentencia del Tribunal Constitucional 114/1.984 -."

La Sentencia del Tribuanl Supremo, sin embargo, da la razón a Doña R. Dos aspectos de la misma me parecen de interés:

El primero es la ponderación que realiza de los derechos en conflicto (la intimidad, por un lado; y el derecho a la información, por otro). Para el alto tribunal, "(...) el método utilizado para consumar la primera fase de la intromisión – la llamada cámara oculta – no era imprescindible para descubrir la verdad de lo que acontecía en la consulta de la actora. Hubiera bastado con que la reportera entrevistara a los clientes de la misma – como se hizo con una- para conocer con total fidelidad lo que supo de propia mano mediante la grabación directa. En tales condiciones el sacrificio del derecho de doña R. no puede ser calificado como legítimo."

En segundo lugar, el Supremo considera que el carácter oculto de la grabación no queda suficientemente argumentado por las demandadas, que indicaban que "de otra manera el grado de espontaneidad del interlocutor pudiere, razonablemente, entenderse mediatizado, con pérdida evidente del valor de la información que se trata de obtener”.

Concluye el Tribunal que no sólo se vulnera el derecho a la intimidad de la demandante, sino también el derecho a la imagen de Doña R:

"Es, por otro lado, evidente que, tanto en el momento de la grabación como en el de la emisión del programa de televisión, la demandante fue privada del derecho a decidir, para consentirla o impedirla, sobre la reproducción de la representación de su aspecto físico determinante de una plena identificación.

Por otro lado, la finalidad del reportaje y de su difusión, verdaderos medios de denuncia referida a la actividad de la demandante como ejemplo de una práctica socialmente reprobada, convirtieron a la misma, plenamente identificada por sus rasgos físicos – incluso durante la emisión, mediante técnicas que atraían hacia ellos la atención del espectador -, en elemento fundamental de la información.

Lo que impide entender que se grabó y publicó una imagen meramente accesoria de la información, a los efectos del aparado segundo, letra c) del artículo 8 de la Ley 1/1980."

En definitiva, la utilización de cámaras ocultas en reportajes periodísticos no está justificada en todo caso, y habrá que valorar numerosos aspectos, no sólo el contenido de la grabación, sino el programa en el que se emite y la presentación de contenidos en el mismo.

lunes, 15 de noviembre de 2010

Informe sobre distribución de competencias entre la Agencia Española y las Autoridades Autonómicas

Les he buscado otro informe jurídico magistral, evacuado (en el sentido jurídico del término) por el Gabinete de la AEPD en el año 2002. Pueden leerlo aquí.

El informe viene motivado por la siguiente consulta de una de las agencias autonómicas:

"Se ha planteado por una Autoridad de control autonómica, de las previstas en el artículo 41.1 de la LOPD el modo en que habría de resolverse el problema de que los ficheros sometidos a su ámbito de aplicación hayan de ser inscritos tanto en el Registro general de Protección de Datos como en el gestionado por la propia Agencia autonómica, considerando que el Registro ante el que debe efectuarse originariamente la inscripción es el de ésta última, siendo la inscripción en el Registro General de Protección de Datos "complementaria" de la anterior, a los meros efectos de publicidad."

En el razonamiento que sigue, la AEPD habla de los dos límites que establece el art. 41 de la LOPD al ámbito de actuación de las autoridades autonómicas: "uno en cuanto a las efectivas competencias que podrán ejercerse y otro en lo referente a los ficheros sobre los cuales cabrá ejercer la competencia."

Por supuesto, la Agencia determina que la función de dar publicidad a los tratamientos está atribuida expresamente y en exclusiva por la LOPD a la autoridad nacional. Además, para apoyar su interpretación, echa mano de la doctrina del Tribunal Constitucional, y cita la Sentencia 290/2000, que merece la pena recordar:

"A esta conclusión coadyuva también la doctrina sentada por el Tribunal Constitucional, en su Sentencia 290/2000, de 30 de noviembre, que delimita el reparto competencial entre el Estado y las Comunidades Autónomas en esta materia. Según indica el Fundamento Jurídico 14 de la citada Sentencia, tras consagrar la naturaleza de derecho fundamental de la protección de datos de carácter personal:

"...la exigencia constitucional de protección de los derechos fundamentales en todo el territorio nacional requiere que éstos, en correspondencia con la función que poseen en nuestro ordenamiento (art. 10.1 CE), tengan una proyección directa sobre el reparto competencial entre el Estado y las Comunidades Autónomas «ex» art. 149.1.1 CE para asegurar la igualdad de todos los españoles en su disfrute. Asimismo, que dicha exigencia faculta al Estado para adoptar garantías normativas y, en su caso, garantías institucionales.

A este fin la LORTAD ha atribuido a la Agencia Española de Protección de Datos diversas funciones y potestades, de información, inspección y sanción, para prevenir las violaciones de los derechos fundamentales antes mencionados. Y dado que la garantía de estos derechos, así como la relativa a la igualdad de todos los españoles en su disfrute es el objetivo que guía la actuación de la Agencia Española de Protección de Datos, es claro que las funciones y potestades de este órgano han de ejercerse cualquiera que sea el lugar del territorio nacional donde se encuentren los ficheros automatizados conteniendo datos de carácter personal y sean quienes sean los responsables de tales ficheros"."

Buenas noches.

domingo, 14 de noviembre de 2010

Diferencia entre revocación del consentimiento y derecho de cancelación

La Agencia explica magistralmente en su informa jurídico 35/2010 la diferencia entre revocación del consentimiento y derecho de cancelación. Veamos lo que dice:

"La Ley Orgánica 15/1999 que exige, con carácter general, el consentimiento del interesado para el tratamiento y cesión de datos, permite, igualmente, la revocación del mismo, esto es, que el interesado pueda exigir el cese en el tratamiento de sus datos mediante su pura y simple manifestación de voluntad, al disponer en su artículo 6.3 “El consentimiento a que se refiere el artículo podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos.” De la misma manera el artículo 11.4 establece que “El consentimiento para la comunicación de los datos de carácter personal tiene también un carácter de revocable.”

Este derecho de revocación, debe ser diferenciado del derecho de cancelación a que hace referencia el artículo 16.2 de la Ley Orgánica 15/1999 y conforme al cual “Serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la presente Ley y, en particular, cuando tales datos resulten inexactos o incompletos.”

Así el derecho de cancelación se encuentra vinculado al incumplimiento por parte del responsable del fichero, en este caso, el titular de la página web, de los principios consagrados en el artículo 4 de la Ley Orgánica 15/1999, en particular los de actualización, exactitud y conservación de los datos, aunque la rectificación o cancelación puede proceder de la conculcación de cualquiera de los principios enumerados en dicho artículo. La revocación del consentimiento, por el contrario, no implica un incumplimiento por parte del responsable, no obstante, debe tenerse en cuenta que si el interesado revoca el consentimiento para el tratamiento de sus datos, su mantenimiento supondrá una vulneración de lo dispuesto en dicha Ley Orgánica, al conservarse éstos sin respetar los principios en ella establecidos.

Siendo supuestos diferentes con fundamentos diferentes, el artículo 31.2 del Reglamento aclara que la revocación no supone el ejercicio del derecho de cancelación al señalar ”En los supuestos en que el interesado invoque el ejercicio del derecho de cancelación para revocar el consentimiento previamente prestado, se estará a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre y en el presente reglamento."

De esta manera el procedimiento a seguir no es el contenido en los artículo 31 y siguientes del Reglamento, sino el previsto en el artículo 17 de la misma norma que dispone lo siguiente:

"1. El afectado podrá revocar su consentimiento a través de un medio sencillo, gratuito y que no implique ingreso alguno para el responsable del fichero o tratamiento. En particular, se considerará ajustado al presente reglamento el procedimiento en el que tal negativa pueda efectuarse, entre otros, mediante un envío prefranqueado al responsable del tratamiento o la llamada a un número telefónico gratuito o a los servicios de atención al público que el mismo hubiera establecido.

No se considerarán conformes a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, los supuestos en que el responsable establezca como medio para que el interesado pueda manifestar su negativa al tratamiento el envío de cartas certificadas o envíos semejantes, la utilización de servicios de telecomunicaciones que implique una tarificación adicional al afectado o cualesquiera otros medios que impliquen un coste adicional al interesado.”

En el número tercero de dicho precepto, y a diferencia de lo previsto para el derecho de cancelación que no requiere comunicación alguna al interesado, se establece la posibilidad de que afectado solicite la confirmación el cese del tratamiento, en cuyo caso el responsable “deberá responder expresamente a la solicitud.”

En cuanto a los efectos de la revocación se expresan en el número segundo del artículo 17 que señala “El responsable cesará en el tratamiento de los datos en el plazo máximo de diez días a contar desde el de la recepción de la revocación del consentimiento, sin perjuicio de su obligación de bloquear los datos conforme a lo dispuesto en el artículo 16.3 de la Ley Orgánica 15/1999, de 13 de diciembre.”"

De acuerdo a lo que acabamos de leer, el interesado tiene las siguientes posibilidades para que un responsable de fichero deje de tratar su datos:

1º. El derecho de cancelación, vinculado al incumplimiento por parte del responsable del fichero de los principios de calidad de datos recogidos en el art. 4 de la LOPD. No olvidemos que este mismo artículo prevé la "cancelación de oficio" por parte del responsable, sin necesidad de que la inste el afectado.

2º. El derecho de oposición, que puede ejercerse en tres supuestos: Cuando los datos se tratan sin consentimiento del interesado (por ejemplo, provienen de fuentes accesibles al público), cuando los datos se destinan a fines publicitarios y cuando el tratamiento tenga por finalidad la adopción de una decisión referida al afectado y basada únicamente en un tratamiento automatizado de sus datos de carácter personal.

3º. La revocación del consentimiento, que no es un derecho del interesado (y por tanto no se puede solicitar su tutela ante la Agencia), y que sigue un procedimiento específico que se regula en el art. 17 del RLOPD. Dicho precepto no exige respuesta formal por parte del responsable del fichero, salvo que el interesado lo solicite expresamente.

Supuesto práctico 1: Un cliente que ha otorgado su consentimiento en el momento de la celebración del contrato para recibir publicidad, cambia de idea ¿Qué debe hacer: ejercer el derecho de oposición o revocar el consentimiento?

Supuesto práctico 2: Como responsable del fichero, recibo una petición en la que, utilizando el modelo de ejercicio de derecho de cancelación de la web de la AEPD, en realidad, lo que se me solicita, es la revocación del consentimiento (ya que los datos tratados no son inexactos ni incorrectos, ni incumplen el resto de principios del art. 4 de la LOPD). ¿Qué hago: respondo al interesado que se ha equivocado de cauce, deniego el ejercicio del derecho de cancelación, o simplemente, no contesto? ¿Si reclama en tutela, la Agencia lo admitirá?

Espero que Monsieur le Directeur se decida a preparar folletos informativos donde oriente a los ciudadanos en la elección de la más adecuada entre todas las posibilidades que la LOPD pone en sus manos, que son muchas. También sería deseable que facilitara a los responsables de fichero modelos de respuesta tipo para hacer frente a las distintas peticiones que pueden recibir de los interesados.

lunes, 8 de noviembre de 2010

Las nuevas competencias de la autoridad catalana de protección de datos

Esta mañana he estado comentando con el destituido Don Paco la poca atención que ha recibido en los medios la aprobación de la Ley 32/2010, de 1 de octubre, de la Autoridad Catalana de Protección de Datos. Esta norma, además de cambiar de nombre al ente que hasta ahora conocíamos como Agencia Catalana de Protección de Datos, le atribuye nuevas competencias que afectan a ficheros privados y potestad sancionadora (léase recaudatoria) respecto a éstos. 

En el art. 3 de la Ley 32/2010, se indica lo siguiente: 

"Artículo 3. Ámbito de actuación

El ámbito de actuación de la Autoridad Catalana de Protección de Datos comprende los ficheros y los tratamientos que llevan a cabo:

a) Las instituciones públicas.

b) La Administración de la Generalidad.

c) Los entes locales.

d) Las entidades autónomas, los consorcios y las demás entidades de derecho público vinculadas a la Administración de la Generalidad o a los entes locales, o que dependen de ellos.

e) Las entidades de derecho privado que cumplan, como mínimo, uno de los tres requisitos siguientes con relación a la Generalidad, a los entes locales o a los entes que dependen de ellos:

Primero. Que su capital pertenezca mayoritariamente a dichos entes públicos.

Segundo. Que sus ingresos presupuestarios provengan mayoritariamente de dichos entes públicos.

Tercero. Que en sus órganos directivos los miembros designados por dichos entes públicos sean mayoría.

f) Las demás entidades de derecho privado que prestan servicios públicos mediante cualquier forma de gestión directa o indirecta, si se trata de ficheros y tratamientos vinculados a la prestación de dichos servicios.

g) Las universidades públicas y privadas que integran el sistema universitario catalán, y los entes que de ellas dependen.

h) Las personas físicas o jurídicas que cumplen funciones públicas con relación a materias que son competencia de la Generalidad o de los entes locales, si se trata de ficheros o tratamientos destinados al ejercicio de dichas funciones y el tratamiento se lleva a cabo en Cataluña.

i) Las corporaciones de derecho público que cumplen sus funciones exclusivamente en el ámbito territorial de Cataluña a los efectos de lo establecido por la presente ley."

Esta modificación deriva del artículo 156 del Estatuto Catalán. Hasta ahora, ninguna agencia autonómica ha tenido competencias sobre ficheros privados. La interpretación que se derivaba del art. 41.1 de la LOPD estaba clara. La expresión utilizada por dicho precepto, "ficheros de datos de carácter personal creados o gestionados por las Comunidades Autónomas y por la Administración Local de su ámbito territorial, por los órganos correspondientes de cada Comunidad", sólo daba cabida a ficheros públicos.

Sin embargo, ya ven: Parece ser que la Autoridad Catalana podrá inspeccionar y sancionar a determinadas entidades de derecho privado cuando, por ejemplo, ejerzan funciones públicas, presten servicios públicos o sus recursos provengan en su mayor parte de la Generalidad. El listado de las entidades que entran dentro del ámbito fijado por el artículo 3 de la Ley 30/2010 requiere un estudio detallado. Aunque aquí lo fundamental es resolver el conflicto legal que parece que se produce entre el art. 41 de la LOPD y el art. 156 del Estatuto.

Mientras tanto, nadie dice nada. Tan sólo en el blog Privacidad Práctica han incluído un post dedicado al asunto.

domingo, 7 de noviembre de 2010

Un caso de libro de cybersquatting

Los amantes de la coctelería están de enhorabuena. Comprenderán por qué cuando lean esta resolución del Centro de Mediación y Arbitraje de la OMPI, que permite a la que la compañía francesa Rémy Cointreau of Cognac conseguir el dominio "cointreau.co". Éste había sido registrado por un ciudadano Chino, de nombre Luke Skywalker (no sé si les suena).

El panelista único, Señor Richard G. Lyon, no tuvo muchas dudas a la hora de decidir la transferencia del dominio al reclamante. En primer lugar, la compañía Rémy Cointreau es titular de la marca "Cointreau" en distintos países, entre ellos China (Hong Kong), lugar de residencia de la persona que registró el dominio. Además, el demandado, que ni siquiera se molestó en presentar alegaciones, había alojado en la dirección objeto de disputa una página web de las denominadas "de aparcamiento", en la que aparecían distintos anuncios a bebidas alcohólicas, además de una nota en inglés donde se ofertaba la venta del nombre de dominio.

Teniendo en cuenta lo anterior, el panelista da por probada la mala fe del demandado y afirma que se trata de un caso de libro de cybersquatting. Probablemente, a la compañia Rémy Cointreau le habría salido más barato comprar que acudir a la OMPI, pero este tipo de decisiones tiene el peligro de crear un precedente y fomentar el registro ilicíto de dominios. Los tiempos en los que se podía hacer negocio registrando como nombres de dominio de marcas conocidas terminaron hace años.

sábado, 6 de noviembre de 2010

Crónica Social

Ayer, 5 de Noviembre, se celebró según lo acordado, con gran éxito de crítica y público, la Primera Reunión de Amigos de la Lopedé.

La Dirección del Blog quiere agradecer su asistencia a Don Alfonso, Don José Ignacio y Don Álvaro (autor del estupendo blog Lexfori), así como a Don José Fernando, nuevo Secretario y Tesorero de esta casa, y a Don Paco. Éste último fue cesado en todos sus cargos por motivos que requerirían un post aparte.

Ni Doña Critina ni Doña Carmen, que habían confirmado su participación en el acto, pudieron acudir, por lo que todos los presentes (excepto Don Alvaro, hombre de moral intachable), se quejaron de la escasa presencia femenina.

Afortunadamente, no se consumieron bebidas alcoholicas ni se habló de futbol.

Se trataron distintos temas, algunos de ellos relacionados con la protección de datos. Don José Ignacio demostró un malsano interés por las Transferencias Internacionales de Datos, Don Álvaro nos ilustró sobre los adelantos en comunicaciones vía SMS y Don Alfonso comentó esta resolución de la Agencia, por la que siente especial cariño.

Se echó de menos al presidente del club fans Ad Edictum, Don Emilio, geográficamente aislado de la civilización en la cuna del Gran Viriato.

Con esta reunión, queda inaugurado el Club de Amigos de la Lopedé, que se reserva el derecho de admisión de nuevos socios.  

miércoles, 3 de noviembre de 2010

Los principales ficheros de solvencia patrimonial y crédito (III)

Recapitulemos: En esta serie de post dedicada a los "ficheros de morosos",  hemos hablado ya de los tres más conocidos: RAI, ASNEF y BADEXCUG. El primero sólo incluye información de personas jurídicas, por lo que no queda sometido al cumplimiento de la LOPD. Los otros dos recogen información que ponen en común distintas empresas (sobre todo, del sector financiero y del sector de telecomunicaciones), siendo dichas empresas las responsables de la calidad del dato.

Hay un cuarto fichero de solvencia patrimonial y crédito que ha adquirido cierta relevancia en los últimos años. La razón es que se centra en datos de un ámbito económico muy concreto: el fichero de inquilinos morosos de FIM IBERICA. En su web corporativa, podemos leer la siguiente descripción de la base de datos:

"FIM es el Fichero de Inquilinos Morosos, contiene información sobre arrendamientos impagados, tanto de personas físicas como jurídicas, aportada por los propios arrendadores y profesionales en la gestión de arrendamientos. Contiene también toda la información procedente de sentencias judiciales por desahucio, convirtiéndose en la base de datos más amplia y completa sobre morosidad en arrendamientos en el territorio nacional. FIM es la herramienta indispensable de consulta de más de diez mil profesionales de toda España. La participación en este registro se basa en el principio de reciprocidad, que consiste en beneficiarse de los datos ajenos aportando los propios."

Yo no les puedo contar mucho más sobre este fichero porque no tengo referencias de usuarios del mismo, ni he recibido ninguna queja de personas incluidas en él (algo que, por ejemplo, me pasa constantemente con ASNEF, dado que operadores de telecomunicaciones tienen la política de comunicar datos de clientes suyos que no son morosos profesionales por impagos de dedudas ridículas).
 
En fin, creo que con esto tendrán Ustedes una visión general de los principales ficheros de morosos privados. Como les comenté, el que es quizás el más importante fichero de morosos lo gestiona el Banco de España, y constituye una importatísima garantía para el buen funcionamiento de nuestro sistema financiero. Entre otras cosas, evita que se produzcan muchos casos como éste que leí hace unos días.
 
La información contenida en la Central de Información de Riesgos del Banco de España (CIRBE), proviene de las entidades sometidas a supervisión de esta entidad, que son las únicas, junto al Banco de España, que pueden consultar la base de datos.
 
Su funcionamiento se encuentra regulado en la Ley 44/2002, de de 22 de noviembre, de Medidas de Reforma del Sistema Financiero. El importe mínimo de la declaración es de 6.000 euros.
 
Por supuesto, al Banco de España no le gusta que llamen a la CIRBE "fichero de morosos". Por eso, en su página web podemos leer lo siguiente:
 
"¿Qué diferencia hay entre la Central de Información de Riesgos (CIR) y los registros de morosos?
 
La Central de Información de Riesgos (CIR) no es un registro de morosos, sino un gran banco de datos en el que se recogen todos los riesgos que tienen las entidades de crédito con sus clientes (créditos o préstamos concedidos, avales otorgados, valores propios de renta fija, etc.) por encima de los 6.000 euros.

La información es independiente de si sus titulares están al corriente de pago o no, si bien hay que decir que en el caso de que haya morosidad (retraso en los pagos) la entidad tiene que declararlo, cualquiera que sea la cantidad, siempre que se refiera a un crédito declarado.

Las entidades financieras están obligadas a enviar a la Central de Información de Riesgos (CIR) información sobre los riesgos vivos que cada una mantiene y con quién. El objetivo de la Central de Información de Riesgos (CIR) es facilitar a las entidades datos necesarios para su actividad. Por ejemplo, un banco puede conocer los riesgos que un determinado cliente tiene con otras entidades, y valorar mejor la conveniencia de darle un crédito. Además, la finalidad de la Central de Información de Riesgos (CIR) es también colaborar en el ejercicio de la supervisión bancaria. "

En fin, creo que fue Hayek el que dijo que la primera batalla que hay que ganar es la del lenguaje (o quizás fue Confucio). En los siguientes post, si Dios no lo remedia, les seguiré hablando de la regulación de los ficheros de solvencia patrimonial y crédito, y les presentaré una serie de links a artículos de interés sobre el tema.

Buenas noches.

lunes, 1 de noviembre de 2010

Libro del mes (Noviembre)

VARIOS AUTORES: Seguridad y Protección de Datos Personales. Thomson - Civitas y Agencia de Protección de Datos de la Comunidad de Madrid. Madrid, 2009.

El libro que les propongo este mes pertenece a la colección de publicaciones sobre protección de datos en ámbitos sectoriales de la Agencia de la Comunidad de Madrid. En esta misma colección, se han editado, por ejemplo, las guías sobre Servicios Sanitarios, Servicios Sociales y Universidades Públicas, que probablemente Ustedes conocen.

Seguridad y Protección de Datos personales cuenta, como es habitual, con un extenso prólogo del Señor Troncoso (casi es lo mejor de la guía). También encontrarán en él un análisis pormenorizado del Título VIII del Reglamento de Desarrollo de la LOPD, una selección de consultas resueltas por la Agencia sobre el tema, los modelos de documento de seguridad propuestos por esta autoridad y un DVD "las mejores prácticas en protección de datos".

Parte de este material ya se encontraba publicado en la web de la Agencia de la Comunidad de Madrid. Por ejemplo, aquí pueden Ustedes encontrar el documento de seguridad y aquí las consultas frecuentes.

A pesar de ello y de que está dirigido a responsables de ficheros públicos, no creo que este libro sobre en las estanterías de sus bibliotecas.