viernes, 17 de diciembre de 2010

¿Se destruyen adecuadamente los datos de carácter personal responsabilidad de las empresas que quiebran?

En alguna ocasión les he comentado el vacío legal que existe en nuestra normativa de protección de datos en lo que se refiere a empresas en liquidación que desaparecen del tráfico jurídico, sin que ninguna otra sociedad se subrogue en sus obligaciones.

En estos casos, el responsable del fichero deja de existir, se extingue. Es el equivalente a la muerte de una persona física. El responsable del fichero, en teoría, debería cancelar la inscripción de los ficheros que en su día realizó al Registro General de Protección de Datos, y destruir la documentación  de una forma segura.

¿Pero qué ocurre si no lo hace así? Les recuerdo que el art. 43 de la LOPD, establece que sólo el responsable del fichero y el encargado del tratamiento podrán resultar sancionados por los incumplimientos que se deriven de la ley:

"Artículo 43. Responsables.
1. Los responsables de los ficheros y los encargados de los tratamientos estarán sujetos al régimen sancionador establecido en la presente Ley."

Si el responsable del fichero ha desaparecido del tráfico jurídico y no existe ningún encargado del tramiento, ¿a quién se va a abrir el correspondiente procedimiento sancionador? ¿a quién se va a exigir responsabilidad?

Veamos con un ejemplo práctico como actúa la Agencia en estos casos.

La resolución que les voy a comentar (E/03158/2009) se refiere a un supuesto de aparición de datos personales abandonados en la vía pública.

Los datos, fichas de clientes de un Bingo que acaba de cerrar, fueron encontradas por una persona que denunció los hecho a los Mossos d'Escuadra. Éstos se personaron en la calle en cuestión, comprobando que tanto en el suelo como en un contenedor de obra, situado frente al local ya vacío del Bingo de Urgell, aparecía un gran número de papeles con datos de carácter personal. Los Mosos recogieron la documentación y la destruyeron, a excepción de algunas fichas que adjuntaron como prueba en el informe remitido a la Agencia. 

En el momento de la apertura del procedimiento sancionador, la empresa propietaria del Bingo, la sociedad Binresa, había solicitado el concurso voluntario de acreedores y no pudo ser localizada para que presentase alegaciones en su defensa.

El razonamiento de Monsieur le Directeur resulta un tanto confuso. Como en casos similares, se señala que el hecho de aparecer la documentación en la calle implica que Binresa ha incumplido su deber de tratar los datos con las medidas de seguridad adecuadas (como saben, es una obligación de resultado). También se indica que el responsable ha incumplido su deber de secreto.

Sin embargo, tras exponer esto, Monsieur le Directeur, que se ve que tenía ganas de cerrar un procedimiento que no iba a ningún sitio, concluye que, como la empresa ha desaparecido y no ha presentado alegaciones que aclaren los hechos, no existe la certeza y la concreción exigida para poder calificar la conducta como sancionable. Sin prueba de cargo suficiente contra Binresa, se archiva el procedimiento. ¿Qué les parece?

jueves, 16 de diciembre de 2010

Informes Jurídicos Extravagantes VII

Entre los últimos informes jurídicos subidos a la web de la AEPD, hay uno que merece formar parte de la serie preferida de los lectores de Ad Edictum. Se trata del informe 446/2010. En él, la Agencia analizar si la marcación del PIN de la tarjeta a la vista de los empleados de un comercio por parte del cliente supone una vulneración de la normativa de protección de datos.

Como saben, muchas entidades financieras han sustuido la firma del titular por la marcación del número secreto cuando se paga con tarjeta. Esta operación se realiza en el lector de tarjetas del establecimiento, casi siempre, delante del dependiente que nos está atendiendo. Pues bien, alguien consideró que tan infame acto podría suponer un riesgo para el derecho fundamental a la protección de datos y se decidió a enviar una consulta a Monsieur le Directeur.

En un momento de cordura, de esos que no suele tener a menudo, el Gabinete Jurídico de la Agencia respondió lo siguiente:

"El artículo 2.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, dispone en su primer párrafo que “la presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado”, siendo datos de carácter personal, conforme al artículo 3 a) de la Ley “calquier información concerniente a personas físicas identificadas o identificables”.

En el mismo sentido, debe señalarse que el precepto reproducido trae causa del ámbito de aplicación establecido por el artículo 3.1 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, según el cual “las disposiciones de la presente Directiva se aplicarán al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero”.

Pues bien, la cuestión planteada no se refiere a la realización por parte del establecimiento de tratamiento alguno relacionado con los datos personales del interesado, más allá del referido al número de la correspondiente tarjeta de crédito o débito para llevar a cabo la transacción, que se encuentra amparado por lo dispuesto en el artículo 6.2 de la Ley Orgánica 15/1999, en cuya virtud “xxx”. De este modo, el hecho de que el interesado deba teclear el código personal de su tarjeta para que la transacción pueda tener lugar no guarda relación con la aplicación de la Ley Orgánica 15/1999."

Como ven, un razonamiento impecable. Buenas noches.

domingo, 12 de diciembre de 2010

Historias de spammers rusos

Las noticias de spammers rusos que llegan de tiempo en tiempo a los periódicos "occidentales" tienen el exotismo y toque ácido de algunos relatos de Gogol. 

En octubre, conocíamos que era un tal Ígor Gúsev quien estaba detrás de la mayor parte de los anuncios de venta de viagra que recibimos diariamente en nuestros correos. Actualmente en paredero desconocido, huyó cuando había sido denunciando en los tribunales y se enfrentaba a cinco años de cárcel.

No sabemos cómo terminará esta historia, pero es difícil que su final sea más rocambolesco que el de su precedecesor, Vardan Kushnir. Éste fue encontrado muerto en su apartamento de Moscú en julio de 2005. Le habían destrozado la cabeza a golpes. Tenía 35 años, y compartía la casa con su madre Olga (que fue quien encontró el cadáver) y varios gatos.

No extrañó a nadie: Era un personaje conocido y odiado por los internautas rusos, que llevaban tiempo denunciado sus actividades (se llegaron a publicar datos personales suyos, como su teléfono, en la red).
Al principio, la prensa rusa comentó que el asesinato tenía que ver con los correos no deseados que enviaba Kushni promocionando su negocio, la academia de idiomas American Language Center. Los periódicos hicieron chistes de dudoso gusto: "El remitente de spam tuvo su merecido", "El spam es mortal", o "La última solución al problema del spam". 

Más tarde se supo que su muerte no estaba relacionada con el spam sino con algo más sórdido. Volvió a casa acompañado de varias chicas, una de ellas menor de edad, que le drogaron y apalearon hasta la muerte para robarle.

WIRED le dedicó un extenso artículo, de título nabokoviano "The Sleazy Life and Nasty Death of Russia’s Spam King". Gracias a él sabemos que fue un alumno modélico de origen armenio. Consiguió una beca para estudiar en un Instituto Tecnológico de Moscú y completar su formación en Los Ángeles. De allí, volvió a Rusia hablando un inglés casi perfecto y abrió su academia de idiomas. También tenía otros negocios. Había intentado convertirse en un nuevo Bill Gates, pero sus empresas de desarrollo de software no tuvieron demasiado éxito.

Si alguna vez se han preguntado qué pinta tienen los spammers, todavía hay fotos de Kushni por la web. Se le ve con aire lánguido y una rubia tremebunda, llena de transparecias. Hoy, después de muerto, tiene una entrada en la wikipedia por el dudoso mérito de colapsar cuentas de correos moscovitas.

martes, 7 de diciembre de 2010

Varios

Ha sido muy comentada en los medios la comparecencia estelar de Monsieur le Directeur ante la Comisión Constitucional del Congreso (lo de la línea roja y bla, bla, bla, ya saben).

Por mi parte, quiero llamarles la atención sobre lo siguiente: la posibilidad de modulación de las sanciones (es decir, de imponer la cantidad mínima correspondiente a una escala, o bien la escala inferior) se ha ampliado en un 40%. Por esta razón, resalta Don Artemi, el total de multas impuestas se ha mantenido en los niveles del año 2006, a pesar de haberse abierto más del doble de procedimientos sancionadores. Un gran logro de contención para una entidad que se autofinancia.

Los motivos que han llevado a apreciar esta modulación han sido cuatro:

- Que existan procedimientos o protocolos de actuación adecuados (conducta diligente que ha fallado de forma excepcional).

- Que se tomen medidas correctoras a la mayor brevedad.

- Que la infracción se deba a cuestiones de cualificación técnica sobre las que no cabe exigir la misma diligencia a una PYME que una gran empresa.

- Que la infracción sea resultado de una falta de diligencia o corresponsabilidad del propio afectado (no sé en qué casos se habrá apreciado esta circunstancia).

Pueden Ustedes leer el texto completo de la comparecencia aquí.
 
Por otro lado, les recomiendo que consulten los vídeos de la Jornada sobre "Consumidores, usuarios y entidades financieras ante el fraude electrónico" que se celebró en la Universidad de Valencia el pasado día 19 de Noviembre. Se encuentran disponibles en la Red DerechoTic. Además, por si se aburren, tienen el último número de la Revista de Protección de Datos de la Comunidad de Madrid.

lunes, 6 de diciembre de 2010

Libro del Mes (Diciembre)

PÉREZ LUÑO, Antonio Enrique: ¿Ciberciudadaní@ o ciudadaní@.com? Editorial Gedisa. Capellades (Barcelona), 2004.

El libro recomendado de este mes es muy breve (apenas 142 páginas) y, quizás, incluya ideas y conceptos desactualizados.

De las tres partes en las que se divide, la más interesante es la primera: "Ciudadanía y Definiciones". En ella, echo de menos una mayor atención a la evolución histórica del concepto de ciudadano para comprender los cambios que supone la Sociedad de la Información en el mismo.

La segunda parte, "Ciudadanía y teledemocracia", se centra en las posibilidades de participación política que ofrecen las nuevas tecnologías. La tercera y última está dedicada a "La Carta de Niza y la ciudadanía europea".

El autor no presta atención a cuestiones como la organización de movimientos cívicos a través de Internet, sólose refiere al ejercicio de la ciudadanía que discurre dentro de los cauces ordenados del voto a un partido político constituido. Con citas frecuentes de Cass Sunstein y de los artículos trasnochados de Ramonet en Le Monde Diplomatique, a veces los comentarios y conclusiones resultan obvios. No obstante, creo que su lectura les resultará interesante ya que hay poco escrito sobre este tema.

domingo, 5 de diciembre de 2010

Houellebecq y las Licencias Creative Commons

Ya saben lo que significa "licencia viral" cuando hablamos de software libre: Todo lo que se base en la obra incial se "contagia" de las condiciones de uso de la licencia utilizada.

Pues bien, la Wikipedia utiliza la licencia Creative Commons 3.0 , que fija entre sus condiciones de uso que cualquiera podrá copiar, distribuir, comunicar públicamente la obra, o crear obras derivadas, a partir de la obra inicial siempre que se respeten las siguientes condiciones:

"Atribución — Debe reconocer los créditos de la obra de la manera especificada por el autor o el licenciante (pero no de una manera que sugiera que tiene su apoyo o que apoyan el uso que hace de su obra).

Compartir bajo la Misma Licencia — Si altera o transforma esta obra, o genera una obra derivada, sólo puede distribuir la obra generada bajo una licencia idéntica a ésta."

Basándose en esto, un joven abogado de apenas 29 años, Florent Gallaire, se ha permitido colgar en su blog el texto íntegro de la última novela de Michel Houellebecq. "La carte et le territoire", premio Goncourt 2010, inclye extractos prácticamente idénticos artículos de la Wikipedia sobre la mosca doméstica, la ciudad de Beauvais y Frédéric Nihous. Houellebecq no ha negado que se inspirara en la célebre enciclopedia libre para escribir su novela ¿La convierte esto en una obra licenciada bajo Creative Commons? Gallaire opinaba que sí, y por eso, la subió en pdf a la red para que pudiera ser descargada gratuitamente.
 
A día de hoy, y tras haber amenazado Flammarion, editora de la novela, con tomar medidas legales, el blogger ha retirado la obra de Internet, afirmando que esto no supone el reconocimiento de haber cometido un delito.