domingo, 27 de febrero de 2011

LOPD for Dummies: ¿El personal administrativo puede acceder a la historia clínica de un paciente?

Sí. No sólo la LOPD no lo prohíbe, sino que la Ley 41/2002,de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, lo autoriza expresamente en su artículo 16:

"3. El acceso a la historia clínica con fines judiciales, epidemiológicos, de salud pública, de investigación o de docencia, se rige por lo dispuesto en la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, y en la Ley 14/1986, General de Sanidad, y demás normas de aplicación en cada caso. El acceso a la historia clínica con estos fines obliga a preservar los datos de identificación personal del paciente, separados de los de carácter clínico-asistencial, de manera que como regla general quede asegurado el anonimato, salvo que el propio paciente haya dado su consentimiento para no separarlos. Se exceptúan los supuestos de investigación de la autoridad judicial en los que se considere imprescindible la unificación de los datos identificativos con los clínico-asistenciales, en los cuales se estará a lo que dispongan los jueces y tribunales en el proceso correspondiente. El acceso a los datos y documentos de la historia clínica queda limitado estrictamente a los fines específicos de cada caso.

4. El personal de administración y gestión de los centros sanitarios sólo puede acceder a los datos de la historia clínica relacionados con sus propias funciones."

Es decir, el acceso a la historia clínica no está limitado a los profesionales sanitarios. Y para los incrédulos, la Agencia lleva diciendo esto mismo desde el año 2005: Pueden leerlo aquí.


martes, 22 de febrero de 2011

No es tan fácil

Entre las últimas resoluciones de tutela de derechos publicadas en la web de la Agencia, he encontrado una que les resultará de interés. La resolución R/02204/2010 se refiere a un supuesto en el que el interesado ejerció su derecho de oposición frente al titular de una web donde aparecían publicados sus datos.

Supongo que estarán pensando que, con lo pesado que está Monsieur le Directeur con el derecho al olvido, se estimaría la petición del afectado. Sin embargo, no fue así. La AEPD consideró que el tratamiento efectuado se encontraba fuera del ámbito de aplicación de la LOPD. Al parecer la web en cuestión incluía únicamente información relativa a ejecutivos y administradores de empresas (es decir, lo que podrían considerarse datos de persona de contacto según el art. 2.2 del RLOPD).

"En el presente caso, ha quedado acreditado que el reclamante solicitó ante B.B.B. la oposición al tratamiento de sus datos personales que aparecen en www. Dirección web. Del examen de la documentación aportada se observa que la citada página web publica información de ejecutivos y administradores de empresas españolas, habiéndose comprobado por parte de esta Agencia que la información sobre la que el reclamante ejercita su derecho de oposición es en calidad de persona jurídica. En consecuencia la citada solicitud no es objeto de la Ley de Protección de Datos de Carácter Personal, puesto que la protección de datos corresponde a personas físicas y no jurídicas.

Como consecuencia de lo expuesto, se procede a declarar la inadmisión del presente procedimiento de Tutela de Derechos."

Me pregunto si la Agencia habría llegado a la misma conclusión en el caso de que el afectado hubiera remitido su solicitud de oposición a Google Spain. Monsieur le Directeur opinia que Google debe eliminar en todo caso los links cuando se lo pida una persona que no tiene relevancia pública. Hasta ahora, poco le ha importado que el tratamiento realizado en la web de origen fuera un tratamiento personal o doméstico, o simplemente legítimo (por ejemplo, por referirse a datos incluidos en un Boletín Oficial que deben publicarse en él de acuerdo a lo establecido en una norma). 

lunes, 21 de febrero de 2011

Libro del Mes (Febrero)

VARIOS AUTORES (PEGUERA POCH, Miguel, Coordinador): Principios de Derecho de la Sociedad de la Información. Thomson Reuters y Aranzadi. Pamplona, 2010.

El libro recomendado de este mes recoge una serie de artículos doctrinales que tienen como nexo común referirse a distintos aspectos jurídicos de la sociedad de la información. Además del inefable capítulo sobre fiscalidad en Internet, siempre presente en obras de este tipo, los autores repasan con mayor o menor fortuna temas como:

- Firma electrónica

- Administración Electrónica

- Intervención judicial de comunicaciones privadas

- Régimen jurídico de los servicios de la sociedad de la información

- Marcas y nombres de dominio

- Propiedad intelectual

El apartado dedicado a “Intimidad y Protección de Datos en Internet” no aporta nada nuevo, claro que la obra tampoco es una monografía sobre la LOPD como otras que les he recomendado en esta sección.

En fin, se trata de una publicación reciente que, sin duda, encontrarán interesante para ir leyendo poco a poco (un capítulo cada día, antes de irse a dormir). Eso sí, si su mesilla de noche es de Ikea, y la montaron Ustedes mismos, no dejen el libro encima ya que tiene 1.027 páginas.

viernes, 11 de febrero de 2011

El Banco de España recupera el nombre de dominio "bancodeespaña.com"

El Banco de España ha conseguido la transferencia del dominio “bancodeespaña.com”, registrado desde el año 2005. La institución española presentó demanda ante la OMPI frente a la empresa uruguaya que operaba en Internet a través de dicho dominio. En sus alegaciones señala:

"(…) El nombre de dominio fue registrado y es usado de mala fe. Explica que tecleando la dirección “www.bancodeespaña.com” se accede a una página en Internet en que la se produce un uso destacado, a título de marca, de la denominación BANCO DE ESPAÑA. Alega que por la leyenda que se hace constar en dicha página bajo la marca BANCO DE ESPAÑA y la leyenda “Información de Bancos de España”, dicha página pretende ser un portal informativo de entidades bancarias españolas, que la Demandada está explotando sirviéndose de una denominación con respecto a la que no ostenta ningún derecho, trasladando además un cierto halo de oficialidad en la presentación de dicha página que puede hacer creer a cualquier navegante en Internet, que está en presencia de una página oficial de la principal institución bancaria de España.

El Demandante señala ciertas consideraciones sobre el nombre de dominio en disputa a saber: (i) el nombre de dominio está en uso; (ii) a su través se accede a determinado sitio web en el que de forma destacada (marcaria) se incluye como marca la denominación corporativa de la Demandante, que está protegida como marca (BANCO DE ESPAÑA); (iii) en dicho sitio web se ofrecen servicios informativos relacionados con la banca española; (iv) el nombre de dominio ha sido registrado con intención de aprovechar del error que puede causar en cualquier internauta, al relacionar las direcciones a que se accede a través de dicho nombre de dominio, con la página oficial del banco central de España.

Alega la Demandante que de todo lo expuesto no cabe sino deducir que la Demandada ha registrado y utiliza el nombre de dominio de manera intencionada para atraer, con ánimo de lucro, a usuarios de Internet a determinada página Web, creando la posibilidad de que exista confusión entre el propietario de dicha web y la institución Demandante. Entiende que la Demandada no actúa de buena fe al acceder a la titularidad del nombre de dominio que constituye nombre y marca corporativa de una institución española como lo es el Banco de España, conocida internacionalmente. Expresa que en presencia de un sitio así, el público consumidor puede confundirse respecto de una aparente asociación, origen o patrocinio de la Demandante, creando un confusionismo gratuito en el mercado, trascendiendo fronteras, lo cual es perjudicial a los intereses de la Demandante así como del público en general.

Finalmente añade que en un comienzo el nombre de dominio fue solicitado con fecha 16 de Julio de 2010 por el Sr. X, quien posteriormente lo ha transferido a la entidad Demandada en estas actuaciones. Señala que el mentado Sr. X fue sujeto pasivo de reclamos sobre otros nombres de dominio bajo la Política y ello amerita considerar que existe mala fe. Ello así pues el nombre de dominio en disputa fue solicitado por quien parece dedicarse al registro de nombres de dominio sin duda con finalidad lucrativa, quien registra nombres de dominio correspondientes a nombres y/o marcas ajenos, y que la Demandada ha adquirido dicho nombre de dominio sin duda siendo consciente, como no podría ser de otra forma, de todo ello, y en especial cuando ha comenzado a usar el nombre de dominio para un página web informativa del banco español."

La demandada no se molestó en contestar, por lo que el panelista único, Sr. Pablo A. Palazzi, lo tuvo fácil a la hora de decidir la transferencia del nombre de dominio en litigio. La resolución completa se encuentra aquí.

jueves, 10 de febrero de 2011

45 millones de españoles podrían incumplir la LOPD

La LOPD, en su art. 3.b, indica que fichero es “todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.”

Si se paran a pensar, partiendo de esta definición, cualquier español que no esté abandonado al vicio y a la molicie, sino que desarrolle una actividad económica, constituye en si mismo un fichero de datos de carácter personal.

Efectivamente, quien más quien menos, y aún sin querer, almacena en su memoria datos de clientes atendidos, servicios prestados, trabajadores despedido, nóminas inmerecidas que se pagan, y un largo etcétera…

Entonces ¿debemos registrarnos como fichero? El profesor Lorenzo Cotino, se planteó esto mismo antes que Ustedes. Un deseo de cumplir escrupulosamente la LOPD, protegiendo los datos sensibles que guarda en su cabeza, le llevó a registrar como fichero su actividad cerebral.


Pues bien, queridos lectores, la Dirección del Blog se complace en ofrecerles, en exclusiva, una entrevista con Don Lorenzo, quien ha respondido, vía e-mail, a nuestras preguntas.

Su razonamiento lógico es impecable: con la ley en la mano, la actividad cerebral de cualquier profesional o autónomo constituye un fichero, y 45 millones de personas podrían en este momento estar incumplimiento la LOPD.

1. ¿Cómo se le ocurrió la idea de registrar su actividad cerebral como fichero?

Soy profesor de Derecho y magistrado del TSJ (C. Valenciana) y especializado en TICs hace ya años; creo que es un debe intentar ajustarse a la legislación, por descerebrada que ésta sea. A principios de 2010, caí en la cuenta que mi actividad cerebral es un tratamiento (en todas sus acepciones) de datos personales, y que, sin duda, es un fichero a la luz de la LOPD. En mi actividad vital, por lo general y en mi parte consciente, capto datos con alguna finalidad legítima. Asimismo, intento no hacer difusiones inconsentidas de datos tratados sin justificaciones razonables. Incluso en ocasiones contacto con los afectados para pedir su consentimiento para hacer una Cesión o difusión de datos a terceros.

No obstante, esta actitud vital en modo alguno cubría las desproporcionadas exigencias de la LOPD-RLOPD al respecto, al igual que sucede con la informacón cotidianamente tratada en nuestro correo electrónico, las redes sociales, los teléfonos móviles, portátiles, usb, etc...

Entre otros muchos requisitos faltaba algo esencial en el modelo burocratizado de protección de datos español: la inscripción del fichero. Así las cosas que tuve que ponerme a aprender cómo se inscribe un fichero, puesto que me temí que un gestor de los que lo hacen por 150 euros no lo haría bien.

No fue nada fácil la inscripción. Sorprendentemente no parece pensada para actividades cerebrales, pese a que -presuntamente- hay unas 45 millones en España.

2. La Agencia Española de Protección de Datos le asignó código de inscripción y su fichero pudo ser consultado en el Registro on-line durante un tiempo ¿Cuánto tardaron en ponerse en contacto con Usted para solicitarse una aclaración sobre el fichero inscrito?

Hice la inscripción electrónica con e-firma del mi fichero en abril de 2010 y recibí el justificante de la misma. Divulgué tal inscripción en una lista bastante famosa de protección de datos generada por Julián Valero y Manolo Salmerón en Murcia. Ahí están buena parte de los expertos en la materia e incluso algunos miembros de la AEPD. En verano hubo intentos de comunicación por la AEPD, que por estar fuera del domicilio no recibí efectivamente hasta otoño. Se me requería que "confirmase" el registro del fichero “a los efectos de la adopción de las medidas oportunas”.

3. ¿Cuál fue su respuesta?

Me acongojé por lo de las "medidas oportunas" si confirmaba el fichero inscrito. Dudé mucho de que el documento de seguridad cumpliese los requisitos. Asimismo, no me atrevía a viajar fuera de la Unión Europea para no tener que pedir permiso a la Agencia por una transferencia internacional de datos. Tenía miedo de tomar alguna copa para no hacer cesiones inconsentidas de datos. De igual modo, todos los domingos sacaba un tiempo me concentraba para hacer una copia de respaldo de la información (visualizaba un hemisferio cerebral y otro) e intentaba olvidar aquello que no cumpliera finalidad alguna. Esta práctica, cercana a postulados orientales era bastante saludable pero empezó a detraer tiempo familiar. Finalmente, al comentar a mi mujer el monto de sanciones que puede imponer la Agencia, me dijo que ya era bastante con habernos hipotecado para dos vidas con el banco.

4. En este tiempo, ¿ha recibido alguna petición de ejercicio de derechos: (por ejemplo, solicitud de cancelación de una antigua novia o de algún alumno que haya suspendido)?

Afortunadamente llevo 17 años con mi novia, luego mujer, por lo que no tengo práctica memoria consciente de antiguas novias. De otra parte, la universidad nunca olvida a sus alumnos, puesto que expide titulaciones de por vida.

Lo que sí que he tenido son solicitudes en sentido contrario, esto es: ¿qué no te acuerdas de xxxx? ¡ya te has olvidado de YYY¡

5. Entendemos que su actividad cerebral incluye datos de nivel alto ¿qué medidas de seguridad ha adoptado para protegerlos? ¿Realiza algún tipo de copia de seguridad?

En la inscripción del fichero me sentí fatal: casi todos los datos que manejaba eran sensibles y vinculados a medidas de seguridad alta (ideología, creencias, política, sexo, salud, valoración personal, etc.) Partí de la premisa de que las fugas de datos no serían físicas (puesto que juzgo suficiente la protección craneal), sino por actitudes personales.

Llegué a aprenderme el documento de seguridad para meditar si lo implementaba bien o podía mejorarlo. Era muy aburrido. De otra parte, aún tenía dos años por delante para pensar en la consultoría externa. Sin embargo, las copias de seguridad externas tenían graves dificultades para hacerse más allá de la agenda del móvil y las fotografías y vídeos de la cámara de fotos. Fue un motivo más para aprovechar la ocasión brindada por la AEPD y no "confirmar" el fichero de mi actividad cerebral.

No obstante, aún no sé por qué motivo tanto éste como otros tantos millones de ficheros no deberían ajustarse a la normativa española. Bueno sí, afortunadamente hay otros derechos y libertades en juego y hay que evitar un desbordamiento de este derecho hipertrofiado

Lorenzo COTINO realiza una importante tarea de difusión del derecho de las Tecnologías de la Información y las Comunicaciones a través de RED DERECHO TIC. Puede seguirle en twitter (@cotino y @redderechotics), así como visitar su página personal www.cotino.net.

miércoles, 9 de febrero de 2011

LOPD for Dummies: ¿El consentimiento para tratar datos médicos debe recogerse siempre por escrito?

Es difícil responder a esta pregunta cuando quien te la plantea no tiene formación jurídica, o teniéndola, aprobó derecho civil en sexta convocatoria. Yo voy a intentarlo, a pesar de mi delicado estado de salud. Lo hago por Ustedes.

El art. 7 de la LOPD prevé dos tipos de consentimiento reforzados para el caso de los datos especialmente protegidos.

Por una parte el art.7.2 habla de consentimiento expreso y por escrito:

"2. Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado."

Por otra, el art. 7.3 exige consentimiento expreso (no necesariamente por escrito):

"3. Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente."

¿En alguna parte ven Ustedes que el legislador diga que si uno va al médico éste le debe presentar un papelito con cláusula LOPD para que lo firme? Pues yo, tampoco.

Les diré más. No sólo, con la LOPD en la mano, se pueden tratar datos de salud sin tener prueba escrita de que el paciente ha consentido. Se permite incluso (¡Oh, blasfemia!) que, en determinados casos, personal sanitario trate datos de salud sin consentimiento de ningún tipo. El art. 7.6 dice:

"6. No obstante lo dispuesto en los apartados anteriores, podrán ser objeto de tratamiento los datos de carácter personal a que se refieren los apartados 2 y 3 de este artículo, cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto.

También podrán ser objeto de tratamiento los datos a que se refiere el párrafo anterior cuando el tratamiento sea necesario para salvaguardar el interés vital del afectado o de otra persona, en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar su consentimiento."

Y con esto, amiguitos, les dejo hasta el post que viene. ¡Cuánto listo hay por el mundo!

miércoles, 2 de febrero de 2011

Varios

Sí, queridos lectores: La II Reunión de Amigos de la LOPD fue todo un éxito. Mientras yo comía una estupenda tarta de zanahoria (por favor, no interpreten esto en términos freudianos), los asistentes discutieron de gestión del papel, bombas lógicas, falta de interés de las Administraciones Públicas en el cumplimiento de la LOPD y obligaciones del representante legal (esa figura que la Agencia se ha sacado de la manga para abrirle procedimientos de tutela a Google Spain).

Nos retiramos pronto porque todos los miembros del club hacemos nuestra la máxima flaubertiana de pensar como dioses y vivir como burgueses.

Por supuesto, se echó de menos a Don Paco (¡qué bien hice al destituirle de todos sus cargos1) y a Don José Ignacio, cuyos nombres he apuntado en mi cuadernillo negro de agravios.

Pasando a otros asuntos, les he seleccionado algunas lecturas de interés:

1º. El nuevo número de la revista "Datos Personales", publicada por la Agencia de Protección de Datos de la Comunidad de Madrid.

2º. La sentencia de moda de la que todo el mundo habla: El Supremo se pronuncia sobre un caso de videovigilancia que no tiene que ver con la LOPD, sino con el derecho a la intimidad. La cámara había sido instalada por un particular, por lo tanto, quedaba fuera del negociado de Monsieur le Directeur....No les cuento más, pueden leer el texto completo aquí, por cortesía de ABC.

3º. Otra sentencia de la que ya no se habla, pero que vuelve a estar en el candelero: el caso "rojadirecta". Mientras en España no se pudo cerrar la web, en Estados Unidos sí. Lea aquí la sentencia española.

Buenas noches.