martes, 27 de septiembre de 2011

La Lista Robinson, otra vez

La Agencia lleva un par de años diciendo, por boca del Señor Adjunto a la Dirección, que va a sancionar a aquellas empresas que no consulten la lista Robinson de la FECEMD antes de hacer sus envíos publicitarios. (Sí, ya sé que ahora se llaman ADigital, pero estoy muy mayor para que me cambien los nombres...Cada vez entiendo mejor a aquel insigne autor que, cuando se aprobó la LOPD, publicó un manual titulado "La nueva LORTAD").

De la noche a la mañana, y basándose en lo dispuesto en el art. 49 del RLOPD, el servicio de lista Robinson que la FECEMD venía prestando desde hace aproximadamente 15 años, y cuya consulta era voluntaria para las empresas dedicadas a la publicidad directa, se convirtió en un fichero de exclusión obligatoria por obra y gracia de la AEPD.

Aquellas empresas que pretendan realizar publicidad por cualquier medio deberán contrastar sus bases de datos con la lista Robinson de esta asociación privada, en los términos establecidos en su reglamento de funcionamiento. Por cierto, este reglamento, aunque elaborado en colaboración de la Agencia, no es una norma jurídica, sino una instrucción privada, en base a la cual no se debería imponer ninguna sanción administrativa.

Tal y como indica su art. 1 “los anunciantes, los responsables de ficheros y las entidades prestadoras de servicios de tratamiento de datos que de acuerdo con el contrato de prestación del servicio de Lista Robinson puedan consultar la información contenida en el fichero de Lista Robinson”, deberán contrastar sus bases de datos con la Lista Robinson:

1º. Cuando envíen publicidad a personas que no sean sus clientes (por ejemplo, utilizando datos comprados a terceros u obtenidos de fuentes accesibles al público) por los siguientes canales:
- Correo postal
- Correo electrónico
- SMS
- MMS
- Teléfono

2º. Cuando envíen publicidad de terceros a sus propios clientes por los siguientes canales:
- Correo postal
- Correo electrónico
- SMS
- MMS
- Teléfono

3º. Cuando realicen publicidad telefónica en nombre propio a sus propios clientes.

En fin, qué más añadir. Esto ya se lo expliqué en su momento aquí y aquí. Si quieren ver una presentación del servicio de Lista Robinson, consulten este vídeo.

El mayor peligro de esta lista no es que sea fácil conseguirla y se deje a disposición de cualquiera innumerables datos personales a los que enviar SPAM (¿qué productos esperan vender enviando ofertas a alguien reacio a recibirlas? Sería como comprar una base de datos de celiacos para vender productos con glutem). Me parece mucho más grave la inseguridad jurídica que genera una cacicada de este calibre.

domingo, 25 de septiembre de 2011

Facebook y el secreto profesional

Si en nuestro país no hay demasiadas sentencias (hasta la fecha) en las que se discuta la legalidad del uso de las redes sociales que hacen trabajadores o particulares y que afectan al derecho de terceros, los tribunales franceses nos están regalando una resolución tras otra sobre este particular.

La sentencia que les voy a comentar hoy se remonta a hechos que ocurrieron en la noche del 7 de diciembre de 2008. Una persona fue agredida en un autobús de París. Las cámaras de videovigilancia captaron la escena, lo que permitió identificar al agresor, juzgarle y condenarle.

El asunto se habría quedado aquí si no hubiera sido porque un policía, que tuvo acceso a las imágenes grabadas en su puesto de trabajo, las copio en un USB y las colgó en su perfil de Facebook.

En ese momento, tenía 109 amigos, lo que no está mal para un joven de 27 años. Alguno de ellos, probablemente, lo distribuyó fuera de la red social. En cuestión de horas, el vídeo pasó a Youtube, a  Dailymotion y a un sitio relacionado con el Front National. Tuvo una difusión considerable, y como es lógico, distintos medios de comunicación (como por ejemplo el periódico gratuito "20 minutes", equivalente al que existe en España, y que, como aquí,  se reparte sobre todo en transportes públicos) investigaron su origen hasta dar con la cuenta de Facebook del policía.

La víctima presentó una denuncia contra él, que explicó que había tenido acceso a las imágenes en un ordenador de la sala de redacción de la comisaría de la Estación de Lyon, y que desconocía que dichas imágenes tuvieran un carácter reservado.

El Tribunal consideró que un funcionario encargado del mantenimiento de la seguridad de los transportes públicos no puede alegar tal desconocimiento, y condenó al autor de los hechos al pago de 3.500 euros a la víctima, y a dos meses de prisión con prórroga.

En España, esta conducta podría ser constitutiva de un delito de descubrimiento y revelación de secretos por autoridad o funcionario público, previsto en el art. 198 del Código Penal.

Independientemente de ello, la víctima tendría a su disposición el ejercicio acciones civiles en defensa de su derecho al honor (lo que le permitiría obtener una indemnización económica) y la posibilidad de presentar denuncia ante la Agencia Española de Protección de Datos. En este último caso, creo que se debería presentar no ante el policía, sino ante la Comisaría en la que recaía el deber de adoptar medidas de seguridad en relación a los ficheros de los que es responsable. No obstante, existen precedentes, que ya les comenté en otra ocasión, en los que la AEPD ha sancionado a particulares por difusión de vídeos en la red. La justificación para sancionar en estos casos es que el número de receptores de las imágenes hace que no se pueda alegar la excepción de tratamiento doméstico.

Pueden consultar la Senetencia de 6 de septiembre de 2011, del Tribunal de Grande Instance de Paris (17ème chambre Jugement) aquí.

jueves, 22 de septiembre de 2011

LOPD for Dummies: Cesiones de datos relativos a la salud

No sé por qué algunos profesionales de la privacidad se empeñan en amparar las cesiones de datos relativos a la salud en las excepciones al consentimiento del art. 11.2 de la LOPD, cuando la AEPD ha explicado claramente que esto no es de recibo.


"Debe señalarse aquí que la Agencia Española de Protección de Datos ha puesto reiteradamente de manifiesto que la aplicación del artículo 7.3 implica, por mor del principio de especialidad, la imposible aplicación a los datos referidos en el mismo de cualquiera de las causas legitimadoras de cesión inconsentida previstas en el artículo 11.2 de la Ley Orgánica, quedando limitados los supuestos habilitantes del tratamiento y cesión de estos datos a los establecidos en la norma especial o a aquéllos en los que la norma general se refiere expresamente a tales datos (como sucede en relación con los datos de salud en el artículo 11.2 f) de la Ley Orgánica 15/1999, esto es, cuando sea necesario para solucionar una urgencia o realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica).

En este sentido, la norma especial viene constituida por la Ley 41/2002, de 14 de noviembre, básica reguladora de la Autonomía del Paciente y de Derechos y Obligaciones en materia de Información y Documentación Clínica, cuyo artículo 16 limita los supuestos de cesión de datos de la historia clínica a terceros ajenos a la asistencia sanitaria a dos supuestos y en los siguientes términos:

“3. El acceso a la historia clínica con fines judiciales, epidemiológicos, de salud pública, de investigación o de docencia, se rige por lo dispuesto en la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, y en la Ley 14/1986, General de Sanidad, y demás normas de aplicación en cada caso. El acceso a la historia clínica con estos fines obliga a reservar los datos de identificación personal del paciente, separados de los de carácter clínico-asistencial, de manera que como regla general quede asegurado el anonimato, salvo que el propio paciente haya dado su consentimiento para no separarlos. Se exceptúan los supuestos de investigación de la autoridad judicial en los que se considere imprescindible la unificación de los datos identificativos con los clínicoasistenciales, en los cuales se estará a lo que dispongan los jueces y tribunales en el proceso correspondiente. El acceso a los datos y documentos de la historia clínica queda limitado estrictamente a los fines específicos de cada caso”.

“5. El personal sanitario debidamente acreditado que ejerza funciones de inspección, evaluación, acreditación y planificación, tiene acceso a las historias clínicas en el cumplimiento de sus funciones de comprobación de la calidad de la asistencia, el respeto de los derechos del paciente o cualquier otra obligación del centro en relación con los pacientes y usuarios o la propia Administración sanitaria”.

Poco más se puede añadir. No obstante, si siguen sin creérselo, consulten el Informe Jurídico 130/2008, sobre tratamiento de datos en supuestos de interrupción voluntaria del embarazo.

Como ven, no basta con saber leer para interpretar una norma jurídica. ¡Ay, más de uno debería dedicarse a escribir editoriales en “Soy Pilarista ”!

domingo, 18 de septiembre de 2011

Qué leer (un domingo por la mañana)

Para que no se aburran, aquí les dejo una selección de links:

- Tras leer esta noticia, sobre la contra-campaña que Israel ha organizado en redes sociales para frenar la propaganda palestina en la ONU, se me ha ocurrido buscar más información sobre propaganda política en Internet. He dado con un interesantísimos trabajo que analiza el caso chechenio, escrito por Miguel VÁZQUE LIÑÁN.

- Por otro lado, Google ha conseguido el premio "Big Brother 2001", en la categoría de entidad privada, otorgado por Effi (Electronic Frontier Finland). Más información sobre los "BIG BROTHER AWARS 2011" aquí. No se pierdan el muñequito.
 
- El siguiente artículo les va a encantar: El hacker que robó las fotos de la Johansson encuentra nuevas víctimas. Y sepan que el link incluye la famosa foto de la susodicha sin pixelados.


Ahí se quedan, me voy al Retiro. Buenos días.

sábado, 17 de septiembre de 2011

LOPD for Dummies: Responsable del Fichero y Responsable del Tratamiento

Esta vez, el título no tiene ninguna errata. Han leído bien: "Responsable del Tratamiento", no "Encargado del Tratamiento". Recuerden que el artículo 3 de la LOPD, dedicado a deficiones, indica lo siguiente en su apartado d):

Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.

A lo largo de su articulado, la ley utiliza indistintamente ambos términos ("Responsable del Fichero" y "Responsable del Tratamiento" como sinónimos). Sin embargo, desde hace ya bastantes años, la Agencia descubrió que la figura del responsable del tratamiento podría ser de utilidad para evitar que algunas empresas se fueran de rositas siendo las beneficiarias de las campañas de márketing.

La verdad, me sorprende comprobar que algunos profesionales de la privacidad desconozcan este aspecto tan básico, por eso he decidido tratarlo en un post de la sección más popular de este blog, "LOPD for Dummies".

Ya en tiempos de la LORTAD, se daba el caso de que algunas empresas intentaban obviar toda responsabilidad en el tratamiento de datos contratando campañas publicitarias con otra sociedad que utilizara sus propios ficheros, es decir, ficheros de elaboración propia o comprados a un tercero, que había inscrito a su nombre en el Registro General de Protección de Datos. La primera empresa, la beneficiaria de la publicidad, no tenía ninguna capacidad de decisión sobre las bases de datos utilizadas en la campaña, ni accedía en ningún momento a la misma. Su defensa era que no podía ser considerada Responsable del Fichero, que no tenía nada que ver con él: El Responsable del Fichero, a todos los efectos, era la empresa contratada, que podría seguir utilizándolo en campañas para otras entidades.

La AEPD, sin embargo, sancionaba a todos los intervinientes en la campaña, alegando que, aunque la beneficiaria de la publicidad no fuera Responsable del Fichero, sí lo era del tratamiento en el que se había producido infracción de la ley. Estas resoluciones de la Agencia se recurrieron, y no sólo la Audiencia Nacional, sino también el Tribunal Supremo, avalan esta interpretación de la ley. Lean como muestra lo que dice Sentencia del TS de 05 de junio de 2004, una de las pocas que la AEPD ha colgado en su web:

“Se desprende asimismo de los repetidos apartados del art. 3, como ya se ha manifestado, la diferenciación de dos responsables en función de que el poder de decisión vaya dirigido al fichero o al propio tratamiento de datos. Así, el responsable del fichero es quien decide la creación del fichero y su aplicación, y también su finalidad, contenido y uso, es decir, quien tiene capacidad de decisión sobre la totalidad de los datos registrados en dicho fichero. El responsable del tratamiento, sin embargo, es el sujeto al que cabe imputar las decisiones sobre las concretas actividades de un determinado tratamiento de datos, esto es, sobre una aplicación específica. Se trataría de todos aquellos supuestos en los que el poder de decisión debe diferenciarse de la realización material de la actividad que integra el tratamiento.”

En otras palabras, y más simple, que el al fin y al cabo, estamos en un post para "dummies": Se ha trasladado al ámbito de la protección de datos aquello de "Prohibido fijar carteles. Responsable: La empresa anunciadora".

Como podrán deducir si han llegado hasta aquí en su lectura, el art. 46 del RLOPD trae causa en esta interpretación de la ley. En él, se fijan criterios para la asignación de responsabilidades a empresas encomiendan a terceros la realización de campañas publicitarias utilizando bases de datos que el beneficiario de la publicidad no ve ni en pintura. Fíjense que en todo momento, se habla de "Responsable del Tratamiento".

Si otro día me acuerdo, les explicará como redactar adecuadamente un contrato de prestación de este tipo de servicios para no pillarse los dedos. Por el momento, hoy lo dejamos aquí. Buenos días.

miércoles, 14 de septiembre de 2011

Lo público y lo privado

Como comentábamos hace unos días, en las redes sociales se mezcla lo profesional y lo personal, lo público y lo privado. Permiten una comunicación tan directa con el cliente, con el consumidor, con el colega o con compañero de trabajo, que estos límites se difuminan. 

Lo vemos claramente en la manera en la que está evolucionando la publicidad en Twitter o en Facebook. Ya no se busca "vender" las bondades de un producto lanzando consignas o frases ingeniosas. Ahora se quiere que el comprador participe, comente el producto, lo recomiende. La empresa facilita contenidos de interés relacionados con sus servicios, aporta valores añadidos no simple propaganda. El seguidor o fan no recibe este mensaje cruzado de brazos, puede interactuar con otra persona detrás de un logo o una marca (y es eso, precisamente lo que se fomenta, lo permite obtener buenos resultados). Se trata de una publicidad "conversacional".

Este punto enlaza con la serie que estoy escribiendo sobre comunicaciones comerciales ¿Resulta conveniente aplicar al nuevo concepto de publicidad que estamos viendo en las redes sociales las regulaciones contra el SPAM que prevé nuestra LSSICE? Las normas no siempre se interpretan en su sentido literal. Más importante que esto resulta atender al contexto en el que se redactaron y al que se pretenden aplicar para evitar resultados absurdos.

En fin, ya continuaré profudizando en esta idea en otra entrada. No quiero terminar ésta sin comentarles otra sentencia de un tribunal francés que me ha resultado muy curiosa. En ella, se marcan límites al "derecho al pataleo" en la red.

Verán lo que pasó: Un señor contrató con una empresa la construcción de su casa. El edificio le fue entregado con ciertos vicios cuya reparación o coste no pudo conseguir que la constructora asumiera, ya que entró en concurso de acreedores poco después. El propietario descubrió que los socios de la entidad quebrada habían creado otra sociedad nueva con el mismo objeto social. Muy enfadado por lo que consideraba una estafa, comenzó a contar su caso en foros y blogs de Internet (entre otras cosas, creó bitácoras con la denominación de las dos sociedades).

El TGI de Montpellier dictó una sentencia el pasado 7 de julio en la que, a pesar de que reconce el derecho a la libertad de expresión, impone como límites a éste la moderación y la prudencia. Tras leer los comentarios estractados en el texto de la resolución, debo confesar que no me parecen nada excesivos. El Tribunal podría haber fallado igualmente a favor del demandado puesto que resulta complicado dar contenido a conceptos como "moderación" o "prudencia" cuando se está opinando sobre temas que afectan a uno personalmente.

En España, este tipo de conductas podrían ser objeto de acciones civiles o penales (dependiendo de los comentarios) de defensa del derecho al honor de la sociedad afectada. Todavía no tenemos ninguna resolución al respecto.

Con esto, les dejo hasta mañana. Me voy a ver "El fantasma y la Señora Muir". Buenas noches.

lunes, 12 de septiembre de 2011

Adelanto de la próxima Jornada sobre Redes Sociales

En primicia, sólo para lectores de Ad Edictum, les adelanto parte del contenido de la próxima jornada que organizaremos sobre redes sociales.

Uno de los casos que analizaremos es el de la sociedad francesa Zlio, condenada por los comentarios despectivos hacia un cliente que uno de sus directivos realizó a través de una cuenta personal de twitter. Se trata, como habrán podido imaginar, de una sentencia de los tribunales galos, pero las conclusiones del juez que conoce del asunto resultan de gran interés.

La historia comienza de una forma que a muchos de Ustedes, aquellos que asesoren empresas dedicadas a desarrollos informáticos, les resultará familiar.

En 2007, Zlio, empresa especializada en la creación de tiendas on-line, contactó la sociedad Référencement.com, experta en posicionamiento en Internet. Se firmó un contrato de prestación de servicios de optimización SEO, en el que se acordaba un precio de 35.000 €.

Zlio, cumpliendo lo previsto en el acuerdo, pagó la mitad de dicha cantidad con carácter previo al inicio de los servicios. Sin embargo, se negó a hacer efectivo el resto del precio, al considerar que no se habían cumplido los resultados previstos en el contrato.

Antes de que el asunto llegara a los tribunales, Jérémie Berrebi, el creador de Zlio, que además es un blogger y una figura de cierta relevancia entre los internautas franceses, se desquitó con los servicios de Référencement.com a través de su cuenta de twitter.

Référencement.com presentó una demanda contra Zlio en la que, además de reclamar la cantidad adeudada con intereses, acusó a esta última sociedad de haber iniciado una campaña en Internet para denigrar su imagen, prevaliéndose de la reputación en los medios sociales de Jérémie Berrebi.

Berrebi, es cierto, había realizado comentarios despectivos sobre Référencement.com, pero se alegó que se trataba de opiniones personales, realizadas en perfiles privados, no corporativos, que no podían atribuirse a Zlio.

El Tribunal falló a favor de la demandante en todas sus peticiones. Zlio no sólo tendrá que pagar la cantidad requerida en concepto de pago de servicios e intereses, sino que se verá obogada a:

- Retirar todos los cometarios denigratorios realizados por Barrebi (que recordemos fueron hechos en perfiles personales).
- Costear la publicación de la sentencia en tres periódicos, a elección de Référencement.com.
- Publicar la sentencia, igualmente, en aquellos medios en los que se realizaron comentarios despectivos de la demandante.

Moraleja: Las redes sociales, aunque lo parezcan, no son tertulias de café. Si Ustedes ocupan puestos de responsabilidad en una empresa, piensen dos veces las consecuencias de cada frase antes de pulsar el botón de "Tweet", y eviten temas polémicos que probablemente acabarán en los tribunales. En este caso, unos comentarios desafortunados complicaron una demanda de reclamación de cantidad que podría haberse resuelto de forma menos gravosa para la empresa finalmente condenada si Barrebi se hubiera ahorrado su opinión en Twitter.

Para más información sobre este asunto, les recomiendo la noticia publicada por Le Nouvel Observateur al respecto y el texto completo de la resolución completa en Legalis.

Buenas noches.

martes, 6 de septiembre de 2011

¿Un nuevo concepto de intimidad?

¿Queda alguien a estas alturas que no haya visto el vídeo de los turistas belgas que mantienen relaciones sexuales en el torreón del Castillo de Olite? Sí, yo pienso lo mismo. No se trata un lugar que anime a la concupiscencia (es como planear una despedida de soltero en la hospedería del Monasterio de Santo Domingo Silos), pero allá cada cuál con sus fantasías.

Ilse Uyttersprot, alcaldesa de una localidad de 80.000 habitantes, no ha tenido reparos en reconocer en su cuenta de twitter que es ella la mujer que aparece en las imágenes. Se ha justificado diciendo que se trata de "una escena privada". ¡Hombre, hombre! Según parece, al entender de la Señora Uyttersprot, lo que convierte en privado un acto es el contenido del mismo, no el lugar en el que se desarrolle.

Probablemente, Ustedes no compartan esta opinión, y razonen que un aspecto esencial para determinar que una escena pertenece al ámbito íntimo de una persona es si sucede o no en un lugar público, a la vista de todos.

Llama la atención que la mayor parte de las personas no aplican el mismo criterio en Internet. Muchos optan por el concepto de intimidad de la Señora Uyttersprot cuando se trata del ciberespacio: exigen respeto a su privacidad cuando son ellos mismos los que ponen su información (fotografía, conversaciones, etc...) al alcance de todos.

Con esta reflexión les dejo hasta mañana. Lo sé, no está a mi altura, pero llevo una semanas horribles discutiendo con el "Batasuni", mi profesor de la autoescuela. El post de mañana será infinitamente superior.

Por cierto, he aprobado el examen.

lunes, 5 de septiembre de 2011

La Rentrée

Tras un mes sin publicar entradas, debo confesar que no me acuerdo de qué va eso de la protección de datos. No obstante, como me encanta el olor a napalm por las mañanas, lo primero que he hecho hoy al levantarme es entrar en la página de la AEPD. Veamos cómo lo está haciendo Monsieur le Directeur (Don José Luis).

La primera lectura que les recomiendo esta temporada es la de un procedimiento de tutela referido a la solicitud de acceso a grabaciones de videovigilancia.

Se trata de un caso bastante frecuente en las grandes empresas, donde un número importante de ejercicios de derechos ARCO provienen de los propios empleados. En la resolución comentada, un trabajador de Correos y Telégrafos al que se ha abierto un procedimiento disciplinario trata de acceder a determinadas grabaciones de videovigilancia necesarias para su defensa. Ante la falta de respuesta de la entidad, en fecha posterior, solicita el acceso a las mismas. En esta ocasión, Correos y Telégrafos responde que las grabaciones habían sido canceladas.

El trabajador presenta un escrito solicitando la tutela de la Agencia, que desestima la misma. Monsieur le Directeur argumenta lo siguiente:

"Al examinar la reclamación presentada por el reclamante se comprueba que, en la solicitud de fecha 5 de noviembre de 2009 no solicita el acceso a las grabaciones del día 24 de octubre de 2009, lo que solicita es que se incorporen dichas grabaciones a un procedimiento motivado por un incidente.

Por otra parte ha quedado acreditado que, con fecha 20 de noviembre de 2009, el reclamante solicitó el acceso a sus imágenes del 24/10/2009 en la franja horaria de las 2:00 a las 4:00 horas, y que, dentro del plazo establecido conforme a las normas antes señaladas, su solicitud obtuvo la respuesta legalmente exigible.

Por todo ello procede desestimar la reclamación que originó el presente procedimiento de tutela de derechos."

Esta resolución me parece interesante por dos motivos. En primer lugar, nos enseña que cuando el interesado no solicita un derecho ARCO (es decir, no pide el acceso o que se cancelen un dato concreto, etc...), no tenemos ni que atender ni que responder su solicitud por más que se empeñe en aderezar su escrito con artículos de la LOPD y su reglamento de desarrollo. En segundo lugar, la resolución incide en algo que ya venimos comentando en este blog: No cabe el derecho de acceso en relación a datos que ya han sido cancelados.

Con esto les dejo por hoy, que me tengo que marchar a hacer el exámen práctico del carnet de conducir.