lunes, 14 de noviembre de 2011

Lecturas recomendadas

En el Informe Jurídico 427/2010, la Agencia Española de Protección de Datos nos ofrece un análisis muy completo del concepto de dato de carácter personal. Resulta de especial interés porque repasa y resumen los informes previamente emitidos sobre el particular, así como la Jurisprudencia de la Audiencia Nacional. Por supuesto, también cita el Dictamen 4/2007 del Grupo de Trabajo del art. 29, del que ya les he hablado en diversas ocasiones, y cuya lectura no me canso de recomendarles.
El informe de la Agencia, desde luego, es más breve y concreto que el Dictamen del GT 29. Deben tenerlo a mano por si se topan con un “enterao lopedé” de esos que dicen cosas como “voy a sustituir el nombre por el DNI en esta tabla para anonimizarla y dejarla fuera de la Lopedé”, o el clásico “si en este Excel no hay nombres ni apellidos, sólo el domicilio, que no se sabe de quién es”.
Algunas perlas que podrán citar en casos similares:

“De las definiciones transcritas se desprende que el legislador comunitario y el español han venido a establecer un concepto amplio de datos de carácter personal, de forma que es posible que determinadas informaciones que de forma directa no identifican a un interesado puedan ser consideradas datos de carácter personal, cuando dicha identificación es posible sin suponer la misma un tiempo o esfuerzo desproporcionados. Dicho de otro modo, el hecho de que el interesado no aparezca identificado en un fichero por su nombre y apellidos no supone que dicho fichero no contenga datos de carácter personal cuando dicha identificación puede o podría tener lugar con posterioridad a la recogida de tales datos. En este sentido se pronuncia el Grupo de Autoridades de Protección de Datos creado por el artículo 29 de la mencionada Directiva en su Dictamen 4/2007 sobre el concepto de datos personales, adoptado el 20 de junio de 2007.”

“(…) la Audiencia Nacional ha venido entendiendo que el tratamiento de los datos limitados al número de identificación fiscal o del documento nacional de identidad de un individuo, por sí solo, implica el tratamiento de datos de carácter personal.”

“Del mismo modo, en informe de 8 de febrero de 2007 esta Agencia consideró que el tratamiento limitado al número de matrícula de los vehículos que llevaba a cabo un aparcamiento se encontraba sometido a la Ley Orgánica 15/1999, aún no constando la identificación del titular (…)”

“El dictamen 4/2007 del Grupo de Trabajo creado por el artículo 29 (…) recuerda “los comentarios a los artículos de la propuesta modificada de la Comisión, en donde se afirma que «una persona puede ser identificada directamente por su nombre y apellidos o indirectamente por un número de teléfono, la matrícula de un coche, un número de seguridad social, un número de pasaporte o por una combinación de criterios significativos (edad, empleo, domicilio, etc.),que haga posible su identificación al estrecharse el grupo al que pertenece.»”.

Tras incluir ejemplos como los que acaban de reproducirse dentro del concepto de datos personales, recuerda el dictamen igualmente que “cuando hablamos de «indirectamente» identificadas o identificables, nos estamos refiriendo en general al fenómeno de las «combinaciones únicas», sean éstas pequeñas o grandes. En los casos en que, a primera vista, los identificadores disponibles no permiten singularizar a una persona determinada, ésta aún puede ser «identificable», porque esa información combinada con otros datos (tanto si el responsable de su tratamiento tiene conocimiento de ellos como si no) permitirá distinguir a esa persona de otras”.

Pues bien, teniendo en cuenta lo que acaba de señalarse, debe a nuestro juicio concluirse que el tratamiento conjunto de una dirección postal, que deberá además ser completa a fin de poder satisfacer el pedido solicitado, con el número telefónico desde el que se realiza el pedido, que podrá ser fijo o móvil, permitirá obtener información sobre la persona con la que, en principio se corresponden dichos datos, sin que ello conlleve la realización de esfuerzos desproporcionados.”

Otros informes jurídicos de obligada referencia en casos similares, que pueden servirle de ayuda para lidiar con “enteraos lopedé” son:

El informe jurídico 334/2008, donde ya la AEPD había dejado claro que los listados con DNI y NIF no se pueden considerar “anonimizados”.

El informe jurídico que aclara que la excepción de la persona de contacto del art. 2.2 del RLOPD no puede aplicarse a contratos y otros documentos en los que figuran DNIs o NIFs de personas físicas, aunque actúen en representación de empresas.

Por último, si no sólo ha llegado hasta aquí sin entrar en estado comatoso (lo cual ya es un mérito), sino que además conserva plenas sus facultades mentales, hasta el punto de que la lectura de este post le ha traído a la mente aquella sentencia de la Audiencia Nacional que supuestamente decía que los números de teléfono móvil no eran datos de carácter personal, por favor, sírvase revisar lo que escribí en su momento al respecto (después de leerme la sentencia, claro, no como otros).

5 comentarios:

gihsoft dijo...

a mi vuestros comentarios nunca me parecen soporíferos, otra cosa es que mi cerebro se pierda entre tantos vericuetos legales y contradicciones. Como siempre, leerle es una fuente inagotable de sabiduría.

David González Calleja dijo...

Hola, tengo comentario para todo, oiga.

- Respecto a lo de las matrículas en los aparcamientos:

¿En cuántos de ellos cumplen con el principio de información? Yo sólo conozco uno, pero porque es cliente ;)

- Respecto a la combinación teléfono-dirección completa: ¿cuántas pizzerías y similares cumplen con el principio de información? Yo no conozco ninguna.

- Respecto a lo de los contratos: si los contratos están en papel y no es posible localizar a los titulares de esos datos ¿se aplica la LOPD?

Un post estupendérrimo :)

Un saludo.

Ad Edictum dijo...

Buenas.

Gracias por sus comentarios.

Es cierto que hay muchas empresas que no cumplen la LOPD. Gracias a Dios: De eso vivimos (o malvivimos, en mi caso).

Desde que hice los cursos de cocina de "EL Alambique" ya no pido comida a domicilio. Pero vamos, por lo que recuerdo, las pizzerias deberían informar cuando toman nota de la dirección y del teléfono. Además, generalmente, piden un nombre y guardan los datos por si vuelves a hacer un pedido.

Pero vamos, tampoco me informan en el super, donde mi sacan mi dirección y mi nombre con el número de teléfono fijo, cada vez que encargo un pedido para llevar a domicilio.

Sólo puedo decir una cosa: ¡Inspección de oficio ya!

Los contratos que estén en papel pueden o no pueden quedar sometidos a la normativa de protección de datos dependiendo de cómo se archiven. Lo malo es que, además de archivarse en papel, cada vez con más frecuencia se escanean y se pican datos en aplicaciones de gestión.

Respecto al tema de los tratamientos manuales, tengo pendientes comentarles otro informe jurídico.

Osete dijo...

Me gusta su estilo, ¿lo sabía no?

Ad Edictum dijo...

Gracias: Espero que no se pierda la Gran Cena de Navidad de Amigos de la Lopedé. Ya tienen el menú.