sábado, 30 de noviembre de 2013

¿Pueden los paparazzi hacer fotos en las terrazas de los hoteles?

Entre las últimas sentencias del Tribunal Constitucional publicadas en el BOE, se encuentra ésta. Se refiere a un asunto bastante antiguo, de principios del 2004: La publicación de las imágenes que confirmaban la relación de Francisco Álvarez-Cascos con María Porto. Por entonces, Álvarez-Cascos, Ministro del Gobierno de Aznar, acababa de separase de su segunda y jovencísima mujer, con la que ya había protagonizado una boda por todo lo alto, tras separarse de su primera legítima. La agitada vida sentimental de Cascos era objeto de cierta chanza, incluso entre sus compañeros de partido (alguno llegó a calificarlo de “monógamo sucesivo”).

En este contexto, Crónicas Marcianas (y si se acuerdan de este programa, quizás deberían ir pensando en un Plan de Pensiones) destapó que Álvarez- Cascos y tenía una nueva pareja y ambos habían pasado las vacaciones de Navidad en un hotel de Lanzarote junto a sus hijos. Javier Sardá y Boris Izaguirre comentaron las fotografías tomadas por los paparazzi e hicieron los chistes de rigor.

Cascos y María Porto (ahora su actual legítima, porque efectivamente, el exministro es un “monógamo sucesivo”) presentaron demanda de juicio ordinario de protección de los derechos fundamentales a la intimidad personal y familiar, a la propia imagen y a la inviolabilidad del domicilio contra Javier Sardá Tamaro, Boris Rodolfo (sí, Rodolfo) Izaguirre Lobo, y contra las entidades Gestevisión Telecinco, S.A., y Gestmusic Endemol, S.A.

El Juzgado de Primera Instancia dio la razón a los demandantes, destacando que:

- Aunque Cascos es una persona pública, el hecho de que pase las vacaciones con su nueva pareja carece de interés general, sobre todo si el programa en el que se difunden las fotografías no está dedicado a facilitar información política.

- El espacio donde se tomaron las imágenes (terraza y jardín infantil del hotel) es un lugar “semi-público”. No puede ser equiparado al domicilio, pero sí se trata de un sitio apartado y alejado de miradas indiscretas. Adicionalmente, las fotografías se tomaron con una cámara oculta y sin consentimiento de los demandantes.

Se condenó a los demandados a la destrucción del material obtenido y al pago de 600 €.

Todas las partes recurrieron la Sentencia ante la Audiencia Provincial de Madrid, que se pronunció en términos similares a la primera instancia. Se volvió a recurrir ante el Supremo. Esta vez el Alto Tribunal dijo lo contrario a lo argumentado por las instancias inferiores. Lo crean o no, esto suele ser bastante frecuente en pleitos como el que nos ocupa. Así, para el Tribunal Supremo, debe primar la libertad de información sobre el derecho a la intimidad y a la propia imagen. En este supuesto, se trata de una persona de gran relevancia pública y las fotografías se tomaron en sitios públicos, pues esa condición tiene la terraza en la que se tomaron la mayor parte de las fotos.

En fin, Cascos y María Porto presentaron recurso de amparo ante el Tribunal Constitucional, que vuelve a dar la razón a los recurrentes. El TC repite, como en otras ocasiones, que la actividad pública de un personaje no le priva de mantener un ámbito reservado para su intimidad, si así lo decide por propia voluntad. El TC considera que se ha vulnerado el derecho a la intimidad y a la propia imagen de Álvarez-Cascos y su señora, haciendo especial hincapié en el método a través del cual se obtuvieron las imágenes y que impidió a los afectados conocer que estaban siendo fotografiados:

"A tal efecto es irrelevante el solo dato de que las imágenes fueran captadas en las dependencias de un establecimiento hotelero, pues ello no elimina la relevante circunstancia de que aquéllas fueron obtenidas clandestinamente por un reportero profesional de los especializados en este tipo de captación de imágenes (paparazzi), y sin que los recurrentes abrieran su ámbito reservado al público conocimiento.

Sobre este particular, y aplicando la doctrina que este Tribunal ha tenido ocasión de dictar recientemente a propósito del uso de dispositivos de captación de imagen y voz ocultos o clandestinos (STS 12/2012, de 30 de enero, FJ 6), el carácter oculto que caracteriza la actividad de los reporteros conocidos como paparazzi, impide que la persona que está siendo grabada pueda ejercer su legítimo poder de exclusión frente a dicha grabación, oponiéndose a su realización y posterior divulgación, pues el contexto secreto y clandestino se mantiene hasta el mismo momento de la emisión y difusión televisiva de lo grabado. “La ausencia de conocimiento y, por tanto, de consentimiento de la persona reproducida respecto a la intromisión en su vida privada es un factor decisivo en la necesaria ponderación de los derechos en conflicto … La finalidad frecuente de las grabaciones de imágenes y sonido obtenidas mediante la utilización de cámaras ocultas y teleobjetivos es su difusión no consentida en el medio televisivo cuya capacidad de incidencia en la expansión de lo publicado es muy superior al de la prensa escrita (en este sentido, la STEDH de 23 de septiembre de 1994, Jersild c. Dinamarca, § 31). No hay duda de que ello hace necesario reforzar la vigilancia en la protección de la vida privada para luchar contra los peligros derivados de un uso invasivo de las nuevas tecnologías de la comunicación, las cuales, entre otras cosas, facilitan la toma sistemática de imágenes sin que la persona afectada pueda percatarse de ello, así como su difusión a amplios segmentos del público, como subrayaba el Tribunal Europeo de Derechos Humanos en relación a un caso de captación fotográfica a cientos de metros de distancia (STEDH de 24 de junio de 2004, Von Hannover c. Alemania, §70)”."

Entonces, si es irrelevante el lugar en el que se toman las grabaciones, porque lo fundamental es que se toman con cámara oculta ¿se puede o no se pueden sacar fotografías en los espacios comunes de un hotel? Es algo que si Ustedes son aficionados a ver programas del corazón, se habrán preguntado más de una vez. En opinión del Tribunal Constitucional, en este caso, no. Si bien no puede extenderse el concepto de domicilios a las zonas comunes del hotel, y exigir la misma protección de que goza éste, en este supuesto concreto: “(…) Hay que rechazar que el carácter accesible al público de algunas dependencias del establecimiento hotelero tenga la capacidad de situar la actuación de los demandados extramuros del ámbito de protección del derecho a la intimidad, pues ante una faceta estrictamente reservada de su vida privada y no existiendo consentimiento expreso, válido y eficaz prestado por los titulares de los derechos afectados, se produce una intromisión ilegítima en sus derechos fundamentales a la intimidad.” El TC no se pronuncia de forma concluyente: Dependerá de la situación y del ámbito de su intimidad que una persona haya decidido compartir con otros. Mantener una doctrina clara sobre este particular sería ponernos las cosas demasiado fáciles.

Aquí lo dejo, que se me acaba la batería (¿no esperarán que me levante de la cama a por el cargador, con el frío que hace?). Si les ha gustado este post, den al botón de +1. Cada vez que alguien hace click en él, un Consultor LOPD recibe sus alas.

jueves, 28 de noviembre de 2013

La AEPD se pronuncia sobre las redes sociales (Vol. III)

Este es el tercer post de la serie dedicada a los informes jurídicos 184/2013 y 197/2013, en los que la AEPD resuelve consultas relacionadas con tratamiento de datos en redes sociales. Como veo que mis comentarios se van alargando, y Ustedes son personas importantes y ocupadas, voy a rematar la faena con siete conclusiones prácticas que podemos extraer de estos documentos:

1º. El propietario de la red social es responsable del fichero con respecto a los datos de los usuarios que crean perfiles en la misma. Entre otras obligaciones, deberá encargarse de informar a los afectados y obtener su consentimiento. A estos efectos, se considera apropiada la utilización de Políticas de Privacidad ubicadas en un lugar visible que el usuario deba aceptar antes de dar por finalizado el proceso de creación del perfil.

2º. Se debe ser especialmente cuidadoso a la hora recoger datos de menores, incluso en el caso de los mayores de 14 años, que pueden consentir por sí mismos, sin necesidad de la autorización de su padre o tutor. Advierte la AEPD:

“El interés superior del menor debe prevalecer, de manera que el derecho a la protección de datos puede tener que ceder ante dicho principio en el en caso de que existan intereses en conflicto. De esta forma, incluso en el caso de que el menor mayor de 14 años haya prestado su consentimiento para el tratamiento de su imagen si dicho tratamiento lesiona su derecho a la intimidad, honor y propia imagen, en aplicación del citado principio, entrará en juego la protección otorgada por la Leyes Orgánicas 1/1982 y 1/1998 frente a aquellas intromisiones que supongan una vulneración de dichos derechos."

3º. Los prestadores de servicios de redes sociales están obligados a adoptar medidas de seguridad apropiadas que impidan el acceso a los datos y contenidos publicados por los usuarios por terceros ajenos a sus seguidores o amigos autorizados. Se recomienda que, los perfiles que se creen aparezcan configurados por defecto de la forma más restrictiva y protectora de la privacidad del titular (por ejemplo, si el usuario no elige otra cosa, su perfil sólo podrá ser visitado por sus contactos y no se indexará en buscadores).

4º. Como buena práctica, los responsables de la red social deberían informar a los usuarios sobre los riesgos que conlleva poner información en línea en redes sociales, tanta para su intimidad como para la de otros, recordando que difundir videos o fotografías de personas sin su consentimiento puede infringir derechos de terceros.

5º. Los prestadores de servicios de redes sociales están obligados a cancelar los datos de aquellas personas que den de baja su perfil o los contenidos que los usuarios vayan suprimiendo de sus cuentas. Esta información se mantendrá bloqueada (inactiva o inaccesible) durante los plazos necesarios para depurar responsabilidades, de tal forma que los servicios técnicos de la plataforma puedan recuperarla y ponerla a disposición de las autoridades competentes si fuera necesario. Dado que la AEPD no indica cuáles son estos plazos, lo más adecuado es que cada entidad realice un estudio de las categorías de datos que trata y fije, con la colaboración de su departamento jurídico, los periódicos de conservación máximos. Recuérdenme que escriba un post a este respecto, ya que he preparado varias “Políticas de Conservación de Datos”.

6º. Las empresas y profesionales que abran perfiles en redes sociales son responsables del tratamiento (no del fichero) respecto a los datos de terceros usuarios con los que interactúan. A estos efectos, deben cumplir igualmente con los principios de información y consentimiento, aunque no estén obligados a registrar un fichero. ¡Y ojito porque esto mismo se aplica a los particulares que tienen un número desproporcionados de contactos o que dispongan de un perfil de libre acceso! En fin, aquellos que registraron como fichero su Fan Page en Facebook, deberían replantearse su posición a la luz de estos informes de la AEPD, como les contaba ayer.

7º. Las empresas que pretendan crear perfiles en una red social a sus propios empleados, o difundir datos de éstos a través de cuentas corporativas, deberán tener presente que la AEPD considera que “no podría entenderse válidamente prestado en el contexto de la relación laboral si su negativa a darlo, llevase aparejada algún tipo de consecuencia adversa o discriminatoria.” ¡Qué fuerte, eh!

Eso es todo. Si este post le ha resultado de interés, recomiéndoselo a sus amistades con los botoncitos que encontrará unas líneas más abajo.

miércoles, 27 de noviembre de 2013

La Agencia se pronuncia sobre las redes sociales (Vol. II)

Comenzamos el segundo post de la serie dedicada a la difícil relación de la Agepedé con las redes sociales. Si todavía no lo han hecho, pueden Ustedes leer la primera parte aquí. En el capítulo de hoy, les deleitaré con un sucinto comentario del Informe Jurídico 184/2013, que responde a la consulta planteada por el propietario de una red social que permitirá la creación de perfiles tanto a particulares como a empresas.

El documento comienza analizando las distintas responsabilidades que asumen en el tratamiento de los datos los intervinientes en la red social, esto es, el prestador de servicios de la red social y los usuarios que abren perfiles. Todos teníamos claro que el primero tiene la condición de responsable del fichero o tratamiento. Lo interesante del informe es lo que nos cuenta en relación a los titulares de los perfiles.

Como sin duda Ustedes sabrán, no en todo caso se puede aplicar la excepción de actividad doméstica para excluir del ámbito de aplicación de la LOPD la utilización de una red social por personas privadas. Esta excepción no opera si se tiene un número excesivo de contactos o no se utilizan opciones para evitar el acceso libre por parte de terceros (la Agepedé recuerda en este punto el caso de la Señora Lindqvist, esa mártir de la protección de datos a la que nadie reconoce el derecho al olvido). Tanto en estos supuestos, como en el caso de que el perfil se utilice por una empresa o profesional, quien haya creado el perfil deberá cumplir con la LOPD. Ahora bien, no lo hará en calidad de responsable del fichero, sino del tratamiento. Ojito a lo que dice el insigne Gabinete:

"Este sería la posición que ocuparán los profesionales o autónomos cuando utilicen la red social como tales para sus propios fines y no como particulares o, en su caso, los particulares cuando utilizan una red social en la forma señalada en el párrafo anterior. En lo que se refiere a las personas jurídicas, resulta plenamente aplicable la Ley Orgánica 15/1999.

Por consiguiente, todos ellos, en dicha calidad de responsable del tratamiento de datos, deberán asumir aquéllas obligaciones que la Ley Orgánica 15/1999 impone a éstos. Ahora bien, teniendo en cuenta que dicho tratamiento se efectúa en el marco de una determinada red social, en la que las reglas de funcionamiento son impuestas por el proveedor de la red, algunas de estas obligaciones podrán encontrarse limitadas a aquéllos aspectos en los que el consultante tiene libertad para actuar."

Y por si quedaban dudas:

"Si se pretendiera además recolectar datos adicionales contenidos en el perfil, por ejemplo, los relativos a gustos, aficiones, periodicidad de la utilización de los servicios del consultante o cualquier otro que pueda utilizarse con la finalidad de remitirle una publicidad personalizada, deberá informarse de la existencia de dicho tratamiento de datos y de la finalidad del mismo, a fin de que sea conocido y consentido por los interesados.

No obstante, la incorporación de los datos de quienes hayan consentido su tratamiento a los propios sistemas de los responsables distintos del proveedor del servicio de redes sociales exige el consentimiento de los afectados, en los términos señalados. Dicha incorporación, implicaría que el consultante adquiere además de la condición de responsable del tratamiento la de responsable del fichero, y en consecuencia, se encuentra obligado a notificar la creación del fichero para su inscripción en el Registro General de Protección de Datos, así como la plena adopción de las medidas de seguridad que, en función, de la naturaleza de los datos a tratar exigen los artículos 9 de la Ley Orgánica 15/1999 y concordantes del Reglamento de desarrollo de dicha Ley, aprobado por Real Decreto 1720/2007, de 21 de diciembre."

En fin, esto ya se lo había explicado yo a Ustedes el 5 de julio de 2011, como pueden comprobar aquí. Y alguno que otro repitió mis conclusiones, sin cita, por supuesto.

Sintiéndolo mucho, tengo que interrupir el post sin desgranarles todo el informe. He quedado para ir al cine. Mañana, remato la faena. Buenas noches.

martes, 26 de noviembre de 2013

La AEPD se pronuncia sobre las redes sociales (Vol. I)

Está claro que a Monsieur le Directeur le interesan las redes sociales. Entre los últimos informes jurídicos que se han publicado en la web de la Agepedé, hay dos dedicados a este tema. Y lo que es más, no se crean que el insigne Gabinete despacha las consultas en tres líneas como en otros casos. Los dos informes suman 29 páginas. ¡Ahí es nada! Comprendo que Ustedes están demasiado ocupados para perder el tiempo con estas menudencias. No se preocupen. Ad Edictum, blog con vocación de servicio público, se los ha leído por Usted. A continuación, encontrarán un resumen de los aspectos más relevantes.

Comencemos por el Informe 197/2013, que se refiere al supuesto de una red social deportiva en la que se podrán compartir vídeos de menores.

El informe empieza muy bien. Me ha gustado en la parte en la que se describe cómo obtener el consentimiento de los usuarios que van a crear un perfil en la red social, porque se ofrecen soluciones concretas.

Así por ejemplo, la Agencia nos dice expresamente que “en los supuestos de recogida de datos online esta Agencia ha considerado suficiente la existencia de una política de privacidad fácilmente accesible por el usuario como acreditación del cumplimiento del deber de información, igualmente ha considerado que puede servir como prueba de la prestación del consentimiento la acreditación de que el programa impide introducir los datos sin antes haber aceptado dicha política de privacidad. Por consiguiente, las finalidades declaradas en dicha política de privacidad vinculan al responsable del tratamiento, (en el presente supuesto el proveedor del servicio de red social) que no podrá modificar sus términos sin obtener un nuevo consentimiento informado”.

Sin embargo, cuando se analiza la forma en que debe recogerse el consentimiento de los menores de edad, el informe se limita a repetir las previsiones legales que conocemos todos. Es decir, nos cuenta que en el caso de menores de 14 años deberá contarse con el consentimiento de los padres o tutores, pero sin sugerir ninguna práctica aceptable para el cumplimiento de esta obligación que nos da tantos problemas en el día a día.

Por otro lado, me ha parecido de interés un aviso para navegantes que nos lanza Monsieur le Directeur. Sobre medidas de seguridad que afecten al acceso de información contenida en perfiles de usuarios, se indica que, aunque en una red social sean los propios usuarios quienes hacen públicos datos personales, el proveedor de la red social se encuentra obligado a adoptar las pertinentes medidas de seguridad establecidas en la normativa vigente. “De este modo la inexistencia de medidas de seguridad o su inadecuación que permitan un acceso fuera del ámbito de los contactos elegidos por el usuario determinarían la responsabilidad del responsable de la red social”.

A partir de la página 9, el informe decae. Trata cuestiones como el ejercicio de derechos ARCO o los plazos de conservación de los datos, haciendo un refrito de lo que ya ha dicho la AEPD en otros documentos o el Grupo de Trabajo del Artículo 29 en su archiconocido Dictamen 5/2009. Si esperaban Ustedes que nos dijeran por cuánto tiempo se deben mantener los datos bloqueados cuando un usuario da de baja su perfil, van listos. En esta parte, nos encontramos con lo que se conoce como un "informe croqueta" (nada nuevo en el menú; sólo bechamel y sobras de la semana).

Y esto es todo lo que deben saber sobre el Informe 197/2013. Voy a interrumpir mi post aquí, porque no quiero provocarles un aneurisma. Mañana les comento el segundo documento sobre redes sociales. Ahora, me bajo al chino.

Google, condenado a desindexar fotografías durante cinco años

Como probablemente habrán leído en los periódicos, Google ha sido condenado por los tribunales franceses a desindexar nueve fotografías que atentaban contra la intimidad del ex presidente de la Federación Internacional de Automovilismo, Max Mosley.

En las imágenes, el señor Mosley, que como todos los ingleses sabe cómo divertirse, aparecía participando en una orgía con prostitutas y parafernalia nazi. Las fotografías fueron tomadas con cámara oculta y publicadas inicialmente en el diario británico “News of the World”. Max Mosley demandó al periódico en la jurisdicción británica, ganó el juicio y recibió una indemnización. Por cierto, lo que más le ofendió del asunto no fue que se supiera que había contratado una sesión de, digamos, disciplina, con cinco prostitutas, sino que se le relacionara con el nazismo.

Al parecer, en Francia, estas fotografías tuvieron mucho éxito (no me resulta difícil imaginar por qué), y figuraban entre los resultados de búsquedas más populares de la web http://images.google.fr/. Desde 2008, año que se publicaron por primera vez, los asesores del señor Mosley se habían puesto en contacto en numerosas ocasiones con Google Francia para que fueran retiradas. Google atendió siempre sus requerimientos, pero las fotografías volvían a ser difundidas en páginas webs externas al buscador e indexadas por sus motores de búsqueda.

Finalmente, los abogados del ex presidente de la FIA decidieron demandar a Google Francia y a Google Inc, ante los tribunales franceses. El Tribunal de Gran Instancia de París acaba de dictar, el 6 de noviembre, la sentencia que resuelve este asunto. Pueden consultar el texto completo aquí. No obstante, para aquellos de mis lectores que no controlan el francés idioma, ahí va un resumen de los puntos fundamentales.

El demandante solicita, básicamente, que dejen de indexarse las fotografías que afectan a su intimidad en los resultados de búsquedas proporcionados por http://images.google.fr/.

Google, como en otros procedimientos abiertos en su contra en diferentes países europeos, alega que la sociedad francesa, demandada junto a la americana, es ajena a la gestión del motor de búsqueda y que, en cualquier caso, la petición del demandante es desproporcionada e imprecisa, puesto que impondría la obligación de vigilar contenidos de los que no es responsable (las fotografías son publicadas en webs gestionadas por terceros).

La primera conclusión interesante de esta sentencia es que el juez deja fuera de la causa a la sociedad francesa, ateniendo la argumentación presentada por Google. También es cierto que la sociedad americana se personó en el procedimiento, y de momento, parece que se va a someter voluntariamente a la jurisdicción francesa.

Desde luego, la argumentación de mayor transcendencia gira entorno al régimen de responsabilidad que se le debe exigir a Google en la prestación del servicio de búsqueda de imágenes de acuerdo a lo previsto en la directiva de comercio electrónico y su transposición al derecho francés.

Google defiende que se trata de un servicio automático, en el que el listado de iconos que se facilitan se almacenan temporalmente en caché, y que por tanto, tiene la categoría de prestador de servicios de intermediación técnicos. Frente a esto, el tribunal señala, aunque no de forma clara, que la Directiva 2000/31 permite imponer a este tipo de prestadores la obligación de retirar informaciones o hacer imposible su acceso en ciertos supuestos. El art. 6-1-8º de la Ley de 21 de junio de 2004 (LCEN), que traspone al derecho francés la citada directiva, prevé que una autoridad judicial ordene a los prestadores de servicios de intermediación las medidas necesaria para prevenir un daño o hacer cesar un daño, incluyendo sistemas de supervisión específicos y temporales. En base a este artículo, y al hecho de que tanto tribunales franceses como británicos han declarado las nueves fotografías ilícitas, se determina que Google deberá retirar “de oficio” las fotografías del Señor Mosley de los resultados de la búsqueda.

En la resolución comentada, se considera lo anterior proporcionado y técnicamente posible de acuerdo a informes técnicos que se han manejado durante el procedimiento, a pesar de que Google insiste en la desproporción y el coste excesivo de esta tarea. Por otro lado, y dado que no se podría imponer indefinidamente esta tarea de vigilancia, se limita la obligación del buscador a cinco años.

Por último, como no quiero aburrirles, sólo les resaltaré que Google ha sido condenado al pago de una cantidad meramente simbólica al Señor Mosley: 1 € en concepto de daños causados más 5.000 € sobre la base del artículo 700 del Código de Procedimiento Civil.

Se trata, por tanto, de una victoria relativa para Max Mosley, ya que dentro de cinco años, sus fotografías volverán a ser indexadas.

Con esto, les dejo hasta mañana. No olviden seguirme en twitter, que me hace mucha ilusión (@AdEdictum).

viernes, 22 de noviembre de 2013

Lecturas recomendadas: ¿A favor o en contra?

Como este fin de semana hará mucho frío, y no están Ustedes para salir de casa, he decidido prepararles una lista de lecturas recomendadas para que las disfruten al lado de su tacita de chocolate.

En primer lugar, les recomiendo un artículo de Pablo LUCAS MURILLO DE LA CUEVA titulado “El Derecho a la Protección de Datos: Novedades y Problemas”. Eso sí, les advierto que el texto es de 2010. Por lo tanto, los temas que trata en él, ya no están tan de actualidad como en el momento en el que se escribió (por cierto, más que un artículo se trata de una charla para los cursos de verano de la Fundación Ciudadanía y Valores). No obstante, lo que cuenta MURILLO DE LA CUEVA les resultará de interés. A mí, me ha parecido muy bueno el análisis que efectúa de la Sentencia de la Sección Cuarta Penal del Tribunal de Milán, de 12 de abril de 2010. Esta sentencia condenó a tres ejecutivos de Google Italia por violar el derecho a la intimidad de un menor con síndrome de down, del que se había difundido un video vejatorio a través de los servicios del buscador. El tribunal resalta la falta de diligencia de Google a la hora de retirar los vídeos (a pesar de las denuncias presentadas se tardaron varias semanas), y se apoya en varias pruebas para demostrar que entre los objetivos de la entidad la solución de este tipo de incidentes ocupa un lugar secundario (declaraciones de empleados, un informe de los asesores jurídicos de Google UK que ya había advertido de la necesidad de revisar los procedimientos en materia de privacidad de Google Italia, etc…).

En fin, no les cuento más, lean el artículo completo. Además, encontrarán en él, una reseña de la famosa Sentencia del Tribunal Constitucional Federal Alemán (siempre que alguien menciona esta institución, me entra un escalofrío y espero oir relincho de caballos) sobre la conservación de datos asociados a telecomunicaciones, con link al texto completo para los más valientes.

En segundo lugar, les he buscado el texto completo de la Sentencia del Tribunal de Alta Instancia de París, de 6 de noviembre de este año, que condena a Google a cesar en la indexación de las nueve fotografías de las orgías del patrón de Formula 1 Max Mosley. Pensaba preparar un resumen didáctico para aquellos de Ustedes que no dominan el francés (idioma), pero acabo de cenar en el chino de la esquina y no me veo con ánimos. Desde que aprendí a utilizar los palillos con un vídeo de Youtube, me he aficionado a los tallarines tres delicias.

Por último, les dejo un link al Cuaderno EVOCA sobre Identidad Digital, que recoge trabajos de distintos autores sobre este tema (Julio CEREZO, Paloma Llaneza, Julio ALONSO, Fernando POLO). Espero que disfruten de sus 50 páginas.

Ahora, con su permiso me voy a ver el DELUXE. Buenas noches.

Y síganme en Twitter, que me hace ilusión: @AdEdictum.

jueves, 21 de noviembre de 2013

La lista negra del Paris Saint-Germain: ¿A favor o en contra?

La CNIL y el Paris Saint-Germain han pasado los últimos meses intercambiando notas de prensa sobre el procedimiento que la autoridad francesa de protección de datos abrió al club por la creación de listas de negras de aficionados.

Como saben, en mayo de este año, los disturbios causados por algunos ultras en la Plaza del Trocadero impidieron la celebración del tercer título de liga del PSG. La Dirección del equipo decidió suspender la aparición de los jugadores y el paseo que éstos iban a efectuar por el Sena. Hubo 39 detenciones, y la Prefectura de Policía ordenó que se le prohibiera la asistencia a eventos deportivos del club a una lista negra de sospechosos.

Las protestas de los aficionados no se hicieron esperar. Cuando algunos intentaron comprar sus entradas por Internet, recibieron un mensaje en el que se les denegaba la compra en razón de una orden recibida de la Prefectura. Le Monde publicó un artículo. Y Cuando Le Monde publica un artículo, lo mejor que puede hacer la CNIL es sacar una nota de prensa, que fue respondida por el PSG a través de su web.

En fin, les resumo lo que pasó para no entretenerles: La CNIL realizó una inspección en las instalaciones del PSG que le permitió comprobar que éste manejaba dos ficheros de exclusión. En uno, figuran las personas a las que una autoridad competente ha prohibido la asistencia a los partidos. El tratamiento de estos datos se deriva del cumplimiento de una obligación legal del club. En el otro fichero, se recoge el nombre de personas a las que el Club, motu proprio, ha decidido negar la entrada por incumplir las normas de la entidad.

De acuerdo a la ley francesa, cuando se crean ficheros de exclusión o listas negras, es necesario solicitar una autorización a la CNIL, ya que éstos suponen una restricción de los derechos y libertades públicas. El PSG no había cumplido con este requisito. Además, podría haber cedido datos a otras asociaciones. Al final, parece, se trataba de un asunto de poco calado, y se ha resuelto cumpliendo el trámite administrativo de la información y autorización. En este comunicado, la CNIL informa del cierre del procedimiento.

En España, nuestra LOPD no exige la autorización previa de la AEPD en ningún tipo de tratamiento (eso si, debería notificarse la existencia del fichero). Sin embargo, a pesar de esto, la creación de listas negras no resulta sencilla en muchos supuestos. Si Ustedes investigan un poco en la página de la Agencia, comprobarán que existen varios informes jurídicos sobre este particular. Uno de ellos, analiza la creación de listas negras de clientes por parte de empresas de una de taxis, a los que se les deniega el servicio cada vez que llaman solicitando que se les envíe un coche.

Evidentemente, la empresa está legitimada para tratar el nombre, dirección y el número de teléfono de la persona que llama solicitando un taxi. Sin embargo, en opinión de la AEPD, estos datos no se deberían conservar para fines distintos (como su inclusión en la citada lista negra), a no ser que el interesado hubiese sido informado de esta nueva finalidad y prestado su consentimiento.

Este informe es del 2008. Cuando lo estaba revisando, se me ha ocurrido que un supuesto en el que se podría aplicar la excepción del interés legítimo del responsable del fichero. Ahí lo dejo, que he quedado para cenar en el chino de la esquina.

Buenas noches.

Y síganme en Twitter, que me hace ilusión: @AdEdictum.

martes, 19 de noviembre de 2013

Políticas BYOD: ¿A favor o en contra?

Ha llovido mucho desde que en el año 2007 el Tribunal Supremo dictó aquella famosa sentencia que permitía el control del empresario sobre el uso que hacían los trabajadores de las herramientas informáticas facilitadas para el desarrollo de sus funciones, sin aplicar el régimen establecido en el art. 18 del Estatuto de los Trabajadores. Este artículo, como sin duda saben, determina que “sólo podrán realizarse registros sobre la persona del trabajador, en sus taquillas y efectos particulares, cuando sean necesarios para la protección del patrimonio empresarial y del de los demás trabajadores de la empresa, dentro del centro de trabajo y en horas de trabajo”. Además indica que, en la realización de estos registros, "se respetará al máximo la dignidad e intimidad del trabajador y se contará con la asistencia de un representante legal de los trabajadores o, en su ausencia del centro de trabajo, de otro trabajador de la empresa".

Hasta la sentencia del 2007, algunos tribunales habían considerado que cualquier acceso al correo electrónico corporativo de un empleado debía cumplir los requisitos arriba expuestos. Otros, no. Por eso, cuando en una organización se planteaba esta posibilidad por cualquier motivo (despido, sospechas de conducta desleal, etc), si se solicitaba antes asesoramiento legal, se llegaba a la conclusión de que el derecho no sirve para nada. En última instancia, como aquel personaje de Tennessee Williams, siempre había que confiar en la bondad de los desconocidos (en este caso, el juez).

La sentencia del 2007 fue muy importante porque unificó doctrina, pero tampoco se crean que permite un control libre y desproporcionado. Una de las principales consecuencias que sacamos de su lectura es la necesidad de que, por parte de la empresa, se informe a los trabajadores de los usos aceptados y prohibidos de las herramientas que la empresa pone a su disposición, así como de la posibilidad de efectuar controles sobre los mismos. En conclusión, resulta básico aprobar Políticas de Uso de Herramientas Informáticas. En este blog, hace mucho tiempo, ya les facilité un ejemplo sencillo de este tipo de documentos. Al principio, una parte fundamental de su contenido consistía en reglas de uso de correos electrónicos, navegación por Internet, trabajo en carpetas de red y utilización de equipos portátiles fuera de la empresa.

Ahora las Políticas de Uso de Herramientas Informáticas han variado sustancialmente su contenido. Piensen, por ejemplo, que un empleado ya no necesita usar la conexión a Internet de la empresa para leer durante dos horas el periódico o enviar correos electrónicos, o para conectarse a redes sociales en las que puede hablar de la empresa y colgar fotografía de reuniones o nuevos productos que todavía no se han hecho públicos. Por otro lado, las herramientas que una organización facilita no se limitan ya a los portátiles para asistir a reuniones o trabajar en las oficinas de clientes. Y lo que es peor, en algunos entornos se fomenta el uso de equipos que no pertenecen a la compañía, sino al propio trabajador (“Bring Your Own Device - BYOD” o “Tráete tu propio dispositivo”).

En definitiva, y desde el punto de vista jurídico, nos encontramos en un escenario en el que el control del empresario sobre la actividad de sus empleados cada vez es más difuso, porque el trabajador prescinde de herramientas corporativas para usar las propias (ya sea un perfil personal en una red social o una tablet que se trae de casa). Las normas por la Sentencia del 2007 ya no nos sirven como referencia en todos los supuestos. Habrá que esperar a ver por dónde sale la nueva jurisprudencia.

En fin, en todas las organizaciones siempre habrá alguien que proponga dejar a los trabajadores utilizar sus propios equipos por cualquier motivo (porque mejora el rendimiento del personal permitiendo un entorno de trabajo más flexible, porque los dos tipos raritos del Departamento Creativo insisten en utilizar sus Macs, porque reduce costes que el empleado use su propio móvil en lugar de darle uno de empresa, por lo que sea). Si Ustedes acaban rindiéndose a los argumentos pro-BYOD, quizás estén interesados en leer estos consejos:

1º. Mi primera recomendación es de sentido común. No en todos los tipos de organizaciones y en todos los tipos de trabajo las políticas BYOD son una buena opción. Antes de decidirse a permitir que todos los empleados de la compañía utilicen sus propios dispositivos, analice las ventajas y riesgos que ello supone en cada área concreta. La norma general debe ser la prohibición de dispositivos propios, salvo en determinados casos y con la debida autorización. De hecho, en algunos puestos de trabajo, se debería desincentivar el acceso a recursos corporativos desde equipos personales.

Un ejemplo: Un médico trabaja dos días a la semana en un hospital, además de ejercer en su propia consulta. Este médico encuentra más cómodo utilizar su propio ordenador portátil, en lugar del equipo fijo del hospital (un ordenador antiguo que no funciona bien y que no quieren cambiarle por falta de presupuesto). Por ello, solicita que se le configure un acceso a la aplicación de gestión de las historias clínicas del centro en su portátil. Su idea es utilizar el mismo equipo en su consulta privada y almacenar en un único archivo de su disco duro documentación clínica de interés para analizarla en su domicilio los fines de semana. Poco hay que añadir...

2º. Se debe ser consciente, en todo caso, de que el dispositivo o el equipo utilizado no pertenece a la empresa, y que el trabajador no sólo podrá sacarlo del lugar de trabajo, sino que podrá emplearlo también para fines privados (e incluso,compartirlo con familiares o con terceros ajenos a la empresa). Muchos de los riesgos de seguridad asociados al teletrabajo los encontraremos también en este supuesto. En este caso, resulta muy importante advertir al trabajador de la necesidad de separar la información que almacene de la empresa de los documentos personales.

3º. Y hablando de la documentación corporativa almacenada en dispositivos propios, cuanto menos sea y por menos tiempo, mejor. Se debe concienciar a los trabajadores para borrar periódicamente los documentos de la empresa que guardan en sus propios equipos.

4º. Si bien las medidas de seguridad concretas dependerán en gran medida del tipo de dispositivo que se utilice (no es lo mismo acceder al correo corporativo desde un móvil propio que llevarse al trabajo un portátil personal y conectarlo a la red de la compañía), hay dos aspectos básicos: El uso de contraseñas de acceso adecuadas y la encriptación de las carpetas.

5º. Nunca está demás exigir a los empleados, que si desean utilizar dispositivos propios, autoricen a los servicios técnicos de la empresa realizar determinados mantenimientos sobre los mismos. Esto, como mínimo, desincentivará las peticiones de uso por parte de los empleados, lo cual de por sí ya puede considerarse un aspecto positivo.

Para terminar, les recomiendo dos documentos de interés sobre Políticas BYOD: Un artículo de Dª María González y la Guía elaborada por el ICO (la autoridad británica de protección de datos) sobre este particular. .

Y síganme en Twitter, que me hace ilusión: @AdEdictum.

jueves, 14 de noviembre de 2013

Notifiación de violación de datos personales: ¿A favor o en contra?

El borrador del Reglamento General de Protección de Datos introduce el concepto de "violación de datos personales", que se define como "toda violación de la seguridad que ocasione la destrucción accidental o ilícita, la pérdida, alteración, comunicación no autorizada o el acceso a datos personales transmitidos, conservados o tratados de otra forma". En el capítulo dedicado a la seguridad de los datos, se establece la obligación de notificar las violaciones de datos a las autoridades de control en el plazo de 24 horas. Tal previsión ha despertado cierta polémica entre consultores lopedé, responsables de seguridad y futuros DPO. No obstante, no podemos olvidar que es similar a la obligación impuesta por la directiva de E-Privacidad para las empresa que facilitan servicios de comunicaciones electrónicas (o algo así, no esperen que me levante a buscar la cita), y que se trata de una práctica común en otros, donde se considera una medida de transparencia necesaria para ayudar a minimizar riesgos. Veamos un ejemplo práctico.

Estos días, la prensa irlandesa se está haciendo eco de un incidente de seguridad que afecta a la sociedad Loyaltybuild, empresa especializada en gestionar programas de fidelización de clientes para grandes compañías europeas (como SuperValu o Axa). Al parecer, el pasado 4 de noviembre fue víctima de un ataque informático con el objetivo de robar datos de tarjetas bancarias de los clientes de estas compañías. Resultado del mismo, la información bancaria de 500.000 personas ha quedado expuesta.

La Autoridad irlandesa ha publicado una guía para ayudar a los responsables de ficheros a gestionar estos incidentes de seguridad (ojo, no a las entidades que quedan sometidas a la normas de la Directiva de E-Privacidad). Pueden consultar el documento aquí. Si bien se indica que no existe una obligación legal de notificar a la Agencia cuándo se ha producido un robo o pérdida de datos, sí se señala como práctica recomendable en determinados supuestos especialmente graves. En estos casos, se considera conveniente también realizar comunicaciones individuales a los afectados.

Por lo que he podido leer en los periódicos, Loyaltybuild ha comunicado a la Autoridad el ataque sufrido en sus sistemas, y se está cooperando con ella en la investigación del incidente. La autoridad ya ha publicado en su web varios comunicados sobre este tema. En uno de ellos, recuerda la importancia de informar a los afectados que sus datos bancarios han sido robados para que tomen medidas apropiadas (en concreto, se les recomienda que verifiquen con sus entidades bancarias si se han producido transacciones no autorizadas en sus cuentas). Por su parte, Loyaltybuild, ha pubicado en su web una carta abierta de su Director General, así como diversas notas sobre el incidente, en las que se incluyen teléfonos de contacto para clientes y para medios de comunicación.

Todo apunta a que, con la aprobación del nuevo reglamento, los DPO o los responsables de protección de datos deberán estar preparados para gestionar situaciones como ésta. ¿Se ha planteado Usted qué haría en tal supuesto, cómo se pondría en contacto con Monsieur le Directeur o con los afectados, qué nota o carta haría llegar, en su caso, a los medios para explicar lo sucedido?

miércoles, 13 de noviembre de 2013

El derecho a desaparecer

Tanto hablar del derecho al olvido, nos ha hecho "olvidar" (disculpen el chiste fácil, que llevo una época muy mala) otro derecho igual de importante: El derecho a desaparecer. Así es como llaman algunos al derecho que se pierde con la utilización de documentos de identificación como nuestro DNI. España y en otros países europeos (por ejemplo, Bélgica), nos hemos acostumbrado a disponer de este tipo de documentos, que incluyen la fotografía del titular, su nombre y apellidos, su firma y otros datos personales, y que nos sirven para probar quienes somos y ejercer otros derechos derivados de la ciudadanía (el derecho al voto sin ir más lejos). Aunque es cierto que alguna de las primeras sentencias del Tribunal Constitucional que analizan el derecho a la protección de datos se refiere a la legalidad del DNI, su uso está comúnmenete aceptado y pocos cuestionan su necesidad. Los españoles facilitamos nuestro DNI en cualquier trámite sin importancia, y lo sacamos de la cartera a la menor oportunidad. Ni siquiera se considera un dato especialmente protegido (mientras que otras informaciones como la pertenencia a un sindicato, que quizás deberían ser públicas, sí lo son).

En Estados Unidos, no se disponde de un documento identificativo obligatorio. Además, cualquier intento de introducirlo resulta polémico y despierta críticas exhacerbadas de los sectores libertarios. No en vano, eso de retirarse a una cabaña en el bosque, apartarse del resto de la civilización, y dejar de pagar impuestos, forma parte de la esencia nacional (y me refiero a THOREAU, no al Unabomber). Las formas habituales de identificar a los ciudadano (los residentes legales no están obligados a disponer de ningúna tarjeta identificativa) son el carnet de conducir y el número de la seguridad social, que se considera una información extremadamente sensible. Ninguno de los dos son obligatorios, y las autoridades no pueden solicitarlos a alguien que va caminando por la calle o al sospechoso de un delito. La idea de introducir un identificador similar a nuestro DNI se considera una restricción innecesaria de la libertad personal, un intento del Estado de establecer mecanismos de control excesivos y algo propio de una dictadura.

"Si surgiese un régimen totalitario - dice A. ETZIONI- y no se hubiese implantado ningún sistema de identificación universal, la nueva policía secreta sólo tendría que consolidar las bases de datos privadas existentes y añadir las públicas )las mantenidas por el IRS, el INS, el FBI y la SSA, entre otras), para disponer de una descripción muy detallada de la mayoría de los estadounidenses (...). En una sociedad democrática, las autoridades son controladas por la necesidad del poder de comparecencia, pero un Estado totalitario no se molestaría por estas sutilezas".

Una interesante reflexión teniendo en cuenta las noticias que aparecen últimamente en los periódicos.