lunes, 30 de diciembre de 2013

Consultorio AD EDICTUM: El problema de las felicitaciones navideñas

A toro pasado, un lector nos remite la siguiente consulta:

“He enviado a todos mis clientes, incluso a aquellos que me han indicado que no quieren recibir ningún tipo de publicidad por e-mail, un christmas electrónico. Al hacerlo no lo pensé, pero ahora me ha entrado la duda de si se podría considerar SPAM y si podrían denunciarme.”

Para responder a esta consulta, debemos analizar el concepto de comunicación comercial, que no es tan sencillo como parece. Si el christmas de nuestro lector se considera comunicación comercial, el hecho de haberlo enviado sin contar con la autorización de los titulares de las cuentas de correo puede ser objeto de sanción.

La Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE), en el apartado f) de su ANEXO, determina que es comunicación comercial “toda forma de comunicación dirigida a la promoción, directa o indirecta, de la imagen o de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional”.

No obstante, se aclara que, “no tendrán la consideración de comunicación comercial los datos que permitan acceder directamente a la actividad de una persona, empresa u organización, tales como el nombre de dominio o la dirección de correo electrónico, ni las comunicaciones relativas a los bienes, los servicios o la imagen que se ofrezca cuando sean elaboradas por un tercero y sin contraprestación económica”.

Esto nos sirve de poco. Necesitamos saber cómo se interpreta eso de “promoción indirecta” y si podría entenderse por tal una felicitación navideña.

La AEPD ha emitido distintos informes jurídicos sobre el concepto de comunicación comercial. En éste de 2008, explica que el hecho de que el remitente de la comunicación sea una entidad sin ánimo de lucro no afecta al carácter comercial de las comunicaciones que envía.

Por otro lado, sabemos que los correos electrónicos remitidos por los sindicatos a los trabajadores no tienen la consideración de comunicación comercial, ni quedan sometidos a la LSSICE (Informe Jurídico 658/2008). Tampoco queda sometido a la LSSICE los envíos efectuados por parte de un partido político.

Ya les decía que este tema no resulta tan simple como parece, pero no vayamos al grano: Para el tema que nos ocupa, el Informe Jurídico más interesante es el Informe 307/2009.

En el mismo, se llega a la conclusión de que una comunicación que incluye el logo de una empresa debe considerarse comunicación comercial:

“El logo de la empresa tiene así la finalidad de identificar a la empresa titular de dicha marca, distinguiéndola de otras, de manera que su presencia supone, obviamente, una promoción de la imagen de aquélla, por lo que las comunicaciones a que se refiere la consulta resultarán incluidas en el concepto de comunicación comercial contenido en el Anexo de la LSSI, salvo que pierda dicha consideración por encontrase en alguno de los supuestos del párrafo segundo de la letra f) antes transcrito. A este respecto, debe señalarse que una marca comercial, por su propia naturaleza, no puede considerarse como un dato que permita acceder directamente a la actividad de la empresa, la propia Ley cita, a título de ejemplo, el nombre de dominio o la dirección de correo electrónico, datos dirigidos, no a la publicidad o promoción, sino a facilitar a la persona interesada la puesta en contacto con la empresa. (…)”

En definitiva, todos esos christmas virtuales que incluyen el logo de la organización que los envía son comunicaciones comerciales. Es más, como vemos, la AEPD realiza una interpretación muy amplia de “promoción indirecta”. Por eso, aunque la felicitación remitida por nuestro amigo no incluya ningún logo, lo más probable es que la Agencia lo considere una comunicación comercial. Si lo piensan bien, los e-mails de este tipo no tienen ninguna finalidad operativa (es decir, no son necesarios para prestar un servicio solicitado por el cliente), y remitirlos supone, como decía el informe que les he citado más arriba, una promoción de la imagen de la compañía (como entregar calendarios, agendas o bolígrafos).

Para tranquilidad del consultante, le diré que no me consta que se haya sancionado a ninguna empresa por enviar el típico christmas virtual. ¿Qué opinan Ustedes? ¿Conocen alguna resolución que pueda arrojar luz a la consulta que nos han remitido?

Por mi parte, lo dejo aquí. Sólo me queda recordarles que pueden hacernos llegar sus dudas a consultasblogtic@gmail.com y pedirles que nos sigan en twitter (@AdEdictum).

domingo, 29 de diciembre de 2013

Si yo fuera su Data Protection Officer (V)

Como probablemente Ustedes ya saben, el borrador de Reglamento Europeo de Protección de Datos acabará con la obligación de notificar ficheros a la Autoridad de Control. Esta notificación tiene, como finalidad principal, dar publicidad a los tratamientos efectuados. Además, permite a las Autoridades de Protección de Datos realizar análisis estadísticos y determinar áreas o sectores con los que trabajar. Por último, en algunos países, el registro de ficheros constituye una fuente de ingresos, ya que va acompañado del pago de una tasa.

En España, aunque la notificación de ficheros es gratuita, supone un quebradero de cabeza para muchas empresas, sobre todo en lo que actualizaciones se refiere. Por poner un par de ejemplos, piensen en los cambios de denominación social o domicilio, en el supuesto de la contratación de un nuevo encargado del tratamiento, o en la inclusión de nuevas categorías de datos en una aplicación. En todos estos casos, se debería realizar una modificación de los ficheros registrados.

Ahora bien, que una empresa comience a realizar un nuevo tratamiento no significa que se deba registrar siempre un nuevo fichero.

Recomiendo a las empresas con las que trabajo realizar un análisis de los tratamientos que efectúa la compañía antes de proceder al registro de nuevos ficheros o a la modificación de los existentes. Para empezar, no es necesario notificar a la AEPD tantos ficheros como aplicaciones o bases de datos existan en la compañía. Se pueden agrupar éstas por finalidad y dar de alta un único fichero.

Imaginen que se instala una nueva cámara de seguridad en un edificio de oficinas. Si la empresa ya ha registrado un fichero de videovigilancia, en mi opinión, no tiene que dar de alta uno más. Eso sí, deberá constar en la documentación interna de la compañía que el fichero registrado está formado por las grabaciones efectuadas por las distintas cámaras instaladas por la empresa (esto es lo que los aficionados al género llaman un inventario de ficheros). Adicionalmente, el documento de seguridad de la compañía incluirá las medidas de seguridad implantadas a cada una de ellas.

Para mí, trabajar en un adecuado inventario de ficheros es uno de los puntos clave de la protección de datos de cualquier organización. Si me permiten la cursilería, son los cimientos de la casa, lo que nos permiten seguir construyendo de forma ordenada e implementar políticas, redactar cláusulas, planificar de auditorías periódicas, etc. Si Ustedes no tienen un inventario de ficheros a estas alturas, y no saben exactamente qué tratamientos hace cada departamento de su empresa, han construido su casa por el tejado.

Volvamos al Reglamento Europeo. Su artículo 28 está dedicado a las obligaciones de documentación de responsables del fichero y encargados del tratamiento. Éstos habrán de conservar determinada información relativa a todos los tratamientos que realizan. Como mínimo la siguiente:

“a) el nombre y los datos de contacto del responsable del tratamiento, o de cualquier corresponsable o coencargado del tratamiento, y del representante, si lo hubiera;

b) el nombre y los datos de contacto del delegado de protección de datos, si lo hubiera;

c) los fines del tratamiento, en particular los intereses legítimos perseguidos por el responsable del tratamiento, cuando el tratamiento se base en el artículo 6, apartado 1, letra f);

d) una descripción de las categorías de interesados y de las categorías de datos personales que les conciernen;

e) los destinatarios o las categorías de destinatarios de los datos personales, incluidos los responsables del tratamiento a quienes se comuniquen datos personales por el interés legítimo que persiguen;

f) en su caso, las transferencias de datos a un tercer país o a una organización internacional, incluido el nombre de dicho tercer país o de dicha organización internacional y, en el caso de las transferencias contempladas en el artículo 44, apartado 1, letra h), la documentación de garantías apropiadas;

g) una indicación general de los plazos establecidos para la supresión de las diferentes categorías de datos;

h) la descripción de los mecanismos contemplados en el artículo 22, apartado 3.”

Entre las tareas impuestas al Data Protection Officer por el art. 37 del borrador de Reglamento Europeo se encuentra la de velar por la conservación de la documentación a la que me he referido más arriba. Como ven, aunque no se den de alta ficheros ante la autoridad de control, las compañías tienen que contar con un inventario de ficheros. Mantenerlo actualizado será una de las (principales) funciones del DPO.

Aquí va mi consejo: Si su compañía no ha hecho bien los deberes en cuanto al registro de ficheros, póngase en marcha y comience a inventariar bases de datos y archivos en papel. Aunque no se apruebe finalmente el Reglamento Europeo (y yo confío en que sí se aprobará), esta laborar redundará en una gestión más eficaz de la protección de datos en su compañía.

¿Por dónde deben empezar? La forma de enfocar esta tarea depende de muchos factores: del tipo de datos que trate la compañía, de la organización interna de la misma, de su tamaño,… Generalmente, se comienza por desarrollar un cuestionario con la información que interesa obtener de cada tratamiento (por ejemplo: de dónde se han obtenido los datos, quién es el responsable de la recogida, qué proveedores externos acceden, dónde se almacenan). Una vez hecho esto, fijen prioridades, áreas sensibles y un calendario de trabajo para recorrer todas las áreas de la compañía detectando los tratamientos de datos personales que se efectúa. Por mi experiencia, les diré que no suele ser una buena idea delegar en los usuarios la obligación de completar este tipo de cuestionarios. Supone cargarles con una función más, además de su trabajo diario, y muchos la harán con desgana y se la quitarán de encima con el menor esfuerzo. En la práctica, el inventario de ficheros se parece mucho a un trabajo de auditoría detalladísimo, y requiere una inversión considerable de tiempo por parte del personal responsable de la protección de datos.

Por supuesto, pueden optar por una solución mucho sencilla: Contratarme como Data Protection Officer (mi e-mail está en la columna de la derecha). Buenas tardes.

sábado, 28 de diciembre de 2013

La Ley Sarah: Proporcionalidad en el acceso a los registros de delincuentes sexuales

En julio de 2000, tras la muerte de la niña Sarah Payne, se abrió un debate en la sociedad británica en torno a la necesidad de que los padres y tutores obtengan información sobre los delincuentes sexuales que viven en sus vecindarios.

Sarah Payne fue raptada, violada y asesinada por un pedarasta que ya había sido condenado por abusar de una menor, y que fue puesto en libertad tras cumplir una pena de cuatro años de cárcel. Los padres de Sarah siempre dijeron que su muerte podría haberse evitado si hubieran sabido que su asesino tenía antecedentes. Algunos medios de comunicación apoyaron una campaña a favor de tomar medidas al respecto (debemos recordar que poco años antes, en Estados Unidos, se había puesto en marcha la Ley Megan cuando una niña fue asesinada en circunstancia similares). Finalmente, se aprobó la denominada Ley Sarah, a la que dedicamos el post de hoy.

Desde 2003, existe en Reino Unido una base de datos denominada ViSOR (siglas de “Violent and Sex Offender Register”), en la que se incluye información sobre personas que han sido condenadas a más de 12 meses de prisión por delitos sexuales violentos. El registro es mantenido por la NPIA (National Policing Improvement Agency), un organismo que presta soporte en áreas tecnológicas a la Policía. Sólo puede ser consultado en supuestos muy concretos por la propia Policía, el National Probation Service, encargado de controlar el cumplimiento de las penas por parte de individuos que han sido condenados por un tribunal, y el HM Prision Service, institución que gestiona la mayor parte de las prisiones británicas.

La Ley Sarah permite también a particulares obtener información del ViSOR. Para ello, se ha desarrollado un procedimiento, que garantice el derecho a la privacidad de las personas que figuran en él. Uno de los principales objetivos del mismo consiste en evitar que se difundan datos de pedarastas en la prensa para evitar que se les acose o se les obligue a trasladarse a otros domicilios. Por eso, cada petición de acceso se estudia cuidadosamente. Casi todas las páginas webs de los departamentos de policía de Inglaterra y Gales incluyen una explicación sobre cómo funciona la Ley Sarah. Vean, por ejemplo, este enlace o este otro.

Antes de poner en funcionamiento el sistema, que entró en vigor en todas las comisarías de Inglaterra y Gales el 4 de abril de 2011, se desarrollo un proyecto piloto. En 2010, The Guardian comentaba los resultados obtenidos por el mismo en términos muy positivos. Según el periódico británico, durante el 2010, sólo se había facilitado acceso al registro en 21 supuestos de las 611 solicitudes efectuadas. Igualmente, indicaba que los padres preocupados por las nuevas parejas de sus exmujeres era uno de los grupos que más consultas efectuaba al amparo de esta nueva normativa. En 2012, el Gobierno Británico informó de que más de 200 niños fueron protegidos de contactos con delincuentes sexuales durante el primer año de funcionamiento del sistema con carácter general.

En Reino Unido, no se ha optado por un registro de acceso público o por notificar a todos los vecinos de una zona que acaba de mudarse a su vecindario un pedarasta. La información sólo se entrega tras un análisis de cada solicitud por parte de la policía (entendemos que se trata de personal formado y conocimientos suficientes para evaluar el riesgo de la situación). Sólo pueden solicitar acceso quienes hayan detectado algo sospechoso en la actitud de un adulto hacia un niño. La Ley Sarah no permite cotillear si ese vecino que nos parece rarito es un delincuente sexual (vea en este link algunos escenarios prácticos).

Éste es un ejemplo de cómo en un Estado Miembro de la Unión Europea, y por tanto, con una normativa garantistas en lo que a protección de datos se refierese puede facilitar información a particulares sobre personas condenadas por abusos sexuales a menores asegurando cierto grado de privacidad.

viernes, 27 de diciembre de 2013

Libro del Mes (Diciembre 2013)

ETZIONI, Amitai: Los límites de la privacidad. Edtorial EDISOFER. Buenos Aires, 2012.

Amitiai ETZIONI es un sociólogo de origen alemán, que tras formarse en Jerusalén, ha desarrollado su carrera en Estados Unidos. Por eso, lo primero que les advierto es que el libro recomendado de este mes no es una obra jurídica.

Como ya habrán podido averiguar por su título, Los límites de la privacidad plantea varios supuestos en los deberíamos cuestionarnos el derecho a la protección de datos en términos absolutos. Son análisis de casos reales, de problemas surgidos en la sociedad americana de hoy en día, y de las soluciones propuestas o ya adoptadas por el Gobierno. Las consecuencias positivas del límite a la privacidad en cada caso concreto se basan en estudios sociológicos y estadísticas.

Así por ejemplo, el capítulo III hace referencia a la privacidad de delincuentes sexuales. En el post que escribí sobre las "Leyes Megan", les comenté algunos de los argumentos utilizados por Amitai ETZIONI (por cierto, tengo pendiente explicarles cómo se ha implantado un sistema similar en Reino Unido con la denominada "Ley Sarah", que lleva un tiempo en vigor). Los otros casos analizados son las pruebas médicas obligatorias para madres con la finalidad de poder tratar adecuadamente a los recién nacidos, el uso obligatorio de documentos de identidad y las restricción a los programas de encriptación. En todos estos casos, ETZIONI considera que existen motivos para que los derechos indiduales se vean restringidos en beneficio del bien común o de los intereses de la sociedad. El autor también analiza un quinto supuesto en el que reforzar la normativa sobre privacidad tendría efectos positivos para el grupo, aunque paradójicamente se permiten continuas vulneraciones de este derecho en beneficio de las grandes compañías médicas y aseguradoras. Para EZIONI, la regulación del acceso a los expedientes médicos está llena de anomalías.

Tras analizar las políticas publicas que el Gobierno Americano ha adoptado en los casos anteriores, Amitai EZTIONI considera que debe revisarse el concepto de privacidad. La obra se cierra, precisamente, con un capítulo de conclusiones denominado "Un concepto contemporáneo de privacidad". No les voy a contar más. Tendrán que comprar el libro o robarlo. Eso sí, no puede faltar en la biblioteca de ningún profesional de la privacidad que se precie.

lunes, 23 de diciembre de 2013

Consulta práctica: Compra de base de datos para campaña de mailing

Un lector nos envía la siguiente consulta:

"Tengo una empresa y quiero realizar una campaña de mailing a potenciales clientes. Tengo pensado adquirir una base de datos a una empresa externa. Una vez que disponga de la base de datos, introduciré en las comunicaciones comerciales una cláusula que he extraído de un manual de protección de datos. Mi duda es la siguiente: En estos casos, ¿quién es el responsable del fichero? ¿Tengo que darlo de alta ante la agencia? Si hubiera algún dato erróneo, ¿me podrán sancionar?"

Lo primero que hay que tener en cuenta es que esta compra de base de datos constituye una cesión, y por tanto, deberá estar regulada por lo dispuesto en el art. 11 de la LOPD. Además, si esos datos van a destinarse a actividades publicitarias, su tratamiento se regirá por lo dispuesto en los arts. 45 a 51 del reglamento de desarrollo de la LOPD.

Si Usted compra una base de datos para realizar una campaña de marketing, en la que, recibidos los registros, su empresa los va a tratar con total autonomía (aunque aplicando esos datos exclusivamente a finalidad para la que fueron adquiridos), deberemos considerar a ésta responsable del fichero. Otra cosa distinta es que contrate la realización de la campaña publicitaria a un tercero sin tener acceso en ningún caso a la base de datos de los receptores de publicidad. En tal supuesto, se aplicarían las reglas establecida en el art. 46 del RLOPD.

No siempre será necesario registrar un nuevo fichero. Si Usted ya ha dado de alta uno que incluya entre sus finalidades la prospección comercial o la realización de campañas de publicitarias (el típico fichero “Potenciales Clientes” o "Promociones"), podrá entenderse que esta nueva base de datos forma parte de ese fichero ya registrado. Lo que deberá modificar es el inventario de ficheros y el documento de seguridad.

Expuesto esto, le recomiendo que en la negociación previa a la adquisición de la base de datos se cerciore de lo que está comprando. El art. 45 RLOPD dispone que quienes se dediquen a las actividades publicitarias, sólo podrán utilizar nombres y direcciones u otros datos de carácter personal cuando:

a) Figuren en alguna de las fuentes accesibles al público.

b) Hayan sido facilitados por los propios interesados u obtenidos con su consentimiento para finalidades determinadas, explícitas y legítimas relacionadas con la actividad de publicidad o prospección comercial.

Por tanto, pregunte al vendedor de dónde ha obtenido los datos y exija garantías al respecto (por ejemplo, las cláusulas utilizadas para obtener el consentimiento, si los datos se han obtenido del afectado). Si Usted es el DPO de su empresa, trate de hablar con el responsable de protección de datos de su proveedor. Me parece la mejor forma de hacerse una idea exacta del grado de madurez de la compañía en el cumplimiento de la LOPD. Por otro lado, no estaría demás incluir una descripción en el contrato del origen de los datos que está comprando.

Me temo que, en caso de que el vendedor hubiera obtenido de forma ilícita los datos, y alguien lo denunciara a la AEPD, a Usted también se le abriría procedimiento sancionador. Realizar un análisis lo más exhaustivo posible del origen de los datos le ayudará a demostrar que actuó con diligencia. Y desde luego, siempre puede fijar cláusulas indemnizatorias en el acuerdo de compraventa de la base de datos en caso de incumplimiento de la normativa atribuible al vendedor (datos recabados de forma ilícita).

sábado, 21 de diciembre de 2013

Lecturas recomendadas

Afortunadamente, las Nuevas Tecnologías le permitirán a Usted pasar estas entrañables fechas leyendo documentos de interés en su tablet o smartphone, mientras finge escuchar a ese cuñado que lo sabe todo (incluso dónde comprar el mejor marisco). Aquí va una selección de lecturas que ayudarán a hacer tolerables las comidas en familia de este fin de semana.

En primer lugar, como no podía ser de otra forma, debe Usted leer la resolución de la AEPD en la que se determina que Google deberá pagar 900.000 €. Hacía tiempo que la Agencia no imponía multas de esta cuantía (en este caso, por tres infracciones distintas). No creo que haya sido una sorpresa para Google, ya que la posición de las Autoridades de Control Europeas está bastante clara. Han iniciado acciones coordinadas para conseguir que el buscador cumpla con la normativa comunitaria sobre protección de datos cuando dirija sus servicios a ciudadanos de los Estados Miembros.

Las repercusiones de esta resolución van más allá de la protección de datos. Éste es sólo el primer asalto de una batalla que resultará muy interesantes desde el punto de vista de la regulación de Internet, ese espacio de “no derecho”, en el que vemos cada vez con más frecuencia cómo se producen negociaciones Estado-Empresa, más que acuerdos Estado-Estado.

Para los que no tengan ánimos suficientes para enfrentarse a la lectura de esas 139 páginas, aquí tienen un link a la Nota de Prensa que ha emitido Monsieur le Directeur.

El compañero Jorge Campanillas ha sido uno de los primeros en escribir un comentario sobre esta resolución en su blog. AEPD vs Google: Sus políticas de privacidad incumplen gravemente la LOPD.

A la espera de nuevos post, dejo una selección de noticias aparecidas en prensa española e internacional:

- La noticia en El Mundo.

- La noticia en ABC.

- La noticias en BBC News.

- La noticia en The Irish Time.

Relacionado con el “Asunto Google”, recomiendo también la lectura de este artículo sobre “El derecho al olvido”, que publicó Carolina PINA en la revista UNO (cuyo número 13, por cierto, está dedicado a reflexionar sobre “¿Qué somos en Internet?”).

Por último, si Usted habla francés, puede echar un vistazo a las novedades de la página web de la CNIL, en especial, a sus recomendaciones sobre el uso de cookies, documento del que he tenido noticia a través de @EUstaran. Me parece muy interesante, de cara a los usuarios, el software que han desarrollado para comprobar qué cookies se van instalando en nuestros equipos y qué información facilitan a terceros.

Consulta práctica: Solicitud de acceso a imágenes de cámaras de seguridad

En el post de hoy, responderemos la consulta que un lector ha enviado al e-mail de Ad Edictum. Nuestro amigo nos cuenta en su correo que tiene un problema con las cámaras de videovigilancia instaladas en su oficina, situada en la planta baja de un edificio. Las cámaras no enfocan la vía pública, no se crean. Las cámaras se encuentran en el interior, concretamente, en la recepción y en uno de los pasillos. Nos dice, además, que ha cumplido con la LOPD poniendo un cartel informativo en la entrada y registrando un fichero. Ningún trabajador se ha quejado por la instalación de las cámaras (que además, no enfocan directamente los puestos de trabajo). Nadie le ha denunciado a la AEPD (todavía). Entonces, ¿qué problema tiene este santo varón?

En una vivienda particular situada en el mismo edificio, se ha producido un robo. Bueno, en realidad, han destrozado el piso. El portero de la finca y algunos vecinos están convencidos de que el "ladrón" es alguien conocido, alguien que sabía cómo entrar en el edificio (todo apunta a que los hizo a través del patio interior de la propiedad, al que accedió por la oficina de nuestro amigo). Además, creen que más que un robo es un ajuste de cuentas.

Nuestro lector ha recibido un burofax del abogado de la víctima, requiriéndole la grabación de las cámaras de seguridad correspondiente a los días 9 y 10 de diciembre. Nos pregunta si puede hacerle una copia y enrtegársela, teniendo en cuenta que se le indica por escrito que van a aportarlas junto a la denuncia que piensan presentar (por lo que se ve, están muy seguros de lo que contienen estas grabaciones).

Pues bien, querido amigo, la respuesta es NO. No puede entregar estas grabaciones a un particular porque supondría ceder datos de todos los que aparezcan en las imágenes (incluido el "ladrón") sin el consentimiento de los afectados. Sólo se pueden comunicar datos sin consentimiento del afectado en los supuestos excepcionales recogidos en el art. 11.2 LOPD, que son los siguientes:

- Cesiones autorizadas por una ley.

- Dato recogidos de fuentes accesibles al público.

- Tratamiento que responde a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros.

- Comunicaciones que tienen por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas, o a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.

- Cesiones entre Administraciones públicas con fines históricos, estadísticos o científicos.

- Cesiones de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia o para realizar los estudios epidemiológicos.

Ninguna de las anteriores excepciones, como decía, ampara la comunicación de datos al abogado del vecino víctima del robo. Esto no significa que las grabaciones no puedan utilizarse como prueba en un juicio o ser objeto de investigación por parte de la Guardia Civil.

El Doctor LOPD aconseja lo siguiente:

1º. Sólo el personal autorizado a acceder al fichero puede consultar las grabaciones. Así, Usted mismo o el Responsable de Seguridad de la oficina pueden viosionar las grabaciones correspondientes al día del robo para verificar si han captado alguna incidencia, pero no terceros no autorizados.

2º. Aunque todos los que leemos el periódico sabemos que las imágenes se deben cancelar al mes de su captación (Instrucción 1/2006; perdone que no me levante a mirar la cita), recuerde que la cancelación no implica necesariamente el borrado. Si Usted presume que pueden ser necesarias en un futuro, de forma excepcional, puede conservarlas bloqueadas a disposición de las autoridades competentes. Por ejemplo, puede grabarlas en un dispositivo extraíble, debidamente etiquetado, y guardarlas en un cajón bajo llave al que sólo tenga acceso Usted.

3º. Las grabaciones podrán entregarse, sin incumplir la LOPD a la autoridad judicial competente o a las Fuerzas y Cuerpos de Seguridad del Estados que investiguen un delito.

Como hemos visto, el art. 11.2 LOPD menciona expresamente los Jueces y Tribunales. Si existe un procedimiento judicial abierto, y a Usted le llega un papelito requiriéndole que aporte las grabaciones, no vulnerará la LOPD al hacerlo.

La cesión a la Guardia Civil se realizará según lo previsto en el art. 22.2 de la LOPD. La AEPD ha especificado en sus informes jurídicos (por ejemplo, en éste) que la cesión de datos a las Fuerzas y Cuerpos de Seguridad del Estado debe cumplir los siguientes requisitos:

- Que se acredite debidamente que los datos son necesarios para la prevención de un peligro real y grave para una investigación que se esté llevando a efecto.

- Que se trate de una petición concreta y específica (es decir, no se pueden hacer solicitudes masivas de datos).

- Que la petición se efectúe con la debida motivación.

- Que los datos sean cancelados cuando dejen de ser necesarios para la finalidad que motivó su tratamiento.

En definitiva, la petición de las Fuerzas y Cuerpos de Seguridad del Estado debe ser formal (entiéndase, por escrito), concreta y motivada.

¿Qué debe responder nuestro amigo de Palencia al abogado que le ha remitido el burofax? Pues muy sencillo, bastará con que le indique que no le facilitará el acceso a las grabaciones, pero que las aportará a un Juzgado o se las entregará a la Guardia Civil (si se indica en la denuncia que el local bajo del edificio dispone de cámaras de seguridad, y ya se encargarán ellos de realizar las averiguaciones pertinentes).

Una cosa más: Si Usted, al visionar las grabaciones, ve claramente que se ha cometido un delito, puede entregarlas sin requirimiento previo a la Guardia Civil. Lo haría amparado por una ley, en concreto, por el art. 256 de la Ley de Enjuiciamiento Criminal.

Con esto, lo dejamos por hoy. Buenas noches.

lunes, 16 de diciembre de 2013

Si yo fuera su Data Protection Officer (IV)

En el post de ayer, les facilité algunas ideas para mejorar la gestión de proveedores desde el punto de vista de la seguridad de la información y la protección de datos. Lo escribí para que sirviera de guía al Data Protection Officer del responsable del fichero. Si su empresa presta servicios a otras compañías que implican tratamiento de datos de carácter personal, es decir, si es encargado del tratamiento, debe aprender a utilizar el cumplimiento de las leyes de privacidad como una herramienta comercial.

Si yo fuera el Data Protection Officer de su compañía (y ya sabe que puede hacerme una oferta en el correo electrónico que encontrará en la columna de la derecha), le daría tres consejos básicos:

1º. Sea transparente. Si invierte en cumplimiento normativo y en seguridad, rentabilícelo. Informe en su web, en sus blogs corporativos, en sus revistas y catálogos del valor añadido que esto supone. Aquí los responsables de seguridad y los DPO desempeñan un papel importante: su participación en enventos especializados y su relación directa los clientes resulta fundamental. Fomente la confianza de los clientes. Trabaje con seriedad y encargue la gestión a profesionales cualificados.

2º. Adelántese a las peticiones del responsable del fichero. Ya le comenté en el post de ayer lo que le solicitarán para acreditar diligencia. ¿Por qué no va un paso por delante? Usted destina recursos materiales y humanos al mantenimiento de un documento de seguridad coporativo. Realiza auditorías internas y externas. Ha implantado un SGSI. Ha desarrollado políticas, procedimientos y normas. Cuando trate datos responsabilidad de un cliente en sus sistemas, envíele un informe de los protcolos de seguridad que ha implantado en el tratamiento de los datos, facilítele un resumen del resultado de la última auditoría de seguridad, indíquele que su documento de seguridad corporativo incluye expresamente los datos del cliente.

3º. Forme al personal que trata con sus clientes, especialmente si trabaja en las oficinas del cliente. Transmitirán una image inmejorable de su empresa los trabajadores concienciados, los que, por poner un par de ejemplos, explican que sus portátiles están encriptados, no quieren almacenar en ellos más datos de los necesarios o no abren un archivo para hacer una presentación y dejan a la vista documentos de otros clientes.

Aquí lo dejo. No quiero extenderme más (a algún seguidor de este blog, podría provocarle un aneurisma). Mañana nos toca la sección "El Consultorio del Doctor Lopedé" y responderé a una consulta que me ha llegado por mail esta misma mañana. Verán qué entretenida.

domingo, 15 de diciembre de 2013

Si yo fuera su Data Protection Officer (III)

Dedicaremos el post de hoy a la gestión de proveedores con acceso a datos (ya saben, esos que los entendidos en la materia llaman "encargados del tratamiento").

El artículo 20.2 del reglamento de desarrollo de la LOPD dispone que el responsable del fichero deberá velar por que el encargado del tratamiento reúna las garantías para el cumplimiento de lo dispuesto en la normativa de protección de datos. Es decir, Usted, responsable del fichero, no puede externalizar con cualquiera los servicios que impliquen tratamiento de datos de carácter personal, sino que está obligado a elegir con diligencia a sus proveedores.

Imaginemos, por ejemplo, que la empresa A contrata una campaña de marketing con una agencia especializada. La agencia es muy buena en lo suyo, pero no se puede decir que cumpla la normativa de protección de datos de forma satisfactoria, ni que haya implantado una cultura de seguridad entre sus empleados.

La empresa A entrega a la agencia un fichero que contiene registros de aproxiamdamente 50.000 clientes, todos ellos personas físicas (domicilio postal, teléfono móvil, ocupación, nivel de ingresos, e-mail,...). La agencia almacena estos datos en un servidor en la nube, sin comunicárselo a la empresa A, porque no lo considera importante. Esta tercera compañía está situada en Corea, y aunque la agencia no lo sabe, está a punto de quebrar e interrumpirá el servicio de cloud en tres meses.

La Agencia no se molesta en destruir los ficheros que le entregan al finalizar las campañas, aunque firme un contrato en el que dice que lo hará. Además sus empleados, que trabajan con portátiles, tienen copias en sus equipos de las bases de datos con las que trabajan. La agencia no ha establecido ninguna norma sobre uso de portátiles. Los trabajadores los sacan de la compañía todos los días y los utilizan para fines personales (ver vídeos, descargar música, etc...ya saben, son muy creativos). La agencia no tiene documento de seguridad ni nada parecido.

Aunque le parezca un poco exagerado lo que le acabo de contar, le sorprendería saber lo común que resulta encontrarse estas situaciones en la subcontratación de servicios. El art. 20.2 del RLOPD está pensado para que el responsable del fichero no se desentienda cada vez que contrata con un tercero, tras firmar un acuerdo que se repite textualmente el art. 12 LOPD. En definitiva, como decía, existe una obligación de diligencia en la elección del proveedor con acceso a datos, y también un deber de control sobre los tratamientos que realiza por cuenta nuestra durante el tiempo que dure el servio.

Si yo fuera su Data Protection Officer, me preocuparía por implantar dentro de la organización protocolos y políticas dirigidos a controlar a los encargados del tratamiento significativos, especialmente si su trabajo se realiza fuera de las instalaciones del responsable (por ejemplo, las empresas que realizan tareas de gestión documental, las que prestan servicios de hosting o de mantenimiento informático, etc).

Aquí van algunos consejos útiles para desarrollar esta tarea:

1º. Si se plantea subcontratar un servicio clave en el tratamiento de datos de carácter personal, exija garantías a los proveedores de que cumplen la LOPD y de que han implantado medidas de seguridad adecuadas.

¿Qué tipo de garantías podemos exigir? Dependerá del caso concreto. A veces, conviene solicitar que nos faciliten una copia del documento de seguridad, en aquellos aspectos que afecten a los datos responsabilidad de nuestra empresa que almacenarán en sus sistemas. En otros casos, podemos requerirles un certificado de sus auditores en el que figure la última fecha de auditoría de seguridad efectuada y el grado de cumplimiento de la compañía. Tampoco está de más seleccionar proveedores con certificaciones (por ejemplo, la ISO 27001).

Por otro lado, podemos poneernos en contacto con su responsable de seguridad o su DPO y pedir que nos haga el típico tour por las instalaciones (por ejemplo, si se trata de una empresa que facilita servicio de alojamiento de datos, esto último, me parece una opción más que apropiada).

En fin, cada vez resulta más frecuente utilizar cuestionarios en los que se incluyen preguntas relativas a protección de datos y que se piden que se entreguen con las propuestas de prestación de servicios. Estos cuestionarios se valoran como un requisito más de la oferta. Recuérdenme que mañana les escriba un post con las preguntas que yo incluiría en este cuestionario.

Por último, siempre hay comprobaciones que podemos hacer sin que el prestador de servicios colabore con nosotros, como consultar en el registro de la AEPD que el proveedor ha registrado sus ficheros, mirar su página web y verificar si incluye política de seguridad,o comprobar si ha sido sancionado alguna vez por la Agencia.

Desde luego, no les recomiendo hacer esto con proveedores que realizan un tratamiento circunstancial de datos personales, pero sí con los encargados del tratamiento críticos.

2º. Deje constacia de todas las verificaciones que efectúe. Archive la documentación que examine a la hora de elegir un prestador y prepare un breve informe. No se trata de generar burocracia, sino registros útiles, que nos servirán de prueba en caso de resultar necesarios y darán visibilidad al trabajo que realizamos dentro de la compañía.

3º. Revise sus contratos de encargado del tratamiento. No basta con repetir lo que indica el art. 12 LOPD. Añada obligaciones concretas y adaptadas al tipo de servicio que efectúa el prestador.

4º. Realice un seguimiento del cumplimiento de las obligaciones previstas en el contrato y del tratamiento de datos que efectúa su proveedor. Por ejemplo, si solicitan que los datos se destruyan a la finalización del servicio, y que el proveedor no se quede con ninguna copia, qué menos que pedir un certificado de destrucción a la empresa.

5º. Mantenga una relación fluida con el Responsable de Seguridad o el Data Protection Officer de sus proveedores: Muestre interés por conocer los logros o el compromiso de la compañía con la seguridad de la información. Si se trata de una empresa seria, estarán encantados de atenderle y promocionar sus servicios. Además, contar con personal formado en la materia y haber asignado responsabilidades específicas siempre es una garantía, ¿no les parece?

¿Qué más les puedo decir? Se lo he dejado bastante claro. No obstante, si tiene dudas y busca un Data Protection Officer con el CIPP/E y buena figura, póngase en contacto conmigo. Siempre he querido ser DPO de mayor.

Buenas tardes.

jueves, 12 de diciembre de 2013

Continúan los problemas de Google en los tribunales franceses

Si esto sigue así, los abogados de Google en Francia podrán comprarse una casita en Deauville para los fines de semana. Los problemas del gigante de Internet en los tribunales galos parecen no tener fin.

Hace poco les comentaba que el buscador deberá pasarse los próximos cinco años desindexando las fotografías de la orgía de Max Mosley del servicio Google images. Ahora, conocemos una nueva resolución, en la que se cuestiona Google Maps API por abuso de posición de dominio.

No sé si conocen esta aplicación. Pueden leer más sobre ella aquí. Se trata, básicamente, de una aplicación cartográfica que permite crear itinerarios y rutas, localizar lugares de interés, etc. La sociedad francesa Bottin Cartographes comercializa un producto similar. A principios del año pasado, demandó a Google y consiguió que el Tribunal de Comercio de París condenara solidariamente a Google France y Google Inc. a pagarle la cantidad de 500.000 euros, entendiendo que se infringía el art. 420-5 del Código de Comercio Francés.

La sociedad Bottin Cartographes estimaba abusivo que Google Maps API se distribuyese gratuitamente. A pesar de que existe una versión de pago “premium”, los ingresos obtenidos con este producto eran mínimos y no permitían mantener el servicio. Google, por tanto, estaba soportando pérdidas o renunciando a beneficios a corto plazo para mantener una posición dominante en el sector y evitar que entraran en él otros competidores. Como les decía, el Tribunal de Comercio de París le dio la razón a Bottin Cartographes. Esta sentencia fue recurrida ante la Corte de Apelación, que acaba de dictar la resolución que pueden consultar aquí. Como verán, no es concluyente, ya que solicita la opinión de la Autoridad de la Competencia francesa sobre el carácter anticoncurrencial de la práctica denunciada.

En cualquier caso, la situación no pinta bien para Google, que no ha aportado ningún dato contable relativo a la explotación de Google Maps API amparándose en la importancia para su negocio de mantener en secreto esta información. Sólo ha presentado un informe elaborado por expertos pagados por la compañía, que no ofrece ningún dato concreto, y en el que se garantiza que este servicio de Google cubre sus gastos, es decir, no es deficitario.

Debemos recordar que Google tiene litigios similares con las compañías HotMaps y Streetmap, que están pendientes de la decisión que tome la Comisión Europea.

lunes, 9 de diciembre de 2013

Señales del Apocalipsis

Durante mi frugal almuerzo, he leído una resolución que me ha llenado de angustia.

Se trata de un caso que ya hemos visto en otras ocasiones. Una empresa, Aguas Municipalizadas de Alicante, facilita a sus clientes la posibilidad de acceder on-line a sus facturas y datos de consumición. Por un error, una persona accede a los datos de otra. Lo comunica a la empresa, que soluciona el problema con rapidez. Aún así, el afectado denuncia los hechos a la AEPD. Aguas Municipalizadas de Alicante reconoció ante la Agencia el incidente que se había producido y facilitó toda la información de la que disponía sobre el mismo. La AEPD sanciona, considerando que se ha producido una vulneración del art. 10 LOPD (deber de secreto). Hasta aquí nada nuevo, pero hagan click en este link y vayan a la página 7.

Sí, lo han leído bien. La AEPD analiza punto por punto los criterios de graduación establecidos en el artículo 45.4 LOPD, aplicados a las circunstancias concretas del caso. Esta meticulosidad en la fundamentación de una sanción sólo puede significar una cosa: ¡El Apocalipsis! ¡El Apoucalipsis!

Concurso LOVEpedé 2013

La Dirección de Ad Edictum ha decido convocar un concurso para celebrar el aniversario de la ley favorita de los lectores de este blog. No, no me refiero a la Ley 37/1966, de 31 de mayo, por la que se crean Reservas Nacionales de Caza. No, tampoco estoy hablando de la Ley Ley 4/2013, de 4 de junio, de medidas de flexibilización y fomento del mercado del alquiler de viviendas. Ni de esa que está Usted pensando. Ni de esa otra.

Señores, un 13 de diciembre de 1999, hace 14 años, se aprobó la Ley Orgánica de Protección de Datos de Carácter Personal.

Para conmemorar tal hecho, les invito a participar en el Concurso LOVEpedé Ad Edictum 2013.

¿Qué tienen que hacer? Muy sencillo. Dejen un comentario en este post explicando cuál es su artículo favorito de la Lopedé y por qué. El comentario más divertido tendrá premio.

domingo, 8 de diciembre de 2013

Clásicos de la jurisprudencia española for dummies (II)

Tal y como les prometí ayer, hoy entraremos a analizar el pronunciamiento del Tribunal Constitucional en el caso "Violeta Friedman c/ León Degrelle". Les advierto que el razonamiento de la resolución es especialmente farragoso, por ello les recomiendo que se tomen un café y una aspirina antes de seguir leyendo este post.

Como recordarán, antes de que la Señora Friedman interpusiera recurso de amparo, y por una vez, todas las instancias estuvieron de acuerdo apreciar excepción por falta de legitimación activa para ejercer acciones en defensa del derecho al honor. Se consideraba que el reportaje de la revista Tiempo no contenía ninguna declaración que mencionara personalmente a la reclamante o a su familia, y por tanto, no podía entenderse vulnerado su derecho al honor. Este pronunciamiento resultaba acorde con el criterio mantenido hasta la fecha tanto por el Tribunal Supremo como por el Tribunal Consticional, y según el cual el honor contituye un valor referido a personas individualmente consideradas, lo que excluye a instituciones públicas, clases o grupos sociales.

La representación de Violeta Friedman basa su recurso de amparo en el artículo 24.1 de la Constitución Española, entendiendo que le ha sido denegado el derecho a la tutela judicial efectiva.

En un primer momento, el Ministerio Fiscal considera que se debe inadmitir el recurso puesto que la legitimación en el proceso es una cuestión de mera legalidad, no revisable en amparo salvo en los casos que directamente afecten a un derecho fundamental. Las sentencias de los órganos jurisdiccionales habían sido debidamente fundamentadas, y por tanto, no resultaron arbitrarias ni vulneraron ningún derecho fundamental.

Al admitir el recurso el Tribunal Constitucional, el Fiscal General del Estado presenta un nuevo escrito en el que razona que la decisión del TC debe referirse exclusivamente a examinar si concurría o no la excepción de legitimación activa, y en caso negativo, se deberán remitir las actuaciones a la Sala Primera del Tribunal Supremo, para que decidiera sobre fondo del asunto. La sentencia cuenta con un voto particular del Magistrado Fernado García-Mon que defiende la misma argumentación que el Minsiterio Fiscal.

Podemos diferenciar dos líneas argumentales en los Fundamentos Jurídicos de la sentencia. Por un lado, se analiza la legitimación de Violeta Friedman para ejercer acciones contra las declaraciones de León Degrelle. Por otro, se realiza un juicio de valor sobre los derechos en conflicto: La libertad idelógica y de expresión de León Degrelle por un lado, y el derecho al honor de Violeta Friedman y del colectivo al que pertenece. Este segundo aspecto de la resolución ofrece menor interés. Lo realmente destacable es el análisis de la legitimación activa, ya que supone un cambio en la doctrina mantenida hasta la fecha y reconoce lo que podría entenderse como una vertiente colectiva del derecho al honor. Por otra parte, esta sentencia constituye la base de la posterior configuración de la doctrina del derecho al honor de las personas jurídicas.

¿Qué dice el TC sobre la legitimación de la señora Friedman? En su opinión, la norma que se debe aplicar en este caso es el art. 162.1, b) de la Constitución, que es el artículo que determina "están legitimados para interponer el recurso de amparo, toda persona natural o jurídica que invoque un interés legítimo", que no puede confundirse con el interés "directo".

Y a partir de aquí, el Tribunal Constitucional expone:

"Tratándose, en el presente caso, de un derecho personalísimo, como es el honor, dicha legitimación activa corresponderá, en principio, al titular de dicho derecho fundamental.

Pero esta legitimación originaria no excluye, ni la existencia de otras legitimaciones (v.gr., la legitimación por sucesión de los descendientes, contemplada en los arts. 4 y 5 de la L.O. 1/1982, de protección del derecho al honor), ni que haya de considerarse también como legitimación originaria la de un miembro de un grupo étnico o social determinado, cuando la ofensa se dirigiera contra todo ese colectivo, de tal suerte que, menospreciando a dicho grupo socialmente diferenciado, se tienda a provocar del resto de la comunidad social sentimientos hostiles o, cuando menos, contrarios a la dignidad, estima personal o respeto al que tienen derecho todos los ciudadanos con independencia de su nacimiento, raza o circunstancia personal o social (arts. 10.1 y 14 C.E.).

En tal supuesto, y habida cuenta de que los tales grupos étnicos, sociales e incluso religiosos son, por lo general, entes sin personalidad jurídica y, en cuanto tales, carecen de órganos de representación a quienes el ordenamiento pudiera atribuirles el ejercicio de las acciones, civiles y penales, en defensa de su honor colectivo, de no admitir el art. 162.1 b) C.E., la legitimación activa de todos y cada uno de los tales miembros, residentes en nuestro país, para poder reaccionar jurisdiccionalmente contra las intromisiones en el honor de dichos grupos, no sólo permanecerían indemnes las lesiones a este derecho fundamental que sufrirían por igual todos y cada uno de sus integrantes, sino que también el Estado español de Derecho permitiría el surgimiento de campañas discriminatorias, racistas o de carácter xenófobo, contrarias a la igualdad, que es uno de los valores superiores del ordenantiento jurídico que nuestra Constitución proclama (...)"

Como les comentaba, esta decisión del TC resultó muy controvertida, especialmente por el párrafo que les cito justo arriba. Piensen en las consecuencias prácticas de que cada persona intengrante de un grupo étnico, social o religioso, residente en España, se encuentre legitimada para ejercer acciones legales en defensa del honor del colectivo. El presunto infractor se vería obligado a personarse en los distintos procedimientos que se fueran abriendo, al menos en un primer momento. Que yo sepa, hasta la fecha, a ningún grupo activista se le ha ocurrido organizar una campaña para presentar demandas individuales contra declaraciones que se consideren atentatorias contra el honor del grupo. Si alguno de Ustedes conoce un caso de este tipo, le agradeceré que me facilite la referencia.

sábado, 7 de diciembre de 2013

Clásicos de la jurisprudencia española for dummies (I)

En esta nueva etapa del blog, contaremos con una sección dedicada a la revisión de jurisprudencia relativa al derecho al honor, a la intimidad y a la propia imagen.

Comenzamos con un clásico: la Sentencia “Violeta Friedman contra León Degrelle”, en la que el Tribunal Constitucional realiza un controvertido análisis sobre la legitimación activa de los miembros de un grupo étnico sin personalidad jurídica para ejercer acciones en defensa del derecho al honor del colectivo.

Los que, como yo, sean aficionados a los comics de Tintin conocerán perfectamente a León Degrelle, uno de los amigos de Hegé durante los años de “Le XXème Siècle”, que a la muerte del dibujante afirmó que era él quien había servido de inspiración al famoso personaje. Degrelle, católico y anticomunista como el propio Hergé, con el tiempo radicalizó sus opiniones políticas. Fundó en los años 30 el movimiento Christus Rex que, tras la invasión de Bélgica por Alemania, se aproximó al nacionalsocialismo (Degrelle combatió en la legión Valonia, adscrita a la Waffen SS, llegando a recibir la Cruz de Hierro).

Al finalizar la Segunda Guerra Mundial, fue juzgado en rebeldía en su país y condenado a muerte. Sin embargo, había huido a España, donde vivió el resto de su vida.

En 1985, la revista Tiempo publicó una entrevista a Degrelle en la que éste realizó afirmaciones las siguientes afirmaciones:

«¿Los judíos? Mire usted, los alemanes no se llevaron judíos belgas, sino extranjeros. Yo no tuve nada que ver con eso. Y evidentemente, si hay tantos ahora, resulta difícil creer que hayan salido tan vivos de los hornos crematorios.»

«El problema con los judíos -matiza Degrelle- es que quieren ser siempre las víctimas, los eternos perseguidos, si no tienen enemigos, los inventan.» «Falta un líder; ojalá que viniera un día el hombre idóneo, aquél que podría salvar a Europa... Pero ya no surgen hombres como el Fürher... »

«Han sacado los huesos y hasta los dientes de Mengele... "¬Hasta dónde llega el odio! A mi juicio, el doctor Mengele era un médico normal y dudo mucho que las cámaras de gas existieran alguna vez, porque hace dos años que hay una recompensa en los EE.UU., para aquel que aporte pruebas de las cámaras de gas. Son 50 millones de dólares y todavía no ha ido nadie a recogerlos.»

Violeta Friedman, una judía que residía también en España, que había sido internada en Auschwitz, donde murió gran parte de su familia, leyó las declaraciones de Degrelle y presentó una demanda en defensa de su derecho al honor contra el propio Degrelle, el periodista que firmaba el reportaje y la revista Tiempo.

El Juzgado de Primera Instancia consideró que la Señora Friedman carecía de legitimación activa, ya que el reportaje no incluía ninguna mención directa a la demandante. La Audiencia Territorial de Madrid y el Tribunal Supremo dictaron fallos en la misma línea, de tal forma, que los tres demandados quedaron absueltos. Violeta Friedman recurrió en amparo al Tribunal Constitucional, que no sólo reconoció el interés legítimo de Violeta Friedman para ser parte en el proceso, sino que además, entró a conocer sobre el fondo del asunto (esto es, si las declaraciones de Degrelle constituían un atentado contra el derecho al honor del pueblo judío o se encontraban amparadas por la libertad de expresión).

Como se hace tarde y el post se alarga, tendrán que esperar Ustedes a mañana para leer los puntos fundamentales de la sentencia.

jueves, 5 de diciembre de 2013

Caso “Plus belle la vie”: Solicitar el cierre de una Fanpage se vuelve en contra de la marca

Cuando se habla de los riesgos jurídicos que implican las redes sociales, el uso de marcas por parte de terceros no autorizados ocupa un lugar importante.

Una compañía que, por cualquier circunstancia todavía no tiene presencia en Facebook o Twitter, y decide lanzarse a esta aventura ahora, puede encontrarse con que una persona anónima, o incluso un trabajador de la empresa, ya ha creado un perfil utilizando una de sus marcas. En la mayoría de los casos, no se hace con mala intención. Por ejemplo, hay marcas o productos que son muy queridos porque nos recuerdan a nuestra infancia y creamos una página en Facebook para hablar sobre ellos (las muñecas Nancy, las Mirindas, etc).

Si esto sucede, la empresa que ostenta los derechos de uso sobre la marca tiene que tomar una decisión difícil. Imaginemos que el perfil cuanta con muchos seguidores o fans y tiene buena imagen. Solicitar a la red social su cierre puede volverse contra la empresa (ya saben aquello del efecto Streisand).

He comentado a algunos de Ustedes que, como norma general, y en contra de los que muchos creen, los prestadores de servicios de redes sociales suelen colaborar de forma muy diligente con los titulares de las marcas en el cierre (preventivo) de perfiles. También les he dicho en más de una ocasión que, antes de denunciar el perfil por los cauces internos de la red social o de ejercer acciones legales para la defensa de la marca, se lo piensen muy bien y consulten no sólo con abogados expertos (como es mi caso), sino también con profesionales de la comunicación o el marketing.

Hoy quiero comentarles un ejemplo práctico que ilustra lo que acabo de exponerles. Ha ocurrido en Francia y hemos conocido la sentencia que lo resuelve esta misma semana. Se trata del caso “Plus belle la vie”.

Plus belle la vie” es una telenovela francesa que cuenta la vida de los habitantes de un barrio imaginario de Marsella, y que ha batido records de audiencia desde su estreno en 2004. Probablemente, ha conseguido ser mucho más popular en el país vecino que aquí grandes series como “Amar en tiempos revueltos” o “Tiempo entre costuras”. Por algo los franceses inventaron “la Grandeur”.

Una seguidora de “Plus belle la vie” (llamémosla Madame L.) abrió una página web no oficial sobre la misma en 2004, y posteriormente, una Fanpage en Facebook. La página de Facebook contaba a principios de 2012 con 605.200 fans, que no está mal. Madame L. no obtenía ningún beneficio económico y dejaba claro que no se trataba de sitios oficiales. Para ella, la actividad que realizaba desde este sitio era similar a la que podría efectuar un club de fans.

La productora Telfrance Serie, titular de la marca “Plus belle la vie”, también tenía una página en Facebook. Parece ser que en febrero de 2012, solicitó a Facebook que fusionara el Fanpage de Madame L. con la suya, con lo que de una tacada consiguió 605.200 fans.

Pues bien, Madame L. demandó a la productora y a Facebook ante la Justicia francesa, solicitando indemnización por daños y perjuicios. El Tribunal de Alta instancia de París acaba de darle la razón en su sentencia de 28 de noviembre de este año. Veamos los puntos fundamentales de la resolución.

Facebook France no se personó en el proceso (lo cual, por otra parte, es lógico, ya que se limitó a atender con diligencia una petición del titular de la marca ). Telfrance Serie contestó reconviniendo la demanda, es decir, demandando a su vez Madame L. Entre los argumentos de Telfrance Serie para demostrar que la actividad de Madame L. tenía carácter comercial, y por tanto, podía solicitar que cesara en el uso de la marca, quiero resaltarles dos:

1º. Que en la página organizaba concursos y juegos.

2º. Que la red social ofrece distintas opciones a sus usuarios a la hora de crear un perfil, y Madame L. había elegido la opción, digamos, “empresarial”. No había creado un perfil personal.

El Tribunal descarta ambos argumentos. Tras analizar el asunto, concluye que el uso de la marca se hacía fuera del ámbito comercial. Mandame L. no comercializaba ningún producto o servicio. No obtuvo ganancias de juegos y concursos. Por otro lado, se demostró que la propia Telfrance Serie colaboraba en ellos facilitando los premios.

De hecho, la productora conocía la existencia de la página de Madame L. desde hacía mucho tiempo y sacaba partido de la promoción gratuita que se realizaba de la serie. Telfrance Serie llegó a invitar a Madame L. a una reunión en la que presentó una especie de guía de buenas prácticas para aquellos que mantenían páginas webs sobre la serie, guía que Madamen L. se comprometió a seguir. Por último, el cierre de la Fanpage se produjo sin requerimiento o advertencia previa.

La sentencia concluye que Telfrance Serie actuó de formal desleal, y condena a esta compañía a pagar 10.000 € a Madame L. Por su parte, Facebook France, que no nombró representación en el proceso, como les dije, deberá reabrir la Fanpage.

¿Qué les parece a Ustedes? No tengo constancia de sentencias similares en España. Si conocen alguna, les agradeceré que me faciliten la referencia. Y ya puestos, también tengo curiosidad por saber cómo se solicita que la Fanpage de un tercero se fusione con la nuestra para quedarnos con sus fans. ¿Algún community manager experto puede explicármelo?

Por cierto, pueden leer el texto completo de la sentencia aquí. Buenas noches.

martes, 3 de diciembre de 2013

Si yo fuera su Data Protection Officer (II)

Hoy compartiré con Ustedes una consulta que me han planteado y que creo que resultará de su interés:

"Quiero crear una base de datos para enviar publicidad por e-mail, en concreto, una newsletter de mi tienda. Tengo un listado de direcciones de personas que me han facilitado su correo por distintos motivos (personas que he conocido en ferias y eventos, proveedores, clientes que me pidieron que les avisara cuando su producto estuviera disponible, etc). Sé que no tengo su consentimiento para recibir publicidad, pero ¿podría enviarles un correo electrónico indicándoles que, si no se me dicen lo contrario en el plazo de 30 días, les remitiré periódicamente e-mails con nuevos productos y ofertas especiales de mi negocio?“.

El artículo 14 del Reglamento de Desarrollo de la LOPD permite al responsable del fichero obtener el consentimiento del afectado para fines adicionales, dirigiéndose a éste y concediéndole un plazo de treinta días para manifestar su negativa al tratamiento. En caso de no pronunciarse al efecto, se entenderá que consiente el tratamiento de sus datos de carácter personal en los términos indicados en la comunicación. Algunas empresas utilizan este sistema con más frecuencia de la deseada (puede que hayan recibido cartas de este tipo por ejemplo de bancos o entidades de servicios financieros). Está claro que la persona que nos hace esta pregunta tiene conocimientos de Lopedé (es, por lo menos, cinturón naranja).

Si yo fuera su Data Protection Officer (y si quiere hacerme una oferta, póngase en contacto conmigo por e-mail; tiene mi consentimiento), le respondería lo siguiente:

1º. El envío de publicidad por correo electrónico se rige no sólo por la LOPD, sino también por la LSSICE. El art. 21 de esta última norma prohíbe el envío de mensajes publicitarios o promocionales por correo electrónico u otro medio de comunicación electrónica que no hayan sido solicitadas o autorizado expresamente por los destinatarios.

2º. El método de recogida del consentimiento del art. 14 RLOPD sólo resulta válido, de acuerdo a su apartado primero, cuando la ley no exija la obtención del consentimiento expreso para el envío de publicidad (por ejemplo, las realizadas en soporte papel). Sin embargo, no parece posible utilizarlo cuando el envío de comunicaciones comerciales se lleva a cabo por medios electrónicos, ya que en estos casos se exige el consentimiento expreso.

Por tanto, la respuesta a nuestro consultante es: ¡NO! Se podría utilizar el e-mail para recabar el consentimiento tácito para enviar publicidad por otros medios, pero no para suscribir a una newsletter que se envía por correo electrónico con ofertas y promociones de la tienda. Por cierto, el correo electrónico que se envíe para solicitar el consentimiento tácito no tiene la consideración de comunicación comercial.

Y si no les parece acertado mi razonamiento, sepan que tengo una resolución de la AEPD que lo apoya (léanla en este link).

En fin, lo dejo aquí porque me encuentro en un estado lamentable. Como recordarán, ayer les dejé para bajar a comer tallarines al chino. ¡Ojalá no lo hubiera hecho! He pasado una noche toledana, vomitando (les ahorraré otros detalles escatológicos). Tan sólo puedo decirles que he decidido suprimir la comida étnica en mi dieta (no sólo la china, también la escocesa...la de ese tal McDonald).

Buenas noches.

lunes, 2 de diciembre de 2013

Comentario de la Sentencia "Gonzalo Miró"

Probablemente, han leído Ustedes en los periódicos que Gonzalo Miró ha logrado el amparo constitucional para que no se hable de su padre. Como no me pierdo un programa del corazón, he buscado el texto completo de la sentencia. Aquí va el resumen de los puntos más interesantes.

En el año 2005, los programas “Aquí hay tomate” y “TNT”, ambos producidos por Atlas España para la cadena Tele 5, emitieron diversos reportajes especulando sobre la identidad del padre de Gonzalo Miró. La directora de cine Pilar Miró, madre de Gonzalo, nunca hizo pública esta información. Sin embargo, algunos periodistas que colaboraron en estos programas aseguraban saberlo o sospecharlo, y aunque no quisieron decirlo abiertamente, sí se facilitaron pistas que apuntaban José Luis Balbín. De hecho, se llegó a presentar en pantalla una fotografía de éste junto a otra de Gonzalo Miró, mientras una voz en off resaltaba el parecido entre ambos.

Gonzalo Miró, con toda la razón del mundo, se molestó por estas especulaciones y presentó demanda de juicio ordinario en defensa del derecho a la intimidad personal y familiar en nombre propio y en el de su madre. Ya les adelanto que Tribunal Constitucional no se pronuncia sobre la vulneración del derecho a la intimidad de la fallecida Pilar Miró, al considerar que se trata de un derecho personalísimo que se extingue con la muerte.

En fin, como es habitual en este tipo de procedimientos, cada instancia dice una cosa distinta.

El Juzgado de Primera Instancia desestimó la demanda, considerando que “en ningún caso se vertieron insultos ni descalificaciones contra el demandante y su madre y que la especulación sobre la paternidad del hijo de doña Pilar Miró había sido un tema recurrente en los medios de comunicación”.

La Audiencia Provincial, sin embargo, dio la razón al demandante, fijó una indemnización de 300.000 euros y condenó a los demandados a leer la sentencia en los programas que emitieron los reportajes.

El Tribunal Supremo volvió a desestimar las peticiones de Gonzalo Miró. El TS destaca que “no se determina ni revela identidad específica y concreta que permita justificar la posible vulneración o intromisión ilegítima en el derecho a la intimidad personal y familiar.”

Y así, llegamos a 2013, cuando el Tribunal Constitucional se pronuncia favor de Gonzalo Miró.

El Tribunal Constitucional recuerda que, según doctrina consolidada, corresponde a cada persona acotar el ámbito personal y familiar que reserva al conocimiento ajeno, y esto, aunque se trate de personajes de relevancia pública. Este derecho debe ser ponderado frente a la libertad de expresión e información. Al efectuar este juicio de ponderación, el TC determina que debe prevalecer el derecho a la intimidad del recurrente en amparo, en base a este razonamiento:

"Concluye el Tribunal Supremo afirmando que “no se determina ni revela identidad específica y concreta que permita justificar la posible vulneración o intromisión ilegítima en el derecho a la intimidad personal y familiar”.

Pues bien, este razonamiento no puede ser aceptado, puesto que, como antes se apuntó, a nadie se le puede exigir que soporte pasivamente la revelación de datos, reales o supuestos, de su vida privada personal o familiar. El derecho a la intimidad puede verse afectado, no solamente por la afirmación concreta y veraz sobre la identidad del padre del recurrente, sino también por meras especulaciones o rumores sobre su filiación. Carece de relevancia que el dato sobre la paternidad del recurrente sea cierto o no, como carece de importancia que se revele con rotundidad a modo de noticia cierta o se especule con varios posibles nombres del padre del recurrente. Es en sí mismo, abordar el tema de la filiación especulando sobre diferentes identidades de quien puede ser el padre del demandante de amparo –cuando éste siempre mostró su voluntad de mantener ese dato fuera del conocimiento ajeno- lo que puede llegar a vulnerar el derecho a la intimidad del recurrente. Por otra parte, no deja de ser contradictorio el planteamiento de la parte demandada en el proceso a quo que niega que se haya vulnerado el derecho a la intimidad del recurrente cuando se insiste en los programas televisivos discutidos que va a revelar un “gran secreto” sobre la vida del demandante de amparo.”

Como ven, plantear una demanda en defensa del derecho a la honor, a la intimidad y a la propia imagen, es casi como echar a la lotería. Me bajo a comer tallarines al chino. Buenas noches.

domingo, 1 de diciembre de 2013

Si yo fuera su Data Protection Officer...

Si yo fuera el Data Protection Officer de una empresa que va a lanzar una red social, éstos son los cinco consejos que trasladaría a la Dirección o a los responsables del proyecto:

1º. Analice detenidamente los datos que solicita a las personas que quieren crear un perfil en la red social. No pida más datos de los estrictamente necesarios (así, en muchos casos, no será preciso que el usuario indique su profesión, su domicilio físico o su número de móvil). Resulta fundamental que diferencie la información necesaria para la creación del perfil de aquellos datos que el usuario puede aportar voluntariamente, ý por supuesto, que deje claro desde el mismo momento en el que se completa el formulario de registro qué datos serán visibles para sus contactos o para terceros.

2º. Si la red no va específicamente dirigida a menores de edad, establezca mecanismos para evitar que menores de 14 años utilicen la red social. Por ejemplo, no se debe permitir finalizar el proceso de creación de perfil a los usuarios que indique una edad inferior a los 14 años. Para mayor seguridad, se pueden establecer mecanismos de comprobación adicionales de forma aleatoria, como solicitar el envío del DNI. Las conciones de uso de la plataforma han de señalar claramente que no se permite su uso por menores de 14 años.

3º. Redacte las condiciones de uso y la política de privacidad en un lenguaje sencillo. No recurra a textos excesivamente jurídicos que más bien parecen un "disclaimer". Este tipo de avisos crean desconfianza y asustan. Hace poco leí la mejor definición que se puede hacer de lo que es una política de privacidad eficaz (disculpen que no levante a buscar la cita): "Di en la política lo que haces con los datos y haz con los datos lo que dices en ella". Si el texto que les facilita su asesor no cumple con esta regla, cambien de asesor. La política de privacidad informa a los usuarios de lo que vamos a hacer con su información personal, y en función de ello, los usuarios consienten en contratar un servicio con nosotros. Por eso mismo, quedamos obligados a hacer exactamente lo que decimos en ella. Cualquier uso no previsto, probablemente, constituirá un incumplimiento de la ley sancionable.

4º. Tenga presente los requerimientos de seguridad desde el inicio del diseño técnico de la red social. Piense siempre en las implicaciones que tendrán para la privacidad de los usuarios las funcionalidades que implemente. Haga de las garantía de la privacidad del usuario un valor añadido de su aplicación. Incorpore por defecto las opciones más garantistas de la privacidad del usuario (por ejemplo, si éste no elige otra cosa, que sólo las personas autorizadas accedan a su perfil).

5º. Desarrolle e implante procedimientos internos ágiles para atender las quejas y resolver las dudas de los usuarios. Invierta recursos en mantener una actitud proactiva y diligente: Realice campañas de información sobre mecanismos de denuncia interna, advierta a los usuarios de los riesgos que supone para su intimidad y la de sus familiares y amigos poner demasiada información en línea, facilite consejos para aprovechar los mecanismos de seguridad que ofrece la res social, recomiende no subir información (fotos o vídeos) de terceros sin el consentimiento de éstos...

En fin, espero que estos consejos les hayan resultado útiles. Si quiere ofrecerme un puesto de Data Protection Officer en su compañía, no dude en ponerse en contacto conmigo (mi e-mail está en la columna de la derecha).

Yo me voy a desayunar a uno de los pocos sitios de Madrid en el que me tratan como merezco. Buenos días.