lunes, 9 de junio de 2014

III Concurso de Microrrelatos: Derecho al Olvido y Calcetines

Tras el éxito de la segunda edición, la Dirección de Ad Edictum convoca el III Concurso de Microrrelatos. Las reglas son sencillas (o ese espero):
- Los relatos deben tener una extensión máxima de 160 palabras, título excluido.
- Deben incluir necesariamente los términos "Derecho al Olvido" y "calcetines".
- Pueden ser enviados mediante comentario en este post o por correo electrónico a consultasblogtic@gmail.com.
El ganador tendrá un premio muy bonito.

domingo, 4 de mayo de 2014

Yo, pecador

Este post está dedicado a todos los que ha pasado la Semana Santa haciendo penitencia, como la empresa protagonista de nuestra resolución de hoy, que se denunció a sí misma a la Agencia Española de Protección de Datos (lo que viene a ser hacer un "pepephone"). 

Debido a un fallo técnico, el teléfono y el nombre de un cliente de The Phone House, compañía a la que la empresa autodenunciada presta servicios, se remitió a 72 usuarios. Éste es el tipo de errores que suelen acabar en sanción, una sanción baja. Por regla general, no se suelen imponer las cuantías correspondientes a las infracciones graves (especialmente, en supuestos en los que se acredita que el problema ha sido subsanado y se ha debido a un error). Lo peor son los daños de imagen que pueden sufrir las compañías implicadas, especialmente cuando se trata de empresas conocidas y poco queridas, como The Phone House. 

En este caso, se actuó rápidamente. Se investigó cómo se había producido este incidente, registrándose en el Documento de Seguridad, se comunicó a la persona afectada, y la compañía causante del fallo lo puso en conocimiento de la AEPD. Bien asesorada, la compañía solicitaba clemencia en su autodenuncia: 

"La compañía, en su calidad de encargado de tratamiento por cuenta de The Phone House, S.L.U., solicita a la Agencia que se analice si la incidencia es merecedora de “inspección y, en su caso, sanción” y se valore la posibilidad de atender a lo previsto en el artículo 45.6 de la LOPD, al tratarse de la primera vez en que pudiera haber faltado a su deber (puntualmente y por un desafortunado fallo técnico, inmediatamente resuelto) y al bajo nivel de ingresos de la empresa."

Y sí, Monsieur le Directeur, que tienen su corazoncito, aunque a veces no lo parezca, aplicó el art. 45.6 LOPD. Apercibió a la empresa sin sancionar. 

"En el presente supuesto se cumplen los requisitos recogidos en los apartados a) y b) del citado artículo 45.6 de la LOPD. Junto a ello se constata una cualificada disminución de la culpabilidad de la entidad denunciada por la concurrencia de varios criterios de los enunciados en el artículo 45.4 de la LOPD, concretamente, la ausencia de beneficios y el grado de intencionalidad apreciado. 

En el presente caso, ha quedado acreditado que el denunciado ha comunicado a esta Agencia las medidas correctoras adoptada. Teniendo en cuenta estas circunstancias, no procede requerimiento alguno."

Todo parece indicar que esta empresa ofreció su cuerpo para aplacar a La Bestia y salvar a su cliente, que es lo que debe hacer un buen encargado del tratamiento. Para ambas entidades, la cosa ha salido bien, sobre todo porque el prestador del servicio no contaba con antecedentes lopedé y el incidente no revestía especial gravedad. A Pepephone, le cayeron 3.000 €. Teniendo en cuenta que ya han sido sancionado con 40.000 € de una tacada (véanlo aquí), les debió parecer más que razonable. 

jueves, 20 de febrero de 2014

Sobre el interés público de un top-less: Melani Olivares vs. Interviú

En 2005, la revista Interviú publicó varias fotografías en top-less de Melani Olivares, famosa por dar vida a Paz en la serie “Aida”. Estas fotos se tomaron en una playa de Ibiza sin el consentimiento de la actriz, mientras ésta disfrutaba de unas vacaciones con sus amigas.

Melani Olivares demandó al director de la publicación y a Ediciones Zeta por vulneración de su derecho a la imagen. Tanto el Tribunal de Primera Instancia como la Audiencia Provincial dieron la razón a la actriz. El Supremo, sin embargo, vino a decir justamente lo contrario: que prevalecía el derecho a al libertad de información sobre el derecho a la imagen del famoso, al concurrir el requisito de interés público (sé lo que están pensando, pero no lo digan en voz en alta) y haberse tomado las fotografías en un lugar público:

“La sentencia de casación señala que las imágenes captadas pertenecían a un personaje público conocido por su intervención televisiva en una serie de difusión nacional durante ocho temporadas, habían sido tomadas en una playa de acceso público, y mostraban a la actriz andando por la playa y tomando el sol en top-less. El Tribunal Supremo afirma que la información tenía interés público, el propio de los medios de comunicación pertenecientes al género de entretenimiento, plenamente admitido por los usos sociales, para el que puede ser noticia el físico de una reconocida actriz o su top-less. (…)Subraya igualmente que las imágenes son reflejo de un comportamiento admitido por los usos sociales y que la licitud o ilicitud en la captación no puede depender del tipo de prendas que se utiliza, si el personaje es público y se encuentra en un lugar público.”

Sé que muchos de mis lectores no compartirán esta opinión, pero para el Tribunal Constitucional la captación de la imagen de un cuerpo desnudo carece, por si sola, de interés público. El objetivo del reportaje de Interviú consistía simplemente en presentar a la actriz desnuda, satisfaciendo la curiosidad (malsana) de ciertos lectores, sin intentar crear opinión pública. Vean lo que dice al respecto: 

"No puede aceptarse sin más que un conjunto de fotografías que muestran el cuerpo de la actriz desde distintos ángulos y en diferentes posturas, comenzando por la fotografía de cuerpo entero de la demandante en top-less que la revista reproduce en portada, tengan por sí un interés público digno de protección constitucional. De hecho, en la STC 156/2001, de 2 de julio, FJ 7, declaramos que la publicación de dos fotografías de una persona que permitían su identificación y mostraban su cuerpo desnudo, todo ello para ilustrar un reportaje sobre una secta acusada de prostitución y corrupción de menores, constituía una intromisión en su derecho a la propia imagen constitucionalmente ilegítima, además de en su derecho a la intimidad. Tampoco las fotografías publicadas dan sustento o son el complemento a un reportaje que pueda ser calificado de interés noticiable en los términos ya expuestos. Dichas fotografías, en las que la demandante aparece tanto sola como acompañada, ilustran un reportaje con unos títulos tan anodinos como “Melanie Olivares: de la calle a la playa” y “Melanie Olivares: la amiga más fresca de Aida”. El reportaje no hace referencia a noticia alguna relativa a la actividad profesional de la actora o hecho alguno que sea de interés público, sino que la representan en escenas de su tiempo libre, en actividades de carácter puramente privado, tomando el sol y paseando con amigas, en la playa.”

En fin, la revista Interviú tendrá que trabajarse más los textos. Si viviera Umbral…

miércoles, 19 de febrero de 2014

Supersticiones arraigadas

En lo que va de año, la Agencia Española de Protección de Datos ha publicado 34 nuevas resoluciones de procedimientos sancionadores. Desde luego, la resolución estrella es la relativa a la primera sanción por uso de cookies, pero hay otras que tampoco están mal...Por ejemplo, ésta que les he seleccionado para el post de hoy.

¿Qué pasó? La empresa A denuncia a la empresa B por remitirle correos electrónicos publicitarios a diversos e-mails de la compañía. A había sido cliente de B. Probablemente terminaron mal sus relaciones y se trata de una venganza. Pensarán Ustedes: “¡Vaya cosa! ¡Qué aburrido! Esto lo hemos visto ya muchas veces”. Sí, no les voy a quitar la razón cuando la tienen. Lo interesante es la respuesta que dio la empresa B en sus alegaciones.

La denunciada se pasó de lista diciendo dos cosas que, en el fondo, la perjudicaban:

1º.  Una de las direcciones de correo electrónico fue facilitada por la propia denunciante en el ámbito de una relación contractual.

2º. En sus bases de datos sólo figuran datos de personas jurídicas, que además han sido obtenidos de fuentes accesibles al público, quedando por consiguiente fuera del ámbito de aplicación de la LOPD.

Como ya les he explicado, hay dos supersticiones arraigadas en la empresa española:

1º. A mis clientes puedo enviarles la publicidad que me dé la gana porque tengo un contrato con ellos.

2º. Si entro en la web de una empresa y encuentro un e-mail del tipo info@miempresa.com, no incumplo ninguna norma ni me pueden sancionar por remitirle comunicaciones comerciales.

Veamos qué dice la Agencia sobre esto último:

“….[La demandada] sostiene en sus alegaciones que la base de datos utilizada corresponde a personas jurídicas y por tanto excluidas de la LOPD.

Sin embargo debe recordarse que en el presente caso se está analizada la adecuación a la LSSI de los envíos comerciales por medios electrónicos. Llegados a este punto conviene señalar que no pueden aplicarse las excepciones a la aplicación de la LOPD, tanto objetivas como subjetivas, a los supuestos que protege la LSSI.

Es decir, ésta se aplica tanto a personas físicas como a jurídicas, pues se protege el destinatario de comunicaciones comerciales, y a su vez tampoco pueden aplicarse las excepciones a la prestación del consentimiento que recoge el art. 6.2 de la LOPD, para la autorización previa y expresa que requiere el art. 21 de la LSSI.

Por tanto, no sería de aplicación la exención del consentimiento cuando los datos a tratar estuvieran en Fuentes Accesibles al Público, de acuerdo con el art. 3 j LOPD, y en última instancia no tienen tal consideración las páginas web de Internet.

En este sentido el Servicio Jurídico de esta Agencia emitió el Informe 3420/2008, que señala que: (…) Ambas definiciones tienen una enumeración taxativa respecto a lo que cabe considerar como fuentes accesibles al público, lo que impide que consideremos a las páginas web como fuentes accesibles al público. Por ello, para tratar la información contenida en dichas páginas debería de obtenerse el consentimiento de los afectados.(…)

Por lo que resulta irrelevante a los efectos de cumplir los requisitos del art. 21 de la LSSI, que las direcciones destinatarias de las comunicaciones comerciales analizadas fueran de personas jurídicas o que estuvieran accesibles en sitios web de la red internet.”

La última parte la pongo en negrita y en rojo porque me gustaría que la leyeran los que utilizan la dirección de mail que facilito en este blog para remitirme publicidad de todo tipo (De todo tipo… Si fuera sólo de Viagra y productos afines no me importaría, pero es que estos degenerados hasta me envían publicidad de servicios bancarios, y yo no tengo por qué ver esas cosas). 

Respecto al envío de comunicaciones comerciales a clientes, se indica en la resolución:

(…) si el servicio contratado es el alquiler de BBDD para campañas publicitarias no puede legitimar las comunicaciones de 05/05/2013 ( Folio 26), de 09/05/2013 ( Folio 30-33),, de 16/05/2013 (Folio 34-37), de 02/06/2013 ( Folio 38-41), de 21/06/2013 ( Folio 42-45), de 27/06/2013 (Folio 46-49), pues incluso ofrece productos de terceras empresas, con las que obviamente no existía relación comercial previa.”

Como ven Ustedes, para más inri, la empresa denunciada se dedica al alquiler de bases de datos para campañas publicitarias. Esto tendrá una consecuencia importante en la graduación de la multa. Como la LOPD, la LSSICE prevé en su art. 39 la posibilidad de graduar el importe de las multas impuestas en función de distintos criterios. El razonamiento de la AEPD, que finalmente sanciona a la denunciada con 40.000 euros, no tiene desperdicio. Le recomiendo que lean con calma la página 12 de la resolución. Yo les reproduzco aquí tan sólo unas perlas:

"Respecto de la intencionalidad y su conexión con el principio de culpabilidad, conviene recordar que desde el punto de vista material, la culpabilidad consiste en la capacidad que tiene el sujeto obligado para obrar de modo distinto y, por tanto, de acuerdo con el ordenamiento jurídico. Por tanto, lo relevante es la diligencia desplegada en la acción por el sujeto, lo que excluye la imposición de una sanción, únicamente en base al mero resultado, es decir al principio de responsabilidad objetiva (…)."

"(…) Ha de ponderarse especialmente la profesionalidad o no del sujeto, y en el presente caso no puede dejar de observarse que la entidad es conocedora de los mandatos de la LSSI, prueba de ello es que en su página web en concreto en su Aviso Legal, pretende obtener el consentimiento para el envío de comunicaciones comerciales por medios electrónicos, ( Folio 156) y por tanto se evidencia un conocimiento de las normas que regulan el sector y buena parte del objeto de actividad de la entidad, es las campañas de publicidad por medios electrónicos (…)"

Con esto les dejo. Voy a leerme todos los post sobre la reforma de la Ley de Propiedad Intelectual, que es un tema que me quita el sueño. Buenas tardes. 

lunes, 10 de febrero de 2014

Interés legítimo: ¿Qué es eso? (III)

Vamos con la tercera entrega de la serie. ¡Qué barbaridad!

El informe jurídico que comentamos hoy (Informe 111/2012) tiene sólo 7 páginas. Aún así, es mi favorito. Quédense con esto que en mi opinión es lo más importante. El Insigne Gabinete señala que definir qué es interés legítimo no sirve de nada, porque el hecho de que exista no hace legal automáticamente el tratamiento. Es necesario que, además, dicho interés legítimo prevalezca sobre los derechos del afectado:

“La primera consecuencia de lo que acaba de indicarse es que no resulta posible dar respuesta a la primera de las cuestiones planteadas en la consulta, al menos en los términos en que la misma aparece planteada, toda vez que conforme a la jurisprudencia citada la aplicación de la causa legitimadora contenida en el artículo 7 f) de la Directiva no se basará en la mera existencia de un interés legítimo, sino en que dicho interés, que efectivamente deberá ser legítimo deberá revestir tal entidad, atendidas las circunstancias del caso concreto, que prevalecerá sobre los derechos de los interesados. En consecuencia, resulta baladí otorgar una definición al concepto de interés legítimo, siendo preciso analizar en cada caso si el que se alegue o aporte resulta suficiente para justificar el tratamiento de los datos.”

Y aquí doy por terminada la serie, porque este tema ya me aburre a mí más que a Ustedes. Pasamos a algo más interesante.

Pese a lo escéptico que se mostraba el compañero @NTAbogados ayer, yo soy de la opinión de que la AEPD debería intervenir en el asunto de la filtración del vídeo de la Infanta. He encontrado un Informe del Insigne Gabinete que nos facilita una argumentación jurídica irreprochable. Se refiere al supuesto de grabación de imágenes de funcionarios públicos por parte de particulares. La Agencia considera que no es posible la aplicación de la excepción de tratamiento doméstico en este caso (me pregunto, la verdad, si alguna vez será posible aplicar esta excepción). El informe señala:

“(…) Parece difícil entender que la captación de imágenes o videos por particulares de los empleados públicos sea realizada en el ámbito de la esfera íntima de aquellos particulares, en las relaciones familiares o de amistad. Sólo el hecho de que las grabaciones sean realizadas en el ámbito laboral, en el lugar donde los empleados públicos prestan sus servicios, y sin relación alguna con ellos que exceda de la puramente profesional, parece llevarnos a la conclusión que en el supuesto planteado no es de aplicación la excepción doméstica. En definitiva, si las imágenes captadas o grabadas por particulares no se refieren a su esfera más íntima, serán de aplicación las normas sobre protección de datos personales, tanto para la obtención de la imagen como para su difusión o publicación posterior, en tanto que ésta última constituye una cesión o comunicación de datos de carácter personal tal y como viene definida por el artículo 3 j) de la LOPD, esto es, como “Toda revelación de datos realizada a una persona distinta del interesado”.

 Y en todo caso así lo será cuando tales imágenes se utilicen para fines concretos, como pudiera ser para presentar denuncias en expedientes disciplinarios o incluso penales contra determinados empleados públicos, o para su difusión por Internet. En relación con este último supuesto, ya dijimos en informe de esta Agencia de 26 de junio de 2009 (en parecido sentido, el informe de 7 de julio de 2008): “No nos encontramos, sin embargo, dentro del ámbito de la vida privada o familiar de los particulares cuando dicha publicación tiene una proyección mayor de aquella que conforma en cada caso dicho ámbito. Así resulta indicativo de que la publicación de las imágenes no queda reducida al marco personal cuando no existe una limitación de acceso a las mismas.”

Vamos, que si Usted graba un vídeo en un Juzgado, no en su casa ni en la playa en la que está de vacaciones, y lo hace además con la intención de filtrarlo a un medio de comunicación, se aplica la LOPD al tratamiento que efectúa de la imagen no sólo de la Infanta, sino del Juez, del fiscal, de los letrados y del resto de personas que aparezcan en esa grabación.

¿Qué más puedo decir? José Luis, a por ellos. 

domingo, 9 de febrero de 2014

Interés legítimo: ¿Qué es eso? (II)

Tras el éxito del primer post de esta serie, hoy, en exclusiva para los lectores de AD EDICTUM, analizaremos un nuevo informe de la AEPD sobre el concepto de interés legítimo. Verán qué interesante.

El Informe Jurídico 112/2012, 12 páginas de literatura jurídica que podrían optar al Premio Nobel (de Medicina), resuelve la consulta planteada por un responsable de fichero dedicado al recobro de deudas.

Los que conocen el sector sabrán que, para hacer bien su trabajo, los gestores de recobro sacan información de cualquier sitio. No es extraño recurrir a malas prácticas desde el punto de vista de la LOPD: llamadas a familiares o vecinos del deudor, envío de mensajes a través de redes sociales, etc.

Se trata de un sector muy “sensible” desde el punto de vista de la protección de datos y al que, desde luego, le conviene eso de poder tratar datos sin el consentimiento del titular de los mismos. La aplicación de la “doctrina del interés legítimo” solucionaría muchos problemas.

No hay que olvidar que, en la mayor parte de los casos, se reclama una deuda legítima. Dejando a un lado supuestos especiales (por ejemplo, el deudor que ha sido víctima de una estafa), lo que ocurre es que alguien ha contratado un servicio o ha comprado un producto y no lo ha pagado, bien porque sea un moroso profesional o porque sencillamente no dispone del dinero necesario por cualquier circunstancia. Hay historias para todos los gustos, pero como les decía, casi siempre la deuda existe y resulta legítimo exigirla.

Como recuerda el Insigne Gabinete, para que sea posible la aplicación directa del art. 7.f) de la Directiva 95/46/CE deben darse dos circunstancias acumulativas:

- Que el tratamiento de datos sea necesario para satisfacer un interés legítimo perseguido por el responsable del fichero o por terceros a los que se comuniquen los datos.
- Que no prevalezcan los derechos y libertades fundamentales del interesado.

Todo depende, por tanto, de un juicio de valor. El conflicto que se plantea aquí está entre ese derecho del acreedor a reclamar un dinero que se le debe (directamente o recurriendo a los servicios de un encargado del tratamiento) y la privacidad del moroso. Además, la ponderación entre ambos ha de efectuarse para cada supuesto concreto.

El informe jurídico que comentamos responde a consultas concretas de un responsable del fichero. No resuelve todas las dudas que puedan plantearse a una entidad de recobro en abstracto. Les resaltaré, por ello, el aspecto que me parece más interesante y que puede resultar de utilidad a responsables de ficheros de otros sectores. Allá por la página 7 leemos:

“Así, en primer lugar, se plantea si se encuentra amparado por el artículo 7 f) de la Directiva el tratamiento efectuado por dichas empresas de los datos correspondientes a distintas personas con un mismo nombre y apellidos que coinciden con los del deudor y si es lícito dirigirse a todos ellos para exigir el pago de la deuda, teniendo en cuenta que dichos datos son obtenidos de fuentes accesibles al público.”

Es algo que nunca había pensado, la verdad, pero que puede darse en la práctica. Imagínense que van al repertorio telefónico (fuente accesible al público) y se dedican a llamar insistentemente al Fulanito Pérez equivocado: ¡El Apocalipsis!

Y esto es lo que responde en síntesis el Insigne Gabinete:

"A la vista de este concepto cabe considerar que en el presente supuesto nos encontraríamos ante dos supuestos de tratamiento: el consistente en la recopilación de los datos de fuentes accesibles al público y el que implica su utilización para reclamar de todos los deudores con similar nombre y apellidos el abono de la deuda. (…)

(…) La empresa de gestión de recobro debería adoptar las medidas necesarias para poder establecer cuál de los datos inicialmente recabados es exacto, procediendo a su vez inmediatamente a la cancelación de los restantes, toda vez que, como se ha insistido hasta ahora, sólo cuenta con legitimación para tratar los datos del deudor y no los de terceras personas cuyo nombre y apellidos puedan coincidir con el mismo.

Y ello conduce a analizar si dicha empresa cuenta con legitimación para la realización del segundo de los tratamientos descritos; es decir, la utilización de los datos recabados para dirigirse a todos los posibles deudores requiriendo, al menos en principio, el pago de la deuda.

Como se ha señalado, la entidad gestora de recobros únicamente se encuentra legitimada para tratar el dato del deudor, pues es éste el único que puede tratar el acreedor que la contrata. De este modo, si bien podría ponderarse a su favor la obtención de los datos de fuentes accesibles al público, incluso aunque se refirieran a terceros no deudores, aunque con el compromiso de proceder a su cancelación en el menor plazo posible, no cabrá considerar que dicha entidad tenga legitimación suficiente para dirigirse a todas las personas cuyo nombre y apellidos coincidan con el deudor, dado que la legitimación para hacerlo queda limitada, conforme a la doctrina de la Audiencia Nacional, al propio deudor y no a terceros."

En conclusión, niños y niñas: Otro caso en el que, tras un sesudo análisis de la posible aplicación directa del art. 7.f) de la Directiva 95/46/CE, nos quedamos como estábamos antes de la sentencia del Tribunal de Justicia de la Unión Europea. Vaya revés para los optimistas que lanzaron las campanas al vuelo cuando conocimos esa resolución. ¡Ay, almas de cántaro!

Con esto lo dejo por hoy, que es domingo. No se pierdan la siguiente entrega de la serie. Y síganme en Twitter, por Dios, que quien no tiene al menos 2.000 followers no es nadie en esta vida (@AdEdictum). 

jueves, 6 de febrero de 2014

Consultorio AD EDICTUM: Ejemplo de aviso legal para incluir en comunicaciones comerciales

Tenemos nueva consulta en la sección “Consultorio AD EDICTUM”. Un lector nos pregunta lo siguiente:

Voy a enviar a mis clientes, a aquellos que me han autorizado para remitirles publicidad, un e-mail con ofertas especiales para los siguientes tres meses. He visto que los correos de este tipo incluyen un aviso legal. ¿Qué texto tengo que poner?

Para empezar, recordaremos que el art. 21 de la LSSICE determina:

“1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.

2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.

En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.

Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.”

En el apartado 1 del precepto que acabamos de citar, se utiliza el denominado sistema de “opt-in”:  El usuario tiene que “decir sí” para que se le puedan remitir comunicaciones comerciales.  Sin embargo, en el caso de los clientes de una empresa, se permite utilizar un sistema de “opt-out” (si el usuario “no dice que no”).

En la práctica hay poca diferencia entre ambos casos, ya que para implantar de una forma sencilla esta posibilidad de oponerse a recibir comunicaciones comerciales, Ustedes tendrán que incluir una casilla para que el usuario la marque en el caso de que no quiera más publicidad (ya saben, eso de “marquen esta casilla si no desea recibir información de nuestras ofertas y servicios”).

Contamos con que nuestro lector ha permitido a sus clientes oponerse a recibir e-mails comerciales. En cada comunicación que les remita, tendrá que incluir otro sistema de oposición que deberá consistir en una cuenta de correo válida. El texto resulta de lo más sencillo: “Si no desea recibir más comunicaciones comerciales, póngase en contacto con nosotros en la dirección marketing@miempresa.com, indicando en el asunto de su correo NO PUBLI”.  Y ya está. Ni más, ni menos.

Un error frecuente que me he encontrado asesorando a clientes consiste en incluir una cláusula con los requisitos del artículo 5 de la LOPD. En las comunicaciones comerciales que efectúen a sus clientes, no tienen que poner necesariamente esta información. Por una parte, si se trata de personas físicas, deberán haberla facilitado en el momento de recogida de los datos.  Por otro lado, si nos encontramos ante personas jurídicas (empresas), no se aplica la LOPD.

Además de lo indicado en el art. 21 LSSICE, tenemos que tener en cuenta otra disposición de la misma norma.  El art. 20.1 señala:

“1. Las comunicaciones comerciales realizadas por vía electrónica deberán ser claramente identificables como tales y la persona física o jurídica en nombre de la cual se realizan también deberá ser claramente identificable.

En el caso en el que tengan lugar a través de correo electrónico u otro medio de comunicación electrónica equivalente incluirán al comienzo del mensaje la palabra "publicidad" o la abreviatura "publi".”

Por tanto, tendremos que incluir no sólo el texto para oponerse a recibir más comunicaciones comerciales, sino también la palabra “PUBLI” al principio de nuestro correo.

Eso es todo. Si se les ocurre alguna otra recomendación para nuestro lector, pueden dejar un comentario.

Les recuerdo que pueden remitir sus consultas a consultasblogtic@gmail.com. 

miércoles, 5 de febrero de 2014

Interés legítimo: ¿Qué es eso? (I)

Para regocijo de Monsieur le Directeur y sus alegres muchachos, el interés legítimo está generando una gran incertidumbre en la empresa española. Ya nos lo advirtieron en aquella desafiante nota de prensa, publicada al poco de conocerse la Sentencia del Tribunal de Justicia de la Unión Europea, de 24 de noviembre de 2011:

“La sentencia del Tribunal de Justicia de la Unión Europea proclama que el artículo 7.f) tiene efecto directo. Al mismo tiempo, el TJUE precisa el alcance normativo del precepto, señalando que no admite que las normativas nacionales, en ausencia del consentimiento del interesado, exijan para permitir el tratamiento de datos personales “necesario para la satisfacción de un interés legitimo”, además del respeto de los derechos y libertades fundamentales del interesado, que los datos se encuentren siempre en fuentes accesibles al público, “excluyendo así de forma categórica y generalizada todo tipo de tratamiento de datos que no figuren en tales fuentes”.

Ello no significa, sin embargo, que la mera invocación de un interés legítimo deba considerarse suficiente para legitimar el tratamiento de datos personales sin el consentimiento del afectado. En los fundamentos de la Sentencia, el propio Tribunal precisa la interpretación que debe darse a dicho artículo, subrayando la necesidad de realizar en cada caso concreto una ponderación entre el interés legítimo de quien va a tratar los datos y los derechos fundamentales de los ciudadanos afectados, con el fin de determinar cuál prevalece atendiendo a las circunstancias concurrentes.
 (…)
En consecuencia, de la Sentencia del TJUE no parece derivarse una alteración sustancial del marco vigente de protección de los datos personales en España ni que el fallo comporte una merma en el grado de protección de los derechos de los ciudadanos, si bien en el futuro será preciso acentuar la ponderación de las circunstancias que concurran en cada supuesto concreto para decidir sobre la legitimidad del tratamiento.”

O lo que viene a ser lo mismo, “pa’chulo, mi pirulo: no se vayan a pensar Ustedes que aquí se van a poder tratar datos sin el consentimiento del titular alegando interés legítimo, porque a ver quién es el guapo que dice qué es eso sin contar con la opinión de esta Santa Casa”.

En fin, si yo fuera su Data Protection Officer (y ya sabe que si necesitan uno pueden ponerse en contacto conmigo en el e-mail que aparece en la columna de la derecha), les recomendaría que, antes de mover un dedo,  planteen una consulta a la Agencia. Eso es lo que ya han hecho algunos Responsables de Fichero. Veamos lo que les ha respondido el Insigne Gabinete de la AEPD.

Comenzamos con el Informe Jurídico 261/2012 (16 páginas deplacer lopedé). El consultante pregunta, entre otras cosas, si puede entenderse que existe interés legítimo en el tratamiento de datos que se realiza a través de una aplicación antipiratería, que almacena datos como el nombre de usuario y correo electrónico de quienes acceden ilegalmente a un determinado producto de software.

El interés legítimo se basa, claro está, en la protección de los programas informático, garantizada por la Ley de Propiedad Intelectual. Pero ojo, como nos advierten en el Informe, “la protección de la propiedad intelectual no es omnímoda” (voy a montar un proyecto de crowdfunding para comprarles un diccionario a estos muchachos).  

La ponderación entre propiedad intelectual y protección de datos que se efectúa parte de otra Sentencia del Tribunal Justicia de las Comunidades Europeas, la de 29 de enero de 2008, “dictada en la cuestión prejudicial 275/2006 planteada por el Juzgado de lo Mercantil nº 5 de Madrid, en relación con la negativa de un prestador de servicios de comunicaciones a comunicar los datos personales de los usuarios a una entidad que actúa por cuenta de los titulares de derechos de propiedad intelectual agrupados en ella”. 

No quiero aburrirles. Lo importante es el resultado: la intimidad de las personas, la protección de sus datos personales, prevalece sobre el derecho a la propiedad intelectual de una compañía, y no puede aplicarse el art. 7.f) de la Directiva 95/46/CE. ¡Más suerte la próxima!

Por lo demás, en este informe, encontrarán un repaso a la jurisprudencia española más relevante sobre el concepto de interés legítimo. Así por ejemplo, el Insigne Gabinete cita la famosísima sentencia de la Audiencia Nacional de 15 de marzo de 2012, también conocida como “la de los caballos”. Vean aquí un ejemplo de interés legítimo:

“(…) Así, la primera resolución que trató la cuestión fue la de 15 de marzo de 2012 dictada en el recurso 390/2010; respecto de la ponderación señalaba que “Ponderación de intereses en conflicto que dependerá de las circunstancias concretas de cada caso y en la que no obstante, sí puede tomarse en consideración, a efectos de determinar la posible lesión de los derechos fundamentales del afectado, el hecho de que los datos figuren ya, o no, en fuentes accesibles al público. Más ello, simplemente, como un elemento más de ponderación”.

Y en ese caso concreto, relativo al tratamiento de datos relativos del libro genealógico de la cría de caballos de pura raza española, apreció que el interés legítimo del responsable del tratamiento debía prevalecer porque “Nos hallamos, por tanto, ante unos datos personales extraídos de un sitio virtual, de acceso público, y que se exponen en la página web titularidad de la entidad actora (según resulta de las actuaciones) con la finalidad de dar información estadística sobre el caballo de pura raza española y posibilitar un rápido acceso a dicha información, sobretodo facilitar el cruce o comparación de datos entre todos los registros.

Consideramos, por todo ello, que existen intereses legítimos de tal titular de la pagina web, e incluso intereses de terceros (de los propietarios o criadores de caballos) en acceder a dicha información publicada en Internet, intereses que se estiman prevalentes respecto del derecho a la protección de datos de los afectados por dicha información, y que por tanto excluyen la necesidad de consentimiento de los mismos”.

¡Hay que ver lo que da de sí la práctica ecuestre!

Con esto les dejo por hoy.  Mañana, más sobre el interés legítimo. No se lo pierdan. Y síganme en Twitter, que me hace ilusión: @AdEdictum . 

martes, 4 de febrero de 2014

Free Sherlock

Hace unas semanas, cuando empezábamos el 2014, leí con asombro e interés que las novelas de Sherlock Holmes acababan de entrar a formar parte del dominio público.

Como sin duda Ustedes ya saben, la mayor parte de los países de nuestro entorno, reconocen determinados derechos de propiedad intelectual a favor de los herederos del autor durante un periodo de tiempo tras la muerte de éste. La principal consecuencia es que los herederos seguirán percibiendo una compensación por la explotación de la obra antes de que pase a ser de dominio público y cualquiera pueda utilizarla libremente. Así, el art. 26 del Texto Refundido de la Ley de Propiedad Intelectual determina: Los derechos de explotación de la obra durarán toda la vida del autor y setenta años después de su muerte o declaración de fallecimiento.”

Arthur Conan Doyle, creador de Sherlock Holmes, murió el 7 de julio de 1930. Tanto en Reino Unido como en España, sus obras pasaron a formar parte del dominio público hace tiempo. De hecho, la web LIBRIVOX lleva años ofreciéndonos la posibilidad de descargar “legalmente” infinidad de audiolibros de las novelas de Conan Doyle. 

Entonces, ¿a qué viene esta noticia? Parece que hace referencia exclusivamente a la jurisdicción estadounidense, donde una parte de las novelas de Conan Doyle, en concreto, diez relatos publicados a partir de 1923, siguen protegidos por las leyes de Copyright. Si quieren leer más sobre los plazos de aplicación de las leyes de Copyright en Estados Unidos, pueden consultar este link o éste otro. No esperen que yo se lo explique, que me duele la cabeza. 

En fin, la situación de los personajes creados por el autor escocés resulta ciertamente compleja, puesto que muchas novelas y relatos del “canon” sherlockiano han pasado a ser de dominio público (y por tanto, podrían ser adaptada al cine o editadas sin pagar royalties). Los herederos de Conan Doyle consideran que, dado que Sherlock Holmes, Watson y el Profesor Moriarty aparecen en los relatos que aún no son de dominio público, no pueden utilizarse libremente referencias a ellos (sus características continúa desarrollándose y enriqueciéndose en las obras todavía protegidas). Por eso, exigen el pago de royalties en Estados Unidos, sin que hasta la fecha haya habido grandes problemas. 

Leslie Klinger, sherlockiano miembro del famoso club “Los irregulares de Baker Street” y autor de diversos libros sobre la materia, preparaba una colección de relatos originales basados en los personajes de la novelas de Sherlock Holmes. Los herederos de Conan Doyle le exigieron la habitual compensación económica por la utilización de los mismos. Klinger se negó a pagar e inició una batalla legal en los tribunales americanos. 

Deben Ustedes saber que, como norma general, la relación de los sherlockianos con los herederos de Conan Doyle no es buena. Arthur Conan Doyle detestaba a su personaje, renegó de él (no para cobrar derechos, claro, pero sí para todo lo demás) y, de hecho, lo mató literariamente en un intento de dejar de escribir sus populares aventuras. Los puristas consideran las aventuras de Sherlock Holmes obras menores en relación al resto de la producción literaria del escritor escocés. Los sherlockianos, por su parte, tienden a ignorar la existencia real del autor, y a considerar a Sherlock Holmes como un personaje histórico. Vamos, que no resulta extraño este nuevo enfrentamiento entre un miembro destacado de los Irregulares y los herederos de Conan Doyle. 

En Diciembre de 2013, se conocía la Sentencia del Tribunal de Distrito de Illinois que daba pie a las noticias publicadas en los periódicos, y que reconocía a Klinger el derecho a utilizar libremente el personaje más famoso de Conan Doyle. No obstante, no se puede dar el caso por cerrado, puesto que los herederos del novelista han presentado un recurso frente a esta resolución. 

Un blog con el improbable título de “Free Sherlock” da cuenta de la marcha del procedimiento.  Lean aquí el post con el que se inicia todo y decidan si quieren continuar la aventura. 

lunes, 3 de febrero de 2014

La curiosa historia de la marca Wonka

Muchos de Ustedes se alegrarán de saber que los caramelos Wonka existen de verdad, aunque no los fabrican unos Oompah Loompas sino la empresa Nestlé.

En 1964, aparecía por primera vez publicado el libro Charlie y la Fábrica de Chocolate, del autor británico Roald Dahl. Se trata de un clásico de la literatura juvenil que, me temo, casi todos nos hemos visto obligados a leer en nuestra adolescencia. Cuenta la historia de un niño muy pobre, Charlie Bucket, que gana un concurso para visitar la fábrica de chocolates y caramelos del excéntrico Willy Wonka (desde luego, no podrán decir que el título es ambiguo). La fábrica resulta ser un lugar de ensueño, una especie de País de las Maravillas de las chuches, lleno de los dulces más apetecibles que uno pueda imaginar.

Cuando el libro se adaptó por primera vez al cine en 1971, con Gene Wilder en el papel de Willy Wonka, se registró la marca “The Willy Wonka Candy Company”.

Ahora resulta habitual eso comercializar las productos inventados que aparecen en las películas como parte del merchandising asociado a ellas (por ejemplo, ahí tenemos la cadena de restaurantes Bubba Gump, propiedad de Viacom). Pero en 1971, se debió a un hecho poco frecuente. La película estaba producida por la empresa americana del sector de la alimentación “Quaker Oats Company”, famosa por sus cereales, que fue quien compró los derechos sobre la obra de Dahl.

El producto estrella que se lanzó con esta marca fue, como imaginarán, la chocolatina Wonka.

En 1988, Nestlé compró la marca, que ha recibido un fuerte impulso con la adaptación del libro que realizó Tim Burton en 2005.

Por último, otra curiosidad. Roald Dahl se inspiró en las técnicas publicitarias y de análisis de mercado de otra famosísima marca: Cadbury, actualmente propiedad del grupo Mondelez.

martes, 21 de enero de 2014

El DPO en Alemania (I)

Uno de los aspectos más interesantes del nuevo marco jurídico sobre protección de datos que se discute en estos momentos en la UE es la necesidad de nombrar un Data Protection Officer (DPO). 

En otros post de esta serie, les he comentado cómo algunos países de nuestro entorno ya contemplan esta figura en sus leyes nacionales.

Debemos recordar que el DPO tiene su origen en el que todavía es el instrumento básico de protección de datos de la UE, la Directiva 95/36/CE. Su art. 18 recoge la obligación de notificar a la autoridad de control los tratamientos de datos que se están efectuando. Sin embargo, también permite a los Estados Miembros disponer la simplificación o la omisión de este trámite en el caso de que “el responsable del tratamiento designe, con arreglo al Derecho nacional al que está sujeto, un encargado de protección de los datos personales”. Se señalan dos cometidos fundamentales para esta figura:

“- hacer aplicar en el ámbito interno, de manera independiente, las disposiciones nacionales adoptadas en virtud de la presente Directiva,
- llevar un registro de los tratamientos efectuados por el responsable del tratamiento, que contenga la información enumerada en el apartado 2 del artículo 21, garantizando así que el tratamiento de los datos no pueda ocasionar una merma de los derechos y libertades de los interesados.”

Ciertos Estados Miembros han optado por incluir esta posibilidad en sus normas nacionales; otros, como España, no. Ya ven: un ejemplo más de que la transposición de la Directiva 95/46/CE al derecho interno no ha conseguido la armonización esperada. Pero esa es otra historia...

En Alemania, donde sí es obligatorio nombrar un DPO, lo más complicado es pronunciar el nombre de esta figura: "Datenschutzbeauftragter". Sí, una palabra. Cualquiera que pueda pronunciarla sin respirar, sólo por eso, debería tener un título de DPO (o Datenschutzbeauftragter) honorario. Veamos alguna de las peculiaridades de la regulación alemana.

Básicamente, una empresa debe nombrar un DPO en dos supuestos:
- Cuando una compañía tiene diez o más empleados que participan en el tratamiento de datos de forma automatizada.
- Cuando una compañía tiene veinte o más empleados que efectúan un tratamiento manual de datos.

Las funciones de DPO pueden ser desempeñadas tanto por un empleado de la compañía como por un profesional externo. Si se trata de un empleado de la compañía, deberá depender o reportar directamente a la Dirección.

El DPO, como también prevé el reglamento europeo en su versión actual, debe llevar a cabo su trabajo con absoluta independencia, y sólo podrá ser cesado en supuestos muy concretos. Por este mismo motivo, se suele considerar que algunos cargos podrían presentar incompatibilidades con las funciones de DPO (por ejemplo, los Responsables de Sistemas, los Jefes de Asesoría Jurídica o de RRHH). 

No se crean que esto es todo lo que les tengo que contar sobre el Datenschutzbeauftragter. Voy terminar el post aquí porque se está haciendo muy largo (y además ya es tarde). No se pierdan la segunda parte.

miércoles, 15 de enero de 2014

Los problemas legales de Tintin (Vol. II)

No todos los problemas legales a los que se ha enfrentado la odiada sociedad Moulinsart están relacionados con la propiedad intelectual. Hoy les hablaré de la azarosa vida editorial de "Tintin au Congo". 

Las historias de Hergé, tan bien documentadas, tan llenas de temas de actualidad, y tan imbuidas de las convicciones morales de su autor, no dejan indiferentes a nadie. Sin embargo, "Tintin au Congo" es con diferencia, y casi desde el momento de su publicación, la más polémica. 

Por recomendación del Abate Wallez, Hergé situó la segunda aventura del reportero de Le Petit Vingtième en el Congo, por entonces colonia belga. "Tintin au Congo" comenzó a publicarse por entregas el 5 de junio de 1930, y apareció en album al año siguiente. Como podrán imaginarse, los escenarios y situaciones que refleja responden a una visión de África que ha cambiado radicalmente. 

Se ha acusado a Hergé de racismo por representar negros estereotipados, infantiles,  perezosos, con rasgos que casi los convierten en una especie distinta, y lo que para muchos es peor, de antiecologista. Hay una escena especialmente "salvaje" en la que Tintin se libra del ataque de un rinoceronte taladrándole un agujero en el lomo e introduciendo un cartucho de dinamita en él. El animal queda reducido a cenizas mientras Tintin exclama: "Vaya, creo que la carga era un poco fuerte". Este episodio tuvo que redibujarse para las ediciones escandinavas, donde se ve que están más concienciados con la preservación del medio ambiente que con el racismo. 

Se trata de sólo un ejemplo de lo "políticamente incorrecta" que resulta esta aventura, que por cierto, no es la mejor de su autor: Hergé estaba todavía perfilando su estilo y definiendo al personaje de Tintin.  En 1946, por presiones de la editorial Casterman, se realizó una segunda versión coloreada del album, mucho más depurada. Se introdujeron algunos cambios en el argumento, pero éste, en esencia, seguía hiriendo sensibilidades (de hecho, más que en el momento de su publicación). Poco después, los problemas de la políticos de la descolonización del Congo hicieron caer esta aventura en desgracia, y no se reeditó hasta los años 70. 

El propio Hergé reconoció en alguna entrevista que cuando concibió el viaje al Congo de su personaje estaba lleno de prejuicios burgueses y que no conocía el país. "Tintin au Congo" ha sido excluido de muchas colecciones. En fin, aunque a los tintinófilos les apasione este album  y "Tintin au Pays des Soviets", digamos que ninguno de los dos libros se suelen regalar a los niños por Navidad. 

La peor parte llegó hace unos años, en 2011. Un contable congoleño residente en Bélgica presentó una demanda ante los tribunales de este país solicitando que se restringiera la distribución de la obra. Se amparaba en la legislación belga antirracismo, y existía un precedente. En Reino Unido, se había colocado una advertencia en la cubierta del album y se obligaba a las librerías a colocarlo en las secciones destinadas a público adulto. 

La resolución de los tribunales belgas se conoció en febrero del 2012. En un alarde de sentido común que no deja de sorprender en un país lleno de funcionarios europeos, se rechazó la demanda, ya que teniendo en cuenta el contexto en el que se publicó la obra, no podía achacarse a su autor ninguna intención vejatoria o discriminatoria hacia la raza negra. En otras palabras: no podemos juzgar de acuerdo a lo que nos parece correcto en el siglo XXI, una historia escrita y dibujada en los años 30.  

Como ven, detrás de cada album de Tintin, y casi siempre también detrás de cada libro que Ustedes ojean, hay una compleja historia jurídica de derechos de autor, gestión de la explotación de la obra, o de contenido inapropiado o ilícito. 

martes, 14 de enero de 2014

La odiada sociedad Moulinsart

Lo que ha pasado con los derechos de explotación de la obra de Hergé tras la muerte del artista belga es digno de figurar en uno de sus comics. De hecho, pensaba titular este post "Tintin au Pays du Copyright", pero me acordé de aquel famoso manual de estilo que decía que utilizar otro título para hacer un juego de palabras, no sólo no tiene gracia, sino que además demuestra "escasa imaginación y abundante pereza mental". ¡Ahí es nada!

Actualmente, los derechos de explotación de las aventuras de Tintin, que como pueden imaginarse generan unos beneficios cuantiosos, están en posesión de una sociedad belga llamada Moulinsart. Esta sociedad pertenece a la viuda del dibujante, la que fue su segunda mujer, Fanny Vlamynck. Hergé se casó con ella, una colorista de historietas, en 1977, tras divorciarse de Germaine Kickens. 

Hergé había conocido a su primera mujer en la época de Le XXème Siècle. Germain trabajaba como secretaria de Norbert Wallez, mentor de Hergé, y fue la compañera y amiga del dibujante desde los primeros años de su carrera. Se casaron en 1930. Como podrán suponer, Fanny Vlamynck hizo su aparición en el mundo de Tintin como "la mala". A la muerte de Hergé, se ha convertido en un personaje muy odiado por la gestión que ha hecho de los derechos sobre la obra del genio belga. 

Es el momento de contarles a Ustedes que Fanny se volvió a casar con un tipo polémico y un tanto oscuro, un inglés llamado Nick Rodwell (yo me lo imagino parecido a Rastapopoulus, la verdad). Rodwell ejerce de "cara visible" y  de administrador de la sociedad Moulinsart. Se le critica tanto por su férreo control sobre cualquier utilización del personaje Tintin como por primar el interés económico en detrimento de fines culturales o de la preservación del legado de Hergé. 

Respecto a lo primero, la sociedad Moulinsart es famosa por presentar demandas en cualquier país del mundo contra todos aquellos que hagan la más mínima referencia a la obra del dibujante belga. En España, además de haber ganado dos demandas contra medios de comunicación por utilización de la imagen de Tintin con fines comerciales, llegó a un acuerdo para evitar nuevas ediciones de un cómic que homenajeaba el mundo de Hergé, titulado "El Loto Rosa". 

"El Loto Rosa" sólo tuvo una edición. Su autor, Antonio Altarriba, y la Editorial De Ponent prefirieron no buscarse problemas judiciales. Hoy en día, en Internet, se pueden encontrar ejemplares para coleccionistas al módico precio de 599 €.

Por otro lado, parece que Moulinsart está intentando encontrar una solución jurídica que le permita mantener cierto control sobre la obra de Hergé cuando ésta pase a ser de dominio público. De momento, ha registrado las marcas "Tintin" y "Tintin y Milou". Muy relacionado con esto último, encontramos otro motivo de descontento entre los tintinófilos: el monopolio que se ejerce sobre productos de merchandising  y el precio elevado de los mismos. 

Desde luego, todas estas actuaciones son siempre legales y se llevan a cabo en defensa de derechos que legítimamente le corresponden a Moulinsart, pero han hecho enormemente impopular al matrimonio Rodwell. Los problemas jurídicos derivados de la obra de Hergé no terminan aquí. Mañana les comentaré el intento de restringir la venta de "Tintin au Congo" por su contenido políticamente incorrecto. 

sábado, 11 de enero de 2014

Una potencia centroeuropea

Eslovaquia, con capital en Bratislava y una población de 5.389.180 habitantes, forma parte de la Unión Europea desde 2004. 

Es famosa por sus iglesias rurales construidas en madera, por conservar desde hace siglos la receta del Bryndzové halušky (plato nacional preparado con queso de oveja y beacon; se sirve caliente), y por imponer a las empresas la obligación de nombrar un DPO. Esto último, el hecho de haber adoptado una normativa transgresora y adelantada a su tiempo en materia de protección de datos, convierte a este agradable país centroeuropeo en una potencia mundial en materia de privacidad. 

La Ley Eslovaca de Protección de Datos (Ley Nº 122/2013) prevé que aquellas empresas en las que el tratamiento de datos de carácter personal se efectúe por parte de 20 o más personas nombren uno o varios Data Protection Officers. El criterio no se basa, por tanto, en el número de empleados de la compañía, sino en el número de usuarios con acceso a los ficheros. 

Ser DPO en Eslovaquia parece un asunto bastante serio. En primer lugar, se le puede multar por incumplir las obligaciones descritas en el art. 27 de la ley. De hecho, quien haya sido multado reiteradamente no podrá ser nombrado DPO de nuevo. 

Teniendo en cuenta lo anterior, resulta lógico que se exija que el DPO sea una persona física (no jurídica) y que su designación revista un carácter formal. La Ley indica el contenido de la misma:

- Datos de identificación del responsable o encargo.
- Título, nombre, apellido y la fecha de nacimiento de la protección de datos designada.
- Fecha de efectividad de la designación.
- Declaración del responsable del fichero indica que el oficial de protección de datos cumple los criterios indicados por la ley.
- Referencia al certificado de aprobación de un examen efectuado por la Autoridad de Control.
- Consentimiento expreso a la designación y la firma.
- Fecha de expedición de la designación.
- Firma de la autoridad de control. 

Sí, tal y como han leído, los Data Protection Officers en Eslovaquí han de pasar un examen ante la Autoridad de Control. No sólo eso: El examen se tiene que repetir si el DPO permanece inactivo durante dos años. En este enlace, pueden obtener Ustedes más información sobre su contenido. ¡Ay, como se le ocurra a la Agepedé hacer lo mismo! 

Por lo demás, las funciones que desempeña, son las que Ustedes pueden imaginarse: que si supervisar el tratamiento de los datos, que si encargarse de la implantación de medidas que garanticen la seguridad de los mismos, que si controlar las transferencias internacionales de datos, ...

Aquí lo dejo, que ya está bien para ser sábado. Me voy a tomar el vermú al Café del Botánico.

Síganme en Twitter, que me hace ilusión @AdEdictum. 

miércoles, 8 de enero de 2014

Publicidad y transparencia

Ayer, les comentaba que en Reino Unido no es obligatorio designar un Data Protection Officer, y aún así, muchas empresas lo hacen. Se trata de una buena práctica que genera confianza. Por este motivo, y también para que el DPO cumpla su función de atender las reclamaciones de lo usuarios, su nombre y datos de contacto se hacen públicos.
 
No resulta extraño que el borrador de Reglamento Europeo prevea también que se dé publicidad a la existencia de un DPO en las organizaciones. Así, el art. 35 determina:
 
"9. El responsable o el encargado del tratamiento comunicarán el nombre y los datos de contacto del delegado de protección de datos a la autoridad de control y al público.
 
10. Los interesados tendrán derecho a entrar en contacto con el delegado de protección de datos para tratar todas las cuestiones relativas al tratamiento de datos que les conciernan y a solicitar el ejercicio de los derechos que les confiere el presente Reglamento."
 
El hecho de comunicar los datos a la autoridad de control, en principio, constituye un simple trámite (salvo que para hacerlo habiliten algo parecido al formulario NOTA, en cuyo caso se convertirá en un proceso interminable). Tengan en cuenta, por otro lado, que actualmente algunas agencias como la Holandesa han habilitado en sus páginas webs un registro o listado público de Data Protection Officers. Puede que esta práctica se generalice.
 
Mayores problemas tendremos con la obligación de comunicar la existencia del DPO a los interesados. El art. 14 del reglamento que se nos avecina (en adelante, RQSNA), dispone que:
 
"1. Cuando se recojan datos personales relativos a un interesado, el responsable del tratamiento le facilitará, al menos, la siguiente información:
 
a) la identidad y los datos de contacto del responsable del tratamiento y, en su caso, del representante del responsable del tratamiento y del delegado de protección de datos (...)"
 
Este artículo es el equivalente al art. 5 LOPD, el que recoge el contenido de la información que debe ser facilitada a los afectados. Por lo que parece, no bastará con indicar en nuestra web corporativa quién es el DPO. Tendremos que incluirlo los formularios de recogida de datos. Como les digo, esto puede ser un  problema cuando no disponemos de mucho espacio para insertar la leyenda informativa o en caso de que sea nombrado un nuevo DPO transcurrido el plazo mínimo de mandato.
 
En cualquier caso, no deben considerar como algo negativo publicar el nombre, correo electrónico o teléfono del DPO. De hecho, resultará positivo para su negocio. Si el DPO hace bien su trabajo, evitará denuncias a la empresa, ya que atenderá satisfactoriamente reclamaciones que no llegarán a la autoridad de control. El DPO no está al servicio de la organización. Es una especie de "defensor del afectado".
 
Recuerden, además, que la existencia del DPO también ha de comunicarse internamente (entre los datos que trata una empresa, los de los empleados ocupan un lugar primordial). Véanlo como una oportunidad de aumentar la visibilidad de los responsables de protección de datos dentro de la organización y de hacer valer su trabajo.

martes, 7 de enero de 2014

El ejemplo inglés

En Reino Unido, aunque no es obligatorio el nombramiento de un Data Protection Officer, resulta recomendable contar con esta figura en las empresas. 

El ICO, la autoridad inglesa de protección de datos, considera que el nombramiento de un DPO demuestra el compromiso de una organización por ir más allá del cumplimiento estricto de la ley. Éste es uno de los puntos incluidos en el compromiso “Personal Information Promise”, elaborado por la autoridad británica para aquellas empresas que quieren alcanzar un alto grado de cumplimiento en esta materia. 

Se trata, por tanto, de un plus para compañías en las que el tratamiento de datos personales (de trabajadores, clientes, usuario, etc) ocupa un lugar relevante en el negocio. Una entidad no incumple la ley por no haber nombrado un DPO, pero si quiere “presumir” de respetar la normativa de privacidad, debería contratar uno.

Por eso, muchos expertos recomiendan que se asigne a una persona dentro de las empresas la supervisión del control del cumplimiento de las obligaciones impuestas en este ámbito. Por ejemplo, lean lo que indica la guíaelaborada por Taylor and Wessing.

Las empresas que han nombrado un DPO, hacen público tal nombramiento. No debemos olvidar que contar con una persona que realiza estas funciones constituye una ventaja con respecto sus competidores,  una garantía de seriedad y responsabilidad de cara a sus clientes

Encontramos un ejemplo de esto en la Política de Privacidadque la compañía SIG ha publicado en su web. Por cierto, en este punto, no está de más recordar la diferencia entre Data Protection Policy y Data Protection Notice. Las primeras son documentos internos, dirigidos al personal de la compañía, que se pueden hacer públicos para reforzar el compromiso de una organización con la protección de la privacidad. Las segundas se corresponderían con los avisos legales dirigidos a los titulares de los datos, cuyo contenido mínimo, en España, está fijado en el art. 5 de la LOPD. Pero esta es otra historia, volvamos al funcionamiento del Data Protection Officer en la Pérfida Albión. 

Por citar otro ejemplo curioso, en la página web de la Casa de los Comunes del Parlamento Británico se nos facilita una estupenda guía donde se explica el cumplimiento de la normativa de protección de datos en la institución. Gracias a este documento, sabemos que el DPO de la Casa de los Comunes se llama Bob Castle:

"I have appointed a Data Protection Officer (Bob Castle) to ensure that specific responsibility for compliance with the Data Protection Act is assigned in the House of Commons Service. Additionally, each department of the House of Commons has nominated a Departmental Data Protection Representative to support the Data Protection Officer and their department. If anyone would like more information about the Act or this Policy please contact Bob Castle or any of the Departmental Data Protection Representatives.

I regard the lawful and correct treatment of personal information by the House of Commons Service as essential both to the successful management of our operations, and to maintaining the confidence in us of those with whom we deal. I will ensure that the House of Commons Service treats personal information lawfully and correctly. To this end I fully endorse and adhere to the principles of data protection, as described in the Data Protection Act 1998 and our Data Protection Policy."

En fin, si Usted es DPO su nombre y sus datos de contacto, como los del Señor Bob Castle, resultarán fáciles de encontrar en la web de la compañía en la que presta sus servicios. Nadie va a nombrar un DPO para tenerlo escondido en una habitación sin ventanas. Con esto quiero llamarles la atención sobre algo un tanto cínico, pero realista: Designar un DPO tiene un componente importantísimo de imagen, de reputación para la empresa. El consumidor o usuario se siente un poco más seguro sabiendo que hay alguien con nombre y apellidos en la organización encargado de garantizar su derecho a la protección de datos, y sobre todo, conociendo su curriculum y trayectoria. En fin, que como mínimo, sabremos a quién culpar y podremos jurar en hebreo sobre una persona concreta (lo cual, reconocerán, relaja mucho).

En España, los futuros DPO se convertirán la cara visible de la compañía en materia de protección de datos. Es de prever que no sólo atenderán peticiones ARCO, sino otro tipo de consultas o quejas de los titulares de los datos. Por supuesto, también actuarán de enlace entre la Agencia Española de Protección de Datos y la empresa.

En fin, el trabajo como DPO incluye una labor de “Relaciones Públicas” en el buen sentido del término. El DPO no sólo ha de conocer el funcionamiento de la organización, los tratamientos que se efectúan y las medidas aplicadas para garantizar la privacidad de los titulares de los datos, sino que también debe ser capaz de responder frente a terceros, de explicarles lo que hace la compañía, el esfuerzo realizado. Piénselo a la hora de elegir la persona que será DPO en su empresa (o a los miembros del equipo que va a asesorarlo). Y por supuesto, téngalo presente a la hora de planificar su trabajo durante este 2014 si van a ocupar el puesto de Data Protection Officer de su compañía.

lunes, 6 de enero de 2014

Planificando el 2014

¡Enhorabuena! Ha sobrevivido Usted a las cenas de empresa, a los regalos del “amigo invisible” y a la conversación de su cuñado. Ahora, puede dedicarse a lo que de verdad importa en esta vida: Ponerse al día con mi blog.

He pensado empezar el año con una serie de post dedicados a la figura del Data Protection Officer (DPO), que como saben, es lo que quiero ser de mayor. 

Otros compañeros ya han analizado los requisitos previstos en el borrador de Reglamento Europeo de Protección de Datos. Pueden leer los comentarios de nuestro amigo D. Jesús, por citar sólo un ejemplo, en este link. Así que, me perdonará si no soy muy sistemática a la hora de explicarle qué empresas deben nombrar un DPO o de detallar el contenido del art. 37 del reglamento que se nos viene encima. Eso sí, le garantizo que le ofreceré una visión práctica de cómo comenzar a desarrollar su trabajo como responsable de protección de datos de su compañía.

Lo primero que debe tener claro es que el DPO no desempeñará las mismas tareas que el Responsable de Seguridad. Supongo que esto ya lo sabía. Sus competencias son mucho más amplias y no están centradas en los aspectos más técnicos, en el cumplimiento de las obligaciones de seguridad. 

Aquí va una primera recomendación: Si Usted actualmente es Responsable de Seguridad de una compañía y espera en el futuro desarrollar funciones de DPO, cambie el chip. 

Muchos Responsables de Seguridad realizan un trabajo que va más allá de vigilar el cumplimiento del título VIII del RLOPD, pero otros, no. Son éstos últimos los que deberían ampliar sus conocimientos y comenzar a plantearse que el cumplimiento de la LOPD consiste en mantener al día el Documento de Seguridad o planificar las auditorías cada dos años.

Por cierto, el Reglamento Europeo no incluye un listado tasado de medidas de seguridad que deben implantarse ni tampoco la obligación de disponer de un Documento de Seguridad. En resumen, su trabajo hasta ahora ha estado centrado en un sólo aspecto de la protección de datos, probablemente uno de los que más va a cambiar con la nueva norma. Por eso, aunque todavía no tenemos muy claro qué “cualidades profesionales” o “nivel de conocimientos” se exigirán a los DPO, no descarte hacer algún curso de reciclaje sobre protección de datos o prepararse alguna certificación.  

Puestos a analizar las diferencias entre Responsable de Seguridad y DPO, le diré que, en mi opinión, el requisito de independencia que se exige a éste último no parece compatible con la asunción de otras responsabilidades en la compañía o con la dependencia orgánica de un departamento o área concreta de la empresa. Esto resulta bastante habitual en los Responsables de Seguridad. Si Usted, como Responsable de Seguridad, formaba parte del Departamento de Sistemas o similar, hágase a la idea de que lo más probable es que tengan que ubicarlo en otro lugar del organigrama de su compañía. 

Cada empresa debería realizar un análisis de qué fórmula resulta más adecuada para garantizar la independencia del DPO y asegurar que puede llevar a cabo todas las responsabilidades que se le han asignado. 

En algunas compañías, ya existen Oficinas de Protección de Datos, integradas por equipos multidisciplinales, que tendrán que hacer pocos o ningún cambio. Pero esto no significa que Usted deba adoptar la misma solución. Hay soluciones más sencillas: Por ejemplo, es de esperar que, al igual que en otros países, comiencen a ofrecerse servicios de DPO externalizados. Como le decía, cada compañía habrá de realizar un estudio previo para determinar la solución que convenga a su negocio. 

Lo dejo por hoy, que tengo que salir a devolver mis regalos (¡con lo fácil que habría sido hacerme un ingreso en cuenta!). Buenas tardes. 

domingo, 5 de enero de 2014

ADN, videovigilancia en el trabajo y "Crónicas Marcianas"

Entre las últimas sentencias del Tribunal Constitucional, hay tres que resultarán de su interés. Una ya ha sido ampliamente comentada. Se refiere a un asunto que muchos recordarán (y si es así, ya es hora de que vayan pensando en un plan de pensiones): La entrevista que Cárdenas hizo en el programa de Telecinco "Crónicas Marcianas" a una persona con minusvalía psíquica, burlándose de sus dificultades para responder a las preguntas que se le planteaban. Pueden leer el texto completo de la sentencia aquí

La segunda resolución es un caso de videovigilancia en el lugar del trabajo. Una empleada de un VIPS fue despedida por robar unos sobres con la recaudación, que habían sido depositados en un buzón de seguridad. El robo se descubrió al revisarse las grabaciones de las cámaras de seguridad del establecimiento, instaladas enfocando dicho buzón. Según la representación de la trabajadora, la grabación se efectuó en una sala utilizada como vestuario, y por tanto, se trata de una prueba obtenida vulnerando el derecho a la intimidad de la trabajadora, y que debe ser rechazada. La empresa, sin embargo, argumenta que se trataba de una oficina, donde los trabajadores tienen prohibido cambiarse, y que la existencia de cámaras se había señalizado con carteles. 

El recurso se centra en un tema meramente procesal. La representación de la empleada despedida pidió que se mostrara en el acto del juicio el DVD aportado por la empresa como prueba, para que se verificara que existían imágenes de otros trabajadores utilizando la sala en cuestión como vestuario. El juez consideró que bastaba con las impresiones de pantalla en las que se veía a la trabajadora sustrayendo el dinero del buzón de seguridad y no se visionó el DVD. 

Según el Tribunal Constitucional, este hecho “cercenó la posibilidad de acreditar cuál era el uso dado a la oficina donde estaba colocado el buzón de seguridad, e incluso someter a escrutinio la credibilidad de los testigos que declararon en el acto del juicio”. Por otro lado, “el razonamiento ofrecido por el órgano judicial para denegar la proyección del DVD no satisface el estándar de motivación reforzada exigido por la doctrina constitucional”.  

El Tribunal Constitucional falla a favor de la trabajadora, anula las sentencias dictadas por el Juzgado de lo Social y por la Sala de lo Social del Tribunal Superior de Justicia, y ordena la retroacción de las actuaciones “al momento de resolver sobre la admisión y la práctica de la prueba en el acto del juicio oral”. 

La tercera sentencia resulta muy interesante. Los aficionados a ver series como “Ley y Orden” y “CSI” se habrán preguntado más de una vez si ese truco de ofrecer una taza de café al sospechoso para obtener su ADN sería legal en España. ¿No supone una vulneración de la intimidad del sujeto en cuestión, o lo que es peor, de su derecho fundamental a la protección de datos? Pues bien, esta sentencia  analiza un supuesto similar. 

El recurrente en amparo había sido declarado culpable de un acto de violencia callejera consistente en quemar un cajero de La Caixa.  Se le identificó comparando una muestra de ADN obtenida a partir de lo que en la Sentencia se denomina “un acto voluntario de expulsión de materia orgánica” (vamos, lo que viene a ser un escupitajo o esputo), con los restos encontrados en una prenda con la que se cubrieron la cara los atacantes.

El recurso de amparo se fundamenta en la vulneración de varios derechos constitucionales, pero nosotros nos centraremos sólo en dos. De acuerdo al recurrente, se ha infringido el derecho a su intimidad personal (art. 18.1 CE) porque el análisis de su perfil genético se realizó por la policía autonómica sin ningún tipo de autorización judicial. Adicionalmente,  se habría producido una infracción del art. 18.4 CE, “por cuanto la Ertzaintza había procedido a incluir en una base de datos informatizada sus datos personales sin ningún tipo de control administrativo ni de otro orden, sin que se sepa quien o quienes tienen acceso a esos datos ni quien o quienes son sus responsables, ni se esos datos personales (perfil de ADN) va a ser utilizados para otros fines o durante cuanto tiempo se conservarán y si podrán ser utilizados en futuros procedimientos penales”.

Debemos tener en cuenta que, en el 2002, momento en el que se produjeron los hechos, no existía una previsión específica relativa a la realización de análisis de ADN en la instrucción penal, y tales análisis tenían la misma consideración que cualquier prueba pericial.  La primera regulación específica se introdujo con la Ley Orgánica 15/2003, de 25 de noviembre, que añadió un párrafo al art. 326 de la Ley de Enjuiciamiento Criminal. De acuerdo al mismo, se faculta al juez para acordar, "mediante resolución motivada y con adecuación a los principios de proporcionalidad y razonabilidad, que se determine el perfil de ADN del sospechoso a partir de muestras biológicas suyas".

El Tribunal Constitucional recuerda que “las intervenciones o reconocimientos corporales, aun cuando por sus características e intensidad no supongan una intromisión en el derecho a la integridad física, sí pueden conllevar una intromisión en el ámbito constitucionalmente protegido del derecho a la intimidad personal en razón de su finalidad, es decir, por lo que a través de ellas se pretende averiguar, cuando se trata de una información que afecta a la esfera de la vida privada que el sujeto puede no querer desvelar”.

Sin embargo, aunque se haya producido una injerencia en el derecho a la intimidad de una persona , esta injerencia puede resultar legítima cuando existe un interés constitucional prevalente que se debe proteger.  En este caso, se concluye que es así ya que se trataba de identificar al autor de unos hechos delictivos de notable gravedad:

“Pues bien, la específica prueba pericial consistente en la obtención del ADN del demandante a partir de su saliva se produjo con la finalidad de ser comparado con el obtenido a partir de la muestra biológica hallada en una manga utilizada en la realización de un hecho delictivo, y tenía por objeto el descubrimiento de la persona que había utilizado la mencionada manga en la perpetración de unos hechos delictivos de notable gravedad como lo son los de daños terroristas por los que finalmente fue condenado el demandante. De ahí que no quepa dudar de la concurrencia del fin legítimo en la medida adoptada por la policía judicial.”

Por otro lado, se resalta la escasa incidencia que tuvo la prueba practicada en la intimidad del demandante, ya que el análisis de ADN no fue más allá de “la mera identificación neutra”.  

Aquí lo dejo, que ya está bien para ser domingo. Me marcho a desayunar al Café del Botánico, uno de los pocos sitios en los que me tratan como merezco. 

Buenos días.