martes, 21 de enero de 2014

El DPO en Alemania (I)

Uno de los aspectos más interesantes del nuevo marco jurídico sobre protección de datos que se discute en estos momentos en la UE es la necesidad de nombrar un Data Protection Officer (DPO). 

En otros post de esta serie, les he comentado cómo algunos países de nuestro entorno ya contemplan esta figura en sus leyes nacionales.

Debemos recordar que el DPO tiene su origen en el que todavía es el instrumento básico de protección de datos de la UE, la Directiva 95/36/CE. Su art. 18 recoge la obligación de notificar a la autoridad de control los tratamientos de datos que se están efectuando. Sin embargo, también permite a los Estados Miembros disponer la simplificación o la omisión de este trámite en el caso de que “el responsable del tratamiento designe, con arreglo al Derecho nacional al que está sujeto, un encargado de protección de los datos personales”. Se señalan dos cometidos fundamentales para esta figura:

“- hacer aplicar en el ámbito interno, de manera independiente, las disposiciones nacionales adoptadas en virtud de la presente Directiva,
- llevar un registro de los tratamientos efectuados por el responsable del tratamiento, que contenga la información enumerada en el apartado 2 del artículo 21, garantizando así que el tratamiento de los datos no pueda ocasionar una merma de los derechos y libertades de los interesados.”

Ciertos Estados Miembros han optado por incluir esta posibilidad en sus normas nacionales; otros, como España, no. Ya ven: un ejemplo más de que la transposición de la Directiva 95/46/CE al derecho interno no ha conseguido la armonización esperada. Pero esa es otra historia...

En Alemania, donde sí es obligatorio nombrar un DPO, lo más complicado es pronunciar el nombre de esta figura: "Datenschutzbeauftragter". Sí, una palabra. Cualquiera que pueda pronunciarla sin respirar, sólo por eso, debería tener un título de DPO (o Datenschutzbeauftragter) honorario. Veamos alguna de las peculiaridades de la regulación alemana.

Básicamente, una empresa debe nombrar un DPO en dos supuestos:
- Cuando una compañía tiene diez o más empleados que participan en el tratamiento de datos de forma automatizada.
- Cuando una compañía tiene veinte o más empleados que efectúan un tratamiento manual de datos.

Las funciones de DPO pueden ser desempeñadas tanto por un empleado de la compañía como por un profesional externo. Si se trata de un empleado de la compañía, deberá depender o reportar directamente a la Dirección.

El DPO, como también prevé el reglamento europeo en su versión actual, debe llevar a cabo su trabajo con absoluta independencia, y sólo podrá ser cesado en supuestos muy concretos. Por este mismo motivo, se suele considerar que algunos cargos podrían presentar incompatibilidades con las funciones de DPO (por ejemplo, los Responsables de Sistemas, los Jefes de Asesoría Jurídica o de RRHH). 

No se crean que esto es todo lo que les tengo que contar sobre el Datenschutzbeauftragter. Voy terminar el post aquí porque se está haciendo muy largo (y además ya es tarde). No se pierdan la segunda parte.

miércoles, 15 de enero de 2014

Los problemas legales de Tintin (Vol. II)

No todos los problemas legales a los que se ha enfrentado la odiada sociedad Moulinsart están relacionados con la propiedad intelectual. Hoy les hablaré de la azarosa vida editorial de "Tintin au Congo". 

Las historias de Hergé, tan bien documentadas, tan llenas de temas de actualidad, y tan imbuidas de las convicciones morales de su autor, no dejan indiferentes a nadie. Sin embargo, "Tintin au Congo" es con diferencia, y casi desde el momento de su publicación, la más polémica. 

Por recomendación del Abate Wallez, Hergé situó la segunda aventura del reportero de Le Petit Vingtième en el Congo, por entonces colonia belga. "Tintin au Congo" comenzó a publicarse por entregas el 5 de junio de 1930, y apareció en album al año siguiente. Como podrán imaginarse, los escenarios y situaciones que refleja responden a una visión de África que ha cambiado radicalmente. 

Se ha acusado a Hergé de racismo por representar negros estereotipados, infantiles,  perezosos, con rasgos que casi los convierten en una especie distinta, y lo que para muchos es peor, de antiecologista. Hay una escena especialmente "salvaje" en la que Tintin se libra del ataque de un rinoceronte taladrándole un agujero en el lomo e introduciendo un cartucho de dinamita en él. El animal queda reducido a cenizas mientras Tintin exclama: "Vaya, creo que la carga era un poco fuerte". Este episodio tuvo que redibujarse para las ediciones escandinavas, donde se ve que están más concienciados con la preservación del medio ambiente que con el racismo. 

Se trata de sólo un ejemplo de lo "políticamente incorrecta" que resulta esta aventura, que por cierto, no es la mejor de su autor: Hergé estaba todavía perfilando su estilo y definiendo al personaje de Tintin.  En 1946, por presiones de la editorial Casterman, se realizó una segunda versión coloreada del album, mucho más depurada. Se introdujeron algunos cambios en el argumento, pero éste, en esencia, seguía hiriendo sensibilidades (de hecho, más que en el momento de su publicación). Poco después, los problemas de la políticos de la descolonización del Congo hicieron caer esta aventura en desgracia, y no se reeditó hasta los años 70. 

El propio Hergé reconoció en alguna entrevista que cuando concibió el viaje al Congo de su personaje estaba lleno de prejuicios burgueses y que no conocía el país. "Tintin au Congo" ha sido excluido de muchas colecciones. En fin, aunque a los tintinófilos les apasione este album  y "Tintin au Pays des Soviets", digamos que ninguno de los dos libros se suelen regalar a los niños por Navidad. 

La peor parte llegó hace unos años, en 2011. Un contable congoleño residente en Bélgica presentó una demanda ante los tribunales de este país solicitando que se restringiera la distribución de la obra. Se amparaba en la legislación belga antirracismo, y existía un precedente. En Reino Unido, se había colocado una advertencia en la cubierta del album y se obligaba a las librerías a colocarlo en las secciones destinadas a público adulto. 

La resolución de los tribunales belgas se conoció en febrero del 2012. En un alarde de sentido común que no deja de sorprender en un país lleno de funcionarios europeos, se rechazó la demanda, ya que teniendo en cuenta el contexto en el que se publicó la obra, no podía achacarse a su autor ninguna intención vejatoria o discriminatoria hacia la raza negra. En otras palabras: no podemos juzgar de acuerdo a lo que nos parece correcto en el siglo XXI, una historia escrita y dibujada en los años 30.  

Como ven, detrás de cada album de Tintin, y casi siempre también detrás de cada libro que Ustedes ojean, hay una compleja historia jurídica de derechos de autor, gestión de la explotación de la obra, o de contenido inapropiado o ilícito. 

martes, 14 de enero de 2014

La odiada sociedad Moulinsart

Lo que ha pasado con los derechos de explotación de la obra de Hergé tras la muerte del artista belga es digno de figurar en uno de sus comics. De hecho, pensaba titular este post "Tintin au Pays du Copyright", pero me acordé de aquel famoso manual de estilo que decía que utilizar otro título para hacer un juego de palabras, no sólo no tiene gracia, sino que además demuestra "escasa imaginación y abundante pereza mental". ¡Ahí es nada!

Actualmente, los derechos de explotación de las aventuras de Tintin, que como pueden imaginarse generan unos beneficios cuantiosos, están en posesión de una sociedad belga llamada Moulinsart. Esta sociedad pertenece a la viuda del dibujante, la que fue su segunda mujer, Fanny Vlamynck. Hergé se casó con ella, una colorista de historietas, en 1977, tras divorciarse de Germaine Kickens. 

Hergé había conocido a su primera mujer en la época de Le XXème Siècle. Germain trabajaba como secretaria de Norbert Wallez, mentor de Hergé, y fue la compañera y amiga del dibujante desde los primeros años de su carrera. Se casaron en 1930. Como podrán suponer, Fanny Vlamynck hizo su aparición en el mundo de Tintin como "la mala". A la muerte de Hergé, se ha convertido en un personaje muy odiado por la gestión que ha hecho de los derechos sobre la obra del genio belga. 

Es el momento de contarles a Ustedes que Fanny se volvió a casar con un tipo polémico y un tanto oscuro, un inglés llamado Nick Rodwell (yo me lo imagino parecido a Rastapopoulus, la verdad). Rodwell ejerce de "cara visible" y  de administrador de la sociedad Moulinsart. Se le critica tanto por su férreo control sobre cualquier utilización del personaje Tintin como por primar el interés económico en detrimento de fines culturales o de la preservación del legado de Hergé. 

Respecto a lo primero, la sociedad Moulinsart es famosa por presentar demandas en cualquier país del mundo contra todos aquellos que hagan la más mínima referencia a la obra del dibujante belga. En España, además de haber ganado dos demandas contra medios de comunicación por utilización de la imagen de Tintin con fines comerciales, llegó a un acuerdo para evitar nuevas ediciones de un cómic que homenajeaba el mundo de Hergé, titulado "El Loto Rosa". 

"El Loto Rosa" sólo tuvo una edición. Su autor, Antonio Altarriba, y la Editorial De Ponent prefirieron no buscarse problemas judiciales. Hoy en día, en Internet, se pueden encontrar ejemplares para coleccionistas al módico precio de 599 €.

Por otro lado, parece que Moulinsart está intentando encontrar una solución jurídica que le permita mantener cierto control sobre la obra de Hergé cuando ésta pase a ser de dominio público. De momento, ha registrado las marcas "Tintin" y "Tintin y Milou". Muy relacionado con esto último, encontramos otro motivo de descontento entre los tintinófilos: el monopolio que se ejerce sobre productos de merchandising  y el precio elevado de los mismos. 

Desde luego, todas estas actuaciones son siempre legales y se llevan a cabo en defensa de derechos que legítimamente le corresponden a Moulinsart, pero han hecho enormemente impopular al matrimonio Rodwell. Los problemas jurídicos derivados de la obra de Hergé no terminan aquí. Mañana les comentaré el intento de restringir la venta de "Tintin au Congo" por su contenido políticamente incorrecto. 

sábado, 11 de enero de 2014

Una potencia centroeuropea

Eslovaquia, con capital en Bratislava y una población de 5.389.180 habitantes, forma parte de la Unión Europea desde 2004. 

Es famosa por sus iglesias rurales construidas en madera, por conservar desde hace siglos la receta del Bryndzové halušky (plato nacional preparado con queso de oveja y beacon; se sirve caliente), y por imponer a las empresas la obligación de nombrar un DPO. Esto último, el hecho de haber adoptado una normativa transgresora y adelantada a su tiempo en materia de protección de datos, convierte a este agradable país centroeuropeo en una potencia mundial en materia de privacidad. 

La Ley Eslovaca de Protección de Datos (Ley Nº 122/2013) prevé que aquellas empresas en las que el tratamiento de datos de carácter personal se efectúe por parte de 20 o más personas nombren uno o varios Data Protection Officers. El criterio no se basa, por tanto, en el número de empleados de la compañía, sino en el número de usuarios con acceso a los ficheros. 

Ser DPO en Eslovaquia parece un asunto bastante serio. En primer lugar, se le puede multar por incumplir las obligaciones descritas en el art. 27 de la ley. De hecho, quien haya sido multado reiteradamente no podrá ser nombrado DPO de nuevo. 

Teniendo en cuenta lo anterior, resulta lógico que se exija que el DPO sea una persona física (no jurídica) y que su designación revista un carácter formal. La Ley indica el contenido de la misma:

- Datos de identificación del responsable o encargo.
- Título, nombre, apellido y la fecha de nacimiento de la protección de datos designada.
- Fecha de efectividad de la designación.
- Declaración del responsable del fichero indica que el oficial de protección de datos cumple los criterios indicados por la ley.
- Referencia al certificado de aprobación de un examen efectuado por la Autoridad de Control.
- Consentimiento expreso a la designación y la firma.
- Fecha de expedición de la designación.
- Firma de la autoridad de control. 

Sí, tal y como han leído, los Data Protection Officers en Eslovaquí han de pasar un examen ante la Autoridad de Control. No sólo eso: El examen se tiene que repetir si el DPO permanece inactivo durante dos años. En este enlace, pueden obtener Ustedes más información sobre su contenido. ¡Ay, como se le ocurra a la Agepedé hacer lo mismo! 

Por lo demás, las funciones que desempeña, son las que Ustedes pueden imaginarse: que si supervisar el tratamiento de los datos, que si encargarse de la implantación de medidas que garanticen la seguridad de los mismos, que si controlar las transferencias internacionales de datos, ...

Aquí lo dejo, que ya está bien para ser sábado. Me voy a tomar el vermú al Café del Botánico.

Síganme en Twitter, que me hace ilusión @AdEdictum. 

miércoles, 8 de enero de 2014

Publicidad y transparencia

Ayer, les comentaba que en Reino Unido no es obligatorio designar un Data Protection Officer, y aún así, muchas empresas lo hacen. Se trata de una buena práctica que genera confianza. Por este motivo, y también para que el DPO cumpla su función de atender las reclamaciones de lo usuarios, su nombre y datos de contacto se hacen públicos.
 
No resulta extraño que el borrador de Reglamento Europeo prevea también que se dé publicidad a la existencia de un DPO en las organizaciones. Así, el art. 35 determina:
 
"9. El responsable o el encargado del tratamiento comunicarán el nombre y los datos de contacto del delegado de protección de datos a la autoridad de control y al público.
 
10. Los interesados tendrán derecho a entrar en contacto con el delegado de protección de datos para tratar todas las cuestiones relativas al tratamiento de datos que les conciernan y a solicitar el ejercicio de los derechos que les confiere el presente Reglamento."
 
El hecho de comunicar los datos a la autoridad de control, en principio, constituye un simple trámite (salvo que para hacerlo habiliten algo parecido al formulario NOTA, en cuyo caso se convertirá en un proceso interminable). Tengan en cuenta, por otro lado, que actualmente algunas agencias como la Holandesa han habilitado en sus páginas webs un registro o listado público de Data Protection Officers. Puede que esta práctica se generalice.
 
Mayores problemas tendremos con la obligación de comunicar la existencia del DPO a los interesados. El art. 14 del reglamento que se nos avecina (en adelante, RQSNA), dispone que:
 
"1. Cuando se recojan datos personales relativos a un interesado, el responsable del tratamiento le facilitará, al menos, la siguiente información:
 
a) la identidad y los datos de contacto del responsable del tratamiento y, en su caso, del representante del responsable del tratamiento y del delegado de protección de datos (...)"
 
Este artículo es el equivalente al art. 5 LOPD, el que recoge el contenido de la información que debe ser facilitada a los afectados. Por lo que parece, no bastará con indicar en nuestra web corporativa quién es el DPO. Tendremos que incluirlo los formularios de recogida de datos. Como les digo, esto puede ser un  problema cuando no disponemos de mucho espacio para insertar la leyenda informativa o en caso de que sea nombrado un nuevo DPO transcurrido el plazo mínimo de mandato.
 
En cualquier caso, no deben considerar como algo negativo publicar el nombre, correo electrónico o teléfono del DPO. De hecho, resultará positivo para su negocio. Si el DPO hace bien su trabajo, evitará denuncias a la empresa, ya que atenderá satisfactoriamente reclamaciones que no llegarán a la autoridad de control. El DPO no está al servicio de la organización. Es una especie de "defensor del afectado".
 
Recuerden, además, que la existencia del DPO también ha de comunicarse internamente (entre los datos que trata una empresa, los de los empleados ocupan un lugar primordial). Véanlo como una oportunidad de aumentar la visibilidad de los responsables de protección de datos dentro de la organización y de hacer valer su trabajo.

martes, 7 de enero de 2014

El ejemplo inglés

En Reino Unido, aunque no es obligatorio el nombramiento de un Data Protection Officer, resulta recomendable contar con esta figura en las empresas. 

El ICO, la autoridad inglesa de protección de datos, considera que el nombramiento de un DPO demuestra el compromiso de una organización por ir más allá del cumplimiento estricto de la ley. Éste es uno de los puntos incluidos en el compromiso “Personal Information Promise”, elaborado por la autoridad británica para aquellas empresas que quieren alcanzar un alto grado de cumplimiento en esta materia. 

Se trata, por tanto, de un plus para compañías en las que el tratamiento de datos personales (de trabajadores, clientes, usuario, etc) ocupa un lugar relevante en el negocio. Una entidad no incumple la ley por no haber nombrado un DPO, pero si quiere “presumir” de respetar la normativa de privacidad, debería contratar uno.

Por eso, muchos expertos recomiendan que se asigne a una persona dentro de las empresas la supervisión del control del cumplimiento de las obligaciones impuestas en este ámbito. Por ejemplo, lean lo que indica la guíaelaborada por Taylor and Wessing.

Las empresas que han nombrado un DPO, hacen público tal nombramiento. No debemos olvidar que contar con una persona que realiza estas funciones constituye una ventaja con respecto sus competidores,  una garantía de seriedad y responsabilidad de cara a sus clientes

Encontramos un ejemplo de esto en la Política de Privacidadque la compañía SIG ha publicado en su web. Por cierto, en este punto, no está de más recordar la diferencia entre Data Protection Policy y Data Protection Notice. Las primeras son documentos internos, dirigidos al personal de la compañía, que se pueden hacer públicos para reforzar el compromiso de una organización con la protección de la privacidad. Las segundas se corresponderían con los avisos legales dirigidos a los titulares de los datos, cuyo contenido mínimo, en España, está fijado en el art. 5 de la LOPD. Pero esta es otra historia, volvamos al funcionamiento del Data Protection Officer en la Pérfida Albión. 

Por citar otro ejemplo curioso, en la página web de la Casa de los Comunes del Parlamento Británico se nos facilita una estupenda guía donde se explica el cumplimiento de la normativa de protección de datos en la institución. Gracias a este documento, sabemos que el DPO de la Casa de los Comunes se llama Bob Castle:

"I have appointed a Data Protection Officer (Bob Castle) to ensure that specific responsibility for compliance with the Data Protection Act is assigned in the House of Commons Service. Additionally, each department of the House of Commons has nominated a Departmental Data Protection Representative to support the Data Protection Officer and their department. If anyone would like more information about the Act or this Policy please contact Bob Castle or any of the Departmental Data Protection Representatives.

I regard the lawful and correct treatment of personal information by the House of Commons Service as essential both to the successful management of our operations, and to maintaining the confidence in us of those with whom we deal. I will ensure that the House of Commons Service treats personal information lawfully and correctly. To this end I fully endorse and adhere to the principles of data protection, as described in the Data Protection Act 1998 and our Data Protection Policy."

En fin, si Usted es DPO su nombre y sus datos de contacto, como los del Señor Bob Castle, resultarán fáciles de encontrar en la web de la compañía en la que presta sus servicios. Nadie va a nombrar un DPO para tenerlo escondido en una habitación sin ventanas. Con esto quiero llamarles la atención sobre algo un tanto cínico, pero realista: Designar un DPO tiene un componente importantísimo de imagen, de reputación para la empresa. El consumidor o usuario se siente un poco más seguro sabiendo que hay alguien con nombre y apellidos en la organización encargado de garantizar su derecho a la protección de datos, y sobre todo, conociendo su curriculum y trayectoria. En fin, que como mínimo, sabremos a quién culpar y podremos jurar en hebreo sobre una persona concreta (lo cual, reconocerán, relaja mucho).

En España, los futuros DPO se convertirán la cara visible de la compañía en materia de protección de datos. Es de prever que no sólo atenderán peticiones ARCO, sino otro tipo de consultas o quejas de los titulares de los datos. Por supuesto, también actuarán de enlace entre la Agencia Española de Protección de Datos y la empresa.

En fin, el trabajo como DPO incluye una labor de “Relaciones Públicas” en el buen sentido del término. El DPO no sólo ha de conocer el funcionamiento de la organización, los tratamientos que se efectúan y las medidas aplicadas para garantizar la privacidad de los titulares de los datos, sino que también debe ser capaz de responder frente a terceros, de explicarles lo que hace la compañía, el esfuerzo realizado. Piénselo a la hora de elegir la persona que será DPO en su empresa (o a los miembros del equipo que va a asesorarlo). Y por supuesto, téngalo presente a la hora de planificar su trabajo durante este 2014 si van a ocupar el puesto de Data Protection Officer de su compañía.

lunes, 6 de enero de 2014

Planificando el 2014

¡Enhorabuena! Ha sobrevivido Usted a las cenas de empresa, a los regalos del “amigo invisible” y a la conversación de su cuñado. Ahora, puede dedicarse a lo que de verdad importa en esta vida: Ponerse al día con mi blog.

He pensado empezar el año con una serie de post dedicados a la figura del Data Protection Officer (DPO), que como saben, es lo que quiero ser de mayor. 

Otros compañeros ya han analizado los requisitos previstos en el borrador de Reglamento Europeo de Protección de Datos. Pueden leer los comentarios de nuestro amigo D. Jesús, por citar sólo un ejemplo, en este link. Así que, me perdonará si no soy muy sistemática a la hora de explicarle qué empresas deben nombrar un DPO o de detallar el contenido del art. 37 del reglamento que se nos viene encima. Eso sí, le garantizo que le ofreceré una visión práctica de cómo comenzar a desarrollar su trabajo como responsable de protección de datos de su compañía.

Lo primero que debe tener claro es que el DPO no desempeñará las mismas tareas que el Responsable de Seguridad. Supongo que esto ya lo sabía. Sus competencias son mucho más amplias y no están centradas en los aspectos más técnicos, en el cumplimiento de las obligaciones de seguridad. 

Aquí va una primera recomendación: Si Usted actualmente es Responsable de Seguridad de una compañía y espera en el futuro desarrollar funciones de DPO, cambie el chip. 

Muchos Responsables de Seguridad realizan un trabajo que va más allá de vigilar el cumplimiento del título VIII del RLOPD, pero otros, no. Son éstos últimos los que deberían ampliar sus conocimientos y comenzar a plantearse que el cumplimiento de la LOPD consiste en mantener al día el Documento de Seguridad o planificar las auditorías cada dos años.

Por cierto, el Reglamento Europeo no incluye un listado tasado de medidas de seguridad que deben implantarse ni tampoco la obligación de disponer de un Documento de Seguridad. En resumen, su trabajo hasta ahora ha estado centrado en un sólo aspecto de la protección de datos, probablemente uno de los que más va a cambiar con la nueva norma. Por eso, aunque todavía no tenemos muy claro qué “cualidades profesionales” o “nivel de conocimientos” se exigirán a los DPO, no descarte hacer algún curso de reciclaje sobre protección de datos o prepararse alguna certificación.  

Puestos a analizar las diferencias entre Responsable de Seguridad y DPO, le diré que, en mi opinión, el requisito de independencia que se exige a éste último no parece compatible con la asunción de otras responsabilidades en la compañía o con la dependencia orgánica de un departamento o área concreta de la empresa. Esto resulta bastante habitual en los Responsables de Seguridad. Si Usted, como Responsable de Seguridad, formaba parte del Departamento de Sistemas o similar, hágase a la idea de que lo más probable es que tengan que ubicarlo en otro lugar del organigrama de su compañía. 

Cada empresa debería realizar un análisis de qué fórmula resulta más adecuada para garantizar la independencia del DPO y asegurar que puede llevar a cabo todas las responsabilidades que se le han asignado. 

En algunas compañías, ya existen Oficinas de Protección de Datos, integradas por equipos multidisciplinales, que tendrán que hacer pocos o ningún cambio. Pero esto no significa que Usted deba adoptar la misma solución. Hay soluciones más sencillas: Por ejemplo, es de esperar que, al igual que en otros países, comiencen a ofrecerse servicios de DPO externalizados. Como le decía, cada compañía habrá de realizar un estudio previo para determinar la solución que convenga a su negocio. 

Lo dejo por hoy, que tengo que salir a devolver mis regalos (¡con lo fácil que habría sido hacerme un ingreso en cuenta!). Buenas tardes. 

domingo, 5 de enero de 2014

ADN, videovigilancia en el trabajo y "Crónicas Marcianas"

Entre las últimas sentencias del Tribunal Constitucional, hay tres que resultarán de su interés. Una ya ha sido ampliamente comentada. Se refiere a un asunto que muchos recordarán (y si es así, ya es hora de que vayan pensando en un plan de pensiones): La entrevista que Cárdenas hizo en el programa de Telecinco "Crónicas Marcianas" a una persona con minusvalía psíquica, burlándose de sus dificultades para responder a las preguntas que se le planteaban. Pueden leer el texto completo de la sentencia aquí

La segunda resolución es un caso de videovigilancia en el lugar del trabajo. Una empleada de un VIPS fue despedida por robar unos sobres con la recaudación, que habían sido depositados en un buzón de seguridad. El robo se descubrió al revisarse las grabaciones de las cámaras de seguridad del establecimiento, instaladas enfocando dicho buzón. Según la representación de la trabajadora, la grabación se efectuó en una sala utilizada como vestuario, y por tanto, se trata de una prueba obtenida vulnerando el derecho a la intimidad de la trabajadora, y que debe ser rechazada. La empresa, sin embargo, argumenta que se trataba de una oficina, donde los trabajadores tienen prohibido cambiarse, y que la existencia de cámaras se había señalizado con carteles. 

El recurso se centra en un tema meramente procesal. La representación de la empleada despedida pidió que se mostrara en el acto del juicio el DVD aportado por la empresa como prueba, para que se verificara que existían imágenes de otros trabajadores utilizando la sala en cuestión como vestuario. El juez consideró que bastaba con las impresiones de pantalla en las que se veía a la trabajadora sustrayendo el dinero del buzón de seguridad y no se visionó el DVD. 

Según el Tribunal Constitucional, este hecho “cercenó la posibilidad de acreditar cuál era el uso dado a la oficina donde estaba colocado el buzón de seguridad, e incluso someter a escrutinio la credibilidad de los testigos que declararon en el acto del juicio”. Por otro lado, “el razonamiento ofrecido por el órgano judicial para denegar la proyección del DVD no satisface el estándar de motivación reforzada exigido por la doctrina constitucional”.  

El Tribunal Constitucional falla a favor de la trabajadora, anula las sentencias dictadas por el Juzgado de lo Social y por la Sala de lo Social del Tribunal Superior de Justicia, y ordena la retroacción de las actuaciones “al momento de resolver sobre la admisión y la práctica de la prueba en el acto del juicio oral”. 

La tercera sentencia resulta muy interesante. Los aficionados a ver series como “Ley y Orden” y “CSI” se habrán preguntado más de una vez si ese truco de ofrecer una taza de café al sospechoso para obtener su ADN sería legal en España. ¿No supone una vulneración de la intimidad del sujeto en cuestión, o lo que es peor, de su derecho fundamental a la protección de datos? Pues bien, esta sentencia  analiza un supuesto similar. 

El recurrente en amparo había sido declarado culpable de un acto de violencia callejera consistente en quemar un cajero de La Caixa.  Se le identificó comparando una muestra de ADN obtenida a partir de lo que en la Sentencia se denomina “un acto voluntario de expulsión de materia orgánica” (vamos, lo que viene a ser un escupitajo o esputo), con los restos encontrados en una prenda con la que se cubrieron la cara los atacantes.

El recurso de amparo se fundamenta en la vulneración de varios derechos constitucionales, pero nosotros nos centraremos sólo en dos. De acuerdo al recurrente, se ha infringido el derecho a su intimidad personal (art. 18.1 CE) porque el análisis de su perfil genético se realizó por la policía autonómica sin ningún tipo de autorización judicial. Adicionalmente,  se habría producido una infracción del art. 18.4 CE, “por cuanto la Ertzaintza había procedido a incluir en una base de datos informatizada sus datos personales sin ningún tipo de control administrativo ni de otro orden, sin que se sepa quien o quienes tienen acceso a esos datos ni quien o quienes son sus responsables, ni se esos datos personales (perfil de ADN) va a ser utilizados para otros fines o durante cuanto tiempo se conservarán y si podrán ser utilizados en futuros procedimientos penales”.

Debemos tener en cuenta que, en el 2002, momento en el que se produjeron los hechos, no existía una previsión específica relativa a la realización de análisis de ADN en la instrucción penal, y tales análisis tenían la misma consideración que cualquier prueba pericial.  La primera regulación específica se introdujo con la Ley Orgánica 15/2003, de 25 de noviembre, que añadió un párrafo al art. 326 de la Ley de Enjuiciamiento Criminal. De acuerdo al mismo, se faculta al juez para acordar, "mediante resolución motivada y con adecuación a los principios de proporcionalidad y razonabilidad, que se determine el perfil de ADN del sospechoso a partir de muestras biológicas suyas".

El Tribunal Constitucional recuerda que “las intervenciones o reconocimientos corporales, aun cuando por sus características e intensidad no supongan una intromisión en el derecho a la integridad física, sí pueden conllevar una intromisión en el ámbito constitucionalmente protegido del derecho a la intimidad personal en razón de su finalidad, es decir, por lo que a través de ellas se pretende averiguar, cuando se trata de una información que afecta a la esfera de la vida privada que el sujeto puede no querer desvelar”.

Sin embargo, aunque se haya producido una injerencia en el derecho a la intimidad de una persona , esta injerencia puede resultar legítima cuando existe un interés constitucional prevalente que se debe proteger.  En este caso, se concluye que es así ya que se trataba de identificar al autor de unos hechos delictivos de notable gravedad:

“Pues bien, la específica prueba pericial consistente en la obtención del ADN del demandante a partir de su saliva se produjo con la finalidad de ser comparado con el obtenido a partir de la muestra biológica hallada en una manga utilizada en la realización de un hecho delictivo, y tenía por objeto el descubrimiento de la persona que había utilizado la mencionada manga en la perpetración de unos hechos delictivos de notable gravedad como lo son los de daños terroristas por los que finalmente fue condenado el demandante. De ahí que no quepa dudar de la concurrencia del fin legítimo en la medida adoptada por la policía judicial.”

Por otro lado, se resalta la escasa incidencia que tuvo la prueba practicada en la intimidad del demandante, ya que el análisis de ADN no fue más allá de “la mera identificación neutra”.  

Aquí lo dejo, que ya está bien para ser domingo. Me marcho a desayunar al Café del Botánico, uno de los pocos sitios en los que me tratan como merezco. 

Buenos días. 

viernes, 3 de enero de 2014

Perfiles falsos en Redes Sociales: ¿Qué podemos hacer? (II)

Como les comentaba ayer, y contrariamente a lo que se puede leer en muchos periódicos, en nuestro Código Penal no está tipificada la “suplantación de personalidad”. El tipo recogido en el art. 401 CP, la usurpación de estado civil, no consiste simplemente en la utilización del nombre del otro, sino que exige un plus, una sustitución del otro en sus derechos y obligaciones de forma continuada. Por eso, la apertura de un perfil falso en una red social no constituye, por sí sola, una usurpación de estado civil.

Esto no significa que las acciones que lleve a cabo quien crea un perfil falso no sean constitutivas de delitos o faltas. Si recuerdan, hace unos años dos chicas abrieron una cuenta en Tuenti, utilizando el nombre de una compañera. Se hicieron pasar por ella para realizar comentarios en esa red social a conocidos comunes, que hacían quedar en mal lugar a la víctima, provocando que se enemistara con su entorno. El Juzgado de Primera Instancia e Instrucción nº 4 de Segovia, declaró a estas dos chicas autoras responsables de una falta continuada de vejaciones injustas, y las condenó a la pena de 20 días de multa a razón de 10 euros diarios, debiendo, adicionalmente, indemnizar a la víctima con la cantidad de 18.284,22 € por el daño moral causado.

La sentencia fue confirmada por la Audiencia Provincial, aunque rebajó la cuantía de la indemnización a 12.400 €.

En este link, pueden Ustedes leer un asunto similar, quizás más grave. Un hombre se hizo pasar por su ex-pareja para difundir fotografías y conversaciones subidas de tono de la víctima a sus familiares y amigos. Llegó a crear otros perfiles falsos para continuar distribuyendo este material. Tras la denuncia presentada, se logró localizar al autor de los hechos y se intervino su teléfono móvil y los equipos informáticos que poseía en su domicilio.

Por ello, la OPCIÓN 2 para defender nuestros intereses cuando alguien ha creado un perfil utilizando nuestro nombre es presentar una denuncia ante la Guardia Civil o la PolicíaSe trata de un trámite gratuito en el que no necesitan estar asistidos por un abogado. Se puede realizar verbalmente, ante un agente de la autoridad o funcionario, que tomará nota de los hechos que Usted explique y luego le pedirá que firme el relato que se ha hecho de los mismos. No excluye la posibilidad que les comentaba como OPCIÓN 1 (denuncia a la Agencia Española de Protección de Datos). Mi recomendación es que se presenten ambas denuncias. 

Como ven, existen vías sencillas y gratuitas para conseguir que quien utiliza el nombre de otro en una red social se arrepienta de haberlo hecho. 

Para terminar, les daré un consejo a todos aquellos que han abierto un perfil en una red social dedicado a un personaje público, sin intención de causarle ningún daño (este puede ser el caso de los perfiles parodias o de los creados por club de fans). Dejen muy claro que se trata de un perfil no oficial y retiren cualquier comentario o fotografías si el personaje así se lo solicita.  Por ejemplo, pueden utilizar una frase de este tipo: “Este perfil no es oficial. A través del mismo compartimos noticias e información aparecida en distintos medios sobre NOMBRE_DEL_PERSONAJE.” 

Ahora, me marcho a ver esa película de los hermanos Coen en la que sale un tipo con barba. Buenas tardes. 

jueves, 2 de enero de 2014

Perfiles falsos en Redes Sociales: ¿Qué podemos hacer? (I)

La mujer de El Juli, Sandra Domecq, cansada de que se hagan pasar por ella en las redes sociales, ha decidido poner el asunto en manos de sus abogados. Según nos informa El Mundo, “ha denunciado ante las autoridades de delitos cibernéticos la suplantación de su personalidad en al menos cuatro perfiles de Facebook, Twitter y uno de Instagram desde algo más de un año.” El mismo periódico afirma que “un álter ego cibernético le ha hecho quedar como consumista”. Debemos señalar que pocos días antes, La Otra Crónica de El Mundo, había dado por buena la información de uno de estos perfiles falsos, comentando los regalos que decía haber recibido Sandra Domecq en términos un tanto críticos.

La mujer de El Juli se suma así a la lista de famosos suplantados en redes sociales: Pilar Rubio, mi adorado Mario Vaquerizo, o por citar otro caso del mundo taurino, Florencio Fernández Castillo, Florito, mayoral de la Plaza de las Ventas.

Es un hecho que los famosos utilizan sus perfiles sociales (los auténticos) como gabinetes de prensa, con mayor o menor acierto. Hemos visto un ejemplo hace poco con las declaraciones de Kiko Rivera sobre el embarazo de su hermana Isabel. Por otro lado, las redes sociales se han convertido en una fuente de información para los periodistas. A través de ellas, obtienen fotos y datos de personajes que no han protegido sus cuentas, o se ponen en contacto con amigos de éstos o personas de su entorno.

En muchas ocasiones, los suplantadores lo hacen tan bien que consiguen engañar a la prensa y causar dolores de cabeza al personaje difundiendo noticias falsas o rumores (en otras, también hay que decirlo, los periodistas no se molestan confirmar quién está detrás de una cuenta). 

Sea como sea, éste es un problema que no afecta sólo a los famosos. Muchos niños y adolescentes son víctimas de “bromas” pesadas por parte de sus compañeros de clase. También resulta frecuente que las exparejas se venguen por este medio.

En el post de hoy, les explicaré qué medidas legales se pueden tomar cuando alguien crea un perfil con el nombre de otro en una red social. Como veremos, lo que se dice en el artículo de El Mundo no resulta del todo exacto.

Lo primero que deben Ustedes saber es que no existe un delito de suplantación de personalidad. Nuestro Código Penal recoge, en su art. art. 401, el delito de “usurpación de estado civil”, que está castigado con pena de prisión de seis meses a tres años.  Abrir un perfil falso en una red social no es una acción que, por sí misma, pueda entenderse subsumida en este tipo penal. De acuerdo a la Jurisprudencia, es necesario que se produzca una suplantación completa de derechos y obligaciones continuada en el tiempo, no la simple utilización del nombre de otro.  

En este sentido, es muy interesante la sentencia de la Audiencia Provincial de Cádiz de 9 de enero de 2002, que señala que "no basta un uso continuado y prolongado del nombre ajeno para integrar el delito de usurpación de estado civil, y mucho menos un uso para un acto concreto; como se ha expuesto, la permanencia era común al delito de usurpación y al (ahora derogado) de uso de nombre falso; para que se dé el delito de usurpación es necesario un plus añadido a la permanencia, consistente en que la usurpación alcance a la totalidad de las facetas que integran la identidad humana, de modo que el suplantador se haga pasar por el suplantado a todos los efectos, como si de tal persona se tratara. En consecuencia, no se dará el delito de usurpación (ni ningún otro, al quedar despenalizado el uso de nombre ajeno) cuando una persona asume la identidad ajena sólo para la realización de una serie de actos concretos y determinados, como pudiera ser, por ejemplo, la conducción de un vehículo de motor mediante un permiso de conducir falsificado. Si no consta acreditada la total y absoluta suplantación de la identidad de otra persona, para todos los efectos que integran tal identidad (o “estado civil”, como la denomina el Código Penal), no nos hallaremos ante un delito de usurpación, del Artículo 401, sino ante un mero uso público (prolongado o no) de nombre supuesto, penalmente atípico.”

Pueden encontrar un repaso bastante completo de la jurisprudencia sobre usurpación de estado civil en este artículo. Si recuerdan, hace tiempo, en la sección de Libro del Mes, les recomendéla obra de Juan Alberto DÍAZ LÓPEZ donde se analiza con detalle esta figura. Pueden leer la reseña, y si les apetece, cómprense el libro. No está nada mal y aprenderán muchas cosas interesantes.

Por supuesto, el que abre un perfil falso no se va a ir de rositas, ni mucho menos. Dependiendo de lo que se haga a través del mismo, podrán ejercerse diversas acciones contra él, civiles o penales. Vamos a ver de qué recursos disponemos.

Para empezar, utilizar el nombre, la fotografía y otros datos de carácter personal de un tercero en Internet supone una vulneración de la LOPD (La Agencia considera que en estos supuestos en los que se hace una difusión masiva de información, no se puede aplicar la excepción de tratamiento efectuado en el ámbito doméstico).  Por tanto, su OPCIÓN NÚMERO 1 es presentar una denuncia a la Agencia Española de Protección de datos.

Las ventajas de denunciar a la AEPD son muchas:
  • Es gratuito. El interesado ni siquiera necesita estar asistido por un abogado. Bastará con que describa los hechos con sus propias palabras, acredite su identidad y aporte capturas o impresiones de pantalla que muestren la actividad que se realiza en el perfil falso. Si tienen alguna duda al respecto, pueden ponerse en contacto con el servicio de atención al Público de la Agencia, que para estos temas, funciona bastante bien.
  • No excluye el ejercicio de otras acciones penales o civiles contra el autor de los hechos.
  • Los prestadores de servicios de redes sociales suelen colaborar con la Agencia cuando ésta les requiere información sobre uso de cuentas.

El único inconveniente consiste en que la resolución del procedimiento se publicará en la web de la AEPD y el público tendrá acceso a ella. Aunque, por supuesto, las resoluciones se publican anonimizada, los hechos que se describan en ella estarán al alcance de cualquiera. Entiendo que si alguien, con motivos fundados, solicita a la Agencia que no se publique la resolución, atenderán su petición. 

Lamentándolo mucho, debo interrumpir aquí mi post. No se pierdan mañana la segunda parte. Mientras tanto, pueden dejar sus comentarios con dudas o consultas o enviar un mail a la dirección consultasblogtic@gmail.com

miércoles, 1 de enero de 2014

Comentario de la Sentencia “Aznar vs Campos”

Poco antes de que terminara el año 2013, mi adorada María Teresa Campos recibió una mala noticia. El Tribunal Supremo falló a favor del matrimonio Aznar en el pleito que éstos mantienen con la presentadora. Ya habrán supuesto Ustedes que se trata de un caso en el que entran en conflicto el derecho a la libertad de información y a la libertad de expresión por un lado, y el derecho a la intimidad y al honor, por otro.

He buscado el texto completo de la sentencia, que pueden leer aquí. No obstante, como es probable que todavía no hayan terminado Ustedes de analizar ese pedazo de resolución que se ha marcado Monsieur le Directeur en el caso Google, ya estoy yo aquí para hacerles un resumen.

Los comentarios que motivaron la demanda de los Aznar se remontan a 2007. En el programa “PROTAGONISTA” de la emisora Punto Radio, que dirigía y presentaba por aquél entonces María Teresa Campos, ésta identificó a José María Aznar como la persona a la que se refería una noticia del programa de Telecinco “Aquí hay tomate”, y que hablaba de la separación de un matrimonio famoso debido a las infidelidades de uno de los cónyuges. José María Aznar y Ana Botella presentaron una demanda civil en defensa de su derecho a la intimidad y al honor contra María Teresa Campos.

El Juzgado de Primera instancia falló a favor de los Aznar. El recurso que presentó la Campos ante la Audiencia Provincial fue desestimado íntegramente. Veamos los puntos más destacados de la Sentencia del Supremo, que está en la misma línea de lo resuelto por las instancias inferiores.

Pasando por alto ciertas cuestiones procesales que les ahorraré en atención a su estado de salud tras celebrar el Año Nuevo, para la parte demandada, la presentadora se limitó a hacerse eco de un rumor propagado por terceros. En la sentencia, encontramos una transcripción exacta del comentario de María Teresa Campos que origina la demanda de los Aznar:

"Bueno, pues yo voy a hacer lo mismo que hicisteis vosotros (risas) cuando yo dije esto, que es decir a quién creo yo que os referís. Eso sí, yo no digo que sea ¿eh?, yo digo que vosotros os referís a José María Aznar. No digo yo que esto sea verdad porque como además luego, largo nos lo habéis fiado, que habéis dicho hasta después de las elecciones no se va a decir nada ¿vamos a poder vivir con esto hijo mío?".

La representación de María Teresa Campos considera que existe un error en la apreciación de la prueba por parte de los tribunales inferiores, ya que la presentadora “no afirmó la supuesta relación extramatrimonial del Sr. Aznar, limitándose, a reproducir y en cierta medida a comentar, lo difundido por el periodista de Telecinco D. Jorge Javier Vázquez.” Básicamente, lo que se viene a decir es que se trataba de un rumor lanzado por otro medio y que no dijo con rotundidad que el protagonista del mismo fuera el matrimonio Aznar.

Sin embargo, para el Tribunal Supremo “el hecho de que previamente la información sobre la existencia de una posible infidelidad del demandante hubiera sido difundida por el programa de televisión no justifica el incumplimiento del deber de veracidad, pues este impone la comprobación de las informaciones de forma diligente sin que pueda ampararse en el calificativo de «rumor» para difundir o divulgar noticias no contrastadas. Más aún cuando afectan a ámbitos tan íntimos como las relaciones personales. Y sobre todo cuando se imputan hechos que suponen un descrédito para la persona a la que se refieren (STS de 22 de noviembre de 2010)."

Esto es, en mi opinión, lo más relevante de la sentencia que comentamos. A la hora de reproducir rumores difundidos por otros medios, se impone el mismo deber de diligencia a la hora de comprobar la veracidad de los hechos que con informaciones propias. El Tribunal afirma que “la transmisión de la noticia que no fue debidamente contrastada supone una intromisión ilegítima en el derecho al honor de los demandantes y provoca un menoscabo de su fama atentando contra su propia estimación”.

No quiero extenderme más en el comentario. Se trata sólo de una aproximación al contenido de la sentencia. Y eso sí, quedamos pendientes de lo que diga ahora el Tribunal Constitucional (seguramente, habrá recurso). No sería el primer caso en el que nos da una sorpresa.

En fin, la familia Aznar ha recibido una cal de y otra de arena al final del año 2013. El Juzgado de Primera Instancia número 20 de Madrid ha desestimado la demanda que presentó Alejandro Agag contra El País, en relación a la información facilitada por este diario en la que se indicaba que su boda fue costeada en parte por una de las sociedades de la “trama Gürtel”.

Ahora, con su permiso, voy a tomarme un Gelocatil de 1 gramo. Buenos días.