Borrar Mis Datos » BMD Blog

Borrarmisdatos.es GANADOR de los PREMIOS BUSCANDO EL NORTE DIGITAL 2012. Mejor iniciativa Digital.

Borrar Mis Datos — Fri, 20 Apr 2012 11:40:30 +0000

Nuestro proyecto www.borrarmisdatos.es ha resultado GANADOR en la candidatura MEJOR INICIATIVA DIGITAL en la 4ª edición de los premios BUSCANDO EL NORTE DIGITAL 2012, organizado por El Norte de Castilla.

Agradecer desde esta plataforma a los organizadores del concurso por contar con nosotros y por supuesto a todos los colaboradores que hacen que esta iniciativa digital sea una realidad.

Gracias a todos.

Presentación de nuestro proyecto:

El desarrollo de Internet, de la web 2.0 y de las redes sociales han supuesto extraordinarias oportunidades para particulares y empresas pero también, y cada vez más, emergen importantes riesgos y amenazas. En los últimos años se han multiplicado las denuncias ante la Agencia Española de Protección de Datos solicitando el derecho al olvido en Internet, como el derecho que tenemos las personas a decidir qué información y qué contenidos sobre nosotros mismos queremos que aparezcan en Internet. Cumplir con esta misión es el objetivo de esta web.

¿Existe el derecho al olvido en Internet?

Borrar Mis Datos — Sun, 11 Mar 2012 11:29:30 +0000

La función principal de los buscadores de Internet es la de mostrar resultados al usuario que previamente han sido indexados de las páginas web donde originariamente han sido publicados, como ocurre, por ejemplo, con los boletines oficiales. En consecuencia, los datos personales permanecen relacionados en los buscadores de forma indefinida. Frente a ello, la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos, reconoce a los afectados el derecho a oponerse a estos tratamientos con sus datos. Pretenden, en definitiva, alcanzar mediante la eliminación definitiva de los mismos, “desaparecer” de Internet. Es lo que se conoce comúnmente como “el derecho al olvido”o, por sus siglas en inglés, “the right to be forgotten”.

El derecho al olvido fue definido, por un jurista estadounidense de nombre, Louis Brandeis, que fuera Juez de la Corte Suprema de los Estados Unidos de 1916 a 1939, como el derecho a que le dejen a uno en paz (“the right to be let alone”). En la actualidad éste derecho, del que actualmente incluso se discute su contenido, se entiende como una proyección del derecho fundamental a la protección de los datos. Es decir, un derecho sobre el poder de disposición que tenemos sobre nuestros propios datos de carácter personal. Un derecho a decidir sobre los usos que se hacen de nuestros propios datos, de tal forma que sólo se podrán realizar aquellos tratamientos para los que se cuente con el consentimiento o aquéllos amparados por una ley, ya sea la propia Ley de Protección de Datos o cualquiera otra. En definitiva, si no hay un amparo legal, es necesario recabar el consentimiento del interesado. Este poder de disposición afecta, en primer lugar, a qué datos se puede recabar, y posteriormente qué se puede hacer con ellos y durante cuánto tiempo.

Para garantizar su correcto ejercicio, el derecho a la protección de los datos en realidad se desglosa en cuatro “subderechos” conocidos como ARCO: el derecho de acceso, de rectificación, de cancelación y de oposición.

No obstante, el derecho al olvido no tiene un carácter absoluto, como ocurre con la mayoría de los derechos fundamentales reconocidos en la Constitución. Hay supuestos en los que no procedería eliminar datos personales en Internet, ya que esos datos o informaciones personales publicadas pueden estar amparados en una ley o estar justificadas por el derecho a la libertad de expresión. En cualquier caso para exigir la eliminación de datos es necesario invocar la producción de la lesión en un derecho propio.

Según se desprende de las Memorias de la Agencia Española de Protección de Datos (AEPD) correspondientes a los últimos años, las solicitudes de cancelación de los datos o de oposición al tratamiento de los mismos por los buscadores de Internet, se han incrementado de forma exponencial. Lo que revela que cada vez es mayor el interés mostrado por los ciudadanos para que no aparezcan sus datos personales en los índices que ofrecen los servicios de búsqueda en Internet a partir de los datos identificativos de una persona. Muestra de ello, es que están pendientes de resolver más de 130 procedimientos contencioso administrativos en la Audiencia Nacional relacionados con el derecho al olvido.

La AEPD en su Informe Jurídico 0214/2010, reconoce, con meridiana claridad, que los afectados o interesados pueden ejercitar el derecho de oposición frente a los buscadores, ya que “concurren todos los requisitos necesarios para que atiendan tal petición”. Además, la Agencia ha estimado varias reclamaciones de afectados, (por ejemplo, en los Procedimientos de Tutela de Derechos 00463/2007; 00444/2008; 01589/2008; y en el 00458/2010) reconociendo su ejercicio del derecho de oposición frente a Google Spain, S.L., instándola a adoptar las medidas necesarias para retirar los datos del interesado de su índice e imposibilite el acceso futuro a los mismos. La AEPD señala al respecto que “no existe, por tanto, una disposición legal en contrario respecto del ejercicio del derecho de oposición frente a Google. (…) Desde Google deberían haberse implementado las medidas necesarias para retirar los datos de su índice e imposibilitar el acceso posterior a los mismos.”

Por otro lado, la Agencia viene recomendando a las Administraciones Públicas que proceda a adoptar las medidas oportunas para limitar la indexación del nombre y apellidos de los afectados, cuando se publican sus datos en boletines o diarios oficiales en Internet, mediante la incorporación de un código (NOROBOT.txt), con objeto de que los motores de búsqueda no puedan asociarlo a los interesados. En similares términos se pronuncia la Recomendación 2/2008, de 25 de abril, de la Agencia de Protección de Datos de la Comunidad de Madrid.

El Director de la AEPD, en su comparecencia en el Congreso, el 1 de diciembre de 2010, se refirió expresamente al derecho al olvido en Internet, señalando que “el valor que nosotros le damos en términos relativos es alto, entre otras cosas, porque también hay situaciones personales detrás de cada una de esas peticiones que exigen y merecen esa protección. Pero también hay que hacer notar el hecho de que este derecho al olvido (…) no son un fenómeno nacional español, obviamente se enmarcan en una dinámica mucho más global y es una problemática que está alcanzando a otras muchas autoridades que también se encuentran en la misma dinámica de garantía de este derecho”.

La AEPD considera, en definitiva que todo interesado puede instar la cancelación de sus datos o de alguna información que le afecte, cuando entienda que esta “atenta o puede atentar” a su dignidad, entendida como un concepto amplio. Por el contrario, los buscadores (principalmente Google) niegan que exista en la normativa española y comunitaria en materia de protección de datos el “pretendido derecho al olvido” como el que habitualmente utiliza la AEPD para justificar su actuación.

En los países de nuestro entorno la mayoría de las resoluciones en esta materia (Resolución de la Autoridad Italiana de Protección de Datos de 11 de diciembre de 2008; Sentencia del “Tribunal de Grande Instance de Paris”, de 14 de abril de 2008; Sentencia, de 2 de junio de 2009, del Juzgado de Primera Instancia de Bruselas) determinan que no es admisible pedir la cancelación de datos frente a Google al considerar que dicha empresa no está ubicada en ninguno de los Estados miembros de la UE y ejecuta su tratamiento de datos mediante servidores ubicados en EEUU, por lo que se dificultaría enormemente el ejercicio del derecho a cancelar datos personales.
Pues bien, en este contexto, la Sala de lo Contencioso Administrativo de la Audiencia Nacional mediante Auto, de 27 de febrero de 2012, ha planteado (por primera vez) al Tribunal de Justicia de la Unión Europea un conjunto de cuestiones prejudiciales sobre el derecho al olvido, entre ellas si la normativa comunitaria y nacional en materia de protección de datos se puede aplicar en este caso o si, como sostiene Google, los europeos debemos acudir a los tribunales de los Estados Unidos para poder ver reconocidos sus derechos.

Por otro lado, el “Grupo de Trabajo del Artículo 29 de la Directiva 95/46/CE, de 25 de octubre de 1995, del Parlamento Europeo y del Consejo, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de éstos”, en su Informe de 4 de Abril de 2008, ha analizado la situación legal en relación con la protección de datos personales y los buscadores de Internet, llegando a la conclusión de que el periodo de conservación de datos personales por parte de dichos buscadores no debería sobrepasar los seis meses de plazo, ya que no existe una base legal para mantenerlos durante un periodo de tiempo mayor.

Otra muestra más de la importancia que se le está dando en estos momentos al derecho al olvido es que el artículo 17 de la “Propuesta de Reglamento general de protección de datos de la Comisión Europea”, presentada a finales del mes de febrero de 2012, establece por primera vez de una forma clara, el derecho del interesado al olvido y de supresión respecto a sus datos personales. La propuesta establece las condiciones del derecho al olvido, incluida la obligación del responsable del tratamiento que haya difundido los datos personales de informar a los terceros sobre la solicitud del interesado de suprimir todos los enlaces a los datos personales, copias o réplicas de los mismos. En el Considerando nº53 de esta propuesta normativa se declara que “toda persona debe tener derecho a que se rectifiquen los datos personales que le conciernen y «derecho al olvido», cuando la conservación de tales datos no se ajuste a lo dispuesto en el presente Reglamento. En particular, a los interesados les debe asistir el derecho a que se supriman y no se traten sus datos personales, en caso de que ya no sean necesarios para los fines para los que fueron recogidos o tratados de otro modo, de que los interesados hayan retirado su consentimiento para el tratamiento, de que se opongan al tratamiento de datos personales que les conciernan o de que el tratamiento de sus datos personales no se ajuste de otro modo a lo dispuesto en el presente Reglamento. Este derecho es particularmente pertinente si los interesados hubieran dado su consentimiento siendo niños, cuando no se es plenamente consciente de los riesgos que implica el tratamiento, y más tarde quisieran suprimir tales datos personales especialmente en Internet. Sin embargo, la posterior conservación de los datos debe autorizarse cuando sea necesario para fines de investigación histórica, estadística y científica, por razones de interés público en el ámbito de la salud pública, para el ejercicio del derecho a la libertad de expresión, cuando la legislación lo exija, o en caso de que existan motivos para restringir el tratamiento de los datos en vez de proceder a su supresión.”

¿Cuáles son los requisitos legales para la instalación de videovigilancia en portales de las comunidades de vecinos?

Borrar Mis Datos — Fri, 16 Dec 2011 18:34:37 +0000

La imagen de una persona identificada o identificable constituye un dato de carácter personal, por lo que su tratamiento está sujeto a la normativa de protección de datos, consecuencia de lo cual, para la instalación de cámaras de seguridad en un inmueble se debe tener en cuenta que es imprescindible inscribir el fichero de videovigilancia en la Agencia Española de Protección de Datos si se graban las imágenes (en caso contrario no sería necesario hacerlo); colocar carteles informativos del hecho de la videovigilancia en un lugar visible; poner a disposición de los interesados impresos de ejercicios de derechos de acceso, cancelación u oposición (que pueden estar en poder del secretario o del presidente); contar con una empresa de seguridad habilitada para instalar las cámaras en el caso de que estén conectadas a una central de alarma, y suscribir con ésta empresa, un acuerdo de acceso a datos por cuenta de terceros, tal y como exige el artículo 12 de la Ley 15/1999, de 13 de diciembre, de Protección de Datos; cumplir con las medidas de seguridad de nivel básico; y proceder a la cancelación de los ficheros de videovigilancia en el plazo de un mes.
No obstante, al tratarse de la captación de imágenes en zonas o elementos comunes de un inmueble destinado a viviendas, debe tenerse en cuenta, además, lo previsto en la Ley 49/1960, de 21 de julio, de Propiedad Horizontal, siendo preciso contar con la aprobación de los propietarios del inmueble, acordándose la instalación de videocámaras, en Junta de Propietarios en la forma prevista en el artículo 17 de dicha norma, la cual considera que para la validez de este tipo de acuerdos basta el voto de la mayoría del total de los propietarios que, a su vez, representen la mayoría de las cuotas de participación. En segunda convocatoria será válido el acuerdo adoptado por la mayoría de los asistentes, siempre que ésta represente, a su vez, más de la mitad del valor de las cuotas de los presentes.
Finalmente, debe tenerse en cuenta que las cámaras solo se deben orientar a las zonas comunes del inmueble, nunca hacia alguna de las viviendas, evitando, igualmente, su orientación hacia la vía pública.
Finalmente es necesario indicar que no es legal instalar cámaras en un portal de una comunidad de propietarios cuyo visionado se realiza por todos los vecinos a través de un canal de televisión, y que la propia Agencia Española de Protección de Datos (Informe jurídico 0335/2009) considera que esta opción no concuerda con el principio de proporcionalidad.

Diciembre de 2011
Javier Álvarez Hernando.

¿Cuáles son los requisitos de inclusión de una persona en un fichero de morosos?

Borrar Mis Datos — Thu, 16 Jun 2011 18:36:59 +0000

Según el artículo 38 del RLOPD, los requisitos que tienen que concurrir para que se pueda producir la inclusión de datos de una persona en un fichero relativo al cumplimiento o incumplimiento de obligaciones dinerarias son los siguientes:

1. El artículo 29.4 de la LOPD establece que estos ficheros sólo pueden registrar y ceder los datos de carácter personal que sean determinantes para enjuiciar la solvencia económica de los interesados.

Del tenor de este precepto deriva que la cesión de los datos contenidos en los ficheros de morosidad se encuentra admitida por la LOPD siempre y cuando la finalidad de la cesión se encuentre relacionada con el enjuiciamiento de la solvencia económica de los interesados, siendo los datos pertinentes para tal fin, y exigiéndose que la cesión quede perfilada y delimitada por «la finalidad a que se destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquel a quien se pretenden comunicar» (artículo 11.3 de la LOPD).

2. Existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada. Es decir, que se trate de deudas realmente existentes, sin términos o condiciones pendientes de finalización o cumplimiento, de cuantía determinada y cuyo cumplimiento pueda exigirse por vía judicial.

Por tanto, la obligación cuyo incumplimiento haya generado la deuda ha de ser necesariamente de carácter dinerario, como expresamente indica el artículo 38 del RLOPD, quedando excluida, por tanto, la posibilidad de incluir datos cuando la relación obligacional no tenga tal carácter (así, por ejemplo, aquellas cuyo objeto sean prestaciones personales). También se excluye la posibilidad de incluir otros datos relativos a solvencia patrimonial o crédito distintos de los atinentes a aquellas obligaciones.

No existe, por otro lado, importe mínimo establecido en la ley para la comunicación de los datos.

3. Que no hayan transcurrido seis años desde la fecha en que hubo de procederse al pago de la deuda o del vencimiento de la obligación o del plazo concreto si aquélla fuera de vencimiento periódico. En este sentido, el artículo 29.4 de la LOPD (al igual que el artículo 41.2 del RLOPD) establecen que sólo se podrán registrar y ceder los datos que no se refieran, cuando sean adversos, a más de seis años. Esto no significa que el tratamiento pueda mantenerse durante un período de seis años, sino que la información contenida en el fichero común se debe referir a hechos que sucedieron, como máximo, seis años atrás.

En cuanto a la determinación del día del comienzo del plazo (dies a quo) de los seis años, la interpretación jurisprudencial mayoritaria (entre otras, la Sentencia de la Audiencia Nacional, de 14 de junio de 2002) considera que el inicio del plazo comienza con el vencimiento de la obligación incumplida.

En cuanto al modo de computar el plazo de seis años, la norma tercera de la Instrucción 1/1995 de la AEPD establece que «el cómputo del plazo (.) se iniciará a partir del momento de la inclusión del dato personal desfavorable en el fichero y, en todo caso, desde el cuarto mes, contado a partir del vencimiento de la obligación incumplida o del plazo en concreto de la misma si fuera de cumplimiento periódico».

Siguiendo a VIZCAÍNO CALDERÓN , lo que pretende el artículo 29.4 es que los datos adversos sean olvidados a los seis años, de tal manera que el afectado pueda recuperar su privacidad, que quedó limitada por la necesidad, en defensa de los intereses generales de que se hacía mérito más atrás, de registrar esos datos sin su consentimiento.

4. Es indispensable el requerimiento previo de pago a quien corresponda el cumplimiento de la obligación. Corresponde probar que se ha realizado este requerimiento a la entidad acreedora. En todo caso, este requerimiento debe ser dirigido a una persona en concreto y debe contener el importe exacto reclamado, en caso contrario no sería considerado válido (tal y como ha señalado la AEPD en el Procedimiento PS/77/2007) al igual que no lo sería requerir por un importe inferior a la cantidad que posteriormente se anota en el fichero común (Sentencia de la Audiencia Nacional, de 3 de mayo de 2007).

En ningún caso puede entenderse como efectuado un requerimiento previo de pago, con el sentido que estamos comentando, en el supuesto de remisión al afectado de una determinada factura. A este respecto, la Sentencia de la Audiencia Nacional, de 17 de julio de 2008, afirma que «con independencia de lo que se pueda considerarse en el ámbito civil respecto a si la remisión de una determinada factura constituye un requerimiento previo de pago a los efectos de constitución en mora del artículo 1100 del Código Civil, lo cierto es que a los efectos del ámbito de protección de datos en que nos encontramos, esta Sala (.) viene considerando que no puede equipararse la citada remisión de las facturas con el requerimiento previo de pago a que se refiere la Norma primera.1.b) de la Instrucción 1/1995, de 1 de marzo, de la AEPD».

La Sentencia de la Audiencia Nacional, de 18 de abril de 2007, señala a este respecto que «Las facturas emitidas no constituyen por sí mismas documento de requerimiento de pago ni indican por sí mismas que la ausencia de pago conllevara la inclusión de sus datos en los ficheros sobre solvencia patrimonial y crédito (.). No debe olvidarse que la inclusión de una persona en registros de solvencia patrimonial y crédito es un hecho de gran trascendencia, del que pueden derivarse consecuencias muy negativas para el afectado, de ahí la necesidad de ese requerimiento previo de pago exigido por la citada Instrucción, por lo que en modo alguno puede identificarse con la remisión de una factura para el pago del servicio prestado».

5. Por otro lado, tal y como exige el artículo 39 del RLOPD, el acreedor viene obligado a informar al deudor, en el momento en que se celebre el contrato y, en todo caso, al tiempo de efectuar el requerimiento previo de pago, al que nos hemos referido anteriormente, que en caso de no producirse el pago en el término previsto para ello y cumplirse los requisitos que estamos indicando, los datos relativos al impago podrán ser comunicados a ficheros relativos al cumplimiento o incumplimiento de obligaciones dinerarias, es decir, a ficheros de morosidad.

El artículo 38.3 del RLOPD obliga al acreedor, o quien actúe por su cuenta o interés, a conservar a disposición del responsable del fichero común y de la AEPD la documentación suficiente que acredite el cumplimiento de los requisitos que acabamos de mencionar.

6. El artículo 41.1 del RLOPD establece que sólo pueden ser objeto de tratamiento los datos que respondan con veracidad a la situación de la deuda en cada momento concreto. Por tanto, el pago o cumplimiento de la deuda traerá consigo la cancelación inmediata de todo dato en el fichero de morosidad.

7. La Norma Primera de la Instrucción 1/1995, de 1 de marzo, de la Agencia de Protección de Datos, relativa a la prestación de servicios de información sobre solvencia patrimonial y crédito, señala que «No podrán incluirse en los ficheros de esta naturaleza datos personales sobre los que exista un principio de prueba documental que aparentemente contradiga alguno de los requisitos anteriores. Tal circunstancia determinará, igualmente, la desaparición cautelar del dato personal desfavorable en los supuestos en que ya se hubiera efectuado su inclusión en el fichero».

Dos Sentencias del Tribunal Supremo, de 15 de julio de 2010 (Rec. 26/2008 y 23/2008) anularon parte del artículo 38.a) del RLOPD que establecía como requisito para la inclusión de los datos en un fichero de morosos:«Que no se haya entablado, por parte del supuesto deudor, una reclamación judicial o arbitral o administrativa o, tratándose de servicios financieros, no haya planteado una reclamación ante los comisionados de las entidades financieras (en los términos establecidos en el Reglamento de los Comisionados para la defensa del cliente de servicios financieros, aprobado por Real Decreto 303/2004, de 20 de febrero)».

Así las cosas, de acuerdo con la citada doctrina jurisprudencial, la mera impugnación de la deuda no supone per se un impedimento para su inclusión en los ficheros de solvencia, como ocurre en los casos en los que la impugnación no cuestiona la existencia o certeza de la deuda o cuando la impugnación no impide que pueda hablarse de una deuda cierta hasta que recaiga resolución firme, por carecer el órgano ante el que se interpone de competencia para declarar la existencia o inexistencia de la deuda a través de resoluciones de obligado cumplimiento para las partes. Es decir, si, por ejemplo, se ha entablado una reclamación en la que se rebate la existencia de la deuda ante un órgano administrativo que es competente para adoptar una decisión en los términos anteriormente expuestos, y aun así se incluyeran los datos en un fichero de solvencia, se estaría vulnerando el principio de calidad de los datos. En este sentido se ha pronunciado la AEPD en el procedimiento sancionador PS/00188/2010.

Finalmente, y desde un punto de vista más general, la Sentencia de la Audiencia Nacional, de 20 de abril de 2006, estableció respecto a los requisitos a observar para incluir los datos de una persona en un fichero de morosos que«(…) debe considerarse, que aquel que utiliza un medio extraordinario de cobro, como es el de la anotación de la deuda en un registro de morosos, debe garantizar el cumplimiento de todos los requisitos materiales (exactitud del dato) y formales (requerimiento previo) que permitan el empleo de este modo accesorio para conseguir el cobro de la deuda. No aplicar esta exigencia supondría, por el contrario, utilizar este medio de presión al recurrente sin el suficiente aseguramiento de las mínimas garantías para los titulares de los datos que son anotados en los registros de morosos».

Contenido extractado de la obra «Guía práctica sobre protección de datos. Cuestiones y formularios». (Javier Álvarez Hernando. Lex Nova, 1.ª edición, junio 2011).

Infracciones y sanciones en materia de protección de datos, tras la reforma introducida por la Ley 2/2011, de 4 de marzo, de Economía Sostenible.

Borrar Mis Datos — Sat, 16 Apr 2011 18:36:04 +0000

El legislador español, consciente de los problemas prácticos que por entonces presentaba, en materia sancionadora, la aplicación de la hoy derogada Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal, tuvo la intención, durante la tramitación parlamentaria de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos (LOPD), de profundizar en la materia desde una doble perspectiva: la seguridad jurídica consagrada en el artículo 25.1 de la Constitución Española y la ponderación de los elementos que concurren en las infracciones de ley, intentando ajustar la descripción de los derechos y deberes nacidos del tratamiento de datos a los tipos de infracciones. No obstante, la pretendida concreción y delimitación de conductas tipificadas no siempre se consiguió, dando lugar, en ocasiones, a la existencia de conceptos jurídicos indeterminados o a tipos infractores que exigían una interpretación extensiva de éstos para su aplicación. Con estas disfunciones pretende acabar la reforma del régimen sancionador, producido por la Disposición final quincuagésima sexta de la Ley 2/2011, de 4 de marzo, de Economía Sostenible, que introduce modificaciones a los artículos 43, 44, 45, 46 y 49 de la LOPD. Se pretende que ésta reforma aporte mayor seguridad jurídica y mayor precisión en la aplicación de la norma, además de permitir ampliar los criterios de modulación y adecuación de las sanciones.
Las infracciones y sanciones se regulan en el Título VII de la LOPD y se establecen tres modalidades de infracciones, en función de su gravedad, dividiéndolas en leves, graves y muy graves. Las infracciones leves se sancionan ahora con multa de 900 a 40.000 euros; las graves con multa de 40.001 a 300.000 €; y las muy graves, con multa de 300.001 a 600.000 €. Se contemplan en la LOPD, después la modificación introducida por la meritada Ley de Economía Sostenible, las siguientes infracciones leves:
a) No remitir a la AEPD las notificaciones previstas en la LOPD o en sus disposiciones de desarrollo;
b) No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos (RGPD);
c) El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos sean recabados del propio interesado. El artículo 5 de la LOPD establece, entre otras cosas, que a los interesados a los que se soliciten datos personales se les debe informar en el momento de la recogida y de modo expreso, preciso e inequívoco de la existencia del fichero o del tratamiento, de la finalidad de la recogida, los destinatarios de esa información, del carácter obligatorio o facultativo de la respuesta a las preguntas planteadas, de las consecuencias de la obtención de los datos o la negativa a suministrarlos, la identidad y dirección del responsable del tratamiento o su representante, y de la posibilidad del ejercicio de derechos. El artículo 18 establece una regulación complementaria al señalar la necesidad de acreditar el cumplimiento del deber de información debiendo conservarse el soporte. No cumplir con esta obligación se califica como infracción leve. No obstante, cuando los datos hayan sido recabados de persona distinta del afectado y no se dé cumplimiento al principio de información, estaríamos ante una infracción calificada como grave por el artículo 44.3.f);
d) La transmisión de los datos a un encargado del tratamiento sin dar cumplimiento a los deberes formales establecidos en el artículo 12 de la LOPD. El deber formal al que debe entenderse que se refiere esta tipificación es la suscripción de un contrato por escrito, o por cualquier medio que permita acreditar su celebración, en el que se regulen las condiciones del acceso a datos por cuenta de terceros, en el marco de una prestación de servicios. El contenido de dicho contrato se determina en los artículos 12 de la LOPD y 20 y siguientes del RLOPD.
Por otro lado, son infracciones graves: a) Proceder a la creación de ficheros de titularidad pública o iniciar la recogida de datos de carácter personal para los mismos, sin autorización de disposición general, publicada en el “Boletín Oficial del Estado” o diario oficial correspondiente. Aunque la gravedad de la conducta es la misma, ya se trate de ficheros de titularidad pública o privada, las consecuencias son sustancialmente distintas. Ya que, mientras que en el caso de ficheros privados la sanción es pecuniaria, en el supuesto de la Administración Pública no cabe imponer una sanción económica, sino que se limita a la presentación de una proposición, por parte del Director de la AEPD, del inicio de actuaciones disciplinarias contra el funcionario infractor;
b) Tratar datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en la LOPD y sus disposiciones de desarrollo. El consentimiento es uno de los principios cardinales en materia de protección de datos. Su regulación se encuentra en el artículo 6, exigiéndose como regla general el consentimiento del afectado para tratar sus datos. No obstante, el apartado segundo del artículo 6 recoge las excepciones a la necesidad de obtener este consentimiento;
c) Tratar datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en el artículo 4 de la LOPD y las disposiciones que lo desarrollan, salvo cuando sea constitutivo de infracción muy grave. Si se tratara de datos especialmente protegidos, el artículo 44.4.b agrava la sanción, considerándose como una infracción muy grave;
d) La vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal al que se refiere el artículo 10 de la LOPD;
e) El impedimento o la obstaculización del ejercicio de los derechos de acceso, rectificación, cancelación y oposición. No es necesaria una conducta activa de obstaculización, por parte del responsable del fichero, sino que basta, como así lo ha dicho la Audiencia Nacional, la simple desatención al ejercicio de los derechos;
f) El incumplimiento del deber de información al afectado acerca del tratamiento de sus datos de carácter personal cuando los datos no hayan sido recabados del propio interesado. La peculiaridad de la agravación de la sanción se refiere a cuando los datos fueron recabados por persona distinta del afectado;
g) El incumplimiento de los restantes deberes de notificación o requerimiento al afectado impuestos por la LOPD y sus disposiciones de desarrollo. El artículo 44.2.a de la LOPD contiene el tipo atenuado de este precepto, que peca, en nuestra opinión, de ser poco específico en su definición, cuando señala “incumplimiento de los restantes deberes”;
h) Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen. La infracción que se describe en este artículo, se limita a sancionar la omisión y no las consecuencias que pudieran derivarse de la falta de adopción de medidas de seguridad. Los requisitos y directrices a cumplir en materia de seguridad están previstos en los artículos 79 y siguientes del RLOPD;
i) No atender los requerimientos o apercibimientos de la AEPD o no proporcionar a aquélla cuantos documentos e informaciones sean solicitados por la misma. Es un tipo relacionado con la obstrucción a la actividad inspectora, aunque de distinta naturaleza.
j) La obstrucción al ejercicio de la función inspectora. Bastará con dificultar, poner obstáculos o no colaborar para que pueda estimarse esta conducta, sin perjuicio, de que se llegue, o no, al conocimiento de los datos o de la actividad investigada, pues lo que se sanciona no es un resultado sino una conducta que obstruye la tarea inspectora. Las sanciones más frecuentes por esta infracción alcanzan los 60.000 euros, si bien, ésta cantidad era la mínima que se preveía antes de la reforma introducida por la Ley 2/2011, de 4 de marzo, de Economía Sostenible;
k) La comunicación o cesión de los datos de carácter personal sin contar con legitimación para ello en los términos previstos en la LOPD y sus disposiciones reglamentarias de desarrollo, salvo que la misma sea constitutiva de infracción muy grave. Si se tratara de comunicaciones de datos especialmente protegidos, el artículo 44.4.b agrava la sanción, considerándose como una infracción muy grave.
Son infracciones muy graves:
a) La recogida de datos en forma engañosa o fraudulenta. Debido a la generalidad del precepto, la existencia de engaño o fraude debe acreditarse atendiendo a las circunstancias concurrentes a cada caso, tal y como se hizo en la Sentencia de la Audiencia Nacional, de 8 de junio de 2006;
b) Tratar o ceder los datos de carácter personal a los que se refieren los apartados 2, 3 y 5 del artículo 7 de la LOPD, salvo en los supuestos en que la misma lo autoriza o violentar la prohibición contenida en el apartado 4 del artículo 7. El Tratamiento o la cesión de datos, solo se considera infracción muy grave si afecta a datos especialmente protegidos. Si no fuera así, se tipifica como infracción 44.3.k.
c) No cesar en el tratamiento ilícito de datos de carácter personal cuando existiese un previo requerimiento del Director de la AEPD para ello. Lo que caracteriza a este tipo infractor es la desatención al requerimiento que haya podido realizar el Director de la AEPD al responsable del fichero o encargado del tratamiento. En este supuesto, no se exige que haya reiteración.
d) La transferencia internacional de datos de carácter personal con destino a países que no proporcionen un nivel de protección equiparable sin autorización del Director de la AEPD salvo en los supuestos en los que conforme a esta Ley y sus disposiciones de desarrollo dicha autorización no resulta necesaria. Recordamos que la transferencia internacional de datos se regula en los artículos 33 y 34 de la LOPD y 65 y siguientes del RLOPD. Por su parte, el procedimiento se establece en los artículos 137 y siguientes del RLOPD. El artículo 33 de la LOPD establece la regla general de necesidad de autorización previa por parte del Director de la AEPD para cualquier transferencia internacional de datos. El carácter adecuado de esta protección se evalúa atendiendo a las circunstancias que se recogen en el apartado segundo del artículo 33. Por su parte, el artículo 34 indica las excepciones tasadas a la prohibición general del artículo 33. La infracción muy grave que establece este precepto consiste en la realización de una transferencia, sin haber obtenido, previamente, la autorización del Director de la Agencia. Esta conducta es también sancionable en base al artículo 44.4.b) de la LOPD.
Graduación de las sanciones
Los criterios establecidos para la graduación de las sanciones son similares, con carácter general, a los recogidos en el Derecho Administrativo Sancionador y en el Derecho Penal. Según la Sentencia del Tribunal Constitucional 126/2005, entre los principios que tienen un origen penal, pero que son aplicables al procedimiento sancionador cabe incluir el derecho a la defensa, que proscribe cualquier indefensión; el derecho a conocer los cargos que se formulan contra el sometido a procedimiento sancionador, y el derecho a utilizar los medios de prueba adecuados para la defensa. Igualmente el TC considera vigente el principio de contradicción, al igual que sucede con el resto de garantías constitucionales que conforme al artículo 24.2 de la CE ordenan la potestad sancionadora de la Administración. Es el Director de la AEPD el que, de forma discrecional y atendiendo a la gravedad, impone la cuantía de la sanción. De acuerdo con el apartado 4 del artículo 45 de la LOPD, la cuantía de las sanciones se graduará atendiendo a: a) El carácter continuado de la infracción; b) El volumen de los tratamientos efectuados. Es decir, se aplicará un mayor baremo sancionador a aquellos que tengan un volumen de tratamiento de datos más elevado frente a aquellos que su volumen sea menor; c) La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal; d) El volumen de negocio o actividad del infractor; e) Los beneficios obtenidos como consecuencia de la comisión de la infracción. Para graduar la sanción se considera que dichos beneficios se deben relacionar con la conducta ilícita realizada y no con el volumen de beneficios derivados de la actividad económica de la entidad; f) El grado de intencionalidad. Sostenible cuando se trate de infracciones meramente administrativas, como, por ejemplo, la falta de notificación a la AEPD, pero sería de difícil aplicación cuando dicha intencionalidad afecte a derechos y principios rectores de la protección de datos. No obstante, es frecuente que las entidades sancionadas aleguen el devenir de errores técnicos, organizativos o informáticos; g) La reincidencia por comisión de infracciones de la misma naturaleza. Este criterio que sirve para cuantificar la sanción de la infracción, debe tener en cuenta las infracciones cometidas con anterioridad, sancionadas por una resolución firme y que versen sobre la misma materia; h) La naturaleza de los perjuicios causados a las personas interesadas o a terceras personas; i) La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de los datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor; j) Cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora. Es evidente que cualquier criterio es válido para agravar la sanción en base a esta tipificación, creando, por tanto, una insoportable inseguridad jurídica
La AEPD suele ponderar la profesionalidad o no del sujeto infractor. Es por ello que cuando la actividad es de constante y abundante manejo de datos de carácter personal se insiste en el rigor y el exquisito cuidado por ajustarse a las prevenciones legales al respecto.
Atenuación de la sanción
El artículo 45.5 de la LOPD prevé la posibilidad de atenuar la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate. Es decir que las infracciones graves sean consideradas leves y las muy graves, graves.
Los supuestos en lo que es posible esta atenuación, son los siguientes:
a) Cuando se aprecie una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho como consecuencia de la concurrencia significativa de varios de los criterios de graduación de las sanciones contemplados en el apartado cuarto del artículo 45, como por ejemplo, la naturaleza de los perjuicios causados, la ausencia de reincidencia, la intencionalidad, el volumen de los tratamientos efectuados, etc.
b) Cuando la entidad infractora haya regularizado la situación irregular de forma diligente. Es decir, haya tomado medidas para cumplir con la LOPD y el RLOPD, como por ejemplo, elaborar e implantar un documento de seguridad, establecer protocolos en la organización respecto a los derechos ARCO, elaboración de jornadas formativas periódicas del personal con acceso a datos, encargo de auditorías de seguridad externas, etc.
c) Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la comisión de la infracción.
d) Cuando el infractor haya reconocido espontáneamente su culpabilidad.
e) Cuando se haya producido un proceso de fusión por absorción y la infracción fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente.
El órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquélla en que se integra la considerada, en el caso de que se trate.
La Audiencia Nacional, de forma reiterada, como, por ejemplo, en sus Sentencias de 24 de mayo de 2002 y 16 de febrero de 2005, señala, en este sentido, que “(…) la presente regla debe aplicarse con exquisita ponderación y solo en los casos en los que la culpabilidad y la antijuridicidad resulten sustancialmente atenuadas atendidas las circunstancias del caso concreto, de forma que repugne a la sensibilidad jurídica, siempre guiada por el valor justicia, la imposición de la sanción correspondiente al grado. Lo cual insistimos puede darse, por excepción, en casos muy extremos y concretos (…)”.
Finalmente, el apartado 6 del artículo 45 de la LOPD, establece que “en ningún caso podrá imponerse una sanción más grave que la fijada en la Ley para la clase de infracción en la que se integre la que se pretenda sancionar”. Algo que, por otra parte, resulta obvio.
Sanción de apercibimiento como gran novedad de la reforma.
Según establece el artículo 45.6 de la LOPD, de forma excepcional, la AEPD puede, previa audiencia de los interesados y atendida la naturaleza de los hechos y la concurrencia significativa de los criterios relativos a la graduación de las sanciones (del artículo 45.4), no acordar la apertura del procedimiento sancionador y, en su lugar, apercibir al sujeto responsable a fin de que, en el plazo que el órgano sancionador determine, acredite la adopción de las medidas correctoras que en cada caso resultasen pertinentes, siempre que concurran los siguientes presupuestos: a) Que los hechos fuesen constitutivos de infracción leve o grave; y b) Que el infractor no hubiese sido sancionado o apercibido con anterioridad.
Si el apercibimiento no fuera atendido en el plazo que la AEPD hubiera determinado procederá la apertura del correspondiente procedimiento sancionador por dicho incumplimiento.
Esta medida preventiva en el cumplimiento de la LOPD, de naturaleza no sancionadora, introducida por ladisposición final quincuagésima sexta de la meritada Ley 2/2011, de 4 de marzo, de Economía Sostenible,resulta muy cuestionable desde el punto de vista del principio de seguridad jurídica, ya que se deja al arbitrio de la Autoridad de Protección de Datos decidir, si bien con condiciones, cuando inicia un procedimiento sancionador o no. Es cuestión de tiempo verificar como ante supuestos similares unos casos terminarán con una sanción y en otros con un mero apercibimiento.

Abril de 2011
Javier Álvarez Hernando.
Publicado en Avance Normativo de Editorial Europea de Derecho de Mayo de 2011

¿Existe el derecho al olvido en Internet?

Borrar Mis Datos — Wed, 16 Mar 2011 18:35:15 +0000

Es sobradamente conocido que los buscadores de Internet, como Google, Yahoo, Bing, etc. muestran resultados que previamente han sido indexados de las páginas web donde originariamente han sido publicados, como ocurre, por ejemplo, con los boletines oficiales. En consecuencia, los datos personales permanecen relacionados en los buscadores de forma indefinida. Frente a ello, la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos, reconoce a los afectados el derecho a oponerse a estos tratamientos con sus datos. Pretenden, en definitiva, alcanzar mediante la eliminación definitiva de los mismos, “desaparecer” de Internet. Es lo que se conoce comúnmente como “el derecho al olvido”.
Este concepto no es nuevo, ya que un jurista estadounidense de nombre, Louis Brandeis, que fuera Juez de la Corte Suprema de los Estados Unidos de 1916 a 1939, lo definió como el derecho a que le dejen a uno en paz (the right to be let alone).
Según la Memoria de la Agencia Española de Protección de Datos (en adelante, AEPD), correspondiente al año 2009, las solicitudes de cancelación de los datos o de oposición al tratamiento de los mismos por los buscadores de Internet, aún no siendo muy numerosas en valores absolutos, se han incrementado en un 200%. Lo que revela que cada vez es mayor el interés mostrado por los ciudadanos para que no aparezcan sus datos personales en los índices que ofrecen los servicios de búsqueda en Internet a partir de los datos identificativos de una persona. De los casos planteados ante la AEPD, relacionados con la publicación de sus datos en ediciones digitales de diarios oficiales o medios de comunicación, destacan los siguientes: publicación de sanciones administrativas ya cumplidas; publicación por edictos de deudas vencidas; sanciones disciplinarias a funcionarios de prisiones que afectan a su seguridad; publicación de datos de una mujer y sus hijos menores, víctimas de violencia doméstica que facilitan su localización para el cónyuge; publicación en una página web que replica la edición electrónica de boletines oficiales de ayudas de exclusión social y desempleo; y publicación de indultos.
La AEPD en su Informe Jurídico 0214/2010, reconoce, con meridiana claridad, que los afectados o interesados pueden ejercitar el derecho de oposición frente a los buscadores, ya que “concurren todos los requisitos necesarios para que atiendan tal petición”. Además, la Agencia ha estimado varias reclamaciones de afectados, (por ejemplo, en los Procedimientos de Tutela de Derechos 00463/2007; 00444/2008; 01589/2008; y en el 00458/2010) reconociendo su ejercicio del derecho de oposición frente a Google Spain, S.L., instándola a adoptar las medidas necesarias para retirar los datos del interesado de su índice e imposibilite el acceso futuro a los mismos. La AEPD señala al respecto que “no existe, por tanto, una disposición legal en contrario respecto del ejercicio del derecho de oposición frente a Google. (…) Desde Google deberían haberse implementado las medidas necesarias para retirar los datos de su índice e imposibilitar el acceso posterior a los mismos.”
Por otro lado, el “Grupo de Trabajo del Artículo 29 de la Directiva 95/46/CE, de 25 de octubre de 1995, del Parlamento Europeo y del Consejo, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de éstos”, en su Informe de 4 de Abril de 2008, ha analizado la situación legal en relación con la protección de datos personales y los buscadores de Internet, llegando a la conclusión de que el periodo de conservación de datos personales por parte de dichos buscadores no debería sobrepasar los seis meses de plazo, ya que no existe una base legal para mantenerlos durante un periodo de tiempo mayor.
La Agencia viene recomendando, por otra parte, a la Administración Pública que proceda a adoptar las medidas oportunas para limitar la indexación del nombre y apellidos de los afectados, cuando se publican sus datos en boletines o diarios oficiales en Internet, mediante la incorporación de un código (NOROBOT.txt), con objeto de que los motores de búsqueda no puedan asociarlo a los interesados. En similares términos se pronuncia laRecomendación 2/2008, de 25 de abril, de la Agencia de Protección de Datos de la Comunidad de Madrid.
En cualquier caso, este criterio de la Agencia no deja de ser cuestionable, debiendo ser la Audiencia Nacional la que resuelva el conflicto al haber presentado el todopoderoso buscador Google los correspondientes recursos contencioso-administrativos frente a las resoluciones de la AEPD que les exigen eliminar datos de los afectados de sus resultados de búsquedas. Por de pronto, tal y como se ha publicado en elmundo.es, el 25 de febrero de 2011, la Audiencia Nacional ha dictado una providencia en la que pregunta a Google España y a la AEPD si procede recabar la opinión del Tribunal de Justicia de la Unión Europea, sobre quién debe eliminar en Internet los enlaces a contenidos con datos personales.
La posición oficial de Google es que “Exigir a los intermediarios, como los motores de búsqueda, que censuren el material publicado por otros tiene un efecto profundo y negativo sobre la libertad de expresión, sin que se proteja la privacidad de las personas”.
El Director de la AEPD, en su comparecencia en el Congreso, el 1 de diciembre de 2010, se refirió expresamente al derecho al olvido en Internet, señalando que “el valor que nosotros le damos en términos relativos es alto, entre otras cosas, porque también hay situaciones personales detrás de cada una de esas peticiones que exigen y merecen esa protección. Pero también hay que hacer notar el hecho de que este derecho al olvido y las peticiones que lo acompañan no son un fenómeno nacional español, obviamente se enmarcan en una dinámica mucho más global y es una problemática que está alcanzando a otras muchas autoridades que también se encuentran en la misma dinámica de garantía de este derecho”.

09 de marzo de 2011

Javier Alvarez Hernando.
Artículo publicado en el Avance Normativo de abril de 2011 de Editorial Europea de Derecho.

¿Es posible la instalación de cámaras en guarderías o centros de educación infantil?

Borrar Mis Datos — Wed, 16 Feb 2011 18:37:46 +0000

Es cada vez más frecuente que los centros educativos de educación infantil permitan a los progenitores acceder, incluso en tiempo real, a las imágenes de las clases y espacios de juego dónde se encuentran sus hijos. Obviamente estos tratamientos con datos personales (imágenes de los menores) están sometidos a la normativa de protección de datos.
Debido a que el tratamiento de las imágenes incumbe al profesorado, y al personal que presta servicios profesionales en el centro, éstos deberán otorgar su consentimiento a la captación de su imagen. Lo mismo ocurrirá respecto de los menores, cuyo consentimiento deberán otorgar sus padres o representantes legales, tal y como dispone el artículo 13 del Real Decreto 1720/2007, de 21 de diciembre, cuando señala que “podrán tratarse los datos de los menores de catorce años con el consentimiento de padres o tutores.”
En el caso de obtenerse el consentimiento, tanto del profesorado y quienes presenten servicio en el mismo, como de los padres de los menores, las cámaras podrán instalarse, debiendo de informarse, por parte de la dirección del centro, de la existencia de las mismas a través de la instalación de los correspondientes carteles informativos; proceder a la inscripción del fichero correspondiente en el Registro General de Protección de Datos (si se tratara de una guardería pública, mediante la aprobación de la oportuna Disposición General que deberá publicarse en el Boletín Oficial correspondiente); así como adoptar las medidas de seguridad de nivel básico que se detallan en el Real Decreto 1720/2007, de 21 de diciembre.

De cualquier modo, la decisión de instalar cámaras en una guardería implica que la dirección del centro defina claramente cual va a ser la finalidad para la captación de las imágenes de los menores que, en todo caso, debe ser muy cuidadoso con el principio de proporcionalidad y adecuación, y en particular debe atenderse a los usos adicionales con fines promocionales o de marketing, memorias escolares de actividad, o publicación en el sitio web del centro.
Igualmente debe garantizarse la seguridad y el secreto, en particular cuando el acceso a las imágenes se produzca a través de Internet, siendo imprescindible que éstas se encuentren en un lugar de acceso restringido en el sitio web, habiendo proporcionado, previamente a los padres, un nombre de usuario y una contraseña. Por otro lado, deben definirse los perfiles de acceso con el objeto de que se limite el acceso a los entornos en los que se encuentren sus hijos, nunca a otras aulas.
El tema de la instalación de cámaras en entornos escolares ha sido tratado por la Guía de Videovigilancia, de la Agencia Española de Protección de Datos (AEPD) del año 2009, y por el Gabinete Jurídico de la Agencia en sus Informes 0274/2009 y 262/2006.

La Agencia, a través de su Gabinete Jurídico, en el Informe 0648/2009, no considera adecuado la instalación de cámaras en una piscina durante el desarrollo de un curso con menores, con el fin de que los padres puedan tener un control visual de la actividad.
Se consulta a la AEPD la posibilidad de instalar cámaras de videovigilancia dirigidas a una piscina municipal y a sus zonas perimetrales, con emisión de imágenes en tiempo real (sin grabación) en una pantalla instalada en la zona de entrada a las instalaciones, con el objeto de que, como medida de seguridad complementaria, durante un cursillo de natación dirigido a menores, los padres pudieran tener un control visual.
La AEPD toma en consideración, en este supuesto, el principio de proporcionalidad y el de calidad de los datos (artículo 4.1 Ley 15/1999, de 13 de diciembre –en adelante, LOPD-), por el que se establece que solo se pueden tratar datos cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido. Por ello, el tratamiento de la imagen de los afectados debe ser proporcionado a la finalidad que lo motiva que no es otra, en este caso, que la seguridad de los menores. Recuerda la AEPD la doctrina del Tribunal Constitucional, fijada en su Sentencia 207/1996, donde se determina que cualquier medida restrictiva de derechos fundamentales, entre ellas las que supongan una injerencia en los derechos a la integridad física y a la intimidad viene determinada por la estricta observancia del principio de proporcionalidad. Para ello el TC considera necesario constatar si se cumplen tres siguientes requisitos o condiciones: «si tal medida es susceptible de conseguir el objetivo propuesto (juicio de idoneidad); si, además, es necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia (juicio de necesidad); y, finalmente, si la misma es ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto)”.
Teniendo en cuenta estas premisas, el criterio de la Agencia es considerar que la seguridad de los menores puede lograrse de forma más idónea mediante la adopción de otro tipo de medidas que no pasan por la grabación, algo que de hacerse pudiera vulnerar el principio de proporcionalidad por lo que el tratamiento podría resultar contrario a lo establecido en la LOPD. Pero incluso si no se considerara vulnerado dicho principio de proporcionalidad, debe tenerse en cuenta que la difusión a través de una pantalla de televisión de la imagen de las personas que se encuentren en la piscina, (menores, monitores y cualquier otro usuario), imagen que puede ser vista por cualquier persona que se encuentre en el vestíbulo de la piscina, constituye una cesión de datos (artículo 11 LOPD) que exige que todos los afectados hayan prestado previamente su consentimiento.

Febrero de 2011
Javier Alvarez Hernando

Breve estudio jurisprudencial sobre intromisiones ilegítimas en el derecho al honor a través de Internet

Borrar Mis Datos — Wed, 16 Jun 2010 18:38:35 +0000

El Tribunal Supremo ha resuelto recientemente, en su Sentencia 316/2010, de 18 de mayo de 2010, un recurso de casación, en la que considera que los prestadores de servicios de alojamiento de páginas web no son responsables de los comentarios aportados por terceros.
El supuesto de hecho es el siguiente: En la página web (quejasonline.com, donde se permite publicar protestas frente a las actividades de las empresas) un usuario no identificado, suplantando la identidad de un abogado, dejó una nota en el foro claramente atentatoria contra su honor y el de una compañía de seguros. La empresa que gestiona dicha web retiró esos contenidos en el momento en el que el citado letrado les remitió una comunicación. Posteriormente éste interpuso la correspondiente demanda que finalmente fue estimada, condenando a la empresa titular de la página web a abonar al demandante, en concepto de daños y perjuicios, 6.135 euros, además de los intereses, las costas y a difundir el fallo de la sentencia. La Audiencia Provincial (de Valencia), que conoció la apelación, confirmó la sentencia de instancia, condenando igualmente a las costas del procedimiento.
Recurrido en casación, el TS se pronuncia finalmente en la precitada Sentencia de 18 de mayo de 2010, y a diferencia de lo resuelto por el Juzgado de Instancia y por la AP, declara haber lugar a la casación. En los Fundamentos de Derecho el TS refiere la Directiva 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, donde se regula el régimen de responsabilidad de los prestadores de servicios que actúan como intermediarios de la sociedad de la información. En su artículo 16 se dispone que los Estados miembros deben garantizar que los prestadores de servicios consistentes en almacenar datos facilitados por el destinatario de los mismos, no responden cuando se ejercite una acción por daños y perjuicios, siempre que no tengan conocimiento de los hechos o circunstancias por los que la actividad o la información revele su carácter ilícito, y, en el caso de que tuvieran dicho conocimiento, cuando actúen “con prontitud para retirar los datos o hacer que el acceso a ellos sea imposible.”
En el mismo sentido, la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, dispone, en su artículo 16, que los prestadores de servicios de alojamiento o almacenamiento no serán responsables por la información siempre que “no tengan conocimiento efectivo de que la actividad o la información almacenada es ilícita o de que lesiona bienes o derechos de un tercero susceptibles de indemnización, o si lo tienen, actúen con diligencia para retirar los datos o hacer imposible el acceso a ellos”.
Continúa el artículo definiendo lo que se entiende por “conocimiento efectivo”, señalando que existirá cuando un órgano competente haya declarado la ilicitud de los datos, ordenado su retirada o que se imposibilite el acceso a los mismos, o se hubiera declarado la existencia de la lesión, y el prestador conociera la correspondiente resolución.
Pues bien, aplicando estas normas, el Supremo señala que la AP no ha tenido en cuenta este conjunto normativo al declarar la responsabilidad de la demandada, y por ello no ha extraído consecuencia alguna de que dicha sociedad no conociera, ni pudiera razonablemente conocer, directamente o indirectamente, que quien le suministraba el contenido lesivo (es decir, el letrado objeto de la ofensa) no era él, sino otra persona que utilizaba indebidamente su nombre con el ánimo de perjudicarle; ni que conocedora con posterioridad de esa realidad, merced al requerimiento del perjudicado, retirase el comentario sin tacha de negligencia.
El TS ha tenido oportunidad de pronunciarse en otra importante Sentencia (773/2009, de 9 de diciembre), donde si reconoció la responsabilidad del prestador de servicios de la sociedad de la información (en este caso, la Asociación de Internautas), ya que a través de varios sitios web (putasgae.org y antisgae.internautas.org) se publicaron comentarios críticos y, en algunos casos, ofensivos contra la Sociedad General de autores y Editores (SGAE). Haciendo una interpretación del precitado artículo 16 de la Ley 34/2002, y del concepto de “conocimiento efectivo”, el TS determina que la Asociación de Internautas ha incurrido en una falta de diligencia, por lo que la considera responsable de la intromisión ilegítima en el derecho al honor de la SGAE, condenándola a abonar, en concepto de daños y perjuicios, la cantidad de 18.000 euros; a cesar en el uso del nombre de dominio putasgae.org y a eliminar los enlaces y contenidos dependientes de la web de la Asociación de Internautas; a publicar en dicha web la sentencia por un tiempo equivalente de la intromisión ilegítima; además de las costas del procedimiento.
Por otro lado, la AP de Lugo, en Sentencia de 9 de julio de 2009, exime de responsabilidad a un prestador de servicios que mantenía un foro en su sitio web (mindoniense.com), y en el cual un usuario, no identificado, introdujo un comentario injurioso y atentatorio contra el derecho al honor del alcalde de una localidad lucense. La Audiencia reconoce la intromisión en el derecho al honor del demandante, si bien no estima que los creadores del foro tuvieran un “conocimiento efectivo” de que la información fuera ilícita. Reconoce la Sentencia que en un foro en Internet la publicación es instantánea para generar un debate fluido, sin que los administradores del mismo puedan decidir lo que se publica o no. En dicho sentido, sólo estando 24 horas podrían controlarse las opiniones vertidas. Finalmente, destaca la sentencia, que los demandados retiraron los contenidos tan pronto como les fue comunicado, por parte de la Guardia Civil, la existencia de dicho contenido ilícito.
El Juzgado de 1ª Instancia Nº44 de Madrid, en Sentencia de 13 de septiembre de 2007, vino a reconocer la responsabilidad del administrador de una página web (alasbarricadas.org) por un atentado contra el derecho al honor de un personaje famoso (Ramoncín), al haberse recogido en dicha web expresiones injuriosas, descalificaciones e incluso una fotografía manipulada. Entiende el Juzgado que el prestador del servicio es responsable civil ya que los datos del registro del nombre de dominio alasbarricadas.org no se encontraban actualizados, no correspondiéndose con su actual domicilio, además de no haber acreditado que el correo electrónico de contacto disponible en la web, fuera un medio efectivo de contacto con el administrador. Considera la Sentencia, que “es por ello que el demandado ha impedido con su actuación que pudiese cumplir diligentemente con su deber de retirada de los mensajes, expresiones y fotografía difamatorias, por lo que se estima al mismo responsable de su contenido y debe así indemnizar al actor”. Además de condenarse a cesar en la perturbación ilegítima en el derecho al honor de Ramoncín, eliminando las expresiones y fotografía, se condenó a indemnizar al actor con la cantidad de 6.000 euros, y al abono de las costas causadas.

1 de junio de 2010
Javier Alvarez Hernando

Instalación de cámaras en el centro de trabajo

Borrar Mis Datos — Tue, 16 Mar 2010 18:39:16 +0000

Cada día con más frecuencia nos consultan cuestiones relacionadas con la videovigilancia, y más en concreto con la instalación de cámaras en el puesto de trabajo. La primera de las preguntas que suelen hacerse es si es necesario o no el consentimiento de los trabajadores para la puesta en marcha de esta medida de control. Pues bien, la Agencia Española de Protección de Datos (AEPD), en su Informe Jurídico 323/2007, entre otros, señaló que la aplicación del artículo 20.3 del Estatuto de los Trabajadores, que indica que «El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana… », no legitima por sí solo el tratamiento de las imágenes, si bien éste será posible, aun sin contar con el consentimiento del afectado en los casos en los que los trabajadores hayan sido debidamente informados de la existencia de esta medida, debiendo además dejar claro que, conforme a lo exigido por el artículo 4.2 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos (en adelante, LOPD), los datos no podrán ser utilizados para fines distintos a los propios de ese control a que se refiere el Estatuto de los Trabajadores.
Por otra parte, no se puede obviar la doctrina del Tribunal Supremo, en Sentencia de 18 de junio de 2006, en virtud de la cual se deja claro que dichas medidas deben haber sido hechas constar expresamente al trabajador, pasando así a formar parte de la propia relación laboral y siendo el tratamiento de los datos necesario para su adecuado desenvolvimiento.
No obstante, la instalación de cámaras de vigilancia en los centros de trabajo es una práctica que se encuentra plenamente sometida a la LOPD y a la Instrucción 1/2006 de la AEPD y por tanto, el responsable debe tener en cuenta las siguientes cuestiones específicas:
Deberán respetar de modo riguroso el principio de proporcionalidad, es decir, podrá adoptarse esta medida cuando no exista otra más idónea. Así, por ejemplo, en la STC 186/2000, de 10 de julio, el Tribunal Constitucional rechazó el amparo solicitado por un empleado que había sido despedido de su empresa, apoyándose en pruebas de su conducta obtenidas mediante un circuito cerrado de televisión instalado sin advertirlo; pero la instalación, ceñida a determinados puestos laborales, se encontraba justificada y era proporcionada, por lo que respetaba el derecho a la intimidad del trabajador afectado.
Sólo se deben captar imágenes en los espacios indispensables para satisfacer las finalidades de control laboral. No debe confundirse la captación de la imagen con su uso y/o difusión, tal y como resolvió el TC en su Sentencia 99/1994, de 11 de abril, en el conocido como caso Diario Marca. Señaló el TC que «la captación y difusión de la imagen del sujeto sólo será admisible cuando la propia —y previa— conducta de aquél o las circunstancias en las que se encuentre inmerso, justifiquen el descenso de las barreras de reserva para que prevalezca el interés ajeno o el público que puedan colisionar con aquél».
Deberán tener en cuenta los derechos específicos de los trabajadores respetando, por ejemplo, los derechos a la intimidad y el derecho fundamental a la protección de datos en relación con espacios vetados a la utilización de este tipo de medios como vestuarios, baños, taquillas o zonas de descanso; el derecho a la propia imagen de los trabajadores, además de la vida privada en el entorno laboral no registrando en particular las conversaciones privadas.
En principio, la captación de audio podría desbordar el principio de proporcionalidad, según señaló el Tribunal Constitucional en su Sentencia 98/2000, considerando que es una intromisión ilegítima en el derecho a la intimidad. No obstante, la propia AEPD reconoce que pueden existir casos excepcionales como el de los teleoperadores online.
Se debe garantizar el cumplimiento del principio de información en la recogida de las imágenes, mediante un cartel informativo. Igualmente se refuerza el cumplimiento del citado principio informando específicamente a la representación sindical, además de proporcionando información personalizada a los interesados a través de la intranet corporativa.
Se deberá proceder, en su caso, a la inscripción del correspondiente fichero en el Registro General de Protección de Datos. Cabe la posibilidad de utilizar simultáneamente un sistema de videovigilancia con fines de seguridad y de control laboral. En este supuesto la inscripción de fichero deberá incluir ambas finalidades.
Se deberán cancelar las imágenes en el plazo máximo de 30 días y únicamente podrán conservarse aquellas que registren una infracción o incumplimiento de los deberes laborales.
Se deberán dar cumplida respuesta a los derechos de acceso y cancelación. Puede surgir la duda de si un trabajador puede ejercitar su derecho de oposición a ser grabado durante la jornada laboral. Pues bien, si la grabación se realiza en aplicación del artículo 20.3 del ET la oposición plantea dificultades y deviene un derecho de ejercicio imposible ya que la previsión legal del ET excluye la oposición. Debe argumentarse, además, que aunque se base en una concreta situación personal, las videocámaras tienen por objeto grabar el conjunto del entorno de trabajo y a otros trabajadores. En definitiva, si se respetan las condiciones previstas por la Ley, prevalece el interés del empresario.
Se deberían formalizar, en su caso, contratos de acceso a los datos por cuenta de terceros (por mandato del artículo 12 de la LOPD), en el supuesto que intervengan empresas de seguridad en el mantenimiento del sistema, y ello implique un acceso a las imágenes, ya sea este puntual o continuado.
Y por último, deberán adoptarse las correspondientes medidas de seguridad, atendiendo a lo establecido en el R.D. 1720/2007, de 21 de diciembre.

22 de marzo de 2010
Javier Alvarez Hernando

Incluir por error los datos de una persona en un registro de morosos atenta contra su derecho al honor

Borrar Mis Datos — Wed, 16 Dec 2009 18:40:01 +0000

El Tribunal Supremo, con su Sentencia de 24 de abril de 2009 viene a consolidar un criterio jurisprudencial, que ya fue sentado por la SSTS de 5 julio de 2004, en el cual se considera que la inclusión por parte de una entidad, faltando a la veracidad, en un registro de solvencia patrimonial y crédito (los llamados registros de morosos), implica un atentado contra el derecho del honor del interesado que ha aparecido erróneamente en dicho registro.
La demandante de instancia era titular de una cuenta en una entidad financiera, en la cual tenía domiciliados los cargos de su tarjeta de crédito. En un momento dado, se la hizo un cargo en dicha tarjeta, que no era debido, ya que la interesada no había realizado operación alguna por el importe y concepto descontado. La interesada procedió a reclamar, durante el plazo de un año, al banco por vía telefónica, por escrito, ante el Defensor del Cliente de la entidad, ante el Banco de España, e incluso mediante denuncia en la Comisaría de Policía. Durante todo ese tiempo, la entidad bancaria siguió reclamando dicha cantidad, incrementándola con intereses y gastos, comunicando, por otra parte, los datos personales y la cantidad adeudada a dos ficheros de morosos (Asnef-Equifax y Badex).
El registro con los datos personales de la demandante se mantuvieron únicamente 12 días, sin que fueran consultados por ninguna otra tercera entidad.
Pues bien, el TS plantea dos alternativas para resolver el asunto. Por un lado, la inclusión errónea en un fichero de morosos constituye una intromisión ilegítima en el derecho al honor de la persona afectada, con lo cual es de aplicación la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen, cuyo artículo 7.7 tipifica la intromisión ilegítima en el derecho al honor, y el artículo 9.3 proclama la presunción iure et de iure de la existencia del perjuicio y su extensión al daño moral.
Por otro lado, el TS plantea la alternativa que entiende que los casos de ficheros de morosos se enmarcan en el ámbito de la normativa común, considerándose bien, responsabilidad extracontractual, del artículo 1902 del Código Civil, o incumplimiento contractual, del artículo 1101 del Código Civil, lo que conllevaría la existencia de perjuicios y su correspondiente prueba.
Con las premisas anteriores, el Supremo determina que la inclusión errónea de una persona en un fichero de incumplimiento de obligaciones dinerarias (de morosos), implica un atentado a su derecho al honor.
El Supremo reconoce que es posible que se entremezclen, e incluso se confundan los derechos de honor e intimidad, y mucho más la intimidad y la imagen, pero aclara que son derechos distintos entre sí, y no un solo derecho trifonte. Este criterio se viene manteniendo desde la SSTS de 26 de julio de 2008.
La definición legal de derecho al honor, como intromisión ilegítima, se encuentra en el artículo 7.7 de la L.O. 1/1982: “la imputación de hechos o la manifestación de juicios de valor a través de acciones o expresiones que de cualquier modo lesionen la dignidad de otra persona, menoscabando su fama o atentando contra su propia estimación”.
Por su parte, existe un concepto doctrinal, recogido y reiterado por la jurisprudencia, desde la SSTS de 4 de noviembre de 1986, y que señala que es la dignidad personal reflejada en la consideración de los demás y en el sentimiento de la propia persona. De esta definición derivan dos aspectos: un aspecto interno, entendido como un sentimiento subjetivo de la propia dignidad; y un aspecto externo objetivo o trascendente, entendido como sentimiento de los demás hacia la propia persona.
Por tanto, la inclusión de datos de una persona en un fichero de morosos, indebidamente, atenta contra el derecho al honor, ya que, como señala el TS tal persona, ciudadano particular o profesionalmente comerciante se ve incluido en dicho registro, lo cual le afecta directamente a su dignidad, interna o subjetiva e igualmente le alcanza, externa u objetivamente, en la consideración de los demás, ya que se trata de una imputación de un hecho consistente en ser incumplidor de una obligación pecuniaria que, lesiona su dignidad y atenta a su propia estimación, como aspecto interno y menoscaba su fama, como aspecto externo.
Apunta el Supremo que es intrascendente el que el registro haya sido o no consultado por terceras personas, ya que basta la posibilidad de conocimiento por un público, sea o no restringido y que esta falsa morosidad haya salido de la esfera interna del conocimiento de los supuestos acreedor y deudor, para pasar a ser de una proyección pública. En todo caso, sí, además, es conocido por terceros y ello provoca unas consecuencias económicas (como la negación de un préstamo hipotecario) o un grave perjuicio a un comerciante (como el rechazo de la línea de crédito) sería indemnizable, además del daño moral que supone la intromisión en el derecho al honor.
La Sentencia, que viene a confirmar las Sentencias del Juzgado de 1ª Instancia Nº3 de Santa Cruz de Tenerife y de la Audiencia Provincial de Santa Cruz de Tenerife, impone el pago de una indemnización por el daño moral genérico, a la afectada de poco más de 1.800 euros.
En otro orden de cosas, es destacable una Sentencia de la Audiencia Provincial de Barcelona, de 17 de enero de 2003, en la que confirma la intromisión ilegítima en el derecho al honor de la demandante, al haber incluido sus datos de forma indebida en un registro de morosos, condenando a la entidad que lo hizo a indemnizarla en la cantidad de 6.000 euros.
En cuanto a lo que se refiere a personas jurídicas, la Jurisprudencia del Tribunal Supremo admite expresamente la tutela del honor de las sociedades mercantiles y no simplemente de aquéllas personalistas (SSTS de 21 de mayo de 2001, SSTS de 9 de octubre de 1997) al establecer que si bien el derecho al honor tiene en la Constitución un sustrato personalista, como inherente a la dignidad humana (art. 18 CE), ello no excluye la extensión de su protección y garantía a las personas jurídicas respecto a los ataques injustificados que afecten a su prestigio profesional y social, que conforman integración de su patrimonio moral, con repercusión en el patrimonial, por sus resultados negativos y así puede traducirse en una pérdida de confianza de la clientela, de proveedores y concurrentes comerciales o de rechazo o minoración en el mercado de forma general.

17 de diciembre de 2009
Javier Alvarez Hernando