Artemi Rallo ha anunciado que remitirá al Gobierno y a los Grupos Parlamentarios del Congreso la propuesta para encontrar un equilibrio entre ambos derechos mediante una regulación Legal.

El director de la Agencia Española de Protección de Datos, Artemi Rallo, inauguró el pasado 10 de junio el “V Foro de las Evidencias Electrónicas” organizado por quinto año consecutivo por el Foro de las Evidencias Electrónicas, con la colaboración del Ministerio de Industria, Comercio y Turismo a través de la entidad Red.es.

En su intervención, Artemi Rallo ha manifestado la voluntad de la AEPD de encontrar un equilibrio ante el conflicto existente entre el derecho a la tutela judicial efectiva, en relación a la identificación de la dirección IP de usuarios de Internet, con el derecho a la protección de datos personales. En este sentido, ha destacado la necesidad de que el ordenamiento proporcione a los usuarios de Internet garantías de sus derechos en materia de protección de datos, buscando una ponderación que no impida o dificulte el ejercicio de otros, como el derecho a la tutela judicial efectiva para la protección de los derechos de autor en las redes P2P.

En este sentido el director de la AEPD ha manifestado que propondrá al Gobierno, a través del Ministerio de Justicia, y a los Grupos Parlamentarios del Congreso, con la remisión de la Memoria 2007 de la AEPD, el “desarrollo procedimientos que permitan proteger los derechos de autor de forma compatible con el derecho fundamental a la protección de datos mediante una norma con rango de ley que contemple los datos susceptibles de ser tratados y las finalidades del mismo”.

Artemi Rallo se ha referido a que si bien en el orden Penal y Social, la normativa existente y los tribunales han ido aportando criterio sobre el equilibrio entre ambos derechos, en el ámbito Civil existe una situación de “notable duda”, refiriéndose a la reciente sentencia del Tribunal de Justicia de las Comunidades Europeas sobre el caso Promusicae, “que hace necesaria la intervención del legislador para que equilibre ambos derechos en el marco del ordenamiento jurídico”.

Fuente: AEPD

Parece que la UE empieza a ponerse las pilas en protección de datos al ritmo (¡trepidante!) que lo hace la AEPD. Hace tan sólo unos días, el pasado 3 de abril (de 2008), el Grupo de Trabajo del Artículo 29 (GT 29), aprobó una Opinión relativa a la adecuación de de las políticas de privacidad de los Buscadores de Internet a la normativa europea de protección de datos.

Por medio de esta Opinión, se establece que los buscadores deben reducir el tiempo de almacenamiento de los datos de carácter personal, de los actuales 13-18 meses a tan solo 6. Además, se reclama información clara e inteligible a los usuarios en cuanto al uso de los datos, el acceso a los mismos y el empleo y naturaleza de cookies alojadas en los PCs de los usuarios.

Estas medidas suponen una clara apuesta de la UE por la protección de los datos de los europeos frente al intrusismo exacerbado de los buscadores de internet.

¿Qué puede hacer un buscador con mis datos?
Veamos el ejemplo de Google:
Google es mucho más que un buscador; es una filosofía, un slogan (Don't be evil!), una marca... y una empresa que busca beneficios (no por encima de todo, pero los busca, ¡vaya!)

Por medio de herramientas de seguimiento del usuario como las cookies, el servicio Google WebHistory, el acelarador de carga de páginas web (Google Accelerator), Google Browswer Sync, GMail, IGoogle, Google News personalizado... podría llegar a recopilar información suficiente como para saber dónde estamos en cada momento, cuales son nuestros gustos, nuestra forma de hablar, de pensar, ¡de reaccionar! Si uniese toda la información que obtiene de nosotros, podría mantener activo un perfil de cada persona de tal forma que fuese capaz de mostrarnos publicidad contextual en plataformas tan dispares como la valla publicitaria de un campo de fútbol en un videojuego conectado on-line, o un anuncio de una pizzas en tu móvil, a la hora de comer y justo cuando pasas al lado de una pizzería. Pero, ¿y si decidiese filtrar determinada información a unos usuarios y a otros no, en función de sus preferencias y perfiles? ¡Pues ya lo está haciendo!

Personalmente, veo extremadamente útil la creación, mantenimiento y feed de perfiles en los buscadores para recibir mayor calidad de búsquedas. Por otro lado, coincido con el GT 29 en que la utilidad para unos puede convertirse en intromisión para otros por lo que apoyo la primacía del Derecho fundamental a la protección de datos (así denominado por mi mentor Miguel Ángel Davara en "El abogado y la protección de datos") sobre el resto de utilidades de las que nuestros vecinos estadounidenses sí gozarán y que nosotros tan solo podremos leer vía feeds...

¿Cuáles son las conclusiones del GT 29?
• La Directiva de Protección de datos se aplica generalmente a los tratamientos de datos personales por Buscadores aun cuando sus empresas centrales estén fuera de Europa.
• Los Buscadores sólo deberán recoger datos personales para finalidades legítimas y la cantidad de datos que se recojan proporcionada y no excesivos respecto a las finalidades.
• La Directiva 2006/24/EC de Conservación de Datos no se aplica a los Buscadores.
• Los Buscadores deben eliminar o anonimizar de una forma irreversible una vez que estos datos dejen de ser útiles para la finalidad para la que fueron recabados.
• Asimismo se establece que si los Buscadores de Internet utilizan cookies su vida no debería ser más larga de lo necesario, y éstas sólo deberían ser instaladas si se ofrece información transparente sobre la finalidad para las que fueron instaladas y como acceder, editar y eliminar esa información.
• Los Buscadores de Internet deben proporcionar a los usuarios una información clara e inteligible sobre su identidad y localización y sobre los datos que intentan recoger, guardar o transmitir así como sobre la finalidad para las que fueron recogidas.
• Los usuarios de los Buscadores deben tener derecho a acceder, inspeccionar y corregir todos sus datos personales incluyendo perfiles e historial de búsqueda. Asimismo, se establece que los Estados miembros pueden contemplar el derecho de oposición de los ciudadanos al tratamiento “por razones legítimas propias de su situación particular” (atendiendo, además, a que las leyes que regulan los servicios de la sociedad de la información facultan a las Autoridades competentes para adoptar medidas necesarias para que se interrumpa la prestación del servicio o para retirar los datos que las vulneran).
• El enriquecimiento de los perfiles de los usuarios cuyos datos no se ha aportado por los propios usuarios tiene que estar basado en el consentimiento de los usuarios.
• Cuando un buscador utilicen una “caché”, en la que los datos personales se hagan disponibles por más tiempo de la publicación original, deben respetar el derecho de los usuarios para eliminar los datos excesivos y no actualizados.
• La correlación de datos de usuarios registrados de diferentes servicios del buscador sólo podrá ser llevada a cabo si se garantiza el consentimiento del usuario para cada servicio. Además, el enriquecimiento de los perfiles de los usuarios con datos que ellos no hayan aportado solo se podrá basar en el consentimiento y una información clara.

Quinta y última parte del estudio sobre el ámbito objetivo de la LOPD y su reglamento de desarrollo

La interpretación de fichero debe hacerse de forma objetiva pero en ningún caso restrictiva, enmarcada siempre en la definición que del mismo hace el legislador en el artículo 3 de la LOPD: “todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso”. Ahora bien, cuando el legislador se refiere a la naturaleza organizada del fichero, considero que, si bien pretende dejar fuera todo aquel conjunto de datos personales que por no haber sido aún organizado o por haber dejado de serlo no se encuentran ya organizados, no por ello quedan excluidos de la normativa los soportes que contienen los datos de carácter personal. Así pues, las pilas documentales que se acumulan de forma habitual en las empresas, y en especial en la sección de Recursos Humanos, si estuviesen desorganizadas (en el sentido de no seguir un orden cronológico de entrada, orden alfabético o por categoría) quedarían excluidas de la definición de fichero pero no del objeto de regulación de la Ley y el Reglamento.

Cuarta parte del estudio sobre el ámbito objetivo de la LOPD y su reglamento de desarrollo

Por último, el reglamento de desarrollo de la LOPD no será de aplicación a los datos referidos a personas fallecidas. No obstante, las personas vinculadas al fallecido, por razones familiares o análogas, podrán dirigirse a los responsables de los ficheros o tratamientos que contengan datos de éste con la finalidad de notificar el óbito, aportando acreditación suficiente del mismo, y solicitar, cuando hubiere lugar a ello, la cancelación de los datos.

Una vez definido el ámbito objetivo general de aplicación, la ley enumera una serie de casos que exceptúa totalmente de su aplicación:
a) Los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.
b) A los ficheros sometidos a la normativa sobre protección de materias clasificadas.
c) A los ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada.
No obstante, en estos supuestos el responsable del fichero tendrá que comunicar previamente la existencia del mismo, sus características generales y su finalidad a la Agencia de Protección de Datos.

Junto con las exclusiones totales antes mencionadas, la ley enumera otra serie de tratamientos de datos de carácter personal, que se regirán por sus correspondientes disposiciones específicas y por lo especialmente previsto en la Ley 15/99:
a) Los ficheros regulados por la legislación de régimen electoral.
b) Los que sirvan a fines exclusivamente estadísticos, y estén amparados por la legislación estatal o autonómica sobre la función estadística pública.
c) Los que tengan por objeto el almacenamiento de los datos contenidos en los informes personales de calificación a que se refiere la legislación del régimen del personal de las Fuerzas Armadas.
d) Los derivados del Registro Civil y del Registro Central de penados y rebeldes.
e) Los procedentes de imágenes y sonidos obtenidos mediante la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad, de conformidad con la legislación sobre la materia.

leer más...

Tercera parte del estudio sobre el ámbito objetivo de la LOPD y su reglamento de desarrollo

En cualquier caso, quedan excluidos los datos concernientes a personas jurídicas, a tenor de lo dispuesto en la definición de dato de carácter personal del artículo 3 de la LOPD y la redacción del artículo 2 de su Reglamento de desarrollo. Tampoco será aplicable esta normativa de protección de datos a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en personas jurídicas (empresas, instituciones…), “consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales”. Una interpretación razonable de este último artículo supondría admitir que los ficheros internos de empresa en los que figuren los datos antes reseñados estarían fuera de la aplicación de la LOPD, siempre que sean los mismos empleados los únicos que tuvieran acceso a éste y que en ningún caso se hiciesen públicos. La expresión “únicamente”, empleada para enumerar taxativamente los datos que pueden encontrarse en estos ficheros, podría suponer que aquellos que además contuviesen el número de identificación interna del trabajador o la relación IP-empleado, quedarían o bien totalmente excluidos de la excepción o bien parcialmente incluidos en ella. Atendiendo a la literalidad del precepto y su naturaleza de numerus clausus, en ningún caso podríamos hablar de integración de éstos en aquellos o subsunción de los unos en los otros. No obstante, creo pertinente aplicar en este caso la teoría de la interpretación según el espíritu de la norma y determinar que, si bien es cierto que estos datos no se encuentran contemplados en la lista, sí quedarían amparados por la excepción debido a que su exclusión desvirtuaría la naturaleza laboral y funcional por la que fueron creados y, además, por cuanto que el bien jurídico que la ley pretende salvaguardar es coincidente en la base.

• Cosa distinta sucede en el caso de de las listas de personas pertenecientes a grupos de profesionales, entendidas como fuentes accesibles al público según el artículo 7.1 del RLOPD. En ellas, los datos no enumerados en la lista cerrada del apartado “c” del citado artículo (nombre, título, profesión, actividad, grado académico, dirección profesional e indicación de su pertenencia al grupo) no pueden ser en ningún caso asimilados a éstos puesto que el objeto que la ley protege en este caso no es ya tanto el dato útil en el contexto de una relación laboral necesaria sino el dato accesible de forma indiscriminada para finalidades que escapan al control del legislador.

Quedan también excluidos, asimismo, los datos relativos a “empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros”. En este punto es fundamental determinar que la excepción se realiza para los datos relativos a empresarios individuales, no para los de profesionales. Con ello, el reglamento ha querido significar que la normativa de protección de datos sí es de aplicación a los datos de médicos, abogados, procuradores, arquitectos… y, en cambio, no lo sería para los datos relativos a proveedores de mercadería, comerciantes y otros empresarios individuales.

leer más...

Segunda parte del estudio sobre el ámbito objetivo de la LOPD y su reglamento de desarrollo

En cuanto a qué debemos entender por dato de carácter personal, habrá que estar a lo dispuesto en el artículo 3 de la Ley Orgánica de Protección de Datos (LOPD) que especifica en su primer apartado que dato de carácter personal es “cualquier información concerniente a personas físicas identificadas o identificables”. Esta definición parece querer determinar que los datos personales que no sirvan de forma efectiva para identificar a una persona física no deberían estar contemplados ni regulados por esta norma. En relación con este punto, cabe preguntarse si una dirección de correo electrónico (ver blog de Miguel Ángel Mata), la dirección IP de un terminal (ver blog oficial de Google) o el número interno de identificación de escolares, trabajadores o pacientes pueden ser considerados como datos de carácter personal. En estos tres últimos casos, la AEPD considera que sí lo son puesto que conciernen a personas físicas a las que, mediante procedimientos razonables, se pueden llegar a identificar; por otro lado, empresas, particulares y una parte sustancial de la doctrina opinan que ni son datos de carácter personal ni deberían ser considerados como tales.

leer más...

Éste es el primero de una serie de 5 post en los que analizaré el ámbito objetivo de aplicación de la LOPD y su reglamento de desarrollo.

Tanto la ley como el reglamento son de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.

A este respecto, cabe reseñar que el legislador entiende por soporte físico no sólo el tradicional (papel, plástico, cartón) sino también los nuevos medios de almacenamiento como discos duros, memorias flash, etc. a pesar de que el procedimiento de grabado sea a través de impulsos eléctricos o magnéticos. En este sentido, no se valora la calidad de la impresión –que si bien en unos casos puede ser por medio de tinta, nada obsta a que lo sea por impulsos eléctricos, magnéticos o incluso por inducción de calor, perforación o rozamiento- sino la del soporte de almacenamiento, en cuanto a su naturaleza material y potencialmente tangible.

leer más...

Estudio integral del ámbito objetivo de aplicación de la Ley Orgánica de Protección de Datos (Ley 15/1999) y del reglamento que la desarrolla (aprobado por el Real Decreto 1720/2007).

El estudio se publicará en este blog a través de las siguientes 5 entradas:

- Parte I: El soporte físico
- Parte II: El dato de carácter personal
- Parte III: Personas jurídicas y empresarios individuales
- Parte IV: Personas fallecidas y ficheros excluidos
- Parte V: El fichero

Tratamientos de los datos generados por las comunicaciones establecidas durante la prestación de un servicio de la sociedad de la información. Sentencia del TUE de 29 de enero de 2008 (Caso Promusicae - Telefónica).

Hace tan solo unas horas, el Tribunal de Justicia de la Unión Europea (TUE), ha rechazado los argumentos de la Asociación de Productores de Música de España (Promusicae) por los cuales ésta pretendía lograr que Telefónica le revelase los datos de aquellos clientes del operador que se descargasen obras musicales a través del programa Kazaa, vulnerando determinados derechos de autor.

La Gran Sala ha declarado que las directivas que abajo se citan

no obligan a los Estados miembros a imponer, en una situación como la del asunto principal, el deber de comunicar datos personales con objeto de garantizar la protección efectiva de los derechos de autor en el marco de un procedimiento civil. Sin embargo, el Derecho comunitario exige que dichos Estados miembros, a la hora de adaptar su ordenamiento jurídico interno a estas Directivas, procuren basarse en una interpretación de éstas que garantice un justo equilibrio entre los distintos derechos fundamentales protegidos por el ordenamiento jurídico comunitario. A continuación, en el momento de aplicar las medidas de adaptación del ordenamiento jurídico interno a dichas Directivas, corresponde a las autoridades y a los órganos jurisdiccionales de los Estados miembros no sólo interpretar su Derecho nacional de conformidad con estas mismas Directivas, sino también no basarse en una interpretación de éstas que entre en conflicto con dichos derechos fundamentales o con los demás principios generales del Derecho comunitario, como el principio de proporcionalidad.

Esto es, los Estados miembros interpretarán las normas relativas a la protección de los derechos de propiedad intelectual evitando que éstas entren en conflicto con derechos fundamentales u otros principios generales del Derecho Comunitario, como el principio de proporcionalidad. Es decir, ante un conflicto entre la protección de datos de carácter personal y la protección de los derechos de autor, primarán siempre los primeros sobre los segundos.

El texto completo de la Sentencia puede consultarse en la web del Tribunal o a través de este link directo.

Esta decisión llega en un momento de trascendente relevancia para el Derecho de Protección de Datos, después de que la semana pasada se publicase el Reglamento de la Ley Orgánica de Protección de Datos y tan sólo un día después a la celebración del Día Europeo del Derecho de Protección de Datos.

Las Directivas sobre las que se basa la decisión son las siguientes:

Las Directivas 2000/31/CE del Parlamento Europeo y del Consejo, de 8 de junio de 2000, relativa a determinados aspectos jurídicos de los servicios de la sociedad de la información, en particular el comercio electrónico en el mercado interior (Directiva sobre el comercio electrónico), 2001/29/CE del Parlamento Europeo y del Consejo, de 22 de mayo de 2001, relativa a la armonización de determinados aspectos de los derechos de autor y derechos afines a los derechos de autor en la sociedad de la información, 2004/48/CE del Parlamento Europeo y del Consejo, de 29 de abril de 2004, relativa al respeto de los derechos de propiedad intelectual, y 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas).

Descargar Sentencia: pdf, doc, txt. Ver en pantalla completa

El próximo lunes día 28 de enero se celebra en Europa el “Día de Protección de Datos”, promovido por el Consejo de Europa, la Comisión Europea y todas las autoridades de protección de datos de los países miembros de la UE.

La celebración del Día Europeo de Protección de Datos tiene como objetivo principal impulsar el conocimiento entre los ciudadanos europeos de cuáles son sus derechos y responsabilidades en materia de protección de datos, de forma que puedan familiarizarse con un derecho fundamental, que pese a ser menos conocido, está presente en todas las faceta de sus vidas diarias.

Fuente: AEPD
Descargar nota de prensa

El sábado se publicó en el BOE el nuevo Reglamento de la Ley de Protección de Datos, que entrará en vigor dentro de tres meses.

¿Me interesa?
Si tienes un negocio, regentas un bar, tienes una página web, eres abogado, periodista o simplemente perteneces a una comunidad de vecinos, te interesa.

Soy dentista, ¿debo leerlo?
Desde el momento en que tienes, por ejemplo, pacientes y guardas alguno de sus datos (basta el nombre y apellidos), debes conocer su contenido. Si tienes dudas, consulta con la AEPD.

¿Y no me lo podría explicar alguien?
Xavier Ribas ofrece de forma gratuita un curso en su blog para comprender mejor las novedades del nuevo reglamento.
También puedes consultar la página de la AEPD; suele contener explicaciones muy detalladas -pero un poco liosas para los no profesionales por lo que si no te aclaras, acude a tu abogado-.

Aún así no quiero leerlo ni que me lo expliquen.
Si éste es tu caso, te merece la pena contratar a un abogado y dejar el tema en sus manos.
La otra opción, no muy recomendable, es no hacer nada y exponerte a una sanción de hasta 600.000€ (art. 45 de la LO 15/1999).

Tengo noticia a través del blog de Xavier Ribas -cada vez más cuidado, por cierto- de la convocatoria para este jueves 17 de enero de un desayuno de trabajo sobre el control empresarial del e-mail, el ordenador y el acceso a Internet de los trabajadores.

Este tipo de control por parte del empresario ya fue objeto de profundo análisis hace unos meses por el Tribunal Supremo en su sentencia de 26 de septiembre de 2007. Los medios trataron la noticia de forma alarmista destacando el hecho de que se trababa aún más la posibilidad de acceso a los equipos de los empleados. Por su parte, magistrados de la sala de lo penal y lo laboral del TS dieron sus visiones confrontadas, (a pesar de que ello las calificasen de complementarias) en el último seminario CYBEX que tuvo lugar a finales del año pasado en Madrid, siendo el primero absolutamente tajante en cuanto a la prohibición absoluta que hace al respecto la Constitución y el segundo más partidario de la conciliación de la vida laboral con la eficacia económico-empresarial y por tanto del posible acceso a los terminales de trabajo en determinadas circunstancias.

La asistencia a este desayuno de trabajo es gratuita. La inscripción puede realizarse en el teléfono 915684585 o enviando un mensaje a pwc.comunicacion@es.pwc.com.

Acceso al programa (PDF)

La Sentencia del Tribunal Supremo de 26 de septiembre de 2007 referente al control empresarial del correo electrónico, ha sido y es una de las más polémicas y mediatizadas del momento. Ya hablaremos de ella nosotros más adelante. Por ahora, nos quedamos con el comentario de Xavier Rivas -socio de Landwell- quien, en su blog, analiza esta resolución desde un punto de vista profesional pero a través de un medio sumamente original, en su entrada titulada "Control empresarial del ordenador y el e-mail". El motivo de la originalidad reside en que su comentario no se lee, ¡se escucha! Es cierto que no es algo novedoso en la práctica habitual de los bloggers, pero ¿cuántas sentencias del Tribunal Supremo conoces que hayan sido comentadas a viva voz en un blog por medio de una presentación virtual?

| View | Upload your own

Hace un par de días se publicó en el B.O.E. la Ley de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones que no es otra cosa que una revisión encubierta del artículo 18 de la Constitución, que garantiza el derecho a la intimidad, el secreto de las telecomunicaciones y la limitación del uso de la informática para garantizar el honor y la intimidad personal y familiar. Si bien es cierto que la citada ley no contraviene directamente lo dispuesto en el anterior artículo -la cesión de los datos sigue obedeciendo a una orden judicial-, no hay duda de que supone una clara limitación de enormes dimensiones a la libertad de actuación, privacidad e intimidad de que hasta ahora veníamos gozando.

Esta ley, resumida en 8 puntos por Xavier Rivas en una entrada de su blog, expresa la necesidad de que se almacenen por terceros multitud de datos personales nuestros durante períodos de tiempo que pueden llegar a ser hasta de dos años. También contempla una obligación por la cual "los operadores deberán registrar la identidad de los clientes de tarjetas de prepago".

¿Seguridad o privacidad? Nos quejábamos de que los "malísimos" EEUU tomaban nuestros datos a los que entrábamos en su país, de la implantación de pasaportes biométricos en holanda o con radiofrecuencias en Pakistán, de los RFID en los productos de la compra en supermercados Wal-Mart, de la exploración corporal (al desnudo) mediante ondas de radio en el aeropuerto de Amsterdam... Ahora en España la conservación de datos (nuestros datos) en servicios de telecomunicaciones es una obligación. La idea es que con ellos se nos pueda rastrear, identificar, localizar, determinar la fecha, hora y duración de la comunicación... El gobierno de la Z ha decidido dejar a un lado los valores de la izquierda progresista -libertad, autonomía, emancipación- para aliarse al bando del estricto control del pensamiento y la inactividad individual (¿libertad para la ciudadanía o para el gobierno y el control?).

La prevención de delitos y la seguridad son y deben ser siempre adalides de toda medida legislativa estatal, siempre que no conculquen los valores de nuestra corta tradición constitucional de libertaZ, intimidaZ y privacidaZ, ¿no es así, Zp?

Aquí la ley: