El Tribunal Supremo anula el artículo 10.2.b del Reglamento de la LOPD

El Tribunal Supremo ha dictado sentencia anulando el artículo 10.2.b del Real Decreto 1720/2007 de desarrollo de la LOPD, por ser contrario al derecho comunitario.

Dicho artículo exigía que, para tratar o ceder datos personales sin el consentimiento del interesado, se cumpliese el requisito adicional de que dichos datos figurasen en fuentes accesibles al público.

Entrada anterior en la que explicaba la trascendencia de la anulación de este artículo.

Sentencia del Tribunal Supremo

Más opciones para el tratamiento de datos sin consentimiento

La sentencia dictada el jueves pasado por el Tribunal de Justicia de la UE declara inaplicables el artículo 6.2 de la LOPD y el artículo 10.2.b del Reglamento de la LOPD, en relación a la exigencia de que, para tratar o ceder datos personales sin el consentimiento del interesado, se cumpla el requisito adicional de que dichos datos figuren en fuentes accesibles al público.

Consecuencias inmediatas

Los efectos de esta sentencia en los tratamientos de datos personales que se realicen a partir de ahora son, a mi modo de ver, los siguientes:

– La relación restrictiva de fuentes accesibles al público pierde relevancia.

– Los datos personales podrán ser tratados sin consentimiento del interesado aunque no provengan de fuentes accesibles al público.

– Los únicos requisitos que deberán cumplirse serán: 1) el interés legítimo del responsable del fichero y 2) que no se vulneren los derechos y libertades fundamentales del interesado.

– Ello significa que cualquiera que sea el origen de los datos, incluido Internet, éstos podrán ser objeto de tratamiento y cesión, siempre que se cumplan los dos requisitos comentados y exista un equilibrio entre el interés legítimo y los derechos fundamentales del interesado. Las comunicaciones electrónicas comerciales seguirán precisando el consentimiento expreso del destinatario de las mismas, salvo en el caso de clientes.

– Vuelven a estar dentro de la ley muchos tratamientos que resultan inocuos para la intimidad del interesado y que hasta ahora estaban vedados a las empresas.

– Es recomendable seguir el protocolo que hasta ahora venía aplicándose para asegurar el cumplimiento del deber de información y la no vulneración del derecho a la intimidad, de manera que se pondere el equilibrio entre interés legítimo y derechos fundamentales.

– Se incluirá en este protocolo, entre otras medidas, el filtro de las listas Robinson, el filtro de las cancelaciones recibidas, la ponderación del justo equilibrio de intereses y la información sobre los derechos ARCO en las comunicaciones y en los plazos establecidos para ello.

El Tribunal declara el efecto directo del artículo 7.f en España, debido a una incorrecta trasposición de la misma, por lo que, en mi opinión, no es necesario esperar al pronunciamiento del Tribunal Supremo, que fue el que planteó las dos cuestiones prejudiciales. Por ello, no estoy de acuerdo con el contenido de la nota informativa de la AEPD y pienso que la sentencia puede abrir la posibilidad de que las empresas soliciten la devolución de las sanciones pagadas por determinadas infracciones relacionadas con la falta de consentimiento en las que había equilibrio entre interés legítimo y derechos fundamentales.

Sentencia del Tribunal de Justicia de la UE

Nota informativa de la AEPD

Checklist para revisar las cámaras corporativas de videovigilancia

La sanción de 60.000 euros impuesta por la AEPD a unos grandes almacenes, confirmada por la Audiencia Nacional, obliga a recordar las condiciones en las que las empresas pueden hacer uso de videocámaras para realizar funciones de vigilancia y seguridad.

Para comprobar si una cámara o un sistema de videovigilancia cumple los requisitos legales y los criterios jurisprudenciales establecidos para esta actividad, deben realizarse las siguientes comprobaciones:

  1. IDONEIDAD: ¿Se consigue con la cámara el objetivo propuesto en materia de seguridad?
  2. NECESIDAD: ¿Existe otra medida más moderada para conseguir el objetivo propuesto con la misma eficacia?
  3. PROPORCIONALIDAD: ¿Existe un equilibrio entre el objetivo propuesto y los derechos de los afectados?
  4. INFORMACIÓN 1: ¿Se ha colocado en la zona un distintivo informativo con el contenido exigido por la ley?
  5. INFORMACIÓN 2: ¿Dispone la empresa de impresos informativos para los interesados que lo soliciten?
  6. CONTROL: ¿Dispone la empresa de un plano en el que se indique la situación de cada una de las cámaras?
  7. SITUACIÓN: ¿Está situada la cámara en la vía pública?
  8. RANGO 1: ¿Es adecuado el rango de acción de la cámara? (Un rango de 360 grados puede ser excesivo)
  9. RANGO 2: ¿La cámara obtiene imágenes de la vía pública?
  10. RANGO 3: En caso afirmativo, ¿es ello imprescindible para la finalidad propuesta?
  11. RANGO 4: En caso afirmativo, ¿resulta imposible evitarlo?
  12. RANGO 5: En caso afirmativo, ¿qué porcentaje ocupa la vía pública en el encuadre?
  13. ZOOM: ¿Dispone la cámara de zoom? (En algunos casos puede ser excesivo para la finalidad prevista)
  14. FICHERO: ¿La empresa ha inscrito el fichero de videovigilancia en el Registro General de la AEPD?
  15. TRATAMIENTO 1: ¿La empresa ha contratado a una empresa de seguridad para tratar o visualizar los datos?
  16. TRATAMIENTO 2: En caso afirmativo, ¿ha firmado un contrato de encargado del tratamiento?
  17. SEGURIDAD: ¿Se han aplicado medidas de seguridad en relación al fichero de videovigilancia?
  18. SECRETO: ¿Están identificadas y han suscrito un pacto de confidencialidad las personas con acceso a los datos?
  19. ACCESO: ¿Dispone la empresa de un procedimiento que facilite el derecho de acceso de los interesados?
  20. CANCELACIÓN: ¿Los datos son cancelados en el plazo máximo de un mes después de su captación?
  21. PRUEBA: ¿Dispone la empresa de las correspondientes evidencias de cumplimiento en materia de videovigilancia?

Venta de productos con datos personales en grandes superficies

Es la tercera vez que me ocurre y evidencia una mala gestión de las devoluciones por parte de las grandes superficies.

La primera vez fue un smartphone. Un cliente lo había comprado antes que yo y lo había devuelto sin borrar sus datos. La gran superficie se había limitado a ponerlo de nuevo en la vitrina, y ahí se quedó hasta que lo compré. Era el último que quedaba. En su interior había datos suficientes para saber lo que el anterior usuario había hecho durante los cinco días que lo tuvo en su poder. Las fotos y vídeos de su viaje a Palma de Mallorca, la agenda, los contactos, las llamadas realizadas y recibidas. Todavía ahora estaría avisándome del cumpleaños de una tal Marta si no fuese porque borré todos los contenidos. Al no devolverlo ni protestar por el incidente me sumé a la lista de clientes conformistas que hacen que tengamos los proveedores que nos merecemos.

La segunda vez fue un disco duro multimedia. Estaba lleno de películas familiares y fotos de un matrimonio con tres hijos.

La tercera vez (ayer) fue un disco duro de red. Había pertenecido a una empresa de electrodomésticos muy conocida. En la configuración de la red había los siguientes datos:

  • Dominio y contraseña de acceso del servidor corporativo.
  • Direcciones MAC de los ordenadores autorizados a acceder.
  • Nombres de los usuarios y derechos de acceso a las carpetas.
  • Cuota de disco de cada usuario.
  • Registro de la actividad del servidor.
  • Casi 1 TB de documentos borrados perfectamente recuperables.

No hace falta ser un experto para sacar algunas conclusiones de estas tres experiencias:

  1. Absoluta despreocupación de los dos usuarios domésticos por los datos incluidos en el producto que devolvieron.
  2. Conducta negligente de la empresa que devolvió el disco duro de red sin borrar adecuadamente los datos. Si hacen lo mismo cada vez que cambian los sistemas informáticos al acabar el renting, no podrán quejarse si alguien recupera esos datos y busca la forma de conseguir algún rendimiento económico con ellos.
  3. Gestión nefasta, por parte de las grandes superficies implicadas, de los productos devueltos, cuando éstos tienen capacidad para almacenar información.
  4. Escasa precaución del comprador al no comprobar si la caja ha sido abierta previamente. En mi caso, las tres cajas estaban precintadas pero se notaba que habían sido abiertas previamente. El problema es que, a veces, todas las cajas disponibles están igual, o bien es la última que queda y no puedes esperar. En una ocasión, la persona que me atendió se justificó diciendo que el fabricante les había pedido que actualizaran el firmware!! (sic). Si aún así acabas quedándote el producto, no es que no sepas comprar, es que no puedes reprimir la impaciencia y confías en que la tienda no te va a suministrar un producto en mal estado.

La política de aceptar devoluciones es buena porque garantiza la satisfacción del cliente que realiza la primera compra, pero, mal gestionada, genera un gran rechazo en el cliente que realiza la segunda compra, porque piensa que se trata de un producto de segunda mano que le han vendido como nuevo.

Me ahorro los comentarios relativos a la LOPD por ser más que evidentes.

 

Reconocimiento facial en los peajes

Cada vez son más las aplicaciones informáticas que utilizan el reconocimiento facial, individualizado o genérico. 

La última aplicación es el reconocimiento genérico que permite confirmar la existencia de tres o más personas en un vehículo con la finalidad de aplicar un descuento de hasta el 25% en el peaje de una autopista o de un túnel. Seguro que a más de uno se le ha ocurrido la posibilidad de colocar fotos en los respaldos de los asientos para conseguir el descuento.

Al margen de la picaresca y de los eventuales sistemas de detección y gestión del fraude, el legislador, y especialmente las agencias de protección de datos, tendrán que realizar un esfuerzo para asimilar el tratamiento automatizado de datos relativos al reconocimiento facial sin el consentimiento de los afectados.

En este caso, es fácil deducir el interés del titular del medio de pago utilizado para conseguir el descuento, y por lo tanto el consentimiento para el tratamiento de su imagen, pero no ocurre lo mismo con los restantes ocupantes del vehículo.

Tampoco es fácil cumplir el deber de información, ya que desde un vehículo en marcha no se puede leer un cartel informativo con los datos del responsable del fichero ante el que se pueden ejercer los derechos ARCO.

La ley establece excepciones para los casos en los que resulta difícil recabar el consentimiento o informar al afectado, pero será interesante ver la reacción de las autoridades de protección de datos cuando empiecen a recibir las primeras denuncias o solicitudes de tutela.

Cancelación de datos en buscadores (I)

"Si un condenado por robo puede cancelar sus antecedentes penales al cabo de los años, ¿por qué no puedo eliminar la referencia a una multa de tráfico en Google?".

Probablemente esta pregunta ha asaltado a todo usuario que ha introducido su nombre en un buscador y ha tenido la amarga sorpresa de ver que algunos actos del pasado que le perjudicaban ocupaban posiciones privilegiadas en los resultados de la búsqueda y que no había ninguna referencia a su brillante expediente académico, a su trabajo o a cualquier otro aspecto de su vida del que podía sentirse más orgulloso.

En ciertas condiciones los buscadores de Internet pueden tener efectos desfavorables para la reputación de una persona. Ello es debido a las características de los buscadores que más definen su utilidad para los usuarios y su capacidad para diferenciarse de los competidores. Entre ellas cabe destacar las siguientes:


1. Indexación de gran alcance

El rastreo de los robots de los buscadores llega hasta el último rincón de la red, incluyendo sitios a los que nadie accede por desconocer que existen o por que carecen de interés. Sólo se excluyen de este proceso las páginas web que dan instrucciones a los robots para que no indexen su contenido.


2. Neutralidad

El buscador indexa tanto lo bueno como lo malo del pasado de una persona. La credibilidad de un buscador reside justamente en tratar por igual la información positiva y la información negativa. El buscador defiende al máximo este principio de neutralidad por muchas razones: credibilidad, garantía de no manipulación del algoritmo, imposibilidad de control, alto coste de gestión de las cancelaciones y oposiciones, posible responsabilidad como proveedor de servicios de información si introduce controles en la indexación, en el suministro de los enlaces y en los resultados de las búsquedas, etc. Por ello, los buscadores recurren todas las resoluciones de la Agencia Española de Protección de Datos en las que se les obliga a no indexar los contenidos negativos de una determinada persona.


3. Prioridad basada en la popularidad

Los contenidos negativos acostumbran a estar en boletines oficiales, periódicos, revistas…, es decir, en medios de comunicación que pueden llegar a ser más populares que los sitios que albergan los contenidos positivos: blogs, páginas personales, etc. También puede ocurrir que los propios usuarios seleccionen, por curiosidad o por morbo, los resultados más negativos, contribuyendo así a incrementar su nivel de popularidad en el buscador. Por ejemplo, la detención de un famoso por conducir bajo los efectos del alcohol genera más interés en los usuarios que su candidatura a un premio.


4. Localización instantánea o "efecto chivato"

Difícilmente una persona dedica su tiempo libre a leer el Boletín Oficial de la Provincia ni a buscar lo que se dice en él de sus amigos o conocidos. Sin embargo, si alguien introduce el nombre de una persona con poca actividad en la red en un buscador, es probable que los anuncios de embargos, multas o edictos judiciales publicados en los boletines oficiales aparezcan instantáneamente entre los primeros resultados. Existe una especie de ley de Murphy en los buscadores que hace que el contenido venga a ti aunque no lo estés buscando. Aunque sea una impresión subjetiva del afectado, parece que la ley de la fatalidad convierte la información negativa en un contenido "push" y a la información positiva en un contenido "pull".


5. Efecto amplificador

En algunos casos, el buscador amplía el alcance de difusión de un contenido, ya que permite que muchas personas que ni siquiera lo buscaban, ni conocían su existencia o localización, puedan acceder a él. Es posible que alguien se haya mantenido al margen de la red y los únicos contenidos relacionados con él en Internet sean los que aparecen en boletines oficiales, registros públicos y otras fuentes ajenas a su control.

En esos casos es posible que se convierta en relevante, por único o escaso, un dato negativo que se diluiría en el conjunto de la información relativa a una persona si esos datos positivos estuviesen también en la red. Por eso la primera estrategia de una persona que desea mejorar su reputación en la red consiste en publicar contenidos positivos sobre su persona en la red, que desplacen a los contenidos negativos a posiciones menos privilegiadas en los resultados de las búsquedas.

También se amplifican notablemente los contenidos por aparecer en las primeras posiciones de los resultados, debido a la popularidad de la fuente, a los clics de los usuarios de los buscadores o, como he dicho, a la ausencia de otros contenidos sobre esa persona. En estos casos se genera un círculo vicioso, ya que los primeros resultados son los más seleccionados por los usuarios y ello hace que se perpetúen en las primeras posiciones.

El efecto más dramático se produce cuando el nombre de una persona es indexado de forma asociada a una patología, defecto, adicción o afición. El efecto amplificador puede llegar al extremo de mostrar dicha asociación al facilitar el autocompletado de la búsqueda de los usuarios. Por ejemplo, completando de forma automática el nombre de una persona con palabras como alcohol, drogas, suicidio, etc.


6. Persistencia en el tiempo

La red no olvida. Hace unos años, visitar la hemeroteca de un periódico era como hacer arqueología entre montañas de papel llenas de polvo o pilas de rollos de celuloide rancio. Ahora Internet alberga todas las hemerotecas de los periódicos y constituye en sí mismo el mayor archivo de información creado por el hombre. Pero mientras unos se afanan en conseguir la máxima popularidad y las primeras posiciones en los buscadores, otros harían lo que fuese por desaparecer. Se trata de un colectivo que reclama el derecho al olvido, como acaba de reseñar la AEPD en su Memoria de 2009.

La persistencia en el tiempo de los contenidos alcanza su máximo exponente en la caché de los buscadores y en los grandes repositorios históricos, como Archive.org, que con su WayBack Machine permite visitar todas las versiones de una página web desde 1996.

Evitar la persistencia en el tiempo de un dato personal negativo exige por lo tanto la cancelación del mismo en la caché del buscador y en los repositorios históricos, así como la oposición a futuros tratamientos de indexación por parte del buscador.


Confluencia de varios intereses

El tratamiento de los datos personales con impacto reputacional negativo en los buscadores puede ser visto desde diferentes ópticas y provoca la confluencia de intereses tan legítimos como contrapuestos:

  1. El interés del usuario del buscador en encontrar tanto la información positiva como negativa de una persona.
  2. El interés de la fuente de la información en que sus contenidos sean indexados por los buscadores y aparezcan en las primeras posiciones de los resultados de la búsqueda.
  3. El interés del afectado en poder cancelar las referencias a datos que le perjudican y a que la red se olvide de él o de ciertos aspectos de su pasado.
  4. El interés del buscador en ofrecer un servicio que garantice la neutralidad de las búsquedas, indexando y haciendo accesibles los contenidos que existen en la red, sin manipulaciones ni privilegios.

En las siguientes entregas de este artículo, analizaré:

  1. Los casos en los una persona puede tener interés en que sus datos dejen de ser indexados por los buscadores.
  2. Las resoluciones de la AEPD en las que se ha exigido a un buscador que dejase de indexar datos de una persona.
  3. Los requisitos necesarios para que una persona pueda gestionar su reputación online oponiéndose a la indexación de sus datos.

Guía de buenas prácticas y Argumentario

El pasado 3 de diciembre tuvo lugar, en la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información, la sesión de trabajo sobre uso legal del software en las empresas. BSA y PricewaterhouseCoopers acaban de publicar dos documentos que recogen los principales puntos de las ponencias y el debate. También se recogen las conclusiones de las jornadas de Barcelona y Sevilla, celebradas los días 1 y 2 de diciembre, respectivamente.

El primer documento es una Guía de Buenas Prácticas, y va dirigido al CIO y, en general, a los departamentos que gestionan las TIC en las empresas.

El segundo documento es un Argumentario que incluye los argumentos legales, reputacionales y de seguridad que la asesoría jurídica interna o el CIO pueden utilizar para sensibilizar a la Dirección General sobre la necesidad de adecuar el presupuesto de la empresa a las necesidades reales de software existentes.

Ambos documentos se encuentran en el blog creado con motivo de las sesiones de trabajo, en el que se recopilan los riesgos, los argumentos y las buenas prácticas que se debatieron en las sesiones de trabajo. El blog permite realizar aportaciones y comentarios que serán incorporados en las sucesivas ediciones de la guía y del argumentario.

Publicado en el BOE el Reglamento de la LOPD

Hoy se publica en el BOE el Reglamento de desarrollo de la LOPD (PDF), que entrará en vigor dentro de tres meses. La principal novedad es la extensión de las medidas de seguridad al soporte papel. Mañana iniciaré la publicación en este blog de una serie de presentaciones multimedia que explicarán el contenido de esta norma y su impacto en las empresas.

Acceso al Reglamento (PDF)

 

Desayuno de trabajo sobre control empresarial del e-mail

El próximo jueves, 17 de enero, tendrá lugar en el hotel Miguel Ángel de Madrid un desayuno de trabajo sobre el control empresarial del e-mail, el ordenador y el acceso a Internet de los trabajadores. La asistencia es gratuita. La inscripción puede realizarse en el teléfono 915684585 o enviando un mensaje a pwc.comunicacion@es.pwc.com.

Acceso al programa (PDF)

En la edición de Barcelona, en la que hubo una representación de unas 100 empresas, se hizo un sondeo en el que se manifestaron las siguientes tendencias:

MODELO DE USO DE LOS SISTEMAS INFORMÁTICOS

1. Prohibición total de uso personal: 0%
2. Autorización uso personal sin restricciones / uso moderado: 3%
3. Autorización uso personal con restricciones: 70%
4. NS/NC: 27%

COMUNICACIÓN DE LAS NORMAS DE USO

1. Sólo comunicación: 10%
2. Comunicación y aceptación expresa del trabajador: 90%

PROTOCOLO DE ACTUACIÓN ANTE LA AUSENCIA, BAJA VOLUNTARIA O DESPIDO DE UN TRABAJADOR

1. Cancelación inmediata de la cuenta: 10%
2. Información datos de contacto del sustituto: 8%
3. Autorización para acceder a la cuenta: 2%
4. Combinación de las anteriores: 25%
5. No tiene protocolo o NC: 55%

11,5 millones de euros para protección de datos personales

El Boletín Oficial del Estado publica hoy los Presupuestos Generales del Estado para 2008, en los que se destina una partida de 11.508.600 euros al programa de protección de datos de carácter personal. Esta cantidad corresponde al presupuesto anual de la Agencia Española de Protección de Datos. En los presupuestos de 2007 esta partida fue de 10.086.350 euros, por lo que el incremento para 2008 es del 12,36 por ciento.