Taller APEP sobre «Cloud Computing»

Ayer se celebró en Madrid un Taller Práctico sobre Protección de Datos Personales en el «Cloud Computing», uno de los temas de moda en materia de protección de datos, organizado por la Asociación Profesional Española de Privacidad (APEP). El objetivo de la jornada era que facilitar que se pueda «discriminar, entre las distintas ofertas de servicios, aquellas que se ajusten a los requerimientos de la LOPD, así como a las prácticas técnicas, organizativas y legales que se encuadran en esta concreta materia».

Manuel García Sánchez, de la Agencia Española de Protección de Datos, explicó las características esenciales del Cloud, así como los factores de impulso, las barreras para su adopción y los riesgos asociados, incidiendo en uno de los problemas fundamentales: la deslocalización. Manuel recomendó que la adopción de servicios de computación en nube se haga de forma gradual y planificada, analizando los riesgos que se asumen al elegir un determinado proveedor. Recordó que la responsabilidad del responsable del fichero no decae por su falta de poder negociador respecto del proveedor: siempre es necesario contar con el contrato que exige el artículo 12 de la LOPD y que el proveedor aplique las medidas de seguridad necesarias.

Jesús Rubí, Adjunto a la Dirección de la AEPD, nos recordó la intervención que ya realizó en la Sesión Anual Abierta de la AEPD de este año, insistiendo sobre las obligaciones de diligencia que son exigibles tanto para el responsable como para el encargado del tratamiento.

Con el objeto de cumplir con la obligación establecida en el artículo 20.3 del Reglamento de Desarrollo de la LOPD, Rubí explicó que la Agencia considera cumplido este requisito si el proveedor facilita al responsable documentación que acredite la realización de una auditoría, externa e independiente, sobre el cumplimiento de las medidas de seguridad.

Por último, Leandro Núñez, compañero de la APEP, abordó los problemas derivados de las transferencias internacionales de datos, tan habituales en la contratación de servicios de cloud computing. Desde una perspectiva práctica, analizó las distintas posibilidades: cláusulas contractuales tipo, Binding Corporate Rules, Puerto Seguro, etc. La conclusión principal es que en la práctica se presentan muchos problemas y es necesario un trabajo exigente para cumplir con las obligaciones que establece la LOPD y, en muchos casos, la autorización del Director de la Agencia.

La Generalitat pide ayuda a los ciudadanos para identificar sospechosos

La Generalitat de Catalunya ha publicado una web a través de la cual se pide la colaboración de los ciudadanos para identificar a personas sobre las cuales los Mossos tienen elementos para incriminarlos por su participación en actos delictivos o vandálicos. En la web figuran imágenes de sospechosos sobre los que se solicita información a los ciudadanos.

La polémica ha saltado porque distinguidos compañeros, como Carlos Sánchez Almeida y Josep Jover han expresado sus dudas sobre la adecuación a la normativa sobre protección de datos de esta página. Sin embargo, acudiendo al texto de la LOPD, debemos discrepar de estas opiniones.

El artículo 22.2 de la LOPD establece que se pueden tratar datos sin consentimiento de los afectados, por parte de las Fuerzas y Cuerpos de Seguridad cuando estemos ante supuestos y categorías de datos que resulten necesarios para la “prevención de un peligro real para la seguridad pública o para la represión de infracciones penales“. Estos datos deberán “ser almacenados en ficheros específicos establecidos al efecto“. Es decir, queda claro que se permite tratar datos personales sin consentimiento de los afectados en un caso como este, puesto que estamos ante sospechosos de haber cometido infracciones penales (e incluso puede hablarse de peligro real para la seguridad pública en algunos casos). No se atenta contra el principio de finalidad, dado que los datos se tratan para las finalidades señaladas: no debemos confundir que el tratamiento inicial de esas imágenes se realizara con una finalidad determinada por quien las captara (parece que proceden de diversas fuentes), con el hecho de que luego los Mossos las utilicen para el cumplimiento de sus funciones relacionadas con la seguridad.

Es más, el artículo 24 excluye también la necesidad de informar a los afectados cuando ello pueda afectar“a la seguridad pública o a la persecución de infracciones penales”. Estamos nuevamente en este caso, con lo que no sólo no es necesario el consentimiento, sino que por supuesto no es necesario cumplir con el principio de información (lo cual sería imposible, por otro lado, puesto que no son personas identificadas).

Yendo más allá, podemos incluso entender que este tratamiento está excluido del ámbito de aplicaciónde la LOPD, tal y como apunta, aunque sin estar de acuerdo, el compañero David Maeztu. El artículo 2.2.c de la LOPD establece que “el régimen de protección de los datos de carácter personal que se establece en la presente Ley Orgánica no será de aplicación […] a los ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada”. Puede parecer excesivo calificar los hechos que supuestamente han cometido estas personas (aunque no lo sabemos) como de terrorismo, pero no parece ni mucho menos descabellado considerar que podemos estar ante “formas graves de delincuencia organizada“.

Por tanto, es perfectamente defendible no sólo que no vaya contra la LOPD la web de los Mossos, sino que ni siquiera está dentro de su ámbito de aplicación.

Otra cosa es la información que se le da al ciudadano a la hora de enviar sus aportaciones, pero esa es otra historia…

Se necesita consentimiento para usar «cookies», pero si no se obtiene, no pasa nada

Comentábamos ayer en la anterior entrada las novedades legislativas producidas en la Ley 34/2002, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI) por el Real Decreto-ley 13/2012, de 30 de marzo. En materia de “cookies” se modifica la redacción del artículo 22.2 de esta norma, de forma que a partir de ahora “los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización”.

¿Qué sucede en caso de incumplimiento de este precepto? Hay que acudir para saberlo al Título VII de la LSSI, en el que se detallan las infracciones y sanciones y, en concreto, a los artículos 38.3.i y 38.4.g, que tipifican con infracción grave y leve, respectivamente, el incumplimiento (“significativo” para que sea grave) “de las obligaciones de información o de establecimiento de un procedimiento de rechazo del tratamiento de datos, establecidas en el apartado 2 del artículo 22“.

El régimen sancionador no ha sido modificado por el Real Decreto-ley 13/2012, con lo que sigue vigente el mismo, en el que, como acabamos de ver, no se menciona la falta de consentimiento de los destinatarios, sino sólo la falta de información o del procedimiento de rechazo. Podría pensarse que no es necesario que se haga esta modificación, dado que puede entenderse incluido el incumplimiento de lo que consta en el artículo 22.2. Pero no debemos olvidar que nos encontramos dentro del ámbito del derecho sancionador, en el que rige, como uno de los principios fundamentales, el principio de tipicidad.

El principio de tipicidad conlleva que los hechos constitutivos de infracción y las sanciones han de estar explícitamente recogidos en la norma. Por tanto, para poder sancionar, es necesario que las acciones analizadas sean exactamente las mismas que las que señale el tipo legal. Así lo establece el artículo 129 de la Ley 30/1992: “sólo constituyen infracciones administrativas las vulneraciones del ordenamiento jurídico previstas como tales infracciones por una Ley […]. Únicamente por la comisión de infracciones administrativas podrán imponerse sanciones que, en todo caso, estarán delimitadas por la Ley […]. Las normas definidoras de infracciones y sanciones no serán susceptibles de aplicación analógica“.

En el caso que nos ocupa, como acabamos de ver, no se hace mención en el régimen sancionador de la LSSI al incumplimiento de la obligación de obtener el consentimiento, con lo que, ateniéndonos al principio de tipicidad, no será posible imponer sanciones por esta omisión. Quizá algún administrativista venga a enmendarme la plana, pero al menos lo que está claro es que resulta bastante chapucero por parte del legislador modificar las obligaciones y no adaptar el régimen sancionador de la ley a estas nuevas previsiones legales.

Nueva regulación de los emails comerciales y las cookies

El pasado viernes el Gobierno aprobó el Real Decreto-ley 13/2012, de 30 de marzo, por el que se realiza la transposición de varias a Directivas, entre otras, la Directiva 2009/136/CE, del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009, (conocida como “Directiva de cookies“) y la Directiva 2009/140/CE, del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009 (Mejor Regulación en las comunicaciones electrónicas).

En materia de comunicaciones electrónicas, se realizan dos modificaciones en la LSSI, la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico:

Se prohíbe el envío de comunicaciones comerciales en las que se disimule o se oculte la identidad del remitente por cuenta de quien se efectúa la comunicación, así como aquéllas en las que se incite a los destinatarios a visitar páginas de Internet que contravengan lo dispuesto en el artículo 20 de la LSSI (nuevo apartado 4 del artículo 20). Esta prohibición no es muy relevante en la práctica, teniendo en cuenta que ya el apartado 1 de este artículo obliga a que se identifique claramente a la persona física o jurídica en nombre de la cual se realiza la comunicación comercial, es decir, si hay que identificarla “claramente”, evidentemente no es válido que se “disimule o se oculte la identidad del remitente”.

Las comunicaciones comerciales por correo electrónico deberán incluir necesariamente una dirección electrónica válida donde pueda ejercitarse el derecho a oponerse al tratamiento de sus datos con fines promocionales (nuevo párrafo en el apartado 2 del artículo 21). Sobre lo que supone esta nueva obligación, discrepo de lo que afirman los compañeros Campanillas y Prenafeta, que entienden que “no se podrán realizar campañas de email marketing desde cuentas de correo que no permitan la respuesta a los mismos, esto es, como aquellas que incluyen el mensaje “no-reply”». En mi opinión se podrán seguir enviando de esta forma comunicaciones comerciales, sólo que en todo caso debe indicarse una dirección de correo electrónico para oponerse, la cual no tiene por qué ser la misma desde la que se envía. Se trata de que no se limite la posibilidad de oposición, por ejemplo, a visitar una web determinada, incluso obligando al destinatario a acceder con su usuario y contraseña al apartado de registro de usuarios; en definitiva, que se más sencillo y rápido oponerse.

En cuanto al régimen de las “cookies“, el texto es el mismo que proyectó aprobar el anterior gobierno, con lo que lo que comentábamos en este mismo blog el año pasado sigue siendo plenamente válido. En resumen:

Sólo pueden usarse “cookies” si el afectado ha dado su consentimiento previo e informado (salvo que tengan por finalidad efectuar o facilitar técnicamente la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario).

Este consentimiento podrá entenderse otorgado mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones.

Habrá que ver si la Agencia Española de Protección de Datos sigue el criterio del Grupo de Trabajo del Artículo 29, en cuyo caso para que pueda ser válido el consentimiento, será necesario que el navegador pida al usuario que entren en un asistente de privacidad la primera vez que instalen o actualicen, así como proporcionar un método fácil de ejercer su opción durante la utilización del producto. Sobre las opciones que dan actualmente los principales navegadores, pueden leer este interesante post de Santiago Bermell.

Para conocer el resto de novedades que trae esta norma, Gontzal Gallo nos las resume en su blog.

¿Pueden tomarse imágenes de la vía pública con cámaras de videovigilancia?

Surveillance Camera --- Image by © Royalty-Free/Corbis

La Sala de lo Contencioso Administrativo de la Audiencia Nacional ha dictado una sentencia por la que se anula una resolución de la Agencia Española de Protección de Datos (AEPD) en la que se imponían dos sanciones a una discoteca por la instalación de cámaras de videovigilancia. Las cámaras se encontraban instaladas en la fachada y vigilaban la entrada del local, por lo que la AEPD entendía que se captaba la vía pública, lo cual está reservado a las Fuerzas y Cuerpos de Seguridad y por tanto se realizaba un tratamiento de datos ilícito, sancionando este hecho con 2.500 euros. La otra sanción, de 800 euros, se imponía por no haber realizado la inscripción del fichero en el Registro General de Protección de Datos.

Es conveniente recordar que el tratamiento de imágenes a través de sistemas de videovigilancia supone un tratamiento de datos de carácter personal y por tanto está sujeto a la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (LOPD) y en concreto a la Instrucción 1/2006, de 8 de noviembre, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.

El artículo 7 de esta norma establece la obligación de inscribir el fichero generado por el sistema de videovigilancia, pero aclara que “no se considerará fichero el tratamiento consistente exclusivamente en la reproducción o emisión de imágenes en tiempo real“. La sentencia de la Audiencia Nacional anula esta sanción por considerar que no había grabaciones y, por tanto, no había fichero alguno que inscribir.

Más interesante es la otra sanción, por captar imágenes de la vía pública. De acuerdo con lo establecido en la Ley Orgánica 4/1997esto es competencia exclusiva de las Fuerzas y Cuerpos de Seguridad del Estado. Así lo dice también el artículo 4.3 de la Instrucción 1/2006: “las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos”. Pero ese mismo precepto establece una excepción: ”salvo que resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas”.

Es decir, es perfectamente entendible que para la seguridad de entradas a establecimientos o perímetros de fincas, por ejemplo, puedan obtenerse, de forma accesoria, imágenes de la vía pública. Para analizar si esa instalación de videovigilancia es lícita debe realizarse un juicio de proporcionalidad, que no exista posibilidad de instalación alternativa y que la captación de imágenes de la vía pública sea la mínima imprescindible. En el caso que nos ocupa, la AN analiza varios aspectos:

Las imágenes captadas apenas permitían la identificación de las personas que accedían a al discoteca.
Las cámaras estaban orientadas de tal modo que si objeto de vigilancia principal era el entorno privado (la entrada al local).
La captación de imágenes de la vía pública era la mínima imprescindible.
El sistema no grababa las imágenes, sólo emitía.
Las imágenes sólo eran vistas por el encargado del local, a fin de controlar el acceso y evitar aglomeraciones.

A la vista de estos hechos, se considera que no hay infracción del principio de consentimiento por captar imágenes en la vía pública y por ello se anula la sanción de la AEPD. Lo interesante de esta sentencia es que las valoraciones que realiza la AN nos pueden servir de guía para determinar cuándo será posible instalar un sistema de videovigilancia que tome imágenes de la vía pública, lo cual es posible pero, como vemos, con limitaciones.

Más sobre este tema: Alfonso Pacheco, en Privacidad Práctica.

DISPONE: Herramienta de ayuda para la generación de una disposición de creación, modificación y/o supresión de ficheros de datos de carácter personal de Titularidad Pública

La Agencia Española de Protección de Datos (AEPD) ha presentado su nueva herramienta, DISPONE, una aplicación de ayuda para la generación de una disposición de creación, modificación y/o supresión de ficheros de datos de carácter personal de Titularidad Pública.

Con la introducción de la información que la herramienta va solicitando, que es la que exige la LOPD para la creación de ficheros de titularidad pública, se genera automáticamente el texto de la disposición que deberá ser aprobada por el órgano responsable y publicada en el boletín oficial correspondiente.

La aplicación es una buena herramienta de ayuda, pero ello no conlleva en ningún caso que se sustituya el trabajo previo necesario para la correcta determinación del fichero y, por tanto, de la previa disposición de creación. Es decir, sigue siendo imprescindible analizar exhaustivamente todas las circunstancias que tienen trascendencia a la hora de tratar datos, desde el procedimiento de recogida, la finalidad del tratamiento, las cesiones realizadas o las medidas de seguridad necesarias.

Cualquier iniciativa de la AEPD que busque un mayor grado de cumplimiento de la normativa es de alabar y en este caso podemos imaginarnos que va especialmente dirigida al gran número de administraciones públicas, fundamentalmente pequeños ayuntamientos, que todavía no han realizado la inscripción de sus ficheros.

La Audiencia Nacional pregunta al TJUE en relación con el derecho al olvido

La Audiencia Nacional ha planteado a través de un auto (que tiene “el detalle” de no eliminar el nombre del afectado) una cuestión prejudicial al Tribunal de Justicia de la Unión Europa en relación con el llamado “derecho al olvido“. Dentro de uno de los muchos procedimiento similares (unos 130) que se encuentran en tramitación en esta sede judicial, la Sala de lo Contencioso Administrativo de la Audiencia Nacional, antes de resolver, ha decidido plantear siete preguntas al TJUE.

Las preguntas resumen a mi juicio muy bien y casi por completo la problemática. Resumiendo, el asunto consiste en si el buscador Google (en este caso, pero es aplicable a otros, por supuesto) realiza un tratamiento de datos de carácter personal y si la normativa española (o europea) le es aplicable, en cuyo caso deberá atender las peticiones de cancelación de datos que le remitan los afectados relacionadas con los resultados de búsqueda.

La sentencia del TJUE será determinante, aunque hay que tener en cuenta que en el borrador del texto del futuro Reglamento europeo sobre protección de datos se incluye un apartado dedicado al “derecho al olvido”, con lo cual la decisión será relativamente menos trascendente.

Las siete cuestiones sobre las que deberá decidir el TJUE son las siguientes:

1 – ¿Debe interpretarse que existe un “establecimiento”, en los términos descritos en el art. 4.1.a) de la Directiva 95/46/CE, cuando concurra alguno o algunos de los siguientes supuestos:

– cuando la empresa proveedora del motor de búsqueda crea en un Estado Miembro una oficina o filial destinada a la promoción y venta de los espacios publicitarios del buscador, que dirige su actividad a los habitantes de ese Estado,
o
– cuando la empresa matriz designa a una filial ubicada en ese Estado miembro como su representante y responsable del tratamiento de dos ficheros concretos que guardan relación con los datos de los clientes que contrataron publicidad con dicha empresa
o
– cuando la oficina o filial establecida en un Estado miembro traslada a la empresa matriz, radicada fuera de la Unión Europea, las solicitudes y requerimientos que le dirigen tanto los afectados como las autoridades competentes en relación con el respeto
al derecho de protección de datos, aun cuando dicha colaboración se realice de forma voluntaria?

2- ¿Debe interpretarse el art. 4.1.c de la Directiva 95/46/CE en el sentido de que existe un “recurso a medios situados en el territorio de dicho Estado miembro” cuando un buscador utilice arañas o robotspara localizar e indexar la información contenida en páginas web ubicadas en servidores de ese Estado miembro o cuando utilice un nombre de dominio propio de un Estado miembro y dirija las búsquedas y los resultados en función del idioma de ese Estado miembro?
¿Puede considerarse como un recurso a medios, en los términos del art. 4.1.c de la Directiva 95/46/CE, el almacenamiento temporal de la información indexada por los buscadores en internet? Si la respuesta a esta última cuestión fuera afirmativa, ¿puede entenderse que este criterio de conexión concurre cuando la empresa se niega a revelar el lugar donde almacena estos índices alegando razones competitivas?

3- ¿Debe aplicarse la Directiva 95/46/CE en materia de protección de datos, a la luz del art. 8 de la Carta Europea de Derechos Fundamentales, en el país miembro donde se localice el centro de gravedad del conflicto y sea posible una tutela más eficaz de los derechos de los ciudadanos de la Unión Europea?

4- ¿Debe interpretarse la actividad consistente en localizar la información publicada o incluida en la red por terceros, indexarla de forma automática, almacenarla temporalmente y finalmente ponerla a disposiciónde los internautas con un cierto orden de preferencia, cuando dicha información contenga datos personales de terceras personas, comprendida en el concepto de “tratamiento de datos”, contenido en el art. 2.b de la Directiva 95/46/CE?

5- ¿Debe interpretarse el artículo 2.d) de la Directiva 95/46/CE, en el sentido de considerar que la empresa que gestiona el buscador “Google” es “responsable del tratamiento” de los datos personales contenidos en las páginas web que indexa?

6- ¿Puede la autoridad nacional de control de datos (en este caso la Agencia Española de Protección de Datos), tutelando los derechos contenidos en el art. 12.b) y 14.a) de la Directiva 95/46/CE, requerir directamente al buscador para exigirle la retirada de sus índices de una información publicada por terceros, sin dirigirse previa o simultáneamente al titular de la página web en la que se ubica dicha información? ¿Se excluiría la obligación de los buscadores de tutelar estos derechos cuando la información que contiene esos datos se haya publicado lícitamente por terceros y se mantenga en la página web de origen?

7- ¿Debe interpretarse que los derechos de supresión y bloqueo de los datos, (regulados en el art. 12.b) y el de oposición (regulado en el art. 14.a de la Directiva 95/46/CE), incluyen la posibilidad de que el interesado puede dirigirse frente a los buscadores para impedir la indexación de la información referida a su persona amparándose en su voluntad de que la misma no sea conocida por los internautas cuando considere que puede perjudicarle o desea que sea olvidada, aunque se trate de una información publicada lícitamente por terceros?

Sobre la entrada en vigor del procedimiento de la Ley Sinde

El pasado 31 de diciembre de 2011 se publicó en el BOE el texto del Real Decreto 1889/2011, de 30 de diciembre, por el que se regula el funcionamiento de la Comisión de Propiedad Intelectual. Dos meses después de la publicación*, según se preveía en la norma, debía entrar en vigor este “procedimiento de salvaguarda de los derechos de propiedad intelectual frente a su vulneración por los responsables de servicios de la sociedad de la información”.

La Sección Segunda de la Comisión de Propiedad Intelectual fue creada por el apartado cuarto de la disposición final cuadragésima tercera de la Ley 2/2011, de 4 de marzo, de Economía Sostenible (LES), disposición más conocida como “Ley Sinde”. La Ley Sinde entró en vigor, como el resto de lo previsto en la LES, el pasado 6 de marzo de 2011. Aunque estemos leyendo por muchos sitios que lo que entra en vigor es la propia Ley, lo que entra en vigor es el procedimiento regulado en el mencionado Real Decreto 1889/2011.

Sin ánimo de chafar tan insigne acontecimiento, es conveniente hacerse tres preguntas:

– ¿Quiénes van a ser los miembros que formen parte de la Comisión de Propiedad Intelectual?

Más allá de saber quiénes serán las personas concretas que compongan esta comisión, lo cierto es que mientras no se nombre (como no se ha hecho hasta ahora) a estas personas el procedimiento no puede avanzar. Según el artículo 17 del Real Decreto, la solicitud deberá dirigirse a la Secretaría de la Sección Segunda de la Comisión de Propiedad Intelectual, cuyo titular actuará como órgano instructor del procedimiento. No está nombrada esta persona, con lo que no se podrá instruir el procedimiento. Tampoco están nombrados los miembros de la comisión, con lo que la primera decisión que debe tomarse, que según el art. 17.3 es acordar el inicio del procedimiento, no puede tomarse. En fin, que cada día que pase más difícil (por no decir imposible, puesto que el procedimiento, si bien es más o menos rápido, no es fulgurante) es que se cumpla el sueño dorado de los que querían ver ya en marzo cerradas algunas páginas web.

– ¿Obligarán a las personas físicas a utilizar medios electrónicos para comunicarse con la Sección Segunda?

Según la Orden ECD/378/2012, de 28 de febrero, será obligatorio que los interesados en el procedimiento de salvaguarda de los derechos de propiedad intelectual, se comuniquen con la Sección Segunda de la Comisión de Propiedad Intelectual por medios electrónicos. Sin embargo, según el artículo 27.6 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos, “las Administraciones Públicas podrán establecer la obligatoriedad de comunicarse con ellas utilizando sólo medios electrónicos, cuando los interesados se correspondan con personas jurídicas o colectivos de personas físicas que por razón de su capacidad económica o técnica, dedicación profesional u otros motivos acreditados tengan garantizado el acceso y disponibilidad de los medios tecnológicos precisos”. Es decir, una persona física, responsable de un servicio de la sociedad de la información que sea denunciado, no puede estar obligado a comunicarse con la Sección Segunda por medios electrónicos; estamos ante una disposición reglamentaria contraria a la ley y que, por tanto, no puede ser aplicada.

– ¿Qué pasará con las páginas web que están fuera del ámbito de aplicación de la LSSI?

Según el Anexo de definiciones de la Ley 34/2002, de Servicios de la Sociedad de la Información (LSSI), para que una actividad pueda ser considerada como servicio de la sociedad de la información y, por tanto, incluida en el ámbito de aplicación de la ley, ha de ser a título oneroso, es decir, que de alguna manera se obtenga un beneficio económico. Por tanto, una página web de una persona física, no profesional, que no contenga publicidad, no está dentro del ámbito de aplicación de la LSSI y, en consecuencia, tampoco de la Ley Sinde, puesto que es un procedimiento contra infracciones realizadas por prestadores de servicios de la sociedad de la información. Veremos qué hace la Sección Segunda cuando le llegue alguna denuncia contra una web de este tipo, que llegarán.

En fin, habrá que estar atentos a las decisiones que se tomen en relación con estas chapuzas, por otra parte bastante habituales en nuestro ordenamiento jurídico.

*Nota del autor: pese a que el presente artículo se ha publicado el día 1 de marzo, se comenzó a escribir el día anterior y creo conveniente aclarar que la entrada en vigor del Real Decreto se produjo el día 29 de febrero. El cómputo de los plazos por meses debe hacerse fecha a fecha y, no existiendo la fecha equivalente (31 de febrero), se entiende cumplido el plazo el último día del mes, en este caso 29 de febrero. Recomiendo, a este respecto, la lectura de esta entrada de Pablo Sanjuán en el blog vecino “Foro Público“.

Aclaraciones sobre las consecuencias de la Sentencia del Tribunal Supremo que anula el artículo 10.2.b del Real Decreto 1720/2007

El título de esta entrada es tan meramente descriptivo como extraordinariamente sensacionalistas son algunos titulares que hemos leído en la prensa al respecto de esta noticia. Ni se va a poder comerciar libremente con nuestros datos ni se mutila la protección de datos, como se han dicho en algunos periódicos.

Lo que ha sucedido es que el Tribunal Supremo, en una sentencia de 8 de febrero de 2012, ha anulado el art. 10.2.b del Real Decreto 1720/2007. Este artículo permitía el tratamiento de datos sin consentimiento de su titular en caso de que los “datos objeto de tratamiento o de cesión figuren en fuentes accesibles al público y el responsable del fichero, o el tercero a quien se comuniquen los datos, tenga un interés legítimo para su tratamiento o conocimiento, siempre que no se vulneren los derechos y libertades fundamentales del interesado“.

En primer lugar lo que tenemos que tener en cuenta es que la noticia se produjo en realidad hace unos meses, cuando el Tribunal de Justicia de la Unión Europea (TJUE) dictaminó que este artículo era contrario a lo dispuesto en la Directiva 95/46, tal y como comentamos aquí en una entrada anterior. Por tanto, lo que ha hecho el Tribunal Supremo es lo que ya se sabía que tenía que hacer.

Por otro lado, las consecuencias prácticas son, al menos de momento, prácticamente nulas. Es cierto que no puede exigirse que los datos figuren en fuentes accesibles al público para tratar datos sin consentimiento. Sin embargo, debe realizarse en cada caso una ponderación entre el interés legítimo del responsable del tratamiento y los derechos del interesado que se ven afectados por el tratamiento de datos sin consentimiento. Si realizada esa ponderación prevalece el interés del responsable, podrán tratarse los datos sin consentimiento; si prevalecen los derechos afectados del interesado, no se podrá. Y para realizar esa ponderación, la Agencia ya dijo tras la sentencia del TJUE que se va a tener en cuenta el hecho de que figuren en fuentes accesibles al público como criterio de ponderación.

Es cierto que la anulación de este artículo deberá tener trascendencia cuando la Agencia (o los tribunales) empiece a aceptar en sus resoluciones otros criterios de ponderación que legitimen el tratamiento, pero ello está muy lejos de las afirmaciones periodísticas que hemos podido leer.

Más sobre el tema en la web de la Asociación Profesional Española de Privacidad (APEP) y en los blogs de Gontzal Gallo, Jorge Campanillas y Jesús Pérez.

Nuevo comunicado de la Fundación Tripartita sobre el Coste Cero en LOPD

Hace unos meses la Fundación Tripartita para la Formación y el Empleo advirtió públicamente sobre la ilegalidad de utilizar los fondos que aporta esta fundación, destinados a la formación de empleados, para prestar servicios de consultoría en materia de protección de datos. Las empresas que llevan a cabo estas prácticas prestan servicios de consultoría y facturan servicios de formación (ya se imparta o no realmente), cuyo coste se ahorra el empresario a través de las cuotas de la Seguridad Social de sus trabajadores, con lo que el servicio les sale gratis.

La Fundación Tripartita informa ahora de que desde hace dos años se están llevando a cabo comprobaciones al respecto, las cuales han dado lugar a «la imposición de sanciones a las empresas ofertantes de los citados servicios de protección de datos de carácter personal, así como a la devolución de las bonificaciones practicadas en materia de formación en el empleo por parte de las empresas». Advierte además de que se puede dar traslado de los hechos a la Inspección de Trabajo y Seguridad Social y a los órganos administrativos competentes en materia de Defensa de la Competencia.
Hay que agradecer a la Fundación Tripartita que se haya puesto manos a la obra para perseguir estas actuaciones y que se conozca que las empresas que realizan estas prácticas, además de prestar, por lo general, un servicio de dudosa calidad, ponen en serio peligro de recibir sanciones por otras vías a las empresas que contratan sus servicios.
Más información en el blog de Luis Salvador.