Tag Archives: AEPD

Aumento de denuncias y sanciones de Protección de Datos en Castilla y León

Memoria-AEPD-2011

De la recientemente publicada Memoria de 2011 de la Agencia Española de Protección de Datos, se pueden extraer datos numéricos por territorios. En Castilla y León el crecimiento de denuncias, tutelas de derechos, sanciones y ficheros inscritos ha sido significativo. Europa Press en Castilla y León se ha hecho eco de un estudio propio que comenta estas cifras.

Aunque porcentualmente el incremento es sustancial, lo cierto es que los números totales no son muy altos. Hay mayor concienciación por parte de los ciudadanos, es cierto, y por eso crecen las denuncias y los procedimientos de tutelas de derechos, pero la inscripción de ficheros, obligación básica para toda empresa o profesional, sigue siendo relativamente escasa, lo cual nos da un indicio de que el resto de obligaciones que recoge la normativa no se cumplen correctamente.

Cumplimiento de la LOPD en Castilla y León

A raíz de un estudio que concluía que el cumplimiento de la LOPD en Castilla y León sigue siendo muy pequeño, los informativos de Castilla y León Televisión contaron conmigo para comentar la noticia. Hablamos, entre otras cosas, de qué se debe hacer al recoger datos, de la ventajas del cumplimiento de la normativa sobre protección de datos y de la privacidad en las redes sociales.

Taller APEP sobre «Cloud Computing»

Ayer se celebró en Madrid un Taller Práctico sobre Protección de Datos Personales en el «Cloud Computing», uno de los temas de moda en materia de protección de datos, organizado por la Asociación Profesional Española de Privacidad (APEP). El objetivo de la jornada era que facilitar que se pueda «discriminar, entre las distintas ofertas de servicios, aquellas que se ajusten a los requerimientos de la LOPD, así como a las prácticas técnicas, organizativas y legales que se encuadran en esta concreta materia».

Manuel García Sánchez, de la Agencia Española de Protección de Datos, explicó las características esenciales del Cloud, así como los factores de impulso, las barreras para su adopción y los riesgos asociados, incidiendo en uno de los problemas fundamentales: la deslocalización. Manuel recomendó que la adopción de servicios de computación en nube se haga de forma gradual y planificada, analizando los riesgos que se asumen al elegir un determinado proveedor. Recordó que la responsabilidad del responsable del fichero no decae por su falta de poder negociador respecto del proveedor: siempre es necesario contar con el contrato que exige el artículo 12 de la LOPD y que el proveedor aplique las medidas de seguridad necesarias.

Jesús Rubí, Adjunto a la Dirección de la AEPD, nos recordó la intervención que ya realizó en la Sesión Anual Abierta de la AEPD de este año, insistiendo sobre las obligaciones de diligencia que son exigibles tanto para el responsable como para el encargado del tratamiento. 

Con el objeto de cumplir con la obligación establecida en el artículo 20.3 del Reglamento de Desarrollo de la LOPD, Rubí explicó que la Agencia considera cumplido este requisito si el proveedor facilita al responsable documentación que acredite la realización de una auditoría, externa e independiente, sobre el cumplimiento de las medidas de seguridad.

Por último, Leandro Núñez, compañero de la APEP, abordó los problemas derivados de las transferencias internacionales de datos, tan habituales en la contratación de servicios de cloud computing. Desde una perspectiva práctica, analizó las distintas posibilidades: cláusulas contractuales tipo, Binding Corporate Rules, Puerto Seguro, etc. La conclusión principal es que en la práctica se presentan muchos problemas y es necesario un trabajo exigente para cumplir con las obligaciones que establece la LOPD y, en muchos casos, la autorización del Director de la Agencia.

Se necesita consentimiento para usar «cookies», pero si no se obtiene, no pasa nada

MP900387871

La modificación de la LSSI en materia de «cookies«, de la que hablábamos en la anterior entrada, supone exigir a partir de ahora el consentimiento (previo e informado) a los usuarios para poder utilizarlas (con algunas excepciones).

El problema es que el régimen sancionador de la LSSI no se ha modificado en consecuencia, con lo que sólo figura como infracción sancionable el incumplimiento «de las obligaciones de información o de establecimiento de un procedimiento de rechazo del tratamiento de datos», pero no la falta de consentimiento.

Podría pensarse que no es necesario realizar esta modificación, pero no hay que olvidar que nos encontramos dentro del ámbito del derecho sancionador, en el que rige el principio de tipicidad, por lo que no pueden sancionarse conductas no incluidas expresamente en la Ley. Mi comentario en el blog «Descargas Legales«.

¿Pueden tomarse imágenes de la vía pública con cámaras de videovigilancia?

Surveillance Camera --- Image by © Royalty-Free/Corbis

El tratamiento de imágenes a través de sistemas de videovigilancia supone un tratamiento de datos de carácter personal y por tanto se encuentra sujeto a las previsiones de la LOPD. En principio la captación de imágenes de la vía pública por cámaras de videovigilancia está limitada a las Fuerzas y Cuerpos de Seguridad del Estado. No obstante, bajo determinadas circunstancias es posible captar las imágenes por parte de particulares, cuando sea imprescindible para cumplir con la finalidad de vigilancia que se pretende y sea imposible evitarlo por la ubicación de las cámaras.

Además hay que realizar un juicio de proporcionalidad y tener en cuenta una serie de circunstancias, como las que apunta la Audiencia Nacional en una sentencia reciente que comentamos en el blog «Descargas Legales«, por la cual se anula una sanción de 2500 euros a una discoteca por unas cámaras colocadas a la entrada de la fachada para controlar el acceso al local.

DISPONE: Herramienta de ayuda para la generación de una disposición de creación, modificación y/o supresión de ficheros de datos de carácter personal de Titularidad Pública

sshot-1

La Agencia Española de Protección de Datos (AEPD) ha presentado su nueva herramienta, DISPONE, una aplicación de ayuda para la generación de una disposición de creación, modificación y/o supresión de ficheros de datos de carácter personal de Titularidad Pública.

Con la introducción de la información que la herramienta va solicitando, que es la que exige la LOPD para la creación de ficheros de titularidad pública, se genera automáticamente el texto de la disposición que deberá ser aprobada por el órgano responsable y publicada en el boletín oficial correspondiente.

La aplicación es una buena herramienta de ayuda, pero ello no conlleva en ningún caso que se  sustituya el trabajo previo necesario para la correcta determinación del fichero y, por tanto, de la previa disposición de creación. Es decir, sigue siendo imprescindible analizar exhaustivamente todas las circunstancias que tienen trascendencia a la hora de tratar datos, desde el procedimiento de recogida, la finalidad del tratamiento, las cesiones realizadas o las medidas de seguridad necesarias.

Cualquier iniciativa de la AEPD que busque un mayor grado de cumplimiento de la normativa es de alabar y en este caso podemos imaginarnos que va especialmente dirigida al gran número de administraciones públicas, fundamentalmente pequeños ayuntamientos, que todavía no han realizado la inscripción de sus ficheros.

La Audiencia Nacional pregunta al TJUE en relación con el derecho al olvido

¿Podemos exigir a Google, o a cualquier buscador, que desindexe de sus resultados nuestro nombre, publicado lícitamente en una web? Así se puede resumir el problema del llamado «derecho al olvido«. La Audiencia Nacional tiene encima de la mesa unos 130 procedimientos derivados de resoluciones de la Agencia Española de Protección de Datos y ha planteado una serie de cuestiones prejudiciales al Tribunal de Justicia de la Unión Europea, con el objeto de aclarar aspectos de la Directiva 95/46, de Protección de Datos.

Resumiendo, las preguntas buscan conocer si a Google Inc., que es la prestadora del servicio de búsqueda puede estar sujeta a la normativa europea y, en ese caso, si la actividad que realiza supone un tratamiento de datos de carácter personal.
Un resumen del auto de la Audiencia Nacional en el blog de Lex Nova.

Aclaraciones sobre las consecuencias de la Sentencia del Tribunal Supremo que anula el artículo 10.2.b del Real Decreto 1720/2007

Tras la anulación del artículo 10.2.b del Reglamento de Desarrollo de la LOPD, se han podido leer y escuchar muchas afirmaciones alarmistas al respecto de cómo queda el estado de la protección de datos en España. No hay que alarmarse, las consecuencias prácticas son muy limitadas.
Esta anulación además era ineludible para ajustarse a lo contenido en la Directiva europea de Protección de Datos, y nadie ha comentado que se puedan comercializar datos sin permiso o que se acabe con las garantías de protección de datos a nivel europeo.
Una pequeña aclaración al respecto en el blog «Descargas Legales«.

La competencia de la AEPD sobre los ficheros de juzgados y tribunales

El Tribunal Supremo ha determinado en una sentencia reciente que la Agencia Española de Protección de Datos (AEPD) no tiene competencia para inspeccionar y declarar infracciones de la normativa sobre Protección de Datos, sino que esta competencia está reservada al propio Consejo General del Poder Judicial (CGPJ).
En mi opinión con la normativa en la mano esto no debería ser así, además de que para el ciudadano supone una garantía adicional puesto que poca independencia se puede esperar de las resoluciones de un órgano respecto a incumplimientos realizados por personal del mismo órgano.
A cuatro manos con Francisco Javier Sempere, al que agradezco su colaboración, hemos dejado en dos posts en «Descargas Legales» nuestra opinión sobre el asunto.

4ª Sesión Anual Abierta de la Agencia Española de Protección de Datos

Logo_4

Con motivo de la celebración del Día Europeo de Protección de Datos (28 de enero), se celebró el pasado 27 de enero de Madrid la 4ª Sesión Anual Abierta de la Agencia Española de Protección de Datos (AEPD). El objetivo de estas sesiones es dar a conocer el estado actual de la protección de datos en España, y convoca cada año a un gran número de profesionales de la materia, este ocasión, según la nota de prensa de la Agencia, unos 800. El resumen de la jornada lo pueden encontrar en esa misma nota de prensa.

El Director de la AEPD, don José Luis Rodríguez Álvarez, comenzó la jornada destacando el importante aumento de denuncias y reclamaciones de tutela de derechos realizadas por los ciudadanos durante el año 2011, que crecieron respecto al año anterior, un 50% y 34% respectivamente. Pese a que en anteriores intervenciones públicas el director no se había mostrado muy partidario del término, en esta ocasión celebró que se incluya expresamente el derecho al olvido en la propuesta de Reglamento europeo sobre Protección de Datos recientemente presentada por la Comisión Europea. 
Precisamente resultó particularmente interesante dentro de la jornada la intervención del  coordinador del Área de Internacional de la AEPD, Rafael García Gozalo, que desgranó la principales novedades de la propuesta de Reglamento y Directiva presentada recientemente por la Comisión Europea, así como la revisión del Convenio 108, del Consejo de Europa, para la protección de las personas físicas en relación con el tratamiento automatizado de datos personales.
El tema central de la sesión, como el de muchas jornadas del sector últimamente, fue la computación en la nube, o el cloud computing. Es conveniente recordar que este tipo de servicios no son novedosos, a fin de cuentas no es de ahora el alojamiento de datos en servidores de terceros. Lo que sí que es cierto es que se ha generalizado mucho su uso y que en cuanto a la normativa sobre protección de datos nos encontramos con varios problemas: la transferencia internacional de datos con la aplicación de las medidas de seguridad y la normativa española, y la habitual subcontratación de los servicios. Respecto a esto, la Agencia anunció la publicación de unas cláusulas contractuales tipo para los casos en los que se produzcan transferencias internacionales.
Por último, se contestaron por parte de los intervinientes consultas planteadas por los asistentes tanto al inscribirse como en la propia sesión. Hay que agradecer y valorar la predisposición del personal de la Agencia a la hora de responder preguntas en directo, pero creo que en muchos casos no aporta suficiente seguridad a las dudas de los profesionales, puesto que a menudo las cuestiones requieren de precisión tanto en el supuesto planteado como en la respuesta, y no siempre las respuestas son por tanto lo suficientemente claras o fiables.
En fin, un acto cuya celebración hay que agradecer a la Agencia, tanto por la deferencia ante los profesionales de la privacidad, como por las actuaciones de difusión de la cultura sobre protección de datos realizadas paralelamente en estos días.
Pueden descargarse las presentaciones de las distintas ponencias desde la web de la AEPD.
Otros resúmenes de la jornada en los blogs Marketing Positivo y Privacidad Práctica.