Tag Archives: privacidad

Gallardón ayudando a los profesionales de la privacidad

Con motivo de la Jornada «20 años de Protección de Datos en España«, en el blog «Descargas Legales» comento fundamentalmente las desafortunadas declaraciones del Ministro de Justicia, Alberto Ruiz Gallardón. 
En una jornada destinada a difundir la cultura de la protección de datos, el ministro, en lugar de fomentar el conocimiento de este derecho fundamental y las ventajas que supone el cumplimiento de la normativa, destacó que esta no debe ser un «obstáculo insuperable para la innovación». 

¿Es delito reenviar imágenes privadas?

Al hilo de lo que se supone que ha pasado en Deusto, y el vídeo de la concejala de Los Yébenes, muchos me han preguntado si es delito, por ejemplo, reenviar por Whatsapp las fotos y vídeos en cuestión. Lo cierto es que el problema, en mi opinión, es fundamentalmente de prueba, como he comentado en mi blog de Lex Nova.

Aprovecho además para traer a colación la modificación que se pretende realizar del Código Penal, para castigar hechos como los que supuestamente ocurrieron en Los Yébenes, pero que a mi juicio es innecesaria, puesto que ya está contemplado actualmente en el artículo 197.2 del Código Penal.

Fotografías y vídeos de alumnos menores de edad en los colegios

La captación de imágenes (tanto fotografías como vídeos) de menores en los centros educativos provoca no pocos dolores de cabeza a los titulares de estos. Es costumbre que todo tipo de actividades que se realizan en los colegios sean fotografiadas o grabadas, tanto para el propio archivo escolar, como para entregar a las familias, como incluso para realizar material promocional.

Evidentemente, vaya por delante que la imagen es un dato de carácter personal y por tanto su tratamiento está sujeto a la normativa sobre Protección de Datos. En consecuencia, lo primero que ha de tenerse en cuenta es que se necesita el consentimiento para ello. Y para que ese consentimiento sea válido debe indicarse claramente qué uso se va a hacer de esas imágenes.

El problema (o mejor dicho, uno de los muchos problemas) es qué sucede cuando los padres de un menor se oponen a que se capte la imagen de su hijo en un acto público del colegio, como puede ser la típica función navideña, en la que participan todos los alumnos. Hace unos años salió a la luz un caso de este tipo, puesto que un padre denunció que no se permitió a sus hijos participar en la función puesto que no habían consentido que se les tomara imágenes. Desconozco los detalles del caso y cómo acabó resolviendo la Consejería de Educación (me encantaría saberlo), pero esto nos da pie a comentar una serie de cuestiones al respecto.

Lo cierto es que los padres del menor tienen, como hemos comentado, pleno derecho a que no se capte la imagen del menor. No se trata de un tratamiento de datos imprescindible para la prestación, por parte del colegio, de los servicios que debe prestar, con lo que es completamente lícito no dar el consentimiento. En estos casos, los colegios se encuentran con problemas, dado que en muchas ocasiones la única forma es apartar al niño de la fotografía o vídeo que se vaya a tomar o tratar la imagen posteriormente (aunque en puridad este procedimiento no sería válido, porque no hay consentimiento ni siquiera para la captación de la imagen).

En caso de que se aparte al niño, totalmente (como en el caso de la noticia reseñada) o parcialmente (apartando al niño del momento de realizar la fotografía), lo cierto es que se crea una situación de exclusión del menor respecto al resto de alumnos que, sin querer meterme en charcos psicopedagógicos, no parece muy adecuada.

Si se toma la imagen y se trata posteriormente, supone un trabajo adicional para el colegio, que puede ser sencillo en el caso de las fotografías, pero más costoso en el caso de vídeos.

Por último, la solución drástica es no tomar ninguna imagen del acto. Aquí los perjudicados son el resto de familias, que lo más probable es que la inmensa mayoría (o todas ellas) quieran tener imágenes de recuerdo.

Creo que han de ponderarse todas estas cuestiones, y alguna otra, a la hora de tomar una decisión de este tipo, tanto por el propio colegio, como por las autoridades educativas y de protección de datos. Teniendo en cuenta que la captación de imágenes del menor, sin consentimiento, no debe poder realizarse en ningún caso, en mi opinión debería resolverse la cuestión de la siguiente forma:

– En caso de que la grabación sea exclusivamente como recuerdo para las familias y archivo del colegio, en principio debe prevalecer el uso social aceptado comúnmente de grabar o fotografiar este tipo de actos, que son públicos, sobre la ausencia de consentimiento en el caso de alguno de los menores. Por tanto, si los padres del menor insisten en que su imagen no sea captada, no podrán tomar parte en la función.

– En caso de que el consentimiento solicitado sea para realizar una difusión mayor, como puede ser material promocional, o la publicación en Internet (web del colegio, redes sociales, etc.) de estas imágenes, en mi opinión en este caso debe prevalecer la oposición de los padres que no desean la publicación, con lo que los hijos de estos podrán participar en el acto y el colegio deberá abstenerse por completo de publicar las imágenes o al menos tratarlas para evitar la publicación de la imagen de los menores afectados.

Se trata sólo de mi opinión, en un asunto muy controvertido. Lo que sí que debe estar claro es que en caso de duda, lo mejor es evitar todo tipo de grabaciones y realizar las actuaciones con todos los alumnos, puesto que estamos ante un tema muy delicado como son las imágenes de menores. Espero opiniones en los comentarios.

La Audiencia Nacional pregunta al TJUE en relación con el derecho al olvido

La Audiencia Nacional ha planteado a través de un auto (que tiene “el detalle” de no eliminar el nombre del afectado) una cuestión prejudicial al Tribunal de Justicia de la Unión Europa en relación con el llamado “derecho al olvido“. Dentro de uno de los muchos procedimiento similares (unos 130) que se encuentran en tramitación en esta sede judicial, la Sala de lo Contencioso Administrativo de la Audiencia Nacional, antes de resolver, ha decidido plantear siete preguntas al TJUE.

Las preguntas resumen a mi juicio muy bien y casi por completo la problemática. Resumiendo, el asunto consiste en si el buscador Google (en este caso, pero es aplicable a otros, por supuesto) realiza un tratamiento de datos de carácter personal y si la normativa española (o europea) le es aplicable, en cuyo caso deberá atender las peticiones de cancelación de datos que le remitan los afectados relacionadas con los resultados de búsqueda.

La sentencia del TJUE será determinante, aunque hay que tener en cuenta que en el borrador del texto del futuro Reglamento europeo sobre protección de datos se incluye un apartado dedicado al “derecho al olvido”, con lo cual la decisión será relativamente menos trascendente.

Las siete cuestiones sobre las que deberá decidir el TJUE son las siguientes:

1 – ¿Debe interpretarse que existe un “establecimiento”, en los términos descritos en el art. 4.1.a) de la Directiva 95/46/CE, cuando concurra alguno o algunos de los siguientes supuestos:

– cuando la empresa proveedora del motor de búsqueda crea en un Estado Miembro una oficina o filial destinada a la promoción y venta de los espacios publicitarios del buscador, que dirige su actividad a los habitantes de ese Estado,
o
– cuando la empresa matriz designa a una filial ubicada en ese Estado miembro como su representante y responsable del tratamiento de dos ficheros concretos que guardan relación con los datos de los clientes que contrataron publicidad con dicha empresa
o
– cuando la oficina o filial establecida en un Estado miembro traslada a la empresa matriz, radicada fuera de la Unión Europea, las solicitudes y requerimientos que le dirigen tanto los afectados como las autoridades competentes en relación con el respeto
al derecho de protección de datos, aun cuando dicha colaboración se realice de forma voluntaria?

2- ¿Debe interpretarse el art. 4.1.c de la Directiva 95/46/CE en el sentido de que existe un “recurso a medios situados en el territorio de dicho Estado miembro” cuando un buscador utilice arañas o robotspara localizar e indexar la información contenida en páginas web ubicadas en servidores de ese Estado miembro o cuando utilice un nombre de dominio propio de un Estado miembro y dirija las búsquedas y los resultados en función del idioma de ese Estado miembro?
¿Puede considerarse como un recurso a medios, en los términos del art. 4.1.c de la Directiva 95/46/CE, el almacenamiento temporal de la información indexada por los buscadores en internet? Si la respuesta a esta última cuestión fuera afirmativa, ¿puede entenderse que este criterio de conexión concurre cuando la empresa se niega a revelar el lugar donde almacena estos índices alegando razones competitivas?

3- ¿Debe aplicarse la Directiva 95/46/CE en materia de protección de datos, a la luz del art. 8 de la Carta Europea de Derechos Fundamentales, en el país miembro donde se localice el centro de gravedad del conflicto y sea posible una tutela más eficaz de los derechos de los ciudadanos de la Unión Europea?

4- ¿Debe interpretarse la actividad consistente en localizar la información publicada o incluida en la red por terceros, indexarla de forma automática, almacenarla temporalmente y finalmente ponerla a disposiciónde los internautas con un cierto orden de preferencia, cuando dicha información contenga datos personales de terceras personas, comprendida en el concepto de “tratamiento de datos”, contenido en el art. 2.b de la Directiva 95/46/CE?

5- ¿Debe interpretarse el artículo 2.d) de la Directiva 95/46/CE, en el sentido de considerar que la empresa que gestiona el buscador “Google” es “responsable del tratamiento” de los datos personales contenidos en las páginas web que indexa?

6- ¿Puede la autoridad nacional de control de datos (en este caso la Agencia Española de Protección de Datos), tutelando los derechos contenidos en el art. 12.b) y 14.a) de la Directiva 95/46/CE, requerir directamente al buscador para exigirle la retirada de sus índices de una información publicada por terceros, sin dirigirse previa o simultáneamente al titular de la página web en la que se ubica dicha información? ¿Se excluiría la obligación de los buscadores de tutelar estos derechos cuando la información que contiene esos datos se haya publicado lícitamente por terceros y se mantenga en la página web de origen?

7- ¿Debe interpretarse que los derechos de supresión y bloqueo de los datos, (regulados en el art. 12.b) y el de oposición (regulado en el art. 14.a de la Directiva 95/46/CE), incluyen la posibilidad de que el interesado puede dirigirse frente a los buscadores para impedir la indexación de la información referida a su persona amparándose en su voluntad de que la misma no sea conocida por los internautas cuando considere que puede perjudicarle o desea que sea olvidada, aunque se trate de una información publicada lícitamente por terceros?

Claves para identificar un proyecto adecuado de consultoría LOPD

apep

La Asociación Profesional Española de Privacidad (APEP) ha publicado un documento dirigido a las empresas y profesionales interesados en contratar un servicio de consultoría de protección de datos, con el objetivo de que conozcan qué cuestiones han de tenerse en cuenta si se quiere disponer de un servicio integral y profesional.

El documento, disponible en la página web de la APEP, recoge las claves para acometer correctamente un proyecto de adecuación a la normativa sobre protección de datos. A modo de resumen:

  • Es necesaria la implicación, concienciación y participación del cliente.
  • La adecuación no es algo puntual, exige su continuación en el tiempo. La entrega de una documentación, sin más, tras rellenar unos cuestionarios, no es una adecuación.
  • La consultoría requiere de formación y concienciación por parte de todo el personal de la empresa con acceso a datos de carácter personal.
  • La adaptación puede requerir cambios en la empresa respecto a actuaciones incorrectas.
  • La adaptación a la LOPD no se soluciona con «copiar y pegar», debe adaptarse a la empresa en cuestión, no hay soluciones válidas universales. Hay que conocer correctamente la realidad de la organización, para lo cual es necesario en la mayoría de los casos que el consultor visite presencialmente la empresa.
  • El consultor debe tener formación específica especializada (másters, cursos de postgrado, cursos de especialista) o disponer de una certificación, como la Certificación ACP de la APEP.
  • El cumplimiento ha de ser real, no meramente formal o documental.
  • La consultoría de calidad tiene costes: ni gratis ni a precios por debajo del mercado, ni a través de fraudes como el del coste cero

Sobre la obligatoriedad de consultar la Lista Robinson

La Agencia Española de Protección de Datos (AEPD) ha sancionado recientemente a Telefónica Móviles España (TME) por haber realizado llamadas a un cliente suyo, pese a que este se encontraba incluido en la Lista Robinson. La sanción, de 3.000 euros, se fundamenta en la existencia de un tratamiento de datos contrario al principio de calidad de los datos (art. 4 de la LOPD), originado por el incumplimiento del art. 30.4 de la LOPD, que obliga a atender las peticiones de oposición de los titulares de los datos.

Mucha tela hay que cortar aquí sobre esta forma de sancionar, pero nos centraremos en la obligatoriedad de consultar el fichero de exclusión publicitaria, “Lista Robinson”, de la Asociación Española de la Economía Digital (Adigital). Al hacerse pública esta resolución, hemos podido leer afirmaciones sobre la necesidad de que se consulte este fichero antes de utilizar datos personales con finalidad publicitaria y es necesario recordar que no es así, o al menos no es así para todas las empresas que realicen esta actividad.

El artículo 49,4 del  Real Decreto 1720/2007, por el que se aprueba el Reglamento de desarrollo de la LOPD (RDLOPD), establece que  “quienes pretendan efectuar un tratamiento relacionado con actividades de publicidad o prospección comercial deberán previamente consultar los ficheros comunes que pudieran afectar a su actuación“. Una de las cosas que llama la atención en la resolución, es que en ningún momento se explica ni se justifica la obligación por parte de TME de consultar la Lista Robinson de la FECEMD (antigua denominación de Adigital), no se argumenta por qué ese fichero se trata de un fichero común “que pudiera afectar a su actuación”, tal y como establece el art. 49 del RDLOPD. La única razón por la que TME pueda estar obligado es porque sea usuaria de ese fichero, o mejor dicho, como claramente denominó hace ya tiempo Félix Haro, “cliente” de ese fichero. No se puede, con la normativa en la mano, exigir a cualquier empresa que tenga que consultar la Lista Robinson. Además, en este caso, ni siquiera se puede argumentar que TME estará obligada por ser socia de Adigital (sin llegar a ser usuaria, de hecho, del fichero), dado que TME no forma parte de la Asociación Española de la Economía Digital (nueva denominación de la FECEMD): sólo está asociada la matriz, Telefónica de España, como se puede ver en la web de la asociación.

En fin, entenderán el por qué del desastroso título de esta entrada: en resumidas cuentas, es obligatorio consultar la Lista Robinson de Adigital si usted, voluntariamente, se obliga a ello. Si no, la consulta de la Lista Robinson no es obligatoria. No conozco ninguna sanción de la AEPD por no haberlo hecho, si la hay, me encantaría que me la indicaran.

Por cierto, en la resolución se recoge, como hecho probado, que la FECEMD envió a TME “un fichero de solicitudes de inclusión en lista Robinson, que mezclaba clientes y no clientes de TDE y TME”. Me pregunto yo, ejem, si no estamos ante una cesión ilícita de datos de carácter personal, lo cual supone una infracción grave de acuerdo con el artículo 44.3.k de la LOPD. Dado que la Agencia ya conoce este hecho, puesta que está recogido, insisto, como hecho probado en la resolución, supongo que en este momento ya estará abriendo el procedimiento sancionador.

Privacidad, menores y derechos sobre los contenidos en Google+

El nuevo intento de Google de triunfar en las redes sociales, tras varios fracasos, se llama Google+. Para conocer en qué consiste, y qué novedades aporta, les invito a leer la entrada de nuestro vecino de blog en Lex Nova, Leandro Escudero. Como no podía ser de otra forma, aquí analizaremos aspectos legales relacionados con este nuevo producto, centrándonos exclusivamente en tres puntos.

En primer lugar debemos centrarnos en el apartado de privacidad, dado que es uno de  los aspectos y preocupaciones clave para los usuarios de servicios de redes sociales actualmente, y además porque desde el lanzamiento de Google+ ha sido uno de los temas más comentados y aplaudidos. Lo cierto es que las novedades en cuanto a privacidad no tienen que ver con las posibilidades que otorga, sino con el modo de gestionarla. Comparándolo con Facebook (con la que se están centrando todas las comparaciones), las opciones de privacidad de Facebook son, como mínimo, semejantes a las de Google+; incluso en algunos aspectos más completas todavía. La ventaja que tiene Google+ es de usabilidad, el “invento” de los círculos, y la posibilidad de que, en cada publicación, escojamos con qué círculos o personas en concreto queremos compartir. Pero no se puede decir, en absoluto, que podamos hace una utilización más privada de Google+ que de Facebook o Tuenti.

En cuanto al límite de edad para registrarse, mientras que Tuenti o Facebook han atendido las peticiones de la Agencia Española de Protección de Datos de no permitir el registro a menores de 14 años, en el caso de Google+ basta con tener una cuenta de Google, para  lo cual, si bien en sus condiciones del servicio se exige la mayoría de edad, lo cierto es que ni siquiera se pregunta la fecha de nacimiento del usuario. Cierto es que en la práctica no supone un filtrado riguroso, pero es una precaución que sería deseable. Difícil es que además realicen comprobaciones en relación con la edad, como sí hace Tuenti. Por tanto, en este aspecto, podemos decir que Google+ aporta menos garantías que otros servicios.

Por último, tanto Google+ como Facebook incorporan en sus términos de uso, de forma muy similar, la cesión de derechos de los contenidos subidos a sus servicios.  Se ha comentado como punto a favor de Google+ lo contrario, pero lo cierto es que la diferencia sólo es aplicable a Picasa. Si acudimos al apartado 11 de las condiciones del servicio de Google, veremos que “al enviar, publicar o mostrar Contenido, estará concediendo a Google una licencia permanente, internacional, irrevocable, no exclusiva y que no está sujeta a derechos de autor para reproducir, adaptar, modificar, traducir, publicar, representar y mostrar públicamente, así como para distribuir, cualquier Contenido que envíe, publique o muestre en los Servicios o a través de ellos”. Pero nos asustemos, como ha ocurrido con Facebook en muchas ocasiones, porque esta licencia “se otorga con el único propósito de permitir a Google publicar, distribuir y promocionar los Servicios”.

Sin perjuicio de todo lo comentado, y pese a la evidente trascendencia que pueden tener las condiciones de uso de las redes sociales, nunca está de más recordar que es la correcta utilización y el sentido común del usuario lo más trascendente a la hora de evitar problemas, sobre todo en lo relacionado con la privacidad.