Derecho al olvido. Google pone en marcha una herramienta para solicitarlo - Eurovima Consulting - Asesoría Protección de Datos - Madrid

Derecho al olvido. Google pone en marcha una herramienta para solicitarlo

Derecho al olvido. Google pone en marcha una herramienta para solicitarlo - Eurovima Consulting - Asesoría Protección de Datos - Madrid

Imagen original de http://www.redusers.com

Se podría decir que “Ya podemos eliminar nuestros datos de internert!!!!”, pero seamos prudentes y de momento digamos que se van dando pasos, ya que eso será siempre que se den determinadas circunstancias.

Después de que el pasado 13 de mayo de 2014, tal y como EUROVIMA informó (ver enlace), la Justicia europea fallaba contra Google obligandola a cumplir con la normativa de protección de datos europea y a desindexar la información solicitada por los afectados, Google acaba de poner en marcha una herramienta que permita a los afectados solicitarlo, en el apartado “legal” de su página indica “Cómo retirar contenido de Google” (ver enlace).

Bueno, esto no acaba más que empezar, veremos como se implementa ya que una cuestión es que se facilite poder ejercer ese derecho y otra distinta es que se atienda en tiempo y modo, es más, de momento ni siquiera el formulario cumple con el deber de información que la LOPD establece en su artículo 5¡¡¡¡ (Derecho de información en la recogida de datos), es decir, empezamos bien.

En cualquier caso, seguiremos informando y si necesitáis hacernos alguna consulta al respecto,  es decir, si hay información que os afecte y entendéis que no debería estar publicada en la Red, no dudéis en consultar a vuestra asesoría en materia de protección de datos, privacidad, comercio electrónico y derecho TIC, al igual que esperamos vuestras opiniones.

Resumen del evento: “Big Data: claves de negocio y retos jurídicos”.

IMG-20140519-WA0005Ayer 19 de mayo de 2014, en las funcionales instalaciones del BBVA Innovation Center de Madrid, se celebró un foro de debate bajo el título “Big Data: claves de negocio y retos jurídicos” con la organización conjunta de APEP, DENAE e IAB SPAIN, en los que intervinieron 4 expertos que dieron un enfoque al evento desde los puntos de vista del negocio y jurídico: Pepe Cerezo, Mikel Lekaroz, Antonio Muñoz y Javier Puyol.

El foro giró sobre el tratamiento de la información y el marketing digital basado en el Big Data y los retos que supone para su cumplimiento normativo, dada la eclosión y el desarrollo que ha alcanzado.

Pepe Cerezo.- Decisiones de negocio en tiempo real (FAST DATA)

Inició su intervención con un repaso a la evolución de los negocios en los últimos 25 años. Desde la creación de las primeras páginas web hasta el “internet de las cosas”, pasando por el Cloud, la Redes Sociales y la era Mobile, que en su opinión dará lugar a la llamada “internet expandida”, que será un compendio de todas ellas. De cómo esa evolución ha servido para alimentar esos negocios que han surgido en cada etapa, cuyo combustible han sido y son los datos. Cómo desde el conocimiento se ha pasado a la segmentación para poder tomar decisiones en tiempo real en base a una publicidad personalizada puesto que “los datos son la voz de los Clientes”.

Mikel Lekaroz.- El dato en medios ha dejado de usarse como ametralladora, se trata de ir al “objetivo”.

Su enfoque se basó en el triángulo formado por la transformación digital, marketing y modelos de negocio, cómo se ha transformado la manera de medir las audiencias, de la evolución en busca de dejar de ser ineficiente, irrelevante e indiscriminada que en definitiva ha derivado en un cambio en el modo de pensar. Gracias al Big Data está todo conectado, y la evolución tan brutal que ha tenido ha supuesto un “Gap” entre regulación y tecnología, en el que Mikel aboga por una autorregulación basada en el cumplimiento de lo que decimos.

 Antonio Muñoz.- Big Data no es Big Brother

Asociar ambos conceptos distorsiona la realidad pues cuestiona el principio que ha de legitimar la recogida de datos dadas las implicaciones jurídicas que suponen. Por ello aboga por un balance entre la trasparencia y la información, que ha de contemplar el Reglamento Europeo de Protección de datos, que partirá desde el principio incuestionable de la legitimación en la captura, pasando por la seguridad de su almacenamiento (Cloud) y la participación de “terceros” en el proceso, es decir, de aquellos que accedan, traten o gestionen dicha información.

 Javier Puyol.- El derecho civil debe ganar “peso” frente a la privacidad en el Big Data.

Apuesta por simplificar la problemática del Big Data, en el que la disociación debe ser parte del proceso que aúne consentimiento, conocimiento y derechos, además de quedar claramente identificada la responsabilidad de cada uno de los actores que intervienen en el proceso, en el que la propia evolución del Big Data supone un reto para lograr el consentimiento.

Nuestra opinión:

Interesantes exposiciones que personalmente dejan latente la necesidad de contar con una regulación, que si bien no logrará cerrar el “Gap” mencionado, no debería dejar que el mismo continuase agrandándose.

A propósito del comentario realizado en el foro sobre que el Big Data creará 4,5 millones de empleados en los próximos años, quisimos hacer una pequeña reflexión aunque quizás no era el momento puesto que el debate podía quedar desenfocado. Sin embargo, lo queremos dejar en el aire por si alguno quiere aportar su visión sobre si al igual que se crean esos puestos de trabajo, no habrá que pensar en lo que se destruye, o lo que es lo mismo, si el Big Data en sí mismo no destruye, en este caso, nuestra privacidad.

Si hacemos un símil con la “Ley de la conservación de la materia”, podríamos decir que “el dato” no se crea ni se destruye solo se transforma. Por ello, regular esa “transformación” en base a las nuevas claves de negocio, es el verdadero reto jurídico.

 

Os dejamos el enlace al vídeo del evento.

https://www.centrodeinnovacionbbva.com/eventos/32600-big-data-claves-de-negocio-y-retos-juridicos

El Derecho al Olvido; del “Olvídense del olvido” al “olvídense de lo dicho”, o no…

Free-Google-Desktop-Wallpapers-1Parece que nuestra querida Agencia Española de Protección de Datos (AEPD) ha logrado dar la vuelta al resultado contra todo pronóstico (el nuestro desde luego), y lo que el 25 de julio de 2013, con “el Dictamen Preliminar del Abogado General del TJUE”, hacía suponer que Google no estaría obligado a borrar la información sensible de su índice de búsqueda, ahora con la sentencia publicada hoy, ¡¡¡martes y 13!!!, ya no lo parece (ver post del 26 de junio de 2013)

En todo caso, decimos parece, pues pensamos que estamos ante lo que será un punto y seguido, del que queremos haceros llegar un primer análisis.

La cuestión era si con el amparo de la AEPD, no solo el ciudadano español del que partió la denuncia sino todos, encontraríamos el auxilio para lograr el derecho al olvido. De cómo el derecho a la protección de nuestra privacidad iba a convivir con la libertad de expresión e información sin suponer una censura al contenido indexado o la responsabilidad  de las fuentes del origen de la información y de los buscadores. También si la normativa europea sería o no de aplicación a una empresa con sede en California, que por ende fuese considerada Responsable de Tratamiento, y en definitiva, resolver si existía tratamiento de datos o no.

Pues bien, estamos ante una sentencia histórica que obliga al buscador a eliminar los enlaces de sus resultados de búsqueda si se dan una serie de requisitos (cuando sea solicitado por el afectado) aunque la información no sean de “su propiedad”, ya que el buscador realiza un tratamiento de datos de dicha información y por tanto la sentencia considera que el buscador es el Responsable.

ANTECEDENTES:

Para ponernos en situación, recordar que un ciudadano español solicitó y recibió el amparo de la AEPD requiriendo a Google que eliminasen sus datos del buscador.

Pues bien, ya en su día indicamos que la cuestión clave sería delimitar el alcance de la responsabilidad de Google frente a los derechos de los ciudadanos sobre la publicación/indexación de sus datos personales y si pudiese estar sujeto a la normativa de privacidad europea aunque su motor de búsqueda fuese el de una empresa con sede en California.

Las conclusiones resumidas del Dictamen Preliminar del Abogado General del TJUE, que ya publicamos en su momento, fueron:

  1. El ámbito territorial de aplicación.- Concluyó que se considera de manera indiscutible a las filiales de Google ubicadas en la UE como “establecimiento”.
  2. No entiende que el buscador sea Responsable del Tratamiento pero sí que sus operaciones implican claramente un tratamiento de datos personales.
  3. La Directiva no establece ningún «derecho al olvido» generalizado. Los derechos de oposición, supresión y cancelación de datos, de la Directiva no se extienden a un derecho al olvido como el descrito en el auto de remisión.

LAS CONCLUSIONES DE LA SENTENCIA

La sentencia del Tribunal de Justicia de la Unión Europea conocida hoy, supone:

  1. Que a Google le es aplicable la normativa Europea sobre protección de datos, al vender y promocionar espacios publicitarios a los ciudadanos de un estado miembro de la UE. A este respecto, la sentencia indica: “….Pues bien, toda vez que dicha presentación de resultados está acompañada, en la misma página, de la presentación de publicidad vinculada a los términos de búsqueda, es obligado declarar que el tratamiento de datos personales controvertido se lleva a cabo en el marco de la actividad publicitaria y comercial del establecimiento del responsable del tratamiento en territorio de un Estado miembro, en el caso de autos el territorio español”… “basta por sí mismo para concluir que un establecimiento como Google Spain cumple el criterio recogido en el artículo 4, apartado 1, letra a), de la Directiva 95/46….”
  2. Responsable del Tratamiento.- Su motor de búsqueda determina los fines y los medios del tratamiento de datos personales, por tanto esa actividad que desarrolla constituye un tratamiento de datos de los que es Responsable. A este respecto, la sentencia indica: “en base al artículo 2-d de la directiva 95/46, hay que considerar que la actividad del buscador al rastrear páginas web supone un tratamiento de datos de carácter personal ya que “determina los fines y los medios del tratamiento de datos personales”….. “
  3. Derecho al olvido.- Que asiste al interesado a solicitar que se eliminen sus datos y referencias del motor de búsqueda, sin necesidad de que hayan sido eliminadas previamente por el editor. Todo ello salvo en caso de relevancia o interés público. A este respecto, la sentencia indica: “incluso un tratamiento inicialmente lícito de datos exactos puede devenir, con el tiempo, incompatible con dicha Directiva cuando estos datos ya no sean necesarios en relación con los fines para los que se recogieron o trataron. Éste es el caso, en particular, cuando son inadecuados, no pertinentes o ya no pertinentes o son excesivos en relación con estos fines y el tiempo transcurrido”….. “en el supuesto en el que se aprecie, tras una solicitud del interesado….”…… “que esta información…….es inadecuada, no es pertinente, o ya no lo es, o es excesiva en relación con los fines del tratamiento en cuestión realizado por el motor de búsqueda, la información y los vínculos de dicha lista de que se trate deben eliminarse”.

En definitiva, sentencia histórica, de la que esperamos pacientemente su aplicación y de los más de 220 recursos de Google contra resoluciones de la AEPD pendientes.

Sentencia que abre nuevos interrogantes como:

  • Qué pasará con las Redes Sociales, ya que les será de aplicación al igual que cualquier operador extranjero con filial en España.
  • Qué sucede respecto a otros derechos fundamentales, con la libertad de expresión….
  • Cómo afectará al esperado y ansiado Reglamento Europeo de protección de Datos.
  • Cómo se realizará la revisión de las peticiones….
EL VUELO DE DRONES. PRIVACIDAD Y OTRAS IMPLICACIONES LEGALES.

El vuelo de los Drones. Privacidad y otras implicaciones legales

EL VUELO DE DRONES. PRIVACIDAD Y OTRAS IMPLICACIONES LEGALES.

Futuristic Surveillance Drones Stock Image by Victor Habbick, in Freedigitalphotos

Teníamos acabado este artículo, cuando hemos leído la nota emitida hace 2 días por fuentes del ministerio de Fomento a través de la Agencia Estatal de Seguridad Aérea (AESA).

En dicha nota se indica que en la actualidad el vuelo de DRONES para uso civil profesional o comercial y la realización de trabajos aéreos, siempre que se realice dentro del espacio aéreo nacional, están y siempre han estado prohibidos.

Entonces: ¿para qué se puede usar un DRON?.

Seguramente muchos de vosotros habréis visto en la tele o incluso en la ciudad unos aparatos muy curiosos (llamado DRON o aeronave pilotada por control remoto), que con cuatro hélices, y menos de medio metro de diámetro, cruzan la calle, por encima del tráfico, y de la gente, dando vueltas, con la particularidad que algunos llevan una cámara incorporada, para hacer grabaciones desde el aire.

Recientemente, quedé con un amigo para ver un DRON que había comprado, con la intención de hacer grabaciones en eventos. Conforme me explicaba las capacidades del aparato, más sorprendido me quedaba, aun cuando ya sabemos que hay empresas como AMAZON que pretende darle un uso comercial de transporte de paquetería y por tanto de sus utilidades y bondades.

Como la profesión va por dentro, me puse a hablar con su piloto sobre las implicaciones legales que afectan a los DRONES, y en parte a cuestiones de protección de datos de las imágenes que grababan, y terminamos hablando de muchas otras cuestiones que les afectan, y que parece ser no quedan muy claras aún y ello fue lo que motivó el empezar a escribir este artículo.

Lo que hasta ahora decía o se interpretaba de la normativa:

Investigando la cuestión, me encontré con una noticia en la edición digital del periódico Levante EMV. En ella se planteaban los problemas con los que se encontraron unos operadores de DRONES para la grabación de imágenes de las FALLAS DE VALENCIA, cuando las autoridades les dijeron que no podían volar porque se violaba el espacio aéreo de la ciudad.  La empresa encargada de las grabaciones intentó por todos los medios conseguir una autorización para volar en el evento y no consiguieron resolver el asunto, por mucha intención que pusieron. “El Servicio de Circulación y Transportes y sus Infraestructuras del Ayuntamiento de Valencia les ha contestado que el consistorio no tiene competencias para permitir vuelos de aparatos no tripulados por la ciudad y remite al aeropuerto de Valencia, encargado de distribuir las servidumbre aéreas en la ciudad, para que les facilite los permisos”. Por su parte desde AENA, empresa que gestiona el aeropuerto, “asegura que no puede dar una autorización para el vuelo de los DRONES en la ciudad «al no existir normativa aplicable a estas actividades» y remite a los interesados a la Agencia Estatal de Seguridad Aérea, el organismo del Estado que vela para que se cumplan las normas de aviación civil en el conjunto de la actividad aeronáutica de España”. Y por tanto tendremos que atenernos a la normativa que regula la actividad aeronáutica.

El artículo 5 de la Ley 21/2003, de 7 de julio, de Seguridad Aérea, indica que será el Ministerio de Fomento el competente en materia de ordenación de las actividades y trabajos aéreos, así como de la aviación general y deportiva. Así mismo será competente para el otorgamiento de los títulos que habilitan a las personas y organizaciones civiles para la realización de actividades aeronáuticas civiles y el control del cumplimiento de los requisitos y obligaciones en cada caso exigibles. Por tanto y en mi opinión es ahí donde se debe hacer hincapié para conseguir una normativa específica sobre la materia.

En definitiva, hasta entonces y sin un procedimiento especifico para conseguir autorización, en el uso de DRONES parecía que había un vacío legal, que no estaba prohibido, pero tampoco legalizado.

Aclaraciones sobre la normativa aplicable y el uso:

Tras la nota publicada se aclara específicamente que un DRON, es una aeronave y por tanto se le aplica la misma legislación que al resto de aeronaves para uso civil. De modo que si es para actividades de recreo  o deportivas, son consideradas aeromodelos, y se rigen bajo su normativa.

Por tanto para poder volar por el espacio aéreo español es necesario una autorización previa por parte del organismo competente y la nota señala que “hasta que no esté aprobada la nueva normativa específica que regule el uso de este tipo de aparatos, AESA no puede emitir dichas autorizaciones porque carece de base legal para ello”.

AESA está trabajando en colaboración con la industria para elaborar una norma que contenga disposiciones particulares que permitan su vuelo con determinadas condiciones y limitaciones.

A fecha de hoy solo se podrán usar estos aparatos a nivel recreativo en los espacios habilitados en la normativa sobre aeromodelismo, considerando que desde el nivel del suelo hacia el cielo se supone espacio aéreo y por tanto le será de aplicación la legislación nacional, es decir, no podréis volar vuestros DRONES ni tan siquiera en vuestra finca o propiedades particulares abiertas.

En definitiva, fuera de los espacios de aeromodelismo, la única manera de hacer volar nuestro DRON será si lo hacemos en una propiedad privada y “techada”. A modo de ejemplo en ningún campo de fútbol español se podría emplear.

Privacidad y otras implicaciones legales; la LOPD:

Por ello, a los que hasta ahora habíais comprado estos apartaos con fines comerciales el único aprovechamiento real será cubrir eventos que se realicen en este tipo de recintos y en estos supuestos tendremos en cuenta además lo siguiente:

  • Responsabilidad civil por daños y perjuicios. Es de lógica pensar, que un aparato teledirigido, pueda perder el control, o pueda sufrir un accidente (ya se han producido), en el que se vean implicados tanto personas, como bienes de las mismas. En este sentido lo recomendable sería contratar un seguro de responsabilidad civil, bien el responsable del evento, bien el operador del DRON, para cubrir estos riesgos.
  • Derechos de imagen. Si se contrata los servicios de DRONES, actualmente y en la mayoría de supuestos es para grabar imágenes sobre ciertos eventos de interés. Y en ese sentido las imágenes pueden incluir la de las personas y sus bienes. Pudiendo afectar a la privacidad, derechos de imagen, intimidad, y honor sobre las mismas.

Por ello, se recomienda no grabar a nadie salvo que cuentes con su consentimiento, ya que entramos de lleno en materia de protección de datos de carácter personal. El asistente a un evento es la única persona que puede autorizar la grabación y difusión de su imagen. En este sentido deberá ser informado por el responsable del fichero de imágenes sobre la grabación, y en su caso difusión de la imagen, para que decida si quiere permitir su captación o no.

Aquí debemos distinguir quién va a ser el responsable del fichero de imágenes grabadas en eventos. Podremos encontrar diferentes supuestos.

El operador de DRON y de cámara, como persona que graba directamente la imagen, puede actuar en dos posiciones:

  • Responsable del fichero de imágenes, las imágenes captadas las podrán usar en su beneficio, bien sea en campañas de promoción de la empresa, o para editarlas y hacer su propio reportaje del evento. Y para ello deberán informar a los asistentes de que van a ser responsables del fichero, cuáles van a ser sus finalidades, posibilidad de cesión de las mismas, y donde efectuar los derechos ARCO sobre éstas.

El operador del DRON, deberá estar constituido como entidad con personalidad jurídica, y estar adaptado a lo dispuesto en la LOPD y su Reglamento de desarrollo. En cuanto a sus obligaciones legales, técnicas, y organizativas, en materia de tratamiento de datos de carácter personal.

  • Encargado de tratamiento. Las imágenes captadas serán usadas por  un tercero, diferente, normalmente el Organizador del evento. Y el responsable del aparato sólo será responsable de grabar las imágenes, y devolverlas a éste, con o sin edición. Pero en ningún caso podrá quedárselas. En este sentido será el Organizador y responsable del evento  el responsable del fichero, y de cumplir con lo mencionado anteriormente y estar adaptado a lo dispuesto en la LOPD.

Como obligación legal, y para regular esta situación, el art. 12 de la LOPD, indica que entre el responsable del fichero (Organizador), y el operador del DRON debe existir un contrato de encargado de tratamiento, en el que se indique bajo qué circunstancias se deben usar los datos en representación del organizador.

Ya tenemos claro que debemos informar sobre la captación y uso de imagen. Pero cómo lo hacemos. Lo más efectivo sería informar en la misma entrada al evento, bien con la entrada en papel, de modo electrónico, o mediante la colocación de carteles informativos en la puerta de acceso. En este último caso se deberían tener formularios en la entrada a disposición del público, como mínimo de manera que puedan ser impresos en el momento.

En conclusión, y como vemos muy a menudo, las tecnologías avanzan más rápido que las leyes, y hay situaciones que aun no podemos salvar, pero para las que sí que podemos vuestra asesoría en materia de protección de datos y comercio electrónico, Eurovima, está a vuestra disposición.

 

Escrito por Aurelio J. Martínez Ferre
Abogado, Consultor en derecho y nuevas tecnologías.

Formación, LOPD y LOPDCOSTECERO; Quien nada hace, nada teme

Este artículo está dedicado a nuestros CLIENTES y a los compañeros de profesión que sufren el COSTECERO.

 

GRACIAS CLIENTE de Eurovima, os agradecemos el pago de nuestros servicios, eso dice mucho de vosotros.

lopdcostecero-300x120Hola, hoy nos ponemos más serios que nunca y no es para contar o informar sobre algo relativo al Comercio Electrónico, a la privacidad, intimidad, menores o la LOPD o LSSI, se trata de lograr una mayor divulgación de un problema que a muchas empresas/profesionales nos afecta; el fraude llamado LOPDCOSTECERO.

Queremos haceros llegar una reflexión sobre un tema que afecta a nuestra actividad profesional (y a todos los que pagamos impuestos) y que en estos últimas tiempos ha sido mencionada en la prensa, ya que en este caso afecta a entidades de renombre y eso vende mucho…..Se trata de los famosos cursos de formación a trabajadores subvencionados por unos créditos que las empresas obtienen y que en muchas ocasiones las empresas destinan al pago de servicios, firmando que se han impartido dichos cursos. Aunque es algo que lleva años produciéndose en el sector, apenas ha tenido eco y eso que desde asociaciones como APEP, Asociación Profesional Española de Privacidad, se viene haciendo lo indecible (os dejamos alguna muestra),  y …. Ahora si tiene eco quizás el motivo sea que ¿vende más si la noticia afecta a un organismo reconocido que la noticia en sí?.

Hablamos de “atajos” para lograr vender servicios, valiéndose de unos fondos de formación que se destinan de manera ineficiente, pues lo único que importa (no en todos los casos, ojo) es facturar, pues la formación en sí del trabajador, es lo de menos….. y así nos luce el pelo.

Esta práctica afecta a los profesionales del sector que nos dedicamos al cumplimiento legal relativo a la protección de datos y al comercio electrónico, el fraude llamado LOPDCOSTECERO, pero que también afecta a otros sectores como: Calidad, prevención de riesgos laborales, blanqueo de capitales, etc.

La cuestión es simple: cómo puede competir una empresa como EUROVIMA que ofrece estos servicios con otra que los ofrece a cambio de usar ese crédito de la formación como pago y todo ello con independencia de la calidad/servicio prestado, que evidentemente será inferior pues alguien que tiene esos principios por bandera con suerte nos dará lo “justito” y que de paso deja a nuestra profesión en mal lugar.

Vamos que si EUROVIMA te ofrece sus servicios a cambio de X euros, frente a otros que te ofrecen “lo mismo” a cambio de firmar unos papeles, con los tiempos que corren, de crisis económica pero también de crisis de valores, pues eso supone que cerca de un 20% de nuestras ofertas se las lleven los “listos” que usan esos atajos.

Afortunadamente también nos encontramos con clientes potenciales que no quieren saber nada de estos temas, pues “lo gratis suele salir caro”.

En fin, hablamos de competencia sana, no desleal pero también que los actores que intervienen en estos temas, sobre todo los entes públicos y afines al sistema, hagan bien su trabajo y que no se aprovechen de su posición.

Que si hay irregularidades se sancionen duramente estas prácticas, que a nosotros nos han ofrecido en alguna ocasión y que JAMÁS HEMOS ACEPTADO, por eso el encabezado de: “QUIEN NADA HACE, NADA TEME”.

Agradecemos que se comparta y también vuestros comentarios y si sabéis de este tipo de prácticas, os podemos decir como denunciarlas de manera anónima, ya que desde EUROVIMA nos resistimos a pensar que no se puede hacer nada, cuando menos que no sea por intentarlo. GRACIAS

PD.- Sabemos de un caso en el que ofrecen la mitad del importe del crédito que dispone la empresa, en dinero de una tarjeta de unos grandes almacenes (que nada tienen que ver con el tema).

Os dejamos el enlace al Comunicado de La Fundación Tripartita para la Formación en el Empleo; Utilización de bonificaciones para LOPD – Nota informativa que habla de este tema (ENLACE)

Protección de datos: Resumen y conclusiones de 6ª Sesión Anual Abierta de la AEPD

El pasado viernes 14 de marzo de 2014, en el marco incomparable del Teatro Real de Madrid, se ha celebrado la 6ª Sesión Anual Abierta de la Agencia Española de Protección de Datos (AEPD) con un aforo completo, como cada año, de unos 1.200 profesionales de la privacidad y la protección de datos.

La cita suele servir para escuchar de la propia AEPD los aspectos más relevantes que se han producido en el último año y que nos den su opinión sobre dichas cuestiones, por otra parte también esperamos que nos cuenten o adelanten alguna novedad, aunque la verdad es que hemos salido algo defraudados pues las novedades han sido escasas y lo expuesto ha sido una mera y rápida puesta en escena de la memoria que cada año publica la AEPD.

Abrió la jornada el Director de la AEPD, D. José L. Rodríguez Álvarez, de cuya intervención resaltamos:

  1. Que no se aprobará el Reglamento Europeo, cuando el año pasado el mensaje fue que “había voluntad política para que antes de que finalice la presente legislatura europea se aprobase”.
  2. Que la información personal adquiere cada vez un mayor valor económico por sí misma.
  3. El aumento en la desconfianza en el desarrollo de la actividad económica digital y la privacidad por los acontecimientos del último año solo pueden ser reparados con más garantías. El Director señaló que en principio la Agencia no tiene competencias, aunque han participado en las solicitudes de información presentada por el Grupo de trabajo del Artículo 29.
  4. Creación de una guía de evaluación de impacto (PIA), que califica como una metodología madura, si bien solicitan nuestra colaboración para completar su contenido.
  5. Que el internet de las cosas, Drones y Big Data son los 3 grandes retos venideros en privacidad.
  6. Sobre las Cookies, que hay 16 procedimientos abiertos de los 28 iniciados y habrá un nuevo régimen sancionador que incluirá el apercibimiento.

Del resto de exposiciones, además de los merecidos premios en materia de privacidad y de que en 7-8 meses solo se haya notificado una brecha de seguridad, de manera resumida destacamos lo siguiente:

COOKIES.- Además de desgranar la única sanción publicada, apenas se aportaron datos nuevos salvo:

  1. Que de momento solo se sanciona la falta de información.
  2. Que la agilidad a la hora de subsanar errores es tenida en cuenta por la Agencia.
  3. Se confirma el nuevo régimen sancionador.

REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS.- Que si bien hay avances, pues ya ha pasado por distintos trámites parlamentarios, el que se retrase es un secreto a voces, y el espionaje masivo aireado (que no descubierto) seguro que tiene mucho que ver como “causa-efecto” en la brecha de la desconfianza generada. 

PIAs.- Se anunció una guía para las evaluaciones de impacto en materia de privacidad, identificando y evaluando riesgos desde el inicio, es decir, desde el diseño. La intención es dar respuestas al qué/cómo/quién, con el respaldo de la dirección y con la participación de perfiles mixtos y actores internos/externos. Se partirá de un documento de mínimos que se completará con las aportaciones de la consulta pública.

INFORMES Y SENTENCIAS RELEVANTES.- Destacar el incremento en el número de informes y la detallada exposición de las sanciones a Google y sus expresiones condicionales del tipo: “podremos; podrá; es posible” incluidas en su política de privacidad. Además, la Agencia ha constatado que Gmail filtra correos y ficheros anexos para enviar publicidad.

CONSULTAS.- Aunque habrá que verlas en detalle cuando sean publicadas en la web de la Agencia, destacar que si publicas un video en tu perfil de una red social que al ejecutarse lleve a un tercero que instale cookies, deberás obtener el consentimiento informado para dicha instalación.


NUESTRAS CONCLUSIONES:

En un mundo TIC en constate evolución, el legislador se mueve muy lento y demasiado presionado, de manera que cuando llegue el ansiado Reglamento Europeo, este ya habrá quedado desfasado.

Con las COOKIES y la sanción a Google nos encontramos en el “día de la marmota”, una extensa exposición de algo de sobra conocido. No obstante, destacar sobre las cookies la consulta mencionada sobre la publicación de un video en red social ejecutado en plataforma de un tercero, que como diría el Maestro Luis Aragonés (si cambiamos la palabra ganar) la frase sería: “Informar, informar y volver a informar”.

Que estamos ante una guía de evaluación de impacto (PIA) versión 0.1, esperando que no se convierta en un mero informe interno más de la empresa, un informe que se moldee para que no se parezca mucho a la guía, y se guarde para mostrar ante una posible inspección. Como curiosidad, nos preguntamos si las aportaciones de la consulta pública tendrán el mismo eco publicitario sobre aquellas personas/organizaciones que hagan aportaciones significativas, como ya ha ocurrido con otras guías.

Sobre lo señalado en la exposición de las funciones de la SEDE ELECTRÓNICA de la Agencia, llegamos a la conclusión que según la AEPD el cumplimiento normativo es “gratis” ya que la Agencia en su página web pone a disposición toda la información y el material necesario para hacerlo. Que la intención de la Agencia siempre ha sido la de conjugar proximidad/accesibilidad con gratuidad, pero como dice el anuncio: para todo lo demás; EUROVIMA CONSULTING, o cualquiera de los profesionales en materia de asesoría de protección de datos (LOPD) que nos hemos citado en Madrid, o los repartidos por España.

PD.- No queriendo dar ideas, esperemos que siga siendo gratis, sobre todo sin aplicar tasas a las denuncias ante la AEPD.

En Protección de Datos, asumir la culpabilidad y alegar un error no indulta la sanción de AEPD (1.200€)

photo credit: David Feltkamp via photopin cc

photo credit: David Feltkamp via photopin cc

Hace poco, en concreto en diciembre de 2013, escribíamos un artículo titulado: “Si un Cliente es baja de tu newsletter, no le envíes más correo. Sanción de la AEPD y hoy nuevamente volvemos a escribir para incidir en una situación muy similar, que concluyó con una sanción de 1.200€ de la Agencia Española de Protección de Datos (AEPD).

Hablamos de la enésima sanción de la AEPD por el envío de correos comerciales no solicitados, lo que se conoce como “spam” (todo tipo de comunicación no solicitada, realizada por vía electrónica).

En este caso, queremos resaltar que por una parte el denunciado reconoció su culpabilidad y por otra los argumentos que el denunciado alegó para tratar de librarse de la multa. Pero antes de entrar a valorarlos, vayamos por partes.

La denuncia:

Nos encontramos ante el “típico” caso de una persona que recibió un par de correos electrónicos (comunicación comercial) de una empresa de la que nunca había sido cliente ni había mantenido contacto alguno, a la que posteriormente les notificó mediante un email que le diesen de baja de su base de datos e indicasen cuando les había autorizado para recibir su publicidad.

Según la denunciante, no obtuvo respuesta y siguió recibiendo sus emails (hay que recordar que la LSSI en su artículo 21 prohíbe las comunicaciones comerciales no solicitadas o expresamente autorizadas).

La Agencia solicita información a la entidad, señalando que la dirección IP desde la que se enviaron los correos, estuvo asignada esos días y a esas horas a la denunciada (verificando lo indicado en la denuncia).

Las alegaciones de la Entidad denunciada:

Como respuesta a la solicitud de información del inspector de la AEPD, la empresa denunciada remitió un escrito en el que manifestaron, entre otras cuestiones, lo siguiente:

  • Que la dirección de correo electrónico de la denunciante se incluyó por error de un miembro de su personal en dos correos informativos que remiten frecuentemente a antiguos clientes, clientes que les solicitan información y empresas con las que tienen una relación habitual.
  • El origen del dato de la dirección de correo electrónico es una consulta realizada en Internet, aunque no disponen de acreditación del consentimiento prestado por el reclamante para la remisión de correos comerciales.
  • No han recibido solicitud alguna del reclamante solicitando el ejercicio de derechos ARCO.

Posteriormente la AEPD inició procedimiento sancionador por la presunta infracción del artículo 21 de la LSSI, tipificada como leve (cuya sanción puede llegar a los 30.000€), a la que la denunciada presentó alegaciones, reiterando y reconociendo que “por error de un miembro de nuestro personal la dirección de correo electrónico a la que se hace referencia se incluyó en dos de los correos informativos que remitimos frecuentemente a antiguos clientes, clientes que nos solicitan información …“  y que “ha existido un error puntual en el proceso de tratamiento de la información y rogamos tengan en consideración que no se ha actuado en ningún caso de mala fe. Así mismo esta empresa aumentará sus esfuerzos por controlar las actuaciones de nuestro personal en el cumplimiento de la normativa.…”.

Una vez la entidad denunciada reconoce los hechos, la agencia resuelve y le sanciona con 1.200€, aplicando una disminución en la cuantía de la sanción:

Al haber reconocido los hechos y la responsabilidad derivada,  y en aplicación del artículo 8.1 del Real Decreto 1398/93 que señala que “Iniciado un procedimiento sancionador, si el infractor reconoce su responsabilidad, se podrá resolver el procedimiento, con la imposición de la sanción que proceda”, la Agencia resuelve desestimar su alegato sobre que “obtuvo la dirección de correo destinataria de la red internet….de una fuente accesible al público (la página web de la denunciante)”, ya que la AEPD considera que “ni tenía la autorización previa y expresa y tampoco una relación comercial previa y por tanto ha resultado probado que el denunciado envío dos comunicaciones comerciales por medios electrónicos incumpliendo lo dispuesto en el art. 21.1 de la LSSI”.

No obstante, la Agencia aplica los criterios de graduación de las sanciones ante la ausencia de intencionalidad, de perjuicios causados y de los beneficios obtenidos por la entidad denunciada imponiendo una sanción de 1.200 €.

En definitiva, asumir el error ha servido para que la Agencia simplificase el procedimiento, pero no para considerar las alegaciones de que se trató de un “error” cometido por un empleado o que tuviese legitimidad para el envío por el simple hecho de  que el origen del dato de la dirección de correo electrónico fuese una consulta realizada en Internet.

Una vez más, queremos recordar a nuestros lectores y Clientes, ser muy cuidadosos con la gestión de las suscripciones a los boletines o newsletter, al igual que en la atención de los derechos ARCO (acceso, rectificación, cancelación y oposición de datos). Hay que seguir los procedimientos previstos y recogidos en el documento de seguridad y sobre todo, que es mejor una consulta previa a nuestro servicio de asesoría para valorar las implicaciones normativas tanto de la LOPD como de la LSSI, respecto a cualquier acción o campaña de marketing que suponga una comunicación comercial.

 

Enlace a la Resolución de la AEPD: PS-00598-2013

 

La AEPD sanciona con 6.000€ a aseguradora por revelar datos del consorte al cónyuge

Antes de entrar a comentar la resolución de la AEPD (PS-00424-2013) que concluyó con una sanción de 6.000€, nos haremos la siguiente pregunta: ¿podría acceder un cónyuge a los datos de su pareja sobre los planes de pensiones o seguros contratados por el otro?.

Los hechos que motivaron la denuncia ante la AEPD

Una pareja casada, presentó sendas reclamaciones, cada uno por su lado, ante la compañía aseguradora con la que tenían contratado un plan de pensiones porque ésta no les informaba sobre la rentabilidad de los mismos. Se da la circunstancia que cada uno de ellos tenía como asegurado y como beneficiario al otro. Finalmente la aseguradora respondió a cada uno de ellos por separado, pero informando en cada una de las comunicaciones sobre la rentabilidad de los dos planes tal y como señala la resolución “no solo la información relativa a su Plan, sino también la relativa al Plan de su cónyuge”.

Esta acción que en principio pudiera parecer lógica, tiene una compleja y variada fundamentación legal.

Si repasamos el Código Civil, en su artículo 71 indica que ninguno de los cónyuges puede atribuirse la representación del otro sin que le hubiere sido conferida. Sin embargo y para el régimen económico matrimonial de la sociedad de gananciales, situación económica  en la que se encuentran gran mayoría de los Españoles, el artículo 1.375 indica que en defecto de pacto en capitulaciones, la gestión y disposiciones de los bienes gananciales corresponde conjuntamente a los cónyuges. Esto implica que un Cónyuge podría solicitar datos del otro siempre que los mismos puedan incluirse dentro de la administración de bienes gananciales, y con finalidad de gestionar los mismos. Pero es que además la misma norma en su artículo 1.346, apartado 5, indica que los bienes y derechos patrimoniales inherentes a la persona y los no transmisibles inter vivos se consideran bienes privativos.

Desde la perspectiva de la LOPD, ¿cuál ha sido el incumplimiento?.

En el artículo 10, la LOPD obliga al responsable del fichero a guardar secreto sobre los datos de los clientes que se están tratando y que el responsable del fichero (la empresa denunciada) o quienes intervengan en cualquier fase del tratamiento de los datos almacenados no puede revelar ni dar a conocer su contenido teniendo el deber de guardarlos.

Además el artículo 9 obliga al responsable del fichero a adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado.

El incumplimiento lo encontramos claramente reflejado en la resolución: “Por tanto, no ha actuado con la diligencia debida al no comprobar correctamente los datos y documentos remitidos a cada uno de los denunciantes, por lo que debe considerarse que ha vulnerado el artículo 10 de la LOPD”, “al enviar a cada uno de los denunciantes carta en la que constaba no solo el nombre y apellidos del cónyuge, sino también el Certificado de Pago de Primas y la Información Trimestral de Plan de Previsión Asegurado contratado por cada uno de ellos, información que había sido solicitada individualizadamente por cada uno de ellos en reclamación de 29/08/2012, sin que hubiese obtenido el consentimiento o autorización de los denunciantes para la revelación de los mismos, conculcando el deber de secreto recogido en el citado artículo 10 de la LOPD, por lo que su actuación ha de ser merecedora de sanción.

Resolvamos la pregunta planteada al inicio: ¿podría acceder un cónyuge a los datos de su pareja sobre los planes de pensiones o seguros contratados por el otro?.

Atendiendo a las normas mencionadas, la respuesta es NO.

Con respecto a la legislación civil, el fundamento legal es que se trata de un derecho inherente a la persona, no transmisible inter vivos, del que no se tiene representación, por resultar un derecho privativo, y por tanto no entra dentro del régimen económico matrimonial de gananciales.

Con respecto a la LOPD, la sanción impuesta por la AEPD a la aseguradora, ha sido por el incumplimiento del mencionado deber de secreto, no obstante la Agencia ha considerado la peculiaridad del caso, aplicando una graduación (disminución) en la sanción, que finalmente ascendió a 6.000€, una vez valorados los criterios de graduación de las sanciones que la LOPD contempla, tanto favorables como adversos, que en este caso han sido los siguientes:

  1. Adverso.- La resolución señala que se “trata de una gran compañía aseguradora por cuota de mercado; todo ello, en vez de atenuar su responsabilidad, le impone un mayor deber de diligencia en su actuación”.
  2. Favorable.- Por otra parte la AEPD entiende que “concurre en el presente caso una cualificada disminución de la culpabilidad de la compañía aseguradora, pues si bien incluyó en la comunicación dirigida a cada uno de los denunciantes información del Plan del respectivo cónyuge, información que era absolutamente prescindible; sin embargo, los citados denunciantes son cónyuges, la reclamación de los mismos ante la oficina de Algeciras se realiza simultáneamente en la misma fecha, su contenido es prácticamente idéntico, tienen la misma dirección y son beneficiarios de los respectivos Planes”.

En conclusión podemos responder a la pregunta inicial y asegurar que sí que pueden existir secretillos en el matrimonio y que la próxima vez atiendas con mayor rapidez las solicitudes de información de tus clientes, o de lo contrario aprovecharán cualquier “error” para “ajustar” cuentas.

Como siempre, estaremos encantados de recibir vuestras opiniones.

 

 

COOKIES y “la Ley seca”, que hay detrás de la “Ley de Cookies” - Eurovima Consulting

Primera sanción a web en España por mal “uso” de cookies; 3.500€

COOKIES y “la Ley seca”, que hay detrás de la “Ley de Cookies” - Eurovima ConsultingComo señala la resolución: “Una cookie es un fichero de texto que se descarga en el equipo terminal del usuario para almacenar en el mismo durante la navegación en Internet ciertos datos con una o varias finalidades, siendo un tratamiento especialmente intrusivo cuando el responsable de su instalación, actualización y recuperación recoge y trata la información almacenada en la cookie sin informar y sin contar con el consentimiento del usuario para ello”.

Los antecedentes:

Dicho esto, hay que recordar que el pasado mes de agosto nos hacíamos eco de la noticia: el inicio de un primer procedimiento sancionador de la Agencia Española de Protección de Datos (AEPD) contra una empresa por no cumplir con lo establecido en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, conocida como LSSICE o LSSI y concretamente con el artículo 22.2 modificado por Real Decreto-ley 13/2012, de 30 de marzo;Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos”.

En septiembre escribimos un primer artículo: COOKIES y “la Ley seca”, que hay detrás de la “Ley de Cookies” en el que explicábamos que un mes después del revuelo inicial, un montón de artículos y opiniones posteriores, esperábamos impacientes a la resolución de la AEPD (que por fin ha llegado) al objeto de tratar de resolver cuestiones como:

  1. ¿Qué hay detrás de la “Ley de Cookies”?
  2. Ver si con la resolución del procedimiento tendríamos más claro “qué y cómo” hacer para cumplirla, por supuesto, al menor coste posible para todos.
  3. Por último, que queda claro que para el Usuario pasa inadvertida la finalidad de la norma, y se trata de un texto que molesta en la visualización de la Web.

 

La Resolución de la Agencia

Una vez conocida la resolución (R/02990/2013), podemos resumir los aspectos más destacados en:

  1. La Agencia recomienda ofrecer la información en dos capas, que deben cumplir una serie de requisitos. La información que se considera necesaria debe ser “completa y clara, en especial en cuanto a la tipología de cookies realmente utilizadas, finalidad de las mismas, e identidad de quienes instalan y utilizan las cookies”. El incumplimiento de estos requisitos “Invalidaría el consentimiento que pueda ser prestado por los usuarios al “Aceptar” la “Política de Cookies” o seguir navegando por los sitios web”.
  2. Para que el consentimiento para la instalación sea válido la información debe ser correcta. La aceptación de esta información puede realizarse bien mediante la aceptación expresa, al pinchar sobre un enlace; o presunta, si se continúa navegando por la Web.
  3. La configuración previa del navegador para la aceptación de la instalación de las mismas, siempre que sea técnicamente posible, se considera suficiente, siempre que la información ofrecida sea correcta.
  4. Se debe ofrecer la posibilidad de desinstalar las Cookies, así como el borrado de la información almacenada por éstas.
  5. La Agencia considera que se ha incumplido el artículo 22.2 de la LSSI, tanto al inicio del procedimiento como con las modificaciones adoptadas por los inculpados durante la tramitación del mismo. Esto implica que una vez iniciado el procedimiento, la modificación de las cláusulas sólo sirve para atenuar la sanción por reparación del daño y no para evitar la misma.
  6. Que pese a que el consentimiento debe ser previo a la instalación de las Cookies y a quedar demostrado que existe un doble incumplimiento, solo sanciona la falta de las obligaciones de información, aunque se haya probado que la instalación de las cookies se realizó sin mediar el consentimiento previo informado, pues la vulneración de este requisito previo a la instalación de cookies no resulta sancionable (no recogido en la redacción del artículo 38.4.g).
  7. La AEPD atenúa la cuantía de la sanción, pero no puede aplicar el apercibimiento (opción que en casos “similares” que afectan a la LOPD se ha aplicado) pese a que no apreció intencionalidad, no habían sido apercibidas/sancionadas con anterioridad, pese a que adoptaron medidas tratando de subsanar las carencias o que no se lucraron de su infracción de manera directa (solicitó su facturación directa por ese medio del último año) pues no está contemplado en el régimen sancionador de la LSSI (sí en la LOPD).

 

Las sanciones:

Finalmente las sanciones han sido de 3.000€ para una empresa, y 500€ a otra por una infracción del artículo 22.2 de la LSSI, tipificada como leve en el artículo 38.4.g) de dicha norma.

La resolución también sanciona a una de ellas, por no informar a los Usuarios sobre el tratamiento de sus datos en su formulario de contacto, como obliga el artículo 5.1 y 5.2, con 1.500€, aplicándole una rebaja en la cuantía pero no así el apercibimiento solicitado, ya que considera que dicho incumplimiento afectaba a todos los sitios web de su titularidad (7 en total).

 

Y ahora qué?

Desde EUROVIMA, una vez informados de manera general, lo siguiente será revisar cliente a cliente como se está gestionando el uso de las cookies, señalando las acciones y las medidas oportunas que se han de adoptar.

Para el resto, la respuesta la podemos encontrar en la propia web del denunciado, en donde nos encontramos una política de cookies extensa y aparentemente muy completa, tan completa que seguramente será INSANCIONABLE, permítannos la expresión, pero que nos lleva al planteamiento inicial de que harán los usuarios ante tantas palabras y palabros juntos; pues darle a aceptar, por supuesto.

En cualquier caso, no volvernos locos y pensar que debemos distinguir entre aquellas páginas web que hacen Comercio Electrónico, admiten publicidad o permiten la recogida de datos relacionados con sus equipos y perfiles de navegación, al objeto de usarlos o facilitárselos a terceros, para realizar acciones de marketing en base a los datos recogidos, ya que al fin y al cabo, eso tratan de lograr quienes nos instalan esas cookies. Estas web frente al resto (+-90% de las páginas web, hoy en día) cuyas cookies tendrán una finalidad simple, como conocer el número de visitantes, procedencia, los tiempos, las páginas visitadas, etc…

Y por supuesto, además habrá que poner énfasis en el tipo de producto o servicio que ofrecen/venden ya que el tipo de datos que pretendan recabar puede ser muy sensible (salud, creencias, sexuales, etc).

Por tanto, lo primero que les recomendamos es que sus proveedores de servicios o alojamiento les informen de que cookies están usando y para qué, recordando que usar cookies, no significa que se almacene y por tanto traten datos de carácter personal.

 

Y entre tanto, nos hacemos nuevas preguntas:

¿Cuántas denuncias pendientes de resolución pueden estar en marcha en la Agencia?. Pues parece que varias, según publican algunos medios 19.

¿Usamos los ciudadanos la LOPD y la LSSI para ajustar rencillas personales/profesionales?. Pues por lo visto en este caso y las múltiples consultas que nos llegan, podemos afirmar categóricamente que SI y nos tememos que cada vez más, aunque muchos se desilusionan al saber que ellos no recibirán compensación económica por la sanción de la AEPD y que eso supone ir por otra vía (que ya le implica un coste).

¿Qué coste supondrá para las pymes o profesionales, cumplir con este aspecto?. Ya hemos leído que habrá quien ofrezca el cumplimiento a cambio de un curso coste0 y obsequio un jamón pata negra (pero cuidado¡¡¡¡ que seguro no será pata negra).

Como siempre nuestro servicio de asesoría en protección de datos se pone a vuestra disposición, eso sí, sin entregar jamones ni a cambio de LOPD COSTE0.

Foto: Frédéric BISSON de Flickr

¿Pueden las comunidades de vecinos publicar morosos en su tablón de anuncios?

www.freedigitalphotos.net

www.freedigitalphotos.net

Por mucho que se empeñen las comunidades de vecinos en sus recursos ante la Agencia Española de Protección de Datos (AEPD), no hay justificación alguna que les ampare para publicar datos de sus vecinos morosos en el tablón de anuncios de la comunidad salvo que puedan acreditar que ha existido de manera previa intentos de notificación al deudor y por tanto dejando constancia de no quedarle otra opción.

Este aspecto queda reflejado en que de los 16 Recursos de Reposición sobre Procedimientos de Apercibimiento publicados por la AEPD con fecha de resolución en 2013, cinco de ellos fueron motivados por este  incumplimiento y los 5 recursos fueron desestimados.

El deber de secreto y la cesión de datos

La AEPD en sus resoluciones de apercibimiento consideró el incumplimiento del artículo 10 de la LOPD por parte de las comunidades de propietarios, que establece que “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero, o en su caso, con el responsable del mismo”.

Recordemos que, la finalidad del artículo 10 es la del deber de guardar secreto, y por tanto evitar que se realicen filtraciones de los datos no consentidas por sus titulares, siendo ilícita la comunicación a cualquier tercero, con independencia de la relación que mantenga con él la persona a la que se refiera dicha información.

Por ello, su publicación supone una cesión de datos de carácter personal según establece la LOPD en su artículo 3 (toda revelación de datos realizada a una persona distinta del interesado) si bien el artículo 11 establece que será posible la cesión inconsentida de los datos en caso de que la misma se encuentre amparada o fundamentada en lo establecido por una norma con rango de ley (artículo. 11.2 a LOPD), en este caso recurriendo al amparo de las obligaciones impuestas por la Ley de propiedad Horizontal (LPH).

¿Cómo debe actuar la Comunidad?

El artículo 16.2 de la LPH en su objetivo de lograr que las comunidades de propietarios puedan legítimamente cobrar lo que les adeudan los copropietarios, permite dar publicidad a través de la convocatoria de la Junta de propietarios de aquellos que no se encuentren al corriente en el pago de las deudas. No obstante para hacerlo público en un tablón de anuncios (bajo llave) será obligatorio acreditar los intentos previos que no han logrado la notificación al deudor y dejar constancia de no existir otra alternativa posible.

Además, hemos de tener presente que dicha publicación ha de cumplir con una serie de requisitos formales adicionales y que como máximo permanezca publicada sólo durante el tiempo estrictamente necesario para que produzca plenos efectos jurídicos, es decir, los tres días naturales que establece el artículo 9.h de la LPH.

En los 5 casos desestimados por la AEPD se ha dado la circunstancia de no haber acreditado la imposibilidad de notificar por medios alternativos dicha deuda, considerando la AEPD en todos los procedimientos que el tablón de anuncios de la Comunidad es susceptible por su ubicación, del acceso público de terceras personas ajenas a la Comunidad de propietarios, como personas alquiladas o visitas de cualquier tipo y por tanto incumple el deber de secreto.

Cuando se habla de la conveniencia de que las comunidades de vecinos realicen las actuaciones que tengan que ver con el tratamiento de datos de carácter personal de sus vecinos y el cumplimiento de la LOPD, no solo se trata de aplicar el sentido común, hemos también de aplicar la normativa en la materia.

Como de costumbre, esperamos vuestros comentarios y que nos consultéis cualquier duda sobre el tema, haciendo uso de nuestros servicios de Asesoría.

Enlace a los procedimientos: