Entradas

Las sanciones de la AEPD del último trimestre ascienden a 5,5 millones de euros

Las sanciones de la AEPD del último trimestre ascienden a 5,5 millones de euros

Éste post parte de los dos artículos que escribimos el pasado mes de julio (Si tu LOPD te la lleva otro, asegúrate de ello o te costará caro (6.500€ de multa) Si la AEPD te tira de las orejas, no hagas oídos sordos y atiende su solicitud o prepara 6.500€) en los que destacábamos 2 sanciones de la Agencia Española de Protección de Datos (AEPD), publicadas con apenas 3 días de diferencia a sendos establecimientos por no hacer caso de apercibimiento, cuyas cuantías eran idénticas (6.500€) y ambas por ignorar las “advertencias” de la AEPD respecto a infracciones de videovigilancia.

Periódicamente revisamos las Resoluciones de Procedimientos Sancionadores que la AEPD publica en su página web y a raíz de esos dos artículos, decidimos que sería interesante revisar y hacer un pequeño análisis de las resoluciones publicadas en los 3 últimos meses, es decir, mayo, junio y julio (la ultima con fecha 30-7-2013).

Aunque lo cierto es que no vamos a contar muchas novedades, cuando menos sí podemos decir que las actuaciones de la Agencia siguen la senda marcada por las de años anteriores y en todo caso, les animo a seguir leyendo pues entendemos que hay información para los amantes de la LOPD y LSSI que les resultará de interés.

Aunque faltan pocas fechas, o eso suponemos, para que la AEPD publique la Memoria 2012, hemos considerado que no estaría mal hacer un pequeño análisis de cómo evolucionan las sanciones en el 2013, su cuantía y cómo se desarrolla la aplicación de los apercibimientos y en qué casos, cuántas se archivan, a qué sectores afectan, etc.

Como hemos indicado, después de revisar las 174 resoluciones lamentablemente no podemos ofrecer “grandes titulares”, ni tampoco un análisis exhaustivo, ya que unas vez revisadas detenidamente hemos considerado que no es posible confrontar los datos y compararlos con el periodo anual 2011 (última memoria publicada por la AEPD) no sólo por razones de hacer una análisis trimestral, sino también por no poderlos comparar con los del año pasado y valorar su evolución real.

En todo caso, sí podemos ofrecer los datos globales de estos tres meses que a modo de resumen son:

  1. El número de resoluciones publicadas entre mayo, junio y julio de 2013 ha sido de 174.
  2. La cuantía de las resoluciones que han finalizado en sanción asciende a 5,5 millones de euros.
  3. El número de resoluciones del sector de telecomunicaciones fue de 104 (60% del total) cuya cuantía de las sanciones asciende a 4,1 millones de euros (74% del total).
  4. El número de resoluciones del sector bancario fue de 22 (13% del total), con una cuantía de las sanciones que asciende a 538.000 euros (10% del total).
  5. De las 174 resoluciones 23 no supusieron sanción (13% del total), pues 21 fueron archivadas y 2 terminaron en apercibimiento.

En cuanto a los artículos infringidos, cabe destacar lo siguiente:

  1. El número de resoluciones más veces repetida por incumplimiento de la LOPD hace referencia al artículo 4.3, con un total de 95 resoluciones (55% del total) siendo la cuantía de las sanciones de 4,2 millones de euros (76% del total).
  2. El artículo 6.1, ha sido infringido en 55 resoluciones (32% del total) siendo la cuantía de las sanciones de casi 2,7 millones de euros (49% del total).
  3. El artículo 21 de la LSSI, ha sido infringido en 20 resoluciones (11% del total) aunque la cuantía de las sanciones es baja, la mayoría de 600€.
  4. El número de resoluciones por no cumplir con el apercibimiento (Artículo 37.1.f) de la AEPD fueron 7 (4% del total) con una cuantía total de las sanciones de 35.000 euros (0,6% del total).

En definitiva, que las sanciones a la banca y sobre todo a las operadoras de telecomunicaciones, constituyen casi el 75% de los procedimientos sancionadores y se corresponden con el 84% sobre el total de la cuantía de las multas impuestas.

Que las reclamaciones presentadas ante la AEPD por la inclusión de deudas en ficheros de morosidad que no debieron ser tratadas como tales, en muchos casos (22 de los 25) terminan en sanciones en las que se resuelve que se han infringido los artículos 4.3[1] (principio de calidad de los datos) y 6.1[2] (consentimiento del afectado), suponiendo en estos casos una sanción doble por una cuantía de 50.000€, si bien en casi la mitad de las mismas se ha considerado una reducción del importe por aplicación del artículo 45.5 de la LOPD.

Otras de las resoluciones que más se repiten, son aquellas en las que se vulnera el artículo 4.3 en relación con el 29.4[3] (prestación de servicios de información sobre solvencia patrimonial y crédito), de las que podemos determinar que no se cumple que dichas entidades hayan actuado ante la existencia previa de una deuda cierta, vencida, exigible, que haya resultado impagada y respecto de cuya existencia o cuantía no haya entablado el deudor reclamación judicial, arbitral o administrativa.

Que el artículo 21 de la LSSI, ha sido de los más infringidos aunque la cuantía de las sanciones es baja, la mayoría de 600€ ya que se trata de “entidades pequeñas”, salvo una sanción de 30.001€ a un Banco, siendo el motivo principal de las sanciones, el envío de correos sin acreditar autorización previa y expresa, ni relación previa y en menor medida se sanciona el envío de SMS sin incluir un medio de oposición, es decir, hacer lo de toda la vida, envíos comerciales que todos tenemos constancia que algunas empresas continúan haciendo sin “haberles invitado”.

En este nuevo repaso, hemos vuelto a leer algunas resoluciones llamativas, entre la que destacamos la PS-00747-2012 de la que en su momento ya nos había alertado Jesús Pérez Serna en su post “El spam más absurdo jamás visto”, un caso en el que se produce una transmisión vía fax de nueve mensajes comerciales no solicitados a dos líneas titularidad de la propia AEPD, produciéndose una vulneración de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones (LGT) por infracción del artículo 38.3.c) de la LSSI, calificado como infracción grave, al tratarse de la remisión a un mismo destinatario de más de tres mensajes de Fax de venta directa en un intervalo de tiempo inferior al plazo de un año, sin que la AEPD le hubiera prestado su consentimiento expreso, previo e informado para ello, vamos que se metieron con “el mismísimo primo de Zumosol”.

En definitiva, curiosidades aparte, vemos como la trilogía banca-telecomunicaciones-morosos suman 3 de cada 4 denuncias, cuestión que nos hace plantear si realmente los ciudadanos somos conscientes que nuestra privacidad, la protección de nuestros datos de carácter personal y su tratamiento son aspectos que competen a nuestra vida, más allá de la banca y las telecomunicaciones o la videovigilancia, pues parece que el resto de actividades profesionales cumple con la normativa, cuando hay cifras que indican que un 70% de las empresas/profesionales/entidades no cumplen con la misma.

Nos cansamos de escuchar que estamos hartos de recibir spam, llamadas telefónicas, que recaben datos sin consentimiento, que los publiquen sin las debidas garantías, etc. pero por lo que se ve, no denunciamos (salvo a las grandes compañías) y eso que es gratis, aunque el no beneficiarnos directamente de la sanción parece que influye en nuestra motivación.

 


[1] Artículo 4.3.- Los datos de carácter personal serán exactos y puestos al día de forma que respondan como veracidad a la situación actual del afectado.

[2] Artículo 6.1.- El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.

[3] Artículo 29.4.- Sólo se podrán registrar y ceder los datos de carácter personal que sean determinantes para enjuiciar la solvencia económica de los interesados y que no se refieran, cuando sean adversos, a más de seis años, siempre que respondan con veracidad a la situación actual de aquéllos.

News 27/08/2013 Procedimiento sancionador por instalación de cookies sin autorización previa

News 27/08/2013 Procedimiento sancionador por instalación de cookies sin autorización previa

La AEPD inicia procedimiento sancionador a una empresa por la instalación de cookies sin autorización (previa) del usuario.

Según hemos podido leer en las redes sociales y en multitud de noticias y blogs relacionados, la Agencia Española de Protección de Datos (AEPD) ha notificado el inicio de un procedimiento sancionador a una empresa por instalar cookies sin la autorización del usuario de la web de la empresa en cuestión.

De confirmarse, estaríamos ante una primera resolución de este tipo, en la que se analizará la aplicación del artículo 22.2 de la LSSI en el que se establece lo siguiente: “Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal” .

Hemos querido subrayar la palabra después ya que en ella está la clave de la denuncia (o eso es lo que cuando menos se ha estado indicando, ya que no hemos tenido acceso al procedimiento).

La cuestión es que parece ser que las cookies investigadas son de las más empleadas en páginas webs, como son Google Analytics, Maps o WordPress, es decir, muy comunes.

Recordemos que la AEPD, presentó en abril de este año la primera guía en Europa sobre el uso de cookies, elaborada junto a los representantes de la industria y que de facto, parece que ha supuesto el pistoletazo de salida para su cumplimiento, ya que ha sido en ese momento cuando las empresas han incorporado en sus páginas web la información sobre el uso de las cookies, información que parece ser no cumple con la normativa, si bien, trataremos de analizarlo con calma y por supuesto esperaremos expectantes la resolución que publique la AEPD.

Si la AEPD te tira de las orejas, no hagas oídos sordos y atiende su solicitud o prepara 6.500€

La AEPD ha publicado dos sanciones con 3 días de diferencia a dos establecimientos por no hacer caso de apercibimiento. Las multas han sido de 6.500€ por ignorar las “advertencias” de la AEPD y en ambos casos la denuncia, formulada por la policía municipal (de Huelva y Madrid), estaba vinculada a sistemas de vídeovigilancia que los establecimientos habían instalado sin haber inscrito el fichero correspondiente y por no disponer de los carteles de zona video vigilada, ni de los formularios de acceso para los afectados.

photo credit: woodleywonderworks via photopin cc

photo credit: woodleywonderworks via photopin cc

Del procedimiento (PS-00059-2013) comentar de manera breve que “acuerda requerir a la entidad, de acuerdo con lo establecido en el apartado 6 del artículo 45 de la Ley 15/1999 para que acredite, en el plazo de un mes desde este acto de notificación, el cumplimiento de lo previsto en el artículo 5 de la LOPD, aportando fotografía que acredite tener en el establecimiento denunciado los carteles informando de la presencia de las cámaras y en los que se especifique a la persona o entidad ante la cual ejercitar los derechos de acceso, rectificación, cancelación y oposición. Asimismo, se le requiere que acredite en el mismo plazo de un mes el cumplimiento de lo previsto en el artículo 26 de la LOPD, mediante la inscripción del fichero con la finalidad de “Videovigilancia” a nombre del denunciado”.

Del segundo procedimiento, fuimos conscientes a raíz de un tweet de @fjavier_sempere aunque en un primer momento pensamos que era el mismo, ya que en ambos no se atendieron las notificaciones de la AEPD, aunque sí es cierto que en éste, la notificación fue devuelta en dos ocasiones por el servicio de correos con la indicación “AUSENTE REPARTO”, posteriormente expuesta en el tablón de edictos del Ayuntamiento de Huelva durante 20 días y finalmente en el Boletín Oficial del Estado.En el caso que ya comentamos en el anterior post Si tu LOPD te la lleva otro, asegúrate de ello o te costará caro (6.500€ de multa), tampoco fue atendida alegando posteriormente que “nuestro negocio en cuestiones de papeleos lo llevaba un gestor al cual nosotros le enviábamos las mismas para que solucionara todo tipo de gestión”.

Hay que recordar que la figura del apercibimiento (BOE 5-2-2011), vino a “aliviar” en gran medida a las entidades que incumpliendo la normativa evitaban ser sancionadas de forma directa, mediante un “tirón de orejas” (salvo las infracciones muy graves o que el infractor no hubiese sido sancionado o apercibido con anterioridad) debiendo en el plazo que la AEPD determine, acreditar la adopción de las medidas correctoras notificadas.Siempre hablamos de la importancia de tener bien presentes determinados aspectos de la LOPD que siendo tan previsibles, nos pueden acarrear, no solo una mala imagen sino una sanción fácilmente evitable, aunque me temo que en ambos casos los “gestores” que les han asesorado nunca serán como los profesionales de las asesorías especializadas en la materia les puedan prestar y todos sabemos que lo barato (o “gratis” a lo LOPDCOSTECERO) a la larga, sale caro.

En fin, curioso que en tan corto plazo de tiempo, se hayan conocido sendas sanciones tan similares si bien es cierto que en lo que llevamos de año ya se han dictado cerca de 20 procedimientos con parecidas características (infracción del artículo 37.1.f) de la LOPD) y las que se han resuelto con sanción la multa ha sido de 6.500€ en la mayoría de los casos.

Conclusión: Si la AEPD te apercibe y “tira de las orejas”, no hagas “oídos sordos” y atiende su solicitud o prepara 6.500€ para la multa.

 

Están locos estos romanos - ¿Quo Vadis LOPD?, ¿Quo Vadis Privacidad? - Eurovima Consulting - LOPD Madrid

¿Quo Vadis LOPD? ¿Quo Vadis Privacidad?

Amigos lectores, hemos estado dudando en como titular este post, aunque la verdad es que lo importante es la conclusión que podamos hacer al finalizar su lectura, si es que sacamos alguna.

Hace unos días vimos en la portada del periódico “El País” el siguiente titular: EE UU presiona en la sombra para frenar la normativa de privacidad europea” . Vaya, una portada y bien grande sobre privacidad, que además va acompañada de 3 páginas interiores desgranando parte de las cuestiones que ahora comentaremos.

Todo ello nos hace reflexionar sobre el contenido de los artículos, las entrevistas, noticias y los acontecimientos que se han sucedido últimamente, para ver hasta qué punto parece que los temas de privacidad asoman con fuerza.

La cuestión es que ya la semana pasada pudimos leer en una entrevista  al director de la Agencia Española de Protección de Datos (AEPD), José Luis Rodríguez Álvarez una frase que pienso viene a dar en parte, respuesta al título de este post: “Estamos en un momento crítico para la privacidad”.

Pues sí, un momento en el que había esperanzas por ver cómo quedaría finalmente el reglamento europeo de protección de datos, si es que daba tiempo en ésta legislatura que se agota, y ahora aparecen los escándalos conocidos sobre el programa PRISM que parece va a dejar en eclipse total a la privacidad, no sólo de los europeos, me temo que a la privacidad del “mundo mundial” le esperan tiempos de tinieblas, aunque para según qué lado del atlántico serán mayores o menores si nos atenemos a las palabras de la propia Viviane Reding (vicepresidenta de la Comisión Europea y responsable de Justicia) diciendo “nunca había visto un ‘lobby’ tan potente”.

Vamos que hay una lucha entre EEUU y la UE por el control de la privacidad, en la que a medida que avanzaba el caso PRISM convirtiéndose en el caso SNOWDEN, lo de menos es saber si realmente todas nuestras comunicaciones son intervenidas, más bien si lo seguirán siendo, entre otras cuestiones.

Las declaraciones de los países se han ido sucediendo y al final parece que todos lo sabían, consentían e incluso tenían su propio programa de espionaje. Hace unos días la propia canciller de Alemania, Angela Merkel, manifestó su postura de “endurecer las normas de protección de datos en Internet de la UE y por forzar a las compañías de Internet a ser más abiertas en sus políticas en este sentido tras los escándalos de espionaje protagonizados por el Gobierno de Estados Unidos”.

Pero según indicaban algunos medios alemanes, “Los servicios secretos alemanes conocían desde hacía años la capacidad de sus homólogos estadounidenses para interceptar comunicaciones en todo el mundo y recurrieron a ellos en repetidas ocasiones”. Ante esto la respuesta de momento, es la habitual: “el gobierno ‘no comenta públicamente detalles’ de la ‘cooperación’ entre los servicios secretos alemanes y los estadounidenses”, es decir, NO COMENT.

La semana pasada también desayunábamos con la noticia de que el Gobierno brasileño baraja obligar a las multinacionales que ofrecen acceso y servicios en Internet a almacenar sus datos en Brasil y no en el exterior, creando nuevos incentivos para que las empresas mantengan sus centros de datos en Brasil, ya que el gobierno brasileño entiende que “internet tiene reglas de gestión exclusivamente dictadas por Estados Unidos. Defendemos una gestión multilateral y multisectorial”. El caso de Brasil parece que no será el único o cuando menos en intenciones.Están locos estos romanos - ¿Quo Vadis LOPD?, ¿Quo Vadis Privacidad? - Eurovima Consulting - LOPD Madrid

Y mientras en la UE con una directiva del año 1995, sus Estados miembros no se ponen de acuerdo para sacar adelante la nueva reglamentación, en un momento en el que por todo lo anteriormente comentado, es evidente que hay una necesidad de contar con estándares globales de privacidad. Si a esto le añadimos las palabras asombrosas pronunciadas en una conferencia sobre la reforma de la normativa europea de protección de datos por Giovanni Buttarelli, adjunto al supervisor Europeo de Protección de datos, fijando el año ¡¡¡2025!!! como la fecha en la que entraría por completo en vigor el nuevo reglamento, entonces me viene a la mente la famosa frase de Obélix: “están locos estos Romanos”.

Es evidente que el mundo tiene o tenemos otros problemas, que hay amigos/conocidos que afirman que la LOPD/privacidad es una paranoilla de 4 freekes, a lo que suelo responder que en cierto modo sí, pero que gracias a ellos aún hay quien se preocupa por su privacidad. Impresiones, que en cierto modo se puede confirmar si nos atenemos a una encuesta del mes de mayo, que reflejaba lo siguiente: ”La protección de datos personales, es una leve preocupación para los españoles“ y no les falta razón, sobre todo al ver cómo actúan los romanos en la defensa de su Imperio.

En el 82 ya cantaba Miguel Ríos aquello de “año 2.000”, con estrofas como:

Esta es la era de Mister Chips,
micro-ordenador de tu porvenir.
Que por lo pronto te quita el curro
además de ser tu ficha sin fin.
Hay que dictar su sentencia,
diciéndote que es por tu bien…..”

Pues sí, de nuestro provenir, nuestra ficha sin fin y por nuestro bien. La batalla del derecho al olvido ya está en marcha y se enfrenta a la libertad de expresión, la de la competitividad marcada por las leyes globales-locales también, la de anteponer seguridad a privacidad es una batalla que renace a golpe de terrorismo. La era del Big Data y el Cloud Computing hacen que conservemos la información “por si acaso”, sin importar dónde o si lo hacemos de forma segura y responsable, sin advertir de las brechas de seguridad …

Vendrán otras guerras, probablemente inimaginables hasta para Miguel Ríos, para las que en el 2025 tampoco habrá respuestas y mientras nos haremos la misma pregunta: ¿Quo Vadis?

Si tu LOPD te la lleva otro, asegúrate de ello o te costará caro (6.500€ de multa)

En abril de 2011 la Policía Municipal de Madrid comunica a la Agencia Española de Protección de Datos (AEPD) una posible infracción de la LOPD motivada porque un “establecimiento” tiene 8 cámaras de vídeo-vigilancia instaladas y no cuentan con los oportunos carteles de zona vídeo-vigilada, ni con los formularios de acceso para los afectados.

La denuncia señala que las 8 cámaras, están conectadas a un monitor central receptor, no pudiendo comprobar el sistema de grabación empleado, observando que se encuentran conectadas a un vídeo y a un módem de una compañía telefónica.

photo credit: David Feltkamp via photopin cc

photo credit: David Feltkamp via photopin cc

Los Servicios de Inspección de la Agencia iniciaron actuaciones previas con objeto de determinar si el tratamiento de los datos personales, a través del citado sistema de vídeo-vigilancia, cumplían las condiciones que impone la normativa.

Es de suponer que el establecimiento, antes de la llegada de los Servicios de Inspección de la Agencia, colocaron los carteles preceptivos y editaron el formulario informativo que debe estar a disposición de los ciudadanos acorde a la Instrucción 1/2006, ya que la inspección constató su existencia, aunque por lo que se ve “olvidaron” registrar el fichero ante la AEPD.

La inspección, también constató que las cámaras grababan las imágenes en un grabador sin que se pudiese precisar durante cuánto tiempo, ya que el sistema había sido instalado por los anteriores propietarios y estaba protegido el acceso por una clave que los actuales propietarios decían desconocer y no podían saber (pues la empresa que instaló el sistema ya no existía).

El procedimiento de la AEPD señala que “se pone de manifiesto que las cámaras efectúan grabaciones, no constando que dicho fichero se encuentre inscrito en el Registro General de Protección de Datos de esta Agencia” y la AEPD decide APERCIBIR (A/00050/2012) al  establecimiento por infracción del artículo 26 de la LOPD (“Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la AEPD”), tipificada como leve por la LOPD.

En este caso, el establecimiento se “iba de rositas”, ya que simplemente debía inscribir en el plazo de un mes (marzo de 2012) dicho fichero, advirtiéndole la Agencia que en caso contrario se iniciaría la apertura de un procedimiento sancionador, como finalmente ha sido.

En éste tiempo, la Agencia por dos veces (mayo y septiembre de 2012) reitera al establecimiento, por medio del servicio de correos con acuse de recibo, lo requerido en el procedimiento de apercibimiento (inscripción de fichero con finalidad de vídeo-vigilancia) sin que se hayan adoptado las medidas correctoras solicitadas.

Por ello el 4 de febrero de 2013, el director de la AEPD acordó iniciar el procedimiento sancionador por presunta infracción del artículo 37.1.f) de la LOPD (“son funciones de la AEPD: f) Requerir a los responsables y los encargados de los tratamientos, previa audiencia de éstos, la adopción de las medidas necesarias para la adecuación del tratamiento de datos a las disposiciones de esta Ley y, en su caso, ordenar la cesación de los tratamientos y la cancelación de los ficheros, cuando no se ajuste a sus disposiciones”) tipificada como grave, pudiendo ser sancionada con multa de 40.001 € a 300.000 €, de acuerdo a la LOPD.

Una vez notificado, el Establecimiento formuló alegaciones, entre otras y de manera textual las siguientes:

“…En cuanto tomamos conocimiento de dicha notificación nos pusimos en contacto telefónico con la Agencia Protectora de Datos, solicitando más información sobre el tema, allí muy amablemente la persona que se puso al habla no comunico bien de que iba todo el tema, y nos aclaró que ya hacía bastante tiempo que nos envían notificaciones si respuesta alguna de nuestra parte.

Allí fue nuestro asombro ya que todo lo referente a nuestro negocio en cuestiones de papeleos lo llevaba un gestor al cual nosotros le enviábamos las mismas para que solucionara todo tipo de gestión.

Esta persona por lo visto no les ha presentado ningún tipo de notificación haciendo quedar a la empresa como irresponsable, de todos modo con excusarnos en otra persona no queremos evitar alguna responsabilidad, sino todo lo contrario.

… Por lo expuesto reiteramos que no poseemos ningún Registro Fichero o algo que se le parezca, nuestro sistema es obsoleto y puede venir y corroborarlo ustedes mismos.”

En resumen que la culpa es del gestor (seguramente sea así) y como manifiestan “haciendo quedar a la empresa como irresponsable” aunque ellos insisten en su incomprensión ya que “reiteramos que no poseemos ningún Registro Fichero o algo que se le parezca, nuestro sistema es obsoleto y puede venir y corroborarlo ustedes mismos”.

Estamos seguros que no van a volver a corroborarlo y que ya no se irán de rositas, ya que se le ha impuesto una multa de 6.500€ por la infracción mencionada del artículo 37.1.f) de la LOPD.

Google 1-0 AEPD. Repetimos: “Olvídense del olvido”

privacidad_Eurovima_ConsultingO más bien un ¿2-1?. Ya sabemos que las victorias y sobretodo las morales son muy peculiares. En todo caso, antes de entrar en materia, recordarles que ya en nuestra sección “News del día 26-02-2013: El Derecho al olvido a debate en el TJUE“, se informaba que “el Tribunal de Justicia de la Unión Europea (TJUE) iba a analizar la cuestión prejudicial sobre el ejercicio de derechos frente a buscadores de Internet, a cuya vista tenía previsto asistir el director de la Agencia Española de Protección de Datos (AEPD)”

Al día siguiente, en nuestro Blog – El TJUE y el Derecho al olvido. “Olvídense del olvido” – analizábamos la exposición realizada, en la que para ponernos en situación, hay que recordar que un ciudadano solicitó y recibió el amparo de la AEPD (dándole la razón parcialmente) requiriendo a Google Spain S.L. y Google Inc. que retiraran los datos del ciudadano de su índice, aunque no pidió al periódico que publicó la información que la retirase, dado que su publicación tenía justificación legal.

Pues bien, ya en su día indicamos que la cuestión clave sería delimitar el alcance de la responsabilidad de Google frente a los derechos de los ciudadanos sobre la publicación/indexación de sus datos personales y si pudiese estar sujeto a la normativa de privacidad europea aunque su motor de búsqueda fuese el de una empresa con sede en California.

La cuestión es que hoy se ha conocido el Dictamen Preliminar del Abogado General del TJUE, en el que de manera resumida señala que Google está sujeta a la legislación de la UE sobre privacidad pero no está obligado a borrar la información sensible de su índice de búsqueda. De esta forma, da la razón al buscador (con matices, que ahora analizaremos).

La sentencia definitiva se publicará en pocos meses y aunque el dictamen preliminar no tiene carácter vinculante, se puede decir que casi, ya que los jueces aplican estas “recomendaciones” en la mayoría de los casos.

Según hemos podido leer y aunque a Google no le guste,  le es de aplicación la normativa europea en materia de protección de datos, ya que sus filiales son nexos establecidos en la UE, cuyo fin se indica que es promover y vender espacios publicitarios en su motor de búsqueda, aunque el tratamiento de datos se realice en otro lugar.

No obstante no se le considera responsable del Tratamiento ya que no es “consciente” ni tiene ningún control sobre los datos personales incluidos en las páginas web de terceros, aunque deberá respetar los códigos de exclusión (pudiendo ser obligado a ello).

A la vista de las conclusiones presentadas hoy por el Abogado General del TJUE, si pensábamos que al amparo de la AEPD podíamos encontrar  auxilio en cuestión del derecho al olvido, me temo que estas conclusiones, cuando menos en el ámbito de los medios de comunicación, establece que el derecho a la protección de la vida privada debe convivir con otros derechos fundamentales, como la libertad de expresión e información y no suponer una censura del contenido publicado realizada de manera particular. En definitiva que serán las fuentes del origen de la información los responsables.

Veremos cuando se planteen nuevos casos de manera “no generalizada”, aunque se supone que hasta que no se pronuncie finalmente el TJUE no habrá nuevos casos.

Si volvemos al documento sobre las conclusiones, vemos que además se indica que “todas estas cuestiones, que abordan además importantes aspectos de la protección de los derechos fundamentales, no han sido tratadas hasta ahora por el Tribunal de Justicia” recogiendo las cuestiones anteriormente mencionadas y sus conclusiones en tres apartados:

  1. El ámbito territorial de aplicación de las normas de protección de datos de la Unión Europea. Es decir, si le es de aplicación o no a Google la normativa Europea, se concluye que se considera de manera indiscutible a las filiales de Google ubicadas en la UE como “establecimientoen el sentido del artículo 4, apartado 1, letra a), en un Estado miembro, con el fin de promover y vender espacios publicitarios en su motor de búsqueda, una oficina o una filial que orienta su actividad hacia los habitantes de dicho Estado.
  2. La posición jurídica de un proveedor de servicios de motor de búsqueda en Internet a la luz de la Directiva, particularmente en términos de su ámbito de aplicación, es decir, la responsabilidad del buscador en el tratamiento de datos. No entiende que el buscador sea responsable del tratamiento pero sí que sus operaciones implican claramente un tratamiento de datos personales, señalando queUn proveedor de servicios de motor de búsqueda en Internet no es el «responsable del tratamiento» de datos personales en páginas web fuente de terceros”.
  3. La tercera cuestión referente al llamado derecho al olvido y a si los interesados pueden solicitar que algunos o todos los resultados de búsqueda que les conciernen no estén disponibles a través del motor de búsqueda, es decir, si se puede invocar al derecho generalizado al olvido sobre la base de la Directiva, se remarca que la Directiva no establece ningún «derecho al olvido» generalizado. Los derechos de oposición, supresión y cancelación de datos, de la Directiva no se extienden a un derecho al olvido como el descrito en el auto de remisión, que recordemos señalaba que el interesado pueda dirigirse frente a los buscadores para impedir la indexación de la información referida a su persona, publicada en páginas web de terceros, amparándose en su voluntad de que la misma no sea conocida por los internautas cuando considere que puede perjudicarle o desea que sea olvidada, aunque se trate de una información publicada lícitamente por terceros”.

Estas conclusiones, aunque habrá que ver la sentencia definitiva, llegan en un momento en el que se está debatiendo el borrador del nuevo reglamento europeo, que como ya hemos contado hace unos días, parece que se estanca y veremos si ve la luz antes del final de la presente legislatura europea, no obstante y sin poder valorar como quede o contemple el derecho al olvido, ya empezamos a vislumbrar los papeles que los “actores intervinientes” van a jugar cuando menos desde el punto de vista Judicial.

Por último, indicar que ayer por la tarde la AEPD publicó una breve nota en la que recuerda que hay que esperar a que concluyan las deliberaciones de los jueces, que no es la sentencia del Tribunal, señalando que “la actuación de la AEPD ha sido y será siempre sumamente respetuosa con los ámbitos protegidos por los derechos de libertad de expresión y de información” y que “ en ningún caso se requiere la modificación o alteración de las fuentes originales, sino únicamente que se ponga fin a su difusión general a través de los buscadores”.

Esperaremos pacientemente la resolución definitiva, atentos a ver qué sucede con el reglamento, mientras tanto y en nuestra modesta opinión: “olvídense del olvido…. generalizado”.

Grabaciones de imágenes desde un coche, algo más que una moda, pero… ¿es legal?

Imagen de Jabo en Flick.com

Imagen de Jabo en Flick.com

Que existan numerosas imágenes de la caída del meteorito en los Urales rusos ha sido en parte, gracias a que muchos de sus ciudadanos optaron por instalar una cámara en su coche, con distintos fines.

En general muchos lo hacen para defenderse de la corrupción policial y de la picaresca de los estafadores a las aseguradoras, unos como prueba judicial, otros como medida disuasoria o simplemente para compartir imágenes impactantes en internet con las que hacerse notar.

Recientemente hemos leído algunos artículos en los que se planteaba si ésta cuestión en España sería legal o no y también hemos recibido una consulta específica al respecto, por ello hemos decidido aportar nuestra visión.

Aunque alguna mención será necesaria, dejemos claro que como de costumbre no pretendemos hacer un repaso ni acopio de menciones normativas con sus correspondientes Leyes, Reglamentos, etc. y menos desde el punto de vista de la Seguridad Vial o de Tráfico.

Haremos un enfoque normativo sobre si esas cámaras pueden grabar imágenes según establece nuestra LOPD y demás reglamentos o instrucciones como la “Videovogilancia“.

No obstante, lo primero que debemos recordar es que hay múltiples casos en los que la Agencia Española de Protección de Datos (AEPD) ha impuesto sanciones por grabaciones indebidas y que en España hay distintas leyes que regulan aspectos vinculados a una grabación, como los que tienen fines de investigación policial o de prevención de un delito (LO 4 de 1997 de 4 de agosto, regula la utilización de videocámaras por las fuerzas y cuerpos de seguridad en lugares públicos) o la ley que regula la grabación de imágenes con fines de seguridad privada (Ley 23/92 de 30 de julio, de Seguridad Privada).Puesto que no estamos hablando de un caso que se enmarque en el ámbito de grabación con fines de investigación policial o de prevención de delitos ni de la grabación de imágenes con fines de seguridad privada, nos centraremos en la normativa que sí se aplica al caso.

Por tanto, para el tema que nos ocupa, debemos considerar la INSTRUCCIÓN 1/2006, de 8 de noviembre, de la AEPD, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras (más conocida como Videovigilancia), que establece, entre otras cuestiones que:

  • “La seguridad y la vigilancia, elementos presentes en la sociedad actual, no son incompatibles con el derecho fundamental a la protección de la imagen como dato personal, lo que en consecuencia exige respetar la normativa existente en materia de protección de datos, para de esta manera mantener la confianza de la ciudadanía en el sistema democrático”.
  • “Las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos salvo que resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas.”

Es decir, hablamos de un derecho fundamental que debemos respetar, constatando que las imágenes se consideran un dato de carácter personal, en virtud de lo establecido por la LOPD, que considera como dato de carácter personal la información gráfica o fotográfica, quedando excluidas el tratamiento de imágenes en el ámbito personal y doméstico (el realizado por una persona física en el marco de una actividad exclusivamente privada o familiar).

Existen otros ámbitos en los que la grabación de imágenes pueden estar justificados y serán lícitos, como el periodista que asiste y graba un evento que tiene un claro valor informativo, en el que puedan verse imágenes de los asistentes. Dicha grabación y publicación será lícita siempre que no se invada un espacio de privacidad o cuando la información prevalezca sobre la privacidad. En cambio habrá otros en los que se enmarcan en una esfera o ámbito privado pero al que asisten personas que se escapan de nuestro ámbito privado estricto, como la función de fin de curso de un hijo o una competición. En estos casos, de los que conviene hacer un post sobre ello, habrá que ir con pies de plomo.

Volviendo a nuestras cámaras en el coche, es evidente que las nuevas tecnologías son cada vez más útiles y accesibles, en este caso para ubicarlas en un coche, por tamaño y precio hasta hace poco instalar una cámara era impensable, siendo también evidente que el uso de estas nuevas tecnologías puede generar nuevos problemas relacionados con la privacidad.

Recordemos que se considera identificable a una persona cuando su identidad pueda determinarse mediante los tratamientos a los que se refiere la Instrucción sobre videocámaras y cámaras, sin requerir plazos o actividades desproporcionados, vamos que si alguno sigue con alguna duda, que tenga muy claro, que la  imagen personal se considera dato de carácter personal, al igual que las matrículas de los vehículos (aunque sobre esta cuestión existen ciertas contradicciones).

Estas cámaras enfocarán y grabarán imágenes de la vía pública, por la que circulamos las personas y los coches y por tanto pueden grabar nuestra imagen o las matrículas de coches a discreción y por ser un dato de carácter personal, los titulares de las cámaras tendrían que cumplir con la normativa en la materia, pero además, como estamos hablando de unas imágenes que serán tomadas de la vía pública, éstas únicamente podrán ser grabadas por las Fuerzas y Cuerpos de Seguridad.

En definitiva ya no hablamos, porque ya ni procede, de esos aspectos normativos a los que los titulares de las cámaras estarían sujetos, como el consentimiento o el deber de informar al interesado (carteles informativos) o que las imágenes que se capten sean las necesarias y no excesivas para la finalidad perseguida, etc.

No obstante, seguro que alguno estará pensado en Google y su última campaña de Street View, por ello conviene recordar el “contencioso” AEPD-Google, en el que la AEPD concluyó en su investigación que Google se compromete a anonimizar las imágenes de personas y matrículas de vehículos antes de publicarlas, es decir, a difuminar de manera permanente e irreversible, los rostros y matrículas para que no puedan ser reconocidos y a mantener un mecanismo ágil para que los interesados puedan obtener la corrección de cualquier error (nota de prensa completa).

En resumen salvo que la normativa cambie, a día de hoy, no es posible que los particulares instalemos está cámaras en nuestros vehículos, sea cual sea el motivo (notoriedad o nuestra defensa) ya que desde el punto de vista de la LOPD no está permitido.

Ahora sólo nos queda escuchar sus opiniones o que nos planteen las dudas que puedan albergar.

NEWS 17/Mayo/2013 Día Mundial de Internet

Como cada año y desde el 2005 , en este 17 de mayo (coincidiendo con la celebración del día de las letras gallegas), se celebra el Día Mundial de las Telecomunicaciones y la Sociedad de la Información –también conocido como Día de Internet-, una jornada que tiene como objetivo principal difundir y promover el uso de Internet en la sociedad.

Os dejamos un enlace con la página web de la AEPD, donde se nos hace una serie de recomendaciones relativas a la privacidad e internet, ya que “La AEPD como miembro del Comité de Impulso de este día en el que participan diversas organizaciones públicas y privadas, quiere fomentar una cultura de protección de los datos personales en el contexto de la Red, de forma que se tenga plena consciencia de los riesgos que pueden desprenderse del mal uso de Internet.

La AEPD asimismo quiere recordar a los padres o tutores que es necesario que adopten una posición activa en relación con el uso de las nuevas tecnologías por parte de los menores”.


NEWS 08/Mayo/2013 Nuevas Guías sobre el CLOUD y COOKIES de la AEPD

El pasado 26 de abril de 2013, tuvo lugar en Madrid, la 5ª Sesión Anual Abierta de la AEPD (Agencia Española de Protección de Datos). Sobre esta sesión ya publicamos un post en el que comentamos un resumen con el contenido, alcance e impresiones sobre la misma.

Hoy queremos recordar que en dicha sesión se presentaron dos guías (de las que os dejamos su enlaces correspondientes)con directrices sobre el Cloud Computing, enfocadas tanto a los clientes que contraten servicios en la nube Guía para clientes que contraten servicios de Cloud Computing, como a los proveedores que los prestan Orientaciones para prestadores de servicios de Cloud Computing.

Reproducimos por su interés, parte de la Nota emitida por la AEPD de la 5ª sesión anual (nota completa en este enlace):

En el primer bloque de la jornada el adjunto al director de la AEPD, Jesús Rubí, ha presentado la Guía para clientes que contraten servicios de cloud computing, un documento práctico que pretende facilitar el cumplimiento de la normativa de protección de datos en la contratación de servicios en la nube. El documento, dirigido a pymes, microempresas, profesionales y administraciones públicas, analiza, entre otros aspectos, las diferentes modalidades de servicios en la nube, los riesgos, las obligaciones de las partes y la legislación aplicable. En paralelo, la AEPD también ha elaborado una publicación llamada Orientaciones para los prestadores de servicios de cloud computing, que hace hincapié en las garantías que deben cumplir las empresas que ofrecen estos servicios.

Ese día 26 se anunció la publicación de la primera guía en Europa sobre el uso de cookies elaborada junto a los representantes de la industria, que el día 29 la AEPD presentó junto a dichos representantes.

Reproducimos por su interés, parte de la Nota emitida por la AEPD (nota completa en este enlace):

El director de la AEPD, José Luis Rodríguez Álvarez, ha destacado que, con esta Guía, se da un gran paso adelante para conciliar el uso de las cookies con la protección de la privacidad de los ciudadanos. “Se establecen reglas claras para garantizar que los usuarios puedan decidir si consienten o no la instalación de cookies en sus terminales, contando con una información clara y completa sobre qué datos se recopilan, quiénes los van a tratar y a qué fines se destinan. Al mismo tiempo, se proporcionan a las empresas y a los responsables de páginas web en general unas directrices y orientaciones prácticas que les facilitará el cumplimiento de las obligaciones legales con mayor seguridad jurídica y el grado de flexibilidad necesario para posibilitar el desarrollo de la economía digital”.

La guía ofrece diversas opciones para cumplir con las dos obligaciones legales fundamentales impuestas por la normativa: el deber de información al usuario y la obtención del consentimiento por parte de este. En cuanto a la información que debe facilitarse, el apartado segundo del artículo 22 de la LSSI establece que se debe facilitar a los usuarios información “clara y completa” sobre las cookies. La Guía especifica un sistema de información por capas que consiste en mostrar la información esencial en una primera capa, cuando se accede a la página o aplicación, y completarla en una segunda capa mediante una página en la que se ofrezca información adicional sobre las cookies.

La Guía también recoge cuestiones relacionadas con la accesibilidad y visibilidad de esa información. Aunque no se ofrecen indicaciones rígidas de dónde debe ser colocada, sí se especifica que el enlace debe estar situado en zonas que capten la atención de los usuarios.

Además de ese nivel de información, para la instalación y utilización de cookies será necesario obtener el consentimiento del usuario, de forma que este pueda considerarse un consentimiento informado.

Por último, el documento también recoge el derecho de los usuarios a recibir información sobre la forma de desactivar o eliminar las cookies, así como la forma de revocar un consentimiento prestado con anterioridad.

Dadas las múltiples complejidades que plantea el uso de las cookies, las orientaciones recogidas en el documento conjunto no pretenden ofrecer una solución general y uniforme para el cumplimiento de la Ley sino que servir de guía para que las entidades afectadas reflexionen y adopten decisiones sobre la solución más adecuada a sus intereses y modelo de negocio. La AEPD recomienda a las entidades implicadas en la utilización de cookies llevar a cabo una revisión de las que se utilizan, bien internamente, bien con el asesoramiento de asociaciones o entidades especializadas. Las entidades podrán conocer así qué cookies se utilizan y para qué finalidad, descartando así las innecesarias.

 

Ley de “Murphy” y privacidad online

 

Ley de “Murphy” y privacidad online - Eurovima Consulting S.L.

Creo que todos estamos de acuerdo en que parte de la información sobre nosotros, quiénes y cómo somos, nuestros gustos, aficiones, hábitos, etc… que está divulgada en Internet la ha publicado uno mismo. En ocasiones compartimos intimidades solo por el simple hecho de comunicarnos, de que sepan que hemos sido padres, tíos, abuelos o que estamos de vacaciones en tal país o tomando una copa en un local nuevo, en una boda o de visita cultural o que la gente sepa que nos gusta una página web, que en función de su contenido puede revelar datos más comprometedores o sensibles sobre nosotros.

Podemos decir que esa información la hemos compartido de manera directa, pero también hay información que otros pueden deducir de nuestra actividad digamos “indirecta” en la Red o cuando menos no pública, como la que proporcionan las aplicaciones que nos hemos descargado en el móvil, las páginas visitadas o las compras realizadas.

Con todo ello, a las empresas con servicios online les resulta relativamente sencillo recabar nuestros datos, cruzarlos y analizarlos para ampliar sus opciones de venta ofreciéndonos publicidad/productos de manera personalizada. ¿Cuántas veces hemos consultado vuelos y posteriormente nos aparecen anuncios ofreciéndonos ofertas para esos destinos?.

También existe otra vía, cada vez más extendida y es la información que otros dan de nosotros en la red y que de entrada no podemos controlar y en ocasiones ni siquiera llegamos a saber que existe, pero existe y como ya sabemos que existe una “Ley de Murphy” será usada y con malas intenciones.

Por todo ello y por lo que vendrá, creo que estaremos muy de acuerdo en que la privacidad en Internet no existe, es difícil de administrar, pero cuando menos sí que podemos decidir libremente qué información queremos trasmitir de manera directa, a quién se la damos y los medios que usamos. Todo ello sí está en nuestras manos.

Pero si todo esto lo hacemos los mayores/adultos, que podemos esperar de los adolescentes y jóvenes, que en realidad no son conscientes de las consecuencias de los datos que revelan en la Red.

Las redes sociales tratan de protegerles en cierta medida, prohibiendo su registro a los menores de 14 años (edad mínima legal), pero entenderemos que no es fácil que exista un sistema de identificación sólido que gestione el acceso por la edad, sobre todo cuando son sus propios padres los que les permiten registrarse.

Bueno, en todo caso, conviene repasar algunos de las cuestiones que debemos tener presentes para proteger nuestra privacidad online:

  1. Lee el aviso legal y las políticas de privacidad, prestando especial atención a la identidad del responsable, a la finalidad con la que se recaban todos tus datos y a que puedas ejercitar tus derechos ARCO (de acceso, rectificación, cancelación y oposición de tus datos).
  2. Instala un antivirus en tu equipo/dispositivo, accede al mismo y a sus registros con contraseñas robustas y cámbialas cada cierto tiempo o si detectas algo sospechoso, toda ayuda es poca. Si usas red WIFI protégela.
  3. Los archivos temporales y las cookies que se guardan en nuestros equipos dicen mucho de nuestra actividad en la Red, bórrelos periódicamente.
  4. Antes de aceptar la invitación de un tercero y agregarlo como contacto, piénsalo dos veces.
  5. No publiques datos de terceras personas sin su consentimiento.
  6. Piensa si de verdad necesitas publicar tu ubicación, gustos, fotos, etc. y por ende la de otros.
  7. Nuestras aficiones y gustos pueden decir mucho de nosotros, cuida de tu reputación online, de la información publicada hoy puedes arrepentirte mañana. Recuerda la “Ley de Murphy”.
  8. Si eres menor de edad seguramente no estarás leyendo este post, pero confiamos en que un adulto te lo cuente.