Entradas

Una sanción LOPD que se repite: Si la AEPD te apercibe, hazle caso o pagarás una multa | Eurovima Consulting | Agencia de Protección de Datos en Madrid

Una sanción LOPD que se repite: Si la AEPD te apercibe, hazle caso o pagarás una multa

Viene siendo una actuación que se repite y lo cierto es que aunque se pueda pensar en que no tiene sentido no atender los requerimientos que te hagan para evitar una sanción, sencillos por otra parte, algunos siguen no atendiéndolos y por tanto terminan sancionados.

La denuncia: Instalar una cámara de videovigilancia en la ventana de una vivienda pudiendo captar la vía pública y propiedades de terceros

Una sanción LOPD que se repite: Si la AEPD te apercibe, hazle caso o pagarás una multa | Eurovima Consulting | Agencia de Protección de Datos en Madrid

Image courtesy of nipitphand at FreeDigitalPhotos.net

Sobre este tema ya hemos hablado en nuestro artículo de julio de 2013: Si la AEPD te tira de las orejas, no hagas oídos sordos y atiende su solicitud o prepara 6.500€ y nuevamente nos encontramos un caso similar en la que un particular instala una cámara de videovigilancia que según la resolución de la Agencia Española de Protección de Datos (AEPD) se aprecia en las fotografías que acompañan la denuncia, la cámara está instalada en la ventana de la vivienda denunciada y orientada hacia el exterior, pudiendo captar por su altura y ángulo de orientación la vía pública y propiedades de terceros.

La denunciada no formula alegación alguna en el plazo que la AEPD establece y una vez acreditados los hechos, es decir, presunta infracción del artículo 6.1 de la LOPD que establece que “el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”.

¿Pero, en qué consiste la figura del apercibimiento?

Recodemos que la figura del apercibimiento (BOE 55, 5-3-2011 Disposición final quincuagésima sexta) supuso una “gran noticia” para los infractores en materia LOPD, ya que aunque incumplan la LOPD pueden evitar ser sancionados, salvo que se trate de una infracción muy grave o si ya hubiesen sido sancionados o apercibidos con anterioridad.

En definitiva, que sólo tienes que acreditar la adopción de las medidas correctoras que la AEPD determine, aunque hayas incumplido la normativa.

¿Qué requisitos debe cumplir un sistema de videovigilancia según establece la LOPD?

  1. Respetar el principio de proporcionalidad.
  2. Si el sistema está conectado a una central de alarma, únicamente podrá ser instalado por una empresa de seguridad privada 
  3. No captar imágenes de las personas que se encuentren fuera del espacio privado (en lugares públicos sólo puede ser realizado por las Fuerzas y Cuerpos de Seguridad del Estado)
  4. Cumplir con el deber de informar a los afectados (Instrucción 1/2006, de la AEPD, sobre el Tratamiento de Datos Personales con Fines de Vigilancia a través de Sistemas de Cámaras o Videocámaras), concretamente:
    • Colocar, en las zonas video vigiladas, al menos un distintivo informativo (cartel de aviso) ubicado en lugar suficientemente visible, tanto en espacios abiertos como cerrados y
    • tener a disposición de los/las interesados/as impresos en los que se detalle la información prevista en el artículo 5.1 de la LOPD

¿Qué señala la AEPD en su resolución?

De manera literal, la sentencia indica que “La denunciada tiene instalado un sistema de videovigilancia con una videocámara orientada hacia el exterior de la vivienda donde está instalada […], no consta que dicha responsable tenga legitimación para el tratamiento de estas imágenes, realizando por tanto un tratamiento de datos personales sin cumplir con la normativa reguladora de protección de datos”.

No obstante la AEPD, que es muy benévola, acuerda apercibir al tener en cuenta que “no consta vinculación de su actividad con la realización de tratamientos de datos de carácter personal, ni que existan beneficios obtenidos como consecuencia de la comisión de la infracción” instándola a que en el plazo de un mes:

  1. Cumpla lo previsto en el artículo 6.1 de la LOPD, es decir, a que justifique la retirada de la cámara, o bien su reubicación o reorientación para que ni se oriente ni capte espacio público.
  2. E informe a la AEPD del cumplimiento del requerimiento, acreditando la adopción de dichas medidas, por medio de fotografías que evidencien la retirada de la cámara o fotografías que muestren lo que capta la cámara una vez se haya reubicado o reorientado.

La denunciada no contestó a las solicitudes y finalmente ha sido sancionada con 1.000€ (enlace a la resolución)

La AEPD envía 2 escritos al domicilio de la denunciada con acuse de recibo, que no son atendidos y finalmente la denunciada ha sido sancionada con una multa de 1.000€ por la infracción del artículo 37.1.f) de la LOPD que señala que “son funciones de la Agencia de Protección de Datos: f) Requerir a los responsables y los encargados de los tratamientos, previa audiencia de éstos, la adopción de las medidas necesarias para la adecuación del tratamiento de datos a las disposiciones de esta Ley y, en su caso, ordenar la cesación de los tratamientos y la cancelación de los ficheros, cuando no se ajuste a sus disposiciones”.

En definitiva, y como conclusión, repetimos que: si la AEPD te apercibe, atiende su solicitud o prepárate para la multa.

El vuelo de los drones. Nueva regulación

DronesEl pasado día 10 de abril de 2.014, publicamos un artículo sobre un tema de actualidad, “El vuelo de los drones, privacidad y otras implicaciones legales”. Nos hacíamos eco de las preocupaciones que las empresas que quieren dedicarse a explotar estos aparatos de manera profesional tenían a esa fecha.

Por aquel entonces decíamos que estaba pendiente la aprobación de una norma que regulase su uso profesional. Pues bien, ya tenemos esta norma en vigor.

El día 5 de julio se publicó en el BOE el Real Decreto Ley 8/2014, de 4 de julio, de aprobación de medidas urgentes para el crecimiento, la competitividad y la eficiencia. Esta norma regula no solo esta materia, sino también muchas otras como la modificación de la Ley del cine, modificación de la ley de comercio minorista, aviación civil, y aeroportuaria, medidas energéticas, entre otras muchas materias.

Destacar la figura jurídica con la que se ha regulado la materia: El Real Decreto Ley

Es una norma jurídica con rango de ley que emana del poder ejecutivo y es dictada en caso de extraordinaria y urgente necesidad. Decir que aunque se trata de una norma con rango de ley, el emisor de la misma es el ejecutivo, no el legislativo, como debiera ser. Y todo ello porque el gobierno cree que las materias a regular necesitan ser abordadas con urgencia. En mi opinión, se abusa de esta figura para regular ciertas materias que con una tramitación “tradicional”, pudieran dar lugar a divergencia de opiniones. Pero bueno, hecho está.

En cuanto a los drones, materia que nos interesa, el Real Decreto dedica el artículo 50 a regular su uso civil profesional. Sin embargo esta regulación lo será de forma temporal, y hasta que, como indica la misma norma, se regule reglamentariamente “el régimen jurídico aplicable a las aeronaves civiles pilotadas por control remoto, así como a las operaciones y actividades realizadas por ellas”, momento en que quedará derogado este artículo. Quedan fuera de esta norma las actividades militares, y realizadas por los cuerpos y fuerzas de seguridad del estado, así como las realizadas por los aeromodelistas aficionados que cumplan con la legislación específica en la materia.

El Real Decreto Ley, y la LOPD

Indicar que el Real Decreto nos da “la razón”, y como adelantábamos en nuestro primer artículo, “se deberá tener en cuenta la legislación sobre, uso del espacio radioeléctrico, protección de datos o la toma de imágenes aéreas, además de la responsabilidad por los daños causados por la operación o la aeronave”. Con ello quedan validadas nuestras recomendaciones en temas de protección de datos (LOPD) en cuanto a responsables de fichero, encargados de tratamiento, y procedimientos indicados; y sobre la necesidad de contratar un seguro de responsabilidad civil para cubrir los posibles daños que se pudieran ocasionar. Las indemnizaciones por estos daños serán calculadas conforme al baremo establecido en Real Decreto 37/2001, de 19 de enero, por el que se actualiza la cuantía de las indemnizaciones por daños previstas en la Ley 48/1960, de 21 de julio, de Navegación Aérea.

¿Quién podrá manejar un dron?

El responsable de la aeronave es denominado “operador de la aeronave”, pero no se indica claramente si éste podrá ser una persona física o jurídica, entendemos que podrían ser ambos. Pero además debemos diferenciarlo del piloto de la aeronave, al que se le exigen una serie de requisitos, como ser mayor de 18 años, poseer un certificado médico, tener los conocimientos adecuados sobre la aeronave, tener licencia de piloto, incluyendo la licencia de piloto de ultraligero, o poder demostrar que se tienen los conocimientos teóricos necesarios. Esta última característica entiendo que será de difícil comprobación, a no ser por la realización de unos exámenes teóricos. Esta cuestión no queda claramente regulada. También poseer un certificado básico o avanzado para el pilotaje de aeronaves civiles pilotadas por control remoto, emitido por una organización de formación aprobada, según se quiera volar dentro o fuera del alcance visual del piloto; y que el aparato sea inferior o superior a 25 Kilos de peso.

En cuanto a la aeronave, se distinguen varios grupos, hasta 2 kg., de 2 a 25 kg., y los que excedan de 25 Kg y cuyo peso no exceda de los 150 Kg., cuyos requisitos serán distintos. Todas ellas deberán llevar una placa identificativa, del modelo, numero de serie, y operador de la misma, así como los datos de contacto de éste. Las aeronaves con peso superior a 25 kilos deberán además estar inscritas en el Registro de matrícula de aeronaves y disponer de certificado de aeronavegabilidad.

¿Dónde se podrán pilotar?

En cuanto a las operaciones que podrán realizar también quedan reguladas y serán, actividades aéreas de trabajos técnicos o científicos, vuelos de prueba de producción y de mantenimiento, de demostración no abiertos al público, programas de investigación, vuelos de desarrollo, de I+D realizados por fabricantes para el desarrollo de nuevos productos, y de prueba antes de un evento.

Para las aeronaves con peso superior a 25 kg. además se requerirá la comunicación a la Agencia Estatal de Seguridad Aérea con una antelación mínima de cinco días al día del inicio de la operación, y declaración responsable de cumplir con los demás requisitos, además de aportar el manual de operaciones, el estudio aeronáutico de seguridad y la documentación acreditativa de tener suscrito el seguro obligatorio exigidos.

En cualquier caso, se deberá además determinar un área de exclusión o de seguridad.

Como vemos, quedan excluidos por tanto los vuelos por encima de personas, pudiendo únicamente volar en zonas fuera de aglomeraciones de edificios en ciudades, pueblos o lugares habitados o de reuniones de personas al aire libre. Quedarían fuera por tanto las actividades que hemos visto recientemente en los noticiarios, como la grabación en el recorrido de los San Fermines, o en Fallas…

Desde Eurovima Consulting esperamos que esta serie de artículos os sirva para aclarar ciertos aspectos sobre el uso de estos aparatos, y en cualquier caso, quedamos a vuestra disposición para resolver vuestras dudas.

Escrito por Aurelio J. Martínez Ferre
Abogado, Consultor en derecho y nuevas tecnologías.

 

¿LOPD y Videovigilancia: Puedo grabar la entrada de mi casa hacia el rellano de la escalera?

Hace unas cuantas semanas desde Facebook nos hacíamos eco de un informe publicado por la Agencia Española de Protección de Datos (AEPD) que hablaba sobre «la cesión de datos de las comunidades de vecinos a sus propietarios» y nos hacían la siguiente consulta:

¿LOPD y Videovigilancia: Puedo grabar la entrada de mi casa hacia el rellano de la escalera?

Cctv Camera In Front Of The Village, Residence Stock Photo by nipitphand in www.freedigitalphotos.net

“Puede un vecino colocar una cámara de videovigilancia en la puerta de su piso con intención de grabar supuestos «actos vandálicos» de otro vecino del edificio? Esto es, si quiero tener la certeza de que un vecino en concreto pone a su perro a hacer sus necesidades en mi felpudo, o quiero tener pruebas fehacientes de que es él quien, por ejemplo, me ralla la puerta, etc….puedo instalarla sin avisar a la comunidad, o es ésta la que debe autorizarlo?”

Bueno, pues hoy queremos tratar de dar respuesta a una situación que siendo lamentable debe tratarse y actuar conforme las leyes nos permitan y en este caso lo trataremos según lo establecido por la LOPD y para ello iremos por partes.

¿Aplica la LOPD aunque solo exista visualización y por tanto no concurra grabación?

Lo primero es aclarar que la imagen de una persona identificada o identificable es un dato de carácter personal y su tratamiento estará sujeto a la normativa de protección de datos, es decir:

  1. Por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD)
  2. Su Reglamento de desarrollo
  3. De manera particular por la Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos (AEPD), sobre el tratamiento de datos personales con fines de videovigilancia a través de sistemas de cámaras o videocámaras.

[pullquote]Aunque no exista grabación, solo visualización, también le aplica la normativa, y si hay grabación, los datos serán cancelados en el plazo máximo de un mes desde su captación.[/pullquote]

Si la cámara es instalada por la comunidad, deberá:

  1. Notificar e inscribir un fichero en el Registro General de Protección de Datos.
  2. Respetar los plazos y procedimiento de almacenamiento de las imágenes grabadas, debiendo ser cancelados en el plazo máximo de un mes desde su captación.
  3. Adoptar las medidas de seguridad previstas en Reglamento de desarrollo de la LOPD.
  4. Atender los derechos de acceso, rectificación y cancelación.
  5. La instalación debe estar autorizada por la Comunidad.
  6. Respetar todos los requisitos establecidos en la Instrucción 1/2006, de 8 de noviembre.

La comunidad debe aprobar su instalación, en un acuerdo de junta de propietarios y aprobarlo por las 3/5 partes de los propietarios según establece la Ley de Propiedad Horizontal puesto que el tratamiento de datos de carácter personal a través de cámaras de videovigilancia se produce en una zona común.

¿Qué dice al respecto la Instrucción 1/2006, de 8 de noviembre, sobre sistemas de videovigilancia?

En concreto, el Artículo 3 obliga a que los responsables (la Comunidad) que cuenten con sistemas de videovigilancia cumplan con el deber de información previsto en el artículo 5 de la LOPD, debiendo:

  1. Colocar, en las zonas videovigiladas, al menos un distintivo informativo ubicado en lugar suficientemente visible, tanto en espacios abiertos como cerrados y
  2. Tener a disposición de los/las interesados/as impresos en los que se detalle la información prevista en el artículo 5.1 de la Ley Orgánica 15/1999.

No aplica la normativa sobre protección de datos los tratamientos que tengan su origen en actividades exclusivamente personales o domésticas, por ejemplo, las cámaras que graban solo el interior de la vivienda particular, quedaría fuera de la LOPD.

En definitiva, ¿Puedo grabar la entrada de mi casa hacia el rellano de la escalera?

Pues lo cierto es que no. La instalación se debe hacer de forma que cuando un vecino abre la puerta de su casa la cámara no graba su interior si es colocada por la comunidad y si es propiedad del vecino, no debe grabar espacios comunes de la comunidad.

Cuando las cámaras graben espacios comunes de la comunidad de vecinos, nunca estaremos en un ámbito doméstico y si del ámbito de aplicación de la LOPD.

La LOPD establece que las cámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos salvo que resulte imprescindible para la finalidad de vigilancia que se pretende (necesaria para satisfacer un interés legítimo) pero mucho nos tememos que en este caso difícilmente podremos justificar que sea imprescindible, si bien otras medidas no harán posible demostrar que se están produciendo dichos actos vandálicos.

Si lográsemos que la justicia aceptara dicho interés legítimo*, estaríamos hablando de otra cosa, pero de momento no nos consta que existen casos en los que se haya podido acreditar*.

Como de costumbre, esperamos vuestros comentarios y que nos consultéis cualquier duda sobre el tema, haciendo uso de nuestros servicios de Asesoría en protección de datos y comercio electrónico.

*15-07-14.- Actualización: Os dejamos el enlace a un artículo de David González Calleja, que aporta  más información sobre este aspecto

Derecho al olvido. Google pone en marcha una herramienta para solicitarlo - Eurovima Consulting - Asesoría Protección de Datos - Madrid

Derecho al olvido. Google pone en marcha una herramienta para solicitarlo

Derecho al olvido. Google pone en marcha una herramienta para solicitarlo - Eurovima Consulting - Asesoría Protección de Datos - Madrid

Imagen original de http://www.redusers.com

Se podría decir que «Ya podemos eliminar nuestros datos de internert!!!!», pero seamos prudentes y de momento digamos que se van dando pasos, ya que eso será siempre que se den determinadas circunstancias.

Después de que el pasado 13 de mayo de 2014, tal y como EUROVIMA informó (ver enlace), la Justicia europea fallaba contra Google obligandola a cumplir con la normativa de protección de datos europea y a desindexar la información solicitada por los afectados, Google acaba de poner en marcha una herramienta que permita a los afectados solicitarlo, en el apartado «legal» de su página indica «Cómo retirar contenido de Google» (ver enlace).

Bueno, esto no acaba más que empezar, veremos como se implementa ya que una cuestión es que se facilite poder ejercer ese derecho y otra distinta es que se atienda en tiempo y modo, es más, de momento ni siquiera el formulario cumple con el deber de información que la LOPD establece en su artículo 5¡¡¡¡ (Derecho de información en la recogida de datos), es decir, empezamos bien.

En cualquier caso, seguiremos informando y si necesitáis hacernos alguna consulta al respecto,  es decir, si hay información que os afecte y entendéis que no debería estar publicada en la Red, no dudéis en consultar a vuestra asesoría en materia de protección de datos, privacidad, comercio electrónico y derecho TIC, al igual que esperamos vuestras opiniones.

NEWS 30/Octubre/2013 Memoria 2012 de la Agencia Española de Protección de Datos

La Agencia Española de Protección de Datos (AEPD) acaba de publicar su Memoria de 2012.
Como datos llamativos que reflejan la memoria podemos destacar que la cuantía total de las sanciones ascendió a 21 millones de euros, las denuncias aumentaron 12% respecto al 2011, el 73% de las sanciones son a empresas del sector telecomunicaciones y que tres de los principales operadores suman el 71% del importe global de multas y sin embargo las multas a la banca descienden un 27%.
En el ámbito de empresas-entidades privadas, más del 34% de las denuncias concluyeron en apercibimiento, es decir, tiron de orejas y a subsanar el error (por estar adecuados a la normativa, pero haber incurrido en falta no muy grave), por eso la importancia de cuando menos adecuarse a la Ley Orgánica de Protección de Datos (LOPD).
Las multas por SPAM (correos electrónicos sin copia oculta) y correos o comunicaciones electrónicas no solicitadas/autorizadas han aumentado un 77% en el último año, un dato muy significativo y con el que hay que tener especial cuidado a la hora de hacer nuestra actividad comercial y alegar que el servicio es realizado por un tercero no nos exime de nuestra responsabilidad.
A la vista de éstos datos y de la seriedad de las sanciones si necesitas cualquier tipo de asesoría en materia de Protección de Datos o de adecuación a la LSSI, nuestro departamento de Asesoría LOPD, LSSI está disponible para ti.

COOKIES y “la Ley seca”, que hay detrás de la “Ley de Cookies” - Eurovima Consulting

COOKIES y “la Ley seca”, que hay detrás de la “Ley de Cookies”

Llevamos casi un mes, desde que Pablo Fernández Burgueño publicara un post,  hablando de cookies, sobre una “ley de cookies” que ni siquiera es tal, pero que a todos nos sirve para referirnos a la cuestión que ha suscitado un montón de artículos y opiniones en el tiempo transcurrido.

COOKIES y “la Ley seca”, que hay detrás de la “Ley de Cookies” - Eurovima Consulting

Foto tomada por Frédéric BISSON de Flickr

Todo ello motivado por el inicio de un procedimiento sancionador de la Agencia Española de Protección de Datos (AEPD) contra una empresa que no cumple lo establecido en la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, conocida como LSSI o LSSICE y concretamente con el artículo 22.2 modificado por Real Decreto-ley 13/2012, de 30 de marzo.

En cualquier caso, no se trata de desgranar dicho artículo ni rebuscar comparaciones con otras aplicaciones similares a este tema, como las que el Reino Unido realiza, pues para ello todos hemos leído muy buenos artículos en estos días, que son tantos que no tiene sentido enlazarlos.

Entre tanto, se encuentra en tramitación el Proyecto de la Ley General de Telecomunicaciones que afectará entre otros aspectos a algunas cuestiones que la Ley de Servicios de la Sociedad de la Información (LSSI) regula, incluidas las cookies y que de manera breve hemos ya señalado en nuestro post de hace una semana (Cambios en la LSSI: luz verde al proyecto de Ley General de Telecomunicaciones). 

La cuestión es que veremos una vez publicada, como quedará la misma, si bien es cierto que hay cuestiones que son interesantes como el hecho de crear la figura del apercibimiento, al igual que en la LOPD, pues suprimir la sanción “directa” y en su lugar apercibir al sujeto responsable para que adopte las medidas correctoras oportunas, genera algo de tranquilidad.

Después de leer y hablar mucho sobre este tema, muchos comentan: ¿qué hay detrás de la “Ley de Cookies”?

Volviendo al tema principal, hemos de reconocer que después de leer mucho y hablar, bien con gente de la calle como con expertos en la materia, tanto desde la perspectiva comercial, técnica y jurídica como desde el punto de vista del usuario/consumidor o de las empresas que hacen e-commerce y de los profesionales en la red, muchos han llegado a la misma y simple conclusión: ¿qué hay detrás de la “Ley de Cookies”?

Hubo quien lo comparó con la cerveza, ya que al que le gusta la cerveza de siempre, la sin, la 0,0 puede ser sustitutiva cuando no hay más remedio, pero para el que la quiera “con” la seguirá comprando aunque haya “ley seca”, aunque vistas las sanciones que les podrían caer, me temo que no se atreverán.

Si hubo coincidencia, en manifestar su incredulidad ante una normativa que consideran excesiva en cuanto a su aplicación, pues afecta a “grandes y pequeños”, como a que crea indefensión respecto a otros mercados/proveedores a los que no les aplica ninguna normativa tan estricta.

Ya hemos comentado en otros artículos que la privacidad que establece la normativa LOPD y LSSI enfocada en un mercado global hace que cuestiones “locales“ como esta, marquen el propio devenir de la privacidad, ya que se refleja en términos de COMPETITIVIDAD cobrando un papel demasiado importante, cuando se trata de perder o dejar de ganar dinero frente a competidores que tienen otras reglas. Volvemos a la cuestión ya planteada en otras ocasiones, es decir, sigamos hablando de un mundo global gestionado de manera global o marcada por la Seguridad Jurídica de aplicación.

Si hay quién se empadrona en alguna localidad por el mero hecho de ahorrase unos euros, que no haremos otros por optar a ganarlos de manera más sencilla o con menos dolores de cabeza.

Opiniones dispares y para todos los gustos

Otros opinan que cumplirla puede penalizar el SEO a día de hoy, otros que ni las propias Administraciones Públicas la cumplen, que las redes sociales como Facebook no pueden alojar páginas de empresa o que la publicidad compartamental estaría muerta y en último caso que se puede recurrir a la confianza legítima ante una sanción.

Hay otros que opinan, ya de una manera algo más privada, que se trata de algún cambalache-compadreo entre alguno que quiere aprovechar el contexto para ganarse unos euros mediante la venta de scripts o vaya usted a saber, pues tal y como estamos cualquier cosa se puede esperar.

Pero es que además, la calle opina que al Usuario en realidad esto le suena a chino y aceptará sin leer y comprender cualquier texto (legal o no) que le permita satisfacer su necesidad en la red, aunque eso sí, la sanción caerá sobre el españolito de a pié.

Nuestra opinión

La opinión de Eurovima, es una mezcla de todas ellas pero en cualquier caso lo que nos preocupa es conocer exactamente qué y cómo hacer para cumplirla, al menor coste posible para todos y cuanto antes mejor, pero teniendo claro que ello no puede suponer una perdida en confianza y competitividad, ya que no nos lo podemos permitir.

En cualquier caso, veremos cuando finalice la resolución, que es lo que ha opinado al respecto la Agencia, mientras continúa en el aire esa cuestión: ¿qué hay detrás de la “Ley de Cookies”?, de las que os pedimos vuestra opinión.

Grabaciones de imágenes desde un coche, algo más que una moda, pero… ¿es legal?

Imagen de Jabo en Flick.com

Imagen de Jabo en Flick.com

Que existan numerosas imágenes de la caída del meteorito en los Urales rusos ha sido en parte, gracias a que muchos de sus ciudadanos optaron por instalar una cámara en su coche, con distintos fines.

En general muchos lo hacen para defenderse de la corrupción policial y de la picaresca de los estafadores a las aseguradoras, unos como prueba judicial, otros como medida disuasoria o simplemente para compartir imágenes impactantes en internet con las que hacerse notar.

Recientemente hemos leído algunos artículos en los que se planteaba si ésta cuestión en España sería legal o no y también hemos recibido una consulta específica al respecto, por ello hemos decidido aportar nuestra visión.

Aunque alguna mención será necesaria, dejemos claro que como de costumbre no pretendemos hacer un repaso ni acopio de menciones normativas con sus correspondientes Leyes, Reglamentos, etc. y menos desde el punto de vista de la Seguridad Vial o de Tráfico.

Haremos un enfoque normativo sobre si esas cámaras pueden grabar imágenes según establece nuestra LOPD y demás reglamentos o instrucciones como la «Videovogilancia«.

No obstante, lo primero que debemos recordar es que hay múltiples casos en los que la Agencia Española de Protección de Datos (AEPD) ha impuesto sanciones por grabaciones indebidas y que en España hay distintas leyes que regulan aspectos vinculados a una grabación, como los que tienen fines de investigación policial o de prevención de un delito (LO 4 de 1997 de 4 de agosto, regula la utilización de videocámaras por las fuerzas y cuerpos de seguridad en lugares públicos) o la ley que regula la grabación de imágenes con fines de seguridad privada (Ley 23/92 de 30 de julio, de Seguridad Privada).Puesto que no estamos hablando de un caso que se enmarque en el ámbito de grabación con fines de investigación policial o de prevención de delitos ni de la grabación de imágenes con fines de seguridad privada, nos centraremos en la normativa que sí se aplica al caso.

Por tanto, para el tema que nos ocupa, debemos considerar la INSTRUCCIÓN 1/2006, de 8 de noviembre, de la AEPD, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras (más conocida como Videovigilancia), que establece, entre otras cuestiones que:

  • “La seguridad y la vigilancia, elementos presentes en la sociedad actual, no son incompatibles con el derecho fundamental a la protección de la imagen como dato personal, lo que en consecuencia exige respetar la normativa existente en materia de protección de datos, para de esta manera mantener la confianza de la ciudadanía en el sistema democrático”.
  • “Las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos salvo que resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas.”

Es decir, hablamos de un derecho fundamental que debemos respetar, constatando que las imágenes se consideran un dato de carácter personal, en virtud de lo establecido por la LOPD, que considera como dato de carácter personal la información gráfica o fotográfica, quedando excluidas el tratamiento de imágenes en el ámbito personal y doméstico (el realizado por una persona física en el marco de una actividad exclusivamente privada o familiar).

Existen otros ámbitos en los que la grabación de imágenes pueden estar justificados y serán lícitos, como el periodista que asiste y graba un evento que tiene un claro valor informativo, en el que puedan verse imágenes de los asistentes. Dicha grabación y publicación será lícita siempre que no se invada un espacio de privacidad o cuando la información prevalezca sobre la privacidad. En cambio habrá otros en los que se enmarcan en una esfera o ámbito privado pero al que asisten personas que se escapan de nuestro ámbito privado estricto, como la función de fin de curso de un hijo o una competición. En estos casos, de los que conviene hacer un post sobre ello, habrá que ir con pies de plomo.

Volviendo a nuestras cámaras en el coche, es evidente que las nuevas tecnologías son cada vez más útiles y accesibles, en este caso para ubicarlas en un coche, por tamaño y precio hasta hace poco instalar una cámara era impensable, siendo también evidente que el uso de estas nuevas tecnologías puede generar nuevos problemas relacionados con la privacidad.

Recordemos que se considera identificable a una persona cuando su identidad pueda determinarse mediante los tratamientos a los que se refiere la Instrucción sobre videocámaras y cámaras, sin requerir plazos o actividades desproporcionados, vamos que si alguno sigue con alguna duda, que tenga muy claro, que la  imagen personal se considera dato de carácter personal, al igual que las matrículas de los vehículos (aunque sobre esta cuestión existen ciertas contradicciones).

Estas cámaras enfocarán y grabarán imágenes de la vía pública, por la que circulamos las personas y los coches y por tanto pueden grabar nuestra imagen o las matrículas de coches a discreción y por ser un dato de carácter personal, los titulares de las cámaras tendrían que cumplir con la normativa en la materia, pero además, como estamos hablando de unas imágenes que serán tomadas de la vía pública, éstas únicamente podrán ser grabadas por las Fuerzas y Cuerpos de Seguridad.

En definitiva ya no hablamos, porque ya ni procede, de esos aspectos normativos a los que los titulares de las cámaras estarían sujetos, como el consentimiento o el deber de informar al interesado (carteles informativos) o que las imágenes que se capten sean las necesarias y no excesivas para la finalidad perseguida, etc.

No obstante, seguro que alguno estará pensado en Google y su última campaña de Street View, por ello conviene recordar el “contencioso” AEPD-Google, en el que la AEPD concluyó en su investigación que Google se compromete a anonimizar las imágenes de personas y matrículas de vehículos antes de publicarlas, es decir, a difuminar de manera permanente e irreversible, los rostros y matrículas para que no puedan ser reconocidos y a mantener un mecanismo ágil para que los interesados puedan obtener la corrección de cualquier error (nota de prensa completa).

En resumen salvo que la normativa cambie, a día de hoy, no es posible que los particulares instalemos está cámaras en nuestros vehículos, sea cual sea el motivo (notoriedad o nuestra defensa) ya que desde el punto de vista de la LOPD no está permitido.

Ahora sólo nos queda escuchar sus opiniones o que nos planteen las dudas que puedan albergar.

Ley de “Murphy” y privacidad online

 

Ley de “Murphy” y privacidad online - Eurovima Consulting S.L.

Creo que todos estamos de acuerdo en que parte de la información sobre nosotros, quiénes y cómo somos, nuestros gustos, aficiones, hábitos, etc… que está divulgada en Internet la ha publicado uno mismo. En ocasiones compartimos intimidades solo por el simple hecho de comunicarnos, de que sepan que hemos sido padres, tíos, abuelos o que estamos de vacaciones en tal país o tomando una copa en un local nuevo, en una boda o de visita cultural o que la gente sepa que nos gusta una página web, que en función de su contenido puede revelar datos más comprometedores o sensibles sobre nosotros.

Podemos decir que esa información la hemos compartido de manera directa, pero también hay información que otros pueden deducir de nuestra actividad digamos “indirecta” en la Red o cuando menos no pública, como la que proporcionan las aplicaciones que nos hemos descargado en el móvil, las páginas visitadas o las compras realizadas.

Con todo ello, a las empresas con servicios online les resulta relativamente sencillo recabar nuestros datos, cruzarlos y analizarlos para ampliar sus opciones de venta ofreciéndonos publicidad/productos de manera personalizada. ¿Cuántas veces hemos consultado vuelos y posteriormente nos aparecen anuncios ofreciéndonos ofertas para esos destinos?.

También existe otra vía, cada vez más extendida y es la información que otros dan de nosotros en la red y que de entrada no podemos controlar y en ocasiones ni siquiera llegamos a saber que existe, pero existe y como ya sabemos que existe una “Ley de Murphy” será usada y con malas intenciones.

Por todo ello y por lo que vendrá, creo que estaremos muy de acuerdo en que la privacidad en Internet no existe, es difícil de administrar, pero cuando menos sí que podemos decidir libremente qué información queremos trasmitir de manera directa, a quién se la damos y los medios que usamos. Todo ello sí está en nuestras manos.

Pero si todo esto lo hacemos los mayores/adultos, que podemos esperar de los adolescentes y jóvenes, que en realidad no son conscientes de las consecuencias de los datos que revelan en la Red.

Las redes sociales tratan de protegerles en cierta medida, prohibiendo su registro a los menores de 14 años (edad mínima legal), pero entenderemos que no es fácil que exista un sistema de identificación sólido que gestione el acceso por la edad, sobre todo cuando son sus propios padres los que les permiten registrarse.

Bueno, en todo caso, conviene repasar algunos de las cuestiones que debemos tener presentes para proteger nuestra privacidad online:

  1. Lee el aviso legal y las políticas de privacidad, prestando especial atención a la identidad del responsable, a la finalidad con la que se recaban todos tus datos y a que puedas ejercitar tus derechos ARCO (de acceso, rectificación, cancelación y oposición de tus datos).
  2. Instala un antivirus en tu equipo/dispositivo, accede al mismo y a sus registros con contraseñas robustas y cámbialas cada cierto tiempo o si detectas algo sospechoso, toda ayuda es poca. Si usas red WIFI protégela.
  3. Los archivos temporales y las cookies que se guardan en nuestros equipos dicen mucho de nuestra actividad en la Red, bórrelos periódicamente.
  4. Antes de aceptar la invitación de un tercero y agregarlo como contacto, piénsalo dos veces.
  5. No publiques datos de terceras personas sin su consentimiento.
  6. Piensa si de verdad necesitas publicar tu ubicación, gustos, fotos, etc. y por ende la de otros.
  7. Nuestras aficiones y gustos pueden decir mucho de nosotros, cuida de tu reputación online, de la información publicada hoy puedes arrepentirte mañana. Recuerda la “Ley de Murphy”.
  8. Si eres menor de edad seguramente no estarás leyendo este post, pero confiamos en que un adulto te lo cuente.

Resumen 5ª Sesión Anual Abierta de la AEPD

Esta mañana de viernes 26 de abril de 2013, ha tenido lugar en el marco incomparable del Teatro Real de Madrid, la 5ª Sesión Anual Abierta de la AEPD, cuyo aforo estaba completo a los pocos días de anunciarse su convocatoria.

Como cada año, acudimos con las ganas de escuchar por boca de la propia AEPD que cuestiones relevantes nos deparará nuestra querida protección de datos, esperando encontrar algunas respuestas a las cuestiones que los súbditos hemos planteado, los pequeños comentarios sobre sentencias, resoluciones e informes destacados y su visión respecto a las cuestiones que a día de hoy se encuentran pendientes de concretar dentro del marco regulador.

Particularmente creo que este año ha sido el más interesante, sobre todo por conocer y admitir abiertamente, por parte del Director de la AEPD, D. José Luís Rodríguez Álvarez, cuestiones como:

  • Que hay una voluntad política para que antes de que finalice la presente legislatura europea se apruebe el Reglamento Europeo sobre Protección de Datos.
  • Que existen aspectos puestos en duda como el modelo de ventanilla única que según el Director de la AEPD es un retroceso en las garantías para los ciudadanos que estarán obligados a dirigirse a la autoridad del Estado que corresponda para ejercitar sus derechos.
  • La importancia en hacer compatible la privacidad con el desarrollo tecnológico, en un marco de confianza en el que la protección de datos no sea un obstáculo, más bien la condición necesaria para generar confianza en el desarrollo de la actividad económica digital.

D. Jesús Rubí, presentó dos guías con directrices sobre el Cloud Computing, enfocadas tanto a los clientes que contraten servicios en la nube, como a los proveedores que los prestan, incidiendo en aspectos como la «diligencia» en la elección del prestador del servicio, en las responsabilidades de ambos, la localización, la subcontratación o la portabilidad de los datos.

También se dio un avance de una tercera guía sobre cookies, con orientaciones que han de adaptarse caso a caso o negocio a negocio. En este sentido, como en la mayoría, creo que las orientaciones vendrán de la mano de las sanciones, que por cierto dicen que ya han empezado a producirse inspecciones, recordando que la normativa tiene ya un año de vida, aunque “aparente menos edad” o pensásemos que se encontraba en estado de gestación, dada su escasa aplicación.

Sobre las cookies, se aboga por la información esencial visible desde el primer momento para garantizar el consentimiento informado y su comprensión (sencillez) y también por «capas», destacado que se aceptarán formulas como: “si sigue Usted navegando esta consintiendo…” o “arrastrando su cursor, consiente…” y que las cookies analíticas no están exentas del deber de información. En todo caso, ya veremos como se van implementando.

Posteriormente se realizó la entrega de premios anuales, dando paso al “análisis” de sentencias, informes y resoluciones más relevantes, tanto del Tribunal Supremo como de la Audiencia Nacional, destacando el incremento de denuncias por Suplantación de la identidad (sobre todo sector energía y agua) incidiendo en que es imputable tanto al comercial como al responsable, infracciones derivadas de imágenes colgadas en redes sociales sin consentimiento, del ejercicio de tutela del derecho al olvido siempre enfrentado a la libertad de información, del interés legítimo, etc.

En las últimas intervenciones, se habló de un nuevo modelo de transferencia internacional de datos en base a nuevos criterios que pretende mejorar la posición de los encargados de tratamiento de la UE frente a terceros y de los avances y desarrollos internacionales.

Por último, se expusieron unas 15-20 consultas de las planteadas previamente por los asistentes, esperando poderlas analizar en detalle una vez se encuentren publicadas en la web de la Agencia, cerrando la sesión las preguntas formuladas directamente por los asistentes.

En definitiva, con algo más de calma, iremos desgranando lo acontecido en próximos post, mientras, sean DILIGENTES y respeten y cuiden su PRIVACIDAD (y las de los demás).

Motivos para adecuarnos a la Ley de Protección de datos y LSSI; ¿Elige el tuyo? - Eurovima Consulting

Motivos para adecuarnos a la LOPD y LSSI; ¡elige el tuyo!

Motivos para adecuarnos a la Ley de Protección de datos y LSSI; ¿Elige el tuyo? - Eurovima Consulting

Veamos: ¿A quién afecta?  y  ¿Por qué es importante?

Primero hagámonos ésta pregunta, ¿a qué empresas/organizaciones/ profesionales afecta?

A TODAS; empresas, profesionales y también a entidades que tengan o no ánimo de lucro; fundaciones, asociaciones, comunidades de vecinos, etc.

De tal manera que las que tengan empleados/clientes/asociados/etc. estarán afectas por la Ley de Protección de Datos de Carácter Personal (LOPD) y las que actúen por Internet –aunque sólo tengan una página informativa-, por la LSSI.

En segundo lugar, veamos y busquemos motivos, legales o no, para adecuarnos; ¿por qué es importante? Entre otros motivos podemos señalar:

  • Ser un requerimiento legal, desde hace ya muchos, muchos, muchos años.
  • Se trata de uno de los derechos fundamentales reconocidos por la Constitución: “garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar”.
  • Su aplicación compete a toda la Organización (dirección, empleados, comerciales, etc).
  • Su incumplimiento puede originar sanciones y problemas de imagen y confianza.
  • Permite implementar y revisar las medidas técnicas y organizativas que garantizan la confidencialidad, integridad, disponibilidad y un correcto tratamiento de la información que nuestros Clientes/Usuarios/Asociados/Miembros/Colaboradores nos han confiado.
  • Debemos garantizar la continuidad de nuestro negocio. Invertir en seguridad supone ganar en rapidez y eficacia, adquiriendo un compromiso con la calidad y ética empresarial.
  • Ofrecer al cliente de Internet la misma imagen, seguridad, garantías y confianza que tienen de nuestra empresa de manera presencial.
  • Los servicios, comunicaciones en Internet, Redes Sociales, etc. se han convertido en canales de comunicación y marketing importantes para las empresas, grandes y pequeñas; donde ofrecer servicios, productos, imagen y filosofía, sin limitaciones geográficas y a una multitud de visitantes.
  • Recordemos que no estamos ante un proceso estático ya que es necesario que se encuentre actualizado siendo necesario establecerlo como un proceso de mejora continua.

¿A qué estamos obligados? Entre otras cuestiones a:

  • Declarar que datos tratamos, su finalidad, usos, cesiones, etc. y que los medios usados (captación, tratamiento y difusión) en el tratamiento de datos de carácter personal, sean adecuados y que los datos sean proporcionales a su finalidad, veraces y obtenidos legítimamente
  • Mantener actualizadas las medidas seguridad y procedimientos que garanticen el cumplimiento de los requerimientos legales de la información con datos de carácter personal que gestionamos.
  • Revisar o formalizar los contratos, con aquellos que nos prestan un servicio con acceso o tratamiento de nuestros datos (asesorías, mantenimiento informático, etc.).
  • Informar/implicar a los intervinientes (empleados, colaboradores, empresas externas), y facilitar y garantizar derechos de oposición, acceso, rectificación y cancelación a los clientes.
  • A la adaptación de nuestra página web, desde el punto de vista LOPD como LSSICE (Boletín de Novedades o Newsletter, registros de usuarios, Ventas, etc.).

Busca tu motivo para cumplir con la protección de datos y la LSSI

Habitualmente nos encontramos que muchos de estos aspectos las empresas los cumplen simplemente por el interés de salvaguardar su propio negocio y la información que lo sustenta.

Puede que también tengan implementadas medidas técnicas y organizativas que garantizan la seguridad, confidencialidad y un correcto tratamiento de la información que gestionan aun cuando no se encuentran gestionados, documentados o controlados tal y como establece la normativa.

Por todo lo dicho, busca tu motivo para cumplir con la protección de datos y la LSSI y llámanos, te informaremos en detalle.