Almacenamiento de datos de carácter personal y su cesión a terceros. El caso de Google Street View.

Me han publicado en el último número de la revista Economist & Jurist un artículo acerca de la puesta en conocimiento público de la presunción de que la empresa estadounidense Google habría podido aprovechar los desplazamientos de sus coches de recolección de imágenes para el servicio Street View con la finalidad de recabar datos de localización de redes WI-FI y datos personales de sus titulares, derivando en el inicio de un procedimiento sancionador por la AEPD y una posterior denuncia penal, lo que ha hecho replantear la vulnerabilidad de este tipo de redes y cuestiona, desde el punto de vista procedimental, el alcance del non bis in idem para sanciones penales y administrativas.

El artículo completo puede ser descargado, previo registro, desde el siguiente enlace: Artículo completo

Noticias relacionadas:

• Apertura procedimiento sancionador en la AEPD
• Respuesta en el blog de Google
• Denuncia Asociación APEDANICA
• EL MUNDO
• LA VANGUARDIA
• PÚBLICO

Día de la Protección de Datos Personales 2011

Hoy viernes 28 de enero se celebra el Día de la Protección de Datos Personales con el fin de promover el conocimiento de los derechos de los ciudadanos en materia de privacidad y protección de datos. La fecha conmemora el aniversario de la firma del Convenio 108 del Consejo de Europa, piedra angular de la protección de datos en Europa. En Europa se celebra la Quinta Edición desde que en el año 2007 se celebró por primera vez el “Día de la Protección de Datos”.

En el resto del mundo, iniciativas tanto públicas como privadas han instituido también este día. Es el caso de DataPrivacyDay.org, en Estados Unidos, una web creada por Jolynn Dellinger cuyo objetivo es crear conciencia y promover la educación acerca de la privacidad haciendose eco de iniciativas a nivel internacional y proporcionando numerosos enlaces a materiales relacionados con la defensa de la privacidad.

En España me gustaría destacar un juego-concurso online creado por la Agencia de Protección de Datos de la Comunidad de Madrid dirigido a jóvenes de entre 12 y 16 años con el objetivo de sensibilizar acerca de la importancia de proteger sus datos personales. Me parece una iniciativa original, atractiva y muy didáctica. Enlace al juego: OLVIDADOS

Abanlex imparte tutorías gratuitas para alumnos y padres en colegios e institutos

Por nuestra parte, desde Abanlex queremos poner nuestro granito de arena en la celebración y para ello estamos visitando colegios impartiendo tutorías a los alumnos y padres en las que explicamos los riesgos actuales en materia de protección de datos y privacidad.

Las sesiones para alumnos tratan sobre la situación actual de Internet y las Redes Sociales, entrando en el estudio de los riesgos que representa para los adolescentes usuarios y las precauciones que se han de prestar. Se comentan formas reales de delitos en la red (grooming, sexting, phising, suplantación de identidad, etc.) para conocimiento de los alumnos, así como las soluciones legales para evitarlos en caso de verse envueltos en los mismos.

Las sesiones para padres estarán enfocadas a presentar la realidad actual en Internet y las soluciones, herramientas y recomendaciones de que disponen para proteger a los menores y a ellos mismos de los riesgos existentes.

Si eres profesor o director de un colegio o instituto y estás interesado en que impartamos estas sesiones, puedes solicitarlo en el siguiente formulario de contacto. Si eres padre o alumno, puedes comentarlo en tu colegio y que se pongan en contacto con nosotros en el mismo formulario. Estas sesiones informativas las impartimos de forma desinteresada sin coste alguno para el centro.

Abanlex Abogados: Protección de Datos

Cómo defender nuestro derecho a la privacidad

Podcast de mi intervención, el pasdo domingo 10 de enero, en el programa “La noche en vela” de RNE, en el que tratamos situaciones en las que se pone en peligro la privacidad de los ciudadanos y algunos de los peligros actuales con los que nos encontramos en Internet.

Pincha aquí para escuchar:

“Cómo defender nuestro derecho a la privacidad”

Feliz Navidad Digital

Quería desear a todos los visitantes del blog una Feliz Navidad Digital y que 2011 venga cargado de éxitos personales y profesionales.

Nace Evalúa. La herramienta de la AEPD para evaluación del grado de cumplimiento LOPD

Esta mañana, en el marco de la celebración del Día Europeo de Protección de Datos, la AEPD ha presentado una herramienta accesible desde su página web para que las empresas y autónomos puedan evaluar el nivel de cumplimiento actual de la normativa vigente en protección de datos que tienen en sus procesos de tratamiento de datos.

El programa se llama Evalúa y, en el test básico de cumplimiento, guía al usuario por una serie de encuestas acerca de los procedimientos que ha utilizado para el recabo de datos personales, la forma en que se informa a los interesados, qué se hace con los datos una vez dejan de ser útiles, forma de ejercicio de los derechos ARCO, cesiones de datos a terceros, medidas de seguridad y demás requisitos de la LOPD.

Al finalizar el Programa genera un Informe en Pdf con la información que estima conveniente que el usuario debe conocer en función de las respuestas emitidas. No tengo claro aún si el informe es igual para todos los usuarios ya que me parece que toca todos los puntos del test, incluso aquellos que he respondido correctamente en la prueba ficticia que he realizado.

La herramienta dispone asimismo de un segundo test que evalúa la corecta implantación de las medidas de seguridad que se exigen en la normativa, desde el Documento de Seguridad, funciones y obligaciones del personal, controles de acceso, registros de incidencias, gestión de soportes, formas de acceso al fichero y así hasta 13 secciones que hacen la cumplimentación bastante larga y tediosa. La AEPD, en su nota de prensa, ya avanza que rellenarlo lleva entre 45 y 60 minutos…

Me parece que tiene un gran valor didáctico la herramienta, pero no creo que muchas de las empresas, en su mayoría PYMES, que aún faltan por adecuar sus procedimientos a la LOPD estén por la labor de completar ambos formularios en su totalidad. Más aún, a pesar de que los completen y reciban el informe generado, la mayoría tendrán que seguir acudiendo a un experto en la materia para adecuar sus procedimiento, ya que, ante tal magnitud de cuestiones, imposible me parece que una empresa conteste correctamente al “examen” planteado y no necesite modificar algo.

Relacionado:

• Enlace a EVALÚA
• Abanlex Abogados Protección de Datos

Ley Omnibus y Videovigilancia. Implicaciones LOPD

El pasado 27 de diciembre entró en vigor la Ley 25/2009, conocida como Ley Omnibus, por la cual se modifican 47 leyes estatales de sectores como el de la energía, el transporte, las comunicaciones, la agricultura o la sanidad y liberaliza la prestación de determinadas actividades y servicios.

Esta ley supone la modificación de 116 decretos leyes y normas autonómicas y municipales y elimina 16 regímenes de autorización previa, otros 32 los sustituye por comunicaciones previas, y suprime 111 requisitos. Introduce una Disposición Adicional a la Ley de Seguridad Privada, 23/1992 de 30 de julio, que modifica su artículo 5.1 e), por la cual permite la instalación y mantenimiento de sistemas de videovigilancia por empresas distintas a las de seguridad privada. Así, cualquier empresa o particular podrá “vender, entregar, instalar y mantener equipos técnicos de seguridad” sin necesidad de cumplir las exigencias previstas en la Ley de Seguridad Privada para tales empresas, siempre que dichas instalaciones de videovigilancia no estén conectadas a una central de alarmas, en cuyo caso sí que deben estar realizadas por una empresa autorizada y registrada en el Ministerio del Interior.

En el campo de la protección de datos personales se mantienen las obligaciones del Responsable del Fichero, de informar a los interesados (carteles y hojas informativas), inscribir los ficheros ante la AEPD e implantar las medidas de seguridad en el tratamiento de las imágenes, estipuladas en la Ley Orgánica 15/1999 y, en concreto, en la Instrucción 1/2006 específica sobre videovigilancia. Si bien, lo que no se exige con este cambio de normativa es la comentada necesidad de que la instalación fuera realizada por una empresa autorizada de seguridad si la instalación no está conectada a una central de alarmas.

En mi opinión, esto puede hacer proliferar la instalación de sistemas de videovigilancia sin mayor control que el presumible buen hacer de las empresas instaladoras, lo que puede dar lugar a instalaciones que conculquen ciertos derechos de las personas que sean grabadas por no cumplir con los requisitos mínimos que establece la LOPD en materia de tratamiento de datos por sistemas de videovigilancia.

En la Memoria de 2008 de la AEPD, las reclamaciones relativas a videovigilancia ocuparon el tercer lugar, por detrás de telecomunicaciones y entidades financieras. Consuela, al menos, saber que el primer puesto en el ranking de ficheros inscritos lo ocupaban altas de ficheros de videovigilancia. No es descabellado pensar que a medida que la población vaya conociendo sus derechos en esta materia, el número de reclamaciones y ejercicio de derechos se dispare en los proximos años con motivo del control a posteriori de las instalaciones que se ha de realizar por el ciudadano y la AEPD.

Relacionado:

Áreas de Práctica Abanlex Abogados

Nota completa de la AEPD

Nota: La imagen que ilustra la entrada es un claro ejemplo de cartel que NO cumple los requisitos de la Instrucción 1/2006

Entrevista para la Red Innova & Crea

Hoy publica Jorge Hierro en su blog una entrevista que me realizó en el marco del I Congreso Innetwork de la Red Innova & Crea, de la cual Abanlex es colaborador.

En ella expongo mi humilde visión acerca de las tendencias de futuro en Internet, la normativa actual o el emprendimiento, entre otros asuntos.

Entrevista Joaquin Red Innova & Crea

Jorge Hierro es el Presidente del Departamento de Comunicación, Prensa y Formación de la Red Innova & Crea.

Dejo a continuación algunos links para el que quiera saber más de este interesantísimo proyecto.

Protección de datos personales en Centros Educativos públicos y privados

La adecuación a la normativa de protección de datos personales es ya una prioridad en la mayoría de centros educativos, tanto públicos como privados, de la Comunidad de Madrid y el resto de España. En cuanto a los centros públicos, casi el cien por cien (97%) de los de la Comunidad de Madrid tienen al menos un fichero inscrito en la APDCM, mientras que en el Plan sectorial de oficio a la enseñanza reglada no universitaria realizado por la AEPD se señala que solamente ocho de los 16 centros visitados, a nivel estatal, habían inscrito un fichero que hiciera referencia al tratamiento de datos personales de los alumnos o personal docente.

La Ley Orgánica de Educación (LOE) complementa en este sentido con su Disposición Adicional Vigesimotercera, a la Ley Orgánica de Protección de Datos (LOPD) y su normativa de desarrollo fijando los datos personales que podrán recabar los centros docentes así como que la mera incorporación de un alumno a un centro supondrá el consentimiento para el tratamiento de sus datos personales y, en su caso, la autorización para la cesión de los datos procedentes del centro en que hubiera estado matriculado con anterioridad. Dicha Disposición también hace referencia la deber de secreto por parte de los profesores y demás personal del centro de aquellos datos a los que tengan acceso con motivo del ejercicio de sus funciones. Por último, se recomienda que las cesiones de datos de un centro a otro se realicen de forma telemática asegurando una transferencia segura y efectiva. En caso de centros públicos de la Comunidad de Madrid, estarán también a lo estipulado en la Ley de Protección de Datos de la Comunidad de Madrid y su normativa de desarrollo.

Los ficheros más comunes que han de ser registrados por el tratamiento habitual de datos del centro educativo son:

1. Expediente académico (calificaciones, absentismo…).
2. Personal docente (fichero de profesores para gestión interna. Distinguir del fichero de rrhh de la Consejería de Educación).
3. Personal no docente (mantenimiento, limpieza…).
4. Servicios complementarios (comedor, transporte, guardería…).
5. Proveedores.
6. Admisión de alumnos (matriculaciones, solicitudes…).
7. Orientación psicopedagógica.
8. Otros en función de los servicios y características del centro.

En todo caso se ha de procurar por parte del centro educativo que solamente tengan acceso a los datos personales aquellas personas que, en cumplimiento de su función o cargo, estén autorizadas para ello. Es muy común que en determinadas ocasiones sea necesario dar publicidad a una serie de listados que contengan datos personales; siempre que sea posible se debe procurar que solamente los interesados tengan acceso a dicha información, bien proporcionando un usuario y contraseña para consulta online o, si la publicación ha de hacerse en tablones, que estos estén en una zona de acceso restringido para los interesados. Dicha publicidad ha de tener siempre en cuenta los principios de calidad (no incluir más datos que los necesarios) y proporcionalidad (procurar que sean las personas interesadas las que reciban la información sin que trascienda a terceros).

Nuevos ficheros. Además de los ficheros descritos anteriormente, de un tiempo a esta parte están proliferando dos tipos de tratamientos de datos que pueden poner en peligro de algún modo el libre desarrollo de la personalidad de los estudiantes y personal docente de los centros. Me refiero en concreto al tratamiento de datos por sistemas de videovigilancia y el control de presencia por huella digital. En todo caso estos sistemas de seguridad y control horario han de cumplir en todo caso los principios de Idoneidad (que sea un sistema óptimo para lograr el objetivo propuesto), Necesidad (justificación de que no se puede conseguir el objetivo de otro modo o es mucho más oneroso) y Proporcionalidad (ponderación que concluya que la finalidad de la medida propuesta merece mayor atención que la restricción de derechos que supone). Para la inscripción de ficheros de centros públicos es obligatorio incluso el acompañamiento del formulario de solicitud de un informe justificativo del respeto hacia estos tres principios. Para la instalación del sistema de control de presencia por huella  digital, también hay que considerar lo dispuesto en el Estauto de los Trabajadores (art. 64.1 y 64.2).

Por último, hay que reseñar la necesidad de tener redactado el correspondiente Documento de Seguridad que contenga las medidas de seguridad de índole técnico y organzativo que atañen al tratamiento de los datos personales. De igual manera se deben adaptar los impresos de recogida de datos, formularios y contratos para que contengan las cláusulas informativas que exige la ley. Cada dos años la ley exige una Auditoría de cumplimiento que puede ser interna o externa, siempre que la realice un profesional experto en la materia, que determine si se está cumpliendo con los requisitos mínimos en este ámbito o bien indique las cuestiones que necesiten de adaptación.

Enlaces de interés: Abanlex Abogados – Servicios Protección de datos.

Vecinos morosos en el Tablón de la Comunidad de Propietarios

Nuevo post en la web de Abanlex.

La Agencia Española de Protección de datos (AEPD) ha impuesto recientemente una sanción de 601,06 euros a una comunidad de propietarios de Valladolid por publicar en su tablón de anuncios la relación de aquellos vecinos que adeudaban cuotas a la Comunidad anexo a los acuerdos resultantes de una Junta.

La resolución de la AEPD se basa en un incumplimiento del deber de secreto por el responsable del fichero, tipificado en el artículo 10 de la LOPD, ya que no contaba con el consentimiento de los afectados. Las alegaciones de la comunidad se basaban en la imposibilidad de notificación a los particulares al no recoger las comunicaciones en su domicilio.

A pesar de ello, la AEPD fundamenta su decisión, entre otras, en la Sentencia nº 361, de 19/07/2001 del Tribunal Superior de Justicia de Madrid, donde se aclara:

“El deber de guardar secreto del artículo 10 queda definido por el carácter personal del dato integrado en el fichero, de cuyo secreto sólo tiene facultad de disposición el sujeto afectado, pues no en vano el derecho a la intimidad es un derecho individual y no colectivo. Por ello es igualmente ilícita la comunicación a cualquier tercero, con independencia de la relación que mantenga con él la persona a que se refiera la información (…)”.

Podría parecer que esta decisión entra en conflicto con el artículo 16.2 de la Ley de Propiedad Horizontal (LPH) que, respecto a la convocatoria de la Junta establece, “La convocatoria contendrá una relación de los propietarios que no estén al corriente en el pago de las deudas vencidas a la comunidad y advertirá de la privación del derecho de voto si se dan los supuestos previstos en el artículo 15.2”, lo que conlleva necesariamente el conocimiento de aquellos propietarios deudores, sin necesidad de recabar el consentimiento de los mismos. Pero este caso concreto, no se hallaría incluido en el supuesto del artículo citado, pues lo que se publicó no fue la relación de deudores de cara a una futura convocatoria de junta, sino el acuerdo resultante de la Junta celebrada anteriormente, que acordó publicar en tablones los deudores a dicha fecha. El motivo, según alegó la comunidad es que “no se recogían las cartas en el domicilio que constaba de la denunciante.”

Únicamente se podría publicar esta lista de morosos cuando se haya intentado por otros medios notificar personalmente a los afectados, siendo la última posibilidad la comunicación a través del Tablón de Anuncios. La finalidad de colgar la mencionada lista en el tablón es informar a los propietarios deudores que se hallan en tal situación, y no poner en conocimiento de terceros tal hecho, aunque ello sea una consecuencia inevitable.

Resolución Procedimiento Sancionador.

Artículo completo.

Cancelación de datos en servicios de información sobre solvencia patrimonial y crédito

Nuevo artículo en la web de Abanlex Abogados.

Resumen y comentario de la la Resolución R/01906/2008 de la Agencia Española de Protección de Datos.

Dicha resolución carga sobre el propio acreedor la obligación de cacelar los datos de los morosos de los servicios sobre solvencia patrimonial y crédito (ASNEF, RAI, etc.)  que deben proceder a solicitar una vez la deuda ha sido satisfecha.

Cuando el deudor se dirige a estas entidades para cancelar sus datos, éstas darán traslado de la solicitud al acreedor, que es quien debe contestar en un plazo de 7 días y, de no hacerlo, las entidades de información procederán a cancelar el registro.

La resolución dice textualmente que el  acreedor “es el único que tiene la posibilidad de incluir los datos en el fichero de información sobre insolvencia patrimonial y crédito, y de instar la cancelación de los mismos cuando la deuda sea inexistente o haya sido saldada.”

Por tanto, en caso de encontrarse en el supuesto de haber cancelado una deuda y seguir constando en las listas de morosos, la solicitud de cancelación ha de ser dirigida a la empresa con la que tuvimos la deuda y, de no ser atendida, la dirigiremos alas entidades que prestan el referido servicio de información sobre solvencia patrimonial y crédito.

Artículo completo

Artículos siguientes »