Ley Omnibus y Videovigilancia. Implicaciones LOPD

Categorías: abogado proteccion de datos |

Pseudo-Cartel de VideovigilanciaEl pasado 27 de diciembre entró en vigor la Ley 25/2009, conocida como Ley Omnibus, por la cual se modifican 47 leyes estatales de sectores como el de la energía, el transporte, las comunicaciones, la agricultura o la sanidad y liberaliza la prestación de determinadas actividades y servicios.

Esta ley supone la modificación de 116 decretos leyes y normas autonómicas y municipales y elimina 16 regímenes de autorización previa, otros 32 los sustituye por comunicaciones previas, y suprime 111 requisitos. Introduce una Disposición Adicional a la Ley de Seguridad Privada, 23/1992 de 30 de julio, que modifica su artículo 5.1 e), por la cual permite la instalación y mantenimiento de sistemas de videovigilancia por empresas distintas a las de seguridad privada. Así, cualquier empresa o particular podrá “vender, entregar, instalar y mantener equipos técnicos de seguridad” sin necesidad de cumplir las exigencias previstas en la Ley de Seguridad Privada para tales empresas, siempre que dichas instalaciones de videovigilancia no estén conectadas a una central de alarmas, en cuyo caso sí que deben estar realizadas por una empresa autorizada y registrada en el Ministerio del Interior.

En el campo de la protección de datos personales se mantienen las obligaciones del Responsable del Fichero, de informar a los interesados (carteles y hojas informativas), inscribir los ficheros ante la AEPD e implantar las medidas de seguridad en el tratamiento de las imágenes, estipuladas en la Ley Orgánica 15/1999 y, en concreto, en la Instrucción 1/2006 específica sobre videovigilancia. Si bien, lo que no se exige con este cambio de normativa es la comentada necesidad de que la instalación fuera realizada por una empresa autorizada de seguridad si la instalación no está conectada a una central de alarmas.

En mi opinión, esto puede hacer proliferar la instalación de sistemas de videovigilancia sin mayor control que el presumible buen hacer de las empresas instaladoras, lo que puede dar lugar a instalaciones que conculquen ciertos derechos de las personas que sean grabadas por no cumplir con los requisitos mínimos que establece la LOPD en materia de tratamiento de datos por sistemas de videovigilancia.

En la Memoria de 2008 de la AEPD, las reclamaciones relativas a videovigilancia ocuparon el tercer lugar, por detrás de telecomunicaciones y entidades financieras. Consuela, al menos, saber que el primer puesto en el ranking de ficheros inscritos lo ocupaban altas de ficheros de videovigilancia. No es descabellado pensar que a medida que la población vaya conociendo sus derechos en esta materia, el número de reclamaciones y ejercicio de derechos se dispare en los proximos años con motivo del control a posteriori de las instalaciones que se ha de realizar por el ciudadano y la AEPD.

Relacionado:

Áreas de Práctica Abanlex Abogados

Nota completa de la AEPD

Nota: La imagen que ilustra la entrada es un claro ejemplo de cartel que NO cumple los requisitos de la Instrucción 1/2006

Protección de datos personales en Centros Educativos públicos y privados

La adecuación a la normativa de protección de datos personales es ya una prioridad en la mayoría de centros educativos, tanto públicos como privados, de la Comunidad de Madrid y el resto de España. En cuanto a los centros públicos, casi el cien por cien (97%) de los de la Comunidad de Madrid tienen al menos un fichero inscrito en la APDCM, mientras que en el Plan sectorial de oficio a la enseñanza reglada no universitaria realizado por la AEPD se señala que solamente ocho de los 16 centros visitados, a nivel estatal, habían inscrito un fichero que hiciera referencia al tratamiento de datos personales de los alumnos o personal docente.

La Ley Orgánica de Educación (LOE) complementa en este sentido con su Disposición Adicional Vigesimotercera, a la Ley Orgánica de Protección de Datos (LOPD) y su normativa de desarrollo fijando los datos personales que podrán recabar los centros docentes así como que la mera incorporación de un alumno a un centro supondrá el consentimiento para el tratamiento de sus datos personales y, en su caso, la autorización para la cesión de los datos procedentes del centro en que hubiera estado matriculado con anterioridad. Dicha Disposición también hace referencia la deber de secreto por parte de los profesores y demás personal del centro de aquellos datos a los que tengan acceso con motivo del ejercicio de sus funciones. Por último, se recomienda que las cesiones de datos de un centro a otro se realicen de forma telemática asegurando una transferencia segura y efectiva. En caso de centros públicos de la Comunidad de Madrid, estarán también a lo estipulado en la Ley de Protección de Datos de la Comunidad de Madrid y su normativa de desarrollo.

Los ficheros más comunes que han de ser registrados por el tratamiento habitual de datos del centro educativo son:

  1. Expediente académico (calificaciones, absentismo…).
  2. Personal docente (fichero de profesores para gestión interna. Distinguir del fichero de rrhh de la Consejería de Educación).
  3. Personal no docente (mantenimiento, limpieza…).
  4. Servicios complementarios (comedor, transporte, guardería…).
  5. Proveedores.
  6. Admisión de alumnos (matriculaciones, solicitudes…).
  7. Orientación psicopedagógica.
  8. Otros en función de los servicios y características del centro.

En todo caso se ha de procurar por parte del centro educativo que solamente tengan acceso a los datos personales aquellas personas que, en cumplimiento de su función o cargo, estén autorizadas para ello. Es muy común que en determinadas ocasiones sea necesario dar publicidad a una serie de listados que contengan datos personales; siempre que sea posible se debe procurar que solamente los interesados tengan acceso a dicha información, bien proporcionando un usuario y contraseña para consulta online o, si la publicación ha de hacerse en tablones, que estos estén en una zona de acceso restringido para los interesados. Dicha publicidad ha de tener siempre en cuenta los principios de calidad (no incluir más datos que los necesarios) y proporcionalidad (procurar que sean las personas interesadas las que reciban la información sin que trascienda a terceros).

Nuevos ficheros. Además de los ficheros descritos anteriormente, de un tiempo a esta parte están proliferando dos tipos de tratamientos de datos que pueden poner en peligro de algún modo el libre desarrollo de la personalidad de los estudiantes y personal docente de los centros. Me refiero en concreto al tratamiento de datos por sistemas de videovigilancia y el control de presencia por huella digital. En todo caso estos sistemas de seguridad y control horario han de cumplir en todo caso los principios de Idoneidad (que sea un sistema óptimo para lograr el objetivo propuesto), Necesidad (justificación de que no se puede conseguir el objetivo de otro modo o es mucho más oneroso) y Proporcionalidad (ponderación que concluya que la finalidad de la medida propuesta merece mayor atención que la restricción de derechos que supone). Para la inscripción de ficheros de centros públicos es obligatorio incluso el acompañamiento del formulario de solicitud de un informe justificativo del respeto hacia estos tres principios. Para la instalación del sistema de control de presencia por huella  digital, también hay que considerar lo dispuesto en el Estauto de los Trabajadores (art. 64.1 y 64.2).

Por último, hay que reseñar la necesidad de tener redactado el correspondiente Documento de Seguridad que contenga las medidas de seguridad de índole técnico y organzativo que atañen al tratamiento de los datos personales. De igual manera se deben adaptar los impresos de recogida de datos, formularios y contratos para que contengan las cláusulas informativas que exige la ley. Cada dos años la ley exige una Auditoría de cumplimiento que puede ser interna o externa, siempre que la realice un profesional experto en la materia, que determine si se está cumpliendo con los requisitos mínimos en este ámbito o bien indique las cuestiones que necesiten de adaptación.

Enlaces de interés: Abanlex Abogados – Servicios Protección de datos.

Vecinos morosos en el Tablón de la Comunidad de Propietarios

Nuevo post en la web de Abanlex.

La Agencia Española de Protección de datos (AEPD) ha impuesto recientemente una sanción de 601,06 euros a una comunidad de propietarios de Valladolid por publicar en su tablón de anuncios la relación de aquellos vecinos que adeudaban cuotas a la Comunidad anexo a los acuerdos resultantes de una Junta.

La resolución de la AEPD se basa en un incumplimiento del deber de secreto por el responsable del fichero, tipificado en el artículo 10 de la LOPD, ya que no contaba con el consentimiento de los afectados. Las alegaciones de la comunidad se basaban en la imposibilidad de notificación a los particulares al no recoger las comunicaciones en su domicilio.

A pesar de ello, la AEPD fundamenta su decisión, entre otras, en la Sentencia nº 361, de 19/07/2001 del Tribunal Superior de Justicia de Madrid, donde se aclara:

“El deber de guardar secreto del artículo 10 queda definido por el carácter personal del dato integrado en el fichero, de cuyo secreto sólo tiene facultad de disposición el sujeto afectado, pues no en vano el derecho a la intimidad es un derecho individual y no colectivo. Por ello es igualmente ilícita la comunicación a cualquier tercero, con independencia de la relación que mantenga con él la persona a que se refiera la información (…)”.

Podría parecer que esta decisión entra en conflicto con el artículo 16.2 de la Ley de Propiedad Horizontal (LPH) que, respecto a la convocatoria de la Junta establece, “La convocatoria contendrá una relación de los propietarios que no estén al corriente en el pago de las deudas vencidas a la comunidad y advertirá de la privación del derecho de voto si se dan los supuestos previstos en el artículo 15.2”, lo que conlleva necesariamente el conocimiento de aquellos propietarios deudores, sin necesidad de recabar el consentimiento de los mismos. Pero este caso concreto, no se hallaría incluido en el supuesto del artículo citado, pues lo que se publicó no fue la relación de deudores de cara a una futura convocatoria de junta, sino el acuerdo resultante de la Junta celebrada anteriormente, que acordó publicar en tablones los deudores a dicha fecha. El motivo, según alegó la comunidad es que “no se recogían las cartas en el domicilio que constaba de la denunciante.”

Únicamente se podría publicar esta lista de morosos cuando se haya intentado por otros medios notificar personalmente a los afectados, siendo la última posibilidad la comunicación a través del Tablón de Anuncios. La finalidad de colgar la mencionada lista en el tablón es informar a los propietarios deudores que se hallan en tal situación, y no poner en conocimiento de terceros tal hecho, aunque ello sea una consecuencia inevitable.

Resolución Procedimiento Sancionador.

Artículo completo.

Conversación sobre Libros de Bautismo, Apostasía y Protección de Datos

Categorías: abogado proteccion de datos,AEPD,LOPD,Privacidad |

A continuación, con permiso de mis dos amigos (ninguno de ellos abogado ni relacionado con la materia), transcribo un pequeño debate que surgió, vía mail, en relación a las sentencias de la Audiencia Provincial de Valencia, la posterior estimación del recurso de casación por el Tribunal Supremo y la intención de la AEPD de recurrir al Constucional. Creo que es ilustrativo de las diferentes posturas que se pueden encontrar en la calle al respecto.

XAG: “Viendo la reciente disposición de la parroquia al debate y la reflexión sobre temas más o menos de actualidad, me dispongo a abrir un nuevo tema para el que pido la opinión de todos vosotros, en especial de Joaquín, que es el que se dedica al tema…” (Copia link de la noticia)

JMR: Para los que quieran un exámen jurídico en profundidad de la sentencia recomiendo el artículo de Miguel Ángel Mata, amigo mío.
Hay fundamentos suficientes desde el punto de vista de la Ley de Protección de Datos tanto para dar la razón a unos como a otros. La AEPD, como siempre, partiendo de una ley hecha para matar moscas a cañonazos, barre para casa. En las sentencias de la Audiencia Provincial de Valencia y el Tribunal Supremo se limitan a discutir sobre meras definiciones, lo cual demuestra que la LOPD no es nada explícita.
Mi opinión es que los Libros de Bautismo son libros, generalmente ya amarillos en los que para buscar el nombre de alguien tienes que saber, al menos el mes y año de bautismo y la Iglesia en la que fue bautizado porque sino, puedes tirarte un siglo, por lo que no los considero un fichero organizado de datos, como ha dicho el TS. Os propongo si no, que alguno de vosotros intente localizar la partida de bautismo de alguno del grupo…de locos. Además, creo que aún no se ha dado el caso de que alguna Iglesia haya utilizado esos datos (que no incluyen ni dirección, ni teléfono, ni mail del bautizado o sus padres, por ejemplo), para enviar a sus casas ni siquiera la hoja parroquial o el “Hoy Domingo”… por lo que son simplemente un archivo de mera constatación del hecho del bautismo de cara a futuras “relaciones” con la Iglesia, en caso de que cada uno quiera seguir teniéndolas, es decir, continuar recibiendo sacramentos. También entran por ahí en juego los acuerdos entre el Estado y la Santa Sede, pero eso es cosa aparte.
Creo que es lícito que el que quiera apostate, de eso sólo le podrá pedir cuentas el Jefe, no la AEPD, o el párroco de turno. De ahí a que se le borre de los libros… personalmente creo que incluso para el apóstata es mejor que conste que ha decidido hacerlo, y quede reflejada su voluntad, a que se le borre como si nunca hubiera estado.

XAG: “Efectivamente es lícito que quien quiera apostatar, apostate. Como diría el otro: “faltaría más…”.

Pero yo creo (desde mi enciclopédica ignorancia sobre el tema y abogando por el diablo) que, desde el punto de vista de la protección de datos, no tiene sentido que quien quiera ejercer su derecho (constitucional, si no me equivoco) a cancelar/borrar/rectificar sus datos personales de un fichero (que como bien dices, es difícil calificar de organizado, pero que contiene sin duda datos personales) vea que su acción tiene como efecto que, no sólo sus datos personales  no son borrados, sino que además le es añadido un nuevo dato (tb personal): el propio de la apostasía.

Y sigo en representación de don Diablo: Tampoco creo que tenga sentido en los tiempos que corren que la Iglesia recurra a los “históricos privilegios” que los Concordatos (firmados en 1979 con la Santa Sede) le confieren. Creo que la Iglesia debe leer bien los signos de los tiempos si no quiere que siga creciendo el ya de por sí grande sentimiento anticlerical. Desde mi opinión, considerándome un miembro de la Iglesia Católica (aunque en habitual desacuerdo con su jerarquía) y reconociendo que una parte importante de la sociedad española (ya no me atrevería a decir que la mayoría) se considere parte de la misma, creo que el Estado no debe financiar ninguna agrupación sea ésta de la índole que quiera (aquí incluiría por supuesto a los partidos políticos, en cuya financiación todos somos legalmente paganos…). El dinero que se recaude de los impuestos que TODOS pagamos, debe revertir en acciones de las que TODOS nos beneficiemos. ¿Estaríamos de acuerdo si, un día en España la mitad de la población es musulmana, en que el Estado deba financiar al Islam? Yo tengo clara mi respuesta.

En fin, es por hablar de algo… y porque no encontraba ningun video intersante que mandar…

ECG: “Me gusta que haya salido a la luz este debate, ya que pone de manifiesto una vez más el sentimiento “revanchista” que cada día más se ve contra la Iglesia, por parte de un grueso de la izda. española moderna, bien conocida como “progre”.

Y llegado a este punto del tema, tan interesante como inútil, mi reflexión es la siguiente ¿a quién carajo le importa que en alguna perdida iglesia del mundo, en un viejo libro, escrito no probablemente a boli sino a lápiz, esté reflejado que tal día de tal año se bautizó a un niño y que ahora ese niño ya crecido no quiere pertenecer a la Santa Madre Iglesia?

Me gusta la reflexión de Joaquín, Primero ¿cómo carajo encontrar una partida bautismal hoy día? Y segundo ¿qué información da para que a alguien le preocupe? ¿es que a un apóstata le preocupa que esa partida exista? ¿es que le compromete a algo? La pertenencia a una confesión no es como afiliarse a un partido político o ser socio de un club de fútbol. No exige cuotas ni responsabilidades, más bien al contrario, la relación es simplemente personal e intransferible entre el feligrés y el de arriba.
Y dado el caso, ¿para qué gastar tanta pasta en tener un registro de las partidas bautismales cuando eso no implica absolutamente nada? ¿no es mejor dotar los recursos en algo más útil?

En resumen…. mucho aburrimiento y muchas ganas de llamar la atención…”

JMR: Como te he dicho, se puede argumentar desde ambas partes.
De hecho, las dos sentencias discuten sobre la definición de fichero para dar la razón a unos o a otros. La de la Audiencia dice que sí es un fichero y la del supremo dice que no….
En mi opinión, tanta razón tienen unos (es un archivo de datos personales al fin y al cabo), como otros (al no ser un conjunto organizado es casi imposible encontrar a una persona en concreto, en este caso el apóstata y tratar sus datos). Aunque me inclino más por la opción del Supremo, teniendo en cuenta el voto particular, el cual también me parece una buena reflexión.
En fin…

Por cierto, me dáis permiso, para colgar esta conversación cibernética en mi blog? Es interesante y refleja las opiniones de una gran mayoría al respecto… gracias!

Tu jefe te espía

Categorías: abogado proteccion de datos,Privacidad |
El semanario alemán Stern publica hoy la noticia de que la cadena de supermercados Lidl ha contratado los servicios de una agencia de espionaje para controlar los movimientos de sus empleados. De los informes de la agencia se desprenden comentarios sobre la vestimenta de algún trabajador, así como acerca de sus comportamientos y las relaciones amorosas entre sus empleados. Un portavoz se excusa en que son filmaciones contra hurtos en las tiendas y no para la vigilancia de sus trabajadores.
Al parecer, estas prácticas solamente se han llevado a cabo en el estado de Baja Sajonia, pero no se descarta que se hayan producido en otros estados alemanes. Peter Schaar, responsable estatal de protección de datos alemán, ha considerado esta práctica un grave atentado contra la intimidad. Además, el artículo segundo de la Constitución alemana también se vería conculcado ya que defiende el libre desarrollo de la personalidad.
Este derecho del empleado se ve enfrentado al derecho del empresario a proteger su empresa.
La AEPD, se pronunció a este respecto en su día exigiendo, como requisito previo imprescindible la información y recabo del consentimiento del trabajador “en caso de que exista un sometimiento de los ficheros a la Ley Orgánica, será necesario para proceder al tratamiento de los datos el consentimiento de los afectados, tal y como dispone el artículo 6.1 de la Ley, debiendo informarse a los mismos de los extremos contenidos en el artículo 5.1 de la misma”. Recabado este imprescindible consentimiento, el empleador antes de instalar cámaras de vigilancia dentro del establecimiento de la empresa deberá sopesar la necesidad real y objetiva de la instalación de esas cámaras y evaluar el grado de intrusión en la privacidad de su empleado, limitando las grabaciones a una finalidad concreta.
Esta clara violación del derecho a la intimidad abre otros debates similares como son la lectura de los e-mails, o el exhaustivo control horario.

El nuevo Reglamento de desarrollo LOPD

Categorías: abogado proteccion de datos,LOPD |
El esperado Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, LOPD), ha sido publicado, en el BOE, el 19 de enero de este año, unos meses después de la fecha prevista. Introduce algunas novedades, entre las que destaca la extensión de su ámbito de aplicación a los datos de carácter personal contenidos en soporte físico, que sean susceptibles de tratamiento.
Su entrada en vigor será el 19 de abril de 2008, tres meses después de su publicación.
El Reglamento establece unos plazos para la implantación de las nuevas medidas a los ficheros que ya existan a la fecha de su entrada en vigor, que van desde un año a partir de la entrada en vigor del Real Decreto hasta los dieciocho meses, en función del tipo de fichero y del nivel de seguridad exigido, ampliados hasta dos años para los ficheros no automatizados que contengan datos considerados de nivel alto. Para los ficheros que hayan sido creados con posterioridad al 19 de abril de 2008, deberán tener implantadas las medidas de seguridad del presente Reglamento desde el momento de su creación.
Se facilita la implantación de medidas de seguridad en las empresas al permitir, para aquellos datos referentes al grado de discapacidad o la simple declaración de la condición de invalidez o discapacidad, aplicar medidas de seguridad de nivel básico, cuando su finalidad consista en cumplir con una obligación legal. Igualmente, para datos especialmente protegidos (ideología, afiliación sindical, religión o creencias, origen racial, salud o vida sexual), cuando únicamente se utilicen para el pago de cuotas como asociados o miembros.
El Reglamento concreta los requisitos necesarios para que se considere válido el consentimiento tácito. Así, establece que se debe conceder un plazo de 30 días para manifestar la negativa al tratamiento y se deben proporcionar los medios para que esta negativa pueda prestarse de forma sencilla y gratuita. No se podrá exigir para el ejercicio de acceso, rectificación, oposición y cancelación, la remisión de carta certificada o la utilización de servicios de tarificación adicional. Tampoco se podrán utilizar estos medios para la comentada revocación del consentimiento.
Las medidas de seguridad de nivel alto dispuestas, para el tratamiento de los ficheros no automatizados, consisten en proteger mediante puertas de acceso, bajo llave o sistema equivalente, los archivadores, armarios o aquellos dispositivos en los que se almacenen los ficheros. Aunque, el Reglamento relaja esta exigencia al permitir “medidas alternativas” para los casos en que no sea posible establecer estas medidas físicas.
Se ha aumentado la protección de los datos de menores de edad, prohibiendo la solicitud o tratamiento de los datos de menores de 14 años sin el consentimiento de sus padres. Si son mayores de esa edad, no se exige dicho consentimiento, salvo que sean actos que los menores de edad no puedan realizar sin el permiso paterno. El lenguaje de la información en la recogida debe garantizar que el menor la comprende y dejar constancia de que se ha comprobado su edad y la autenticidad del consentimiento prestado.
Asimismo, se eleva a una protección con medidas de seguridad de nivel alto de aquellos datos personales derivados de la violencia de género, tráfico y localización de los operadores de servicios de comunicaciones electrónicas o que exploten las redes públicas de telecomunicaciones.
Con el nuevo Reglamento, no todos los ficheros de las Administraciones Públicas tendrán la consideración de ficheros públicos. Serán privados los correspondientes a aquellos organismos públicos que no estén vinculados al ejercicio de potestades de Derecho Público (cámaras de comercio, colegios profesionales, cofradías de pescadores…).
Por último, señalar que los productos de software utilizados para el tratamiento de datos personales, se exige que incluyan en su descripción el nivel de seguridad con el que permiten proteger los datos, según los niveles estipulados en el Reglamento.