APEP Informa número 5

NÚMERO
05
Informa
ENERO
2012
En este número:
Una nueva singladura ………………………………………………………………….………………… P.1
I desayuno APEP ……………………………………………………………..………………………….. P.2
Sobre el principio de culpabilidad, por Ricard Martínez Martínez ……………….…………..….. P.3
Algunas reflexiones sobre el deber de información y el consentimiento, por Eduard Chaveli. P. 9
La paja en el ojo ajeno, por Javier Peris …………………………………………………………… P.13
La figura del responsable de protección de datos, por Félix Haro ………………………..……. P.17
Entrevista a Dª Esther Mitjans, directora de la APDCAT ……………………… ……….…….…..P.20
Entrevista a D. Santiago Abascal, director de la APDCM ……………………………………. ….P.22
Entrevista a D. Iñaki Vicuña, director de la AVPD.. ……………………………………………….P.24
Jurisprudencia …………………………….………………………………………………………….…..P.26
Una nueva singladura
Con este número inicia una nueva aventura el Boletín de la Asociación Profesional Española de
Privacidad. El Boletín que llega a las manos de nuestros asociados y nuestras asociadas es una clara
Reanudamos
nuestro boletín
manifestación del espíritu de APEP. Por una parte, es fruto del esfuerzo individual y voluntario de distintas
personas que aportan su trabajo desinteresadamente en beneficio de nuestro colectivo. Por otra parte,
constituye un reforzamiento de nuestro apoyo en la promoción de un conocimiento riguroso y útil y en la
generación de servicios. Debemos profundizar en esta doble naturaleza.
Iniciamos el 2012 con una
nueva edición del boletín
de APEP.
En primer lugar, en los próximos meses APEP se enfrenta al reto de consolidar un entorno de servicios
basados en la promoción del conocimiento y en la formación. Para ello el Boletín constituye la primera
pieza en la construcción de una línea de publicaciones especializadas que nos permita aprovechar el
conocimiento generado en actividades de APEP como cursos, jornadas y congresos.
Por otra parte, y en segundo lugar, el esfuerzo en materia de publicaciones obliga a dinamizar la comisión
de publicaciones y formación respectivamente y abrir cauce a la participación de todas las personas
asociadas en la creación del conocimiento. Por ello, a través de la Comisión procederá definir criterios
que permitan ampliar el número de colaboradores en la creación del Boletín y la variedad temática de sus
entradas y a la vez fijar requisitos de calidad mínima para la publicación.
Se trata de garantizar
regularidad y calidad en una publicación que se concibe como exclusiva para los asociados y las
asociadas de APEP.
Disponer de un conocimiento actualizado, y cuando proceda crítico, resulta un reto estratégico para APEP
junto con la formación. Las condiciones normativas en nuestro país y la existencia de formación
universitaria y sectorial sólidas promueven un sector altamente especializado y competitivo.
Somos conscientes de la grave problemática que afecta al sector de la mano de la competencia desleal y
fraudulenta del Coste 0. Sin embargo, ni este Boletín, ni el esfuerzo inmediato de formación a desarrollar
en el primer semestre de 2012 son en absoluto ajenos a esta lucha. Frente a quienes ofrecen servicios
de “copiar-pegar”, APEP debe apostar por la calidad fomentando una profesionalidad basada en un
conocimiento jurídico y técnico profundos como una estrategia fundamental de mejora y competitividad.
1
I desayuno APEP; cloud y privacidad.
El pasado 13 de diciembre de 2012, tuvo lugar el primer desayuno de trabajo organizado por APEP
Actividades
APEP
en Madrid. Con esta actividad se inicia el desarrollo de un formato de actividades en las que se
tratará de ofrecer cíclicamente un foro de encuentro entre los profesionales del sector, la industria y
representantes políticos y gubernamentales con la finalidad de promover el debate sobre cuestiones
relacionadas con la privacidad.
El pasado 13 de diciembre
de 2012, tuvo lugar el
En esta primera ocasión, el tema de discusión fueron las implicaciones de protección de datos
primer desayuno de trabajo
personales en los entornos de cloud computing. Tras una breve intervención del presidente de
organizado por APEP en
APEP, Ricard Martínez, en el panel de ponentes intervinieron miembros de la industria y de la
Madrid.
autoridad
Microsoft
Con esta actividad se inicia
Ibérica), Patricia Perea (Desarrollo de Negocio de Telefónica Móviles), Pedro M. Prestel (Presidente
el desarrollo de un formato
de
control
nacional: Asier Crespo
(Legal
and Corporate Affairs (LCA),
de Eurocloud España) y Rafael García Gozalo (Coordinador del Área Internacional, Agencia
Española de Protección de Datos).
de actividades en las que
se
tratará
de
ofrecer
El debate se desarrolló con la moderación de Cecilia Álvarez Rigaudias, vicepresidenta de
cíclicamente un foro de
APEP, que fue planteando los problemas principales desde el punto de vista de la aplicación del
encuentro
marco normativo vigente a la prestación de servicios de Cloud Computing.
profesionales del sector, la
Las intervenciones giraron en torno al encuadre o no del prestador de servicios de cloud en la figura
del encargado, a la necesidad de imputar responsabilidad a cliente y proveedor según su ámbito
entre
los
industria y representantes
políticos
y
respectivo de control y no tanto del título de responsable o encargado, a la oportunidad de contar
gubernamentales
con un código de conducta sectorial así como a las dificultades prácticas de cumplir los requisitos de
finalidad de promover el
subcontratación y transferencias internacionales y las herramientas o nuevas restricciones al efecto
debate
establecidas en el borrador de nuevo reglamento comunitario de protección de datos recientemente
relacionadas
filtrado desde Bruselas.
privacidad.
El debate, estuvo alimentado igualmente por la intensa y dinámica participación de los asistentes. En
este sentido, existió un consenso común tanto en la mesa como en el público en cuanto a la
procedencia de enmarcar a los prestadores de servicios de cloud en la figura del encargado si bien
con una cierta prevención en relación con el futuro desarrollo de la normativa comunitaria. En
relación con esta cuestión, resulta objeto de una intensa discusión el alcance jurídico y las
consecuencias de un modelo de contratación que sigue los pasos de otros suministros y, por tanto,
en muchos casos utiliza condiciones generales de contratación, respecto las cuales deberían
contrastarse con el ordenamiento nacional.
Por otra parte, este nuevo modelo hace realmente complejo el auditar o verificar las condiciones
concretas de la prestación del servicio lo que obliga a buscar modelos alternativos que generen
confianza en el mercado respecto de la garantía de la seguridad y la privacidad, como auditorías
realizadas por terceros independientes, certificaciones conforme a estándares admitidos e incluso
códigos de conducta sectorial.
Por último, y en relación con las dificultades prácticas para cumplir con los requisitos normativos
relativos
a
la
subcontratación
y,
especialmente,
en
relación
con
las transferencias
internacionales se examinó, como se ha señalado, el borrador de nuevo reglamento comunitario de
protección de datos, si bien con mucha prevención habida cuenta de la no oficialidad del documento.
2
sobre
con
la
cuestiones
con
la
Sobre el principio de culpabilidad.
Ricard Martínez Martínez
Profesor Ayudante Doctor del Departamento de Derecho Constitucional de la Universitat de València
Presidente de la APEP
En el procedimiento sancionador en materia de protección de datos personales es bien conocido el
carácter fundamental que posee el resultado para la imputación de responsabilidad. Desde este punto de
vista cuando en el marco de una inspección, y posterior instrucción, se parte de la constatación de un
hecho infractor resulta particularmente complejo rebatir la presunción de culpabilidad que recae sobre el
responsable del fichero o encargado del tratamiento, en su caso (aunque nos centraremos en el primero).
Esta realidad responde en cierta medida a que la configuración prestacional del dato personal implica que
el conjunto de obligaciones que se imponen al responsable del fichero comporta lograr ciertos resultados.
Por ejemplo, el deber de informar del artículo 5 LOPD comporta una conducta activa y muy visible que
puede consistir en incorporar un texto en un cartel, factura, correo electrónico o en una página web, por
poner algunos ejemplos. Y lo mismo sucede con todos y cada uno de los principios y derechos en esta
materia.
Por otra parte, hay que subrayar que mientras el cumplimiento de determinadas obligaciones está en
manos del responsable y claramente sujeta a su control, no ocurre así en algunos casos. Deben
subrayarse al menos dos ámbitos en los que, pese a su diligencia, el responsable se encuentra en manos
de otras personas u organizaciones: la seguridad y las relaciones con terceros.
Así, en materia de seguridad, el responsable va a depender de una adecuada formación de su personal.
Ésta, más allá de la mera información, debe comportar un compromiso individual y colectivo con la
salvaguarda de la seguridad y el secreto. Y ni siquiera con este esfuerzo será suficiente, ya que la
actuación de ciertos terceros, incluso sin acceso a datos como el personal de limpieza y seguridad, puede
poner a prueba el cumplimiento normativo. Para finalizar la caracterización de este escenario, cabe
recordar que gran parte de las amenazas que se soportan provienen de ataques externos, de conductas
delictivas respecto de las que el responsable será tan victima como los afectados cuyos datos ha tratado.
La segunda categoría de supuestos que en cierta medida escapan a las posibilidades de control del
responsable del fichero o tratamiento se refiere a las relaciones con terceros, incluidos los propios
afectados. Aquellos responsables cuyos ficheros se alimentan de datos provenientes de cesiones de
datos personales, sin perjuicio de cumplir con sus obligaciones en los términos del art. 11.5 LOPD, deben
confiar en que el cedente ha tratado y cedido legítimamente tales datos. Lo mismo sucede si se ha
contratado legítimamente un encargado del tratamiento. Aquí, aunque desde un punto de vista
sancionador la barrera del art. 12 LOPD (tras su desarrollo “jurisprudencial” y reglamentario) actúa
protegiendo al responsable diligente, el perjuicio reputacional puede ser particularmente relevante. Por
último, la proliferación ya sea de suplantaciones de identidad, ya sea de menores, que con tal de acceder
a un servicio falsean algún rasgo de su identidad, -singularmente la edad-, conlleva como efecto directo el
incumplimiento de principios de la LOPD como el relativo al consentimiento.
Un cierto número de sentencias de la Audiencia Nacional ha venido a concretar el alcance del deber de
diligencia del responsable y la proyección de éste sobre el principio de culpabilidad. La consecuencia,
ciertamente favorable, puede resumirse de modo muy sencillo: emplear una diligencia adecuada excluye
la culpabilidad, y en ausencia de ella no cabe imputación de la infracción a la conducta del responsable.
3
En la primera de ellas, -la SAN de 25/02/2010, caso Portal Latino-, se enjuicia un supuesto en el que
mediante un ataque se roba una base de datos de usuarios registrados. El responsable del fichero
había auditado la seguridad con anterioridad, disponía de medidas e incluso adoptó determinadas
disposiciones con posterioridad para corregir la incidencia y denunciar el delito a las Fuerzas y
Cuerpos de Seguridad. No obstante, no se modificaron las contraseñas de acceso de los usuarios
hasta que una réplica del fichero se publicó en internet. La Audiencia Nacional recuerda que el art. 9
LOPD persigue una obligación de resultado:
QUINTO.- En interpretación del artículo 9 de la LOPD , esta Sala ha
señalado en múltiples sentencias, entre otras la 28 de junio de 2006 , que la
obligación que dimana del artículo 9 de la LOPD no se cumple con la
adopción de cualquier medida, pues deben ser las necesarias para garantizar
aquellos objetivos que marca el precepto, en concreto recoge "Se impone, en
consecuencia, una obligación de resultado, consistente en que se adopten las
medidas necesarias para evitar que los datos se pierdan, extravíen o acaben
en manos de terceros. En definitiva y como manifiesta el Abogado del Estado
en la contestación, la recurrente es, por disposición legal, una deudora de
seguridad en materia de datos, y por tanto debe dar una explicación
adecuada y razonable de como los datos han ido a parar a un lugar en el que
son susceptibles de recuperación por parte de terceros, siendo insuficiente
con acreditar que adopta una serie de medidas, pues también es responsable
de que las mismas se cumplan y se ejecuten con rigor. En definitiva toda
responsable de un fichero (o encargada del tratamiento) debe asegurarse de
que dichas medidas o mecanismos se implementen de manera efectiva en la
práctica sin que, bajo ningún concepto, datos bancarios o cualquier otro datos
de carácter personal pueda llegar a manos de terceras personas."
Ahora bien, esa obligación no es absoluta ni puede determinar una completa objetivación de la
culpabilidad por el resultado dañoso:
Así, aun cuando el artículo 9 de la LOPD establece una obligación de
resultado, consistente en que se adopten las medidas necesarias para evitar
que los datos se pierdan, extravíen o acaben en manos de terceros, tal
obligación no es absoluta y no puede abarcar un supuesto como el analizado.
En el caso de autos, el resultado es consecuencia de una actividad de
intrusión, no amparada por ordenamiento jurídico y en tal sentido ilegal, de un
tercero con altos conocimientos técnicos informáticos que rompiendo los
sistemas de seguridad establecidos accede a la base de datos de usuarios
registrados en www.portalatino.com, descargándose una copia de la misma.
Y, tales hechos, no pueden imputarse a la entidad recurrente pues, de otra
forma, se vulneraría el principio de culpabilidad.
El principio de culpabilidad, previsto en el artículo 130.1 de la Ley
30/1992, dispone que solo pueden ser sancionadas por hechos constitutivos
de infracción administrativa los responsables de los mismos, aún a titulo de
simple inobservancia. Esta simple inobservancia no puede ser entendida
como la admisión en el derecho administrativo sancionador de la
responsabilidad objetiva, que está proscrita, después de la STC 76/199 , que
señaló que los principios del ámbito del derecho penal son aplicables, con
4
ciertos matices, en el ámbito administrativo sancionador, requiriéndose la
existencia de dolo o culpa. En esta línea la STC 246/1991, de 19 de
diciembre, señaló que la culpabilidad constituye un principio básico del
Derecho administrativo sancionador. Culpabilidad, que no concurre en la
conducta analizada de Portal Latino.
Ahora bien, ¿cómo cabe calificar el hecho de que el responsable con independencia de la diligencia
previa omitiera un cambio inmediato de contraseñas? Pues bien, conforme al fundamento jurídico sexto,
aquí el responsable no fue diligente:
La recurrente, como responsable del fichero, seguía siendo garante de los
datos de los usuarios que se habían incorporado al mismo. Es cierto, como indica
la recurrente, que no tenía el control sobre la página web en la que un tercero
volcó el fichero, pero también es cierto que un comportamiento adecuado y activo
de la misma pudo impedir o, al menos, minimizar el riesgo real de revelación de los
datos personales de los usuarios. Es decir, su comportamiento omisivo
(no
advirtiendo de la fuga a los usuarios, no presentando denuncia, no cambiando la
contraseña etc.) facilitó o, al menos, no obstaculizó la revelación de los datos por
un tercero.
(...)
Siendo ello así, la Sala entiende cometida, como también recoge la
resolución impugnada, la infracción del artículo 10 de la LOPD , tipificada en el
artículo 44.3 .g) de la citada norma, es decir la vulneración del deber de guardar
secreto sobre datos personales incorporados a ficheros, produciéndose la
conducta típica descrita por la Agencia en los Fundamentos Jurídicos VII y VIII de
su resolución, cuestionados y contestados por la parte actora en el Fundamento
Jurídico 3 apartado C de la demanda.
En sendas sentencias de 29/04/2010, -casos Vodafone y Eurocrédito-, se analiza un supuesto similar.
Una persona sufre un robo de identidad y el usurpador procede a contratar un servicio suplantando con
éxito la identidad. En todos los casos el proceso de verificación de la identidad es el usual en el tráfico
jurídico en consumo y consiste en presentar fotocopia de un documento de identidad. Como
consecuencia posterior dañosa para la persona cuya identidad se utiliza, el usurpador no realiza los
oportunos pagos siendo la deuda objeto de inscripción en un fichero de información sobre solvencia
patrimonial.
En el caso Vodafone, a condición de que exista un proceso de verificación de la identidad en el que el
responsable del fichero resulta engañado, la Audiencia Nacional confirma una postura que arranca de sus
sentencias de 29/10/2009 en los casos Caixa d’Estalvis de Catalunya y Santander Consumer Finance. En
esencia, desde el punto de vista del responsable no existe infracción alguna del principio del
consentimiento ya que fue víctima de un engaño:
SEXTO.- (…)
Es cierto que el denunciante no ha dado su consentimiento para el
tratamiento de sus datos de carácter personal por parte de (...), pero no lo es
menos que nos hallamos ante un supuesto de uso fraudulento de su identidad por
parte de un tercero, que es la persona que efectúo la compra en el establecimiento
(...), que se hizo pasar por D. Teodulfo , utilizando y exhibiendo documentación
5
que le identificaba como tal, por lo que nada hacía sospechar que dicha persona
no era quien aparentaba ser."
(…)
Así, al igual que razonamos en nuestra sentencia de fecha 29 de
octubre de 2009 , a la vista de las especiales circunstancias concurrentes en
el caso de autos, no cabe apreciar culpabilidad alguna (ni siquiera a título de
culpa o falta de diligencia) en la actuación de la entidad recurrente, que actuó
en la creencia de que la persona con la que contrataba era quien decía ser y
se identificaba como tal con una documentación en apariencia auténtica y a
ella correspondiente, por lo que estaba legitimada para el tratamiento de sus
datos de carácter personal. En consecuencia, al faltar uno de los requisitos
exigidos para la imposición de sanción por vulneración del principio del
consentimiento consagrado en el artículo 6.1 de la LOPD, procede dejar sin
efecto la sanción impuesta por la comisión de dicha infracción.
Del mismo modo, en el asunto Eurocrédito se pone el acento en el grado de diligencia empleado y
en el proceso habitual de contratación para llegar a idéntica conclusión: la ausencia de culpabilidad:
CUARTO.-(…)
La cuestión que se suscita en el presente caso, a la vista del
planteamiento de la demanda, no es tanto dilucidar si la recurrente trató los
datos de carácter personal de la denunciante sin su consentimiento, como si
empleó o no una diligencia razonable a la hora de tratar de identificar a la
persona con la que suscribió el contrato de financiación.
(...)
Esta Sala ha venido reiterando, véase SAN, 8 de junio 2006 (Rec.
244/04 ) que si bien ni la normativa civil o mercantil, ni la específica aplicable
a los consumidores y usuarios, establece que sea condición necesaria la
solicitud de una copia del DNI o pasaporte a todos aquellos consumidores o
usuarios que quieran contratar un determinado servicio con un empresario o
profesional, ello no puede interpretarse, en el sentido de que le excuse de
exigir medidas de prevención.
Por tanto, decíamos en dicha sentencia "no es obligatoria la copia
del DNI o pasaporte para contratar un servicio, pero a efectos del ámbito de
la protección de datos en que nos hallamos, deben adoptarse las medidas de
prevención adecuadas para verificar la identidad de una persona cuyos datos
personales van a ser objeto de tratamiento, medidas que pueden plasmarse,
a título de ejemplo, en la repetida copia del DNI, y que, como hemos visto, no
han sido adoptadas por la entidad demandante".
Se trata en definitiva de que "se verifique la identidad del solicitante
de los servicios mediante la exigencia de fotocopia del documento que
acredite dicha identidad, a fin de contratar y facilitar el servicio a la persona
que efectivamente lo reclama".
En conclusión, se ha solicitado para la concesión del crédito para
identificar a la persona con la que se contrataba copia del DNI, lo que
evidencia que de acuerdo con el criterio seguido por esta Sala, se adoptaron
las medidas necesarias para la comprobación de la identidad de la
6
contratante y los datos que figuran en dicho DNI se corresponden con la
titular del contrato. La utilización de dicho DNI, al parecer por una persona
distinta de su auténtica titular, es una cuestión objeto de investigación en el
ámbito penal, a raíz de la denuncia formulada (...)
En el caso Santander Consumer Finance de 19/10/2010, la Audiencia Nacional incluso define el canon de
diligencia exigible en este tipo de casos:
SEGUNDO.(...)
Pues bien, partiendo de dichos hechos esta Sala considera, a pesar
de dicha argumentación de la Agencia, que en el presente caso concurren
una serie de circunstancias que conllevan que no pueda considerarse que
SFC ha infringido el principio del consentimiento del artículo 6.1 LOPD. Y ello
tomando en consideración lo siguiente:
Que para formalizar la contratación de la tarjeta de crédito, para la
compra del ordenador, se exigió al cliente fotocopia de su DNI, de una cartilla
de crédito y de una nomina a su nombre.
Que a tenor del Acuerdo de colaboración entre entidad actora y
MIRO (documento nº 2) el establecimiento asume el compromiso de
constatar la identidad del titular.
Que incluso la propia Agencia reconoce que a tal entidad actora no
puede imputársele una responsabilidad plena, ya que la operación esta
perfectamente documentada.
En definitiva pues, SFC obró con una diligencia normalmente exigible
en una operación de emisión de tarjeta y compraventa de un producto, y fue
víctima de un fraude por un tercero, por lo que no es que no pueda exigírsele
responsabilidad plena en los hechos (como sostiene la Agencia) sino ninguna
responsabilidad en los mismos, a tenor de las circunstancias relatadas. Así
dicha entidad actora, dada la suplantación de personalidad que se produjo,
obró con la creencia de que existía consentimiento, por lo que la imputación
de la infracción del artículo 6.1 LOPD no puede ser apreciada.
Y la aproximación de la Audiencia se confirma definitivamente en el asunto Teabla Comunicaciones, de
10/02/2011:
CUARTO.
(...)
Los hechos probados de la sentencia corroboran lo afirmado por la
declaración testifical de la empleada, lo que permite concluir que esta intentó
cerciorarse de la identidad de la persona con la que contrataba pidiendo que
exhibiera su DNI y una cuenta bancaria a su nombre en donde poder
domiciliar las facturas, y tras exhibir estos documentos y comprobar que
figuraban a nombre de la misma persona no sospechó que se trataba de
personas diferentes y que dicha documentación había sido sustraída de su
verdadero titular.
Lo cierto es que, al menos en lo relativo a la conducta desplegada
por el empleado de la entidad recurrente, no es exigible una diligencia
superior a la utilizada para el tratamiento de datos personales, pues existía un
7
aparente consentimiento expreso del que aparecía como titular y la impostora
utilizó medios de engaño suficientes para inducirla a pensar que estaba
contratando con la titular del DNI que se le exhibía, sin que en estas
circunstancias pueda apreciarse una falta de diligencia o culpa que haga
responsable del tratamiento inconsentido de datos, pues siempre que se
hayan adoptado las precauciones proporcionales y exigibles en el tratamiento
de los datos personales de terceros no es posible establecer una
responsabilidad
objetiva
en
los
supuestos
en
los
que
se
simula
fraudulentamente la identidad de un tercero. Y en este caso ha de concluirse
que el empleado, y por ende la entidad recurrente de la que este dependía,
adoptaron las medidas de seguridad que le resultaban exigibles para intentar
asegurarse de que la identidad del sujeto, y no es exigible convertirles en
peritos calígrafos al tiempo de constatar la autenticidad de una firma. La
intervención fraudulenta y perfectamente planificada de un tercero, que ha
resultado plenamente acreditada, demuestran a la postre que existió un
engaño que indujo al empleado a entender que la persona con la que
contrataba era la misma que la que aparecía en el documento de identidad y
que, por tanto, estaba prestando su consentimiento expreso al tratamiento de
sus datos personales para la prestación del servicio de telefonía móvil. Poco
importa en este caso, que el empleado no incorporara al contrato fotocopia
del DNI utilizado, pues un vez constatado que pidió su exhibición y que
intentó cerciorarse de su identidad con los medios a su alcance, la aportación
de dicha fotocopia no hubiera impedido que el engaño se consumase.
Es por ello que en este supuesto no se aprecia culpa alguna en la
conducta desplegada por la entidad recurrente, (...)
Para finalizar, deben subrayarse algunas concusiones, particularmente sencillas, pero estratégicas
para un adecuado asesoramiento en esta materia.
● El criterio de diligencia como fuente de exclusión de la responsabilidad comporta una actuación
previa proactiva. Dicho de otro modo, la cuestión no reside en verificar ex post facto si el
responsable fue diligente. Es fundamental convencer de la importancia de implementar medidas de
cumplimiento previo de la LOPD, cuyo fruto será la exclusión de la responsabilidad en caso de
producirse un incumplimiento no imputable al responsable.
●
En determinados casos el deber de diligencia se proyecta sobre el momento posterior al
conocimiento de la incidencia. Ello obliga a adoptar de modo inmediato y eficaz medidas correctoras,
por ejemplo en materia de fallos de seguridad, y reparadoras, por ejemplo satisfaciendo derechos de
rectificación y cancelación en los casos de suplantación de la identidad.
● En ninguna de las sentencias el origen se encuentra en la actuación negligente de un empleado.
Cabe pensar que, en este caso la responsabilidad se seguirá trasladando al responsable. Sin
embargo, un cumplimiento diligente en el deber de formación no debe ser en absoluto desdeñado en
la medida en que facilitará con posterioridad la repetición de los daños sobre el infractor material.
8
ALGUNAS REFLEXIONES SOBRE EL DEBER
DE INFORMACIÓN Y EL CONSENTIMIENTO
Eduard Chaveli Donet
Abogado Especialista en Protección de Datos
@eduardchaveli
Este artículo pretende analizar algunos aspectos relativos al deber de información y el consentimiento.
La primera consideración a realizar es la relativa a que el consentimiento es un pilar básico del derecho a
la protección de datos pues no en balde nos encontramos ante un derecho de la personalidad. Ello no
significa que se deban desmerecer otros principios y obligaciones que son fundamentales para una
correcta conformación del derecho a la protección de datos ni que pretendamos un pulso entre ellos pero
si que es necesario resaltar que, tratándose de un aspecto esencial, no siempre se le da la importancia
que merece en los proyectos de consultoría. Esto es especialmente inquietante si somos conscientes que
muchas sanciones en la materia se derivan de aspectos “jurídicos” más que de cuestiones técnicoorganizativas, que son muy importantes, pero que suelen ser objeto menos frecuente de sanciones.
Al analizar el consentimiento también nos adentraremos en el deber de información, que es un aspecto
esencial de aquél y que – además – en la práctica se suele cumplir en “unidad de acto” pero sin dejar de
tener en cuenta que nos encontramos ante distintas obligaciones: reguladas en artículos diferentes de la
LOPD, por tanto con diferente régimen sustantivo (lo cual es especialmente relevante en relación con las
excepciones) y también sancionador.
Creo que antes de entrar en el análisis de la cuestión es importante empezar poniendo el tema en su
lugar. Para ello hay que recordar que no sólo existen derechos de diferentes generaciones (según la
clasificación del jurista checo Karel Vasak) sino que cada derecho tiene su propia maduración, el tiempo
en el que crece, se perfila, se le da forma. Para aquellos que no sean juristas simplemente indicar que a lo
largo de la historia han ido forjándose derechos atendiendo a las “inquietudes” de la “época”, y así se
habla de derechos de diferentes generaciones. Los derechos de primera generación son los Derechos
civiles y políticos; los de segunda generación son los económicos, sociales y culturales; y los de tercera
generación los derechos de solidaridad.
Pues bien, el propio derecho a la protección de datos va madurando poco a poco y aquellos que llevan
años en la materia habrán podido apreciar ciertos avances, aunque es mucho aún la evolución que queda
por delante.
Aplicando esta reflexión al concreto tema de análisis podemos ver claramente en la evolución del
consentimiento y el deber de información que hemos pasado de un momento inicial en el que no se
prestaba excesiva importancia a determinados aspectos - sino que únicamente se trataba de constatar su
cumplimiento “grosso modo” - al momento actual en el que los matices comienzan a tener relevancia.
Reflejo de ello es que los informes y resoluciones de la AEPD así como la jurisprudencia de nuestros
tribunales han ido adentrándose en aspectos concretos y logrado su maduración. Tampoco debemos
olvidar los interesantes documentos que el Grupo del artículo 29 ha elaborado en la materia y a los que
nos referiremos a continuación.
9
En este sentido recomiendo (para quienes no hayan tenido la oportunidad) la lectura del WP100,
Dictamen 10/2004 sobre una mayor armonización de las disposiciones relativas a la información
(Adoptada el 25 de noviembre de 2004)1; y en relación con el consentimiento el WP187, Dictamen
15/2011 sobre la definición del consentimiento, adoptado el 13 de julio de 2011 2.
Son múltiples los aspectos interesantes. Alguno de ellos, como el relativo al consentimiento “con
mayúsculas” (por su evidente relación con su fundamentación derivada del Derecho Civil, así como
sus peculiaridades en determinados ámbitos como el laboral) requieren quizá que sean especialistas
en dichos ámbitos quienes ahonden con mayor rigor en ellos. Yo quiero centrarme sobretodo en el
punto en que convergen consentimiento y deber de información: el consentimiento debe ser
informado para que sea válido.
La información en la recogida de datos personales constituye uno de los principios de la protección
de datos, un derecho del afectado y un complemento previo de la prestación del consentimiento,
cuya omisión puede determinar un vicio del consentimiento para el posterior tratamiento, que origine
la nulidad del mismo. Así lo ha entendido también el TC en la Sentencia 292/2000 señalando que
“sin la garantía que supone el derecho a una información apropiada mediante el cumplimiento de
determinados requisitos legales (artículo 5 de la LOPD) quedaría sin duda frustrado el derecho del
interesado a controlar y disponer de sus datos personales, pues es claro que le impedirían ejercer
otras facultades que se integran en el contenido del derecho fundamental al que estamos haciendo
referencia.” Tanto es así que sería nulo, en caso contrarío, el consentimiento prestado cuando la
información facilitada no permita al interesado conocer la finalidad a la que se destinarán los datos
(STS de 26 de octubre de 2006 y STS, Sala 3ª, Sección 6ª, de 4 de abril e 2000)
Ahora bien, respecto de la forma en que cumplir con este deber el artículo 18 del Real Decreto
1720/2007, 21 de diciembre dispone: “El deber de información al que se refiere el artículo 5 de la Ley
Orgánica 15/1999, de 13 de diciembre, deberá llevarse a cabo a través de un medio que permita
acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento de los datos del
afectado.(…)”
Pero como sabemos este artículo fue anulado por la Sentencia de 15 de julio de 2010, de la Sala
Tercera del Tribunal Supremo, en los siguientes términos: “La Ley reconoce en el artículo 5 el
derecho a la información en la recogida de datos, concreta el contenido de la información, y advierte
de que el deber de informar ha de ser previo a la recogida, pero salvo la indicación de que la
información ha de ser expresa, precisa e inequívoca, ninguna referencia contiene a la forma,
abriendo así múltiples posibilidades (escrita, verbal, telemática, etc.) Sólo en el apartado 2 del
artículo de mención prevé la posibilidad de que se utilicen cuestionarios u otros impresos para la
recogida de datos para advertir, pensando sin duda en medios estandarizados, que se han de
contener y de forma claramente legible las advertencias expresadas en el apartado 1.
En consecuencia, debe considerarse que el legislador ha optado por la libertad de forma. “
1
Se puede consultar en
http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2004/wp100_es.pdf
2
Se puede consultar en http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2011/wp187_es.pdf
10
Por tanto, rige el principio de libertad de forma, tanto para la prueba de la obtención del consentimiento
del interesado, como para la acreditación del cumplimiento del deber de información al mismo.
Pero esta libertad de forma se ve restringida cuando se trata de recogida de datos a través de
cuestionarios o impresos. La Ley ha querido, en estos casos, imponer una formalidad específica en la
recogida de datos a través de estos medios, que garantice el derecho a la información de los afectados:
Se impone la obligación de que la información figure en los propios cuestionarios e impresos y la refuerza
exigiendo que conste de forma claramente legible (artículo 5. 2 de la LOPD).
Pero ninguna referencia legal existe en relación con el lenguaje, tamaño de la letra, etc… Y es un tema
importante. La finalidad que pretende la Ley es que la información sea real y no únicamente formal. Y en
este punto es en el que enlazamos con la reflexión inicial y verdadero leitmotiv de este post: aspectos
como el lenguaje, el tamaño de letra, y en general la forma en que el deber de información y el
consentimiento sean reales se deben ir revisando, y es lo que permitirá pasar de la fase inicial a la
maduración del derecho.
En este sentido el trabajo del Grupo del Artículo 29 es esencial. En el Punto VI del Dictamen WP 100
citado se hace referencia a los dos siguientes principios:
a) Por un lapso el de “Apoyo al principio de que la información proporcionada a los interesados debería
utilizar un lenguaje y una presentación fáciles de entender. La comprensión por parte de los interesados
constituye un objetivo importante, de manera que puedan adoptar decisiones con conocimiento de causa
y dispongan del conocimiento y la comprensión necesarios para influir en las prácticas de los
responsables del tratamiento de datos y de los encargados del mismo. En este contexto, es importante
garantizar que la información se proporciona de manera adecuada a las personas con necesidades
específicas (por ejemplo, a los niños).
Y en este sentido en el RD 1720/2007 en su artículo 13.3. recoge este espíritu precisamente en materia
de menores:
“Cuando el tratamiento se refiera a datos de menores de edad, la información dirigida a los mismos
deberá expresarse en un lenguaje que sea fácilmente comprensible por aquéllos, con expresa indicación
de lo dispuesto en este artículo”.
b) Por otro lado el de “Apoyo al concepto de un formato de múltiples niveles para los avisos destinados a
los interesados. Los avisos de múltiples niveles pueden contribuir a mejorar la calidad de la información
recibida sobre la protección de datos centrando cada nivel en la información que la persona necesita para
comprender su posición y adoptar decisiones. En aquellos casos en que el espacio o el tiempo de
comunicación sea limitado, los formatos de múltiples niveles pueden mejorar la legibilidad de los avisos”.
Es verdad que este principio hay que ponerlo en relación con los diferentes niveles tipos de información.
Aunque la Directiva distingue entre información básica y “otra información”, hay interpretaciones
nacionales (entre ellas, la Española) que no han reflejado esta distinción. Ello supone que en
determinadas legislaciones deben cumplirse todos los requisitos en todas las situaciones de recogida de
datos, sin tener en cuenta las pruebas de necesidad que se prevén en la Directiva. Y ello no tiene en
cuenta las limitaciones de espacio o tiempo en una serie de situaciones en las que se realiza la recogida
de datos.
En España no hemos sido ajenos a este principio y prueba de ello es el doble nivel que, en algún caso,
se ha establecido: Por ejemplo en el caso de los carteles de videovigilancia. Como sabemos la Instrucción
11
1/2006 que en su artículo 3 distingue entre carteles con la información básica y los impresos con la
información adicional (la prevista en el artículo 5.1 de la LOPD.
Juntamente con el lenguaje y los niveles hay otros aspectos que pueden ser relevantes como el
tamaño de la letra, el de los carteles, etc...
Es increíble la casi nula existencia de informes o resoluciones que borden este tema en relación con
el tamaño de letra de las cláusulas. Si existe alguna referencia interesante como buena práctica,
como por ejemplo la del código tipo de entidades locales del País Vasco en cuyo manual
3
se
recoge:
“La información se proporcionará a través de un medio coherente con el sistema de
recogida de los datos; por ejemplo, si se recogen mediante cuestionarios o impresos, las
informaciones y advertencias anteriores deberán figurar claramente en los mismos,
debiéndose procurar que el tipo y tamaño de la letra empleada sea el mismo que el de los
demás contenidos del documento”.
Respecto a los carteles informativos de videovigilancia existen criterios de la AEPD respecto de
temas tales como ubicación, dimensiones, color, etc…
Respecto de la ubicación, el informe 84/2007 de la AEPD indica que no es necesario que se coloque
debajo de la cámara, y que será suficiente colocar el distintivo informativo en lugar suficientemente
visible, tanto en espacios abiertos como cerrado. Por lo que respecta a las dimensiones se dice en el
citado informe que no existe ningún criterio de la Agencia pero que debe de ser un cartel informativo
acorde con el espacio en el que se vayan a ubicar, y también que debe de ser suficientemente
visible dado que no es equiparable colocar un cartel informativo en un autobús o en la entrada de un
edificio. Por lo que respecta al color, se han admitido en diferentes colores que que han proliferado
junto con los más habituales carteles “amarillos” carteles integrados con los colores corporativos o
con criterios estéticos.
Pero mientras en la Instrucción 1/2006 de la AEPD en su Anexo se indica únicamente el contenido y
respecto de la forma o diseño sólo se sugiere un modelo, en la Instrucción 1/2009, de 10 de febrero,
sobre el tratamiento de datos de carácter personal mediante cámaras con fines de video vigilancia,
de la Agencia Catalana de Protección de Datos se complementa con la indicación de los requisitos
que deberá cumplir y al que deberá ajustarse el diseño del cartel informativo:
a) Tiene que ser de forma rectangular y con las aristas en ángulo recto. Las dimensiones
estándar del cartel son, aproximadamente, 21 cm de base y 29,7 cm de altura.
Estas dimensiones pueden aumentar o disminuir según sea el área o la zona sometida a
videovigilancia y la distancia que sea necesaria para que el cartel informativo resulte
visible para las personas afectadas.
b) Tiene como color de fondo el amarillo, en cuyo extremo superior izquierdo puede
constar el logotipo de la Agencia Catalana de Protección de Datos.
c) Centrado dentro de un rectángulo blanco de unas dimensiones aproximadas de 1/3 de
la altura del cartel y 4/5 de la anchura que, en el cartel estándar, se sitúa
aproximadamente a 6 cm del lado superior, debe constar el pictograma al que se refiere el
apartado 1 de este Anexo.
En todo caso, estas indicaciones se deben mantener proporcionales en atención a las
posibles variaciones en las dimensiones del cartel informativo.”
3
(disponible en http://www.agpd.es/portalwebAGPD/canaldocumentacion/codigos_tipo/common/pdfs/
codigo_tipo_entidades_locales_eudel.pdf )
12
Espero haber reflejado lo que pretendo que sea la conclusión de este artículo: en materias tan
importantes como el consentimiento y el deber de información se ha producido una maduración desde los
inicios hasta el momento actual, y la inicial visión de cumplimiento “grosso modo” ha dado paso a un
aumento progresivo del nivel de exigencia. Y ello supone - en última instancia - una mejora para el
efectivo cumplimiento del derecho a la protección de datos.
Podríamos abordar otros aspectos como los relativos al consentimiento en general el consentimiento en
determinados entornos como el laboral, las peculiaridades que la toma de datos en línea supone, el tema
del idioma, etc. pero la limitación de espacio se impone.
LA PAJA EN EL OJO AJENO
(Lucas 6, 41-42)
Javier Peris
CGEIT®, CRISC®, SMBE, ISO27K LA, Business Angel
[email protected]
Para los que no me conocéis informaros someramente que trabajo en el sector de la tecnología desde el
año 1985, actualmente soy Socio y Director de una Consultora Tecnológica y un ISP, además de, en mi
faceta “.org”, Director de Comunicación de ISACA Valencia, Director de Comunicación de PMI Valencia,
Director de Comunicación del Comité de Valencia de itSMF España, Miembro de la Internet Society, etc.
Desde siempre he apoyado tanto los fines como a los profesionales de la APEP habiendo sido incluso
patrono mediante aportación económica de su primer acto enmarcado en el I Congreso de Privacidad
celebrado en Madrid y en lo que respecta a la lucha de la LOPD a coste cero, soy cruzado y hago eco de
vuestras victorias cada oportunidad que tengo, la más cercana que muchos de vosotros recordaréis a la
que fue invitando a participar vuestro Presidente Ricard Martinez fuera incluso de programa en el marco
de las Jornadas Trimestrales de ISACA que presento y modero en el Palacio de La Colomina de Valencia.
Teniendo en cuenta mi mayor afinidad con los objetivos de esta asociación, con sus representantes así
como con la mayoría de sus asociados no quiero dejar pasar la oportunidad de mostraros como se ve
“vuestra guerra” desde el otro lado de la mesa, una visión que debéis de conocer para poder mejorar el
mensaje.
Sin más prolegómenos os cuento, el otro día fui requerido por un cliente de nuestra empresa al cual le
venimos manteniendo absolutamente todos los sistemas de información así como los servicios de
comunicaciones electrónicas desde hace casi una década.
El Gerente me encargó que le acompañara en una reunión con un consultor de Protección de Datos con
el que quería que intercambiáramos impresiones ya que era familia de uno de los socios de la compañía y
venía a informarnos sobre este tema para probablemente llevar a cabo la adecuación a la LOPD de la
empresa, por fin grité en mi interior.
Apareció el Consultor y tras las presentaciones pertinentes de su gran profesionalidad y tamaño de su
empresa me informó que iba a mostrarnos una maravillosa presentación sobre privacidad para lo cual
debía conectarse a la Red de Área Local de la empresa para acceder a Internet.
13
Me parece de muy mal gusto llegar a una empresa que todavía no conoces y pretender enlazarte o
aprovecharte de sus recursos por dos grandes motivos por higiene de tus propios sistemas de
información así como del cliente y como no también por educación.
Mi negativa a conectar un PC cuya naturaleza y estado desconocemos a una red, hasta ese preciso
momento estable, parece que le contrarió bastante y aseguró que eso no le había pasado nunca en
ninguna empresa a la que había ido, lo que me contrario bastante a mi. Como se puede ser tan
irresponsable de conectar tu equipo a una red que no conoces, como puede alguien ser tan gorrón
como para pretender llegar a un cliente y tomar sus recursos y como puede alguien ser tan laxo de
dejar que un desconocido acceda a su red de área local con los riesgos que eso conlleva.
Para enderezar la situación le guiñé un ojo a mi cliente y le dije al consultor que el problema es que
teníamos un virus en la red y que si se conectaba probablemente se infectaría su equipo, que lo
hacía por su bien, a partir de ahí volvimos a ser amigos.
Como parecía que habíamos entrado en un vortex y la visita no podía continuar dispuse mi PDA
como modem inalámbrico y le dije que se conectara a internet través de él, tras lo cual suspiró
retomando el hilo de la entrevista y asegurando media docena de veces que eso no le había pasado
nunca con ningún cliente.
Mientras le ayudé a configurar su equipo pues no andaba demasiado experto con las conexiones
wifi pude constatar tres cosas, la primera que el equipo que traía venia con el COA o Certificado de
Licencia de Windows XP Home Edition que como cualquier profesional de este medio sabe no es
apto para conectarse a una red basada en dominio y por tanto no sirve para entornos de seguridad
empresarial, la segunda aun más grave es que tenia instalado Windows 7 Home Premium que
tampoco sirve para redes basadas en dominio y que seguramente habría sido instalado de manera
forzada y sin la correspondiente licencia; pero la tercera fue digna de la calificación “cum laude” ya
que se desplego el icono del software Ares y el equipo se conectó con los servidores de intercambio
de archivos para continuar con las descargas que este hombre tenia suspendidas probablemente
desde aquella mañana en casa cuando apagó el equipo para meterlo en su maletín.
Le rogué que ya que se trataba de mi conexión HDSPA desconectara el Ares y algo sonrojado
desconectó también el emule el cual había entrado en estado activo pero omitiendo el icono de la
barra de tareas.
Cuando ya verificamos que la conexión a internet esta realizada, y nada consumía ancho de banda
innecesario, el Consultor se dirigió a su aplicación de DropBox para descargarse el archivo de
PowerPoint de 65Mb que correspondía a la presentación de Outlook que nos quería mostrar. En
aquel momento no lo estrangulé porque el ratón era inalámbrico. Toda aquella parafernalia,
conexiones, internet, etc. para bajarse un “puñetero” archivo que podría haber traído simplemente
instalado en su disco duro o en una memoria USB, eso sí a quedado moderno muy moderno, viva la
nube.
Recapitulemos:

Ha puesto en Riesgo de Infección su equipo intentándolo conectar a una red desconocida

Ha puesto en Riesgo de Infección la red de un cliente intentando conectar a ella su equipo.

Ha tenido que pedir prestado servicio de acceso a internet

Ha establecido desde mi IP conexiones para descarga de archivos susceptibles de
derechos de autor

Lleva un Equipo con licencia distinta a la adjudicada a ese equipo Usa un Sistema
Operativo sin nivel de seguridad suficiente para entornos de trabajo empresariales

Su equipo tiene ciertas carpetas compartidas de manera pública hacia internet con usuarios
desconocidos
14
Una vez descargado el archivo, se ejecuta el PowerPoint y mientras se carga el programa podemos leer
PowerPoint 2010, Edición Hogar y Estudiantes. Bien, Pepe, Bien, que así se llamaba el consultor, en un
ordenador de una empresa. Sin querer hacer más sangre guardo silencio, la presentación muy profesional
por cierto, digna de las ganas de vender de la empresa a la que representa el consultor y en la que se
nota ha invertido lo que había que invertir, no como en portátiles y conexiones móviles.
Finalizada la presentación el consultor me pregunta que me parece, yo le pregunto asombrado ¿el qué? Y
el evidentemente dice la presentación claro! y yo le confirmo lo que aquí os he dicho, muy profesional.
El Gerente de la empresa entra ya en aspectos más concretos y le pregunta sobre temas operativos, el
Consultor explica que todo se trabaja con documentos en la nube, en DropBox donde se guarda e
intercambia toda la información relacionada con Protección de Datos de cada cliente de la consultora.
Inevitablemente yo le pregunto si se ha preocupado de averiguar si DropBox cumple con los requisitos
mínimos de la Protección de Datos pues nos da un poco de “no sé que” dejar ahí toda la información y el
consultor nos tranquiliza diciendo que no nos preocupemos que eso lo hace la consultora entera, todos
los clientes, desde el más grande al más pequeño, y que nunca ha pasado nada que los correos
electrónicos y los USB han muerto y ríe, él solo, y deja de reír.
Sin salir de mi asombro le pregunto si su consultora tiene claro el contrato que firma con DropBox sobre
este servicio y me lo aclara definitivamente, ya que según asegura no es la consultora la que abre las
cuentas en DropBox, sino cada uno de los consultores abre una cuenta para cada cliente motu proprio y
ahí es donde se guarda la información, que realmente en eso la consultora no tiene nada que ver.
Intentando poner fin al desatino le digo que cual es el siguiente paso, y me informa que recibiré un correo
electrónico, gracias a Dios, con un PDF con una serie de preguntas a las que responder para que nos
pueda hacer un presupuesto, le indico para que se tome nota mi cuenta de correo y me dice que lo
manda en ese mismo instante, veo que accede a través de un web mail a su cuenta de correo y a pesar
de que la consultora trabaja con su propio dominio de internet veo que su prestador de servicios de
comunicaciones electrónicas es harto conocido.
Un Prestador de Servicios de Comunicaciones Electrónicas que presta servicios de Correo Electrónico por
Cuenta de Terceros sin estar inscrito en el Registro Especial de Operadores de Telecomunicaciones
requisito indispensable con carácter previo al inicio de la actividad como indica el articulo 6.2 de la Ley
32/2003 por lo que presta sus servicios al margen de la ley. Por tanto un prestador que tampoco cumple
con las medidas básicas sobre Secreto de las Telecomunicaciones, que es un Derecho Constitucional y al
que están sometidas todas las empresas que prestan servicios de correo electrónico por cuenta de
terceros, es decir todo un profesional del medio, vaya.
Mientras hablaba con él me extrañó no recibir su correo, encontré el correo en la Bandeja de Correo no
Deseado, chequeé el dominio así como el servidor de correo donde está alojado dicho dominio y
comprobé que ni tenía resolución inversa, ni tenía una IP fija, ni cumplía SPF además de estar incluido en
un montón de listas negras de correo como foco de envío de correo basura al ser considerado un Relay
Abierto.
El archivo PDF misteriosamente incorporaba además de las casillas con las preguntas las respuestas que
otro cliente había remitido por lo que me pude enterar de cierta información digamos de naturaleza
sensible, estábamos una vez mas ante una manifestación del arte del Copia Pega.
Recapitulemos:

Utiliza Software de Microsoft sin el Licenciamiento Adecuado al Fin Previsto
15

Utiliza repositorios de información con empresas con las que no establece acuerdo LOPD

La información que capta fruto de su relación mercantil la guarda en destinos fuera del
ámbito mercantil

Los datos personales guardados en el servicio implican una cesión internacional de datos
que debe ser aprobada por el director de la agencia

Su proveedor de Servicios de Comunicaciones Electrónicas no cumple con la legislación
vigente

No es cuidadoso en la custodia de la información que recibe de los clientes

Pone poca precaución en la práctica del copia y pega.
En aquel momento, aclarado todo, quedamos que le mandaría los detalles de la red, pero antes de
marcharse nos invitó a una reflexión final, nos informó pormenorizadamente de las prácticas
deshonestas y poco profesionales de ciertas empresas relacionadas con la LOPD y nos advirtió que
si alguien venía vendiendo LOPD a coste cero y financiándola con fondos de formación que
tuviéramos mucho cuidado con ellos porque eso además de que no es legal demuestra una gran
falta de profesionalidad y evidencia no saber lo que se tiene entre manos. Algo asustado lo miré y le
pregunté, ¿Conoces la APEP? y me respondió que no, que no le sonaba de nada, entonces y como
dicen en las películas, el fiscal no hizo más preguntas. Menos mal me dije a mi mismo, tal interés en
combatir la mala práctica de la LOPD a coste cero parecía propio de alguien cercano o del entorno
de la APEP.
Irremediablemente me vino a la memoria: Lucas 6,41-42: La paja en el ojo ajeno. “¿Cómo es que
miras la brizna que hay en el ojo de tu hermano y no reparas en la viga que hay en tu propio ojo?
¿Cómo puedes decir a tu hermano: `Hermano, deja que saque la brizna que hay en tu ojo', si no ves
la viga que hay en el tuyo? Saca primero la viga de tu ojo y entonces podrás ver para sacar la brizna
que hay en el ojo de tu hermano."
Tras despedirlo regresamos al despacho y el Gerente de la empresa me preguntó que me había
parecido la entrevista, yo sabía perfectamente que él también se había dado cuenta de muchos de
los detalles que a mí me habían chirriado, y por eso guardé silencio unos segundos, entonces el
gerente me preguntó ¿Qué es eso de la APEP? A lo que yo le contesté la Asociación Española de
Profesionales de la Privacidad.
Me miró y me dio la razón en algo que yo le había dicho en reiteradas ocasiones el tema de la LOPD
se hace solo con profesionales no basta con que sean conocidos.
Ahora ya inmerso en la selección de la consultora no se si me centraré en el currículum de la
empresa, analizaré su experiencia, averiguaré si los sistemas operativos que usan son legales o no,
o si los servicios que luego van a utilizar cumplen o no cumplen con la legalidad que
paradójicamente pretenden implantar, lo que por lo menos he logrado en esta entrevista es
convencer a la gerencia de que sea un profesional de la APEP quien lleve a cabo la adecuación.
16
La figura del Responsable de Protección de
Datos, un gran impulso para la profesión
Félix Haro, abogado y consultor de protección de datos.
En el Congreso de Protección de Datos de IAPP Europa el 29 de noviembre, antes de la intervención de
la Comisaria europea de Justicia, Derechos Fundamentales y Ciudadanía, ya se rumoreaba que
tendríamos un Reglamento y no una Directiva. Viviane Reding se limitó a indicar que el Parlamento
Europeo tendría “un regalo tardío de Navidad” de la Comisión, y a leer un corto discursoi sin admitir
preguntas. Unos días después, se filtró en Internet lo que se conoce como la versión 56 de la Propuesta
de Reglamento General de Protección de Datos.
El revuelco que el Reglamento le da a la legislación es de aúpa. Pero creo que lo más interesante para
los profesionales es el reconocimiento de la figura del Responsable de Protección de Datos, “Data Privacy
Officer” para los aficionados al inglés. Nada tiene que ver con el Responsable de Seguridad que regula
nuestro Reglamento, que sólo está dedicado a coordinar/controlar las medidas de seguridad que se
adoptan para los ficheros. La nueva figura se ocupará de bastantes más asuntos, y tendrá que asumir
unos roles más amplios y diversos.
Me resulta bastante curioso que la Unión Europea termine adoptando una figura con denominación de
origen norteamericano. La empresa IBM fue pioneraii en designar en el año 2000 un “Chief Privacy
Officer”, Harriet Pearson iii. Tenía los cometidos de unificar la privacidad en los proyectos y programas en
IBM, incluyendo investigación y desarrollo, marketing, ventas, estrategia web y tecnología; coordinar la
privacidad en la oferta tecnológica y de servicios; asegurar el liderazgo de IBM adoptando las mejores
prácticas para con los empleados, clientes y consumidores, y que la empresa cumpliera con la legislación
y estándares aplicables.
Por si en el mundo de los “eleopedianos” no teníamos bastantes divisiones ya (tecnólogos, juristas y otras
diversas faunas), ahora vienen desde Europa a exigirnos un poquito más. No solo tecnología y derecho,
sino también organización, análisis de productos y servicios… De todo un poco, pero fundamentalmente,
en todos sus desempeños, ha de entender el negocio de la empresa donde está trabajando y su
funcionamiento. Esto es fundamental, lo llevo diciendo unos años: ¿cómo vas a asesorar sobre algo que
desconoces?
El Reglamento dedica tres artículos a regular esta figura (32 a 34). Será obligatorio contar con un
Responsable de Protección de datos en las administraciones públicas (ver post de Francisco Javier
Sempere, El Responsable de Protección de Datos (DPO) en las AAPP) iv, en empresas de más de 250
empleados, y en aquéllas donde se lleven a cabo operaciones con datos que por su naturaleza,
alcance y/o finalidades requieran supervisión regular y sistemática. Nada impide que cualquier
organización, sin que esté dentro de estos supuestos, pueda nombrar también a alguien para que cumpla
estas funciones.
Es posible tanto nombrar a un empleado para el puesto, como contratar a personal externo. Sin embargo,
por la redacción de la propuesta de Reglamento, no parece que pueda contratarse a una empresa, sino
que siempre habrá de ser una persona física quien lleve a cabo las funciones.
Han de tenerse en cuenta las cualidades profesionales del Responsable, y en particular, conocimiento
experto de la legislación sobre protección de datos. Queda claro que todo ello estará determinado
también por los tratamientos de datos que lleve a cabo la empresa que lo nombra.
17
Subrayo la exigencia de conocimiento de la legislación. Al fin y al cabo, el mayor componente de
esta figura es velar porque se cumpla la normativa, y quién mejor que alguien que la conoce para
que conozca qué puede exigir. ¿Hasta dónde ha de llegar ese conocimiento? Para mí, el ideal es, en
origen, un licenciado en derecho con especialización en protección de datos. Antes podía incluso ser
discutible, porque el rol del Responsable de Seguridad primero estuvo ceñido a seguridad
informática, luego se añadió la seguridad en ficheros automatizados y no automatizados, pero con
esta ampliación de funciones junto con la afirmación del Reglamento queda despejada cualquier
duda, a mi parecer.
Algo que va a combatir el consabido “pluriempleo” de los profesionales del sector es que se impone
a la empresa que se asegure de que si el Responsable de Protección de Datos tiene otras tareas,
sean compatibles con sus obligaciones como tal, y nunca se provoque conflicto de intereses.
Pensemos por un segundo en cuántos responsables de informática son a la vez Responsables de
Seguridad conforme al Reglamento LOPD actual… ¿no supone conflicto de intereses?
Será nombrado para un período de 2 años, pudiendo renovarse por el mismo tiempo. No puede ser
apartado del puesto si no es porque deje de reunir los requisitos para cumplir con sus obligaciones.
La empresa tendrá que comunicar su identificación a la autoridad supervisora (Agencia Española de
Protección de Datos) y al público en general, que tendrá derecho a contactar con él para todas las
cuestiones relativas tanto al ejercicio de derechos, como a los tratamientos de datos que se realicen.
Así que los Responsables de Protección de Datos tendrán que lidiar con los clientes/usuarios, nueva
e interesante atribución que va a exigir la coordinación con el departamento de comunicación, en
caso de que exista en la empresa.
El Responsable de Protección de Datos ha de poder llevar a cabo su trabajo de forma
independiente, sin que pueda recibir instrucciones en el ejercicio de sus funciones. La empresa ha
de preocuparse por que se cuente con él en tiempo y forma en cualquier cuestión que lleve parejo el
tratamiento de datos de carácter personal. Tiene que ser apoyado en el desarrollo de sus trabajos, y
han de proporcionársele el personal, instalaciones, equipos y cualquier recurso necesario para que
trabaje.
El Responsable de Protección de Datos ha de informar directamente a la dirección de la empresa.
Imaginémonos la alteración que esto supone en el organigrama de cualquier empresa. Creo que el
esfuerzo va a ser mayúsculo. Si la empresa en cuestión no tiene ya arraigada una cultura de
protección de datos, a toda la estructura le costará bastante asumir este nuevo puesto con sus roles,
y la primera tarea del Responsable pasará por justificar y explicar la necesidad de su propia
existencia. Como siempre, si la dirección no está convencida de la necesidad de la existencia del
Responsable de Protección de Datos, será bastante difícil que pueda trabajar y cumplir con sus
cometidos convenientemente, al faltarle apoyo.
Las funciones que el borrador de Reglamento enuncia para el Responsable son la siguientes:
- informar y asesorar a la empresa acerca de las obligaciones que le impone el Reglamento, y
documentar esta actividad y las respuestas que se han dado a sus peticiones,
- controlar la implementación y aplicación de las políticas de la empresa en relación con la protección
de datos personales, incluyendo la asignación de responsabilidades, la capacitación del personal
involucrado en los tratamientos, y la realización de auditorías periódicas,
18
- controlar la implementación y aplicación del Reglamento, en particular los requisitos relativos a la
protección de datos por diseño, protección de datos por defecto, la seguridad de los datos y las solicitudes
de ejercicio de derechos,
- asegurarse de mantener la documentación que exige el Reglamento; y controlar la documentación,
notificación y comunicación de fugas de datos personales,
- controlar la aplicación por la empresa de lo establecido en los análisis de impacto sobre protección de
datos, y la solicitud de autorización o consulta previa,
- actuar como contacto con la autoridad supervisora, y controlar las respuestas que se le ofrezcan, así
como colaborar con ésta dentro de su esfera de competencias, ya sea a su solicitud, o por iniciativa propia
Como puede verse, sus funciones son bastante más extensas que las del Responsable de Seguridad.
Nada tiene que ver una figura con otra. Es más, la competencia de supervisar “la seguridad de los datos”
es
una
más,
por
lo
que
las
funciones
del
Responsable
de
Seguridad
actual
quedaría
controladas/supervisadas por el Responsable de Protección de Datos.
David González me planteó ayer a través de Twitter que echaba de menos la regulación de ciertas
incompatibilidades que pueden darse, pensando en un Responsable de Protección de Datos en su
modalidad de contratado externo… con el conocimiento que adquirirá sobre el negocio de las empresas a
las que preste servicio, ¿no debieran haberse regulado? Quizá por lo compleja que puede ser esa
regulación se ha obviado, ya que las mismas empresas se cuidarán muy bien de prestar atención al
asunto. Por dar un ejemplo concreto, a una empresa de software no se le pasará por la cabeza contratar
al mismo Responsable que también ejerce en una empresa competidora. Al menos yo no lo haría.
¿Están preparadas las empresas españolas para asumir esta figura? Pienso que todavía no, pero no les
quedará más remedio. Es un revulsivo que puede ayudar bastante a pasar del mero cumplimiento en
protección de datos, a la utilización de la cuestión como ventaja competitiva, como diferenciación con la
competencia… Las empresas tendrán que pasar de estar acostumbradas a tratar la LOPD como
amenaza, como algo externo que se puede obviar, a tener en cuenta la opinión de estos especialistas en
todos los procesos en los que haya tratamiento de datos. Puede pensarse que es una exageración que se
exija desde la UE, pero si realmente se quiere que se respete un derecho fundamental que está tan, tan
impactado por las nuevas tecnologías, la mejor solución es obligar a las empresas a incluir especialistas
en el campo en su funcionamiento. En este sentido prefiero una regulación quizá muy atrevida e influida
por los “useños”, a una “no regulación” o una regulación muy coja, como la que tenemos ahora con la
figura del Responsable de Seguridad.
Como cuestión de cierre y para reflexión, ¿de qué calibre es la responsabilidad que asumirán estos
trabajadores? ¿hasta qué punto serán responsables de que su empresa cumpla o no con la legislación?
Es un tema que merece análisis, y quizá es más complejo de lo que puede parecer. Pero no puedo evitar
pensar en el ejemplo de la condena v por un juzgado de Milán a Peter Fleischer vi, responsable global de
privacidad de Google. En 2006, una pandilla de impresentables grabó en vídeo los abusos a un
compañero de colegio autista, y lo subió a Google Video. Fleischer y dos ejecutivos más fueron
condenados vii por no cumplir con la legislación sobre privacidad italiana.
19
Con todo, de ser aprobada esta versión del borrador de Reglamento, constituye un gran impulso
para nuestra profesión. Sería un grave error que Europa no lo regulara, quedando en un breve plazo
de tiempo por detrás de su eterno competidor, EE.UU. Es imposible que en pleno siglo XXI, donde la
materia prima esencial que usan las empresas para trabajar es la información sobre las personas, el
profesional de la privacidad todavía sea visto como algo raro y exótico. Esta regulación es más que
necesaria.
i
http://europa.eu/rapid/pressReleasesAction.do?reference=SPEECH/11/817&format=HTML&aged=0&language=EN&guiLanguage=en
ii
http://www-03.ibm.com/press/us/en/pressrelease/1464.wss
iii
http://www.linkedin.com/in/harrietpearson
iv
http://fjaviersempere.wordpress.com/2011/12/19/el-responsable-de-proteccion-de-datos-dpo-en-las-aapp/
v
http://news.bbc.co.uk/2/hi/8533695.stm
vi
http://peterfleischer.blogspot.com/2010/02/todays-astonishing-verdict-in-milan.html
vii
http://googleblog.blogspot.com/2010/02/serious-threat-to-web-in-italy.html
Entrevista a Dª Esther Mitjans, directora de
la Autoridad Catalana de Protección de
Datos, con motivo del Día Europeo de
Protección de Datos.
● El Día 28 de enero celebramos el Día Europeo de la Protección de Datos, ¿qué cree que
aporta el modelo europeo en la tutela de este derecho fundamental?
El modelo europeo supone el reconocimiento y garantía de un derecho fundamental que permite al
titular de sus datos controlar que, quien y como se gestionan sus datos personales incorporando una
garantía institucional, las autoridades de protección de datos, que permite una defensa efectiva y
eficaz del derecho ante posibles vulneraciones del derecho.
● ¿Cuáles son en su opinión los retos a los que nos enfrentamos en 2012 en materia de
protección de datos personales?
Creo que uno de los principales retos a los que nos vamos a enfrentar en los próximos años es a
como establecer un correcto equilibrio entre la nueva situación global sin menoscabar el contenido
del derecho fundamental. En este entorno vamos a tener que replantearnos la protección de datos y
trabajar en un acercamiento desde planteamientos pragmáticos al cumplimiento de las obligaciones
y considero que un buen sistema es incorporar el elemento preventivo en la gestión de la
información a partir de un correcto análisis de los riesgos existentes en cada uno de los sectores.
20
● ¿Cuáles son a su juicio, los problemas más significativos para el adecuado cumplimiento de la
legislación vigente en su área de competencia?
La consciencia que la normativa de protección de datos no supone un entorpecimiento para las
actuaciones sino el establecimiento de garantías para un mejor tratamiento de la información.
Conseguir que las obligaciones en materia de protección de datos se integren en el normal
funcionamiento de las instituciones de manera que su cumplimiento no sea percibido como un plus sino
como el establecimiento de procedimientos que ayuden al correcto procesamiento de la información y
permitan una simplificación de los procesos de gestión.
● Desde APEP estamos comprometidos en trasladar a la sociedad un mensaje positivo en relación
con las ventajas que tiene cumplir con la LOPD, ¿podría ofrecernos argumentos en este sentido?
Un correcto cumplimiento de la normativa de protección de datos aporta una mayor seguridad
organizativa y tecnológica ya que permite un control de la información que gestionan las entidades
públicas y privadas y, por tanto, ayuda en el desarrollo y prestación de los servicios ofrecidos por estas
generando una mayor confianza en los usuarios.
● España cuenta con un sector profesional de profesionales de privacidad experto y formado. Nos
gustaría que aproveche estas líneas libremente para dirigirse a las personas asociadas a APEP
con una breve reflexión en relación con los retos de futuro para la profesión.
La normativa de protección de datos permite un gran desarrollo personal y profesional de aquellas
personas que se dedican a su estudio. Permite un trabajo multidisciplinar en los ámbitos jurídico,
organizativo y tecnológico que aportan una visión más completa de las instituciones. La globalización va a
exigir un esfuerzo de consolidación de todos estos aspectos para poder integrar la normativa de
protección de datos en el conjunto de instituciones y que se convierta en una parte más del desarrollo de
cualquier proyecto y actividad, pero, también, requiere que se amplíe la consciencia del derecho por parte
de sus titulares en una sociedad cambiante que a veces olvida que el derecho a la protección de datos
pasa por una actitud proactiva del propio titular. Todos aquellos que nos dedicamos a la protección de
datos hemos de tener siempre muy presente que detrás de cualquier actuación o actividad en este
entorno se encuentra un derecho fundamental que tiene como base principios como el de la dignidad
humana o la libertad.
21
Entrevista a D Santiago Abascal Conde,
director de la Agencia de Protección de
Datos de la Comunidad de Madrid, con
motivo del Día Europeo de Protección de
Datos.
● El Día 28 de enero celebramos el Día Europeo de la Protección de Datos, ¿qué cree que
aporta el modelo europeo en la tutela de este derecho fundamental?
La aprobación de la Directiva 95/46 y su posterior transposición a través de la LOPD configuró un
marco jurídico adecuado para proteger este “nuevo” derecho fundamental, articulando esa
protección a través de una serie de principios básicos, de sobra conocidos, como son los de calidad,
información, legitimación y consentimiento.
En el caso español, me gustaría destacar, que además de la función de control realizada mediante la
inspección y posterior tramitación denuncias, se garantizan los derechos ARCO de los ciudadanos
con la existencia del procedimiento de tutela de derechos, inexistente en otros ordenamientos
jurídicos europeos.
No obstante, la evolución de las tecnologías de la información en los últimos años, y sobre todo, el
auge de Internet, aunque los principios de la Directiva 95/46 sigan siendo válidos, ha demostrado
que hay problemas de privacidad que requieren ser resueltos con una articulación jurídica adecuada
en base a textos normativos.
● ¿Cuáles son en su opinión los retos a los que nos enfrentamos en 2012 en materia de
protección de datos personales?
Básicamente, tres. En primer lugar, aunque se ha avanzado en el cumplimiento de la LOPD, todavía
queda mucho que hacer en el ámbito de las Administraciones públicas y de las PYMES. Varios
estudios han expuesto que hay un avanzado grado de incumplimiento.
En segundo lugar, en un mundo globalizado como el actual y con nuevos modelos de gestión como
el “cloud computing”, es necesario establecer mecanismos adecuados, implicando a todas las partes
afectadas, para garantizar este derecho. Recordemos que la respuesta del legislador siempre es
tardía a este tipo de fenómenos que avanzan a pasos agigantados.
Por último, la formación de los usuarios, sobre todo los menores y sus padres y madres, en el uso de
las tecnologías de la información, las redes sociales, y en general, Internet. Está prohibido prohibir,
porque las ventajas de la red son incalculables, pero hay que educar sobre un buen uso de los
mismos. La puesta en práctica de esta educación o formación afecta a todos los poderes públicos.
22
● ¿Cuáles son a su juicio, los problemas más significativos para el adecuado cumplimiento de la
legislación vigente en su área de competencia?
Los resumiría en dos. Primero, aunque la APDCM ha desarrolla una inmensa labor de formación (más de
50.000 empleados), todavía sigue habiendo un desconocimiento de la normativa de protección de datos.
Además, en ocasiones los gestores públicos se acuerdan de este derecho a última hora. Por esta razón,
considero que tanto la “Privacidad por diseño” como la “Privacidad por defecto” en la normativa europea
que se aprobará este año sustituyendo a la vigente Directiva, puede ayudar a solucionar este problema.
Segundo, aunque las Administraciones públicas han introducido en los últimos años nuevos modelos de
gestión, a veces es difícil cambiar la “mentalidad burocrática” de tantos años, cuya forma de actuar puede
estar produciendo, en ocasiones, algún perjuicio al titular de este derecho fundamental. Hablo del
conocido “Es que esto siempre se ha hecho así”. Y en la mayoría de las ocasiones, el cambio, que
supondrá eliminar el citado perjuicio, es bastante simple. La APDCM nunca va a cesar en su empeño en
cambiar este tipo de actuaciones.
● Desde APEP estamos comprometidos en trasladar a la sociedad un mensaje positivo en relación
con las ventajas que tiene cumplir con la LOPD, ¿podría ofrecernos argumentos en este sentido?
Es necesario cambiar la mentalidad: no sólo se trata de cumplir la LOPD sino que la información que se
tiene de los ciudadanos o clientes, sus datos personales, tienen un valor esencial para la organización, y
gestionarlos de manera adecuada supone, además del cumplimiento normativo, ofrecer un “plus” a estos
ciudadanos o clientes. De esta forma, se ofrece un servicio con una mayor calidad, que en el tráfico
económico debe ser un elemento diferenciador para la contratación, incluyendo también cuando el
contratista son las Administraciones Públicas.
En este sentido, la APDCM participó en el Proyecto Europeo Europrise cuya finalidad era certificar
productos o servicios que se adecuasen a los principios de la Directiva 95/46, es decir, la creación de un
sello de calidad en materia de Privacidad. Asimismo, la Comisión Europea está muy interesada en
implantar este tipo de sellos. De hecho, el borrador de Reglamento de Protección de Datos que sustituiría
a la vigente Directiva, contiene un artículo en esta línea.
● España cuenta con un sector profesional de profesionales de privacidad experto y formado. Nos
gustaría que aproveche estas líneas libremente para dirigirse a las personas asociadas a APEP
con una breve reflexión en relación con los retos de futuro para la profesión.
Ante la inminente aprobación del nuevo marco regulador de la Unión Europea, el profesional de la
privacidad se va a enfrentar a nuevos retos. La figura del Responsable de Protección de Datos (DPO) no
sólo ofrecerá nuevas perspectivas laborales sino también una mayor responsabilidad en el ejercicio de
sus funciones y tareas.
23
También deberá estar convenientemente formado y preparado para realizar los “Informes de
Impacto de Privacidad”, la “Privacidad por diseño” y la “Privacidad por defecto”. Todo ello redundará
no sólo en una mejor prestación de sus servicios a la empresa o administración que le haya
contratado, sino también en la garantía de este derecho fundamental de los ciudadanos.
Entrevista a D. Iñaki Vicuña, director de la
Agencia Vasca de Protección de Datos, con
motivo del Día Europeo de Protección de
Datos.
El Día 28 de enero celebramos el Día Europeo de la Protección de Datos, ¿qué cree que
aporta el modelo europeo en la tutela de este derecho fundamental?
El modelo Europeo constituye el referente mundial en materia de protección de datos personales. En
Europa se encuentra el origen y los instrumentos jurídicos más importantes. El Convenio 108 del
Consejo de Europa y la Directiva 95/46/CE, son el espejo en la que se mira toda la legislación que,
actualmente, se está desarrollando en los países que incorporan el Derecho a la Privacidad en sus
ordenamientos.
Esta influencia se acrecentará con el actual cambio legislativo que está impulsando la Comisión
Europea, el nuevo Reglamento que sustituirá a la Directiva hoy vigente y la nueva Directiva que
regulará los aspectos relativos a las áreas cooperación judicial y policial en materia penal (antiguo
tercer pilar). En consecuencia el modelo europeo es base y fundamento de este derecho
fundamental.
¿Cuáles son en su opinión los retos a los que nos enfrentamos en 2012 en materia de
protección de datos personales?
Los retos son múltiples y conocidos. Estamos ante la aprobación, previsiblemente durante este año,
de una Ley de Transparencia y acceso a la información pública. Esto es ya un reto, y su
implantación debe garantizar una ponderación y un justo equilibrio con la normativa en materia de
protección de datos. Por otro lado tenemos retos tan importantes como el desarrollo de la
Administración electrónica, los derivados del uso de las redes sociales, de la videovigilancia, la
correcta implantación de la “Internet de las cosas”, o las evaluaciones de impacto sobre la privacidad
(PIAs, o la aplicación de criterios de Privacy by Design) por citar sólo algunos importantes. Unos
retos que no van a resolverse a corto plazo, si no que se han convertido en asuntos estructurales de
nuestra sociedad.
Es por ello que nuestra actual prioridad es incidir en la labor proactiva, más divulgativa, a través de
la concienciación, la sensibilización y la educación, para conseguir que los ciudadanos conozcan sus
derechos, los respeten y los reivindiquen.
Evidentemente, como Autoridades de Control, también deberemos dar una correcta y rápida
respuesta a las demandas de los ciudadanos y a sus solicitudes de tutela.
24
¿Cuáles son a su juicio, los problemas más significativos para el adecuado cumplimiento de la
legislación vigente en su área de competencia?
Quizás uno de los problemas principales es que el derecho a la protección de datos personales no es
suficientemente conocido. Por eso las Autoridades de Control dedicamos tanto esfuerzo en concienciar a
las Instituciones de la necesidad de que, en el ejercicio de sus funciones, respeten y protejan el derecho
fundamental de las personas a la confidencialidad y privacidad de sus datos. El cambio social que ha
supuesto el uso de las nuevas tecnologías obliga a profundizar en el establecimiento de criterios y pautas
de funcionamiento que permitan garantizar este derecho, porque estamos convencidos de que cuando el
derecho se conoce, se ejerce y se respeta.
Es también importante aclarar que la protección de datos personales no puede servir de justificación para
actividades de opacidad ni por parte de las Administraciones e Instituciones ni de los ciudadanos. Hay
que seguir insistiendo en que el derecho a la protección de datos personales y el derecho a la
transparencia no son valores contrapuestos sino que deben, necesariamente, ir de la mano. Hay que
encontrar el necesario equilibrio entre ambos derechos.
Desde APEP estamos comprometidos en trasladar a la sociedad un mensaje positivo en relación
con las ventajas que tiene cumplir con la LOPD, ¿podría ofrecernos argumentos en este sentido?
Con respecto a la ciudadanía, pienso que los mensajes relativos a la protección de datos personales que
reciben son, en general, positivos. Es un derecho que refuerza su autonomía y que ofrece garantías y
soluciones. Ya todos somos conscientes de los impresionantes tratamientos que con nuestros datos se
realizan, y saber que existe un derecho fundamental que nos asiste y unas autoridades que nos tutelan,
de alguna manera, tranquiliza.
No ocurre lo mismo, a mi parecer, con la percepción que tienen los responsables de tratamiento, sobre
todo en el mundo de la empresa. Habitualmente los mensajes que reciben tienen una carga negativa, se
presenta el cumplimiento de la ley desde el punto de vista de las sanciones, de las consecuencias
económicas, lo que produce rechazo, una carga más a soportar.
Yo no me cansaré de decir que el respeto a la privacidad en la empresa supone una ventaja competitiva.
En las relaciones humanas la confianza constituye un elemento esencial. La ciudadanía, los clientes
quieren relacionarse con empresas e instituciones que no les hagan trampas, que sean leales en el
tratamiento de sus datos, que aseguren su custodia. Que los ciudadanos confíen en nuestras empresas
es una ventaja competitiva que nos distingue de la competencia.
España cuenta con un sector profesional de profesionales de privacidad experto y formado. Nos gustaría
que aproveche estas líneas libremente para dirigirse a las personas asociadas a APEP con una breve
reflexión en relación con los retos de futuro para la profesión.
Como ya tuve ocasión de manifestar en el último Congreso organizado por la Asociación Profesional
Española de la Privacidad, las autoridades de control debemos estar próximas a la sociedad y apostamos
por el desarrollo de organizaciones profesionales y de la sociedad civil. A ello responde la firma del
Convenio, que en septiembre del 2010, realizamos con APEP
25
Para poder lograr los retos que hemos asumido, tenemos muy claro que necesitamos buenos
profesionales que se alineen con la necesidad de proteger los datos personales, que eviten los
riesgos producidos por prácticas erróneas e inapropiadas. La implicación de los profesionales en
lograr que la protección de datos personales forme parte del ADN de empresas y de
Administraciones Públicas es estratégica para que nosotros podamos ser eficaces en la misión que,
por ley, tenemos asignada.
Necesitamos profesionales que, aparte de las funciones clásicas de gestionar declaraciones de
ficheros, asesorar en cuestiones formales o facilitar la elaboración de documentos de seguridad, se
impliquen en elementos fundamentales de la privacidad, como, por ejemplo, la asesoría acerca de la
calidad de los datos, o la adopción de sistemas de tratamiento que incorporen, desde el inicio, los
criterios y medidas promovidos desde el espíritu de “Privacy by Design”.
RESUMEN ÚLTIMAS
TRIBUNAL SUPREMO.
SENTENCIAS
DEL
Roj: STS 7024/2011
Id Cendoj: 28079130062011100834
Órgano: Tribunal Supremo. Sala de lo Contencioso
Sede: Madrid Sección: 6
Nº de Recurso: 5072/2008 Nº de Resolución:
ANTECEDENTES DE HECHO
La Audiencia Nacional, dictó sentencia en julio de 2008, contra una resolución de fecha 18 de junio
de 2007 de la Agencia de Protección de Datos que desestimaba el recurso de reposición promovido
contra una resolución de la misma AEPD que venía a denegar la cancelación de los ficheros de
titularidad de la Fundación Hospital Alcorcón por entender que los mimos eran de de titularidad
privada y no pública como argüía la Fundación. La sentencia de instancia concluía anulando las
resoluciones de la AEPD “por ser contrarias a derecho, debiendo proceder la Agencia Española de
Protección de datos a cancelar en su Registro General las anotaciones correspondientes a los
ficheros de la citada Fundación".
En noviembre de 2008 la AEPD presentó escrito de interposición de recurso de casación,
solicitando se acuerde casar la sentencia recurrida y se dicte otra por la que se acuerde la plena
conformidad a derecho del acto impugnado en la instancia.
FUNDAMENTOS DE DERECHO
Entiende el Tribunal Supremo que la ley 8/2001 de la CCAA de Madrid atiende igualmente al criterio
subjetivo para delimitar las funciones de la AEPD y APDCM, “en atención al sujeto que creó o
gestiona el fichero en cuestión, reconociendo de forma
expresa el
carácter de ficheros de
titularidad pública a los creados o gestionados por las Instituciones de la Comunidad de Madrid, con
la única excepción de las sociedades mercantiles”.
26
Si bien, la Sentencia en sus fundamentos jurídicos, ordena esta excepción indicando su alcance, pues la
limita exclusivamente a empresas públicas con forma de sociedades mercantiles según el apartado 1 de
la letra c) del artículo 2.2 de la ley 1/1984 de la CCAA de Madrid, “sin alcanzar por tanto la exclusión de
las funciones de control por la APDCM a los demás entes públicos que integran la Administración
institucional de la Comunidad de Madrid, descritos en el artículo 2 de la ley 1/1984, en particular, sin
alcanzar la excepción a las empresas públicas del apartado 2 de la letra c) del referido precepto, que se
refiere a las Entidades de Derecho público con personalidad jurídica propia hayan de ajustar sus
actividades al ordenamiento jurídico privado”.
Profundizando el Tribunal en la constitución y régimen jurídico de la Fundación Hospital Alcorcón que
pretendía la cancelación de sus ficheros del Registro General de la Agencia Española de Protección de
Datos con el fin de determinar si se trataba de una Institución de la Comunidad de Madrid, de las
contempladas en el artículo 2 de la ley 8/2001 de dicha Comunidad, y determinar así el órgano
administrativo competente para la inscripción de sus ficheros, analiza el Real Decreto Ley 10/1996, de 17
de junio, de habilitación de nuevas formas de gestión del INSALUD, respecto a la ampliación de las
formas organizativas de gestión en el ámbito del Sistema Nacional de Salud, con finalidad de hacer frente
a las exigencias de eficiencia y rentabilidad social de los recursos públicos que las Administraciones
sanitarias tienen planteados, y en su artículo único estableció que la gestión y administración de los
centros, servicios y establecimientos sanitarios podrían llevarse a cabo directamente, o indirectamente
mediante cualesquiera entidades admitidas en derecho, "...así como a través de la constitución de
consorcios, fundaciones y otros entes dotados de personalidad jurídica...". Entiende así la Sentencia que
bajo la habilitación del RDL 10/1996, el Consejo de Ministros en su reunión de 22 de noviembre de 1996,
se autorizó al INSALUD a constituir determinadas Fundaciones, entre las cuales fue creada la Fundación
Hospital Alcorcón, “cuyo Protectorado se encomienda al Ministerio de Sanidad y Consumo por el artículo
8 de sus Estatutos”.
Otro motivo por el que el Tribunal entiende que es es un fichero público al amparo de la APDCM, es la
aplicación al caso de la Ley 15/1997, de 25 de abril, en cuanto a la habilitación de nuevas formas de
gestión del Sistema Nacional de Salud, pues como se establece en el Fundamento Jurídico Cuarto, dicha
ley “continuó amparando las nuevas formas organizativas de gestión de los centros hospitalarios, entre las
que ha de entenderse incluida, en lo que a este recurso interesa, la gestión a través de entes interpuestos
como las fundaciones”. Lo mismo hace con el Real Decreto 1479/2001, de 27 de diciembre, sobre
traspaso de funciones y servicios del INSALUD a la Comunidad de Madrid, “incluyendo las de tutela y
control, sobre las Fundaciones sanitarias ubicadas en el territorio de la Comunidad de Madrid que cita,
entre las que se encuentra la Fundación Hospital Alcorcón, así como la subrogación de la Comunidad de
Madrid en la posición que tiene el Estado en dicha Fundación”. Ahonda en esta interpretación al entender
aplicable también el artículo 2.1.f) de la ley 47/2003, de 26 de noviembre, General Presupuestaria.
Por último, la Sala coincide con la sentencia impugnada en que la solución de la presente controversia se
encuentra en la interpretación de las dos normas jurídicas con igual rango de ley, una estatal y la otra
autonómica, que delimitan el ámbito de actuación de la Agencia de Protección de Datos y del órgano
administrativo homólogo de la Comunidad de Madrid, si bien entiende que según el régimen jurídico a
que está sujeta la Fundación Hospital Alcorcón, “se trata de una Institución creada por la Administración
Pública, que actúa sometida a la tutela y control de la Administración Pública y financiada mediante
ingresos públicos”.
27
FALLO
Declara la Sala no haber lugar al recurso de casación interpuesto por la AEPD contra la sentencia de
23 de julio de 2008, dictada por la Sección 1ª de la Sala de lo Contencioso Administrativo de la
Audiencia Nacional en el recurso contencioso administrativo número 378/2007.
Roj: STS 7583/2011
Órgano: Tribunal Supremo. Sala de lo Contencioso
Sede: Madrid
Sección: 6
Nº de Recurso: 5960/2008
Nº de Resolución:
Fecha de Resolución: 10/11/2011
Procedimiento: RECURSO CASACIÓN
HECHOS
La Audiencia Nacional en septiembre de 2008 dictaba sentencia desestimando el recurso
contencioso administrativo interpuesto por Prelatura del Opus Dei, Región de España, frente a la
resolución de la Agencia Española de Protección de Datos de 31 de enero de 2007 que instaba a
dicha entidad emitir certificado de cancelación de sus datos y en dicha Resolución se aportaba
contestación de la Prelatura del Opus Dei al respecto de la denegación de la cancelación en los
siguientes términos: "los únicos datos que se refieren a su persona son hechos históricos, realizados
voluntariamente, que no pueden anularse. De todas formas, le comunico que en anotación marginal
se hará constar su deseo de que no tengan trascendencia externa".
Ante la Sentencia de instancia la Prelatura del Opus Dei, Región de España, presentó escrito de
interposición del recurso de casación solicitando la casación de la sentencia impugnada y se declara
no conforme a derecho y se anulara la Resolución dictada el 31 de enero de 2007 por la Agencia
Española de Protección de Datos en el procedimiento TD/00418/2006.
FUNDAMENTOS DE DERECHO
El recurso de casación se articula en tres motivos, los dos últimos, denunciaban la infracción del
artículo 2.1 de la LOPD y los artículos 4.5 y 16.2 de la LOPD respectivamente.
Argüía el recurrente que existía una infracción del artículo 2.1 de la LOPD, “porque en el caso de
autos los datos cuya cancelación se pretende no están incorporados a ningún soporte informático, ni
tampoco son objeto de tratamiento alguno en los términos delartículo 3.d) LOPD”, y que guardaban
un notable paralelismo con otros casos resueltos en forma estimatoria contra Resoluciones de la
AEPD que ordenaban cancelar los datos contenidos en los libros de bautismo. Sin embargo,
entiende la Sala que los datos a que se refiere el recurso, son las fechas de la incorporación y baja
en la Prelatura anotados de forma mecanográfica en un papel, y dicho formato no se encuentra
excluido de la protección de la LOPD. Estima entonces que con claridad el artículo 3 de LOPD, que
en sus letras b) y c) define los ficheros “como todo conjunto organizado de datos de carácter
personal, "...cualquiera que fuere la forma o modalidad de su creación, almacenamiento,
organización y acceso...", y entiende por tratamiento de datos, las operaciones y procedimientos
28
técnicos" ...de carácter automatizado o no...", que permitan la recogida, grabación, conservación,
elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos”.
Entiende el alto Tribunal que los datos personales interesados en cancelar y que el recurrente contaba
registrados eran “obviamente y en primer lugar, el nombre y apellidos de la persona interesada y además,
(...) las fechas de su petición de admisión, de su incorporación definitiva y de
su baja en la Entidad religiosa recurrente”. Además, la Sala reconoce que “la información que se recoge
está constituida por datos personales, especialmente protegidos además, de acuerdo con el artículo 7
LOPD, “por afectar a las creencias religiosas, y está también presente la nota o elemento de organización
(...) por el hecho de que habiendo solicitado la interesada información sobre sus datos en poder de la
Entidad religiosa, estos datos fueron localizados y la información fue facilitada, sin que conste, ni la
Entidad religiosa haya alegado siquiera, que fuera precisa adicional información u otros datos distintos al
nombre y apellidos para acceder a la información de que se trataba”. De esta forma, se rechaza el motivo
segundo de la casación, ya que no existe paralelismo con los Libros de Bautismo, los cuales no fueron
considerados el Tribunal Supremo como ficheros de datos, según Sentencia de 19 de septiembre de 2008
(recurso 6031/2007), “ya que los datos personales no están recogidos en dichos Libros de Bautismo”.
El Fundamento Jurídico Quinto, analiza el tercer motivo del recurso de casación (infracción de los
artículos 4.5 y 16.2 de la LOPD), ya que entendía el recurrente que no es ésta quien ha de acreditar que
los datos sean necesarios para la finalidad que motivó su recogida, sino al revés, debería haberse
acreditado “que dichos datos no eran necesarios para hacer subsumible el supuesto de hecho en lo
dispuesto por el artículo 4.5 LOPD”. Es la propia Sala quien determina que el artículo 4.5 LOPD, “no se
remite a la voluntad de la persona interesada, ni tampoco a la del responsable del fichero para determinar
cuando los datos han dejado de ser necesarios o pertinentes, sino que la necesidad del mantenimiento de
los datos ha de relacionarse con la finalidad para la cual los datos fueron recogidos”. Al entender la AEPD
y la sentencia impugnada que los datos dejaron de ser necesarios para la finalidad que justificó su
tratamiento, por haber decidido el interesado dejar de pertenecer al Opus Dei, “sin que por la parte
recurrente se haya desvirtuado tal conclusión, ni acreditado una finalidad de mantenimiento de los datos
merecedora de mayor protección”, procedía la sentencia a desestimar también este motivo de recurso.
FALLO
Declara finalmente la sentencia no haber lugar al recurso de casación, no anulando la Resolución de la
AEPD.
¿QUIERES COLABORAR?
Con el objeto de fomentar la participación de los asociados y dado que en el seno de la APEP existen
profesionales que pueden realizar interesantes aportaciones en la materia os reiteramos la invitación que
se realizó en su día para que podáis proponer temas sobre los que escribir un artículo para próximas
ediciones del boletín. Aquellos que estéis interesados deberéis remitirlos a [email protected].
29