APEPINFORMA09 09 NÚMERO NOV. 2013 En este número: PAGINA 01 1. Editorial: De la formación ... a la ejemplaridad. Ricard Martínez Martínez PAGINA03 2. Artículos. 2.1. Utilización de software espía y su impacto en la privacidad. A propósito de “el guardián” uruguayo. Silvia Raquel Telechea Dayuto 2.2. Las fuerzas y cuerpos de seguridad del estado en las redes sociales. Lydia López Aragón 2.3. Privacidad y ‘apps’, condenados a entenderse. Eduard Blasi 2.4. La Certificación APEP va madurando. Eduard Chaveli Donet 2.5. Videovigilancia ¿pública o privada?. José Manuel Mulero, María Ayarra, Inma Montes, Javier Munguia y Montserrat Obach 2.6. La comisión de menores de la APEP. Ramón Arnó Torrades PAGINA23 3. Jurisprudencia Reciente. Jordi Saldaña Edita: APEP (Asociación Profesional Española de Privacidad) Palacio Miraflores Carrera San Jerónimo 15 28014 - Madrid ISSN: 2340-9142 Contacto: Apdo. de Correos 12.327, 46020 Valencia [email protected] 1 APEP Informa De la formación ... a la ejemplaridad Ricard Martínez. Presidente de la APEP. @ricardmm El futuro inmediato de la protección de datos personales plantea retos apasionantes que exigen que nuestra comprensión del mundo se enriquezca desde múltiples puntos de vista. Basta con considerar sentencias recientes de la audiencia nacional, amplia e inteligentemente comentadas en los blogs de nuestros/as asociados/as en relación con la telefonía móvil o el correo electrónico, para entender que lo que parecían viejos temas adquieren profundos matices. Por otra parte, las aplicaciones móviles, la trazabilidad en el comportamiento, el profiling y materias como el big data se abren paso como nuevos protagonistas en nuestro trabajo. No olvidemos asimismo, cómo el caso del espionaje norteamericano ha puesto sobre la mesa la cuestión de la seguridad en el Cloud y la posible necesidad de un modelo de Cloud europeo. Añadamos como pincelada final la detección por el MIT de vulnerabilidades específicas en recursos como Dropbox para entender hasta qué punto en nuestro sector la necesidad de actualización y formación constituye una necesidad de primer orden en nuestro sector. Por ello, tras una primera experiencia APEP deberá comprometerse con un plan de formación ambicioso pero realista que cubra tanto las necesidades de formación continuada como la especialización y la certificación. Esto supone sin duda un reto para la Junta de esta asociación que se verá sin duda sometida a un reto considerable por su exigencia y al que trataremos de responder con eficacia, dedicación y apertura a todos y cada uno de los asociados. Debemos ser capaces de encontrar un equilibrio entre los eventos formativos presenciales, eminentemente prácticos y la flexibilidad del mundo online buscando además en la medida de lo posible la excelencia docente. En este sentido, el cambio en nuestro modelo de certificación que evoluciona hacía un alto nivel de exigencia formativa, incorpora a un comité académico de reconocido prestigio y un panel de evaluadores independientes está llamado a ser un estándar de referencia en el mercado. El desarrollo de la normativa europea, aunque se retrase y modifique, exigirá la presencia de una marca fuerte en el mercado y capaz de acreditar nuestros conocimientos. ¿Pero para que debe servir la marca APEP? Hace unos días un compañero muy querido y respetado me remitía una oferta de servicios de asesoramiento LOPD por una ridícula cantidad que no APEPINFORMA09 1. Editorial. podía sino consistir en uno de esas implementaciones en las que sin saber de ti alguien marca una crucecita en el programa y te entrega un formulario que no sirve para nada. Casi al mismo tiempo, pude leer ofertas formativas del tipo “aprenda a ser consultor en una mañana”, y otras que prometían una especie de reconocimiento oficial. Estoy seguro de que los asociados y las asociadas de APEP no somos esto. Somos un colectivo de personas honradas y profesionales que nos comprometemos con el rigor y la seriedad profesionales. Por ello, asumimos el compromiso de asociarnos, de formarnos, de cooperar y de hacer 2 de nuestra imagen un referente nacional e internacional. Cada uno de nosotros y nosotras servimos a APEP, no nos servimos de APEP. Nadie puede ni debe hacerlo. Juntos hemos hecho algunas cosas destacadas y hemos obtenido un cierto crédito. Pero no podemos confiarnos, nuestra vida como asociación es demasiado corta y APEP sigue necesitando que cada uno de nosotros con su esfuerzo engrandezca el proyecto. Debemos ser ejemplo y referencia de ética, honestidad y profesionalidad porque sólo así alcanzaremos el éxito. 2.1 Utilización de software espía y su impacto en la privacidad. A propósito de “El Guardián” Uruguayo. Silvia Raquel Telechea Dayuto1. Doctora en Derecho y Ciencias Sociales, por la Facultad de Derecho de la Universidad de la República- Montevideo. Asociada a la APEP ABSTRACT En el mes de julio de 2013, se filtró a la prensa la información de la adquisición por parte del gobierno uruguayo, tildada “como secreta”, que sorprendió a propios y a extraños, de un software denominado EL GUARDIÁN, a una empresa Brasileña, Dígitro Tecnología Ltda., para la monitorización de telefonía fija, de celulares, páginas web, redes sociales entre otras, con un costo aproximado US$ 2 millones y un mantenimiento y servicio técnico anual de casi 200.000 US$ a cargo de la firma proveedora. Más allá de la repercusión, que ha tenido el tema tanto en el ámbito nacional, como internacional, en medio del escándalo de espionaje de Edward Snowden, de la sospecha de espionaje a gran escala a países de América Latina por parte de Estados Unidos, surge una gran incertidumbre que ha suscitado, y un cierto recelo debido a que constituye un medio extremadamente intrusivo a la privacidad. En este artículo, se pretende analizar desde el punto de vista jurídico, la incidencia que puede tener con los derechos fundamentales. PALABRAS CLAVES: interceptación de comunicaciones electrónicas, privacidad, intimidad, telecomunicaciones, inteligencia, internet, protección de datos, el guardián, Uruguay INTRODUCCIÓN: El guardián, ¿de qué estamos hablando? El Guardián es un software hecho a medida, que, según ha trascendido a nivel periodístico, en la ver1. Doctora en Derecho y Ciencias Sociales, por la Facultad de Derecho de la Universidad de la República- Montevideo Uruguay. Master en Informática y Derecho Décima promoción Universidad Complutense de Madrid, Postgrado en Derecho de Nuevas Tecnologías: Comercio Electrónico. Consultora especialista en protección de datos. Miembro de APEP, Asociación Profesional Española de Privacidad. Socia fundadora la empresa HUMANFINC S.L. sión adquirida por el gobierno uruguayo, permite la monitorización a tiempo real, de hasta 800 celulares, 200 Teléfonos fijos, además de crear cuentas espejo de 100 emails y relevamiento de tres redes sociales. Posee herramientas avanzadas para el análisis de vínculos textuales, estructurados y gráficos, permitiendo el análisis integrado de la información, mediante las interceptaciones en un ambiente que integra grabaciones telefónicas, de radio y datos en Internet. La interfaz es 100 % web, por lo que permite al analista acceder al sistema, de forma segura desde cualquier lugar2. La resolución que habilitó la compra por parte del Ministerio del Interior, se justificó dicha adquisición en lo siguiente: “La incorporación de dicha tecnología permitirá desarrollar con e icacia una tarea de importancia en la investigación de delitos complejos, logrando así una mejor gestión en la Seguridad Publica, incidiendo directamente en las políticas de prevención y represión de la delincuencia, cometido esencial que desarrolla la Policía Nacional y demanda urgencia en su atención” Se trata por tanto, de dotar a la Policía Nacional de tecnología de última generación, con una capacidad inexistente hasta el momento y constituirá un mecanismo eficaz para combatir el flagelo de los denominados DELITOS COMPLEJOS: corrupción, narcotráfico, terrorismo, lavado de activo, redes de prostitución, pornografía infantil entre otros. A nivel de prensa se destaca que son cada vez más las solicitudes judiciales para interceptar llamadas y cuentas de correo electrónico, se incorporan casi en la totalidad de las investigaciones que involucran dichos delitos y que con esta nueva tecnología, permitirá analizar, al amparo de órdenes judiciales, la información surgida de la vigilancia de llamadas telefónicas, correos electrónicos, redes sociales y blogs.3 2. Extraído de la página web http://tecno.americaeconomia/ noticias/conozca-el-guardian-el-prism-uruguayo , vista el 20/8/2013 Artículo autor observa.com.uy DENOMINADO: Conozca a El Guardián, el PRISM Uruguayo. 3. Extraído de página web http://www.elpais.com.uy/ informacion/gobierno-compro-guardian-espiar-llamadascorreos.html vista el 20/8/2013. 3 APEPINFORMA09 2. Artículos. APEPINFORMA09 El proyecto de adjudicación, pone de manifiesto que “la difusión de la contratación podría irrogar graves perjuicios para la Seguridad Pública, tanto desde el punto de vista técnico como estratégico”, razón por la cual no fue publicada ni en la página web de compras estatales, ni en los boletines oficiales. do Tribunal, permite la grabación telefónica como prueba en los delitos, con autorización judicial. Utilización de el guardián en Brasil. La petición puede ser de oficio, o a petición de la Policía que investiga las causas criminales, o el fiscal en la instrucción procesal penal y criminal. El Guardián ha sido desarrollado por una empresa brasileña del estado Santa Catarina DÍGITRO TECNOLOGÍA LTDA, que es el proveedor del Estado Uruguayo. La Policía Federal brasileña, ha utilizado desde hace bastante tiempo, este software, y hoy son varios estados brasileños que cuentan con esta potente herramienta que se utilizan diversos procedimientos. A vía de ejemplo en el año 2007 permitió promover más de 188 operaciones en la lucha contra la corrupción y el crimen organizado, y se obtuvo la detención de 2876 personas, 316 de ellos eran empleados públicos y 13 policías federales en las que: “THE GUARDIAN, es la estrella del más del 90 % de todo ese trabajo” según comenta el periodista Claudio Julio Tognolli, en su artículo “Os ouvidos de Deus” publicado en la revista de Rolling Stones4 nº 20, de mayo de 2008. En dicho artículo señala que es “el más moderno y potente sistema de escuchas telefónicas de Brasil”……… “es la estrella de las investigaciones de la PF” (Policía Federal). Lo define como un “diván freudiano.” se ve a Dios en su omnipresencia divina: está en todo lugar, escuchar a todo el mundo, pero nadie lo ve”. Este periodista, cuestiona respecto a quien controla el sistema y deja en descubiertos casos en los cuales, no es necesario que el sistema funcione con autorización judicial. En el derecho brasileño la interceptación legal de las comunicaciones electrónicas hasta la aprobación de la ley 92965 del 24 de julio de 1996, en opinión del Supremo Tribunal Federal de Brasil, era considerada una prueba ilícita, en investigaciones criminales, aunque fuera con autorización judicial. Una vez aprobada la ley 9296 que desarrolla el art. 5 de la Constitución, la jurisprudencia del cita4. http://rollingstone.uol.com.br/edicao/20/os-ouvidos-de-deus 5. http://www.te.gob.mx/ccje/iv_obs/materiales/de_resende. pdf 4 La citada ley, regula la interceptación de las comunicaciones de cualquier tipo, a efectos de ser utilizadas como prueba en una instrucción de un proceso, penal y criminal debe hacerse mediante la decisión del tribunal competente. La autorización puede hacerse oral en casos excepcionales y siempre la decisión debe ser fundada, bajo pena de nulidad. El plazo para que pueda interceptarse las comunicaciones es de quince días prorrogables por otros quince más siempre que esté justificado. En su artículo 2 la ley establece los casos en los que no procede la interceptación: cuando existan indicios razonables de la autoría o participación de un delito, o que el hecho investigado constituya un delito con pena máxima de prisión. Una de las polémicas surgió en torno al verdadero alcance del sistema, que trascendería el almacenaje, sistematización y cruzamiento de información y le permitiría realizar escuchas, sin la necesidad de que intermediaran los operadores de telefonía y, en consecuencia, eludiendo las órdenes judiciales, derivada de la filtración de las escuchas en una investigación sobre presunto fraude en una licitación6. Las insistentes versiones en Brasil, sobre la capacidad de El Guardián para pinchar teléfonos, hicieron que el tema tomara estado parlamentario y un diputado alertara sobre el manejo de la información por parte de privados. El abogado de Henry Clay Andrade, representante de la Asociación de Abogados de Brasil (OAB), presentó una acción de inconstitucionalidad contra el uso de El Guardián. Denunció que el sistema se había convertido en un “monstruo autoritario” que estaba realizando escuchas a civiles sin autorización judicial. Según la propia versión que da la empresa DIGITRO en su página web7 el sistema funciona, siempre cumpliendo, según dicen, la ley 9626, antes 6. http://www.elpais.com.uy/informacion/polemica-llamadoechelon-brasileno.html http://radiomercosur.com/noticias/MONTEVIDEO_Gobierno_ uruguayo_compro_El_Guardian_para_espiar_llamadas_y_ correos_26_07_2013_2013_07_26/ 7. http://www.digitro.com.br/pt/inteligencia/ Los agentes intervinientes en el proceso de interceptación son: A) El Poder Judicial o tribunal competente que es el órgano que aceptará o denegará la solicitud de interceptación cuando se den los requisitos legales para la misma. B) Los Agentes Públicos con poder de investigación, siempre autorizados por el Poder Judicial. C) El Ministerio Público, quien actúa como garante y asegura el derecho de los ciudadanos y de las empresas que estén afectadas por el procedimiento en cuestión. D) Las operadoras de telefonía y los proveedores de Acceso, que están obligados por ley 9296/96 a cooperar si son requeridas a tal efecto. En primer lugar la autoridad solicitante, con poder de investigación criminal detecta la necesidad de una interceptación. Con base a la ley 9296/96 es enviada al Poder Judicial señalando los motivos de la interceptación y se da vista al Ministerio Publico para que se mani-fieste al respecto. Si se acepta la interceptación, se libra la Orden conforme a la Resolución nº 598 antes citada, notificándose a la operadora de telefonía o al proveedor de acceso para que cumpla con la interceptación. Los agentes intervinientes, una vez que se libra el oficio, envían un oficio complementario con los datos técnicos de la dirección electrónica del Guardián donde se enviará la información interceptada. Una vez que se están en posesión de todos los documentos, la Operadora o Proveedor de acceso configura el inicio de las interceptaciones y encaminan los datos interceptados a los servidores de la Autoridad solicitante, que es en estos donde se recibe y almacena la información. Como nota importante, se hace resaltar que las en el curso de la investigación, las operadoras no permiten la interceptación de nuevos números a no ser que se cumplan con los requisitos de la normativa vigente9. Cabe destacar que, el sistema del Guardián dispone de funcionalidades que facilitan el proceso de 8. http://s.conjur.com.br/dl/resolucao-59-cnj.pdf 9. http://www.digitro.com.br/pt/inteligencia/ (nº 8 de pantalla) investigación, ya que no solo recibe y almacena la información, sino que permite el cruzamiento de datos estructurales y de texto, siendo su utilización segura ya que permite los controles de auditoria de datos, configuraciones de acceso y del sistema. Facilita la elaboración de informes de inteligencia. Breve reseña de la protección de datos en Uruguay y la interceptación de comunicaciones electrónicas como medio probatorio lícito. Uruguay ha sido quizás el país en América Latina, que a partir del año 2008, ha dado el mayor salto cualitativo en materia de protección de datos y por ende de la protección de la privacidad de sus ciudadanos. Con la aprobación de la ley nº 1833110, de 11 de agosto de 2008, de protección de datos personales y acción de Habeas Data, que vino a sustituir la norma de carácter sectorial ley 1783811 de fecha 24 de septiembre de 2004 protección de datos personales para ser utilizados en informes comerciales y acción de Habeas Data y con la obtención del reconocimiento por parte de la Comisión Europea como país adecuado en la materia convirtiéndose así en el segundo país de América Latina en obtener dicho reconocimiento, junto con Argentina, por decisión del 21 de agosto de 201212. Fue además sede de la 34ª13 Conferencia Internacional de Autoridades de Protección de Datos y Privacidad. Pero Uruguay ha ido más allá, y se ha convertido en ser el primer país no europeo en ratificar el Convenio nº 108 del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal con la aprobación de la Ley nº 1903014 de fecha 27 de diciembre de 2012. Queda más que claro, en el ordenamiento jurídico uruguayo, que el derecho a la protección de datos y de la privacidad, está protegida y amparada. 10. http://www.parlamento.gub.uy/leyes/AccesoTextoLey. asp?Ley=18331&Anchor= 11. http://www.parlamento.gub.uy/leyes/AccesoTextoLey. asp?Ley=17838&Anchor= 12. http://iblawg.cl/wp-content/uploads/2012/08/ URUGUAYes00110014.pdf 13. http://privacyconference2012.org/espanol/sobrela-conferencia/noticias/Uruguay-logra-adecuacion-enProteccion-de-datos-1 14. http://www.agesic.gub.uy/innovaportal/file/2593/1/ descargar_ley_n_19030.pdf 5 APEPINFORMA09 comentada, y la Resolución nº 59 que reglamenta dicha ley del 8 de agosto de 2008, del Consejo Nacional de Justicia. APEPINFORMA09 Si bien no existe a nivel constitucional una referencia expresa, como por ejemplo se puede apreciar en el artículo 18.4 de la Constitución Española, la Constitución Uruguaya15, en virtud de adoptar una concepción iusnaturalista en materia de derechos fundamentales, protege no solo los derechos que están expresado en su artículo 7: “Los habitantes de la República tienen derecho a ser protegidos en el goce de su vida, honor, libertad, seguridad, trabajo y propiedad. Nadie puede ser privado de estos derechos sino conforme a las leyes que se establecieron por razones de interés general” en el artículo nº 72 “La enumeración de derechos, deberes y garantías hecha por la Constitución, no excluye los otros que son inherentes a la personalidad humana o se derivan de la forma republicana de gobierno” y 332 “Los preceptos de la presente Constitución que reconocen derechos a los individuos, así como los que atribuyen facultades e imponen deberes a las autoridades públicas, no dejarán de aplicarse por falta de la reglamentación respectiva, sino que ésta será suplida, recurriendo a los fundamentos de leyes análogas, a los principios generales de derecho y a las doctrinas generalmente admitidas.” Es decir, que existe una protección de derechos, cuya enunciación no es taxativa, que deja la puerta abierta a nuevos derechos, sin necesidad de tener que hacer una reforma constitucional, como ha pasado en otros países, y que solo pueden ser limitadas “conforme a las leyes que se establezcan por razones de interés general”. Por otra parte el artículo 28 de la Constitución establece respecto a la protección de la inviolabilidad de la correspondencia: “Los papeles de los particulares y su correspondencia epistolar, telegráfica o de cualquier otra especie, son inviolables, y nunca podrá hacerse su registro, examen o interceptación sino conforme a las leyes que se establecieron por razones de interés general.” El resaltado me pertenece. La referencia a correspondencia epistolar, telegráfica o de cualquier especie, siguiendo al Dr Carlos Delpiazzo en su obra Derecho de las Telecomunicaciones, Montevideo, 2005 editorial Tradinco, junio de 2005 págs. 96 a 98 “merece ser destacada por cuanto, dirigida a evitar cualquier absurda interpretación excluyente, asegura la inclusión de las comunicaciones telefónicas en el concepto de correspondencia. Pero además impone la aplicación del texto a cualquier medio o instrumento de 15. http://www.rau.edu.uy/uruguay/const97-1.6.htm#2 6 comunicación que el progreso científico o tecnológico pueda generar en el futuro”16 , asegurando la adecuación de dicha normativa a los constantes avances técnicos. Cabe señalar, según sostiene GROS ESPIELL, en la obra citada, que es fundamental destacar que la norma constitucional garantiza no solo la inviolabilidad “del contenido sino la existencia misma de las comunicaciones y por ende de su difusión y conocimiento por terceros.” Respecto a la protección se centra en “registro, examen o interceptación”. Según la Real Academia Española: registrar: significa examinar el contenido, anotar, inscribir o enumerar; examinar: investigar, indagar o analizar el contenido; interceptar: si bien el sentido natural significa detener el pasaje de algo o impedir que llegue al lugar al que se dirige, con referencia a las telecomunicaciones en general y a las comunicaciones telefónicas en particular, implica la injerencia externa, un acto de un tercero ajeno a los interlocutores y que actúa sin consentimiento de uno de ellos a efectos de poder tomar conocimiento del contenido de la misma, ya sea que se registró o no para su posterior examen o utilización por ejemplo como medio de prueba17. Por lo tanto, en el tema de la interceptación, todo se centra por lo tanto en la posibilidad, de que exista alguna vulneración de derechos, ya que como dice la jueza Graciela Gatti,18 “Técnicas éstas que resultan especiales por varios motivos, en primer lugar por su carácter intrusivo ya que penetran en el ámbito reservado a la intimidad de las personas y en segundo lugar por cuanto se trata de medios probatorios que se obtienen muchas veces mientras el delito se está cometiendo. Por su naturaleza y en 16. Cita del autor a Héctor GROS ESPIELL. “El artículo 28 de la Constitución y las comunicaciones telefónicas” en revista de Administración Publica Uruguaya, nº 25 Pág. 84. 17. Benardete MINVIELLE. El derecho de la intimidad y la prueba en el proceso penal, con especial referencia a las interceptaciones telefónicas, en Revista Uruguaya de Derecho Procesal, pág. 154, 158 y 159, autor citado por el Dr Delpiazzo en obra anteriormente citada. 18. Autores citados en el artículo de Ignacio M. Soba Bracesco “Proceso penal y crimen organizado: particularidades procesales en España y en Uruguay, con énfasis en la problemática probatoria” Febrero 2010 Origen: Noticias Jurídicas: Graciela Gatti: “Juzgados Letrados Penales especializados en Crimen Organizado”, págs. 24 y 25, en Congreso Binacional de Derecho Procesal Penal (Uruguay-Argentina) sobre la Reforma de la justicia penal y gobernabilidad democrática, 2009, en Instituto de Estudios Comparados en Ciencias Penales y Sociales (INECIP): http://noticias.juridicas.com/articulos/65Derecho%20Procesal%20Penal/201002-78963254120324. html En ese sentido, Ramón DE LA CRUZ OCHOA sostiene que deben someterse “…dichos métodos a controles legales y judiciales rigurosos, habida cuenta de que si bien se posibilita una intervención temprana de las investigaciones policiales en el espacio criminal, también hace más fácil incurrir en comportamientos prohibidos”19. Se trata de una excepción al respecto del derecho fundamental de la inviolabilidad de las comunicaciones privadas siendo una norma permisiva a la transgresión del bien jurídico tutelado de la privacidad o intimidad de las personas. Señala que en ciertos delitos las escuchas resultan indispensables pero deben seguirse condiciones muy estrictas. El límite a este derecho será dado solo por la ley formal, por razones de interés general, puede privar de la protección constitucional, aún con fines probatorios para que sea legiíima, requiere ser soportada en una norma habilitante de rango legal20. Cabe recordar el Artículo 11 de la Convención Americana sobre Derechos Humanos21, ratificada por Uruguay, establece que: “1. Toda persona tiene derecho al respeto de su honra y al reconocimiento de su dignidad. 2. Nadie puede ser objeto de injerencias arbitrarias o abusivas en su vida privada, en la de su familia, en su domicilio o en su correspondencia, ni de ataques ilegales a su honra o reputación. 3. Toda persona tiene derecho a la protección de la ley contra esas injerencias o esos ataques.” Ahora bien, es importante recalcar que la ley 18331, de protección de datos personales, en su 19. Ramón De la Cruz Ochoa: “Criminalidad Organizada y Proceso Penal”, pág. 2, en Congreso Internacional de Derecho Penal, VII Jornadas sobre Justicia Penal (UNAM, 19 al 23 de Junio de 2006): http://www.juridicas.unam.mx/sisjur/penal/ pdf/11-574s.pdf. 20. Dr Carlos Delpiazzo obra citada. Pag 98 21. http://www.oas.org/dil/esp/tratados_B-32_Convencion_ Americana_sobre_Derechos_Humanos.htm artículo 3 literal B, deja fuera del ámbito de aplicación, todas aquellas normas que tengan por objeto la seguridad pública, la defensa, la seguridad del Estado y sus actividades en materia penal, investigación y represión del delito. Este artículo es similar al artículo 2 de la ley 15/199922 Ley orgánica de Protección de datos, del 13 de diciembre, que en su literal b y c excluyen del ámbito de aplicación los ficheros sometidos a normativa sobre protección de materias clasificadas y a los ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada. Sin perjuicio de que de forma previa se comunicara al órgano de control, Agencia Española de Protección de Datos, su existencia, características generales y su finalidad, esto último constituye una garantía para los ciudadanos, -aspecto este que echamos en falta en la norma uruguaya- y que brindara seguridad y transparencia. Tanto a nivel doctrinario como legislativo, en todo ordenamiento jurídico la restricción a los derechos fundamentales debe realizarse por leyes de interés general. En la Constitución uruguaya, está prohibida las pesquisas secretas, art. 12, no obstante existe cierta desconfianza, sobre todo a nivel de abogados penales, que ven que la autorización de la interceptación de las comunicaciones por la que procesan a sus clientes, ni siquiera están en los autos, y además según informaciones policiales23, cuando se tienen indicios de que se está cometiendo un delito, primero se hace la escucha y posteriormente se pide la autorización, con lo que convierten legal una prueba ilegal, y sumando a que las autorizaciones en muchos casos es dada oralmente por los jueces, lo que puede colidir con las garantías del derecho al debido proceso. En tema de interceptación de comunicaciones debemos considerar varios cuerpos normativos donde más o menos exhaustivamente lo regula. En el Código de Procedimiento Penal24 uruguayo, ley nº 15.032 del 7 de julio de 1980 en materia probatoria no lo establece en forma expresa, no obstante al decir en el artículo 173: “cualquier otro medio no prohibido por la ley que pueda utilizarse 22. http://www.boe.es/boe/dias/1999/12/14/pdfs/A4308843099.pdf 23. http://historico.elpais.com.uy/121104/pnacio-673703/ nacional/Escuchas-riesgo-en-interpretacion/ 24. http://www.parlamento.gub.uy/leyes/AccesoTextoLey. asp?Ley=15032&Anchor= 7 APEPINFORMA09 la medida que suponen la violación de derechos fundamentales garantizados por la Constitución su aplicación queda reservada al ámbito establecido por el legislador, bajo decisión judicial, la que debe ser fundada. Se trata de medios probatorios que deben ser utilizados con especial ponderación y teniendo presente que los mismos revisten un carácter subsidiario, esto es, no es válido acudir a los mismos si puede obtenerse igual resultado por otra vía, que no suponga afectar derechos de los investigados.” APEPINFORMA09 aplicando analógicamente las normas que disciplinan a los expresamente previstos”. Sin embargo el artículo 212, hace referencia a la interceptación de correspondencia y otras comunicaciones si existen motivos graves para creer que la interceptación de la correspondencia postal o telegráfica o toda otra forma de comunicación en que el imputado intervenga, aun bajo nombre supuesto, pueda suministrar medios útiles para la comprobación del delito; deberá ordenarlo el juez que dispondrá de su secuestro mediante resolución fundada, librándose los oficios correspondientes. Tratándose de tercero, podrán dictarse las mismas medidas siempre que el Juez tenga motivos seriamente fundados, que se harán constar, para suponer que, de las mencionadas comunicaciones, pueda resultar la prueba de la participación en un delito. En estos artículos, se basan la utilización de los medios de prueba, ya que se entienden incluidas en: “Las potestades instructoras del juez con competencia penal son suficientes para ordenarla, ejecutarla y culminarla con su control, siempre que tenga a fines de investigación de una conducta con apariencia delictiva” texto extraído de Sentencia del Tribunal de Apelaciones en lo Penal de 1º Turno nº 27 de 28 de febrero de 2005”25. Cabe destacar, que este código de Procedimiento Penal, que ha sido muy controvertido y criticado, está en proceso de ser modificado y existe un proyecto a nivel parlamentario donde se incluye en su artículo 147, las interceptaciones e intervenciones, sin especificar y cualquier otro medio no prohibido por la ley. Respecto a los medios probatorios se agrega un capítulo específico sobre la interceptación e incautación postal y electrónica de los imputados y un capitulo nuevo de intervención de comunicaciones respecto de intervención, grabación o registro de comunicaciones telefónicas u otras formas de comunicaciones solicitadas por el Ministerio Público al Juez. Lo interesante de este artículo y que crea seguridad jurídica que no hay hasta ahora, que se incluirá el nombre del afectado, la identidad de teléfono, forma, alcance y duración de la grabación. Otra novedad en el ordenamiento Jurídico en el artículo del proyecto el Ministerio Público podrá soli25. Derecho Informático tomo VI FCU 1ª ED. Abril 2006 pag 489 8 citar la intervención de las comunicaciones de altas autoridades públicas, como el Presidente de la República, Ministros, Ministros de la Suprema Corte, del Tribunal de Cuenta, Corte Electoral entre otros previa autorización del Fiscal de Corte. La reforma del Código de Procedimiento Penal, es una asignatura pendiente que tiene el Uruguay, ya que el vigente fue aprobado en el año 1980, en la dictadura. En junio del 2009, se aprobó la ley nº 18.49426 de CONTROL Y PREVENCIÓN DE LAVADOS DE ACTIVOS Y DEL FINANCIAMIENTO DEL TERRORISMO, en su artículo 9 regula de forma expresa la denominada “vigilancias electrónicas”, en la investigación de cualquier delito con la finalidad de su esclarecimiento. Se opta por el concepto amplio, y no al término de interceptación ya que según señala el autor Soba Bracesco “la vigilancia electrónica podrá tener por objeto interceptar la correspondencia, las comunicaciones telefónicas, las comunicaciones electrónicas de cualquier tipo, o podrá consistir en la utilización de micrófonos, cámaras, utilización de imágenes satelitales, etc. Es que la norma prevé que se puedan utilizar “todos los medios tecnológicos disponibles”, con lo cual la herramienta no permanece pétrea ante los cambios incesantes.”27 Establece el procedimiento que debe seguirse, debe ser ordenada por el Juez a requerimiento del Ministerio Público. El desarrollo y la colección de prueba serán bajo la supervisión del Juez competente, quien a su vez será el encargado de la selección del material destinado a ser utilizado en la causa y la que descartará por no referirse al objeto probatorio. El resultado de las pruebas deberá transcribirse en actas certificadas a fin de que puedan ser incorporadas al proceso y el Juez está obligado a la conservación y custodia de los soportes electrónicos que las contienen, hasta el cumplimiento de la condena. Una vez designada la defensa del intimado, las actuaciones procesales serán puestas a disposición de la misma para su control y análisis, debiéndose someter el material al indagado para el reconocimiento de voces e imágenes. 26. http://www.parlamento.gub.uy/leyes/AccesoTextoLey. asp?Ley=18494&Anchor= 27. http://noticias.juridicas.com/articulos/65-Derecho%20 Procesal%20Penal/201002-78963254120324.html Por último la ley 1831528 de procedimiento policial, 5 de julio de 2008 establece en su artículo 73. (Información e inteligencia policial).- La policía podrá realizar actividades de información e inteligencia para la prevención y represión de hechos ilícitos. Es decir, es la Policía quien realiza las escuchas, quien debe solicitar la autorización fiscal del caso, que a su vez le pide la medida al juez. El magistrado es quien libra el oficio a la operadora de telecomunicaciones: si es de un teléfono fijo: a ANTEL empresa estatal que tiene el Monopolio, si es celular: ANTEL, Claro o Movistar, donde se establece el nº que debe interceptarse y el plazo. Los ingenieros de las empresas de telecomunicaciones efectúan la intervención y cada vez que el sospechoso atiende o realiza una llamada, suena el teléfono en la unidad policial que lo está investigando, allí el Policía que hace la escucha coloca los auriculares y se graba en CD y toda la información es enviada al Juzgado. Lógicamente que, si bien no ha trascendido si el Guardián funcionará como lo hace en Brasil, porque no se ha brindado ningún tipo de información, ni siquiera a los parlamentarios que así lo requirieron, toda esta operativa que hoy se ve casi artesanal, cambiará totalmente por la propia capacidad y características del software adquirido. La seguridad versus privacidad Volviendo al tema que nos atañe, existe en el ámbito político y en el sentir de la gente, atrevería a calificarlo como “sensación térmica”, la repercusión que generó la adquisición del GUARDIAN, por la forma tan secreta, ya que jueces, fiscales incluso parlamentarios se enteraron por la prensa de tal adquisición y porque hace tiempo que viene estando en el tapete las sospechas de las escuchas telefónicas en distintos ámbitos, que ha sido constantemente desmentida. En un artículo del Dr Diego Galante, columnista del portal MONTEVIDEO PORTAL, del 18 de junio de 2013 titulado como: Privacidad y espionaje en Uruguay. Señala con gran acierto: “En el mundo se está entrando en un terreno de alto riesgo que se aceleró con la presencia del terrorismo en los 28. http://200.40.229.134/Leyes/AccesoTextoLey. asp?Ley=18315&Anchor= últimos años. Los Estados han comenzado a poner en funcionamiento un mecanismo que no es el clásico espionaje de un gobierno contra otros gobiernos o respecto de ciertos grupos extremistas o de alto peligro; hoy el espionaje se ha vuelto contra los propios ciudadanos, por riesgos reales, potenciales o preventivos, sin importar la frontera de los derechos de cada uno”- y agrega- “Según la información que he podido recopilar, ……. Desde hace aproximadamente 15 años la inteligencia del Estado se ha ido ampliando de manera consistente: los ciudadanos responden ahora ante las investigaciones y pesquisas de la Dirección Nacional de Inteligencia del Estado (DINACIE, que depende del ministerio de Defensa Nacional), la Dirección Nacional de Información e Inteligencia (DNII, del Ministerio del Interior, además de una cantidad de entidades que reúnen tareas de investigación e inteligencia, como los departamentos propios del Ejército, la Armada, la Fuerza Aérea, la Prefectura Nacional Naval; la inteligencia en materia financiera y de lavado del Banco Central, la inteligencia propia de la Dirección Nacional de Aduanas, la que utiliza la Dirección General Impositiva para su actividad respecto de contribuyentes, los servicios de información del Servicio Exterior, entre otros”29. En un interesante artículo de ANTONIO ANSELMO MARTINO denominado ASECHO DEL DERECHO DE LA PRIVACIDAD EN AMERICA LATINA publicado en diciembre de 2012 sostiene que “en un mundo globalizado e intercomunicado crecen las posibilidades de violar la privacidad de los individuos y las empresas”30. Estamos en un país, que ha apostado fuerte tanto por la protección de datos, de dotar de garantías como el Habeas Data, que constituye una garantía de acceso a los datos personales, pero que también apuesta fuerte por la transparencia, por el avance tecnológicos, y en un estado de derecho donde existen los mecanismos para la garantía cabal de los derechos fundamentales. No obstante, por las razones que sea, el sistema no revela del todo transparente porque falta precisión normativa, con proyectos en estudio del parlamento y sin tener por ejemplo una ley general de Telecomunicaciones y sin una ley de Inteligencia. Actualmente en el Parlamento un proyecto de ley propuesta por el diputado Amy sobre Inteligencia 29. http://columnistas.montevideo.com.uy/uc_63604_1.html 30. http://habeasdatacolombia.uniandes.edu.co/wp-content/ uploads/1_Antonio-Martino_FINAL1.pdf 9 APEPINFORMA09 Quedan expresamente excluidas del objeto de estas medidas las comunicaciones de cualquier índole que mantenga el indagado con su defensor. APEPINFORMA09 y que está teniendo el consenso de todos los partidos políticos, incluido el de gobierno para poder aprobar cuanto antes un marco jurídico que regule el tema y que en uno de sus apartados establece: “La estricta observancia de la legalidad de aquellos procedimientos que, inevitablemente, requieran de actividades invasivas de la privacidad de los individuos.”31 Breve comentario respecto a la interceptación de comunicaciones por privados. Antes de que surgiera la adquisición del Guardián, mucho se ha escrito en prensa, y ha dado origen a varios pedidos de explicaciones en el parlamento respecto a la posibilidad de que los teléfonos tanto fijo como móviles estuvieran “pinchados”. El vicepresidente de Antel, empresa pública que tiene el monopolio de la telefonía fíja “La tecnología para hacer un `pinchazo` no tiene nada de sofisticada. Eso lo puede hacer cualquier persona simplemente poniendo dos `cocodrilos` (grampas) en los cables de teléfono en una entrada de una casa”, Se precisa tecnología para realizarla. Un delincuente o un particular interesado en espiar a otro, en caso de tecnología inalámbrica necesita equipamientos más sofisticados y más complejos” En Buenos Aires se venden pequeños equipos similares a computadores portátiles que permiten escanear números de teléfonos celulares. Constan de un ordenador, antena y un par de audífonos. Su precio oscila los US$ 3.500. Otra forma de interceptar celulares es tener un contacto con un funcionario infiel de Antel y éste habilitará el acceso al mecanismo para realizar una escucha ilegal”32. Ya ha habido algún antecedente muy puntual y que ha sido puesto a disposición de la Justicia. En el cumplimiento de la normativa de protección de datos de las operadoras de telecomunicaciones tanto públicas como privadas, artículo 20 de la ley 18331, su responsabilidad alcanza los siguientes puntos: a) Mantener niveles adecuados de seguridad y confidencialidad de los datos de los titulares, para ello, los responsables deberán adoptar las medi31. http://www.espectador.com/documentos/Amy.pdf 32. http://www.elpais.com.uy/informacion/pinchar-telefono-nosofisticado.html 10 das técnicas que garanticen la seguridad en la explotación de la red o servicio. Recabar el consentimiento de los titulares de los datos y guardar la prueba de su existencia o de su negativa. b) Informar a los abonados acerca de posibles riesgos o medidas a adoptar mediante cláusulas contractuales o de advertencia previniendo acerca de los riesgos de una posible violación de la seguridad pública de comunicaciones electrónicas, e informando las medidas a adoptar. c) Cumplir con las disposiciones previstas en la Ley. Tratar los datos conforme lo establecido en la ley. Informar en forma expresa y destacada a los titulares sobre cómo se va a utilizar sus datos. Utilizar datos exactos y adecuados de acuerdo con la finalidad para la cual fueron recabadas y actualizarlos en casos de que fueran necesarios33. Analizando la política de privacidad de ANTEL quien informa lo siguiente: “POLÍTICA DE PRIVACIDAD: Los datos personales de registro y toda otra información proporcionada a Antel por el cliente, se encuentran sujetos a una estricta política de privacidad en cumplimiento de la normativa vigente. La información personal solicitada al usuario a efecto de registrarse voluntariamente para usar los servicios ofrecidos, no será suministrada a terceros por Antel, salvo en las circunstancias que se detallan a continuación: a) cuando la ley lo requiera o exista una orden judicial solicitando que se revele la información contenida en los sistemas. b) cuando sea necesaria para identificar, contactar o llevar acciones legales en contra de alguien que esté causando daño o amenazando la seguridad, o causando interferencia a los derechos, sistemas de Antel, de otros usuarios, o de terceros.34 El resaltado me pertenece. Y de la empresa MOVISTAR URUGUAY, de telefonía Móvil: “Política de Privacidad de los datos personales suministrados por el Usuario. Seguridad y tratamiento: Para poder utilizar el Website de manera eficiente y segura, los Usuarios deberán aportar ciertos datos, entre ellos, su nombre y apellido, domicilio, cuenta de e-mail, documento de identidad, sin los cuales se tornaría imposible brindar los servicios. Asimismo podrá solicitarse información adicional en relación a los intereses 33. Texto extraído del documento: http://www.oas.org/es/sla/ ddi/docs/proteccion_datos_personales_bp_ur_g_5.pdf 34. http://www.antel.com.uy/wps/wcm/connect/7dda738048d5 1ad48594b715a05b7cdc/Condiciones-del-Servicio.pdf?MOD =AJPERES&ContentCache=NONE En la empresa Claro, también de telefonía móvil, no se ha podido tener acceso desde su página web a las cláusulas de protección de datos. CONCLUSIONES. En temas de investigación de delitos complejos, la interceptación de las comunicaciones electrónicas, son un elemento clave al punto que se han convertido en “la reina de las pruebas” relegando incluso a la confesión36 El gran problema que son muy invasivas al derecho de la intimidad y a la privacidad, deben estar limitadas y muy controladas. En el derecho uruguayo más allá de que puede existir una cierta inquietud, o una sensación que traspasa a la gente común, y preocupa, naturalmente a parlamentarios, abogados, jueces y fiscales, es muy atendible la preocupación existente, porque debería precisarse con más claridad la reglas de juego, es decir la existencia de normas que den garantías o al menos doten de 35. MOVISTAR https://www.movistar.com.uy/AvisosLegales/ TerminosYCondiciones.aspx 36. Apreciación del Juez Luis Charles, juez penal de Montevideo con amplia experiencia, en un seminario de la Asociación de Magistrados en Treinta y Tres, el 28 de octubre de 2012, http://historico.elpais.com.uy/121104/pnacio-673703/nacional/ Escuchas-riesgo-en-interpretacion/ seguridad y transparencia a todo el sistema. Por ello, la repercusión que tuvo la compra secreta del software El Guardián, que va a dotar a la Policía Nacional de mayores herramientas, más profesionales y efectivas contra el combate de la delincuencia, lógicamente, si se realiza, como no puede ser de otra manera, dentro de la legalidad. La iniciativa de regular este medio probatorio, en el código de procedimiento penal, es tan necesario como beneficioso, la futura aprobación de la ley de inteligencia lo mismo, porque genera confianza, seguridad y transparencia vitales en un estado de derecho, porque las garantías constitucionales están dadas con creces. Y en el ámbito privado, debería hacerse hincapié en trabajar y garantizar la confidencialidad de las comunicaciones, porque la obligación de adoptar las medidas técnicas, que garanticen la seguridad en la explotación de la red o servicio y de que se advierta cuando se vulnere la seguridad de las comunicaciones y los medios a adoptar, está establecida de forma expresa en el artículo 20 de la ley de datos personales, porque hasta el momento se revelan insuficientes. No se puede trasladar toda la carga al usuario, quien no tiene ni los recursos, ni el conocimiento técnico, debido a que es relativamente fácil pinchar un teléfono fijo, o adquirir un dispositivo cuesta de U$S 700 a U$S 3500, que se venden incluso por internet. Y en definitiva, se irá poco a poco creando una cultura de protección de datos y de respeto a la privacidad, que valore en su justa medida creando un equilibrio de los derechos fundamentales y que de seguridad jurídica a todos los ciudadanos. BIBLIOGRAFÍA: -Albornoz, Maria Belén Privacidad, Internet social y Políticas Públicas en América Latina y el Caribe Diciembre de 2008. Accesible desde el siguiente enlace: https://tecnologiaysociedad.uniandes.edu.co/ images/PDF/internet_social.pdf -De Resende Chaves Júnior, José Eduardo ponencia Prueba Ilícita en la Jurisprudencia Electoral de Brasil Ciudad del México 6 de octubre de 2011 -Delpiazzo, Carlos Derecho de las Telecomunicaciones, Montevideo, 2005 editorial Tradinco, junio de 2005 págs. 96 a 98 11 APEPINFORMA09 del Usuario, la cual es de aportación voluntaria por parte del mismo. El no completar dicha parte del formulario no afecta el registro del Usuario. De conformidad con la Ley 18.331 de Protección de Datos Personales, los datos suministrados por el Usuario quedarán incorporados en la base de datos de clientes de TELEFONICA (autorizada por resolución de la URCPD 1566/010 del 8 de octubre de 2010, autorización nº B 1579), la cual será procesada para el relacionamiento con la empresa y el envío de información. ……….En todos los casos los datos serán tratados con el grado de protección adecuado, tomándose las medidas de seguridad necesarias para evitar su alteración, pérdida, tratamiento o acceso no ha autorizado por parte de terceros. Los Usuarios tienen el derecho de acceder a la información de su Cuenta, y podrán rectificar, actualizar, completar, y suprimir los datos ingresados cuando lo deseen. En caso de que los datos sean requeridos por la vía judicial competente, TELEFÓNICA se verá compelida a revelar los mismos a la autoridad solicitante.”.35 El resaltado me pertenece. APEPINFORMA09 -Delpiazzo, Carlos Dignidad Humana y Derecho. Montevideo 2001 Ed. La Imprenta MEDIOS DE PRENSA en INTERNET: -Delpiazzo. Carlos El Derecho ante las telecomunicaciones, la informática e Internet. En Derecho Informático, nº II MONTEVIDEO 2002 FCU.PAGS 41 y siguientes. http://observador.com.uy -GROS ESPIELL, Héctor. “El artículo 28 de la Constitución y las comunicaciones telefónicas” en revista de Administración Publica Uruguaya, nº 25 Pág. 84 -Martínez Martínez Ricard, Una aproximación critica a la Autodeterminación Informativa, ed. Civitas 1º Edición año 2004. -Mata Ricardo. La Protección Penal de datos como tutela de la Intimidad de las personas. . En Derecho Informático, nº VI MONTEVIDEO 2006 FCU. PAGS 291 y siguientes. -Rodotà, Stefano. Democracia y Protección de Datos en Cuaderno de Derecho Publico 19-20 Mayo – Diciembre 2003 INAP -Rubí Navarrete, Jesús. Tratamiento de datos en el sector de telecomunicaciones. Cuaderno de Derecho Público 19-20 Mayo – Diciembre 2003 INAP pags 335 y sig. -Seguridad y Datos Personales. Agencia de Pro-tección de Datos de la Comunidad de Madrid, edición Octubre de 2009 -Viega, María José. Privacidad & Espionaje en Internet. En Derecho Informático, nº VI MONTEVIDEO 2006 FCU.PAGS 237 y siguientes. PAGINAS WEB CONSULTADAS. http://presidencia.gub.uy http://parlamento.gub.uy http://www.antel.com.uy http://www.movistar.com.uy http://www.claro.com.uy/portal/uy/pc/personas/ http://www.digitro.com.br/pt/ http://noticias.juridicas.com/ http://www.te.gob.mx http://iblawg.cl http://privacyconference2012.org http://www.agesic.gub.uy http://www.boe.es http://www.oas.org 12 http://www.elpais.com.uy/ http://rollingstone.uol.com.br http://columnista.montevideo.com.uy http://www.espectador.com http://radiomercosur.com http://tecno.americaeconomia/noticias/conozca-elguardian-el-prism-uruguayo 2.2 Las fuerzas y cuerpos de seguridad del estado en las redes sociales. Lydia López Aragón Abogada. Asociada a la APEP. Tras la promulgación de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, son muchas las entidades públicas que están implementando métodos para relacionarse con sus ciudadanos a través de Internet, siendo las redes sociales en concreto, un canal donde se están posicionando un gran número de ellas. Las redes sociales se han incorporado a nuestro día a día y constituyen un fenómeno social, tecnológico, político y económico que ha modificado la forma en la que nos comunicamos. El uso de las redes sociales se está generalizando entre las administraciones públicas como fuente de innovación y como herramienta que les ayude a mejorar su relación con la ciudadanía. Actualmente estamos inmersos en la llamada Web 2.0., cuyas principales características son: cercanía, interacción, participación, intercambio y colaboración de los usuarios a través de los diversos servicios que ésta ofrece (redes sociales, blogs, etc.) Las redes sociales por tanto, forman parte de la Web 2.0. y son un claro ejemplo de cómo los usuarios pueden interactuar en la red. Si bien son muchas las Administraciones Públicas que tienen perfiles institucionales en las diferentes redes sociales que existen, no todas ellas cumplen con las características de la Web 2.0. cuando las utilizan, no favoreciendo con ello la interacción de los ciudadanos-usuarios (ponen límites a la participación de éstos, comparten escasa información Sin embargo, sí hay una parte muy específica de la Administración Pública, que utiliza las redes sociales de manera muy eficaz, poniéndose al mismo nivel del ciudadano, favoreciendo la interacción entre ambos. Se trata de las Fuerzas y Cuerpos de Seguridad del Estado y más concretamente de la Guardia Civil y el Cuerpo Nacional de Policía que, como entidades públicas al servicio de la seguridad y la protección de los ciudadanos, están cerca de los mismos también en las redes sociales. Ambos cuerpos tienen creados perfiles institucionales en diversas redes sociales (Twitter, Facebook, Tuenti, etc.). De hecho, el Twitter oficial de la Policía Nacional es la institución líder en España con más de 590.000 seguidores (número que sigue aumentando día a día) y es el segundo cuerpo de seguridad más seguido en el mundo, solo superado por el estadounidense FBI. Estos canales de comunicación social, son muy adecuados para interactuar con los ciudadanos y cumplir con sus objetivos de ser útiles y servir a la ciudadanía en su seguridad, de forma preventiva y reactiva y de manera casi inmediata. Y para ello, para ser cercanos y llegar a todos los ciudadanos, los profesionales que están detrás, utilizan las redes sociales empleando un lenguaje claro, directo y coloquial alejándose de datos técnicos. De este modo, todos los internautas pueden beneficiarse de sus servicios. Principalmente los usos que ambos Cuerpos de Seguridad del Estado hacen de las redes sociales son los siguientes: 1.- Como medio de difusión de noticias o información útil para los ciudadanos. Utilizar las redes sociales como canal de información es el principal uso que se hace de ellas, puesto que se ve favorecido por la rapidez e inmediatez del medio, lo que hace que el contenido llegue de forma instantánea a los ciudadanos y que éstos puedan incluso hacerse eco mediante el uso de los “retweets”, “me gusta”, etc. Son frecuentes las publicaciones de noticias sobre detenciones o de campañas de concienciación para la ciudadanía ante determinados delitos o concienciando ante conductas peligrosas a evitar. 2.- Para dar a conocer los servicios que ofrecen a los ciudadanos. Es habitual ver tweets o comentarios en sus muros facilitando un número de teléfono o vía a la que poder acudir ante determinada situación sufrida o informando sobre el estado de las carreteras en tiempo real. 3.- Promover la participación ciudadana. Son muchas las detenciones y el esclarecimiento de delitos que se han logrado por parte de ambos Cuerpos de Seguridad gracias a la información y aportación facilitada por los ciudadanos. Por ello, en sus diversas cuentas son habituales los llamamientos a la ciudadanía solicitando información. Como ejemplo claro, el Grupo de Delitos Telemáticos de la Guardia Civil puso en marcha desde finales de 2010 la campaña de concienciación y colaboración “Yo denuncio” para los usuarios de las redes sociales, bajo el lema: “entre todos haremos una red más segura”. En ella, se informa sobre los delitos que se cometen en la red y los usuarios pueden facilitar a los agentes información sobre posibles actos delictivos que detecten. Así con un simple “tweet” o un mensaje en su Facebook denunciando un delito o alertando de un posible peligro, el Grupo de Delitos Telemáticos de la Guardia Civil se pondrá en marcha para esclarecer los hechos. Y cualquiera de nosotros puede (y debe) colaborar con ellos, y además de una manera muy sencilla y rápida ya que desde Facebook o Twitter, tendremos enlace directo a su web para poder alertar de posibles delitos o conductas sospechosas. Otro ejemplo lo tenemos en la reciente campaña de la Policía Nacional, la “Tweetredada de verano”, donde a través de las redes sociales, se recuerda a los veraneantes en las costas españolas que en caso de detectar tráfico de droga en su entorno y “a cualquier escala”, pueden informar de forma anónima para que la Unidad Antidroga de la Policía lo investigue. Para ello únicamente hay que enviar un correo a la dirección [email protected] sin necesidad de identificarse. Y prueba de la eficacia de esta vía es que solo en esta cuenta la Policía ya ha recibido más de 12.000 correos y se han efectuado más de 300 detenciones por narcotráfico. 4.- Gracias a la rapidez de estos canales, sobre todo cuando son utilizados desde dispositivos móviles, también se utilizan para la gestión de emergencias o catástrofes. Desgraciadamente tenemos como ejemplo más reciente el accidente de tren en Santiago de Compostela ocurrido el pasado 24 de julio. Ese día y los posteriores, se utilizaron las redes sociales de estos cuerpos de seguridad como medio de aviso e información a los familiares 13 APEPINFORMA09 y muchas veces la información que comparten se trata de mera “propaganda”), con lo que no se fomenta la crítica, el debate, las opiniones u aportaciones de los ciudadanos. APEPINFORMA09 de las víctimas o para el llamamiento a la colaboración de los ciudadanos. Queda patente pues, que la utilización por parte de las Fuerzas y Cuerpos de Seguridad del Estado de las redes sociales se ha convertido en uno de los utensilios más potentes de comunicación de éstos con los ciudadanos y viceversa. Así como una herramienta muy útil, eficaz y rápida de colaboración de los ciudadanos con los Cuerpos y Fuerzas de Seguridad del Estado. 2.3 Privacidad y ‘APPS’, condenados a entendersE. Eduard Blasi. Abogado especialista en protección de datos. Asociado a la APEP El mundo de la telefonía móvil ha evolucionado a pasos agigantados y ha revolucionado por completo nuestra sociedad, especialmente desde 2007 con la llegada de los teléfonos inteligentes o smartphones. A partir de este momento, varias empresas tecnológicas apostaron fuerte por lo que sería el negocio estrella del siglo XXI: el desarrollo de aplicaciones para dispositivos inteligentes, comúnmente conocidas como apps. Durante este tiempo, la demanda de apps ha crecido de forma desmesurada y ello ha obligado a las empresas a crear aplicaciones móviles sin cesar. Los cierto es que, según datos disponibles, se suben a Internet de forma diaria unas 1600 nuevas aplicaciones y el usuario medio suele descargarse alrededor de 37 aplicaciones en su dispositivo. En Internet existen aplicaciones para todos los gustos, algunas ofrecen soluciones a vida personal y profesional, otras en cambio, están orientadas al ocio y a la diversión. Sin embargo, la mayoría de éstas coincide en el hecho de que, en mayor o menor medida, tratan datos de carácter personal. El tratamiento de ciertos datos personales por parte de las apps puede parecer lógico en un principio ya que muchas de éstas los necesitan para gestionar el servicio que ofrecen, sin embargo, la realidad es la mayoría de las apps accede a más datos de los estrictamente necesarios. ¿Realmente conocemos todos los datos que tratan las aplicaciones que tenemos instaladas en nuestro dispositivo? Y, aún más, ¿Sabemos qué hacen exactamente estas aplicaciones con nuestros datos? La respuesta es lamentablemente, no. En este sentido, en diciembre de 2010, el prestigioso 14 periódico estadounidense The Wall Street Journal publicó un polémico un artículo denominado “Qué conocen los móviles” donde se puso de manifiesto la gran cantidad de datos de carácter personales que tratan las apps que descargan los usuarios en sus dispositivos. A raíz de este artículo los usuarios pudieron constatar que muchas apps trataban datos sin su conocimiento ni consentimiento. Un caso particular fue el de la famosa –y aparentemente inofensiva- aplicación Angry birds, que resultó ser considerada una de las aplicaciones más peligrosas para la privacidad de los usuarios porque no sólo trataba gran cantidad de datos personales, sino que además, los cedía a terceras empresas. Es importante saber que las aplicaciones móviles no sólo acceden a los datos identificativos y de contacto que podemos aportar al inicio, durante la fase de registro. Éstas a menudo acceden a datos tales como la geolocalización, los contactos de nuestra agenda, datos bancarios, historial de navegación, etc. Actualmente existe por tanto un riesgo importante para la privacidad y la protección de datos de los usuarios derivados principalmente por la falta de transparencia y conocimiento de los tipos de tratamientos que realizan las aplicaciones móviles, combinado con falta de consentimiento previo al tratamiento de de datos que realizan. Todas las apps deberían contar con una política de privacidad clara y fácilmente comprensible que permitiera que los usuarios conocieran, antes de instalarla, los datos a los que ésta accedería y el modo en que los trataría, para poder decidir libremente si les interesa o no instalarla en su dispositivo. Sin embargo, no es así. En 2012 se constató que tan solo un 50% de las principales aplicaciones contaba con una política de privacidad ello sin contar que muchas de estas políticas de privacidad no eran claras y comprensibles para la mayoría de los usuarios. Nos encontramos en un momento crucial donde el usuario es vulnerable respecto de las aplicaciones que instala. El problema de esto radica en las consecuencias que puede sufrir el usuario no sólo a nivel personal, por lo que respecta a su intimidad, sino también a nivel profesional en lo relativo a la protección de datos y a la seguridad de la información. Recientemente la Autoridad Catalana de Protección de Datos, en su Dictamen CNS 24/2013, alertó de la existencia de determinadas apps que no cumplen estrictamente con la normativa de protección de datos y, por tanto, los profesionales deben Así pues, en la medida en que existe, en determinados casos, una responsabilidad derivada del uso de estas aplicaciones, el usuario se encuentra obligado a conocer con detalle el tratamiento que estas realizan de los datos de su dispositivo y si cuentan con las medidas de seguridad que exige la normativa. En caso contrario se expone a ser sancionado por la Autoridad de Protección de Datos competente. La tendencia es que los dispositivos móviles cada vez alberguen más datos personales y que las apps a su vez traten más datos personales. Por ello es imprescindible que la evolución de la tecnología, y en particular el ecosistema de las aplicaciones móviles, vaya de la mano de la privacidad y la protección de datos. Los desarrolladores de aplicaciones tienen un papel fundamental para conseguir mayor seguridad, garantías y transparencia, sin embargo no se puede obviar el papel que juegan las otras partes que participan en desarrollo, la distribución y la capacidad técnica de las aplicaciones. Estos son: los fabricantes de sistemas operativos y dispositivos, las tiendas de aplicaciones y terceras partes como los proveedores de análisis y las redes publicitarias. Por tanto, ante esta situación, y teniendo en cuenta que existe la posibilidad de que se apruebe la propuesta de Reglamento General de Protección de Datos -que a su vez exigiría mayor rigor en cuanto al tratamiento de los datos por parte de las apps -, los desarrolladores y demás partes integrantes en el proceso de creación y distribución, deben implementar cuanto antes los recursos necesarios para incrementar la privacidad y la protección de datos, y de este modo ofrecer suficientes garantías de seguridad y confianza a sus usuarios. 2.4 La Certificación APEP va madurando. Eduard Chaveli Donet. Miembro de la Junta Directiva de APEP. Responsable de certificaciones. Socio Director de GESDATOS @eduardchaveli 1. Introducción La certificación APEP va madurando. Son más de cuatro los años los que ya tiene, lo que en términos de “edad” de una certificación es haber pasado ya la adolescencia y empezar a plantearse los cam- bios lógicos que la madurez exige. Durante estos años se han consolidado las dos vías existentes para su obtención: Tanto la vía ordinaria del examen como la vía extraordinaria de apadrinamiento. Y aunque se van a mantener las vías, a partir de Enero de 2014 van a producirse ciertos cambios que es importante explicar. Los explicaremos en este artículo en el que informamos de las modalidades existentes, vías de obtención, requisitos, trámites y en general la información necesaria para poder solicitarlas. Antes de ello creo importante hacer hincapié en las certificaciones como elemento que puede ayudar en una materia como la protección de datos - cuyo ejercicio no está regulado y sometida en ocasiones a lamentables prácticas de piratería - a mitigar los duros efectos que sobre los profesionales válidos que hay en el sector suponen tales prácticas. Es buena noticia que poco a poco el sector público haya valorado ya nuestra certificación en pliegos y que también las empresas la tengan en cuenta en procesos de selección y que los propios profesionales empiecen a verla como un elemento diferenciador de la competencia. 2. Clases de Certificación: Especialidades Es importante empezar explicando que todas las certificaciones ACP contemplan un tronco común de conocimientos obtenidos con el examen o acreditados vía apadrinamiento (según el caso). Con ello se consigue un certificado de conocimientos generales sin necesidad de experiencia previa. Esta certificación base es la ACP F (fundamentos). Se trata de una nueva certificación que se introduce. A partir de estos conocimientos básicos se puede obtener la correspondiente especialidad profesional - acreditando experiencia - de tal forma que el que obtenga la certificación profesional adquiere un plus sobre la certificación base o fundamentos (ACP F). No obstante, si alguien obtiene la certificación profesional especializada no dispondrá además de la certificación fundamentos (ACP F) sino que esta queda subsumida en aquellas que son “superiores”. Las certificaciones profesionales ACP especializadas existentes son las siguientes: • (A) Auditor: Dirigida a aquellos que llevan a cabo su ámbito de actuación como auditores en privacidad. • (C) Consultor: Dirigida a consultores, asesores en privacidad, gestores o responsables corpora15 APEPINFORMA09 ser cuidadosos a la hora de elegir las aplicaciones que utilizan ya que les corresponde un grado de responsabilidad específico respecto del tratamiento de datos corporativos. APEPINFORMA09 tivos en privacidad (DPO). No se trata de que el que tenga esta certificación disponga ya actualmente de una certificación como DPO pero si que esta será la base para la futura certificación como DPO que en un futuro se desarrolle y pueda ser reconocida “oficialmente”. • (RS) Responsable de Seguridad: Dirigida a responsables de seguridad A su vez dentro de cada una de ellas se diferencian dos perfiles distintos: • J (Jurídico): Dirigida a abogados y demás profesionales con perfil Jurídico • T (Técnico): Dirigida a profesionales con perfil Técnico y Organizativo Obviamente hay consultores que realizan tareas de ambos perfiles pero lo cierto es que la titulación base y muchas veces la experiencia casi siempre dan cuenta de un perfil más orientado hacia una de ambas “partes”. pués se expondrá) son cifras orientativas puesto que hay que tener en cuenta diferentes factores como por ejemplo el alcance, complejidad, duración, rol/es desempeñado/s etc.. en los proyectos. Por ejemplo no puede ser lo mismo haber realizado 20 proyectos de micropymes que de otros clientes más “grandes”. Tampoco es lo mismo según el sector de actividad o tratamiento de datos que realicen dichas organizaciones que pueden ser más o menos complejas. Y desde luego se valora que se demuestre en la experiencia una variedad en cuanto a la tipología de los clientes que se aportan. Por poner un ejemplo: Alguien que aporta 100 proyectos todos de farmacias (por citar un ejemplo) no acredita ese requisito de experiencia en la materia pues no conoce más que tratamiento sectoriales no disponiendo una visión amplia de la materia para obtener la certificación como consultor o auditor. Obviamente la certificación como responsable de seguridad por su definición al ejercer un papel en un organización concreta no esta sometida a esta matización anterior. 3. Vías de obtención B) Vía Grandfathering (apadrinamiento) Una vez indicadas las certificaciones existentes vamos a intentar explicar las vías para la obtención de las mismas: Esta vía consiste en la acreditación de conocimientos y experiencia, sin necesidad de examen. A) Vía examen. Esta vía, que es la ordinaria, consiste en la realización de un examen en el que hay una serie de preguntas tipo test (actualmente son 100 preguntas y en las nuevas ediciones del examen a partir de Enero de 2014 serán 150), de las que es necesario superar el 75% y no restan los errores; Asimismo hay que realizar dos ejercicios prácticos a desarrollar: uno técnico-organizativo y otro jurídico. El temario del examen se ha revisado de cara a las ediciones que se realizarán a partir del 1 de Enero de 2014, habiéndose completado y actualizado. Es importante indicar que el examen lo que permite es obtener la certificación ACP básica, lo que en el nuevo modelo supondrá disponer de la certificación ACP F (fundamentos). A partir de ahí será la acreditación de experiencia (a efectos orientativos aproximadamente 3 años de experiencia y 20 proyectos cuando se trate de consultores y auditores) la que determine que se pueda conceder alguna de las certificaciones específicas o especializadas que hemos comentado. Es importante también resaltar que el número de proyectos exigidos (tanto en el caso de experiencia exigible en la vía de examen como en la de apadrinamiento que des16 Por ello esta vía refuerza los requisitos exigidos, siendo más exigente. A partir de Enero de 2014 se exigirá para obtener la certificación por esta vía (no por vía de examen) disponer de formación universitaria que habrá de ser: • Bien en materias relacionadas; Es decir referirse a titulaciones que habiliten conocimientos adecuados en el ámbito del Derecho y/o informática. • O bien formación Universitaria en otra titulación que no sea de dicho ámbito pero complementada con un curso de especialización, postgrado o Máster especializado en la materia. En la base de la certificación por esta vía está la experiencia laboral o profesional (diferente según la certificación a la que concurra). Para obtener la certificación por esta vía se exige haber participado en, al menos, 40 proyectos relacionados con la protección de datos o bien acreditar una experiencia mínima de 5 años. En ambos casos ejerciendo un papel relevante (claramente expuesto en la solicitud) en el perfil que se solicita. El “número de 40 proyectos” es orientativo, respecto de los mismos y para determinar su “suficiencia” se tendrá en cuenta el alcance, complejidad, duración, rol/es desempeñado/s, etc… Este “número de proyectos” no se aplica en relación a profesio- También hay que tener en cuenta que se acepta la convalidación de 5 proyectos o 1 año de experiencia (máximo un total de 10 proyectos/ 2 años) si se dispone de un máster en la materia o de certificaciones, como pueden ser la certificación CISA (perfil auditor), CISM (perfil consultor), certificación IAPP, etc. Cumplido estos requisitos mínimos se valorarán otros elementos y en función de la concurrencia de los mismos y tras la puntuación de todos ellos se concederá o no la misma. Los aspectos a valorar son: • Formación. Se valorará especialmente la formación específica a nivel de máster en la materia, cursos de postgrado, otros cursos, seminarios… • Actividad docente relacionada con la materia, incluye participación como ponente en conferencias y actividades.. • Actividad investigadora y publicaciones relevantes en temas de privacidad. • Disponer de otras certificaciones, en vigor, en materias relacionadas u organizaciones internacionales. Por ejemplo: CISA, CISM, IAPP, ISO 27001, Lead Auditor por IRCA o BSI, etc. d) Si lo superan rellenan un impreso para justificar y acreditar experiencia. e) La solicitud acreditativa de experiencia es analizada por los certificadores f) Se puede conceder o no. Si se ha superado el examen y se dispone de la experiencia requerida se concede. Si se ha superado el examen pero no se dispone de la experiencia se conserva la nota del examen durante un máximo de 3 años hasta que se cumpla con la experiencia exigida. 2. Vía apadrinamiento Se podrán solicitar certificaciones por esta vía sin limitaciones en el tiempo; es decir: A diferencia del examen que se desarrolla en fechas concretas la certificación vía apadrinamiento se puede solicitar en cualquier momento. Los trámites (resumidamente) son los siguientes: a) Se realiza el pago de la tasa y se remite la solicitud de formulario de apadrinamiento por parte del interesado juntamente con el justificante de pago a [email protected] b) El secretario del comité de certificaciones designa de entre el comité de certificadores los examinadores de la solicitud para el caso concreto. c) Se estudia la solicitud, se solicitan (en su caso) datos complementarios, se realizan (en su caso) comprobaciones, y se resuelve. d) Es concedida o no si se dan los requisitos. Es importante destacar que las certificaciones para su obtención (por cualquiera de las dos vías) requieren además de los anteriores requisitos: 1. Adherirse al Código Ético de APEP. 2. Adherirse al proceso de formación continua. 4. Tramitación para la obtención La forma de tramitar las solicitudes de certificación es diferente según cual sea la vía escogida: 1. Vía examen a) Se publica la convocatoria de fecha de examen a través de la web y también se remiten circulares a los asociados. Hasta ahora ha habido una convocatoria anual pero la idea es que a partir de 2014 haya dos convocatorias: Una antes del verano y otra después. b) Los interesados se inscriben y pagan la cuota. c) Realizan el examen. c) Es corregido y calificado. 3. Y cumplir con los estándares que se promulguen, en su caso, aspecto que aún no se ha desarrollado. Si se cumple todo lo anterior se entrega certificado acreditativo. 5. Mantenimiento Las certificaciones tienen una validez de 2 años siendo necesaria para su renovación la acreditación de conocimientos vía aportación de documentación acreditativa de formación permanente (entre ellas las actividades programadas al efecto por APEP) y continuación en la actividad. 17 APEPINFORMA09 nales que por el desempeño de su puesto de trabajo puedan acreditar su experiencia de otra forma, como por ejemplo, funciones exclusivas de responsable de seguridad, o personal que trabaje en las Autoridades de control (Agencias de protección de datos). En estos casos se valorará cada situación concreta. De la misma manera pueden existir otras formas de acreditar los conocimientos en la materia que se pueden estudiar caso por caso atendiendo a sus particularidades. APEPINFORMA09 6. Certificadores y Comité Asesor Es importante resaltar que la reciente revisión de la certificación ha supuesto un esfuerzo importante por su profesionalización y para garantizar la independencia. Ello ha supuesto crear dos órganos: 6.2.1. Comité de certificaciones El comité de certificaciones es el órgano encargado de la coordinación, y dinamización de los aspectos operativos de la certificación. Sus funciones son: 1. Recibir las peticiones y comprobar que cumplen los requisitos de participación. 2. Seleccionar a los certificadores entre los candidatos que se presenten al concurso público Sus miembros pueden ser integrantes de la Junta Directiva y asociados. Tienen garantizada la plena independencia y no concurrencia, siendo reconocidos como expertos 6.2.2. Certificadores Se trata de un grupo plural de profesionales independientes (que no pueden ser miembros de la Junta), que disponen de una formación y valoración profesional igual o superior a la persona a certificar, siendo representativas de los diferentes candidatos y con capacidad para evaluar. Pueden ser recusados por la persona candidata. didata ha pedido la recusación de alguno de los certificadores. 7. Importes Los precios para obtener la certificación son los siguientes (comunes a ambas vías): • Asociados APEP *: 350€ (IVA no incluido) • No asociados: 450€ (IVA no incluido) * APEP, tanto JÚNIOR como ASOCIADO, o asociaciones con las que se ha celebrado a acuerdo en la materia. • En el caso de que no se supere el proceso de APADRINAMIENTO y se recomiende la vía ordinaria de EXAMEN esta tendrá un descuento del 75% en la cuota. 8. Información y contacto La información de la certificación ACP de APEP se puede descargar en www.apep.es/acp Si tienes dudas puedes remitirlas a certificaciones@ apep.es 2.5 Videovigilancia ¿pública o privada? José Manuel Mulero, María Ayarra, Inma Montes, Javier Munguia y Montserrat Obach (DPOe Grupo de Trabajo) 6.2.3. Consejo Asesor 1. Antecedentes. La certificación ACP de APEP dispone de un Consejo Asesor formado por personalidades, profesionales, profesores e investigadores de reconocido prestigio. Hace unos días comentando situaciones cotidianas de los sistemas de videovigilancia con un amigo policía, me comentaba que en ocasiones ellos utilizaban las grabaciones que los centros comerciales realizaban sobre sus “parking” para resolver atestados de tráfico e incidentes de seguridad, también es habitual que reclamen las grabaciones de la propia administración de la que dependen para solucionar o investigar cuestiones de tráfico, robos o hurtos frente a los edificios municipales. Su funciones son: 1. Asesorar en la definición y mejora continua de la configuración de la certificación. 2. Trabajar en : a) La revisión de preguntas. b) La impugnaciones de preguntas. 3. Asesorar en cambios de temario y materiales. 4. Dirimir las situaciones de recusación de miembros del Comité de Certificación por alguna persona candidata. 5. Resolver las situaciones en que la persona can18 Al valorar detenidamente la casuística que nos comentó, cabe plantearse hasta qué punto esta actuación se encuentra amparada por la legalidad vigente, nos surgieron una serie de preguntas de manera casi inmediata del tipo ¿qué atribuciones sobre tráfico y/o seguridad ciudadana tienen los centros comerciales? Se supone que el control del Y de igual manera parecía un hecho aceptado que la videovigilancia en la vía pública quedaba reservada a las Fuerzas y Cuerpos de Seguridad del Estado. De hecho todos conocemos procedimientos sancionadores de la AEPD a conocidos grandes almacenes que invadían manifiestamente la vía pública, pero en nuestro caso manteníamos la duda ¿es ese parking vía pública? 2. Base jurídica. Puesto que la captación de imágenes afecta como mínimo al derecho a la propia imagen y al derecho fundamental a la protección de datos resulta necesario que estos tratamientos encuentren su amparo en una norma con rango de Ley o en el consentimiento (STC 292/2000). Por ello, en primer lugar procedimos a buscar normativa específica que regula el aparcamiento y la encontramos en la Ley 40/2002, de 14 de noviembre, reguladora del contrato de aparcamiento de vehículos. La Exposición de Motivos de la norma explica que se delimitarán los tipos de aparcamiento objeto de la Ley e igualmente la responsabilidad del titular en orden a la restitución del vehículo y de sus accesorios u otros efectos, en términos que vienen a recoger y resolver los criterios y dudas planteadas por la jurisprudencia. En primer lugar, el artículo primero delimita el ámbito de aplicación precisando sobre qué casos concretos se aplicará esta Ley «1. Esta Ley establece el régimen jurídico aplicable a los aparcamientos en los que una persona cede, como actividad mercantil, un espacio en un local o recinto del que es titular para el estacionamiento de vehículos de motor, con los deberes de vigilancia y custodia durante el tiempo de ocupación, a cambio de un precio determinado en función del tiempo real de prestación del servicio. 2. A los efectos de esta Ley, se consideran como modalidades de la prestación de este servicio: a) Estacionamiento con reserva de plaza en el que el titular del aparcamiento se obliga a mantener durante todo el período de tiempo pactado una plaza de aparcamiento a disposición plena del usuario. b) Estacionamiento rotatorio, en el que el titular del aparcamiento se obliga a facilitar una plaza de aparcamiento por un periodo de tiempo variable, no prefijado». En esta modalidad de estacionamiento rotatorio el precio se pactará por minuto de estacionamiento, sin posibilidad de redondeos a unidades de tiempo no efectivamente consumidas o utilizadas. También pueden extraerse criterios de las exclusiones contenidas en la Ley que nos ayudaran a comprender las diferencias entre espacio privado y el ámbito público Quedan excluidos del ámbito de aplicación de esta Ley: «a) Los estacionamientos en las denominadas zonas de estacionamiento regulado o en la vía pública, tanto si exigen el pago de tasas como si éstas no se devengaren. b) Los estacionamientos no retribuidos directa o indirectamente. c) Cualesquiera otros que no reúnan los requisitos señalados en el artículo 1». Por tanto, puede concluirse que los parking de los centros comerciales y grandes superficies, que están abiertos al público, que no tienen restricción de acceso y por los que no se cobra, no están regulados por esta normativa. Esto nos da una primera pista que se concreta en que el centro comercial no tiene obligación de velar por la seguridad de los vehículos allí aparcados. Por lo tanto, si la finalidad de la videovigilancia era esa seguridad, parece que queda reservada a las Fuerzas y Cuerpos de Seguridad del Estado. Para despejar por completo las dudas que, el supuesto de hecho que analizamos plantea, es necesario hacerse la pregunta: ¿qué consideración tiene esta zona de aparcamiento?, ¿es pública o privada? En primer lugar, parece evidente que deberíamos saber cuál es el significado ordinario del concepto de vía pública y como lo definiríamos utilizando el diccionario de la Real Academia de la Lengua Española. Éste la define como «calle, plaza, camino u otro sitio por donde transita o circula el público». Sin embargo, no nos basta con ello, somos ante todo internautas. Así que buscamos en Google para tener más opciones y encontramos a modo de ejemplo: «Vía pública es todo camino o vía, público o privado de uso público, abierto al tráfico en general que 19 APEPINFORMA09 tráfico se realiza sobre vía pública y entonces la pregunta fue ¿ese parking, es vía pública o no? Hasta la fecha parecía claro que un responsable privado podía aplicar sistemas de videovigilancia en su propiedad, para finalidades como p.ej. el control de accesos, amén de otras finalidades que obviamos y que serían tema para otro artículo. APEPINFORMA09 puede ser utilizado para marchar por él, observando siempre las normas establecidas en la Ley de Tráfico y Reglamento General de Circulación». En conclusión por vía pública, entendemos el sistema integrado por carreteras, caminos, calles, sendas, plazas, parques, etc., de dominio común y público, necesario para la circulación de peatones, conductores y vehículos. Sin embargo, el simple recurso al significado ordinario del concepto de vía pública no aclara del todo la pregunta. Al tratarse en el fondo de una cuestión directamente relacionada con el tráfico y la seguridad vial es necesario acudir a las normas y buscamos en el Real Decreto Legislativo 339/1990, de 2 de marzo, por el que se aprueba el Texto Articulado de la Ley sobre Tráfico, Circulación de Vehículos a Motor y Seguridad Vial. De nuevo, nos apoyamos en el ámbito de aplicación de la norma: «Artículo 2 Ámbito de aplicación Los preceptos de esta Ley serán aplicables en todo el territorio nacional y obligarán a los titulares y usuarios de las vías y terrenos públicos aptos para la circulación, tanto urbanos como interurbanos, a los de las vías y terrenos que, sin tener tal aptitud sean de uso común y, en defecto de otras normas, a los titulares de las vías y terrenos privados que sean utilizados por una colectividad indeterminada de usuarios». Esta definición nos aporta muchas ideas de utilidad para resolver las cuestiones planteadas. La primera, y paradójica conclusión consiste en que efectivamente el parking del centro comercial no es tan privado a efectos legales de transito como pudiera parecer y, de hecho, cabe perfectamente en las definiciones de vía pública. 3. La clasificación de las vías. A partir de lo visto hasta aquí vamos a definir las vías atendiendo al dominio y el uso: 1. De dominio y uso privado. Por ejemplo calles interiores de una urbanización cerrada. 2. De dominio privado y uso público. Por ejemplo calles interiores de una urbanización abierta al público con comercios accesibles a terceros ajenos a la propiedad de la urbanización. 3.De dominio público y uso público. Por ejemplo una zona verde, o la mayor parte de las “calles”. 4. De dominio público y uso privado. Por ejemplo una concesión. 20 Puede concluirse que nuestro caso se corresponde claramente es el 2º. Sin embargo, puesto que nuestra tarea se relaciona directamente con la aplicación de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, y en lo que aquí procede la Instrucción 1/2006, no es ocioso plantearse qué opina al respecto la Agencia Española de Protección de Datos. Por ello, aunque se iba clarificando la definición de estos parking una colega me recordaba que habíamos tratado esta casuística en un curso de especialista universitario en protección de datos y privacidad que acabábamos de concluir en la Universidad de Murcia y el específico de videovigilancia que APEP ha desarrollado este verano. En este sentido, nos sugirió considerar el Procedimiento Nº PS/00166/2012 y RESOLUCIÓN: R/02340/2012 indispensable para concluir esta modesta investigación. En ella se señala de modo muy gráfico cómo debe tratarse esta cuestión de “lugares públicos” ante una denuncia de dirección General de la Guardia Civil contra Renfe Operadora por posibles infracciones a la normativa de protección de datos en materia de videovigilancia. La Agencia, en sus fundamentos de derecho, en especial en el IV, da mayor trascendencia al elemento de accesibilidad que a la naturaleza jurídica del bien. Si lo analizáis, la AEPD es del todo contundente al considerar el parking abierto sin restricción de acceso ni contraprestación económica por su uso como vía pública y sanciona a un responsable privado de videovigilancia por grabar en lo que considera vía pública. En efecto, señala la Agencia que lo relevante a efectos de dilucidar el alcance que se debe dar al concepto “lugares públicos” es el elemento de accesibilidad por encima de la naturaleza jurídica de un bien, de tal manera que el acceso libre y sin restricciones a un parking, aún de propiedad de ADIF, determina su consideración como espacio público a estos efectos. Con este planteamiento de la Agencia Española de Protección de Datos parecía aclarado el tema inicial. Sin embargo, en estas últimas semanas hemos visto en los telediarios como en el trascurso de una investigación policial unas grabaciones de responsables privados servían de prueba para llegar a imputar a una persona por flagrantes contradicciones en sus declaraciones judiciales, ya habréis deducido todos que se trata del asesinato de la niña en Santiago. También es conocida por todos la noticia Ahora nos seguimos preguntando, ¿porqué en unos casos se acepta y en otros no, una grabación sobre la vía pública realizada por un sistema de videovigilancia privado, como prueba? ¿realmente las Fuerzas y Cuerpos de Seguridad del Estado conocen que el origen de esa grabación es en principio contrario a la norma? (en relación a la anulación de la prueba de las imágenes del asesinato en vía pública captadas por responsable privado), si no es este un caso de conflicto entre el derecho fundamental a la protección de datos (del agresor) y el derecho a la tutela judicial efectiva (de la víctima). Para estas cuestiones os emplazo a una nueva entrega en la que necesitaré ayuda, consejo y pistas a seguir para entre todos plantear una opinión fundada. 2.6 La Comisión de menores de la APEP. Ramón Arnó Torrades. Abogado. Responsable jurídico en Sagaris. Coordinador de la comisión de menores de la APEP. 1. Presentación. La Asociación Profesional Española de Privacidad ha prestado desde su inicio, una especial atención al tratamiento de los datos personales de los menores. La protección de la infancia y de la juventud, en lo que se refiere al tratamiento de sus datos personales constituye una de las prioridades de la APEP, tanto desde el punto de vista de la responsabilidad social corporativa de la organización, como desde la perspectiva del desempeño cotidiano de los profesionales de la privacidad. Por ello, de conformidad con el artículo 9 de los Estatutos de la asociación, se creó el día 15 de mayo de 2012 la Comisión de Menores de la APEP. En ella se integran en la actualidad 15 profesionales asociadas y asociadas en APEP. La privacidad de los menores constituye no sólo un bien jurídico esencial para preservar la dignidad, la seguridad y la indemnidad de los menores. Supone un elemento capital para un adecuado desarrollo de su personalidad. El papel de los profesionales de la APEP en este ámbito es crucial para asegurar el adecuado cumplimiento de los deberes legales de las organizaciones que, como colegios, asociaciones, proveedores de servicios relacionados con la educación y el ocio etc., acogen, integran o se relacionan con nuestros niños y niñas. Para ello se requiere de profesionales formados que aseguren que las organizaciones que tratan información personal lo hagan de forma responsable, conociendo los límites y las garantías legales. Pero nuestra aportación debe ir más allá. La educación y formación de menores, padres y formadores debe contribuir a que nuestros hijos e hijas aprendan a controlar su información personal y a preservar su privacidad desde la libertad. Además, deben ser capaces de aprovechar las oportunidades que les ofrece el mundo digital, sin miedo pero sin temeridad. Como asociación profesional que reúne a los profesionales formados en privacidad en España, también somos conscientes de las dificultades que tienen los padres para decidir cuál es la mejor manera de actuar ante los múltiples tratamientos de datos de sus hijos que se les presentan diariamente. Por ello, la comisión de menores de la APEP no sólo tiene entre sus objetivos el de apoyar activamente las iniciativas formativas que se llevan a cabo en este entorno, sino que a través de sus miembros, pretende definir y compartir pautas de protección efectivas que permitan a las familias y a las escuelas familiarizarse con el ejercicio de los derechos a la intimidad, el derecho a la propia imagen y el derecho fundamental a la protección de datos. 1.2. Objetivos de la comisión. Los objetivos de la comisión son los siguientes: 1. Desarrollar tareas de observatorio sobre la situación actual del tratamiento de los datos personales de los menores de edad. 2. Estimular la conciencia y fomentar el conocimiento de la normativa sobre protección de datos, así como el espíritu crítico de los jóvenes en esta materia. 3. Influir en los poderes públicos y organizaciones públicas y privadas promoviendo los valores de una educación en privacidad. Destaca en esta línea la publicación de artículos en la web de APEP y en la revista trimestral de APEP, 21 APEPINFORMA09 que llegaba hace unos meses y que, para sorpresa de muchos, anulaba como prueba en un asesinato en la vía pública la grabación que un responsable privado efectuaba. APEPINFORMA09 así como la posibilidad que se está valorando de crear un repositorio de preguntas y respuestas (FAQ). 4. Impulsar el desarrollo de actividades de todo tipo en relación con su ámbito de actuación. • • • • Suarez Pliego, Maria Telechea Dayuto, Silvia. Terol Pérez, Jesús. Zarzo Andrés, Antoni. 1.4.- Las actividades en marcha. Los miembros de la comisión tienen interés en organizar y coordinar actividades formativas a nivel local. De entre los objetivos de la comisión, hay dos que ya se han puesto en marcha: 1.3.- Composición de la comisión. 1.- Organizar una Jornada para el mes de noviembre de 2013. El Coordinador es Ramon Arnó Torrades y los 15 miembros de la comisión son los siguientes asociados y asociadas por orden alfabético: • • • • • • • • • • • Arias Pou, María. Arnó Torrades, Ramon. De Gea Fernández, Teresa. Flores Domínguez, Alicia. González Calleja, David. Martí Peiró, Inma. Martínez Martínez, Ricard. Montes Jiménez, Inma. Obach Subirana, Monserrat. Piña Pérez, Alicia. Ribas Casademont, Cristina. 22 Bajo el título “como ejercer la patria potestad en Internet” la APEP conjuntamente con la Fundación Orange está organizando una jornada para el día 20 de noviembre de 2013 a celebrar en Madrid. 2.- Guía sobre menores y smartphones. La otra propuesta es redactar y publicar una guía para ayudar a afrontar las cuestiones legales que los smartphones presentan con respecto a la protección de datos personales de los menores. El comité de redacción está formado por las asociadas María Suarez, Cristina Ribas, Alicia Flores y Silvia Telechea, y ya están trabajando en redacción de la misma, con la idea presentarla públicamente el día 18 de enero de 2013. Jordi Saldaña Abogado. Roca Junyent. Miembro de la Junta Directiva de APEP. STC Audiencia Nacional. Sala de lo Contencioso-Administrativo, 28 de enero de 2013. Sección 1ª. Número de Recurso de Casación: 454/2011. ANTECEDENTES DE HECHO La recurrente Federación de trabajadores de la enseñanza integrada en la confederación sindical de la unión de trabajadores (FETE-UGT), interpuso recurso contencioso-administrativo contra la resolución del Director de la Agencia Española de Datos de 17 de junio de 2011 que impone sanción por vulneración del artículo 6.1 de la Ley Orgánica 15/1999, de 13 de diciembre de protección de datos de carácter personal (en adelante LOPD), tipificada como grave, de 3.000€, por el envío de un correo electrónico por parte del representante de la sección sindical de la Universidad Complutense de Madrid de la UGT en el que se publicaban las cantidades correspondientes a gratificaciones extraordinarias obtenidas por 8 trabajadores. del centro de trabajo y ello está previsto en la LOLS y en segundo lugar establece que la propia LOPD prevé la cesión de datos personales correspondientes a gratificaciones por servicios extraordinarios y que la Ley de Función Pública de la comunidad de Madrid establece que la regulación complementaria referida a gratificaciones por servicios extraordinarios será de conocimiento público. Añade que en este caso, se trata de proporcionar una información sobre un hecho que el sindicato considera como irregular a los trabajadores de un centro de trabajo. FALLO Se estima el presente recurso contencioso-administrativo, dando prevalencia al derecho de libertad sindical sobre el de protección de datos. STC Tribunal Constitucional núm. 29/2013 de 11 de febrero. Sala Primera. Recurso de Amparo: 10522/2009 ANTECEDENTES DE HECHO El abogado del estado en nombre de la AEPD, considera que se vulnera el derecho a la protección de datos. Recurso de amparo promovido por D. VGM contra sentencia de 5 de mayo de 2009 de la sala de lo social del TSJ de Andalucía por la que se desestimaba recurso de suplicación frente a sentencia de 5 de septiembre de 2009 del Juzgado de lo social 3 de Sevilla. En dicha sentencia se declaran justificadas tres sanciones de suspensión de empleo y sueldo al demandante de amparo por demoras considerables en la hora de entrada al trabajo durante el año 2006, que fueron conocidas mediante grabaciones tomadas por cámaras de video-vigilancia (señaladas y autorizadas por la AEPD) en el lugar de trabajo (Universidad de Sevilla). Al tener que esclarecer cual de los dos derechos fundamentales prevalece (libertad sindical o protección de datos), la Sala considera que en este caso prevalece el derecho fundamental a la libertad sindical, por considerar en primer lugar que el ámbito de difusión de la información era limitado al ámbito Los motivos del recurso de amparo son varios de entre los que destacan: la vulneración al derecho a la protección de datos de carácter personal por la utilización no consentida ni informada de las grabaciones para un fin desconocido por el afectado, de control de su actividad laboral. FUNDAMENTOS DE DERECHO La actora fundamenta su pretensión por considerar que las gratificaciones eran ilícitas y estaba ejerciendo el derecho fundamental a la libertad sindical y que además establece que los datos que figuran en el listado son públicos en virtud del II Convenio Colectivo del personal de administración y del reglamento de Gobierno de la UCM. 23 APEPINFORMA09 3. Jurisprudencia. APEPINFORMA09 FUNDAMENTOS DE DERECHO La sentencia del TC deja de lado los motivos de amparo menos el relacionado con el artículo 18.4 CE que protege el derecho a la protección de datos de carácter personal, considerando que efectivamente este derecho se ha visto vulnerado. Para ello se basa en la sentencia anterior del propio tribunal (sentencia núm. 292/2000) en la que se establece que el elemento caracterizador de este derecho es el derecho del afectado a ser informado de quien posee sus datos personales y con qué fin. Añade que el derecho de información opera también cuando existe habilitación legal para recabar los datos sin necesidad de consentimiento. Apunta también el tribunal que las facultades empresariales están limitadas por los derechos fundamentales y que por tanto el interés privado empresarial en sancionar infracciones, no justifica que se pueda sustraer la información al interesado. En relación con la existencia de distintivos anunciando la instalación de cámaras, la Sala establece que siendo el titular del establecimiento en que se encuentran las cámaras, la Universidad de Sevilla, y siendo ella quien utilizó las grabaciones, la Universidad era responsable del tratamiento de los datos y por tanto debería haber cumplido con su obligación de informar. FALLO Se otorga amparo al demandante, declarando la nulidad de las sentencias dictadas en instancias anteriores y la resolución de la Universidad de Sevilla. VOTO PARTICULAR: Se centra en otra anterior sentencia del TC (STC 186/2000) en que el TC establecía que el poder de dirección de los empresarios atribuye facultades como la de adoptar medidas de seguridad que estime oportunas de vigilancia y control para verificar el cumplimiento de las obligaciones laborales de los trabajadores. cha 19 de mayo de 2011 que establecía que el derecho de acceso ejercitado por parte de la reclamante, había sido atendido correctamente por parte del INSS. La recurrente estimaba que tenía derecho a obtener información acerca de qué personas accedieron a sus datos personales y con qué finalidad lo hicieron, y consideraba que el personal médico que accedió a su historial clínico, lo hizo sin su consentimiento y por tanto fue un acceso ilegitimo e inconsentido. FUNDAMENTOS DE DERECHO La Sala argumenta que, efectivamente el derecho de acceso forma parte del contenido fundamental del derecho fundamental a la protección de datos, tal y como establece el TC en diversas sentencias, y ello es en virtud de multitud de normas como la LOPD, o la propia Constitución entre otras. Sin embargo en el presente caso en que se trata un acceso a datos por parte de personal médico del INSS, se considera como un acceso legítimo aunque no conste el consentimiento expreso del afectado. Ello en virtud de la propia LOPD por una parte que no será necesario el consentimiento para la cesión de datos si la misma está prevista en una ley, y por otra parte que podrán ser objeto de tratamiento los datos personales cuando e tratamiento resulte necesario para, entre otras funciones, la gestión de servicios sanitarios. En este caso el acceso está autorizado por la Ley reguladora de la autonomía del paciente, los derechos y obligaciones en materia de información clínica; así como por la ley general de la seguridad social. Ambas leyes permiten el acceso a datos personales médicos por parte de personal sanitario debidamente acreditado (el INSS comprobó la identidad del personal que tuvo acceso a los datos). FALLO Se desestima el recurso interpuesto por DªS. STC Audiencia Nacional. Sala de lo Contencioso-Administrativo 4 de marzo de 2013. Sección 1ª. Número de Recurso de Contencioso-administrativo: 443/2011. ANTECEDENTES DE HECHO Se interpuso recurso contencioso-administrativo por Dª S. contra la resolución del Director de la Agencia Española de Protección de Datos de fe24 STC Audiencia Nacional. Sala de lo Contencioso-Administrativo, 11 de marzo de 2013. Sección 1ª. Número de Recurso de Contencioso-administrativo: 510/2011. ANTECEDENTES DE HECHO Se interpuso recurso contencioso-administrativo por Dª S. contra la resolución del Director de la FUNDAMENTOS DE DERECHO La Sala argumenta que no se da la vulneración del derecho ya que falta el elemento principal para que una fotografía pueda considerarse como dato de carácter personal, y es que se trate de una imagen de persona identificable. En el presente supuesto la fotografía que se publicó en facebook era tan solo una imagen de 2 cm que además fue borrada al cabo de 18 horas de haber aparecido publicada en la página de facebook y por lo tanto resulta imposible determinar si la imagen constituye o no un dato de carácter personal. FUNDAMENTOS DE DERECHO Existen 9 denunciantes que presentan sus respectivas denuncias ante la AEPD durante el año 2009, alegando que se ha vulnerado el deber de secreto por parte de la empresa al haber realizado, en función de los casos, múltiples llamadas tanto a los denunciantes como a familiares o vecinos, haber dejado mensajes en el contestador, haber enviado faxes con nombre y apellido al centro de trabajo de los denunciantes etc, en relación con el impago de determinadas cuotas y aportando como pruebas, en función de los casos, los faxes grabaciones de llamadas y testigos de dichas actuaciones. La recurrente alega que existe vulneración del principio de presunción de inocencia por considerar las pruebas insuficientes, vulneración del principio de confianza legitima y ausencia de culpabilidad al haber dictado la AEPD resoluciones previas de archivo en casos idénticos, vulneración del principio de proporcionalidad y alude a la sentencia del TJUE de 24 de noviembre de 2011. STC Audiencia Nacional. Sala de lo Contencioso-Administrativo, 14 de marzo de 2013. Sección 1ª. Número de Recurso de Contencioso-administrativo: 394/2011. Entiende la Sala que no ha quedado acreditado que se hayan revelado datos a través de las llamadas telefónicas, que corresponde a la AEPD acreditar en cada caso que en las llamadas se revelaban datos personales e informaciones sobre la morosidad de los clientes y que el hecho por si solo de haber llamado a personas distintas de los denunciantes, no se puede considerar infracción del deber de secreto. Tampoco entiende la Sala que se haya infringido el deber de confidencialidad a través de los faxes enviados a los centros de trabajo, puesto que nada se dice en los mismos acerca de las deudas de los clientes, apareciendo tan solo el nombre del destinatario y un número de teléfono de contacto. ANTECEDENTES DE HECHO FALLO Se interpuso recurso contencioso-administrativo por COFIDIS S.A. contra la resolución del Director de la Agencia Española de Protección de Datos de fecha 27 de abril de 2011 que acordó apercibir a COFIDIS S.A. con relación a la infracción del artículo 10 de la LOPD tipificada como grave en el artículo 44.3.g) de la citada Ley Orgánica. Se ha producido dicha vulneración del deber de secreto profesional por cuanto, tal y como se establece en la resolución recurrida, se han producido dos clases de hechos: la reiteración por parte de COFIDIS en efectuar llamadas telefónicas y envío de sms con el objeto de gestionar el recobro de cuotas impagadas por los clientes y revelación de datos personales de clientes a terceros. Se estima el recurso interpuesto por COFIDIS S.A. dejando sin efecto la sanción impuesta. FALLO Se desestima el recurso interpuesto por DªS. STC Audiencia Nacional. Sala de lo Contencioso-Administrativo, 15 de marzo de 2013. Sección 1ª. Número de Recurso de Casación: 2/2011 ANTECEDENTES DE HECHO La recurrente D. H, interpuso recurso contenciosoadministrativo contra la resolución del Director de 25 APEPINFORMA09 Agencia Española de Protección de Datos de fecha 27 de julio de 2011 en la que se establecía que no había habido vulneración de derecho a la protección de datos de carácter personal por tratamiento de datos sin consentimiento por parte de la Confederación de organizaciones de empresarios Salmantinos (CONFAES) que publicó una fotografía de la recurrente, en su página de facebook sin su consentimiento. APEPINFORMA09 la Agencia Española de Datos de 21 de septiembre de 2011 que impone sanción en virtud del artículo 44.4.d) de la Ley Orgánica 15/1999, de 13 de diciembre (en adelante LOPD) de protección de datos de carácter personal, tipificada como muy grave, de 600.000€ por un incumplimiento de la obligación de inmovilización de un fichero de datos acordada por el Director de la AEPD. FUNDAMENTOS DE DERECHO La parte actora fundamenta su pretensión en un único motivo y es la vulneración del derecho fundamental de defensa en el procedimiento sancionador que imponía la obligación de inmovilizar el fichero, ya que no se le había requerido previamente de manera personal, para que llevara a cabo dicha actuación. Para el procedimiento sancionador en el que se requería la inmovilización del fichero, solo se había requerido a una sociedad, de la que el recurrente es socio y administrador único, que tenía la explotación comercial del fichero en cuestión, pero cuya responsabilidad seguía siendo del socio y recurrente. Sin embargo, el recurrente 26 manifiesta haber tenido conocimiento de existencia de la resolución del director de la AEPD por la que se ordenaba a su sociedad, la inmovilización del fichero, aunque él no fuese parte del procedimiento. La Sala cita jurisprudencia del TC que establece que el derecho a un proceso justo está integrado por el derecho a la defensa y la asistencia letrada, para todo tipo de procesos, incluyendo ámbito administrativo sancionador y que la Administración debe seguir un procedimiento en el que el expedientado tenga oportunidad de aportar y proponer las pruebas que estime pertinentes y alegar lo que a su derecho convenga. Por tanto acaba estimando la Sala, que hubiese sido necesario el requerimiento previo al responsable del tratamiento del fichero o encargado, es decir el recurrente, antes de la imposición de la sanción. FALLO Se estima el presente recurso contencioso-administrativo, considerando que ha habido vulneración del artículo 24.2 de la Constitución. Con el objeto de fomentar la participación de los asociados y dado que en el seno de la APEP existen profesionales que pueden realizar interesantes aportaciones en la materia os reiteramos la invitación que se realizó en su día para que podáis proponer temas sobre los que escribir un artículo para próximas ediciones del boletín. Aquellos que estéis interesados deberéis remitirlos a [email protected]. 27 APEPINFORMA09 ¿QUIERES COLABORAR?