APEP Informa número 9

Anuncio
APEPINFORMA09
09
NÚMERO
NOV. 2013
En este número:
PAGINA 01
1. Editorial: De la formación ...
a la ejemplaridad.
Ricard Martínez Martínez
PAGINA03
2. Artículos.
2.1. Utilización de software espía y su
impacto en la privacidad. A propósito
de “el guardián” uruguayo. Silvia Raquel
Telechea Dayuto
2.2. Las fuerzas y cuerpos de seguridad
del estado en las redes sociales. Lydia
López Aragón
2.3. Privacidad y ‘apps’, condenados a
entenderse.
Eduard Blasi
2.4. La Certificación APEP va madurando.
Eduard Chaveli Donet
2.5. Videovigilancia ¿pública o privada?.
José Manuel Mulero, María Ayarra, Inma
Montes, Javier Munguia y Montserrat Obach
2.6. La comisión de menores de la
APEP. Ramón Arnó Torrades
PAGINA23
3. Jurisprudencia Reciente.
Jordi Saldaña
Edita: APEP
(Asociación Profesional Española de Privacidad)
Palacio Miraflores
Carrera San Jerónimo 15
28014 - Madrid
ISSN: 2340-9142
Contacto:
Apdo. de Correos 12.327, 46020 Valencia
[email protected]
1
APEP Informa
De la formación ... a la ejemplaridad
Ricard Martínez. Presidente de la APEP. @ricardmm
El futuro inmediato de la protección de datos personales plantea retos apasionantes que exigen que nuestra comprensión del
mundo se enriquezca desde múltiples puntos de vista. Basta con
considerar sentencias recientes de la audiencia nacional, amplia
e inteligentemente comentadas en los blogs de nuestros/as asociados/as en relación con la telefonía móvil o el correo electrónico,
para entender que lo que parecían viejos temas adquieren profundos matices.
Por otra parte, las aplicaciones móviles, la trazabilidad en el comportamiento, el profiling y materias como el big data se abren paso
como nuevos protagonistas en nuestro trabajo. No olvidemos asimismo, cómo el caso del espionaje norteamericano ha puesto sobre la mesa la cuestión de la seguridad en el Cloud y la posible
necesidad de un modelo de Cloud europeo. Añadamos como pincelada final la detección por el MIT de vulnerabilidades específicas en recursos como Dropbox para entender hasta qué punto en
nuestro sector la necesidad de actualización y formación constituye una necesidad de primer orden en nuestro sector.
Por ello, tras una primera experiencia APEP deberá comprometerse con un plan de formación ambicioso pero realista que cubra
tanto las necesidades de formación continuada como la especialización y la certificación. Esto supone sin duda un reto para la
Junta de esta asociación que se verá sin duda sometida a un reto
considerable por su exigencia y al que trataremos de responder
con eficacia, dedicación y apertura a todos y cada uno de los asociados. Debemos ser capaces de encontrar un equilibrio entre los
eventos formativos presenciales, eminentemente prácticos y la
flexibilidad del mundo online buscando además en la medida de
lo posible la excelencia docente. En este sentido, el cambio en
nuestro modelo de certificación que evoluciona hacía un alto nivel
de exigencia formativa, incorpora a un comité académico de reconocido prestigio y un panel de evaluadores independientes está
llamado a ser un estándar de referencia en el mercado. El desarrollo de la normativa europea, aunque se retrase y modifique,
exigirá la presencia de una marca fuerte en el mercado y capaz de
acreditar nuestros conocimientos.
¿Pero para que debe servir la marca APEP? Hace unos días un
compañero muy querido y respetado me remitía una oferta de servicios de asesoramiento LOPD por una ridícula cantidad que no
APEPINFORMA09
1. Editorial.
podía sino consistir en uno de esas implementaciones en las que sin saber de ti alguien marca una
crucecita en el programa y te entrega un formulario que no sirve para nada. Casi al mismo tiempo,
pude leer ofertas formativas del tipo “aprenda a ser
consultor en una mañana”, y otras que prometían
una especie de reconocimiento oficial.
Estoy seguro de que los asociados y las asociadas de APEP no somos esto. Somos un colectivo de personas honradas y profesionales que nos
comprometemos con el rigor y la seriedad profesionales. Por ello, asumimos el compromiso de
asociarnos, de formarnos, de cooperar y de hacer
2
de nuestra imagen un referente nacional e internacional.
Cada uno de nosotros y nosotras servimos a APEP,
no nos servimos de APEP. Nadie puede ni debe
hacerlo. Juntos hemos hecho algunas cosas destacadas y hemos obtenido un cierto crédito. Pero
no podemos confiarnos, nuestra vida como asociación es demasiado corta y APEP sigue necesitando que cada uno de nosotros con su esfuerzo
engrandezca el proyecto. Debemos ser ejemplo y
referencia de ética, honestidad y profesionalidad
porque sólo así alcanzaremos el éxito.
2.1 Utilización de software espía y su
impacto en la privacidad. A propósito de
“El Guardián” Uruguayo.
Silvia Raquel Telechea Dayuto1.
Doctora en Derecho y Ciencias Sociales, por la Facultad
de Derecho de la Universidad de la República- Montevideo. Asociada a la APEP
ABSTRACT
En el mes de julio de 2013, se filtró a la prensa la información de la adquisición por parte del gobierno
uruguayo, tildada “como secreta”, que sorprendió a
propios y a extraños, de un software denominado
EL GUARDIÁN, a una empresa Brasileña, Dígitro
Tecnología Ltda., para la monitorización de telefonía fija, de celulares, páginas web, redes sociales
entre otras, con un costo aproximado US$ 2 millones y un mantenimiento y servicio técnico anual de
casi 200.000 US$ a cargo de la firma proveedora.
Más allá de la repercusión, que ha tenido el tema
tanto en el ámbito nacional, como internacional,
en medio del escándalo de espionaje de Edward
Snowden, de la sospecha de espionaje a gran escala a países de América Latina por parte de Estados Unidos, surge una gran incertidumbre que ha
suscitado, y un cierto recelo debido a que constituye
un medio extremadamente intrusivo a la privacidad.
En este artículo, se pretende analizar desde el
punto de vista jurídico, la incidencia que puede tener con los derechos fundamentales.
PALABRAS CLAVES: interceptación de comunicaciones electrónicas, privacidad, intimidad, telecomunicaciones, inteligencia, internet, protección
de datos, el guardián, Uruguay
INTRODUCCIÓN:
El guardián, ¿de qué estamos hablando?
El Guardián es un software hecho a medida, que,
según ha trascendido a nivel periodístico, en la ver1. Doctora en Derecho y Ciencias Sociales, por la Facultad
de Derecho de la Universidad de la República- Montevideo
Uruguay. Master en Informática y Derecho Décima promoción
Universidad Complutense de Madrid, Postgrado en Derecho
de Nuevas Tecnologías: Comercio Electrónico. Consultora
especialista en protección de datos. Miembro de APEP, Asociación Profesional Española de Privacidad. Socia fundadora
la empresa HUMANFINC S.L.
sión adquirida por el gobierno uruguayo, permite
la monitorización a tiempo real, de hasta 800
celulares, 200 Teléfonos fijos, además de crear
cuentas espejo de 100 emails y relevamiento de
tres redes sociales.
Posee herramientas avanzadas para el análisis
de vínculos textuales, estructurados y gráficos,
permitiendo el análisis integrado de la
información, mediante las interceptaciones en un
ambiente que integra grabaciones telefónicas, de
radio y datos en Internet.
La interfaz es 100 % web, por lo que permite al
analista acceder al sistema, de forma segura
desde cualquier lugar2.
La resolución que habilitó la compra por parte del
Ministerio del Interior, se justificó dicha
adquisición en lo siguiente: “La incorporación de
dicha tecnología permitirá desarrollar con e icacia
una tarea de importancia en la investigación de
delitos complejos, logrando así una mejor gestión
en la Seguridad Publica, incidiendo directamente
en las políticas de prevención y represión de la
delincuencia, cometido esencial que desarrolla la
Policía Nacional y demanda urgencia en su
atención”
Se trata por tanto, de dotar a la Policía Nacional de
tecnología de última generación, con una capacidad inexistente hasta el momento y constituirá un
mecanismo eficaz para combatir el flagelo de los
denominados DELITOS COMPLEJOS: corrupción,
narcotráfico, terrorismo, lavado de activo, redes de
prostitución, pornografía infantil entre otros.
A nivel de prensa se destaca que son cada vez
más las solicitudes judiciales para interceptar llamadas y cuentas de correo electrónico, se incorporan casi en la totalidad de las investigaciones que
involucran dichos delitos y que con esta nueva tecnología, permitirá analizar, al amparo de órdenes
judiciales, la información surgida de la vigilancia de
llamadas telefónicas, correos electrónicos, redes
sociales y blogs.3
2. Extraído de la página web http://tecno.americaeconomia/
noticias/conozca-el-guardian-el-prism-uruguayo , vista el
20/8/2013 Artículo autor observa.com.uy DENOMINADO:
Conozca a El Guardián, el PRISM Uruguayo.
3. Extraído de página web http://www.elpais.com.uy/
informacion/gobierno-compro-guardian-espiar-llamadascorreos.html vista el 20/8/2013.
3
APEPINFORMA09
2. Artículos.
APEPINFORMA09
El proyecto de adjudicación, pone de manifiesto que
“la difusión de la contratación podría irrogar graves
perjuicios para la Seguridad Pública, tanto desde el
punto de vista técnico como estratégico”, razón por
la cual no fue publicada ni en la página web de
compras estatales, ni en los boletines oficiales.
do Tribunal, permite la grabación telefónica como
prueba en los delitos, con autorización judicial.
Utilización de el guardián en Brasil.
La petición puede ser de oficio, o a petición de la
Policía que investiga las causas criminales, o el
fiscal en la instrucción procesal penal y criminal.
El Guardián ha sido desarrollado por una empresa brasileña del estado Santa Catarina DÍGITRO
TECNOLOGÍA LTDA, que es el proveedor del Estado Uruguayo.
La Policía Federal brasileña, ha utilizado desde
hace bastante tiempo, este software, y hoy son
varios estados brasileños que cuentan con esta
potente herramienta que se utilizan diversos procedimientos.
A vía de ejemplo en el año 2007 permitió promover más de 188 operaciones en la lucha contra la
corrupción y el crimen organizado, y se obtuvo la
detención de 2876 personas, 316 de ellos eran empleados públicos y 13 policías federales en las que:
“THE GUARDIAN, es la estrella del más del 90 %
de todo ese trabajo” según comenta el periodista
Claudio Julio Tognolli, en su artículo “Os ouvidos
de Deus”
publicado en la revista de Rolling
Stones4 nº 20, de mayo de 2008.
En dicho artículo señala que es “el más moderno
y potente sistema de escuchas telefónicas de Brasil”……… “es la estrella de las investigaciones de
la PF” (Policía Federal). Lo define como un “diván
freudiano.” se ve a Dios en su omnipresencia divina: está en todo lugar, escuchar a todo el mundo,
pero nadie lo ve”.
Este periodista, cuestiona respecto a quien controla el sistema y deja en descubiertos casos en los
cuales, no es necesario que el sistema funcione
con autorización judicial.
En el derecho brasileño la interceptación legal de
las comunicaciones electrónicas hasta la aprobación de la ley 92965 del 24 de julio de 1996, en opinión del Supremo Tribunal Federal de Brasil, era
considerada una prueba ilícita, en investigaciones
criminales, aunque fuera con autorización judicial.
Una vez aprobada la ley 9296 que desarrolla el
art. 5 de la Constitución, la jurisprudencia del cita4. http://rollingstone.uol.com.br/edicao/20/os-ouvidos-de-deus
5. http://www.te.gob.mx/ccje/iv_obs/materiales/de_resende.
pdf
4
La citada ley, regula la interceptación de las
comunicaciones de cualquier tipo, a efectos de
ser utilizadas como prueba en una instrucción
de un proceso, penal y criminal debe hacerse
mediante la decisión del tribunal competente.
La autorización puede hacerse oral en casos
excepcionales y siempre la decisión debe ser
fundada, bajo pena de nulidad.
El plazo para que pueda interceptarse las comunicaciones es de quince días prorrogables por otros
quince más siempre que esté justificado.
En su artículo 2 la ley establece los casos en los
que no procede la interceptación: cuando existan
indicios razonables de la autoría o participación de
un delito, o que el hecho investigado constituya un
delito con pena máxima de prisión.
Una de las polémicas surgió en torno al verdadero
alcance del sistema, que trascendería el almacenaje, sistematización y cruzamiento de información y
le permitiría realizar escuchas, sin la necesidad de
que intermediaran los operadores de telefonía y, en
consecuencia, eludiendo las órdenes judiciales, derivada de la filtración de las escuchas en una investigación sobre presunto fraude en una licitación6.
Las insistentes versiones en Brasil, sobre la
capacidad de El Guardián para pinchar teléfonos,
hicieron que el tema tomara estado parlamentario
y un diputado alertara sobre el manejo de la
información por parte de privados.
El abogado de Henry Clay Andrade, representante de la Asociación de Abogados de Brasil (OAB),
presentó una acción de inconstitucionalidad contra
el uso de El Guardián. Denunció que el sistema se
había convertido en un “monstruo autoritario” que
estaba realizando escuchas a civiles sin autorización judicial.
Según la propia versión que da la empresa DIGITRO en su página web7 el sistema funciona, siempre cumpliendo, según dicen, la ley 9626, antes
6. http://www.elpais.com.uy/informacion/polemica-llamadoechelon-brasileno.html
http://radiomercosur.com/noticias/MONTEVIDEO_Gobierno_
uruguayo_compro_El_Guardian_para_espiar_llamadas_y_
correos_26_07_2013_2013_07_26/
7. http://www.digitro.com.br/pt/inteligencia/
Los agentes intervinientes en el proceso de interceptación son:
A) El Poder Judicial o tribunal competente que es
el órgano que aceptará o denegará la solicitud
de interceptación cuando se den los requisitos
legales para la misma.
B) Los Agentes Públicos con poder de investigación, siempre autorizados por el Poder Judicial.
C) El Ministerio Público, quien actúa como garante
y asegura el derecho de los ciudadanos y de las
empresas que estén afectadas por el
procedimiento en cuestión.
D) Las operadoras de telefonía y los proveedores
de Acceso, que están obligados por ley 9296/96
a cooperar si son requeridas a tal efecto.
En primer lugar la autoridad solicitante, con poder
de investigación criminal detecta la necesidad de
una interceptación.
Con base a la ley 9296/96 es enviada al Poder
Judicial
señalando
los
motivos
de
la
interceptación y se da vista al Ministerio Publico
para que se mani-fieste al respecto.
Si se acepta la interceptación, se libra la Orden conforme a la Resolución nº 598 antes citada, notificándose a la operadora de telefonía o al proveedor de
acceso para que cumpla con la interceptación.
Los agentes intervinientes, una vez que se libra
el oficio, envían un oficio complementario con los
datos técnicos de la dirección electrónica del Guardián donde se enviará la información interceptada.
Una vez que se están en posesión de todos los
documentos, la Operadora o Proveedor de
acceso configura el inicio de las interceptaciones
y encaminan los datos interceptados a los
servidores de la Autoridad solicitante, que es en
estos donde se recibe y almacena la información.
Como nota importante, se hace resaltar que las en
el curso de la investigación, las operadoras no
permiten la interceptación de nuevos números a
no ser que se cumplan con los requisitos de la
normativa vigente9.
Cabe destacar que, el sistema del Guardián dispone de funcionalidades que facilitan el proceso de
8. http://s.conjur.com.br/dl/resolucao-59-cnj.pdf
9. http://www.digitro.com.br/pt/inteligencia/ (nº 8 de pantalla)
investigación, ya que no solo recibe y almacena la
información, sino que permite el cruzamiento de
datos estructurales y de texto, siendo su
utilización segura ya que permite los controles
de auditoria de datos, configuraciones de acceso
y del sistema. Facilita la elaboración de informes
de inteligencia.
Breve reseña de la protección de datos en Uruguay y la interceptación de comunicaciones
electrónicas como medio probatorio lícito.
Uruguay ha sido quizás el país en América Latina,
que a partir del año 2008, ha dado el mayor salto
cualitativo en materia de protección de datos y por
ende de la protección de la privacidad de sus ciudadanos. Con la aprobación de la ley nº 1833110,
de 11 de agosto de 2008, de protección de datos
personales y acción de Habeas Data, que vino a
sustituir la norma de carácter sectorial ley 1783811
de fecha 24 de septiembre de 2004 protección de
datos personales para ser utilizados en informes
comerciales y acción de Habeas Data y con la obtención del reconocimiento por parte de la Comisión Europea como país adecuado en la materia
convirtiéndose así en el segundo país de América
Latina en obtener dicho reconocimiento, junto con
Argentina, por decisión del 21 de agosto de 201212.
Fue además sede de la 34ª13 Conferencia Internacional de Autoridades de Protección de Datos y
Privacidad.
Pero Uruguay ha ido más allá, y se ha convertido
en ser el primer país no europeo en ratificar el Convenio nº 108 del Consejo de Europa para la protección de las personas con respecto al tratamiento
automatizado de datos de carácter personal con la
aprobación de la Ley nº 1903014 de fecha 27 de
diciembre de 2012.
Queda más que claro, en el ordenamiento jurídico
uruguayo, que el derecho a la protección de datos
y de la privacidad, está protegida y amparada.
10. http://www.parlamento.gub.uy/leyes/AccesoTextoLey.
asp?Ley=18331&Anchor=
11. http://www.parlamento.gub.uy/leyes/AccesoTextoLey.
asp?Ley=17838&Anchor=
12. http://iblawg.cl/wp-content/uploads/2012/08/
URUGUAYes00110014.pdf
13. http://privacyconference2012.org/espanol/sobrela-conferencia/noticias/Uruguay-logra-adecuacion-enProteccion-de-datos-1
14. http://www.agesic.gub.uy/innovaportal/file/2593/1/
descargar_ley_n_19030.pdf
5
APEPINFORMA09
comentada, y la Resolución nº 59 que reglamenta
dicha ley del 8 de agosto de 2008, del Consejo Nacional de Justicia.
APEPINFORMA09
Si bien no existe a nivel constitucional una referencia expresa, como por ejemplo se puede apreciar
en el artículo 18.4 de la Constitución Española, la
Constitución Uruguaya15, en virtud de adoptar una
concepción iusnaturalista en materia de derechos
fundamentales, protege no solo los derechos que
están expresado en su artículo 7: “Los habitantes de
la República tienen derecho a ser protegidos en el
goce de su vida, honor, libertad, seguridad, trabajo
y propiedad. Nadie puede ser privado de estos derechos sino conforme a las leyes que se establecieron por razones de interés general” en el artículo nº
72 “La enumeración de derechos, deberes y garantías hecha por la Constitución, no excluye los otros
que son inherentes a la personalidad humana o se
derivan de la forma republicana de gobierno” y 332
“Los preceptos de la presente Constitución que reconocen derechos a los individuos, así como los
que atribuyen facultades e imponen deberes a las
autoridades públicas, no dejarán de aplicarse por
falta de la reglamentación respectiva, sino que ésta
será suplida, recurriendo a los fundamentos de leyes análogas, a los principios generales de derecho y a las doctrinas generalmente admitidas.”
Es decir, que existe una protección de derechos,
cuya enunciación no es taxativa, que deja la puerta
abierta a nuevos derechos, sin necesidad de tener
que hacer una reforma constitucional, como ha pasado en otros países, y que solo pueden ser limitadas “conforme a las leyes que se establezcan por
razones de interés general”.
Por otra parte el artículo 28 de la Constitución establece respecto a la protección de la inviolabilidad
de la correspondencia: “Los papeles de los particulares y su correspondencia epistolar, telegráfica o
de cualquier otra especie, son inviolables, y nunca
podrá hacerse su registro, examen o interceptación
sino conforme a las leyes que se establecieron
por razones de interés general.” El resaltado
me pertenece.
La referencia a correspondencia epistolar, telegráfica o de cualquier especie, siguiendo al Dr Carlos Delpiazzo en su obra Derecho de las Telecomunicaciones, Montevideo, 2005 editorial Tradinco,
junio de 2005 págs. 96 a 98 “merece ser destacada por cuanto, dirigida a evitar cualquier absurda
interpretación excluyente, asegura la inclusión de
las comunicaciones telefónicas en el concepto de
correspondencia. Pero además impone la aplicación del texto a cualquier medio o instrumento de
15. http://www.rau.edu.uy/uruguay/const97-1.6.htm#2
6
comunicación que el progreso científico o tecnológico pueda generar en el futuro”16 , asegurando
la adecuación de dicha normativa a los constantes
avances técnicos.
Cabe señalar, según sostiene GROS ESPIELL, en
la obra citada, que es fundamental destacar que la
norma constitucional garantiza no solo la inviolabilidad “del contenido sino la existencia misma de
las comunicaciones y por ende de su difusión y
conocimiento por terceros.”
Respecto a la protección se centra en “registro,
examen o interceptación”. Según la Real Academia Española: registrar: significa examinar el contenido, anotar, inscribir o enumerar; examinar: investigar, indagar o analizar el contenido; interceptar: si bien el sentido natural significa detener el
pasaje de algo o impedir que llegue al lugar al que
se dirige, con referencia a las telecomunicaciones
en general y a las comunicaciones telefónicas en
particular, implica la injerencia externa, un acto de
un tercero ajeno a los interlocutores y que actúa sin
consentimiento de uno de ellos a efectos de poder
tomar conocimiento del contenido de la misma, ya
sea que se registró o no para su posterior examen
o utilización por ejemplo como medio de prueba17.
Por lo tanto, en el tema de la interceptación, todo se
centra por lo tanto en la posibilidad, de que exista
alguna vulneración de derechos, ya que como dice
la jueza Graciela Gatti,18 “Técnicas éstas que resultan especiales por varios motivos, en primer lugar
por su carácter intrusivo ya que penetran en el ámbito reservado a la intimidad de las personas y en
segundo lugar por cuanto se trata de medios probatorios que se obtienen muchas veces mientras el
delito se está cometiendo. Por su naturaleza y en
16. Cita del autor a Héctor GROS ESPIELL. “El artículo 28 de
la Constitución y las comunicaciones telefónicas” en revista
de Administración Publica Uruguaya, nº 25 Pág. 84.
17. Benardete MINVIELLE. El derecho de la intimidad y la
prueba en el proceso penal, con especial referencia a las interceptaciones telefónicas, en Revista Uruguaya de Derecho
Procesal, pág. 154, 158 y 159, autor citado por el Dr Delpiazzo
en obra anteriormente citada.
18. Autores citados en el artículo de Ignacio M. Soba Bracesco “Proceso penal y crimen organizado: particularidades
procesales en España y en Uruguay, con énfasis en la problemática probatoria” Febrero 2010 Origen: Noticias Jurídicas:
Graciela Gatti: “Juzgados Letrados Penales especializados en
Crimen Organizado”, págs. 24 y 25, en Congreso Binacional de
Derecho Procesal Penal (Uruguay-Argentina) sobre la Reforma de la justicia penal y gobernabilidad democrática, 2009,
en Instituto de Estudios Comparados en Ciencias Penales y
Sociales (INECIP): http://noticias.juridicas.com/articulos/65Derecho%20Procesal%20Penal/201002-78963254120324.
html
En ese sentido, Ramón DE LA CRUZ OCHOA
sostiene que deben someterse “…dichos métodos
a controles legales y judiciales rigurosos, habida
cuenta de que si bien se posibilita una intervención
temprana de las investigaciones policiales en el espacio criminal, también hace más fácil incurrir en
comportamientos prohibidos”19.
Se trata de una excepción al respecto del derecho
fundamental de la inviolabilidad de las comunicaciones privadas siendo una norma permisiva a
la transgresión del bien jurídico tutelado de la
privacidad o intimidad de las personas.
Señala que en ciertos delitos las escuchas resultan
indispensables pero deben seguirse condiciones
muy estrictas. El límite a este derecho será
dado solo por la ley formal, por razones de
interés general, puede privar de la protección
constitucional, aún con fines probatorios para que
sea legiíima, requiere ser soportada en una norma
habilitante de rango legal20.
Cabe recordar el Artículo 11 de la Convención
Americana sobre Derechos Humanos21, ratificada
por Uruguay, establece que: “1. Toda persona tiene
derecho al respeto de su honra y al reconocimiento de su dignidad. 2. Nadie puede ser objeto de
injerencias arbitrarias o abusivas en su vida privada, en la de su familia, en su domicilio o en su correspondencia, ni de ataques ilegales a su honra
o reputación. 3. Toda persona tiene derecho a la
protección de la ley contra esas injerencias o esos
ataques.”
Ahora bien, es importante recalcar que la ley
18331, de protección de datos personales, en su
19. Ramón De la Cruz Ochoa: “Criminalidad Organizada y
Proceso Penal”, pág. 2, en Congreso Internacional de Derecho
Penal, VII Jornadas sobre Justicia Penal (UNAM, 19 al 23 de
Junio de 2006): http://www.juridicas.unam.mx/sisjur/penal/
pdf/11-574s.pdf.
20. Dr Carlos Delpiazzo obra citada. Pag 98
21. http://www.oas.org/dil/esp/tratados_B-32_Convencion_
Americana_sobre_Derechos_Humanos.htm
artículo 3 literal B, deja fuera del ámbito de aplicación, todas aquellas normas que tengan por objeto
la seguridad pública, la defensa, la seguridad del
Estado y sus actividades en materia penal,
investigación y represión del delito.
Este artículo es similar al artículo 2 de la ley
15/199922 Ley orgánica de Protección de datos, del
13 de diciembre, que en su literal b y c excluyen del
ámbito de aplicación los ficheros sometidos a normativa sobre protección de materias clasificadas
y a los ficheros establecidos para la investigación
del terrorismo y de formas graves de delincuencia
organizada. Sin perjuicio de que de forma previa se
comunicara al órgano de control, Agencia Española de Protección de Datos, su existencia, características generales y su finalidad, esto último constituye una garantía para los ciudadanos, -aspecto
este que echamos en falta en la norma uruguaya- y
que brindara seguridad y transparencia.
Tanto a nivel doctrinario como legislativo, en todo
ordenamiento jurídico la restricción a los derechos
fundamentales debe realizarse por leyes de interés
general.
En la Constitución uruguaya, está prohibida las pesquisas secretas, art. 12, no obstante existe cierta
desconfianza, sobre todo a nivel de abogados penales, que ven que la autorización de la interceptación de las comunicaciones por la que procesan a
sus clientes, ni siquiera están en los autos, y además según informaciones policiales23, cuando se
tienen indicios de que se está cometiendo un delito, primero se hace la escucha y posteriormente
se pide la autorización, con lo que convierten legal
una prueba ilegal, y sumando a que las
autorizaciones en muchos casos es dada
oralmente por los jueces, lo que puede colidir con
las garantías del derecho al debido proceso.
En tema de interceptación de comunicaciones
debemos considerar varios cuerpos normativos
donde más o menos exhaustivamente lo regula.
En el Código de Procedimiento Penal24 uruguayo, ley nº 15.032 del 7 de julio de 1980 en materia
probatoria no lo establece en forma expresa, no
obstante al decir en el artículo 173: “cualquier otro
medio no prohibido por la ley que pueda utilizarse
22. http://www.boe.es/boe/dias/1999/12/14/pdfs/A4308843099.pdf
23. http://historico.elpais.com.uy/121104/pnacio-673703/
nacional/Escuchas-riesgo-en-interpretacion/
24. http://www.parlamento.gub.uy/leyes/AccesoTextoLey.
asp?Ley=15032&Anchor=
7
APEPINFORMA09
la medida que suponen la violación de derechos
fundamentales garantizados por la Constitución su
aplicación queda reservada al ámbito establecido
por el legislador, bajo decisión judicial, la que debe
ser fundada. Se trata de medios probatorios que
deben ser utilizados con especial ponderación y
teniendo presente que los mismos revisten un carácter subsidiario, esto es, no es válido acudir a
los mismos si puede obtenerse igual resultado por
otra vía, que no suponga afectar derechos de los
investigados.”
APEPINFORMA09
aplicando analógicamente las normas que disciplinan a los expresamente previstos”.
Sin embargo el artículo 212, hace referencia a la
interceptación de correspondencia y otras comunicaciones si existen motivos graves para creer que
la interceptación de la correspondencia postal o
telegráfica o toda otra forma de comunicación
en que el imputado intervenga, aun bajo nombre
supuesto, pueda suministrar medios útiles para la
comprobación del delito; deberá ordenarlo el juez
que dispondrá de su secuestro mediante resolución
fundada, librándose los oficios correspondientes.
Tratándose de tercero, podrán dictarse las
mismas medidas siempre que el Juez tenga
motivos seriamente fundados, que se harán
constar, para suponer que, de las mencionadas
comunicaciones, pueda resultar la prueba de la
participación en un delito.
En estos artículos, se basan la utilización de los
medios de prueba, ya que se entienden incluidas
en: “Las potestades instructoras del juez con competencia penal son suficientes para ordenarla, ejecutarla y culminarla con su control, siempre que
tenga a fines de investigación de una conducta con
apariencia delictiva” texto extraído de Sentencia
del Tribunal de Apelaciones en lo Penal de 1º Turno nº 27 de 28 de febrero de 2005”25.
Cabe destacar, que este código de Procedimiento
Penal, que ha sido muy controvertido y
criticado, está en proceso de ser modificado y
existe un proyecto a nivel parlamentario donde se
incluye en su artículo 147, las interceptaciones e
intervenciones, sin especificar y cualquier otro
medio no prohibido por la ley.
Respecto a los medios probatorios se agrega
un capítulo específico sobre la interceptación e
incautación postal y electrónica de los imputados
y un capitulo nuevo de intervención de
comunicaciones respecto
de
intervención,
grabación o registro de comunicaciones
telefónicas u otras formas de comunicaciones
solicitadas por el Ministerio Público al Juez.
Lo interesante de este artículo y que crea seguridad jurídica que no hay hasta ahora, que se incluirá el nombre del afectado, la identidad de teléfono,
forma, alcance y duración de la grabación.
Otra novedad en el ordenamiento Jurídico en el artículo del proyecto el Ministerio Público podrá soli25. Derecho Informático tomo VI FCU 1ª ED. Abril 2006 pag
489
8
citar la intervención de las comunicaciones de altas
autoridades públicas, como el Presidente de la República, Ministros, Ministros de la Suprema Corte,
del Tribunal de Cuenta, Corte Electoral entre otros
previa autorización del Fiscal de Corte.
La reforma del Código de Procedimiento Penal,
es una asignatura pendiente que tiene el
Uruguay, ya que el vigente fue aprobado en el
año 1980, en la dictadura.
En junio del 2009, se aprobó la ley nº 18.49426 de
CONTROL Y PREVENCIÓN DE LAVADOS DE
ACTIVOS Y DEL FINANCIAMIENTO DEL TERRORISMO, en su artículo 9 regula de forma expresa
la denominada “vigilancias electrónicas”, en la investigación de cualquier delito con la finalidad de
su esclarecimiento.
Se opta por el concepto amplio, y no al término de
interceptación ya que según señala el autor Soba
Bracesco “la vigilancia electrónica podrá tener por
objeto interceptar la correspondencia, las comunicaciones telefónicas, las comunicaciones electrónicas de cualquier tipo, o podrá consistir en la
utilización de micrófonos, cámaras, utilización de
imágenes satelitales, etc. Es que la norma prevé
que se puedan utilizar “todos los medios tecnológicos disponibles”, con lo cual la herramienta no
permanece pétrea ante los cambios incesantes.”27
Establece el procedimiento que debe seguirse,
debe ser ordenada por el Juez a requerimiento del
Ministerio Público. El desarrollo y la colección de
prueba serán bajo la supervisión del Juez competente, quien a su vez será el encargado de la selección del material destinado a ser utilizado en la
causa y la que descartará por no referirse al objeto
probatorio.
El resultado de las pruebas deberá transcribirse
en actas certificadas a fin de que puedan ser incorporadas al proceso y el Juez está obligado a la
conservación y custodia de los soportes electrónicos que las contienen, hasta el cumplimiento de la
condena.
Una vez designada la defensa del intimado, las actuaciones procesales serán puestas a disposición
de la misma para su control y análisis, debiéndose
someter el material al indagado para el reconocimiento de voces e imágenes.
26. http://www.parlamento.gub.uy/leyes/AccesoTextoLey.
asp?Ley=18494&Anchor=
27. http://noticias.juridicas.com/articulos/65-Derecho%20
Procesal%20Penal/201002-78963254120324.html
Por último la ley 1831528 de procedimiento policial,
5 de julio de 2008 establece en su artículo 73. (Información e inteligencia policial).- La policía podrá
realizar actividades de información e inteligencia
para la prevención y represión de hechos ilícitos.
Es decir, es la Policía quien realiza las escuchas,
quien debe solicitar la autorización fiscal del caso,
que a su vez le pide la medida al juez. El magistrado es quien libra el oficio a la operadora de telecomunicaciones: si es de un teléfono fijo: a ANTEL
empresa estatal que tiene el Monopolio, si es celular: ANTEL, Claro o Movistar, donde se establece
el nº que debe interceptarse y el plazo.
Los ingenieros de las empresas de telecomunicaciones efectúan la intervención y cada vez que el
sospechoso atiende o realiza una llamada, suena
el teléfono en la unidad policial que lo está investigando, allí el Policía que hace la escucha
coloca los auriculares y se graba en CD y toda la
información es enviada al Juzgado.
Lógicamente que, si bien no ha trascendido si el
Guardián funcionará como lo hace en Brasil, porque no se ha brindado ningún tipo de información,
ni siquiera a los parlamentarios que así lo requirieron, toda esta operativa que hoy se ve casi artesanal, cambiará totalmente por la propia capacidad y
características del software adquirido.
La seguridad versus privacidad
Volviendo al tema que nos atañe, existe en el ámbito político y en el sentir de la gente, atrevería a
calificarlo como “sensación térmica”, la repercusión que generó la adquisición del GUARDIAN,
por la forma tan secreta, ya que jueces, fiscales
incluso parlamentarios se enteraron por la prensa
de tal adquisición y porque hace tiempo que
viene estando en el tapete las sospechas de las
escuchas telefónicas en distintos ámbitos, que ha
sido constantemente desmentida.
En un artículo del Dr Diego Galante, columnista
del portal MONTEVIDEO PORTAL, del 18 de junio
de 2013 titulado como: Privacidad y espionaje en
Uruguay. Señala con gran acierto: “En el mundo
se está entrando en un terreno de alto riesgo que
se aceleró con la presencia del terrorismo en los
28. http://200.40.229.134/Leyes/AccesoTextoLey.
asp?Ley=18315&Anchor=
últimos años. Los Estados han comenzado a poner en funcionamiento un mecanismo que no es
el clásico espionaje de un gobierno contra otros
gobiernos o respecto de ciertos grupos extremistas o de alto peligro; hoy el espionaje se ha vuelto
contra los propios ciudadanos, por riesgos reales,
potenciales o preventivos, sin importar la frontera
de los derechos de cada uno”- y agrega- “Según
la información que he podido recopilar, ……. Desde hace aproximadamente 15 años la inteligencia
del Estado se ha ido ampliando de manera consistente: los ciudadanos responden ahora ante las investigaciones y pesquisas de la Dirección Nacional
de Inteligencia del Estado (DINACIE, que depende
del ministerio de Defensa Nacional), la Dirección
Nacional de Información e Inteligencia (DNII, del
Ministerio del Interior, además de una cantidad
de entidades que reúnen tareas de investigación
e inteligencia, como los departamentos propios del
Ejército, la Armada, la Fuerza Aérea, la Prefectura
Nacional Naval; la inteligencia en materia financiera y de lavado del Banco Central, la inteligencia
propia de la Dirección Nacional de Aduanas, la que
utiliza la Dirección General Impositiva para su actividad respecto de contribuyentes, los servicios de
información del Servicio Exterior, entre otros”29.
En un interesante artículo de ANTONIO ANSELMO
MARTINO denominado ASECHO DEL DERECHO
DE LA PRIVACIDAD EN AMERICA LATINA publicado en diciembre de 2012 sostiene que “en un
mundo globalizado e intercomunicado crecen las
posibilidades de violar la privacidad de los individuos y las empresas”30.
Estamos en un país, que ha apostado fuerte tanto
por la protección de datos, de dotar de garantías
como el Habeas Data, que constituye una garantía
de acceso a los datos personales, pero que también apuesta fuerte por la transparencia, por el
avance tecnológicos, y en un estado de derecho
donde existen los mecanismos para la garantía cabal de los derechos fundamentales.
No obstante, por las razones que sea, el sistema
no revela del todo transparente porque falta precisión normativa, con proyectos en estudio del parlamento y sin tener por ejemplo una ley general de
Telecomunicaciones y sin una ley de Inteligencia.
Actualmente en el Parlamento un proyecto de ley
propuesta por el diputado Amy sobre Inteligencia
29. http://columnistas.montevideo.com.uy/uc_63604_1.html
30. http://habeasdatacolombia.uniandes.edu.co/wp-content/
uploads/1_Antonio-Martino_FINAL1.pdf
9
APEPINFORMA09
Quedan expresamente excluidas del objeto de estas medidas las comunicaciones de cualquier índole que mantenga el indagado con su defensor.
APEPINFORMA09
y que está teniendo el consenso de todos los partidos políticos, incluido el de gobierno para poder
aprobar cuanto antes un marco jurídico que regule
el tema y que en uno de sus apartados establece:
“La estricta observancia de la legalidad de
aquellos procedimientos que, inevitablemente,
requieran de actividades invasivas de la privacidad
de los individuos.”31
Breve comentario respecto a la interceptación
de comunicaciones por privados.
Antes de que surgiera la adquisición del Guardián,
mucho se ha escrito en prensa, y ha dado origen a
varios pedidos de explicaciones en el parlamento
respecto a la posibilidad de que los teléfonos tanto
fijo como móviles estuvieran “pinchados”.
El vicepresidente de Antel, empresa pública que
tiene el monopolio de la telefonía fíja “La tecnología para hacer un `pinchazo` no tiene nada de
sofisticada. Eso lo puede hacer cualquier persona
simplemente poniendo dos `cocodrilos` (grampas)
en los cables de teléfono en una entrada de una
casa”,
Se precisa tecnología para realizarla. Un delincuente o un particular interesado en espiar a otro,
en caso de tecnología inalámbrica necesita equipamientos más sofisticados y más complejos”
En Buenos Aires se venden pequeños equipos
similares a computadores portátiles que permiten
escanear números de teléfonos celulares.
Constan de un ordenador, antena y un par de audífonos. Su precio oscila los US$ 3.500. Otra forma de interceptar celulares es tener un
contacto con un funcionario infiel de Antel y éste
habilitará el acceso al mecanismo para realizar
una escucha ilegal”32.
Ya ha habido algún antecedente muy puntual y que
ha sido puesto a disposición de la Justicia.
En el cumplimiento de la normativa de protección
de datos de las operadoras de telecomunicaciones
tanto públicas como privadas, artículo 20 de la ley
18331, su responsabilidad alcanza los siguientes
puntos:
a) Mantener niveles adecuados de seguridad y
confidencialidad de los datos de los titulares, para
ello, los responsables deberán adoptar las medi31. http://www.espectador.com/documentos/Amy.pdf
32. http://www.elpais.com.uy/informacion/pinchar-telefono-nosofisticado.html
10
das técnicas que garanticen la seguridad en la explotación de la red o servicio. Recabar el consentimiento de los titulares de los datos y guardar la
prueba de su existencia o de su negativa.
b) Informar a los abonados acerca de posibles
riesgos o medidas a adoptar mediante cláusulas
contractuales o de advertencia previniendo acerca
de los riesgos de una posible violación de la seguridad pública de comunicaciones electrónicas, e
informando las medidas a adoptar.
c) Cumplir con las disposiciones previstas en la
Ley. Tratar los datos conforme lo establecido en la
ley. Informar en forma expresa y destacada a los
titulares sobre cómo se va a utilizar sus datos. Utilizar datos exactos y adecuados de acuerdo con la
finalidad para la cual fueron recabadas y actualizarlos en casos de que fueran necesarios33.
Analizando la política de privacidad de ANTEL
quien informa lo siguiente: “POLÍTICA DE PRIVACIDAD: Los datos personales de registro y toda
otra información proporcionada a Antel por el cliente, se encuentran sujetos a una estricta política de
privacidad en cumplimiento de la normativa vigente. La información personal solicitada al usuario a
efecto de registrarse voluntariamente para usar los
servicios ofrecidos, no será suministrada a terceros
por Antel, salvo en las circunstancias que se detallan a continuación: a) cuando la ley lo requiera
o exista una orden judicial solicitando que se
revele la información contenida en los sistemas. b) cuando sea necesaria para identificar,
contactar o llevar acciones legales en contra de
alguien que esté causando daño o amenazando
la seguridad, o causando interferencia a los derechos, sistemas de Antel, de otros usuarios, o de
terceros.34 El resaltado me pertenece.
Y de la empresa MOVISTAR URUGUAY, de telefonía Móvil: “Política de Privacidad de los datos
personales suministrados por el Usuario. Seguridad y tratamiento: Para poder utilizar el Website de manera eficiente y segura, los Usuarios deberán aportar ciertos datos, entre ellos, su nombre
y apellido, domicilio, cuenta de e-mail, documento
de identidad, sin los cuales se tornaría imposible
brindar los servicios. Asimismo podrá solicitarse
información adicional en relación a los intereses
33. Texto extraído del documento: http://www.oas.org/es/sla/
ddi/docs/proteccion_datos_personales_bp_ur_g_5.pdf
34. http://www.antel.com.uy/wps/wcm/connect/7dda738048d5
1ad48594b715a05b7cdc/Condiciones-del-Servicio.pdf?MOD
=AJPERES&ContentCache=NONE
En la empresa Claro, también de telefonía móvil,
no se ha podido tener acceso desde su página
web a las cláusulas de protección de datos.
CONCLUSIONES.
En temas de investigación de delitos complejos, la
interceptación de las comunicaciones electrónicas,
son un elemento clave al punto que se han
convertido en “la reina de las pruebas” relegando
incluso a la confesión36
El gran problema que son muy invasivas al derecho
de la intimidad y a la privacidad, deben estar
limitadas y muy controladas.
En el derecho uruguayo más allá de que puede
existir una cierta inquietud, o una sensación
que traspasa a la gente común, y preocupa,
naturalmente a parlamentarios, abogados, jueces
y fiscales, es muy atendible la preocupación
existente, porque debería precisarse con más
claridad la reglas de juego, es decir la existencia
de normas que den garantías o al menos doten de
35. MOVISTAR https://www.movistar.com.uy/AvisosLegales/
TerminosYCondiciones.aspx
36. Apreciación del Juez Luis Charles, juez penal de Montevideo con amplia experiencia, en un seminario de la Asociación
de Magistrados en Treinta y Tres, el 28 de octubre de 2012,
http://historico.elpais.com.uy/121104/pnacio-673703/nacional/
Escuchas-riesgo-en-interpretacion/
seguridad y transparencia a todo el sistema.
Por ello, la repercusión que tuvo la compra secreta
del software El Guardián, que va a dotar a la
Policía Nacional de mayores herramientas, más
profesionales y efectivas contra el combate de la
delincuencia, lógicamente, si se realiza, como no
puede ser de otra manera, dentro de la legalidad.
La iniciativa de regular este medio probatorio, en
el código de procedimiento penal, es tan necesario
como beneficioso, la futura aprobación de la ley
de inteligencia lo mismo, porque genera confianza,
seguridad y transparencia vitales en un estado de
derecho, porque las garantías constitucionales
están dadas con creces.
Y en el ámbito privado, debería hacerse hincapié
en trabajar y garantizar la confidencialidad de las
comunicaciones, porque la obligación de adoptar
las medidas técnicas, que garanticen la seguridad
en la explotación de la red o servicio y de que
se advierta cuando se vulnere la seguridad de
las comunicaciones y los medios a adoptar, está
establecida de forma expresa en el artículo 20
de la ley de datos personales, porque hasta el
momento se revelan insuficientes. No se puede
trasladar toda la carga al usuario, quien no tiene ni
los recursos, ni el conocimiento técnico, debido a
que es relativamente fácil pinchar un teléfono fijo,
o adquirir un dispositivo cuesta de U$S 700 a U$S
3500, que se venden incluso por internet.
Y en definitiva, se irá poco a poco creando una
cultura de protección de datos y de respeto a la
privacidad, que valore en su justa medida creando
un equilibrio de los derechos fundamentales y que
de seguridad jurídica a todos los ciudadanos.
BIBLIOGRAFÍA:
-Albornoz, Maria Belén Privacidad, Internet social y Políticas Públicas en América Latina y el
Caribe Diciembre de 2008. Accesible desde el
siguiente enlace:
https://tecnologiaysociedad.uniandes.edu.co/
images/PDF/internet_social.pdf
-De Resende Chaves Júnior, José Eduardo ponencia Prueba Ilícita en la Jurisprudencia Electoral de Brasil Ciudad del México 6 de octubre
de 2011
-Delpiazzo, Carlos Derecho de las Telecomunicaciones, Montevideo, 2005 editorial Tradinco, junio
de 2005 págs. 96 a 98
11
APEPINFORMA09
del Usuario, la cual es de aportación voluntaria
por parte del mismo. El no completar dicha parte
del formulario no afecta el registro del Usuario. De
conformidad con la Ley 18.331 de Protección de
Datos Personales, los datos suministrados por el
Usuario quedarán incorporados en la base de datos de clientes de TELEFONICA (autorizada por
resolución de la URCPD 1566/010 del 8 de octubre
de 2010, autorización nº B 1579), la cual será procesada para el relacionamiento con la empresa y
el envío de información. ……….En todos los casos
los datos serán tratados con el grado de protección
adecuado, tomándose las medidas de seguridad
necesarias para evitar su alteración, pérdida,
tratamiento o acceso no ha autorizado por parte de terceros. Los Usuarios tienen el derecho de
acceder a la información de su Cuenta, y podrán
rectificar, actualizar, completar, y suprimir los datos
ingresados cuando lo deseen. En caso de que los
datos sean requeridos por la vía judicial
competente, TELEFÓNICA se verá compelida a
revelar
los
mismos
a
la
autoridad
solicitante.”.35 El resaltado me pertenece.
APEPINFORMA09
-Delpiazzo, Carlos Dignidad Humana y Derecho.
Montevideo 2001 Ed. La Imprenta
MEDIOS DE PRENSA en INTERNET:
-Delpiazzo. Carlos El Derecho ante las telecomunicaciones, la informática e Internet. En Derecho
Informático, nº II MONTEVIDEO 2002 FCU.PAGS
41 y siguientes.
http://observador.com.uy
-GROS ESPIELL, Héctor. “El artículo 28 de la
Constitución y las comunicaciones telefónicas” en
revista de Administración Publica Uruguaya, nº 25
Pág. 84
-Martínez Martínez Ricard, Una aproximación critica a la Autodeterminación Informativa, ed. Civitas
1º Edición año 2004.
-Mata Ricardo. La Protección Penal de datos como
tutela de la Intimidad de las personas. . En Derecho Informático, nº VI MONTEVIDEO 2006 FCU.
PAGS 291 y siguientes.
-Rodotà, Stefano. Democracia y Protección de Datos en Cuaderno de Derecho Publico 19-20 Mayo
– Diciembre 2003 INAP
-Rubí Navarrete, Jesús. Tratamiento de datos en
el sector de telecomunicaciones. Cuaderno de
Derecho Público 19-20 Mayo – Diciembre 2003
INAP pags 335 y sig.
-Seguridad y Datos Personales. Agencia de
Pro-tección de Datos de la Comunidad de Madrid,
edición Octubre de 2009
-Viega, María José. Privacidad & Espionaje en Internet. En Derecho Informático, nº VI MONTEVIDEO 2006 FCU.PAGS 237 y siguientes.
PAGINAS WEB CONSULTADAS.
http://presidencia.gub.uy
http://parlamento.gub.uy
http://www.antel.com.uy
http://www.movistar.com.uy
http://www.claro.com.uy/portal/uy/pc/personas/
http://www.digitro.com.br/pt/
http://noticias.juridicas.com/
http://www.te.gob.mx
http://iblawg.cl
http://privacyconference2012.org
http://www.agesic.gub.uy
http://www.boe.es
http://www.oas.org
12
http://www.elpais.com.uy/
http://rollingstone.uol.com.br
http://columnista.montevideo.com.uy
http://www.espectador.com
http://radiomercosur.com
http://tecno.americaeconomia/noticias/conozca-elguardian-el-prism-uruguayo
2.2 Las fuerzas y cuerpos de seguridad
del estado en las redes sociales.
Lydia López Aragón
Abogada. Asociada a la APEP.
Tras la promulgación de la Ley 11/2007, de 22 de
junio, de acceso electrónico de los ciudadanos a
los Servicios Públicos, son muchas las entidades
públicas que están implementando métodos para
relacionarse con sus ciudadanos a través de Internet, siendo las redes sociales en concreto, un canal donde se están posicionando un gran número
de ellas.
Las redes sociales se han incorporado a nuestro
día a día y constituyen un fenómeno social, tecnológico, político y económico que ha modificado la
forma en la que nos comunicamos.
El uso de las redes sociales se está generalizando
entre las administraciones públicas como fuente
de innovación y como herramienta que les ayude a
mejorar su relación con la ciudadanía.
Actualmente estamos inmersos en la llamada Web
2.0., cuyas principales características son: cercanía,
interacción, participación, intercambio y colaboración de los usuarios a través de los diversos servicios que ésta ofrece (redes sociales, blogs, etc.)
Las redes sociales por tanto, forman parte de la
Web 2.0. y son un claro ejemplo de cómo los usuarios pueden interactuar en la red.
Si bien son muchas las Administraciones Públicas
que tienen perfiles institucionales en las diferentes
redes sociales que existen, no todas ellas cumplen
con las características de la Web 2.0. cuando las
utilizan, no favoreciendo con ello la interacción de
los ciudadanos-usuarios (ponen límites a la participación de éstos, comparten escasa información
Sin embargo, sí hay una parte muy específica de
la Administración Pública, que utiliza las redes sociales de manera muy eficaz, poniéndose al mismo
nivel del ciudadano, favoreciendo la interacción entre ambos.
Se trata de las Fuerzas y Cuerpos de Seguridad del
Estado y más concretamente de la Guardia Civil y
el Cuerpo Nacional de Policía que, como entidades
públicas al servicio de la seguridad y la protección
de los ciudadanos, están cerca de los mismos también en las redes sociales.
Ambos cuerpos tienen creados perfiles institucionales en diversas redes sociales (Twitter, Facebook, Tuenti, etc.). De hecho, el Twitter oficial de
la Policía Nacional es la institución líder en España
con más de 590.000 seguidores (número que sigue
aumentando día a día) y es el segundo cuerpo de
seguridad más seguido en el mundo, solo superado por el estadounidense FBI.
Estos canales de comunicación social, son muy
adecuados para interactuar con los ciudadanos y
cumplir con sus objetivos de ser útiles y servir a la
ciudadanía en su seguridad, de forma preventiva y
reactiva y de manera casi inmediata. Y para ello,
para ser cercanos y llegar a todos los ciudadanos,
los profesionales que están detrás, utilizan las redes sociales empleando un lenguaje claro, directo
y coloquial alejándose de datos técnicos. De este
modo, todos los internautas pueden beneficiarse
de sus servicios.
Principalmente los usos que ambos Cuerpos de
Seguridad del Estado hacen de las redes sociales
son los siguientes:
1.- Como medio de difusión de noticias o información útil para los ciudadanos. Utilizar las redes sociales como canal de información es el principal uso que se hace de ellas, puesto que se ve
favorecido por la rapidez e inmediatez del medio, lo
que hace que el contenido llegue de forma instantánea a los ciudadanos y que éstos puedan incluso
hacerse eco mediante el uso de los “retweets”, “me
gusta”, etc.
Son frecuentes las publicaciones de noticias sobre detenciones o de campañas de concienciación
para la ciudadanía ante determinados delitos o
concienciando ante conductas peligrosas a evitar.
2.- Para dar a conocer los servicios que ofrecen
a los ciudadanos. Es habitual ver tweets o
comentarios en sus muros facilitando un número
de teléfono o vía a la que poder acudir ante
determinada situación sufrida o informando sobre
el estado de las carreteras en tiempo real.
3.- Promover la participación ciudadana. Son
muchas las detenciones y el esclarecimiento de delitos que se han logrado por parte de ambos Cuerpos de Seguridad gracias a la información y aportación facilitada por los ciudadanos. Por ello, en sus
diversas cuentas son habituales los llamamientos
a la ciudadanía solicitando información. Como
ejemplo claro, el Grupo de Delitos Telemáticos de
la Guardia Civil puso en marcha desde finales de
2010 la campaña de concienciación y colaboración
“Yo denuncio” para los usuarios de las redes sociales, bajo el lema: “entre todos haremos una red
más segura”. En ella, se informa sobre los delitos
que se cometen en la red y los usuarios pueden
facilitar a los agentes información sobre posibles
actos delictivos que detecten. Así con un simple
“tweet” o un mensaje en su Facebook denunciando un delito o alertando de un posible peligro, el
Grupo de Delitos Telemáticos de la Guardia Civil
se pondrá en marcha para esclarecer los hechos.
Y cualquiera de nosotros puede (y debe) colaborar
con ellos, y además de una manera muy sencilla
y rápida ya que desde Facebook o Twitter, tendremos enlace directo a su web para poder alertar de
posibles delitos o conductas sospechosas.
Otro ejemplo lo tenemos en la reciente campaña
de la Policía Nacional, la “Tweetredada de verano”,
donde a través de las redes sociales, se recuerda
a los veraneantes en las costas españolas que en
caso de detectar tráfico de droga en su entorno y “a
cualquier escala”, pueden informar de forma anónima para que la Unidad Antidroga de la Policía lo
investigue. Para ello únicamente hay que enviar un
correo a la dirección [email protected] sin necesidad de identificarse. Y prueba de la eficacia de
esta vía es que solo en esta cuenta la Policía ya ha
recibido más de 12.000 correos y se han efectuado
más de 300 detenciones por narcotráfico.
4.- Gracias a la rapidez de estos canales, sobre
todo cuando son utilizados desde dispositivos móviles, también se utilizan para la gestión de emergencias o catástrofes. Desgraciadamente tenemos como ejemplo más reciente el accidente de
tren en Santiago de Compostela ocurrido el pasado
24 de julio. Ese día y los posteriores, se utilizaron
las redes sociales de estos cuerpos de seguridad
como medio de aviso e información a los familiares
13
APEPINFORMA09
y muchas veces la información que comparten se
trata de mera “propaganda”), con lo que no se fomenta la crítica, el debate, las opiniones u aportaciones de los ciudadanos.
APEPINFORMA09
de las víctimas o para el llamamiento a la colaboración de los ciudadanos.
Queda patente pues, que la utilización por parte de
las Fuerzas y Cuerpos de Seguridad del Estado de
las redes sociales se ha convertido en uno de los
utensilios más potentes de comunicación de
éstos con los ciudadanos y viceversa. Así como
una herramienta muy útil, eficaz y rápida de
colaboración de los ciudadanos con los Cuerpos
y Fuerzas de Seguridad del Estado.
2.3 Privacidad y ‘APPS’, condenados a
entendersE.
Eduard Blasi. Abogado especialista en protección de datos. Asociado a la APEP
El mundo de la telefonía móvil ha evolucionado a pasos agigantados y ha revolucionado por
completo nuestra sociedad, especialmente desde
2007 con la llegada de los teléfonos inteligentes
o smartphones. A partir de este momento, varias
empresas tecnológicas apostaron fuerte por lo que
sería el negocio estrella del siglo XXI: el desarrollo
de aplicaciones para dispositivos inteligentes,
comúnmente conocidas como apps.
Durante este tiempo, la demanda de apps ha crecido de forma desmesurada y ello ha obligado a las
empresas a crear aplicaciones móviles sin cesar.
Los cierto es que, según datos disponibles, se suben a Internet de forma diaria unas 1600 nuevas
aplicaciones y el usuario medio suele descargarse
alrededor de 37 aplicaciones en su dispositivo.
En Internet existen aplicaciones para todos los
gustos, algunas ofrecen soluciones a vida personal
y profesional, otras en cambio, están orientadas al
ocio y a la diversión. Sin embargo, la mayoría de
éstas coincide en el hecho de que, en mayor o menor medida, tratan datos de carácter personal.
El tratamiento de ciertos datos personales por parte de las apps puede parecer lógico en un principio
ya que muchas de éstas los necesitan para gestionar el servicio que ofrecen, sin embargo, la realidad es la mayoría de las apps accede a más datos
de los estrictamente necesarios.
¿Realmente conocemos todos los datos que tratan
las aplicaciones que tenemos instaladas en nuestro dispositivo? Y, aún más, ¿Sabemos qué hacen exactamente estas aplicaciones con nuestros
datos? La respuesta es lamentablemente, no. En
este sentido, en diciembre de 2010, el prestigioso
14
periódico estadounidense The Wall Street Journal
publicó un polémico un artículo denominado “Qué
conocen los móviles” donde se puso de manifiesto
la gran cantidad de datos de carácter personales
que tratan las apps que descargan los usuarios en
sus dispositivos. A raíz de este artículo los usuarios
pudieron constatar que muchas apps trataban datos sin su conocimiento ni consentimiento. Un caso
particular fue el de la famosa –y aparentemente
inofensiva- aplicación Angry birds, que resultó ser
considerada una de las aplicaciones más peligrosas para la privacidad de los usuarios porque no
sólo trataba gran cantidad de datos personales,
sino que además, los cedía a terceras empresas.
Es importante saber que las aplicaciones móviles no
sólo acceden a los datos identificativos y de contacto que podemos aportar al inicio, durante la fase
de registro. Éstas a menudo acceden a datos tales
como la geolocalización, los contactos de nuestra
agenda, datos bancarios, historial de navegación,
etc.
Actualmente existe por tanto un riesgo importante
para la privacidad y la protección de datos de los
usuarios derivados principalmente por la falta de
transparencia y conocimiento de los tipos de
tratamientos que realizan las aplicaciones
móviles, combinado con falta de consentimiento
previo al tratamiento de de datos que realizan.
Todas las apps deberían contar con una política de
privacidad clara y fácilmente comprensible que permitiera que los usuarios conocieran, antes de instalarla, los datos a los que ésta accedería y el modo
en que los trataría, para poder decidir libremente si
les interesa o no instalarla en su dispositivo. Sin embargo, no es así. En 2012 se constató que tan solo
un 50% de las principales aplicaciones contaba con
una política de privacidad ello sin contar que muchas de estas políticas de privacidad no eran claras
y comprensibles para la mayoría de los usuarios.
Nos encontramos en un momento crucial donde el
usuario es vulnerable respecto de las aplicaciones
que instala. El problema de esto radica en las consecuencias que puede sufrir el usuario no sólo a nivel personal, por lo que respecta a su intimidad, sino
también a nivel profesional en lo relativo a la protección de datos y a la seguridad de la información.
Recientemente la Autoridad Catalana de Protección de Datos, en su Dictamen CNS 24/2013, alertó de la existencia de determinadas apps que no
cumplen estrictamente con la normativa de protección de datos y, por tanto, los profesionales deben
Así pues, en la medida en que existe, en determinados casos, una responsabilidad derivada del uso de
estas aplicaciones, el usuario se encuentra obligado
a conocer con detalle el tratamiento que estas realizan de los datos de su dispositivo y si cuentan con
las medidas de seguridad que exige la normativa.
En caso contrario se expone a ser sancionado por la
Autoridad de Protección de Datos competente.
La tendencia es que los dispositivos móviles cada
vez alberguen más datos personales y que las
apps a su vez traten más datos personales. Por
ello es imprescindible que la evolución de la tecnología, y en particular el ecosistema de las aplicaciones móviles, vaya de la mano de la privacidad y la
protección de datos.
Los desarrolladores de aplicaciones tienen un papel fundamental para conseguir mayor seguridad,
garantías y transparencia, sin embargo no se puede obviar el papel que juegan las otras partes que
participan en desarrollo, la distribución y la capacidad técnica de las aplicaciones. Estos son: los fabricantes de sistemas operativos y dispositivos, las
tiendas de aplicaciones y terceras partes como los
proveedores de análisis y las redes publicitarias.
Por tanto, ante esta situación, y teniendo en cuenta
que existe la posibilidad de que se apruebe la propuesta de Reglamento General de Protección de
Datos -que a su vez exigiría mayor rigor en cuanto
al tratamiento de los datos por parte de las apps -,
los desarrolladores y demás partes integrantes en
el proceso de creación y distribución, deben implementar cuanto antes los recursos necesarios para
incrementar la privacidad y la protección de datos,
y de este modo ofrecer suficientes garantías de seguridad y confianza a sus usuarios.
2.4 La Certificación APEP va madurando.
Eduard Chaveli Donet. Miembro de la Junta Directiva de
APEP. Responsable de certificaciones. Socio Director de
GESDATOS @eduardchaveli
1. Introducción
La certificación APEP va madurando. Son más de
cuatro los años los que ya tiene, lo que en términos
de “edad” de una certificación es haber pasado ya
la adolescencia y empezar a plantearse los cam-
bios lógicos que la madurez exige.
Durante estos años se han consolidado las dos
vías existentes para su obtención: Tanto la vía ordinaria del examen como la vía extraordinaria de
apadrinamiento. Y aunque se van a mantener las
vías, a partir de Enero de 2014 van a producirse
ciertos cambios que es importante explicar. Los explicaremos en este artículo en el que informamos
de las modalidades existentes, vías de obtención,
requisitos, trámites y en general la información necesaria para poder solicitarlas.
Antes de ello creo importante hacer hincapié en las
certificaciones como elemento que puede ayudar
en una materia como la protección de datos - cuyo
ejercicio no está regulado y sometida en ocasiones
a lamentables prácticas de piratería - a mitigar los
duros efectos que sobre los profesionales válidos
que hay en el sector suponen tales prácticas. Es
buena noticia que poco a poco el sector público
haya valorado ya nuestra certificación en pliegos y
que también las empresas la tengan en cuenta en
procesos de selección y que los propios profesionales empiecen a verla como un elemento diferenciador de la competencia.
2. Clases de Certificación: Especialidades
Es importante empezar explicando que todas las
certificaciones ACP contemplan un tronco común
de conocimientos obtenidos con el examen o acreditados vía apadrinamiento (según el caso). Con
ello se consigue un certificado de conocimientos
generales sin necesidad de experiencia previa.
Esta certificación base es la ACP F (fundamentos).
Se trata de una nueva certificación que se introduce. A partir de estos conocimientos básicos se puede obtener la correspondiente especialidad profesional - acreditando experiencia - de tal forma que
el que obtenga la certificación profesional adquiere
un plus sobre la certificación base o fundamentos
(ACP F). No obstante, si alguien obtiene la certificación profesional especializada no dispondrá
además de la certificación fundamentos (ACP F)
sino que esta queda subsumida en aquellas que
son “superiores”.
Las certificaciones profesionales ACP especializadas existentes son las siguientes:
• (A) Auditor: Dirigida a aquellos que llevan a cabo
su ámbito de actuación como auditores en privacidad.
• (C) Consultor: Dirigida a consultores, asesores
en privacidad, gestores o responsables corpora15
APEPINFORMA09
ser cuidadosos a la hora de elegir las aplicaciones
que utilizan ya que les corresponde un grado de
responsabilidad específico respecto del tratamiento de datos corporativos.
APEPINFORMA09
tivos en privacidad (DPO). No se trata de que el
que tenga esta certificación disponga ya actualmente de una certificación como DPO pero si que
esta será la base para la futura certificación como
DPO que en un futuro se desarrolle y pueda ser
reconocida “oficialmente”.
• (RS) Responsable de Seguridad: Dirigida a responsables de seguridad
A su vez dentro de cada una de ellas se diferencian
dos perfiles distintos:
• J (Jurídico): Dirigida a abogados y demás profesionales con perfil Jurídico
• T (Técnico): Dirigida a profesionales con perfil
Técnico y Organizativo
Obviamente hay consultores que realizan tareas
de ambos perfiles pero lo cierto es que la titulación
base y muchas veces la experiencia casi siempre
dan cuenta de un perfil más orientado hacia una de
ambas “partes”.
pués se expondrá) son cifras orientativas puesto
que hay que tener en cuenta diferentes factores
como por ejemplo el alcance, complejidad, duración, rol/es desempeñado/s etc.. en los proyectos.
Por ejemplo no puede ser lo mismo haber realizado 20 proyectos de micropymes que de otros clientes más “grandes”. Tampoco es lo mismo según el
sector de actividad o tratamiento de datos que realicen dichas organizaciones que pueden ser más
o menos complejas. Y desde luego se valora que
se demuestre en la experiencia una variedad en
cuanto a la tipología de los clientes que se aportan.
Por poner un ejemplo: Alguien que aporta 100 proyectos todos de farmacias (por citar un ejemplo) no
acredita ese requisito de experiencia en la materia
pues no conoce más que tratamiento sectoriales
no disponiendo una visión amplia de la materia
para obtener la certificación como consultor o auditor. Obviamente la certificación como responsable
de seguridad por su definición al ejercer un papel
en un organización concreta no esta sometida a
esta matización anterior.
3. Vías de obtención
B) Vía Grandfathering (apadrinamiento)
Una vez indicadas las certificaciones existentes
vamos a intentar explicar las vías para la obtención de las mismas:
Esta vía consiste en la acreditación de conocimientos y experiencia, sin necesidad de examen.
A) Vía examen.
Esta vía, que es la ordinaria, consiste en la realización de un examen en el que hay una serie de preguntas tipo test (actualmente son 100 preguntas
y en las nuevas ediciones del examen a partir de
Enero de 2014 serán 150), de las que es necesario
superar el 75% y no restan los errores; Asimismo
hay que realizar dos ejercicios prácticos a desarrollar: uno técnico-organizativo y otro jurídico.
El temario del examen se ha revisado de cara a las
ediciones que se realizarán a partir del 1 de Enero
de 2014, habiéndose completado y actualizado.
Es importante indicar que el examen lo que permite
es obtener la certificación ACP básica, lo que en
el nuevo modelo supondrá disponer de la certificación ACP F (fundamentos). A partir de ahí será la
acreditación de experiencia (a efectos orientativos
aproximadamente 3 años de experiencia y 20 proyectos cuando se trate de consultores y auditores)
la que determine que se pueda conceder alguna
de las certificaciones específicas o especializadas
que hemos comentado. Es importante también resaltar que el número de proyectos exigidos (tanto en el caso de experiencia exigible en la vía de
examen como en la de apadrinamiento que des16
Por ello esta vía refuerza los requisitos exigidos,
siendo más exigente. A partir de Enero de 2014 se
exigirá para obtener la certificación por esta vía (no
por vía de examen) disponer de formación universitaria que habrá de ser:
• Bien en materias relacionadas; Es decir referirse
a titulaciones que habiliten conocimientos adecuados en el ámbito del Derecho y/o informática.
• O bien formación Universitaria en otra titulación
que no sea de dicho ámbito pero complementada con un curso de especialización, postgrado o
Máster especializado en la materia.
En la base de la certificación por esta vía está la
experiencia laboral o profesional (diferente según
la certificación a la que concurra). Para obtener la
certificación por esta vía se exige haber participado en, al menos, 40 proyectos relacionados con la
protección de datos o bien acreditar una experiencia mínima de 5 años. En ambos casos ejerciendo
un papel relevante (claramente expuesto en la solicitud) en el perfil que se solicita.
El “número de 40 proyectos” es orientativo, respecto de los mismos y para determinar su “suficiencia”
se tendrá en cuenta el alcance, complejidad, duración, rol/es desempeñado/s, etc… Este “número
de proyectos” no se aplica en relación a profesio-
También hay que tener en cuenta que se acepta
la convalidación de 5 proyectos o 1 año de experiencia (máximo un total de 10 proyectos/ 2 años)
si se dispone de un máster en la materia o de certificaciones, como pueden ser la certificación CISA
(perfil auditor), CISM (perfil consultor), certificación
IAPP, etc.
Cumplido estos requisitos mínimos se valorarán
otros elementos y en función de la concurrencia de
los mismos y tras la puntuación de todos ellos se
concederá o no la misma. Los aspectos a valorar
son:
• Formación. Se valorará especialmente la formación específica a nivel de máster en la materia,
cursos de postgrado, otros cursos, seminarios…
• Actividad docente relacionada con la materia,
incluye participación como ponente en conferencias y actividades..
• Actividad investigadora y publicaciones relevantes en temas de privacidad.
• Disponer de otras certificaciones, en vigor, en
materias relacionadas u organizaciones internacionales. Por ejemplo: CISA, CISM, IAPP, ISO
27001, Lead Auditor por IRCA o BSI, etc.
d) Si lo superan rellenan un impreso para justificar
y acreditar experiencia.
e) La solicitud acreditativa de experiencia es analizada por los certificadores
f) Se puede conceder o no. Si se ha superado el
examen y se dispone de la experiencia requerida
se concede. Si se ha superado el examen pero no
se dispone de la experiencia se conserva la nota
del examen durante un máximo de 3 años hasta
que se cumpla con la experiencia exigida.
2. Vía apadrinamiento
Se podrán solicitar certificaciones por esta vía sin
limitaciones en el tiempo; es decir: A diferencia del
examen que se desarrolla en fechas concretas la
certificación vía apadrinamiento se puede solicitar
en cualquier momento.
Los trámites (resumidamente) son los siguientes:
a) Se realiza el pago de la tasa y se remite la solicitud de formulario de apadrinamiento por parte del
interesado juntamente con el justificante de pago a
[email protected]
b) El secretario del comité de certificaciones designa de entre el comité de certificadores los examinadores de la solicitud para el caso concreto.
c) Se estudia la solicitud, se solicitan (en su caso)
datos complementarios, se realizan (en su caso)
comprobaciones, y se resuelve.
d) Es concedida o no si se dan los requisitos.
Es importante destacar que las certificaciones para
su obtención (por cualquiera de las dos vías) requieren además de los anteriores requisitos:
1. Adherirse al Código Ético de APEP.
2. Adherirse al proceso de formación continua.
4. Tramitación para la obtención
La forma de tramitar las solicitudes de certificación
es diferente según cual sea la vía escogida:
1. Vía examen
a) Se publica la convocatoria de fecha de examen
a través de la web y también se remiten circulares
a los asociados. Hasta ahora ha habido una convocatoria anual pero la idea es que a partir de 2014
haya dos convocatorias: Una antes del verano y
otra después.
b) Los interesados se inscriben y pagan la cuota.
c) Realizan el examen.
c) Es corregido y calificado.
3. Y cumplir con los estándares que se promulguen, en su caso, aspecto que aún no se ha desarrollado.
Si se cumple todo lo anterior se entrega certificado
acreditativo.
5. Mantenimiento
Las certificaciones tienen una validez de 2 años
siendo necesaria para su renovación la acreditación de conocimientos vía aportación de documentación acreditativa de formación permanente (entre ellas las actividades programadas al efecto por
APEP) y continuación en la actividad.
17
APEPINFORMA09
nales que por el desempeño de su puesto de trabajo puedan acreditar su experiencia de otra forma,
como por ejemplo, funciones exclusivas de responsable de seguridad, o personal que trabaje en las
Autoridades de control (Agencias de protección de
datos). En estos casos se valorará cada situación
concreta. De la misma manera pueden existir otras
formas de acreditar los conocimientos en la materia que se pueden estudiar caso por caso atendiendo a sus particularidades.
APEPINFORMA09
6. Certificadores y Comité Asesor
Es importante resaltar que la reciente revisión de la
certificación ha supuesto un esfuerzo importante
por su profesionalización y para garantizar la independencia.
Ello ha supuesto crear dos órganos:
6.2.1. Comité de certificaciones
El comité de certificaciones es el órgano encargado de la coordinación, y dinamización de los aspectos operativos de la certificación.
Sus funciones son:
1. Recibir las peticiones y comprobar que cumplen
los requisitos de participación.
2. Seleccionar a los certificadores entre los candidatos que se presenten al concurso público
Sus miembros pueden ser integrantes de la Junta
Directiva y asociados. Tienen garantizada la plena
independencia y no concurrencia, siendo reconocidos como expertos
6.2.2. Certificadores
Se trata de un grupo plural de profesionales independientes (que no pueden ser miembros de
la Junta), que disponen de una formación y valoración profesional igual o superior a la persona a
certificar, siendo representativas de los diferentes
candidatos y con capacidad para evaluar.
Pueden ser recusados por la persona candidata.
didata ha pedido la recusación de alguno de los
certificadores.
7. Importes
Los precios para obtener la certificación son los
siguientes (comunes a ambas vías):
• Asociados APEP *: 350€ (IVA no incluido)
• No asociados:
450€ (IVA no incluido)
* APEP, tanto JÚNIOR como ASOCIADO, o asociaciones con las que se ha celebrado a acuerdo
en la materia.
• En el caso de que no se supere el proceso de
APADRINAMIENTO y se recomiende la vía ordinaria de EXAMEN esta tendrá un descuento del 75%
en la cuota.
8. Información y contacto
La información de la certificación ACP de APEP se
puede descargar en www.apep.es/acp
Si tienes dudas puedes remitirlas a certificaciones@
apep.es
2.5 Videovigilancia ¿pública o privada?
José Manuel Mulero, María Ayarra, Inma Montes, Javier Munguia y Montserrat Obach
(DPOe Grupo de Trabajo)
6.2.3. Consejo Asesor
1. Antecedentes.
La certificación ACP de APEP dispone de un Consejo Asesor formado por personalidades, profesionales, profesores e investigadores de reconocido
prestigio.
Hace unos días comentando situaciones cotidianas de los sistemas de videovigilancia con un amigo policía, me comentaba que en ocasiones ellos
utilizaban las grabaciones que los centros comerciales realizaban sobre sus “parking” para resolver
atestados de tráfico e incidentes de seguridad,
también es habitual que reclamen las grabaciones
de la propia administración de la que dependen
para solucionar o investigar cuestiones de tráfico,
robos o hurtos frente a los edificios municipales.
Su funciones son:
1. Asesorar en la definición y mejora continua de la
configuración de la certificación.
2. Trabajar en :
a) La revisión de preguntas.
b) La impugnaciones de preguntas.
3. Asesorar en cambios de temario y materiales.
4. Dirimir las situaciones de recusación de miembros del Comité de Certificación por alguna persona candidata.
5. Resolver las situaciones en que la persona can18
Al valorar detenidamente la casuística que nos
comentó, cabe plantearse hasta qué punto esta
actuación se encuentra amparada por la legalidad
vigente, nos surgieron una serie de preguntas de
manera casi inmediata del tipo ¿qué atribuciones
sobre tráfico y/o seguridad ciudadana tienen los
centros comerciales? Se supone que el control del
Y de igual manera parecía un hecho aceptado que
la videovigilancia en la vía pública quedaba reservada a las Fuerzas y Cuerpos de Seguridad del
Estado. De hecho todos conocemos procedimientos sancionadores de la AEPD a conocidos grandes almacenes que invadían manifiestamente la
vía pública, pero en nuestro caso manteníamos la
duda ¿es ese parking vía pública?
2. Base jurídica.
Puesto que la captación de imágenes afecta como
mínimo al derecho a la propia imagen y al derecho fundamental a la protección de datos resulta
necesario que estos tratamientos encuentren su
amparo en una norma con rango de Ley o en el
consentimiento (STC 292/2000). Por ello, en primer lugar procedimos a buscar normativa específica que regula el aparcamiento y la encontramos
en la Ley 40/2002, de 14 de noviembre, reguladora
del contrato de aparcamiento de vehículos. La Exposición de Motivos de la norma explica que se delimitarán los tipos de aparcamiento objeto de la Ley
e igualmente la responsabilidad del titular en orden
a la restitución del vehículo y de sus accesorios
u otros efectos, en términos que vienen a recoger
y resolver los criterios y dudas planteadas por la
jurisprudencia.
En primer lugar, el artículo primero delimita el ámbito de aplicación precisando sobre qué casos concretos se aplicará esta Ley
«1. Esta Ley establece el régimen jurídico aplicable a los aparcamientos en los que una persona
cede, como actividad mercantil, un espacio en un
local o recinto del que es titular para el estacionamiento de vehículos de motor, con los deberes de
vigilancia y custodia durante el tiempo de ocupación, a cambio de un precio determinado en función del tiempo real de prestación del servicio.
2. A los efectos de esta Ley, se consideran como
modalidades de la prestación de este servicio:
a) Estacionamiento con reserva de plaza en el que
el titular del aparcamiento se obliga a mantener durante todo el período de tiempo pactado una plaza
de aparcamiento a disposición plena del usuario.
b) Estacionamiento rotatorio, en el que el titular
del aparcamiento se obliga a facilitar una plaza de
aparcamiento por un periodo de tiempo variable,
no prefijado».
En esta modalidad de estacionamiento rotatorio el
precio se pactará por minuto de estacionamiento,
sin posibilidad de redondeos a unidades de tiempo
no efectivamente consumidas o utilizadas.
También pueden extraerse criterios de las exclusiones contenidas en la Ley que nos ayudaran a
comprender las diferencias entre espacio privado
y el ámbito público
Quedan excluidos del ámbito de aplicación de esta
Ley:
«a) Los estacionamientos en las denominadas zonas de estacionamiento regulado o en la vía pública, tanto si exigen el pago de tasas como si éstas
no se devengaren.
b) Los estacionamientos no retribuidos directa o
indirectamente.
c) Cualesquiera otros que no reúnan los requisitos
señalados en el artículo 1».
Por tanto, puede concluirse que los parking de los
centros comerciales y grandes superficies, que están abiertos al público, que no tienen restricción de
acceso y por los que no se cobra, no están regulados por esta normativa. Esto nos da una primera
pista que se concreta en que el centro comercial
no tiene obligación de velar por la seguridad de los
vehículos allí aparcados. Por lo tanto, si la finalidad de la videovigilancia era esa seguridad, parece
que queda reservada a las Fuerzas y Cuerpos de
Seguridad del Estado.
Para despejar por completo las dudas que, el supuesto de hecho que analizamos plantea, es necesario hacerse la pregunta: ¿qué consideración
tiene esta zona de aparcamiento?, ¿es pública o
privada?
En primer lugar, parece evidente que deberíamos
saber cuál es el significado ordinario del concepto
de vía pública y como lo definiríamos utilizando el
diccionario de la Real Academia de la Lengua Española. Éste la define como «calle, plaza, camino
u otro sitio por donde transita o circula el público».
Sin embargo, no nos basta con ello, somos ante
todo internautas. Así que buscamos en Google
para tener más opciones y encontramos a modo
de ejemplo:
«Vía pública es todo camino o vía, público o privado de uso público, abierto al tráfico en general que
19
APEPINFORMA09
tráfico se realiza sobre vía pública y entonces la
pregunta fue ¿ese parking, es vía pública o no?
Hasta la fecha parecía claro que un responsable
privado podía aplicar sistemas de videovigilancia
en su propiedad, para finalidades como p.ej. el
control de accesos, amén de otras finalidades que
obviamos y que serían tema para otro artículo.
APEPINFORMA09
puede ser utilizado para marchar por él, observando siempre las normas establecidas en la Ley de
Tráfico y Reglamento General de Circulación».
En conclusión por vía pública, entendemos el sistema integrado por carreteras, caminos, calles,
sendas, plazas, parques, etc., de dominio común y
público, necesario para la circulación de peatones,
conductores y vehículos.
Sin embargo, el simple recurso al significado ordinario del concepto de vía pública no aclara del todo
la pregunta. Al tratarse en el fondo de una cuestión
directamente relacionada con el tráfico y la seguridad vial es necesario acudir a las normas y buscamos en el Real Decreto Legislativo 339/1990, de 2
de marzo, por el que se aprueba el Texto Articulado
de la Ley sobre Tráfico, Circulación de Vehículos a
Motor y Seguridad Vial. De nuevo, nos apoyamos
en el ámbito de aplicación de la norma:
«Artículo 2 Ámbito de aplicación
Los preceptos de esta Ley serán aplicables en todo
el territorio nacional y obligarán a los titulares y
usuarios de las vías y terrenos públicos aptos para
la circulación, tanto urbanos como interurbanos, a
los de las vías y terrenos que, sin tener tal aptitud
sean de uso común y, en defecto de otras normas,
a los titulares de las vías y terrenos privados que
sean utilizados por una colectividad indeterminada
de usuarios».
Esta definición nos aporta muchas ideas de utilidad para resolver las cuestiones planteadas. La
primera, y paradójica conclusión consiste en que
efectivamente el parking del centro comercial no
es tan privado a efectos legales de transito como
pudiera parecer y, de hecho, cabe perfectamente
en las definiciones de vía pública.
3. La clasificación de las vías.
A partir de lo visto hasta aquí vamos a definir las
vías atendiendo al dominio y el uso:
1. De dominio y uso privado. Por ejemplo calles interiores de una urbanización cerrada.
2. De dominio privado y uso público. Por ejemplo
calles interiores de una urbanización abierta al
público con comercios accesibles a terceros ajenos a la propiedad de la urbanización.
3.De dominio público y uso público. Por ejemplo
una zona verde, o la mayor parte de las “calles”.
4. De dominio público y uso privado. Por ejemplo
una concesión.
20
Puede concluirse que nuestro caso se corresponde claramente es el 2º. Sin embargo, puesto
que nuestra tarea se relaciona directamente con
la aplicación de la Ley Orgánica 15/1999, de 13
de diciembre, de protección de datos de carácter
personal, y en lo que aquí procede la Instrucción
1/2006, no es ocioso plantearse qué opina al respecto la Agencia Española de Protección de Datos. Por ello, aunque se iba clarificando la definición de estos parking una colega me recordaba
que habíamos tratado esta casuística en un curso
de especialista universitario en protección de datos y privacidad que acabábamos de concluir en
la Universidad de Murcia y el específico de videovigilancia que APEP ha desarrollado este verano.
En este sentido, nos sugirió considerar el Procedimiento Nº PS/00166/2012 y RESOLUCIÓN:
R/02340/2012 indispensable para concluir esta
modesta investigación.
En ella se señala de modo muy gráfico cómo debe
tratarse esta cuestión de “lugares públicos” ante
una denuncia de dirección General de la Guardia
Civil contra Renfe Operadora por posibles infracciones a la normativa de protección de datos en
materia de videovigilancia. La Agencia, en sus fundamentos de derecho, en especial en el IV, da mayor trascendencia al elemento de accesibilidad que
a la naturaleza jurídica del bien.
Si lo analizáis, la AEPD es del todo contundente
al considerar el parking abierto sin restricción de
acceso ni contraprestación económica por su uso
como vía pública y sanciona a un responsable privado de videovigilancia por grabar en lo que considera vía pública. En efecto, señala la Agencia
que lo relevante a efectos de dilucidar el alcance
que se debe dar al concepto “lugares públicos” es
el elemento de accesibilidad por encima de la naturaleza jurídica de un bien, de tal manera que el
acceso libre y sin restricciones a un parking, aún
de propiedad de ADIF, determina su consideración
como espacio público a estos efectos.
Con este planteamiento de la Agencia Española
de Protección de Datos parecía aclarado el tema
inicial.
Sin embargo, en estas últimas semanas hemos
visto en los telediarios como en el trascurso de una
investigación policial unas grabaciones de responsables privados servían de prueba para llegar a imputar a una persona por flagrantes contradicciones
en sus declaraciones judiciales, ya habréis deducido todos que se trata del asesinato de la niña en
Santiago. También es conocida por todos la noticia
Ahora nos seguimos preguntando, ¿porqué en
unos casos se acepta y en otros no, una grabación
sobre la vía pública realizada por un sistema de
videovigilancia privado, como prueba? ¿realmente las Fuerzas y Cuerpos de Seguridad del Estado
conocen que el origen de esa grabación es en principio contrario a la norma? (en relación a la anulación de la prueba de las imágenes del asesinato
en vía pública captadas por responsable privado),
si no es este un caso de conflicto entre el derecho
fundamental a la protección de datos (del agresor)
y el derecho a la tutela judicial efectiva (de la víctima).
Para estas cuestiones os emplazo a una nueva entrega en la que necesitaré ayuda, consejo y pistas
a seguir para entre todos plantear una opinión fundada.
2.6 La Comisión de menores de la APEP.
Ramón Arnó Torrades. Abogado. Responsable jurídico
en Sagaris. Coordinador de la comisión de menores de la
APEP.
1. Presentación.
La Asociación Profesional Española de Privacidad
ha prestado desde su inicio, una especial atención
al tratamiento de los datos personales de los menores.
La protección de la infancia y de la juventud, en lo
que se refiere al tratamiento de sus datos personales constituye una de las prioridades de la APEP,
tanto desde el punto de vista de la responsabilidad
social corporativa de la organización, como desde
la perspectiva del desempeño cotidiano de los profesionales de la privacidad.
Por ello, de conformidad con el artículo 9 de los Estatutos de la asociación, se creó el día 15 de mayo
de 2012 la Comisión de Menores de la APEP. En
ella se integran en la actualidad 15 profesionales
asociadas y asociadas en APEP.
La privacidad de los menores constituye no sólo un
bien jurídico esencial para preservar la dignidad, la
seguridad y la indemnidad de los menores. Supone
un elemento capital para un adecuado desarrollo
de su personalidad.
El papel de los profesionales de la APEP en este
ámbito es crucial para asegurar el adecuado cumplimiento de los deberes legales de las organizaciones que, como colegios, asociaciones, proveedores de servicios relacionados con la educación y
el ocio etc., acogen, integran o se relacionan con
nuestros niños y niñas.
Para ello se requiere de profesionales formados
que aseguren que las organizaciones que tratan
información personal lo hagan de forma responsable, conociendo los límites y las garantías legales.
Pero nuestra aportación debe ir más allá. La educación y formación de menores, padres y formadores debe contribuir a que nuestros hijos e hijas
aprendan a controlar su información personal y a
preservar su privacidad desde la libertad. Además,
deben ser capaces de aprovechar las oportunidades que les ofrece el mundo digital, sin miedo pero
sin temeridad.
Como asociación profesional que reúne a los profesionales formados en privacidad en España, también somos conscientes de las dificultades que tienen los padres para decidir cuál es la mejor manera
de actuar ante los múltiples tratamientos de datos
de sus hijos que se les presentan diariamente.
Por ello, la comisión de menores de la APEP no
sólo tiene entre sus objetivos el de apoyar activamente las iniciativas formativas que se llevan
a cabo en este entorno, sino que a través de sus
miembros, pretende definir y compartir pautas de
protección efectivas que permitan a las familias y
a las escuelas familiarizarse con el ejercicio de los
derechos a la intimidad, el derecho a la propia imagen y el derecho fundamental a la protección de
datos.
1.2. Objetivos de la comisión.
Los objetivos de la comisión son los siguientes:
1. Desarrollar tareas de observatorio sobre la situación actual del tratamiento de los datos personales
de los menores de edad.
2. Estimular la conciencia y fomentar el conocimiento de la normativa sobre protección de datos,
así como el espíritu crítico de los jóvenes en esta
materia.
3. Influir en los poderes públicos y organizaciones
públicas y privadas promoviendo los valores de
una educación en privacidad.
Destaca en esta línea la publicación de artículos en
la web de APEP y en la revista trimestral de APEP,
21
APEPINFORMA09
que llegaba hace unos meses y que, para sorpresa
de muchos, anulaba como prueba en un asesinato
en la vía pública la grabación que un responsable
privado efectuaba.
APEPINFORMA09
así como la posibilidad que se está valorando de
crear un repositorio de preguntas y respuestas
(FAQ).
4. Impulsar el desarrollo de actividades de todo tipo
en relación con su ámbito de actuación.
•
•
•
•
Suarez Pliego, Maria
Telechea Dayuto, Silvia.
Terol Pérez, Jesús.
Zarzo Andrés, Antoni.
1.4.- Las actividades en marcha.
Los miembros de la comisión tienen interés en organizar y coordinar actividades formativas a nivel
local.
De entre los objetivos de la comisión, hay dos
que ya se han puesto en marcha:
1.3.- Composición de la comisión.
1.- Organizar una Jornada para el mes de noviembre de 2013.
El Coordinador es Ramon Arnó Torrades y los 15
miembros de la comisión son los siguientes asociados y asociadas por orden alfabético:
•
•
•
•
•
•
•
•
•
•
•
Arias Pou, María.
Arnó Torrades, Ramon.
De Gea Fernández, Teresa.
Flores Domínguez, Alicia.
González Calleja, David.
Martí Peiró, Inma.
Martínez Martínez, Ricard.
Montes Jiménez, Inma.
Obach Subirana, Monserrat.
Piña Pérez, Alicia.
Ribas Casademont, Cristina.
22
Bajo el título “como ejercer la patria potestad en
Internet” la APEP conjuntamente con la Fundación
Orange está organizando una jornada para el día
20 de noviembre de 2013 a celebrar en Madrid.
2.- Guía sobre menores y smartphones.
La otra propuesta es redactar y publicar una guía
para ayudar a afrontar las cuestiones legales que
los smartphones presentan con respecto a la protección de datos personales de los menores.
El comité de redacción está formado por las asociadas María Suarez, Cristina Ribas, Alicia Flores
y Silvia Telechea, y ya están trabajando en redacción de la misma, con la idea presentarla públicamente el día 18 de enero de 2013.
Jordi Saldaña
Abogado. Roca Junyent.
Miembro de la Junta Directiva de APEP.
STC Audiencia Nacional.
Sala de lo Contencioso-Administrativo,
28 de enero de 2013.
Sección 1ª.
Número de Recurso de
Casación: 454/2011.
ANTECEDENTES DE HECHO
La recurrente Federación de trabajadores de la enseñanza integrada en la confederación sindical de la
unión de trabajadores (FETE-UGT), interpuso recurso contencioso-administrativo contra la resolución
del Director de la Agencia Española de Datos de 17
de junio de 2011 que impone sanción por vulneración del artículo 6.1 de la Ley Orgánica 15/1999, de
13 de diciembre de protección de datos de carácter
personal (en adelante LOPD), tipificada como grave, de 3.000€, por el envío de un correo electrónico
por parte del representante de la sección sindical de
la Universidad Complutense de Madrid de la UGT
en el que se publicaban las cantidades correspondientes a gratificaciones extraordinarias obtenidas
por 8 trabajadores.
del centro de trabajo y ello está previsto en la LOLS
y en segundo lugar establece que la propia LOPD
prevé la cesión de datos personales correspondientes a gratificaciones por servicios extraordinarios y
que la Ley de Función Pública de la comunidad de
Madrid establece que la regulación complementaria
referida a gratificaciones por servicios extraordinarios será de conocimiento público.
Añade que en este caso, se trata de proporcionar
una información sobre un hecho que el sindicato
considera como irregular a los trabajadores de un
centro de trabajo.
FALLO
Se estima el presente recurso contencioso-administrativo, dando prevalencia al derecho de libertad
sindical sobre el de protección de datos.
STC Tribunal Constitucional
núm. 29/2013
de 11 de febrero.
Sala Primera.
Recurso de Amparo: 10522/2009
ANTECEDENTES DE HECHO
El abogado del estado en nombre de la AEPD, considera que se vulnera el derecho a la protección de
datos.
Recurso de amparo promovido por D. VGM contra
sentencia de 5 de mayo de 2009 de la sala de lo
social del TSJ de Andalucía por la que se desestimaba recurso de suplicación frente a sentencia de
5 de septiembre de 2009 del Juzgado de lo social
3 de Sevilla. En dicha sentencia se declaran justificadas tres sanciones de suspensión de empleo
y sueldo al demandante de amparo por demoras
considerables en la hora de entrada al trabajo durante el año 2006, que fueron conocidas mediante
grabaciones tomadas por cámaras de video-vigilancia (señaladas y autorizadas por la AEPD) en el
lugar de trabajo (Universidad de Sevilla).
Al tener que esclarecer cual de los dos derechos
fundamentales prevalece (libertad sindical o protección de datos), la Sala considera que en este caso
prevalece el derecho fundamental a la libertad sindical, por considerar en primer lugar que el ámbito
de difusión de la información era limitado al ámbito
Los motivos del recurso de amparo son varios de
entre los que destacan: la vulneración al derecho a
la protección de datos de carácter personal por la
utilización no consentida ni informada de las grabaciones para un fin desconocido por el afectado, de
control de su actividad laboral.
FUNDAMENTOS DE DERECHO
La actora fundamenta su pretensión por considerar
que las gratificaciones eran ilícitas y estaba ejerciendo el derecho fundamental a la libertad sindical
y que además establece que los datos que figuran
en el listado son públicos en virtud del II Convenio
Colectivo del personal de administración y del reglamento de Gobierno de la UCM.
23
APEPINFORMA09
3. Jurisprudencia.
APEPINFORMA09
FUNDAMENTOS DE DERECHO
La sentencia del TC deja de lado los motivos de
amparo menos el relacionado con el artículo 18.4
CE que protege el derecho a la protección de datos
de carácter personal, considerando que efectivamente este derecho se ha visto vulnerado. Para ello
se basa en la sentencia anterior del propio tribunal
(sentencia núm. 292/2000) en la que se establece
que el elemento caracterizador de este derecho es
el derecho del afectado a ser informado de quien
posee sus datos personales y con qué fin. Añade
que el derecho de información opera también cuando existe habilitación legal para recabar los datos
sin necesidad de consentimiento. Apunta también
el tribunal que las facultades empresariales están
limitadas por los derechos fundamentales y que por
tanto el interés privado empresarial en sancionar
infracciones, no justifica que se pueda sustraer la
información al interesado. En relación con la existencia de distintivos anunciando la instalación de
cámaras, la Sala establece que siendo el titular del
establecimiento en que se encuentran las cámaras,
la Universidad de Sevilla, y siendo ella quien utilizó
las grabaciones, la Universidad era responsable del
tratamiento de los datos y por tanto debería haber
cumplido con su obligación de informar.
FALLO
Se otorga amparo al demandante, declarando la nulidad de las sentencias dictadas en instancias anteriores y la resolución de la Universidad de Sevilla.
VOTO PARTICULAR:
Se centra en otra anterior sentencia del TC (STC
186/2000) en que el TC establecía que el poder de
dirección de los empresarios atribuye facultades
como la de adoptar medidas de seguridad que estime oportunas de vigilancia y control para verificar
el cumplimiento de las obligaciones laborales de
los trabajadores.
cha 19 de mayo de 2011 que establecía que el
derecho de acceso ejercitado por parte de la reclamante, había sido atendido correctamente por
parte del INSS.
La recurrente estimaba que tenía derecho a obtener información acerca de qué personas accedieron a sus datos personales y con qué finalidad
lo hicieron, y consideraba que el personal médico
que accedió a su historial clínico, lo hizo sin su consentimiento y por tanto fue un acceso ilegitimo e
inconsentido.
FUNDAMENTOS DE DERECHO
La Sala argumenta que, efectivamente el derecho
de acceso forma parte del contenido fundamental
del derecho fundamental a la protección de datos,
tal y como establece el TC en diversas sentencias,
y ello es en virtud de multitud de normas como la
LOPD, o la propia Constitución entre otras.
Sin embargo en el presente caso en que se trata
un acceso a datos por parte de personal médico
del INSS, se considera como un acceso legítimo
aunque no conste el consentimiento expreso del
afectado. Ello en virtud de la propia LOPD por una
parte que no será necesario el consentimiento para
la cesión de datos si la misma está prevista en una
ley, y por otra parte que podrán ser objeto de tratamiento los datos personales cuando e tratamiento resulte necesario para, entre otras funciones, la
gestión de servicios sanitarios.
En este caso el acceso está autorizado por la Ley
reguladora de la autonomía del paciente, los derechos y obligaciones en materia de información clínica; así como por la ley general de la seguridad
social. Ambas leyes permiten el acceso a datos
personales médicos por parte de personal sanitario
debidamente acreditado (el INSS comprobó la identidad del personal que tuvo acceso a los datos).
FALLO
Se desestima el recurso interpuesto por DªS.
STC Audiencia Nacional.
Sala de lo Contencioso-Administrativo
4 de marzo de 2013.
Sección 1ª. Número de Recurso de
Contencioso-administrativo: 443/2011.
ANTECEDENTES DE HECHO
Se interpuso recurso contencioso-administrativo
por Dª S. contra la resolución del Director de la
Agencia Española de Protección de Datos de fe24
STC Audiencia Nacional.
Sala de lo Contencioso-Administrativo,
11 de marzo de 2013.
Sección 1ª. Número de Recurso de
Contencioso-administrativo: 510/2011.
ANTECEDENTES DE HECHO
Se interpuso recurso contencioso-administrativo
por Dª S. contra la resolución del Director de la
FUNDAMENTOS DE DERECHO
La Sala argumenta que no se da la vulneración del
derecho ya que falta el elemento principal para que
una fotografía pueda considerarse como dato de
carácter personal, y es que se trate de una imagen
de persona identificable. En el presente supuesto
la fotografía que se publicó en facebook era tan
solo una imagen de 2 cm que además fue borrada
al cabo de 18 horas de haber aparecido publicada
en la página de facebook y por lo tanto resulta imposible determinar si la imagen constituye o no un
dato de carácter personal.
FUNDAMENTOS DE DERECHO
Existen 9 denunciantes que presentan sus respectivas denuncias ante la AEPD durante el año 2009,
alegando que se ha vulnerado el deber de secreto
por parte de la empresa al haber realizado, en función de los casos, múltiples llamadas tanto a los
denunciantes como a familiares o vecinos, haber
dejado mensajes en el contestador, haber enviado
faxes con nombre y apellido al centro de trabajo de
los denunciantes etc, en relación con el impago de
determinadas cuotas y aportando como pruebas,
en función de los casos, los faxes grabaciones de
llamadas y testigos de dichas actuaciones.
La recurrente alega que existe vulneración del principio de presunción de inocencia por considerar las
pruebas insuficientes, vulneración del principio de
confianza legitima y ausencia de culpabilidad al haber dictado la AEPD resoluciones previas de archivo en casos idénticos, vulneración del principio de
proporcionalidad y alude a la sentencia del TJUE
de 24 de noviembre de 2011.
STC Audiencia Nacional.
Sala de lo Contencioso-Administrativo,
14 de marzo de 2013.
Sección 1ª.
Número de Recurso de
Contencioso-administrativo: 394/2011.
Entiende la Sala que no ha quedado acreditado que
se hayan revelado datos a través de las llamadas
telefónicas, que corresponde a la AEPD acreditar en
cada caso que en las llamadas se revelaban datos
personales e informaciones sobre la morosidad de
los clientes y que el hecho por si solo de haber llamado a personas distintas de los denunciantes, no
se puede considerar infracción del deber de secreto. Tampoco entiende la Sala que se haya infringido
el deber de confidencialidad a través de los faxes
enviados a los centros de trabajo, puesto que nada
se dice en los mismos acerca de las deudas de los
clientes, apareciendo tan solo el nombre del destinatario y un número de teléfono de contacto.
ANTECEDENTES DE HECHO
FALLO
Se interpuso recurso contencioso-administrativo
por COFIDIS S.A. contra la resolución del Director
de la Agencia Española de Protección de Datos de
fecha 27 de abril de 2011 que acordó apercibir a
COFIDIS S.A. con relación a la infracción del artículo 10 de la LOPD tipificada como grave en el
artículo 44.3.g) de la citada Ley Orgánica. Se ha
producido dicha vulneración del deber de secreto
profesional por cuanto, tal y como se establece en
la resolución recurrida, se han producido dos clases de hechos: la reiteración por parte de COFIDIS
en efectuar llamadas telefónicas y envío de sms
con el objeto de gestionar el recobro de cuotas impagadas por los clientes y revelación de datos personales de clientes a terceros.
Se estima el recurso interpuesto por COFIDIS S.A.
dejando sin efecto la sanción impuesta.
FALLO
Se desestima el recurso interpuesto por DªS.
STC Audiencia Nacional.
Sala de lo Contencioso-Administrativo,
15 de marzo de 2013.
Sección 1ª.
Número de Recurso de Casación: 2/2011
ANTECEDENTES DE HECHO
La recurrente D. H, interpuso recurso contenciosoadministrativo contra la resolución del Director de
25
APEPINFORMA09
Agencia Española de Protección de Datos de fecha 27 de julio de 2011 en la que se establecía
que no había habido vulneración de derecho a la
protección de datos de carácter personal por tratamiento de datos sin consentimiento por parte de la
Confederación de organizaciones de empresarios
Salmantinos (CONFAES) que publicó una fotografía de la recurrente, en su página de facebook sin
su consentimiento.
APEPINFORMA09
la Agencia Española de Datos de 21 de septiembre
de 2011 que impone sanción en virtud del artículo 44.4.d) de la Ley Orgánica 15/1999, de 13 de
diciembre (en adelante LOPD) de protección de
datos de carácter personal, tipificada como muy
grave, de 600.000€ por un incumplimiento de la
obligación de inmovilización de un fichero de datos
acordada por el Director de la AEPD.
FUNDAMENTOS DE DERECHO
La parte actora fundamenta su pretensión en un
único motivo y es la vulneración del derecho fundamental de defensa en el procedimiento sancionador que imponía la obligación de inmovilizar el
fichero, ya que no se le había requerido previamente de manera personal, para que llevara a
cabo dicha actuación. Para el procedimiento sancionador en el que se requería la inmovilización del
fichero, solo se había requerido a una sociedad, de
la que el recurrente es socio y administrador único,
que tenía la explotación comercial del fichero en
cuestión, pero cuya responsabilidad seguía siendo
del socio y recurrente. Sin embargo, el recurrente
26
manifiesta haber tenido conocimiento de existencia
de la resolución del director de la AEPD por la que
se ordenaba a su sociedad, la inmovilización del fichero, aunque él no fuese parte del procedimiento.
La Sala cita jurisprudencia del TC que establece
que el derecho a un proceso justo está integrado
por el derecho a la defensa y la asistencia letrada, para todo tipo de procesos, incluyendo ámbito
administrativo sancionador y que la Administración
debe seguir un procedimiento en el que el expedientado tenga oportunidad de aportar y proponer
las pruebas que estime pertinentes y alegar lo que
a su derecho convenga.
Por tanto acaba estimando la Sala, que hubiese
sido necesario el requerimiento previo al responsable del tratamiento del fichero o encargado, es
decir el recurrente, antes de la imposición de la
sanción.
FALLO
Se estima el presente recurso contencioso-administrativo, considerando que ha habido vulneración
del artículo 24.2 de la Constitución.
Con el objeto de fomentar la participación de los asociados y dado que en el seno de la APEP existen
profesionales que pueden realizar interesantes aportaciones en la materia os reiteramos la invitación que
se realizó en su día para que podáis proponer temas sobre los que escribir un artículo para próximas
ediciones del boletín. Aquellos que estéis interesados deberéis remitirlos a [email protected].
27
APEPINFORMA09
¿QUIERES COLABORAR?
Descargar