APEP Informa número 6

Anuncio
06
MAYO 2012
En este número:
APEP Informa
EDITORIAL
PAGINA01
1. Editorial
PAGINA02
2. Estudios.
2.1. Hacia una Ley de Transparencia. 2.2. Videovigilancia en las Autoridades
de Control Autonómicas.
PAGINA12
3. Artículos.
3.1. El “interés legítimo”:
un balance de intereses
3.2. Protección de datos como reto
y oportunidad empresarial.
PAGINA15
4. Seguridad. Notificación de
incidentes de seguridad en la
transposición del paquete Telecom.
PAGINA18
5. Jurisprudencia e informes
PAGINA21
6. Crónica de eventos.
La protección de la vida privada
en un mundo conectado:
un marco europeo para la
protección de datos
PAGINA23
7. Entrevista a
Pablo Lucas Murillo de La Cueva
De nuevo la agenda legislativa constituye sin ningún género de dudas
el horizonte más inmediato y estratégico para los profesionales de la
protección de datos personales. En el plano nacional, la aparición de
un Proyecto de Ley de Transparencia, Acceso a la Información Pública
y Buen Gobierno y la trasposición de la Directiva “Telecom” define objetivos inmediatos.
En este sentido, aunque el objetivo del Proyecto no sea regular el derecho fundamental a la protección de datos es evidente que, con la
entrada en vigor de la norma, en muchos casos se van a producir
situaciones de conflicto que requerirán un asesoramiento experto y un
conocimiento profundo no sólo de la LOPD, sino de los aspectos del
Derecho público relacionados con esta materia.
Por otra parte, la regulación de las ya famosas “cookies” cuya precisión deja bastante que desear, ya desde el nivel europeo, planteará
retos de adaptación no siempre sencillos en un escenario en el que la
empresa acude cada vez más al mundo Internet como estrategia de
crecimiento y consolidación.
Por último, aunque en la trasposición aparecen deberes de seguridad
aplicables a los operadores de telecomunicaciones no es menos cierto
que la Propuesta de Reglamento presentada por la Comisión se prevé
su extensión a todos los sectores especialmente en lo que atañe a la
notificación de quiebras de seguridad. Precisamente esta propuesta
abre un horizonte a medio plazo para nuestra profesión y la define
como un elemento estratégico. Y ello no sólo por la necesidad de contratar un profesional para ciertas empresas o tratamientos, sino también porque obligaciones como la llamada “accountability” o las tareas
de “data protection by design” o “by default” no podrán desarrollarse sin
un asesoramiento experto.
En todos estos escenarios trabaja APEP ofreciendo opinión y conocimiento tanto a las autoridades nacionales como internacionales. En tal
sentido, la asistencia a la reunión celebrada en la sede de la Comisión
Europea Madrid con la vicepresidenta Viviane Reding, muestra un reconocimiento al trabajo de APEP y un espaldarazo al sector profesional
en España.
Sin embargo, todas estas novedades plantean un reto individual y colectivo. El cambio normativo no puede suceder a nuestras espaldas, no
podemos limitarnos a recibirlo como un destino ineludible e inevitable.
A través de APEP podemos dar nuestra opinión e influir en esta fase de
elaboración: y debemos hacerlo.
Pero además, en el medio plazo el mercado requerirá profesionales
formados y certificados. La formación, la adquisición de nuevas habilidades y competencias es nuestro mayor desafío, en el que ni podemos
ni debemos fallar.
1
APEPINFORMA06
NÚMERO
APEPINFORMA06
2. Estudios.
2.1 Hacia una Ley de Transparencia
Transparencia de la actividad pública.
Fco. Javier Sempere.
Esta primera parte de la futura ley, reconoce el derecho de acceso a la información, y de acuerdo a lo
fijado en el artículo 2 (“Ámbito de aplicación”), sólo
quedaría fuera la Casa del Rey (cuestión que ya ha
sido criticada en varios medios). No obstante, y relacionado con el citado precepto, no hubiese estado de más que expresamente el texto contemplase
la exigencia de que se hiciese público el nombre y
número de organismos públicos (incluyendo a las
sociedades anónimas) de las diferentes Administraciones públicas, que como muchos sabrán se
han utilizado en los últimos años para agilizar la
“contratación”, ya sea de personal, ya sea de los tipos de contratos que contempla el Texto Refundido
de la Ley de Contratos.
Asesor de Apoyo Técnico-Jurídico de la APDCM.
Miembro de la APEP.
Twitter: @fjavier_sempere
Blog: http://fjaviersempere.wordpress.com/
Recientemente, se han iniciado los trámites para
la aprobación de la Ley de Trasparencia Administrativa y de esta forma cumplir con una de las
demandas no sólo de la sociedad sino también a
nivel europeo, ya que España es uno de los pocos
países de la Unión, junto con Grecia, Chipre, Malta
y Luxemburgo que no tiene aprobada una Ley de
este carácter.
Como decía en el primer párrafo, se ha puesto en
funcionamiento el mecanismo legislativo para aprobar dicha ley. Así, se ha publicado el Anteproyecto
de esta Ley bajo el título “Ley de Transparencia,
Acceso a la Información Pública y Buen Gobierno”,
abriéndose un plazo de consulta pública para que
cualquier ciudadano pueda enviar sus comentarios
u opiniones al respecto.
En este sentido, y tal como su nombre indica,
el anteproyecto de esta Ley se divide en dos
apartados:
• Transparencia de la actividad pública, que incluye lo referente al acceso a la información que
obra en poder de las Administraciones.
• Buen gobierno, que tipifica una serie de conductas reprochables y sancionables en el ejercicio
de un cargo público.
Destacar que el gobierno anterior ya presentó en
su día diversos borradores de esta Ley que finalmente no llegaron a tramitarse. De hecho, el anteproyecto presentado no es más que una nueva
versión del último borrador que en su día hizo público el gobierno del PSOE.
Asimismo, durante el último mandato de este partido político, el PP presentó una Proposición de Ley
sobre transparencia, que técnicamente es bastante mejor que el actual (ver al final de este artículo
cuadro comparativo sobre los tres textos).
Por cierto, como curiosidad comentar que el anteproyecto carece de exposición de motivos como la
vigente LOPD, aunque supongo que posteriormente se incluirá.
2
Destaca también los supuestos de publicación obligatoria en las sedes electrónicas o webs de las Administraciones públicas (artículos 5 y 6): entre ellos,
informes a consultas planteadas, anteproyectos de
ley, contratos, subvenciones, convenios suscritos,
presupuestos y su estado de ejecución.
Y digo destaca porque la mayoría de ellos ya son
objeto de publicación (si bien es cierto que algunos casos no, como los contratos menores). Por lo
cual, podemos interpretar estos dos artículos con
una doble lectura:
• Se establecen unos criterios mínimos de transparencia, ordenando su publicación obligatoria
de manera organizada en cada web de la respectiva Administración, sin necesidad de tener
que buscar, por ejemplo, el Boletín Oficial correspondiente donde ha sido objeto de publicación la adjudicación de un contrato.
• El legislador trata de “dirigir” a la sociedad “sobre
lo que puede conocer y la información a la que
puede acceder”. Craso error sería si esta fuese
la intención del legislador, puesto que una vez
aprobada la ley aflorarán peticiones del tipo:
¿Cuánto ha costado la organización de tal evento?
¿Cuál es el recorrido de la última semana del
coche del ministro? (Más que nada para comprobar, por ejemplo, que el coche oficial no se
usa para recoger a los niños del colegio o hacer
la compra).
¿Cuántas personas han viajado a la Conferencia Internacional y qué dinero se les ha pagado
en concepto de dietas y manutención?
Por otra parte, los artículos 8 a 21 regulan el “grueso” del derecho a la información. En otras palabras, el “Qué, cuándo y cómo podemos acceder a
esa información”.
El texto, contempla el citado derecho como un desarrollo del artículo 105 b) de la Constitución Española (el acceso a archivos y registros), lo cual
supone que no lo reconoce como derecho fundamental (como algunas asociaciones han exigido).
Asimismo, contempla una serie de límites en el
ejercicio del mismo, de manera que pueda ser restringido, total o parcialmente.
Restricciones en el derecho de acceso.
Las podemos calificar en tres grupos (ver cuadro
adjunto). En primer lugar, aquella información que
no es considerada como “información pública”, que
será, entre otras, las que afecta a la seguridad nacional o defensa.
En segundo lugar, aquellas que pueden suponer un
“acceso restringido” (recordemos que se permite el
acceso parcial). Sobre las mismas, se ha ampliado
el catálogo de las mismas si las comparamos con
lo previsto en el artículo 37.5 de la Ley 30/1992,
de 26 de noviembre, de Régimen Jurídico de las
Administraciones Públicas y del Procedimiento Administrativo Común.
Así, aparecen como motivos para limitar el derecho
de acceso, entre otras, “las funciones administrativas de vigilancia, inspección y control”, “la propiedad intelectual e industrial”, y “la protección del
medio ambiente”.
Si bien el primero de los supuestos enumerados
es de sentido común, ya que cualquier actuación
de inspección está sometida al secreto, más dudosos son los otros dos límites sobretodo el último de
ellos, tal y como aparece de manera tan genérica.
En este sentido, este límite ha ido más allá del que
establece la Ley 27/2006, de 18 de octubre, por la
que se regulan los derechos de acceso a la información, de participación pública y de acceso a la
justicia en materia de medio ambiente, que limita el
acceso a la información medioambiental cuando “la
solicitud pueda afectar negativamente a la protección del medio ambiente solicitada. En particular, la
que se refiera a la localización de las especies amenazadas o la de sus lugares de reproducción”.
Y por último, lo que el texto del anteproyecto califica como “excepciones”: solicitudes que se refieren
a información, que por ejemplo, esté en curso de
elaboración o tengan carácter auxiliar.
Catálogo de excepciones
Primer nivel
Seguridad pública
Defensa
Relaciones exteriores
Seguridad Nacional
Defensa
Prevención, investigación y sanción de ilícitos
penales, administrativos o disciplinarios
Segundo nivel
Igualdad de partes en procesos judiciales
Tutela judicial efectiva
Funciones de vigilancia, inspección y control
Intereses económicos y comerciales
Política económica y monetaria
Secreto profesional y propiedad intelectual e
industrial
Confidencialidad o secreto en la toma de
decisiones
Protección del medio ambiente
Tercer nivel
En curso de elaboración o publicación
Información auxiliar o de apoyo
Para su divulgación es necesario una reelaboración
3
APEPINFORMA06
Además, los supuestos de los artículos 5 y 6 también se publicarán en el Portal de Transparencia
(artículo 7), cuyo desarrollo correrá a cargo de la
Administración General del Estado. Veremos cómo
se articula este Portal a los efectos de buscar la información de cualquier Administración pública, debido tanto al volumen de información que será publicada como los responsables de esa publicación.
En España existen 8.116 municipios (fuente INE),
por lo que el citado Portal tendrá que ser manejable. Por ejemplo, a la hora de buscar la información
de un determinado municipio.
APEPINFORMA06
Derecho de acceso y protección de datos.
Relacionado con las restricciones se encuentra
lo referente a la protección de datos de carácter
personal, con un artículo específico (el 11) para
analizar esta cuestión. Tal y como está redactado
el citado precepto, parece que establece un triple
régimen:
• La puesta en funcionamiento de esta Ley llevará
aparejado un gasto. Así, por ejemplo, el artículo 18 se refiere a la existencia de unidades especializadas en el ámbito de la Administración
General del Estado (probablemente nuevas unidades, formación de su personal, material de
oficina, alquiler..etc), y en el ámbito de las Co-
Afecta a datos especialmente
protegidos
Prevalece la protección de
datos personales
Excepción: consentimiento
expreso y escrito
Datos vinculados a organización
y funcionamiento o actividad
pública del órgano
Prevalece la transparencia
administrativa
Excepción: prevalezca
protección de datos sobre el
interés público
Cuando no se trate de datos
especialmente protegidos
Se dará acceso si el órgano
considera que no lesiona
ningún derecho constitucional
Personalmente, creo que la regulación de este precepto es susceptible de una mejora técnica, ya que su
redacción es bastante farragosa. Además, en su último párrafo, cuando dice que “se aplicará la normativa
de protección de datos al tratamiento posterior de los
datos personales obtenidos a través del ejercicio del
derecho de acceso”, no estaría de más que se incluye
una frase del tipo “especialmente, en lo referente al
cumplimiento del principio de calidad de datos”. Y es
que, lo primero que me viene a la cabeza es la posibilidad de que una vez se haya otorgado el acceso se
empiecen a crear páginas webs con perfiles en función de la información obtenida sobre los particulares.
Esta cuestión, así como cualquier otro uso fraudulento de los datos obtenidos se debe evitar a toda costa.
Forma de ejercitar el acceso y su resolución.
Sobre estas cuestiones, me gustaría destacar lo
siguiente:
• La solicitud de acceso no tiene que motivarse,
aunque el solicitante podrá realizar dicha motivación.
• Se recoge como causa de inadmisión el fraude
de ley.
• Se establece un procedimiento rápido para resolver, ya que será como máximo será de un
mes, ampliable a dos.
• El procedimiento es gratuito, sin perjuicio de:
• Se podrá exigir una tasa por la expedición de
copias o transposición de la información a un
formato diferente al original.
4
munidades Autónomas la Disposición Adicional
Tercera contempla la posibilidad que el órgano
de control sea la Agencia Estatal de Transparencia, Evaluación de las Políticas Públicas y
de la Calidad de los Servicios. En ese caso, se
deberá celebrar un Convenio sufragando la Comunidad correspondiente los gastos derivados
de que dicho órgano asuma la competencia.
• En caso de que no se obtenga respuesta por el
órgano administrativo, el silencio administrativo
será negativo. Desde mi punto de vista, esto se
debería modificar sí o sí, ya que es contrario al
espíritu y finalidad de la Ley. Asimismo, tampoco puede justificarse por el extenso catálogo de
restricciones, ya que en todo caso, se debería
dar la oportunidad al ciudadano de que conozca
en “boca” de la Administración los motivos para
aplicar cualquiera de las citadas restricciones y
no recibir un mero silencio administrativo.
Autoridad de Control sobre el derecho
de acceso.
Por último, se resuelve el “eterno” debate, de manera incorrecta desde mi punto de vista, sobre el
organismo que resolverá las reclamaciones de los
ciudadanos cuando no vean satisfecho su derecho
de acceso: ni se crea un organismo nuevo ni se
atribuye, competencia a la Agencia Española de
Protección de Datos y las Agencias Autonómicas
sino que esta función se atribuye a un organismo
que ya existía, Agencia Estatal de Evaluación de
las Políticas Públicas y la Calidad de los Servicios,
• Se abre la vía para un futuro conflicto entre el
órgano de transparencia y las Agencias, cuando uno estime que prevalece la transparencia,
y éstas que debe protegerse los datos. Y entre
medias, el órgano que debe dar respuesta.
Como digo, no estoy nada de acuerdo con ello por
las siguientes razones:
No obstante lo anterior, la Disposición Adicional Tercera contempla la posibilidad de que en el ámbito
Autonómico, el organismo de control sea un órgano
independiente de las mismas. Con ello se abre la
posibilidad de que sean competentes las Agencias
autonómicas (también podría serlo el Defensor del
Pueblo de su respectivo ámbito territorial si bien en
la Comunidad de Madrid no existe tal figura).
• Se desaprovecha la experiencia adquirida por
las Agencias en el tema de transparencia. Vaya
como ejemplo, informes elaborados por las mismas sobre el acceso a datos en procedimientos
de concurrencia competitiva, la publicación de
datos en Internet, o el V Encuentro entre Agencias que “giró” en torno a este tema.
• Yendo un paso más, si la reclamación se interpusiese ante una Agencia, el procedimiento podría
ser similar a una tutela de derechos. Piénsese
en el parecido respecto a las tutelas de derechos en relación con la denegación de acceso o
cuando se ha otorgado el mismo de forma parcial de las historias clínicas. Además, considero
que para un eficaz cumplimiento de esta Ley,
el organismo que resuelva las reclamaciones
debe tener la potestad de inspección.
Buen Gobierno.
Por último, respecto a la segunda parte de este anteproyecto de Ley regula los principios éticos y de
actuación de los miembros del Gobierno, Secretarios de Estado y Altos Cargos, así como el régimen
de infracciones y sanciones.
Más que comentar su contenido, quisiera hacer una
reflexión al respecto: qué nivel de calidad democrática y de gestión administrativa ha alcanzado este
país en los últimos años para que en una ley se tenga que plasmar los citados principios que son inherentes al ejercicio de todo cargo público y que se
presupone el respeto a los mismos en cualquier tipo
de gestión y actuación administrativa y política.
• Indirectamente, las Agencias serán las que resuelvan los accesos cuando choquen con la
protección de datos, ya que seguramente, el
responsable del órgano administrativo en cuestión pedirá informe a las mismas.
Cuadro comparativo de las iniciativas legislativas de transparencia.
Gobierno PSOE
Proposición Ley PP
Gobierno PP
Exposición de motivos
Sí
Sí
No
Ámbito de aplicación
Excluye Casa del Rey
Excluye Casa del Rey
Excluye Casa del Rey
Portal de transparencia
No
Sí
Sí
Restricciones
Incluye vida privada e
intereses legítimos
Incluye comunicaciones de
la Casa del Rey
Incluye protección del medio
ambiente
Plazo máximo para
resolver el acceso
1 mes
15 días
1 mes
Acceso parcial
Sí
Sí
Sí
Silencio administrativo
Negativo
Positivo
Negativo
Órgano de control
Comisión de Transparencia
Recurso de reposición.
Informe AEPD si afecta a
PD
Agencia de Transparencia
5
APEPINFORMA06
que pasa a denominarse Agencia Estatal de Transparencia, Evaluación de las Políticas Públicas y de
la Calidad de los Servicios, y que está adscrita al
Ministerio de Administración Territorial.
APEPINFORMA06
2.2. Videovigilancia en las Autoridades de Control Autonómicas.
Francisco. Javier Sempere.
también contempla la posibilidad de uso de las
mismas para otras finalidades como pueden ser
la asistencia sanitaria o la investigación.
Blog: http://fjaviersempere.wordpress.com/
- Debido a los diversos fines de uso de las cámaras, existen dos carteles para cumplir con el
deber de información: con fines de vigilancia; y
para otros fines.
Este artículo trata de hacer un resumen sobre las
Instrucciones que han aprobado en materia de videovigilancia las Agencias Autonómicas, así como
la exposición de supuestos prácticos que manifiestan los criterios adoptados por las mismas.
- Para ejercitar el derecho de acceso, el afectado
debe hacer constar su identidad junto con una
imagen actualizada, indicando el lugar, fecha y
hora aproximada en los que su imagen fue captada. Se considera hora aproximada la referida
a una franja horaria inferior a sesenta minutos.
Asesor de Apoyo Técnico-Jurídico de la APDCM.
Miembro de la APEP.
Twitter: @fjavier_sempere
Asimismo, se han incluido citas a diversa documentación que también es útil a la hora de realizar
una labor de consultoría en la instalación de videocámaras en el sector público.
Agencia de Protección de Datos de la Comunidad de Madrid.
- Con carácter general, las medidas de seguridad
serán de carácter básico. No obstante, cuando
se instalen específicamente para captar imágenes de menores, se aplicarán las medidas de
carácter medio. Si se tratase de centros de reeducación y reinserción de menores, altas.
- La Disposición Adicional Primera regula la instalación de cámaras en espacios y áreas de seguridad restringida por motivos neurálgicos (centros y espacios vitales para la comunidad).
1.- Instrucción normativa.
En el año 2007, elaboró y aprobó la Instrucción
1/2007, de 16 de mayo, sobre el tratamiento de datos personales a través de sistemas de cámaras o
videocámaras en el ámbito de los Órganos y Administraciones Públicas de la Comunidad de Madrid,
con la finalidad de disciplinar y acomodar estos sistemas a las exigencias derivadas del derecho a la
protección de datos de carácter personal.
Sobre esta Instrucción podemos destacar lo siguiente:
- Se aplica también a los supuestos en que las
imágenes no se incorporen y/o registren en un
soporte físico. En otras palabras, aunque no
exista fichero, habrá que aprobar la disposición
de carácter general del mismo. Aunque pueda
sonar bastante “chocante”, lo que se busca con
esta obligación es cumplir con el principio de
transparencia.
- Con carácter previo a la instalación de cámaras,
el responsable del fichero debe elaborar un informe que justifique la proporcionalidad y necesidad de la instalación.
- La Instrucción no sólo se refiere al uso de cámaras con fines de videovigilancia sino que
6
2.- Guía de Videovigilancia.
Se trata de un documento de apoyo al responsable del fichero para cumplir con las obligaciones de
la LOPD en esta materia. De difusión gratuita, se
puede descargar en la página web de la APDCM.
Esta Guía, que está enfocada desde un punto de
vista eminentemente práctico, recoge las obligaciones del responsable del fichero respecto a los
principios de protección de datos.
Además, para facilitar esta labor, se ofrece un sencillo “check-list” y ejemplos del contenido de este
tipo de ficheros a efectos de proceder a la elaboración de la correspondiente disposición de carácter
general de creación de los mismos.
Asimismo, se analizan diversos supuestos específicos, como son la instalación de cámaras en la vía
pública, control y disciplina de tráfico, polideportivos, centros neurálgicos, aparcamientos públicos,
fines turísticos, y acceso a edificios.
Contiene también un apartado, el quinto, en el que
se ofrece cuál es la postura de la APDCM sobre el
control del correo electrónico de los trabajadores,
ya que esta actividad forma parte de la vigilancia
empresarial.
Respecto a los informes jurídicos (Apartado 6 de
la Guía), destacan los referentes a “Implantación
de un sistema de control de videocámaras en los
calabozos de las dependencias de la policía local
de un Ayuntamiento”; “Uso de las cámaras de vigilancia para el control de presencia de empleados
públicos”; “Uso de videocámaras en el transporte
urbano” e “Instalación de un sistema de control de
la actividad de los empleados públicos por medio
de cámaras en el 112”.
Además de la Guía, también existe su versión reducida denominada “Manual de Videovigilancia”.
3.- Otra documentación interesante.
- Audio y Presentaciones de la I Jornada de Protección de Datos y Videovigilancia (Año 2010).
- Audio y Presentaciones de la II Jornada de Protección de Datos y Videovigilancia (Año 2011).
- Revista digital: www.datospersonales.org, se
pueden encontrar opiniones de expertos y noticias sobre este tema.
Autoridad Catalana de Protección de Datos.
de cámaras falsas y el tratamiento de imágenes
y sonidos que no tengan como finalidad la videovigilancia.
- No se considera legítima las instalaciones para
grabar e el interior del domicilio de otras personas, salvo consentimiento o circunstancia del
artículo 18.2 de la CE, así como tampoco la captación en la vía pública, salvo que la realicen las
Fuerzas y Cuerpos de Seguridad.
- En cuanto a la captación incidental en la citada
vía pública, sólo resulta legítima si es inevitable
para alcanzar la finalidad de vigilancia del edificio o instalación.
- Con carácter previo a la creación del fichero, el
responsable debe elaborar una Memoria justificando la finalidad, proporcionalidad y legitimidad, así como, entre otras cuestiones, la ubicación y campo de visión de las cámaras, número
de las mismas y zoom.
- Respecto al principio de finalidad, las imágenes captadas para difusión cultural o turística, u
ofrecer información meteorológica, no se puede
usar con el fin de vigilancia, no debiendo permitir la identificación de personas.
- No será proporcional la instalación en baños,
servicios, vestuarios, salas de ocio, uso en el
ámbito laboral con la exclusiva finalidad de controlar el rendimiento de los trabajadores, interior
de aulas, gimnasios y espacios de ocio para los
alumnos.
- En materia de seguridad, el nivel será aplicable
será el básico, sin perjuicio de que en determinados supuestos haya que adoptar las de nivel
medio o alto.
1.- Instrucción normativa.
La Instrucción 1/2009, de 10 de febrero, sobre el
tratamiento de datos de carácter personal mediante cámaras con fines de videovigilancia, regula esta
materia respecto a los responsables y encargados
de tratamiento que están bajo el ámbito de control
de la Autoridad Catalana de Protección de Datos.
De esta norma, me gustaría resaltar lo siguiente:
- Contempla su aplicación cuando se graben voces, siempre y cuando sea para la finalidad de
vigilancia.
- Queda fuera del ámbito de aplicación los videoporteros, la captación de imágenes con fines exclusivamente periodísticos, la instalación
2.- Supuestos prácticos.
2.1.- Grabación de imágenes por una empresa
funeraria.
(http://www.apd.cat/media/dictamen/es_127.pdf )
La cuestión radica en si la grabación, previa solicitud de la familia o personas allegadas al difunto,
del funeral que tiene lugar en las instalaciones de
la funeraria supone una vulneración de la legislación de protección de datos.
Este Dictamen analiza si los hechos descritos
se encuentran bajo el ámbito de aplicación de la
LOPD. Si bien la grabación de imágenes de las personas supone un tratamiento de datos de carácter
7
APEPINFORMA06
Por otra parte, se recogen diversos informes jurídicos de la APDCM, jurisprudencia y documentos
realizados por otras Autoridades, como el Supervisor Europeo de Protección de Datos, la Autoridad
de Protección de Datos de Canadá, el ICO (Information Commissioner del Reino Unido) o la Agencia Española de Protección de Datos.
APEPINFORMA06
personal, la Autoridad Catalana de Protección de
Datos señala que “la Ley Orgánica 15/1999, de 13
de diciembre, de Protección de Datos de Carácter
Personal, excluye de su ámbito de aplicación los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o
domésticas (artículo 2.2 a))”.
También se cita el artículo 2.4 del Reglamento de
desarrollo de la LOPD, que excluye de su ámbito
de aplicación los datos referidos a las personas fallecidas.
No obstante lo anterior, si bien al supuesto planteado
no se aplicaría la LOPD, se incide en varias partes
del Dictamen que en la funeraria se podrían utilizar
las cámaras para otros fines que sí estarían dentro
del ámbito de aplicación de la LOPD y por ende, de
la Instrucción 1/2009 de esa Autoridad. Así, se cita
a modo de ejemplo otras finalidades como el control
laboral, control de acceso y seguridad.
No obstante, a pesar de no disponer de una normativa reguladora específica, cuando esta actividad la realizan entidades privadas que tienen por
objeto la vigilancia y la seguridad y que utilizan videocámaras con esta finalidad, el reglamento de
seguridad privada (Real Decreto 2364/1994, de 9
de diciembre) prevé la utilización de estos dispositivos. Por lo tanto, este Real Decreto 2364/1999,
de 9 de diciembre, es la única regulación existente
para el uso de la videovigilancia por parte de empresas encargadas de la seguridad privada hasta
que no se desarrolle la Ley Orgánica 4/1997, de 4
de agosto, tal y como prevé su disposición adicional novena.”
En consecuencia, se dictamina que sólo las fuerzas y cuerpos de seguridad, mediante la oportuna
autorización administrativa, pueden grabar en la
vía pública, no pudiendo tomar imágenes del interior de las viviendas ni de los vestíbulos, salvo
que exista consentimiento del titular o autorización
judicial.
2.2.- Uso de videocámaras en la vía pública.
(http://www.apd.cat/media/dictamen/es_174.pdf )
Un administrador de una entidad particular de ámbito universitario justifica las razones que han llevado a instalar las cámaras dentro del recinto de esa
entidad y exterior del inmueble captando imágenes
de la acera. Por esta razón, la Guardia Urbana ha
instado a retirar las cámaras ya que graban la vía
pública.
En consecuencia, el Dictamen procede a analizar
si es legal la instalación en la vía pública. Concretamente, el apartado tercero del citado Dictamen
da la solución al supuesto planteado:
“La utilización de dispositivos de videovigilancia,
cuando se realiza en espacios públicos y por las
fuerzas y cuerpos de seguridad, precisa una autorización previa a su instalación, que, teniendo en
cuenta los principios de proporcionalidad, idoneidad e intervención mínima, otorga el director general de Seguridad Ciudadana, previo informe de la
Comisión de Control de los Dispositivos de Videovigilancia (artículos 4 y 7 del Decreto 134/1999, de
18 de mayo).
Por otra parte, de acuerdo con la Ley Orgánica
4/1997, de 4 de agosto, no se pueden utilizar videocámaras para captar imágenes ni sonidos del
interior de las viviendas o de sus vestíbulos, a no
ser que se disponga del consentimiento del titular
o de una autorización judicial.
8
2.3.- Competencia sobre los ficheros de videovigilancia de una notaría.
(http://www.apd.cat/media/dictamen/es_257.pdf )
Este Dictamen analiza si la competencia en materia de protección de datos sobre la instalación
de cámaras en una notaría es competencia de la
AEPD o de la APDCAT.
Así, en primer lugar, se analiza si el tratamiento de
datos de una notaría tendría encaje en el artículo
156 b) del Estatuto de Autonomía de Cataluña, “ya
que según lo establecido en la Ley Orgánica del
Notariado, de 1862, y el Reglamento notarial, de 2
de junio de 1944, que los notarios desarrollan una
innegable función de carácter público, constituida
por la fe pública notarial, aunque ésta conviva con
otras funciones que también llevan a cabo estos
profesionales y que no tengan este carácter de función pública”.
El citado artículo 156 b) del Estatuto dispone que:
“Corresponde a la Generalitat la competencia ejecutiva en materia de protección de datos de carácter persona
b) La inscripción y el control de los ficheros o los
tratamientos de datos de carácter personal privados creados o gestionados por personas físicas o
jurídicas para el ejercicio de las funciones públicas
con relación a materias que son competencia de la
A su vez, dicho precepto hay que ponerlo en relación si en el caso de las notarias, la Generalitat
tiene competencia sobre “la ordenación, la organización, la dirección, la inspección y la vigilancia de
las funciones de la fe pública notarial”.
Sin embargo, de conformidad al artículo 147 del
meritado Estatuto de Autonomía de Cataluña, “se
desprende claramente que la competencia de la
Generalitat en materia notarial se limita a ser una
competencia ejecutiva y no referida a la totalidad
de la materia”.
En consecuencia, los ficheros de las notarías no
están bajo el ámbito de control de la Autoridad de
Catalana de Protección de Datos, sino de la Agencia Española de Protección de Datos, siendo de
aplicación, por tanto, a los ficheros de videovigilancia de las notarias la Instrucción 1/2006, de 8
de noviembre, sobre el tratamiento de datos personales con fines de videovigilancia a través de
sistemas de cámaras o videocámaras de la citada
Autoridad de Control.
como del carácter público de las sesiones del Pleno
(artículo 70.1 de la Ley de Bases de Régimen Local
y 156 del Texto Refundido de la Ley Municipal y de
Régimen Local de Cataluña, sin perjuicio de que
puedan ser secretos el debate y votación cuando
los asuntos afecten a los derechos fundamental de
los ciudadanos del artículo 18.1 de la Constitución
Española, y siempre y cuando se acuerde por el
Pleno por mayoría absoluta.
Asimismo, también se cita que “el artículo 88.2
del Reglamento de Organización, Funcionamiento y Régimen Jurídico de los entes locales (ROF),
aprobado por el Real Decreto 2568/1986, de 28
de noviembre, prevé la instalación de sistemas de
megafonía o circuitos cerrados de televisión para
ampliar la difusión auditiva o visual (véase, a este
respecto, la Sentencia del Tribunal Supremo, de 18
de junio de 1998).
2.4.- Difusión de las grabaciones del Pleno de un
Ayuntamiento a través de Youtube.
Por lo tanto, según la Autoridad Catalana de Protección de Datos nada impediría que el ROM contemplara también la retransmisión en directo o en
abierto, o la puesta a disposición en la web municipal de las grabaciones de las sesiones, tal como se
apuntaba en el apartado 19 de la Recomendación
1/2008 de esta Agencia acerca de la difusión de
información que contenga datos de carácter personal a través de Internet.
(http://www.apd.cat/media/dictamen/es_251.pdf )
No obstante lo anterior, se advierte lo siguiente:
Se trata de uno de los supuestos que más plantean los Ayuntamientos a las Autoridades de Control autonómicas.
Como ocurre con otros Dictámenes de la APCAT,
se analiza en primer lugar si la LOPD y demás normativa de desarrollo es aplicable a este caso concreto. La respuesta, como no podría ser de otra
forma, es afirmativa, puesto que “las operaciones
consistentes en la grabación de imágenes de una
sesión del Pleno de la Corporación local o en su
posterior puesta a disposición a través de Internet
se produce un tratamiento de datos de carácter
personal derivado de la captación y posterior retransmisión o puesta a disposición a través de la
red de las imágenes de las personas asistentes,
fundamentalmente los miembros de la corporación
y los funcionarios que intervienen por razón de su
cargo.”
- la finalidad de la publicidad de las sesiones podría alcanzarse con la captación de la imagen
de los representantes políticos que forman parte
de la corporación mientras que podría resultar
no proporcionada una grabación de los ciudadanos que, a título personal, asistan a la sesión,
salvo que la captación de las imágenes de éstos
sea meramente accesoria o incidental. Asimismo, una disposición inadecuada de las cámaras
podría comportar la captación de imágenes de,
por ejemplo, documentación privada que pudieran estar consultando los regidores durante
el plenario, o conversaciones privadas de los
mismos, cuya divulgación podría resultar inadecuada. Por tanto, la disposición de las cámaras
puede ser un primer elemento a tener en cuenta
desde el punto de vista del principio de proporcionalidad.
En cuanto a la publicación de las imágenes grabadas en Youtube, se parte en primer lugar, de la aplicación del artículo 11 de la LOPD (régimen jurídico
de las cesiones de datos de carácter personal) así
- la utilización de You Tube como medio para difundir el contenido de las sesiones de los plenos
comporta el sometimiento a las cláusulas contractuales establecidas, que YouTube se reser9
APEPINFORMA06
Generalitat o de los entes locales de Cataluña si el
tratamiento se efectúa en Cataluña.”
APEPINFORMA06
va el derecho de invadir en cualquier momento
de forma unilateral (véanse, a este respecto, los
términos y condiciones en http://www.youtube.
com/t/terms) Así pues, cuestiones sobre la propiedad, la publicidad asociada a estas imágenes, los términos de la difusión, el control de
las visitas efectuadas, etc. estarían totalmente
en manos de esa empresa. Por añadidura, ello
comportaría la transmisión de información a un
operador, YouTube LLC, con domicilio social
en 901 Cherry Avenue, San Bruno, CA 94066,
Estados Unidos, que añade un elemento de internacionalidad a la comunicación de los datos
que podría requerir la previsión de cláusulas
contractuales tipo contenidas en la Decisión de
la Comisión Europea 2002/16/CE, de 27 de diciembre de 2001, dado que en Estados Unidos
no se proporciona un nivel adecuado de protección en materia de datos personales ni tampoco
hay constancia de que YouTube se haya adherido al sistema de “Safe Harbor” (artículos 33 y
34 de la LOPD y 70 y ss. del RLOPD).
Respecto a la posibilidad de que esta difusión se
lleve a cabo a través de YouTube, esta Agencia
considera más recomendable que sea a través de
la web municipal.
3.- Otra documentación interesante.
Cartel informativo para captación de imágenes.
Cartel informativo para captación de imágenes y
voz.
Nota explicativa sobre la modificación de la Ley
23/1992, de Seguridad Privada, por la Ley 25/2009,
de 22 de diciembre.
Agencia Vasca de Protección de Datos.
Es la única Autoridad que no ha aprobado una Instrucción que regule la aplicación de la normativa de
protección de datos en relación con la videovigilancia, dentro de lo que es su ámbito de actuación.
1.- Supuestos prácticos.
1.1.- Grabaciones en vídeo de alumnos menores
de edad durante actividades escolares.
Se han realizado grabaciones a grupos de escolares de las diferentes actividades que desarrollan
10
en el marco de un proyecto medioambiental de un
centro educativo, presumiblemente para ser usadas dentro del programa de su obra social.
Dado que estos escolares son menores de edad
y no existe autorización expresa de sus padres/
madres y/o tutores legales para la grabación de
su imagen se solicita, entre otras cuestiones, si es
necesario esa autorización así como, en su caso,
cuáles son las medidas para cumplir con la normativa de protección de datos.
A modo introductorio, la AVPD cita el artículo 3 de
la LOPD para determinar que la imagen es un dato
de carácter personal, “Por esta razón, cualquier
tratamiento que se realice con imágenes (cesión,
almacenamiento), debe respetar los principios básicos de protección de datos”.
Asimismo, se recalca que “No sólo los datos íntimos son objeto de protección, sino también todos
aquellos que, como en nuestro caso, imágenes de
los escolares, aportando información sobre una
persona identificada o identificable siguen siendo
datos privados, respecto de los cuales el ciudadano posee el poder de control y disposición.
En este sentido, podemos decir que los participantes en los proyectos de educación medio ambiental
a que se refiere la consulta no sólo tienen un derecho a la intimidad, sino también un derecho a la
privacidad de sus datos, el derecho a disponer de
los mismos, a conocer quién los posee y con qué
finalidad.”
Por lo que se refiere al consentimiento, para la
AVPD exceptuando los supuestos de seguridad
pública o privada y control laboral, la ley no contempla ninguna habilitación de para la captación de
imágenes sin consentimiento de los afectados.
Por lo tanto, la captación de imágenes de los usuarios del centro de educación ambiental sin consentimiento, sería un tratamiento contrario a la normativa en materia de protección de datos. Este consentimiento podría ser obtenido a través del propio
impreso de solicitud de admisión, que al firmarse
dejaría constancia fehaciente del mismo. En todo
caso, el consentimiento debiera cumplir los requisitos exigidos por el art. 3.h) de la LOPD en el sentido de constituir una “manifestación de voluntad,
libre, inequívoca, específica e informada…”, pudiendo para ello utilizarse una casilla para que sea
marcada por el ciudadano, sin que la negativa a
hacerlo pueda implicar una discriminación de cara
al acceso al Centro.
puesto que una de las consultas frecuentes que
reciben las Agencias Autonómicas es la referente
al uso de las cámaras para grabar los Plenos de la
Corporación, así como su posterior difusión a través de la web de la Corporación municipal correspondiente.
1.2.- Instalación de una cámara de vídeo en un
campo de fútbol con el fin de publicar las imágenes
en la página web del municipio.
En este supuesto, en la consulta se pone de manifiesto que las grabaciones se almacenan en soporte CD y se archivan durante un período de tiempo
limitado con el objeto de la subsanación de posibles errores de las actas de los Plenos.
Las imágenes de dicha cámara permitirían a cualquier visitante de la página web municipal visualizar
a deportistas escolares y a adultos, abonados y no
abonados al IMD, mientras realizan entrenamientos y partidos de competición de fútbol o practican
atletismo en la pista que rodea al campo de fútbol.
Dos son las cuestiones que se plantean: en primer
lugar, si la intimidad de los usuarios de la instalación deportiva podría menoscabarse al poder visionar las imágenes a través de la web municipal; en
segundo lugar, si procede o no instalar la cámara.
Respecto a la primera cuestión, la AVPD citando
en su argumentación jurídica los fundamentos de
la STC 292/2000, de 30 noviembre, considera que
“los usuarios del recinto deportivo a que se refiere
la consulta no sólo tienen un derecho a la intimidad, sino también un derecho a la privacidad de
sus datos, el derecho a disponer de los mismos,
a conocer quién los posee y con qué finalidad, a
pesar de que el afectado se encuentre en una vía
pública o en un recinto municipal”.
Respecto a la segunda, se acude al principio de
proporcionalidad a la hora de limitar un derecho
fundamental, sobre el que existe diversa jurisprudencia del Tribunal Constitucional. Así, se citan las
sentencias 37/1998, 98/200, 186/2000 y 207/1996,
para concluir que la instalación de la cámara en la
instalación deportiva con el fin de que las imágenes puedan visionarse en la web municipal no supera el juicio de proporcionalidad, al considerarse
lesivo para la privacidad de los deportistas, “más
aún cuando dicha captación es indiscriminada pudiendo afectar a colectivos más vulnerables como
menores o discapacitados.”
La AVPD considera que las grabaciones de voz
es un fichero de carácter temporal, al que hay que
aplicar el artículo 87 del Reglamento de desarrollo
de la LOPD.
En el informe se concluye que “Dado el carácter
de fichero temporal, la única obligación que tiene
el responsable respecto del mismo es el mantenimiento del nivel de seguridad que les corresponda
hasta el momento de su destrucción.
Al fichero temporal de grabaciones de voz de los
Plenos Municipales no le es de aplicación la obligación de declaración e inscripción en el Registro de
la Agencia Vasca de Protección de Datos.”
2.- Otra documentación interesante.
Dos son los documentos que me gustaría destacar
en los cuales la AVPD ha introducido referencias
sobre la videovigilancia:
En primer lugar, el Manual de Buenas Prácticas
para la entidades locales de la Comunidad Autónoma del País Vasco en su Anexo I denominado
“Supuestos concretos” analizada en un apartado
específico la videovigilancia, en el cual se analiza
la declaración de este tipo de ficheros instalados
en los edificios municipales, la normativa aplicable
y cómo cumplir con el derecho de información.
1.3.- Obligatoriedad de declarar como fichero las
grabaciones de audio de los Plenos municipales.
En segundo lugar, el Estudio cuantitativo de la
percepción social de la Ciudadanía de la CAVP
de 2009, contiene un apartado sobre la opinión de
los ciudadanos vascos sobre la seguridad (incluyendo las cámaras) y la privacidad. El 60% de los
encuestados considera prioritario la seguridad, y
en cambio, un 29% la privacidad.
Si bien este informe no está relacionado con la videovigilancia he considerado que era de interés
Cartel informativo en euskera (página 10 Memoria
2010)
11
APEPINFORMA06
Por otra parte, y relación con el cumplimiento del
resto la normativa de protección de datos, el Dictamen expone la obligación de crear el fichero correspondiente, así como respetar el derecho de
información, fundamental para el ejercicio de los
derechos ARCO.
APEPINFORMA06
3. Artículos.
3.1 El interés legítimo: un balance de
intereses.
Cecilia Álvarez Rigaudias.
Vicepresidenta APEP.
Abogada, despacho Uría Menéndez.
La sentencia del Tribunal Supremo de 8 de febrero
de 2012 generó un seguimiento tan inusitado como
inadecuado por parte de la prensa, aplaudiendo la
supuesta desaparición del consentimiento como
causa de legitimación de los tratamientos de datos personales o anunciando el final apocalíptico
del régimen de protección de datos personales en
España. Pues bien, ni el consentimiento ha desaparecido ni la LOPD ha quedado “mutilada”. Es
más, la sentencia que es en realidad la sentencia
importante no es esta sino la sentencia del Tribunal
de Justicia de la Unión Europea de 24 de noviembre de 2011 que el Tribunal Supremo no hace más
que aplicar.
En efecto, el Tribunal de Justicia de la Unión Europea de 24 de noviembre de 2011 reconoció el
efecto directo del denominado “interés legítimo” del
artículo 7.f) de la Directiva 95/46/CE al analizar en
sede de cuestión prejudicial el art. 10.2b) del reglamento de desarrollo de la LOPD aprobado por el
real Decreto 1720/2007.
Como es bien sabido, la LOPD no incorporó correctamente el art. 7.f) al constreñir el “interés legítimo”
a aquellos datos que provenían de “fuentes accesibles al público” definidas en la LOPD mediante
una lista exhaustiva de fuentes “públicas” muy limitada (directorios telefónicos, listados de colegios
profesionales, medios de comunicación social y el
“censo promocional” que quizás vea la luz algún
día conforme a la Ley 43/2010).
El reglamento de desarrollo de la LOPD aprobado
por el Real Decreto 1720/2007 consagró este error
en su artículo 10.2.b) al no reconocer al “interés
legítimo” como una causa de legitimación adicional a las demás (sino integrada o subsumida en
las demás). No hay pues grandes sorpresas en
que el Tribunal Supremo anule este artículo art.
10.2.b) a la vista de la respuesta del Tribunal de
Justicia. En todo caso, la sentencia del Tribunal
de Justicia es más que bienvenida ya que reconoce de forma expresa y de forma indubitada una
12
causa de legitimación prácticamente ignorada
hasta la fecha por las autoridades administrativas
y judiciales españolas (con algunas honrosas excepciones).
El principio del “interés legítimo” no es el reconocimiento de la prevalencia automática de un interés
económico o comercial (legítimo) sobre la protección de datos como algunos han querido erróneamente hacer valer. Se trata de una causa de legitimación de tratamiento que exige, conforme al
art. 7.f) de la Directiva 95/46/CE, un balance de
intereses, esto es, que “no prevalezca el interés
o los derechos y libertades fundamentales del interesado que requieran protección (...)”. Por ello,
exige -de todos- una aplicación más sofisticada y
reflexionada de la norma, ya que se deben ponderar los intereses en juego.
La AEPD ya ha empezado a tener en cuenta esta
causa de legitimación y la está incorporando a sus
análisis con las cautelas que exige cualquier causa de legitimación no mecanicista. Se abre con
ello pues una etapa más madura en la aplicación
de la norma, esto es, una aplicación contextual.
Esta debería conducir al balance deseado: el desarrollo económico y la innovación de la mano de
una protección adecuada de los datos personales
en lo que afecta a nuestra dignidad. Es más, el
interés legítimo está llamado a jugar un papel más
importante si cabe si la propuesta de reglamento
comunitario se aprobara en su redacción actual,
ya que el consentimiento se presenta como una
causa de legitimación extraordinariamente difícil
de obtener.
Y el mercado se pregunta entonces ¿cuándo hay
interés legítimo? Precisamente porque requiere
una balance de intereses contextualizado, no cabe
establecer listas simplistas a priori. Sin embargo,
hay casos claros donde no concurre la prevalencia
del interés comercial como serían las actividades
de marketing directo (existen obviamente excepciones al consentimiento que se requiere como
regla general y estas excepciones seguirán operando con independencia del “interés legítimo”).
Por otro lado, parece que el “interés legítimo” sí
podría jugar su rol, entre otros muchos supuestos,
en el contexto de sistemas de denuncias profesionales, en las auditorías de la entidad objetivo de
la operación de que se trate, en la lucha contra el
• El cumplimiento de la LOPD proporciona confianza tanto interna, para los propios gestores,
como externa para el cliente o administrado.
3.2 Protección de datos como reto y
oportunidad empresarial.
• El cumplimiento de la LOPD es presupuesto
para la eficiencia en el manejo de la información
y, lógicamente, para la de los procesos decisorios basados en la información personal y en el
uso de las tecnologías de la información y las
comunicaciones.
Ricard Martínez Martínez.
Presidente de la Asociación Profesional
Española de Privacidad.
Profesor de Derecho Constitucional de
la Universitat de València
La aplicación de la Ley Orgánica 15/1999, de 13
de diciembre, de Protección de Datos de Carácter
Personal (LOPD) ofrece una oportunidad única al
mundo de la empresa para mejorar sus procesos
de gestión. Desgraciadamente, las organizaciones perciben la norma como un conjunto de obligaciones leoninas, exageradas e inalcanzables.
En este sentido, el usuario concibe el cumplimiento de la legislación como una obligación adicional
“excesiva”: Así, desde el responsable del fichero,
pasando por los profesionales de la informática al
último usuario del sistema viven la LOPD como
una pesada carga. Generalmente, debe tenerse
en cuenta que no se interiorizan los beneficios
que su aplicación proporciona. No se percibe la
implementación como un conjunto de actuaciones
que tenderán a mejorar las condiciones del trabajo y la calidad de la información y, sobre todo, no
se alcanza a comprender cómo incide sobre una
mejor comprensión de la realidad de la empresa,
de su modelo de gestión o de las disfunciones que
puedan detectarse.
Para entender la importancia de proteger la privacidad cabe referirse a un conjunto de valores cuya
interiorización resulta estratégica:
• La información y los sistemas que la soportan
constituyen activos valiosos e importantes para
la Organización. Por tanto, el normal desenvolvimiento de las tareas depende de un adecuado
tratamiento y de la calidad de la información tanto como de otros factores.
• La seguridad “LOPD” permite depositar la suficiente confianza sobre la capacidad de la información y de los sistemas para sostener el
funcionamiento adecuado de las funciones y los
valores de la organización.
• No existe ningún proceso vinculado a la búsqueda de calidad y excelencia que no requiera una
adecuado cumplimiento de la LOPD y su Reglamento.
Transmitir este conjunto de valores y hacerlo de
un modo positivo puede resultar esencial para una
adecuada implementación de la LOPD y su Reglamento de Desarrollo.
Otro de los elementos disuasorios para una adecuada implementación de la LOPD reside en que
las organizaciones la conciben como algo extraordinariamente costoso, sin caer en la cuenta de los
valores positivos que comporta:
• Proporciona un conocimiento cabal de los riesgos y vulnerabilidades y también, en muchas
ocasiones permite identificar los modos en los
que se tratan los datos, suprimir tratamientos
innecesarios o centralizar aquellos que lo requieran.
• Contribuye a garantizar la corrección de las decisiones de la organización ya que se basan en
información confiable y no manipulada.
• Ofrece confianza al titular de los datos: su perfil
informativo será el adecuado y no variará arbitrariamente.
• Garantiza el funcionamiento normal de la organización.
• Permite restaurar los sistemas ante cualquier
evento imprevisto y facilita la respuesta en todos
los casos incluso ante las catástrofes.
Por lo tanto, resulta evidente que la aplicación de
la LOPD y sus normas de desarrollo no sólo puede concebirse desde una perspectiva de costes ya
que se trata de algo valioso en si mismo.
Vivimos en una sociedad en la que la información
y el conocimiento poseen un valor estratégico.
Adecuar el modo en el que se recoge y trata la información personal, aunque venga de la mano de
la LOPD, resulta fundamental para garantizar el
adecuado funcionamiento de todos los sistemas,
13
APEPINFORMA06
fraude o en la aportación de datos personales en
juicio aún cuando el juez no lo hubiera solicitado
expresamente.
APEPINFORMA06
traten o no datos de carácter personal.
Llegados a este punto cabe preguntarse, ¿qué se
requiere para implementar la LOPD en una organización? En primer lugar, deben desecharse por
principio las respuestas excesivamente “simples”:
«no se preocupe esto es gratis», «un operador telefónico le llamará y respondiendo a un sencillo test
Vd. cumplirá la LOPD en 15 minutos». Si se acude
a un asesoramiento externo hay que garantizar rigor y seriedad profesional. APEP ha publicado un
documento con «Claves para identificar un proyecto adecuado de consultoría para implementar la
LOPD de forma integral»1, que permite identificar
cuando se nos hace una oferta rigurosa.
En segundo lugar, es indispensable una completa
implicación de las estructuras de decisión. Una organización que se someta a un proceso de implantación de la LOPD debe transmitir verticalmente,
desde el equipo directivo, al último de los trabajadores una idea de compromiso. Los resultados
aplicar la LOPD no tienen por qué afectar estructuralmente al modelo de gestión pero puede requerir
adaptaciones que, sin el compromiso del que aquí
se habla, podrían resultar traumáticas. La organización podrá declarar sus ficheros, disponer de
políticas de privacidad o contar con un documento
de seguridad, pero sin un compromiso activo tarde
o temprano estas políticas se olvidarán o, ante su
escaso valor para la dirección, se incumplirán sistemáticamente. Además, cuando exista personal
informático todo proceso riguroso de implantación
de la LOPD debe realizarse con una implicación
que debe ir más allá del momento inicial e incorporarse al círculo que va desde la planificación inicial del producto o servicio a todas las fases de su
evolución.
En tercer lugar, será esencial la formación de los
usuarios. El RDLOPD obliga al responsable del fichero a adoptar «medidas necesarias para que el
personal conozca de una forma comprensible las
normas de seguridad que afecten al desarrollo de
sus funciones así como las consecuencias en que
pudiera incurrir en caso de incumplimiento» (art.
89.2 RDLOPD).
Ahora bien, esta puesta en conocimiento se resuelve en muchas ocasiones con una simple notificación escrita al personal al que se solicita un acuse
de recibo mediante la oportuna firma. En otras, especialmente cuando como en los supermercados
1. Disponible en http://bit.ly/oPbs5l.
14
con la formación se regala el asesoramiento en
una oferta 2X1, se ha detectado que la formación
se limita a la entrega de un CD o de folletos. Esta
metodología, por muy correcta que resulte desde
el punto de vista del cumplimiento formal del Reglamento, puede resultar poco acertada.
La formación, es algo muy serio ya que garantiza
un conocimiento profundo de las funciones y obligaciones de seguridad y permite subrayar la importancia de la seguridad para la organización y para
el propio usuario promoviendo su compromiso activo con las políticas de seguridad. Además ayuda
a que el usuario comprenda que sus responsabilidades se insertan en un diseño global subrayando
la importancia de su propio papel. Finalmente contribuye a la gestación de una cultura LOPD en la
organización y, cuando se realiza adecuadamente,
a la asunción de un compromiso ético con la seguridad por cuanto con ello no sólo contribuye al
funcionamiento adecuado de la organización sino
también, y en último extremo, a la tutela de los derechos fundamentales de los ciudadanos.
El conjunto de aseveraciones y recomendaciones
inmediatamente precedentes se resumen en un
reto: promover un cambio cultural en el seno de la
organización. De un lado nos enfrentamos al reto
de la incorporación acelerada de las tecnologías
de la información y de las comunicaciones. Por
otro, parece irrenunciable la inmersión profunda de
nuestras estructuras empresariales en la sociedad
de la información y del conocimiento. Pues bien, si
no promovemos una cultura LOPD, si no tenemos
en cuenta que el respeto y garantía del derecho a
la protección de datos cumplirán un papel instrumental de primer orden, estamos condenados al
fracaso. La sociedad cada día es más consciente de sus derechos. Es cuestión de tiempo que el
ciudadano-cliente consciente de sus derechos los
exija. El incumplimiento de la LOPD pone en juego
la reputación empresarial y, en muchas ocasiones
el perjuicio reputacional es más costoso que el
montante de una sanción.
Baste una pregunta para el lector: ¿los padres españoles que red social recomiendan a sus hijos?
No espere aquí respuesta, basta con leer las noticias sobre redes sociales para entender por qué
una determinada red española resulta confiable:
trata de cumplir la LOPD y hace de ello una ventaja competitiva.
Notificación de incidentes de seguridad en la transposición del paquete
Telecom.
Ricard Martínez Martínez.
Presidente de la Asociación Profesional
Española de Privacidad.
Profesor de Derecho Constitucional de
la Universitat de València
En diciembre de 2009 se publicó el llamado paquete Telecom del que cabe destacar la Directiva
2009/136/CE que realiza diversas modificaciones en
la Directiva 2002/58/CE. Esta norma abre el camino
a la notificación de incidentes de seguridad a las autoridades de protección de datos y a los afectados
subrayando su importancia económica y social.
«(61) Una violación de los datos personales puede
causar, si no se toman medidas de manera rápida y adecuada, pérdidas económicas sustanciales
y perjuicios sociales para el abonado o particular
afectado, incluida la usurpación de la identidad.
Por consiguiente, tan pronto como el proveedor de
servicios de comunicaciones electrónicas disponibles al público se percate de que se ha producido
una violación de la seguridad de este tipo, debe
notificarla a la autoridad nacional competente. Los
abonados o particulares cuyos datos e intimidad
puedan verse afectados negativamente por dichas violaciones deben recibir notificación inmediata para que puedan adoptar las precauciones
necesarias. Se debe considerar que una violación
afecta negativamente a los datos y la intimidad del
abonado o particular cuando conlleva, por ejemplo,
fraude o usurpación de identidad, daños materiales, humillación grave o daño para la reputación,
en relación con la prestación de servicios de comunicaciones electrónicas disponibles al público.
La notificación debe incluir información sobre las
medidas adoptadas por el proveedor para atajar la
violación, así como recomendaciones para el abonado o particular afectado».
Como punto de partida la nueva Directiva introduce
un concepto nuevo en la Directiva 2002/58/CE
«“violación de los datos personales”: violación de la
seguridad que provoque la destrucción, accidental o
ilícita, la pérdida, la alteración, la revelación o el acceso no autorizados, de datos personales transmitidos,
almacenados o tratados de otro modo en relación
con la prestación de un servicio de comunicaciones
electrónicas de acceso público en la Comunidad».
La notificación de incidentes debe someterse a
límites teniendo en cuenta la propia actuación diligente del responsable, las circunstancias de la
violación de seguridad o las necesidades de investigar delitos:
«(64) Al establecer disposiciones de aplicación sobre la forma y los procedimientos aplicables a la
notificación de las violaciones de datos personales,
conviene tener debidamente en cuenta las circunstancias de la violación, incluyendo si los datos personales habían sido protegidos mediante las medidas técnicas de protección adecuadas, limitando
eficazmente la probabilidad de usurpación de identidad u otras formas de uso indebido. Asimismo,
estas normas y procedimientos deben tener en
cuenta los intereses legítimos de las autoridades
policiales, en los casos en que una revelación temprana pudiera obstaculizar innecesariamente la investigación de las circunstancias de la violación».
El 31 de marzo de 2011, por la vía de la extraordinaria y urgente necesidad se ha procedido a la transposición del llamado Paquete Telecom2. El Título
Segundo del Real Decreto Ley traspone la Directiva modificando el artículo 34 de la Ley 32/2003, de
3 de noviembre, General de Telecomunicaciones.
En lo que atañe a la seguridad la reforma dota
de mayor precisión al precepto3. En primer lugar,
2 Real Decreto-Ley 13/2012, de 30 de marzo, por el que se transponen directivas en materia de mercados interiores de electricidad y gas
y en materia de comunicaciones electrónicas, y por el que se adoptan
medidas para la corrección de las desviaciones por desajustes entre
los costes e ingresos de los sectores eléctrico y gasista.
Disponible en http://www.boe.es/diario_boe/txt.php?id=BOE-A-20124442.
3 En su antigua redacción éste señalaba:
« Artículo 34. Protección de los datos de carácter personal.
Sin perjuicio de lo previsto en el apartado 6 del artículo 4 y en el segundo párrafo del artículo anterior, así como en la restante normativa
específica aplicable, los operadores que exploten redes públicas de
comunicaciones electrónicas o que presten servicios de comunicaciones electrónicas disponibles al público deberán garantizar, en el ejercicio de su actividad, la protección de los datos de carácter personal
conforme a la legislación vigente.
Los operadores a los que se refiere el párrafo anterior deberán adoptar las medidas técnicas y de gestión adecuadas para preservar la
seguridad en la explotación de su red o en la prestación de sus servicios, con el fin de garantizar los niveles de protección de los datos
de carácter personal que sean exigidos por la normativa de desarrollo
de esta ley en esta materia. En caso de que exista un riesgo particular de violación de la seguridad de la red pública de comunicaciones
electrónicas, el operador que explote dicha red o preste el servicio de
comunicaciones electrónicas informará a los abonados sobre dicho
riesgo y sobre las medidas a adoptar».
15
APEPINFORMA06
4. Seguridad.
APEPINFORMA06
incluyendo en el párrafo segundo ciertas obligaciones precisas para los operadores:
«a) La garantía de que sólo el personal autorizado
tenga acceso a los datos personales para fines autorizados por la ley.
b) La protección de los datos personales almacenados o transmitidos de la destrucción accidental
o ilícita, la pérdida o alteración accidentales o el
almacenamiento, tratamiento, acceso o revelación
no autorizados o ilícitos.
c) La garantía de la aplicación efectiva de una política de seguridad con respecto al tratamiento de
datos personales.
Es evidente que ninguna de ellas constituye una
novedad significativa. Por otra parte, la normativa
vigente ya incorporaba el deber de informar a los
abonados en caso de que exista un riesgo particular de violación de la seguridad de la red pública
de comunicaciones electrónicas al que se suma el
deber de hacerlo cuando este afecte al «servicio
de comunicaciones electrónicas»4.
Si constituyen novedad en cambio los deberes
establecidos por el nuevo artículo 34.4 que debemos abordar párrafo a párrafo. Empezando por el
inciso final que define de modo asistemático que
debemos entender por incidente de seguridad que
constituya una “violación de datos personales»:
«A los efectos establecidos en este artículo, se entenderá como violación de los datos personales la violación de la seguridad que provoque la destrucción,
accidental o ilícita, la pérdida, la alteración, la revelación o el acceso no autorizados, de datos personales
transmitidos, almacenados o tratados de otro modo
en relación con la prestación de un servicio de comunicaciones electrónicas de acceso público».
El precepto fija obligaciones concretas de actuación:
«4. En caso de violación de los datos personales, el
operador de servicios de comunicaciones electrónicas disponibles al público notificará sin dilaciones
4 Este se define en el Anexo II de la LGT en los siguientes términos:
« Servicio de comunicaciones electrónicas: el prestado por lo general a
cambio de una remuneración que consiste, en su totalidad o principalmente, en el transporte de señales a través de redes de comunicaciones electrónicas, con inclusión de los servicios de telecomunicaciones
y servicios de transmisión en las redes utilizadas para la radiodifusión,
pero no de los servicios que suministren contenidos transmitidos mediante redes y servicios de comunicaciones electrónicas o de las actividades que consistan en el ejercicio del control editorial sobre dichos
contenidos; quedan excluidos, asimismo, los servicios de la sociedad
de la información definidos en el artículo 1 de la Directiva 98/34/CE
que no consistan, en su totalidad o principalmente, en el transporte de
señales a través de redes de comunicaciones electrónicas».
16
indebidas dicha violación a la Agencia Española de
Protección de Datos. Si la violación de los datos
pudiera afectar negativamente a la intimidad o a
los datos personales de un abonado o particular, el
operador notificará también la violación al abonado
o particular sin dilaciones indebidas.
La notificación de una violación de los datos personales a un abonado o particular afectado no será
necesaria si el proveedor ha probado a satisfacción
de la autoridad competente que ha aplicado las
medidas de protección tecnológica convenientes
y que estas medidas se han aplicado a los datos
afectados por la violación de seguridad. Unas medidas de protección de estas características convierten los datos en incomprensibles para toda persona que no esté autorizada a acceder a ellos».
Por tanto se establecen dos tipos de incidentes,
aquellos graves, por cuanto produzcan efectos negativos en la intimidad o en la protección de datos
deben ser notificados tanto a la AEPD como al propio abonado.
Debe comunicarse a la Agencia:
• El incidente.
• Sus consecuencias.
• Las medidas propuestas o adoptadas por el proveedor.
Una interpretación razonable del precepto debería
conducir a que cualquier afección a la intimidad,
-habida cuenta de la propia naturaleza de este derecho fundamental-, se notifique de inmediato al
afectado. En cambio en el caso del derecho fundamental a la protección de datos deberá evaluarse
el impacto por ejemplo patrimonial, -acceso a datos bancarios o tarjetas de crédito-, si la exposición
de determinados datos pudiera repercutir, de ser
inadecuadamente utilizados, en la esfera de derechos del afectado, -como por ejemplo los que permitan suplantar su identidad-, o cualesquiera otros
que, -como los datos de geolocalización-, puedan
suponer cualquier riesgo para la seguridad o los
bienes del sujeto. El inciso final del precepto parece apuntar necesariamente a la criptografía o cualquier tecnología equivalente, que blinde los datos
personales con independencia del nivel de seguridad que les atribuya la LOPD.
Incluso, cuando a juicio del operador no proceda
la notificación al abonado la Agencia Española de
Protección de Datos puede imponer esta medida:
«Sin perjuicio de la obligación del proveedor de informar a los abonados o particulares afectados, si
La notificación deberá contener:
• Una descripción de la naturaleza de la violación
de los datos personales.
• Los puntos de contacto donde puede obtenerse
más información.
• Recomendaciones sobre las medidas para atenuar los posibles efectos adversos.
Se reitera, el deber ya previsto por el RLOPD
de mantener un inventario de incidentes de
seguridad:
«Los operadores deberán llevar un inventario de
las violaciones de los datos personales, incluidos
los hechos relacionados con tales infracciones,
sus efectos y las medidas adoptadas al respecto, que resulte suficiente para permitir a la Agencia Española de Protección de Datos verificar el
cumplimiento de las obligaciones de notificación
reguladas en este apartado. Mediante real decreto podrá establecerse el formato y contenido del
inventario»5.
Por otra parte, debe destacarse que en materia
de integridad y seguridad de las redes y de los
servicios de comunicaciones electrónicas el nuevo artículo 36 bis impone a los operadores la obligación de:
• Gestionar adecuadamente los riesgos de seguridad que puedan afectar a sus redes y servicios
a fin de garantizar un adecuado nivel de seguridad y evitar o reducir al mínimo el impacto de
los incidentes de seguridad en los usuarios y en
las redes interconectadas.
• Garantizar la integridad de las redes públicas de
comunicaciones electrónicas a fin de asegurar
la continuidad en la prestación de los servicios
que utilizan dichas redes.
• Garantizar la mayor disponibilidad posible de
los servicios telefónicos disponibles al público a
5 Adicionalmente se define un cierto deber de diligencia en la implementación de procedimientos de respuesta ante derechos de acceso que, debería extenderse al conjunto de derechos ARCO.«5. Los
operadores instaurarán procedimientos internos para responder a las
solicitudes de acceso a los datos personales de los usuarios por parte
de las autoridades legalmente autorizadas. Previa solicitud, facilitarán
a las autoridades competentes información sobre esos procedimientos, el número de solicitudes recibidas, la motivación jurídica aducida
y la respuesta ofrecida».
través de las redes públicas de comunicaciones
en caso de fallo catastrófico de la red o en casos
de fuerza mayor, y adoptar todas las medidas
necesarias para garantizar el acceso sin interrupciones a los servicios de emergencia.
• Notificar al Ministerio de Industria, Energía y
Turismo, las violaciones de la seguridad o pérdidas de integridad que hayan tenido un impacto significativo en la explotación de las redes o
los servicios. El Ministerio podrá informa a las
autoridades nacionales competentes de otros
Estados miembros y a la Agencia Europea de
Seguridad en las Redes y la Información (ENISA). Asimismo, podrá informar al público o exigir a las empresas que lo hagan, en caso de
estimar que la divulgación de la violación reviste interés público. Una vez al año, el Ministerio
presentará a la Comisión y a la ENISA un informe resumido sobre las notificaciones recibidas
y las medidas adoptadas de conformidad con
este apartado.
Además se faculta al Ministerio de Industria, Energía y Turismo para determinar reglamentariamente
los mecanismos para supervisar el cumplimiento
de las obligaciones del artículo 36 bis. y dictar instrucciones vinculantes para los operadores, incluidas las relativas a las fechas límite de aplicación,
para que adopten determinadas medidas relativas
a la integridad y seguridad de redes y servicios de
comunicaciones electrónicas. Entre ellas, podrá
imponer:
a) La obligación de facilitar la información necesaria para evaluar la seguridad y la integridad de
sus servicios y redes, incluidos los documentos
sobre las políticas de seguridad.
b) La obligación de someterse a una auditoría de
seguridad sufragada por el operador y realizada por un organismo independiente o por una
autoridad competente poniendo el resultado a
disposición del Ministerio de Industria, Energía
y Turismo.
Por tanto, se define un escenario de seguridad que
no sólo atiende a los sistemas internos de las compañías sino también al conjunto de las redes y las
interacciones en estas en un ámbito europeo.
Es muy importante tener en cuenta esta regulación
ya que los artículos 31 y 32 de la Propuesta de
Reglamento Comunitario de protección de datos
personales extienden esta metodología al conjunto
de los responsables.
17
APEPINFORMA06
el proveedor no ha notificado ya al abonado o al
particular la violación de los datos personales, la
Agencia Española de Protección de Datos podrá
exigirle que lo haga, una vez evaluados los efectos
adversos posibles de la violación».
APEPINFORMA06
5. Jurisprudencia e informes.
5.1 Jurisprudencia
STC Tribunal Supremo.
Sala de lo Contencioso-Administrativo,
22 de febrero de 2012.
Sede: Madrid Sección 6ª.
Número de Recurso Casación: 2034/2009
ANTECEDENTES DE HECHO
La Audiencia Nacional dictó sentencia en febrero
de 2009, en el recurso contencioso administrativo
número 378/08, sobre Resolución de la Agencia
Española de Protección de Datos que acuerda el
archivo de reclamación por violación de los datos
personales especialmente protegidos (referidos a
la salud, intimidad personal y honor), por parte de
la Autoridad Portuaria de la Bahía de Cádiz y del
Hospital Santa María del Puerto. Se preparó recurso de casación contra la resolución, anteriormente señalada, emplazándose a las partes para que
comparecieran ante el Tribunal Supremo.
FUNDAMENTOS DE DERECHO
El denunciante promovió un procedimiento de responsabilidad patrimonial contra la Autoridad Portuaria de la Bahía de Cádiz a consecuencia de unas
lesiones sufridas en el Puerto de Santa María. En
el expediente de responsabilidad patrimonial el denunciante propuso entre los medios de prueba la remisión de oficio al Hospital de Santa María para que
se le solicite copia de toda la documentación de las
que disponga en relación a la fractura sufrida por del
denunciante. El Hospital remitió dicha documentación. La tesis del denunciante era que la aportación
de pruebas a cualquier procedimiento requería el
previo consentimiento de aquél a quien se refieren
los datos médicos. Prevalece el derecho de tutela
judicial efectiva, el hecho que son medios probatorios tendentes a acreditar hechos de gran relevancia
y que el recurrente solicitó como medio de prueba
que se oficiara al Hospital para recabar “toda la documentación” (expresión utilizada por el recurrente),
pudiéndose entender que con ello el recurrente autoriza por escrito la comunicación de los datos solicitados. La desestimación del recurso conlleva la
imposición de las costas a la parte recurrente.
18
FALLO
Declara finalmente la sentencia no haber lugar al
recurso de casación.
STC Tribunal Supremo.
Sala de lo Contencioso-Administrativo,
8 de febrero de 2012.
Sede: Madrid Sección 6ª.
Número de Recurso Casación: 25/2008
ANTECEDENTES DE HECHO
Se interpuso por la Federación de Comercio Electrónico y Marketing Directo recurso contenciosoadministrativo contra el Real Decreto 1720/2007,
de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de
13 de diciembre, de Protección de datos de carácter personal (en adelante, el RLOPD). Se interesa
la nulidad de los siguientes artículos del RLOPD:
5.1 q) in fine; 49; 47; 12.1 segundo párrafo; 8.5; 18;
20.1; 10, apartados 2.a) y 2.b); 45.1 b) in fine; 46,
apartados 2, 3 y 4; 13.4; 42; 38, apartado 1a) y b);
38.2 y 38.3; 41; 15; 83.
FUNDAMENTOS DE DERECHO
Según se desprende del Fundamento de Derecho
Cuarto, ni el artículo 6 ni el 11 de la LOPD han
acertado a trasponer correctamente el artículo 7 f)
de la Directiva. Tampoco lo hace el artículo 10.2 a)
y b) del RLOPD. La consideración fue que el interés legítimo del responsable es por si mismo título
que habilita, sin necesidad del consentimiento del
interesado.
Procede señalar que la mención en el apartado 2
b) de artículo 10 del RLOPD de que los datos objeto del tratamiento o cesión figuren en fuentes accesibles al público, no se corresponde con lo que el
artículo 7 f) de la Directiva 95/46 reza. El Tribunal
señala que con la exigencia que los datos figuren
en fuentes accesibles al público, se excluye todo
tratamiento de datos que no figuren en tales fuentes, por lo que el 10.2.b) del RLOPD no se contiene
en el artículo 7 f) de la Directiva 95/46.
Extender el pronunciamiento de estimación del recurso contencioso-administrativo interpuesto, que
se realiza al artículo 10.2 b), que anulan por disconforme a derecho.
en fuentes accesibles al público, se excluye todo
tratamiento de datos que no figuren en tales fuentes, por lo que el 10.2.b) del RLOPD no se contiene
en el artículo 7 f) de la Directiva 95/46.
FALLO
STC Tribunal Supremo.
Sala de lo Contencioso-Administrativo,
de 8 de febrero de 2012.
Sede: Madrid Sección 6ª.
Número de Recurso Casación: 23/2008
ANTECEDENTES DE HECHO
Se interpuso recurso contencioso-administrativo
por la Asociación Nacional de Establecimientos Financieros de Crédito (en adelante, ASNEF) contra
el Real Decreto 1720/2007, de 21 de diciembre,
que aprueba el reglamento de desarrollo de la Ley
Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal (en adelante,
RLOPD). Se suplicó que se declarara la nulidad de
los artículos siguientes del RLOPD: 5, 8, 10.2 a) y
b) a 13, 18, 21, 23, 24, 38 a 47, 49, 69, 70 y 123.
A su vez, se instó que se plantease Cuestión Prejudicial ante el Tribunal de Justicia de las Comunidades Europeas, suspendiendo el recurso. El Abogado del Estado se opuso a la demanda alegando
que la recurrente no ostentaba legitimación activa
para impugnar los artículos 45.1 b) 46.2 b) y c),
46.3, 49.2 y 4 del RLOPD, siendo el RLOPD conforme a Derecho. El Tribunal de Justicia declaró
que el artículo 7 de la Directiva 95/46/CE, del Parlamento y del Consejo, de 24 de octubre de 1995
(en adelante, la Directiva), se opone a la normativa
nacional que, para permitir el tratamiento de los datos personales necesario para la satisfacción del
interés legítimo, se exige (en el caso de no contar
con el consentimiento del interesado), a parte del
respeto de los derechos y libertades fundamentales, lo siguiente: que los datos figuren en fuentes
accesibles al público.
FUNDAMENTOS DE DERECHO
Procede señalar que la mención en el apartado 2
b) de artículo 10 del RLOPD de que los datos objeto del tratamiento o cesión figuren en fuentes accesibles al público, no se corresponde con lo que el
artículo 7 f) de la Directiva 95/46 reza. El Tribunal
señala que con la exigencia que los datos figuren
Extender el pronunciamiento de estimación de recurso contencioso-administrativo interpuesto por
ASNEF contra el artículo 10.2 b) del RLOPD. Se
anula por ser disconforme a derecho.
5.2 Informes
Informe AEPD 0223/2011 Publicación en páginas web de la Universidad de datos de contactos de sus profesores. Excluido de la LOPD.
Enlace para descarga.
Este informe resuelve la consulta de una universidad sobre si puede proceder a publicar en la página web de la Universidad los datos de contacto
de sus profesores consistentes en el número de
teléfono y correo electrónico de la Universidad sin
su consentimiento, con la finalidad de favorecer la
actividad docente a través de la interrelación con
los alumnos, incluso si alguno manifiesta su oposición.
La publicación planteada implica la existencia de
una cesión o comunicación de datos de carácter
personal, definida por el artículo 3 i) de la Ley Orgánica 15/1999.
En relación con las cesiones, el artículo 11.1 de la
Ley indica que “Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados
a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas
del cedente y del cesionario con el previo consentimiento del interesado”. No obstante, este consentimiento no será preciso, en cualquiera de los supuestos del artículo 11.2.
El Reglamento de desarrollo de la Ley Orgánica
15/1999, de 13 de diciembre, de Protección de
Datos de Carácter Personal, aprobado por Real
Decreto 1720/2007, de 21 de diciembre, en su artículo 2.2 establece que “Este reglamento no será
aplicable a los tratamientos de datos referidos a
personas jurídicas, ni a los ficheros que se limiten
a incorporar los datos de las personas físicas que
presten sus servicios en aquéllas, consistentes
19
APEPINFORMA06
FALLO
APEPINFORMA06
únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax
profesionales.”
En el supuesto planteado parece claro que la finalidad del fichero de contactos se limita exclusivamente a facilitar el desarrollo y mantenimiento
de la actividad docente y formativa ofertada por la
Universidad consultante mediante la incorporación
de las tecnologías de la información a los métodos
de enseñanza, que favorezcan la comunicación
profesor-alumno y redunden en la mejora de la
actividad académica de la Universidad como institución.
Por ello, si los datos identificativos de los profesores universitarios aparecen exclusivamente vinculados a su actividad en el marco de una determinada Administración Pública, y siempre que dicho
tratamiento se limite a los datos de los afectados
en su mera condición de cargos, administradores
o representantes de una empresa o profesores de
la Universidad, cabría considerar que estos datos
estarían excluidos del marco de aplicación de la
Ley 15/1999.
Informe 0213-2011 Comunicación por empresa a Sindicato de Relación mensual de cuotas
descontadas en nómina a sus afiliados.
Enlace para la descarga.
La consulta plantea si el empresario puede comunicar al sindicato consultante la relación mensual
de los descuentos efectuados en nómina a sus afiliados.
En el presente caso, será necesario contar con el
consentimiento expreso y por escrito del afiliado no
sólo para la comunicación al sindicato de los datos referidos al pago de la cuota sindical por parte
del empresario, sino también para la comunicación
previa efectuada por el sindicato al empresario de
20
su condición de afiliado que solicita el descuento
en la nómina de la citada cuota.
Resultando clara la existencia de una cesión de
datos y la necesaria concurrencia del consentimiento del afectado, es necesario analizar si en el
supuesto planteado el afiliado ha prestado su consentimiento a la comunicación de sus datos tanto
del sindicato a la empresa, en lo referente a la opción adoptada por el afiliado, como de ésta a aquél,
en lo relativo a la deducción en nómina de la cuota
sindical, o la no deducción por indicación del propio
trabajador.
En este sentido, el artículo 11.2 de la Ley Orgánica
11/1985, de 2 de agosto, de Libertad Sindical dispone que “El empresario procederá al descuento
de la cuota sindical sobre los salarios y a la correspondiente transferencia a solicitud del sindicato del
trabajador afiliado y previa conformidad, siempre,
de éste”, aclarando el apartado 1 del mismo artículo que, en el abono de las correspondientes cuotas
“en todo caso, se respetará la voluntad individual
del trabajador”.
Es decir, el propio afiliado solicita expresamente al
sindicato que comunique al empresario su deseo
de que la cuota que ha de satisfacer al sindicato
le sea deducida de la nómina mensual, del mismo
modo que, como también se indica en otro lugar de
este informe, puede solicitar a aquél la domiciliación del correspondiente recibo.
Igualmente, a través de la elección expresa por el
trabajador de la opción señalada, manifiesta expresamente su voluntad de que el sindicato pueda
conocer el efectivo abono de su cuota por parte del
empresario, quedando así habilitada por su propio
consentimiento la comunicación que el empresario
pueda efectuar al sindicato no sólo del hecho genérico del pago, sino también de su imputación a
la cuota sindical de cada concreto trabajador que
hubiera optado por esta modalidad.
La protección de la vida privada en un
mundo conectado: un marco europeo
para la protección de datos
Crónica de Carme Sánchez Ors.
• Se refuerzan los derechos ARCO y se suman
nuevos conceptos vinculados a nuevas realidades derivadas del uso de Internet la portabilidad
y el derecho al olvido.
El pasado 9 de febrero en el marco de la Jornada
sobre el marco europeo de la protección de datos
personales organizadas por la APDCAT tuvimos la
oportunidad de tener una primera aproximación a
la propuesta de Reglamento Comunitario.
• Como ya venía ocurriendo la regulación europea no se centra en ficheros sino en tratamientos. No se prevé ni el registro de ficheros ni
creación de los mismos. Desde APEP debemos
señalar que como contrapartida se establecen
obligaciones de documentación que constituyen
funciones-obligaciones del oficial de protección
de datos (DPO).
En primer lugar, Manel Camós. Director de la
Representación de la Comisión Europea en Barcelona, subrayó la necesidad de actualización de
la normas a las TIC i a las necesidades de las
empresas en el mercado único pero, obviamente
garantizando el derecho a la privacidad.
• Se potencian mecanismos prevención. En este
campo el papel del DPO será fundamental en
las evaluaciones de impacto privacidad, Privacy
by design y by default. Asimismo existen referencias a certificados y sellos de calidad, códigos de conducta, etc.
Por su parte, Ester Mitjans. Directora de la APDCAT, subrayó lo dilatado del proceso de revisión,
dos años, y el hecho de tener que recurrir a una
directiva. En nuestra opinión, el ámbito policial, y
por tanto el tratarse de una competencia en gran
medida reservada a los estados justificaría esta
elección.
• Se refuerza el valor seguridad, pero trasladando su centro de gravedad del tipo de datos a la
naturaleza de los riesgos detectados y se fija la
obligación de notificar quiebras de seguridad.
• Se refuerza la figura de las autoridades de control, su independencia, y los mecanismos de
cooperación y asistencia mutua.
En cualquier caso, señaló la necesidad de hacer
frente a nuevos riesgos derivados de los tratamientos en el marco de las tecnologías de la información y de las telecomunicaciones. En su opinión la
propuesta posee ciertas notas distintivas:
• El nuevo régimen sancionador europeo comporta un aumento de los importes fijando mecanismos de modulación como el volumen facturación, o ciertas ventajas para empresas con
menos de 250 trabajadores.
• La aplicación directa a todos los estados miembros era cuestión sencilla y se ha optado por un
Reglamento, que dota de uniformidad, pero resta competencia a las autoridades nacionales.
Y en ese contexto, ¿cual será el papel de la legislación española? Resolver supuestos de conflicto
cuando afecten a supuestos específicos regidos por
normas nacionales como la libertad de expresión.
• La propuesta cambia distintos aspectos eliminando aquellos que se han demostrado ineficaces e incluyendo mejoras.
En tercer lugar, José Manuel Frutos (Dirección general de Justicia de la Comisión Europea), tras un
breve repaso al proceso de consultas y a la situación
actual, destacó que la transposición de la Directiva
obligó a tener 27 leyes nacionales. Estas presentan
asimetrías y para los operadores sujetos a más de
una legislación nacional comportan inseguridad jurídica, unos costes de 2.300 millones € anuales para
las empresas, -derivados de trámites adicionales-,
y serios problemas de competitividad.
Barcelona, 9 de febrero de 2012.
• El consentimiento continúa siendo la clave de
bóveda de la regulación, incluyendo el de los
menores a los 13 años, -en la línea de la ley
norteamericana COPPA-, y se excluye cuando
existen relaciones desiguales (ej. Laborales).
Desde APEP queremos recordar que esta ha
sido una posición constante en los dictámenes
del Grupo del artículo 29.
• Se mantiene la conocida cláusula de interés legítimo.
Por ello, garantizando el derecho fundamental a la
protección de datos era necesario garantizar reglas
uniformes frente al mercado exterior de la protec21
APEPINFORMA06
6. Crónica de eventos
APEPINFORMA06
ción de datos reduciendo la fractura entre estados
miembros y simplificando el marco normativo. Ello
debería facilitar los flujos internacionales de datos
y garantizar una protección adecuada.
Por ello, el objetivo primordial del nuevo reglamento es garantizar una regulación uniforme, y al igual
que la Directiva Establece reglamentación uniforme proteger los derechos fundamentales a y garantizar libre circulación de datos en la UE. De ahí
que el ponente justificase el acudir a este tipo de
norma por cuanto unifica, reduce la fragmentación
normativa, incrementa la certeza jurídica y mejora
el funcionamiento del mercado interior.
Entre los principales cambios se señalaron los siguientes:
• Asegurar a los ciudadanos el control de sus datos
• Mejorar la información, más y más clara a los
ciudadanos sobre el tratamiento de sus datos.
• garantizar un consentimiento libre, informado y
explicito (cuando sea la base del tratamiento.
• Facilitar el ejercicio de derechos (ARCO)
• Regular el derecho al olvido y a la portabilidad
• Generalizar la notificación de fallos de seguridad
• Definir reglas para el mercado interno digital
• Asegurar la reducción de la fragmentación normativa y simplificar formalidades, con un ahorro
estimado en 2.300 millones € anuales en cargas
administrativas y costos innecesarios. Sólo la
supresión de la notificación de ficheros supondría un ahorro de 130 millones de € año).
• Establecer para ciertos trámites y competencias, sobre la base del establecimiento, una
autoridad de control única de referencia para el
responsable (ONE STOP SHOP).
• Mejorar el sistema de supervisión e instituciones
• Mantener las autoridades de control como entidades totalmente independientes, con recur-
22
sos suficientes, y con poderes de intervención y
sanción efectivas (enforcement).
• Garantizar una cooperación más eficaz y rápida
de las autoridades, fijar reglas de reconocimiento mutuo de las decisiones, y mecanismos de
cooperación en investigaciones e inspecciones.
• Fijar un mecanismo de coherencia a nivel UE,
que garantice que las decisiones de una autoridad que puedan afectar a varios Estados miembros (o ciudadanos de varios estados) sean discutidos a nivel UE para que tomen en cuenta
las opiniones de las demás autoridades y sean
compatibles con el Derecho de la UE.
• Se propone al conversión del Grupo de trabajo
del art.29 en Comité Europeo de Protección de
datos independiente, sin participación de la Comisión que podrá solicitar dictámenes.
• Mejorar la regulación de las Transferencias Internacionales de Datos (TID). Se trata de hacer
frente a los retos de la globalización, y en especial del Cloud Computing, facilitándolas pero
asegurando la protección de los derechos de
los cuidadnos (continuidad de la protección).
Para ello se requieren: 1) reglas claras que determinen cuando el derecho de la UE se aplica a
responsable del establecido en terceros países;
2) simplificar las decisiones de adecuación de
países terceros; 3) criterios más precisos para
la evaluación de países terceros; 4) facilitar/simplificar los instrumentos utilizados para transferencias cuando el país tercero no ofrece un nivel
adecuado de protección; 5) facilitar la adopción
de normas corporativas vinculantes (BCR) para
cesiones en el seno de una corporación; y 6)
desarrollar negociaciones con países terceros y
organismos internacionales para promover estándares de protección interoperables y con un
alto nivel de protección.
En el turno de intervenciones los asistentes plantearon sus dudas respecto de la regulación, suscitándose un amplio debate al respecto.
PABLO LUCAS MURILLO
DE LA CUEVA.
Magistrado del Tribunal Supremo, Catedrático de
Derecho Constitucional y, junto con el profesor Antonio E. Pérez Luño, uno de los padres de la dogmática del derecho fundamental a la protección de
datos en el Derecho Español. Su extensa bibliografía arranca de una obra nuclear, El derecho a la
autodeterminación informativa, de obligada lectura
si se quiere realmente entender el derecho fundamental a la protección de datos en España.
Mucho ha llovido desde su publicación en 1990
lo que permite al Dr. Lucas Murillo de la Cueva
tener una amplia perspectiva sobre la evolución del derecho fundamental a la protección
de datos.
¿Le ha sorprendido el potencial alcanzado por
el derecho fundamental a la protección de datos? ¿Podía el constituyente cuando redactó el
artículo 18.4 de la Constitución prever que se
iba a convertir en un derecho esencial para las
modernas sociedades?
Las Cortes que hicieron la Constitución quisieron
establecer límites al uso de la informática no sólo
para preservar los derechos al honor, a la intimidad personal y familiar y a la propia imagen sino,
también, para garantizar a los ciudadanos el pleno
ejercicio de sus derechos, de todos sus derechos.
Eran, pues, conscientes de que, junto a ventajas
imprescindibles, las que ahora llamamos tecnologías de la información y de las comunicaciones
comportan riesgos, no sólo para esos derechos del
artículo 18.1, sino para los más variados aspectos
de la vida de las personas. El lugar en que incluyeron el mandato al legislador de limitar el uso de
la informática es bien significativo: el dedicado a
la regulación de los derechos fundamentales. Si,
además, tenemos presente que la Constitución
portuguesa de 1976, muy próxima en el tiempo y
uno de los textos que manejaron, ya había recogido en su artículo 35 aspectos del derecho a la
protección de datos, no creo que los autores de la
nuestra pensasen que esta era una cuestión poco
relevante.
Precisamente, por eso, sorprende la escasa preocupación del legislador ordinario por abordar el desarrollo del artículo 18.4 de la Constitución. Contrasta
con la que prestaron los constituyentes a las nuevas
circunstancias que afectaban a los derechos de las
personas, atención ésta que permitía esperar que,
una vez en vigor el texto de 1978, se dictaran las
leyes previstas en él. Así sucedió en casi todos los
casos y es verdad que, en los primeros años, la preferencia debía estar en la creación de las instituciones y en llevar a cabo el proceso autonómico. La
puesta en marcha del diseño constitucional fue, en
sí misma y en comparación con otras experiencias,
muy rápida. A mediados de los años ochenta casi se
había completado. Sin embargo, no se acordaron
las Cortes de hacer la ley prevista por ese artículo
18.4 ni de sacar de él las consecuencias debidas
hasta 1992. Antes se limitaron a incluir una disposición transitoria en la Ley Orgánica 1/1982, diciendo
que, mientras tanto, se estaría a lo que en ella se
establecía para proteger civilmente el honor, la intimidad personal y familiar y la propia imagen. Solución claramente insuficiente.
Desde luego, ha sido decisivo que, finalmente, en
2000 se reconociera el derecho a la protección de
datos o derecho a la autodeterminación informativa como un derecho fundamental tanto en España
como en la Unión Europea y en la jurisprudencia
del Tribunal Europeo de Derechos Humanos, pero
creo que todavía hay un largo camino por recorrer
para completar y, sobre todo, consolidar el potencial que le corresponde.
La LOPD, y antes la LORTAD, fueron criticadas
por ser leyes imperfectas o restrictivas que o
bien se adelantaron a la Directiva, o bien la traspusieron de forma imperfecta. Sin embargo, en
el periodo que arranca con la LORTAD en 1992,
la jurisprudencia del Tribunal Constitucional y
del Tribunal Supremo, y después de la LOPD
la de la Audiencia Nacional, junto con la labor
de la Agencia Española de Protección de Datos parecen haber construido un sólido cuerpo
doctrinal. ¿Realmente es así o siempre podemos encontrar problemas pendientes?
Desde una perspectiva histórica es claro el avance en materia de derechos. En el largo plazo así
23
APEPINFORMA06
7. Entrevista a:
APEPINFORMA06
se aprecia sin dificultad aunque en períodos más
cortos se adviertan pausas e, incluso, retrocesos
que, sin embargo, son corregidos posteriormente.
El derecho a la autodeterminación informativa no
tiene por qué ser una excepción a esa regularidad.
En el período transcurrido desde que entró en vigor
la LORTAD hasta hoy hemos vivido un proceso de
construcción de este derecho en el que la actuación de la Agencia Española de Protección de Datos y de las tres autonómicas que se han creado, la
madrileña, la catalana y la vasca, las aportaciones
de los estudiosos y la interpretación jurisprudencial
han llenado huecos de la LOPD y aprovechado los
instrumentos que ofrece para que podamos controlar efectivamente el uso por terceros de nuestros
datos personales. El progreso ha sido manifiesto.
No obstante, éste, como todos los derechos, no es
ilimitado. Además, se proyecta sobre un espacio
en el que, de un lado, juegan intereses públicos
que no se pueden desconocer y, de otro, se mueven muy importantes intereses económicos. El reto
de mantener en sus debidos límites a los primeros
y de lograr un equilibrio razonable con las pretensiones de los segundos que no suponga imponer
a los afectados cargas que no deben soportar es
permanente y puede dar lugar a desajustes. No
obstante, precisamente, gracias al trabajo que ya
se ha hecho, creo que estaremos en condiciones
de superarlos.
¿Qué opinión le merece la reciente evolución
europea en esta materia pasando por la “juridificación” de la Carta Europea de Derechos Fundamentales y la Propuesta de Reglamento de la
Comisión?
El reconocimiento del derecho a la protección de
datos como derecho fundamental constituye un hito
porque, además de darle carta de naturaleza como
categoría autónoma, permite organizar a partir de
ella un contenido jurídico específico y, sobre todo,
le asegura el máximo nivel de garantía en toda la
Unión Europea. Participa, en efecto, de la posición
preferente propia de los derechos fundamentales y
esta circunstancia juega a la hora de establecer sus
confines y de resolver los conflictos en que pueda
encontrarse con otros derechos. Me parece que la
propuesta de Reglamento parte de esa premisa y
trata de sacar las consecuencias correspondientes. Por eso, le dedica un tratamiento mucho más
consistente que el ofrecido por la Directiva 95/46/
24
CE y conduce a una posición de mayor equilibrio
frente a quienes manejan información personal. En
el fondo, todo obedece a la conciencia de que, en
las condiciones sociales actuales, es imprescindible contar con instrumentos jurídicos que nos permitan imponer límites efectivos a los tratamientos
de datos personales que hacen terceros..
Por tanto, considero una buena noticia que la
propuesta de Reglamento se mueva en esa
dirección.
Se acusa a la legislación española por su dureza y sin embargo una lectura de la Propuesta de
la Comisión parece apuntar hacía una cierta españolización en ámbitos como el enforcement,
el derecho al olvido o el régimen sancionador.
¿Qué opinión le merecen estos posibles cambios?
Me parecen bien. Aunque en España fue el Tribunal Constitucional el que reconoció como derecho fundamental el de protección de datos, estoy
convencido de que a ese resultado se llegó no
sólo porque, casi simultáneamente así lo declaró la Carta de los Derechos Fundamentales de
la Unión Europea y afirmó la jurisprudencia de
Estrasburgo, sino porque la LORTAD, cuya regulación mantiene sustancialmente la LOPD, recogió una disciplina coherente con ese carácter a
partir de los fundamentos ofrecidos por la propia
Constitución. La exposición de motivos de aquella
ley orgánica ya decía que estaba regulando “un
nuevo y más consistente derecho a la privacidad
de las personas”. En 2000 se le pone el nombre.
En consecuencia, si frente a otras experiencias
en las que se ha plasmado un régimen jurídico
menos comprometido, se sigue la orientación que
hemos trazado en España será una buena noticia
para todos.
El derecho al olvido que afirma expresamente la
propuesta de Reglamento ya resulta de nuestra
LOPD y, también, aunque con menos énfasis, de
la Directiva 95/46/CE. Recuperar a través de él las
barreras que anteriormente ofrecían el tiempo y el
espacio, sin por ello derivar en censura ni reconstruir la historia es una opción acertada.
El régimen sancionador, por otra parte, es imprescindible para asegurar el cumplimiento de las normas. Y debe ser riguroso aunque concebido de
manera que no sea la única ni la primera respuesta. Además, debe afinarse de manera que tenga
Vd. además del ejercicio de la función jurisdiccional ha desarrollado una carrera académica.
En España la universidad viene ofreciendo títulos de postgrado relacionados con la protección de datos personales desde los años 90.
¿Cree que eso ha influido en la preparación de
nuestros profesionales?
Sin duda. Una de las principales dificultades a las
que se vienen enfrentando las autoridades encargadas de hacer valer el derecho a la protección de
datos personales es el desconocimiento que todavía existe sobre los peligros que quiere conjurar.
Desconocimiento que se encuentra aún en sedes
e instancias en las que, por su relevancia política,
económica o social, debería haber una clara conciencia sobre el particular. Contar con profesionales preparados al respecto en las instituciones y en
la sociedad es fundamental para conseguir resultados. Creo que puede traerse a colación a este
respecto, con todas las cautelas que se quiera por
la diferencia material, lo sucedido con la prevención de los riesgos laborales. A partir de la Ley de
1995, Administraciones y empresas han tenido que
tomarse más en serio las exigencias de protección
de la salud y seguridad de los empleados públicos
y trabajadores y les han ayudado a progresar en
ese camino los profesionales titulados específicamente en dicho ámbito gracias a las enseñanzas
ofrecidas por los centros universitarias.
guiendo la directiva correspondiente, no se ha contentado con las soluciones regulatorias tradicionales sino que ha establecido en las empresas y en
las Administraciones Públicas servicios de prevención y delegados de prevención.
Me parece que es acertado aplicar una solución
parecida y obligar a que las Administraciones y
las empresas de cierta envergadura --la propuesta habla de las que tengan más de 250 trabajadores-- cuenten con ese delegado de protección de
datos. Y, también, que deban contar con él quienes
se dediquen a realizar tratamientos de datos personales que requieran un seguimiento periódico
y sistemático de los interesados. La presencia de
un técnico cualificado, dotado de garantías razonables de estabilidad en el puesto, beneficia, a la
vez, al responsable del tratamiento, pues le asegura un asesoramiento profesional que le permitirá
moverse en el respeto a la legalidad, y a los afectados. La asistencia específica que el delegado de
protección de datos prestará a quienes aspiran a
tratar sus datos personales o ya los están tratando
representará para sus titulares una medida protectora adicional, eficaz en tanto en cuanto contribuya
a que dichos tratamientos se lleven a cabo de conformidad con el ordenamiento jurídico.
La propuesta de Reglamento prevé la figura del
Delegado de Protección de Datos, ¿qué opinión
le merece esta previsión?, ¿qué retos formativos supone para nuestros profesionales?
El respeto real al derecho fundamental a la protección de datos personales requiere, desde luego, el establecimiento de normas que reconocen
facultades a sus titulares e imponen deberes y
limitaciones a los sujetos pasivos, también necesita de un régimen sancionador adecuado y de órganos especializados que velen por la aplicación
de todo el conjunto normativo que gira en torno al
derecho fundamental. Todo eso, no obstante, es
insuficiente. En la medida en que los riesgos a la
autodeterminación informativa son transversales,
no se concentran en una determinada actividad o
sector, son necesarios otros instrumentos en los
planos de la formación e información y en los de
la prevención. Instrumentos que han de utilizarse
en el contexto de la necesaria programación para
dar lugar a actuaciones integradas en un diseño
global encaminado a darnos seguridad jurídica
frente al tratamiento de nuestros datos en todos
los ámbitos.
De nuevo recurro a la comparación con la prevención de riesgos laborales. Para proteger el derecho
a la salud y la seguridad en el trabajo, la Ley, si-
Los delegados de protección de datos se inscriben,
pues, en ese planteamiento integral. Por eso, esta
figura es importante.
Lo mismo sucede con la protección de datos de carácter personal. La formación superior universitaria
especializada asegura la cualificación necesaria
para afrontar y resolver los problemas que suscita
en la organización y el funcionamiento de las Administraciones Públicas y de las empresas.
25
APEPINFORMA06
presente la posición y características del infractor
a la hora de graduar la culpabilidad y considere
debidamente la entidad real de la infracción a los
efectos de la proporcionalidad de la sanción a imponer.
APEPINFORMA06
¿QUIERES COLABORAR?
Con el objeto de fomentar la participación de los asociados y dado que en el seno de la APEP existen
profesionales que pueden realizar interesantes aportaciones en la materia os reiteramos la invitación que
se realizó en su día para que podáis proponer temas sobre los que escribir un artículo para próximas
ediciones del boletín. Aquellos que estéis interesados deberéis remitirlos a [email protected]ep.es.
26
Descargar