06 MAYO 2012 En este número: APEP Informa EDITORIAL PAGINA01 1. Editorial PAGINA02 2. Estudios. 2.1. Hacia una Ley de Transparencia. 2.2. Videovigilancia en las Autoridades de Control Autonómicas. PAGINA12 3. Artículos. 3.1. El “interés legítimo”: un balance de intereses 3.2. Protección de datos como reto y oportunidad empresarial. PAGINA15 4. Seguridad. Notificación de incidentes de seguridad en la transposición del paquete Telecom. PAGINA18 5. Jurisprudencia e informes PAGINA21 6. Crónica de eventos. La protección de la vida privada en un mundo conectado: un marco europeo para la protección de datos PAGINA23 7. Entrevista a Pablo Lucas Murillo de La Cueva De nuevo la agenda legislativa constituye sin ningún género de dudas el horizonte más inmediato y estratégico para los profesionales de la protección de datos personales. En el plano nacional, la aparición de un Proyecto de Ley de Transparencia, Acceso a la Información Pública y Buen Gobierno y la trasposición de la Directiva “Telecom” define objetivos inmediatos. En este sentido, aunque el objetivo del Proyecto no sea regular el derecho fundamental a la protección de datos es evidente que, con la entrada en vigor de la norma, en muchos casos se van a producir situaciones de conflicto que requerirán un asesoramiento experto y un conocimiento profundo no sólo de la LOPD, sino de los aspectos del Derecho público relacionados con esta materia. Por otra parte, la regulación de las ya famosas “cookies” cuya precisión deja bastante que desear, ya desde el nivel europeo, planteará retos de adaptación no siempre sencillos en un escenario en el que la empresa acude cada vez más al mundo Internet como estrategia de crecimiento y consolidación. Por último, aunque en la trasposición aparecen deberes de seguridad aplicables a los operadores de telecomunicaciones no es menos cierto que la Propuesta de Reglamento presentada por la Comisión se prevé su extensión a todos los sectores especialmente en lo que atañe a la notificación de quiebras de seguridad. Precisamente esta propuesta abre un horizonte a medio plazo para nuestra profesión y la define como un elemento estratégico. Y ello no sólo por la necesidad de contratar un profesional para ciertas empresas o tratamientos, sino también porque obligaciones como la llamada “accountability” o las tareas de “data protection by design” o “by default” no podrán desarrollarse sin un asesoramiento experto. En todos estos escenarios trabaja APEP ofreciendo opinión y conocimiento tanto a las autoridades nacionales como internacionales. En tal sentido, la asistencia a la reunión celebrada en la sede de la Comisión Europea Madrid con la vicepresidenta Viviane Reding, muestra un reconocimiento al trabajo de APEP y un espaldarazo al sector profesional en España. Sin embargo, todas estas novedades plantean un reto individual y colectivo. El cambio normativo no puede suceder a nuestras espaldas, no podemos limitarnos a recibirlo como un destino ineludible e inevitable. A través de APEP podemos dar nuestra opinión e influir en esta fase de elaboración: y debemos hacerlo. Pero además, en el medio plazo el mercado requerirá profesionales formados y certificados. La formación, la adquisición de nuevas habilidades y competencias es nuestro mayor desafío, en el que ni podemos ni debemos fallar. 1 APEPINFORMA06 NÚMERO APEPINFORMA06 2. Estudios. 2.1 Hacia una Ley de Transparencia Transparencia de la actividad pública. Fco. Javier Sempere. Esta primera parte de la futura ley, reconoce el derecho de acceso a la información, y de acuerdo a lo fijado en el artículo 2 (“Ámbito de aplicación”), sólo quedaría fuera la Casa del Rey (cuestión que ya ha sido criticada en varios medios). No obstante, y relacionado con el citado precepto, no hubiese estado de más que expresamente el texto contemplase la exigencia de que se hiciese público el nombre y número de organismos públicos (incluyendo a las sociedades anónimas) de las diferentes Administraciones públicas, que como muchos sabrán se han utilizado en los últimos años para agilizar la “contratación”, ya sea de personal, ya sea de los tipos de contratos que contempla el Texto Refundido de la Ley de Contratos. Asesor de Apoyo Técnico-Jurídico de la APDCM. Miembro de la APEP. Twitter: @fjavier_sempere Blog: http://fjaviersempere.wordpress.com/ Recientemente, se han iniciado los trámites para la aprobación de la Ley de Trasparencia Administrativa y de esta forma cumplir con una de las demandas no sólo de la sociedad sino también a nivel europeo, ya que España es uno de los pocos países de la Unión, junto con Grecia, Chipre, Malta y Luxemburgo que no tiene aprobada una Ley de este carácter. Como decía en el primer párrafo, se ha puesto en funcionamiento el mecanismo legislativo para aprobar dicha ley. Así, se ha publicado el Anteproyecto de esta Ley bajo el título “Ley de Transparencia, Acceso a la Información Pública y Buen Gobierno”, abriéndose un plazo de consulta pública para que cualquier ciudadano pueda enviar sus comentarios u opiniones al respecto. En este sentido, y tal como su nombre indica, el anteproyecto de esta Ley se divide en dos apartados: • Transparencia de la actividad pública, que incluye lo referente al acceso a la información que obra en poder de las Administraciones. • Buen gobierno, que tipifica una serie de conductas reprochables y sancionables en el ejercicio de un cargo público. Destacar que el gobierno anterior ya presentó en su día diversos borradores de esta Ley que finalmente no llegaron a tramitarse. De hecho, el anteproyecto presentado no es más que una nueva versión del último borrador que en su día hizo público el gobierno del PSOE. Asimismo, durante el último mandato de este partido político, el PP presentó una Proposición de Ley sobre transparencia, que técnicamente es bastante mejor que el actual (ver al final de este artículo cuadro comparativo sobre los tres textos). Por cierto, como curiosidad comentar que el anteproyecto carece de exposición de motivos como la vigente LOPD, aunque supongo que posteriormente se incluirá. 2 Destaca también los supuestos de publicación obligatoria en las sedes electrónicas o webs de las Administraciones públicas (artículos 5 y 6): entre ellos, informes a consultas planteadas, anteproyectos de ley, contratos, subvenciones, convenios suscritos, presupuestos y su estado de ejecución. Y digo destaca porque la mayoría de ellos ya son objeto de publicación (si bien es cierto que algunos casos no, como los contratos menores). Por lo cual, podemos interpretar estos dos artículos con una doble lectura: • Se establecen unos criterios mínimos de transparencia, ordenando su publicación obligatoria de manera organizada en cada web de la respectiva Administración, sin necesidad de tener que buscar, por ejemplo, el Boletín Oficial correspondiente donde ha sido objeto de publicación la adjudicación de un contrato. • El legislador trata de “dirigir” a la sociedad “sobre lo que puede conocer y la información a la que puede acceder”. Craso error sería si esta fuese la intención del legislador, puesto que una vez aprobada la ley aflorarán peticiones del tipo: ¿Cuánto ha costado la organización de tal evento? ¿Cuál es el recorrido de la última semana del coche del ministro? (Más que nada para comprobar, por ejemplo, que el coche oficial no se usa para recoger a los niños del colegio o hacer la compra). ¿Cuántas personas han viajado a la Conferencia Internacional y qué dinero se les ha pagado en concepto de dietas y manutención? Por otra parte, los artículos 8 a 21 regulan el “grueso” del derecho a la información. En otras palabras, el “Qué, cuándo y cómo podemos acceder a esa información”. El texto, contempla el citado derecho como un desarrollo del artículo 105 b) de la Constitución Española (el acceso a archivos y registros), lo cual supone que no lo reconoce como derecho fundamental (como algunas asociaciones han exigido). Asimismo, contempla una serie de límites en el ejercicio del mismo, de manera que pueda ser restringido, total o parcialmente. Restricciones en el derecho de acceso. Las podemos calificar en tres grupos (ver cuadro adjunto). En primer lugar, aquella información que no es considerada como “información pública”, que será, entre otras, las que afecta a la seguridad nacional o defensa. En segundo lugar, aquellas que pueden suponer un “acceso restringido” (recordemos que se permite el acceso parcial). Sobre las mismas, se ha ampliado el catálogo de las mismas si las comparamos con lo previsto en el artículo 37.5 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común. Así, aparecen como motivos para limitar el derecho de acceso, entre otras, “las funciones administrativas de vigilancia, inspección y control”, “la propiedad intelectual e industrial”, y “la protección del medio ambiente”. Si bien el primero de los supuestos enumerados es de sentido común, ya que cualquier actuación de inspección está sometida al secreto, más dudosos son los otros dos límites sobretodo el último de ellos, tal y como aparece de manera tan genérica. En este sentido, este límite ha ido más allá del que establece la Ley 27/2006, de 18 de octubre, por la que se regulan los derechos de acceso a la información, de participación pública y de acceso a la justicia en materia de medio ambiente, que limita el acceso a la información medioambiental cuando “la solicitud pueda afectar negativamente a la protección del medio ambiente solicitada. En particular, la que se refiera a la localización de las especies amenazadas o la de sus lugares de reproducción”. Y por último, lo que el texto del anteproyecto califica como “excepciones”: solicitudes que se refieren a información, que por ejemplo, esté en curso de elaboración o tengan carácter auxiliar. Catálogo de excepciones Primer nivel Seguridad pública Defensa Relaciones exteriores Seguridad Nacional Defensa Prevención, investigación y sanción de ilícitos penales, administrativos o disciplinarios Segundo nivel Igualdad de partes en procesos judiciales Tutela judicial efectiva Funciones de vigilancia, inspección y control Intereses económicos y comerciales Política económica y monetaria Secreto profesional y propiedad intelectual e industrial Confidencialidad o secreto en la toma de decisiones Protección del medio ambiente Tercer nivel En curso de elaboración o publicación Información auxiliar o de apoyo Para su divulgación es necesario una reelaboración 3 APEPINFORMA06 Además, los supuestos de los artículos 5 y 6 también se publicarán en el Portal de Transparencia (artículo 7), cuyo desarrollo correrá a cargo de la Administración General del Estado. Veremos cómo se articula este Portal a los efectos de buscar la información de cualquier Administración pública, debido tanto al volumen de información que será publicada como los responsables de esa publicación. En España existen 8.116 municipios (fuente INE), por lo que el citado Portal tendrá que ser manejable. Por ejemplo, a la hora de buscar la información de un determinado municipio. APEPINFORMA06 Derecho de acceso y protección de datos. Relacionado con las restricciones se encuentra lo referente a la protección de datos de carácter personal, con un artículo específico (el 11) para analizar esta cuestión. Tal y como está redactado el citado precepto, parece que establece un triple régimen: • La puesta en funcionamiento de esta Ley llevará aparejado un gasto. Así, por ejemplo, el artículo 18 se refiere a la existencia de unidades especializadas en el ámbito de la Administración General del Estado (probablemente nuevas unidades, formación de su personal, material de oficina, alquiler..etc), y en el ámbito de las Co- Afecta a datos especialmente protegidos Prevalece la protección de datos personales Excepción: consentimiento expreso y escrito Datos vinculados a organización y funcionamiento o actividad pública del órgano Prevalece la transparencia administrativa Excepción: prevalezca protección de datos sobre el interés público Cuando no se trate de datos especialmente protegidos Se dará acceso si el órgano considera que no lesiona ningún derecho constitucional Personalmente, creo que la regulación de este precepto es susceptible de una mejora técnica, ya que su redacción es bastante farragosa. Además, en su último párrafo, cuando dice que “se aplicará la normativa de protección de datos al tratamiento posterior de los datos personales obtenidos a través del ejercicio del derecho de acceso”, no estaría de más que se incluye una frase del tipo “especialmente, en lo referente al cumplimiento del principio de calidad de datos”. Y es que, lo primero que me viene a la cabeza es la posibilidad de que una vez se haya otorgado el acceso se empiecen a crear páginas webs con perfiles en función de la información obtenida sobre los particulares. Esta cuestión, así como cualquier otro uso fraudulento de los datos obtenidos se debe evitar a toda costa. Forma de ejercitar el acceso y su resolución. Sobre estas cuestiones, me gustaría destacar lo siguiente: • La solicitud de acceso no tiene que motivarse, aunque el solicitante podrá realizar dicha motivación. • Se recoge como causa de inadmisión el fraude de ley. • Se establece un procedimiento rápido para resolver, ya que será como máximo será de un mes, ampliable a dos. • El procedimiento es gratuito, sin perjuicio de: • Se podrá exigir una tasa por la expedición de copias o transposición de la información a un formato diferente al original. 4 munidades Autónomas la Disposición Adicional Tercera contempla la posibilidad que el órgano de control sea la Agencia Estatal de Transparencia, Evaluación de las Políticas Públicas y de la Calidad de los Servicios. En ese caso, se deberá celebrar un Convenio sufragando la Comunidad correspondiente los gastos derivados de que dicho órgano asuma la competencia. • En caso de que no se obtenga respuesta por el órgano administrativo, el silencio administrativo será negativo. Desde mi punto de vista, esto se debería modificar sí o sí, ya que es contrario al espíritu y finalidad de la Ley. Asimismo, tampoco puede justificarse por el extenso catálogo de restricciones, ya que en todo caso, se debería dar la oportunidad al ciudadano de que conozca en “boca” de la Administración los motivos para aplicar cualquiera de las citadas restricciones y no recibir un mero silencio administrativo. Autoridad de Control sobre el derecho de acceso. Por último, se resuelve el “eterno” debate, de manera incorrecta desde mi punto de vista, sobre el organismo que resolverá las reclamaciones de los ciudadanos cuando no vean satisfecho su derecho de acceso: ni se crea un organismo nuevo ni se atribuye, competencia a la Agencia Española de Protección de Datos y las Agencias Autonómicas sino que esta función se atribuye a un organismo que ya existía, Agencia Estatal de Evaluación de las Políticas Públicas y la Calidad de los Servicios, • Se abre la vía para un futuro conflicto entre el órgano de transparencia y las Agencias, cuando uno estime que prevalece la transparencia, y éstas que debe protegerse los datos. Y entre medias, el órgano que debe dar respuesta. Como digo, no estoy nada de acuerdo con ello por las siguientes razones: No obstante lo anterior, la Disposición Adicional Tercera contempla la posibilidad de que en el ámbito Autonómico, el organismo de control sea un órgano independiente de las mismas. Con ello se abre la posibilidad de que sean competentes las Agencias autonómicas (también podría serlo el Defensor del Pueblo de su respectivo ámbito territorial si bien en la Comunidad de Madrid no existe tal figura). • Se desaprovecha la experiencia adquirida por las Agencias en el tema de transparencia. Vaya como ejemplo, informes elaborados por las mismas sobre el acceso a datos en procedimientos de concurrencia competitiva, la publicación de datos en Internet, o el V Encuentro entre Agencias que “giró” en torno a este tema. • Yendo un paso más, si la reclamación se interpusiese ante una Agencia, el procedimiento podría ser similar a una tutela de derechos. Piénsese en el parecido respecto a las tutelas de derechos en relación con la denegación de acceso o cuando se ha otorgado el mismo de forma parcial de las historias clínicas. Además, considero que para un eficaz cumplimiento de esta Ley, el organismo que resuelva las reclamaciones debe tener la potestad de inspección. Buen Gobierno. Por último, respecto a la segunda parte de este anteproyecto de Ley regula los principios éticos y de actuación de los miembros del Gobierno, Secretarios de Estado y Altos Cargos, así como el régimen de infracciones y sanciones. Más que comentar su contenido, quisiera hacer una reflexión al respecto: qué nivel de calidad democrática y de gestión administrativa ha alcanzado este país en los últimos años para que en una ley se tenga que plasmar los citados principios que son inherentes al ejercicio de todo cargo público y que se presupone el respeto a los mismos en cualquier tipo de gestión y actuación administrativa y política. • Indirectamente, las Agencias serán las que resuelvan los accesos cuando choquen con la protección de datos, ya que seguramente, el responsable del órgano administrativo en cuestión pedirá informe a las mismas. Cuadro comparativo de las iniciativas legislativas de transparencia. Gobierno PSOE Proposición Ley PP Gobierno PP Exposición de motivos Sí Sí No Ámbito de aplicación Excluye Casa del Rey Excluye Casa del Rey Excluye Casa del Rey Portal de transparencia No Sí Sí Restricciones Incluye vida privada e intereses legítimos Incluye comunicaciones de la Casa del Rey Incluye protección del medio ambiente Plazo máximo para resolver el acceso 1 mes 15 días 1 mes Acceso parcial Sí Sí Sí Silencio administrativo Negativo Positivo Negativo Órgano de control Comisión de Transparencia Recurso de reposición. Informe AEPD si afecta a PD Agencia de Transparencia 5 APEPINFORMA06 que pasa a denominarse Agencia Estatal de Transparencia, Evaluación de las Políticas Públicas y de la Calidad de los Servicios, y que está adscrita al Ministerio de Administración Territorial. APEPINFORMA06 2.2. Videovigilancia en las Autoridades de Control Autonómicas. Francisco. Javier Sempere. también contempla la posibilidad de uso de las mismas para otras finalidades como pueden ser la asistencia sanitaria o la investigación. Blog: http://fjaviersempere.wordpress.com/ - Debido a los diversos fines de uso de las cámaras, existen dos carteles para cumplir con el deber de información: con fines de vigilancia; y para otros fines. Este artículo trata de hacer un resumen sobre las Instrucciones que han aprobado en materia de videovigilancia las Agencias Autonómicas, así como la exposición de supuestos prácticos que manifiestan los criterios adoptados por las mismas. - Para ejercitar el derecho de acceso, el afectado debe hacer constar su identidad junto con una imagen actualizada, indicando el lugar, fecha y hora aproximada en los que su imagen fue captada. Se considera hora aproximada la referida a una franja horaria inferior a sesenta minutos. Asesor de Apoyo Técnico-Jurídico de la APDCM. Miembro de la APEP. Twitter: @fjavier_sempere Asimismo, se han incluido citas a diversa documentación que también es útil a la hora de realizar una labor de consultoría en la instalación de videocámaras en el sector público. Agencia de Protección de Datos de la Comunidad de Madrid. - Con carácter general, las medidas de seguridad serán de carácter básico. No obstante, cuando se instalen específicamente para captar imágenes de menores, se aplicarán las medidas de carácter medio. Si se tratase de centros de reeducación y reinserción de menores, altas. - La Disposición Adicional Primera regula la instalación de cámaras en espacios y áreas de seguridad restringida por motivos neurálgicos (centros y espacios vitales para la comunidad). 1.- Instrucción normativa. En el año 2007, elaboró y aprobó la Instrucción 1/2007, de 16 de mayo, sobre el tratamiento de datos personales a través de sistemas de cámaras o videocámaras en el ámbito de los Órganos y Administraciones Públicas de la Comunidad de Madrid, con la finalidad de disciplinar y acomodar estos sistemas a las exigencias derivadas del derecho a la protección de datos de carácter personal. Sobre esta Instrucción podemos destacar lo siguiente: - Se aplica también a los supuestos en que las imágenes no se incorporen y/o registren en un soporte físico. En otras palabras, aunque no exista fichero, habrá que aprobar la disposición de carácter general del mismo. Aunque pueda sonar bastante “chocante”, lo que se busca con esta obligación es cumplir con el principio de transparencia. - Con carácter previo a la instalación de cámaras, el responsable del fichero debe elaborar un informe que justifique la proporcionalidad y necesidad de la instalación. - La Instrucción no sólo se refiere al uso de cámaras con fines de videovigilancia sino que 6 2.- Guía de Videovigilancia. Se trata de un documento de apoyo al responsable del fichero para cumplir con las obligaciones de la LOPD en esta materia. De difusión gratuita, se puede descargar en la página web de la APDCM. Esta Guía, que está enfocada desde un punto de vista eminentemente práctico, recoge las obligaciones del responsable del fichero respecto a los principios de protección de datos. Además, para facilitar esta labor, se ofrece un sencillo “check-list” y ejemplos del contenido de este tipo de ficheros a efectos de proceder a la elaboración de la correspondiente disposición de carácter general de creación de los mismos. Asimismo, se analizan diversos supuestos específicos, como son la instalación de cámaras en la vía pública, control y disciplina de tráfico, polideportivos, centros neurálgicos, aparcamientos públicos, fines turísticos, y acceso a edificios. Contiene también un apartado, el quinto, en el que se ofrece cuál es la postura de la APDCM sobre el control del correo electrónico de los trabajadores, ya que esta actividad forma parte de la vigilancia empresarial. Respecto a los informes jurídicos (Apartado 6 de la Guía), destacan los referentes a “Implantación de un sistema de control de videocámaras en los calabozos de las dependencias de la policía local de un Ayuntamiento”; “Uso de las cámaras de vigilancia para el control de presencia de empleados públicos”; “Uso de videocámaras en el transporte urbano” e “Instalación de un sistema de control de la actividad de los empleados públicos por medio de cámaras en el 112”. Además de la Guía, también existe su versión reducida denominada “Manual de Videovigilancia”. 3.- Otra documentación interesante. - Audio y Presentaciones de la I Jornada de Protección de Datos y Videovigilancia (Año 2010). - Audio y Presentaciones de la II Jornada de Protección de Datos y Videovigilancia (Año 2011). - Revista digital: www.datospersonales.org, se pueden encontrar opiniones de expertos y noticias sobre este tema. Autoridad Catalana de Protección de Datos. de cámaras falsas y el tratamiento de imágenes y sonidos que no tengan como finalidad la videovigilancia. - No se considera legítima las instalaciones para grabar e el interior del domicilio de otras personas, salvo consentimiento o circunstancia del artículo 18.2 de la CE, así como tampoco la captación en la vía pública, salvo que la realicen las Fuerzas y Cuerpos de Seguridad. - En cuanto a la captación incidental en la citada vía pública, sólo resulta legítima si es inevitable para alcanzar la finalidad de vigilancia del edificio o instalación. - Con carácter previo a la creación del fichero, el responsable debe elaborar una Memoria justificando la finalidad, proporcionalidad y legitimidad, así como, entre otras cuestiones, la ubicación y campo de visión de las cámaras, número de las mismas y zoom. - Respecto al principio de finalidad, las imágenes captadas para difusión cultural o turística, u ofrecer información meteorológica, no se puede usar con el fin de vigilancia, no debiendo permitir la identificación de personas. - No será proporcional la instalación en baños, servicios, vestuarios, salas de ocio, uso en el ámbito laboral con la exclusiva finalidad de controlar el rendimiento de los trabajadores, interior de aulas, gimnasios y espacios de ocio para los alumnos. - En materia de seguridad, el nivel será aplicable será el básico, sin perjuicio de que en determinados supuestos haya que adoptar las de nivel medio o alto. 1.- Instrucción normativa. La Instrucción 1/2009, de 10 de febrero, sobre el tratamiento de datos de carácter personal mediante cámaras con fines de videovigilancia, regula esta materia respecto a los responsables y encargados de tratamiento que están bajo el ámbito de control de la Autoridad Catalana de Protección de Datos. De esta norma, me gustaría resaltar lo siguiente: - Contempla su aplicación cuando se graben voces, siempre y cuando sea para la finalidad de vigilancia. - Queda fuera del ámbito de aplicación los videoporteros, la captación de imágenes con fines exclusivamente periodísticos, la instalación 2.- Supuestos prácticos. 2.1.- Grabación de imágenes por una empresa funeraria. (http://www.apd.cat/media/dictamen/es_127.pdf ) La cuestión radica en si la grabación, previa solicitud de la familia o personas allegadas al difunto, del funeral que tiene lugar en las instalaciones de la funeraria supone una vulneración de la legislación de protección de datos. Este Dictamen analiza si los hechos descritos se encuentran bajo el ámbito de aplicación de la LOPD. Si bien la grabación de imágenes de las personas supone un tratamiento de datos de carácter 7 APEPINFORMA06 Por otra parte, se recogen diversos informes jurídicos de la APDCM, jurisprudencia y documentos realizados por otras Autoridades, como el Supervisor Europeo de Protección de Datos, la Autoridad de Protección de Datos de Canadá, el ICO (Information Commissioner del Reino Unido) o la Agencia Española de Protección de Datos. APEPINFORMA06 personal, la Autoridad Catalana de Protección de Datos señala que “la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, excluye de su ámbito de aplicación los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas (artículo 2.2 a))”. También se cita el artículo 2.4 del Reglamento de desarrollo de la LOPD, que excluye de su ámbito de aplicación los datos referidos a las personas fallecidas. No obstante lo anterior, si bien al supuesto planteado no se aplicaría la LOPD, se incide en varias partes del Dictamen que en la funeraria se podrían utilizar las cámaras para otros fines que sí estarían dentro del ámbito de aplicación de la LOPD y por ende, de la Instrucción 1/2009 de esa Autoridad. Así, se cita a modo de ejemplo otras finalidades como el control laboral, control de acceso y seguridad. No obstante, a pesar de no disponer de una normativa reguladora específica, cuando esta actividad la realizan entidades privadas que tienen por objeto la vigilancia y la seguridad y que utilizan videocámaras con esta finalidad, el reglamento de seguridad privada (Real Decreto 2364/1994, de 9 de diciembre) prevé la utilización de estos dispositivos. Por lo tanto, este Real Decreto 2364/1999, de 9 de diciembre, es la única regulación existente para el uso de la videovigilancia por parte de empresas encargadas de la seguridad privada hasta que no se desarrolle la Ley Orgánica 4/1997, de 4 de agosto, tal y como prevé su disposición adicional novena.” En consecuencia, se dictamina que sólo las fuerzas y cuerpos de seguridad, mediante la oportuna autorización administrativa, pueden grabar en la vía pública, no pudiendo tomar imágenes del interior de las viviendas ni de los vestíbulos, salvo que exista consentimiento del titular o autorización judicial. 2.2.- Uso de videocámaras en la vía pública. (http://www.apd.cat/media/dictamen/es_174.pdf ) Un administrador de una entidad particular de ámbito universitario justifica las razones que han llevado a instalar las cámaras dentro del recinto de esa entidad y exterior del inmueble captando imágenes de la acera. Por esta razón, la Guardia Urbana ha instado a retirar las cámaras ya que graban la vía pública. En consecuencia, el Dictamen procede a analizar si es legal la instalación en la vía pública. Concretamente, el apartado tercero del citado Dictamen da la solución al supuesto planteado: “La utilización de dispositivos de videovigilancia, cuando se realiza en espacios públicos y por las fuerzas y cuerpos de seguridad, precisa una autorización previa a su instalación, que, teniendo en cuenta los principios de proporcionalidad, idoneidad e intervención mínima, otorga el director general de Seguridad Ciudadana, previo informe de la Comisión de Control de los Dispositivos de Videovigilancia (artículos 4 y 7 del Decreto 134/1999, de 18 de mayo). Por otra parte, de acuerdo con la Ley Orgánica 4/1997, de 4 de agosto, no se pueden utilizar videocámaras para captar imágenes ni sonidos del interior de las viviendas o de sus vestíbulos, a no ser que se disponga del consentimiento del titular o de una autorización judicial. 8 2.3.- Competencia sobre los ficheros de videovigilancia de una notaría. (http://www.apd.cat/media/dictamen/es_257.pdf ) Este Dictamen analiza si la competencia en materia de protección de datos sobre la instalación de cámaras en una notaría es competencia de la AEPD o de la APDCAT. Así, en primer lugar, se analiza si el tratamiento de datos de una notaría tendría encaje en el artículo 156 b) del Estatuto de Autonomía de Cataluña, “ya que según lo establecido en la Ley Orgánica del Notariado, de 1862, y el Reglamento notarial, de 2 de junio de 1944, que los notarios desarrollan una innegable función de carácter público, constituida por la fe pública notarial, aunque ésta conviva con otras funciones que también llevan a cabo estos profesionales y que no tengan este carácter de función pública”. El citado artículo 156 b) del Estatuto dispone que: “Corresponde a la Generalitat la competencia ejecutiva en materia de protección de datos de carácter persona b) La inscripción y el control de los ficheros o los tratamientos de datos de carácter personal privados creados o gestionados por personas físicas o jurídicas para el ejercicio de las funciones públicas con relación a materias que son competencia de la A su vez, dicho precepto hay que ponerlo en relación si en el caso de las notarias, la Generalitat tiene competencia sobre “la ordenación, la organización, la dirección, la inspección y la vigilancia de las funciones de la fe pública notarial”. Sin embargo, de conformidad al artículo 147 del meritado Estatuto de Autonomía de Cataluña, “se desprende claramente que la competencia de la Generalitat en materia notarial se limita a ser una competencia ejecutiva y no referida a la totalidad de la materia”. En consecuencia, los ficheros de las notarías no están bajo el ámbito de control de la Autoridad de Catalana de Protección de Datos, sino de la Agencia Española de Protección de Datos, siendo de aplicación, por tanto, a los ficheros de videovigilancia de las notarias la Instrucción 1/2006, de 8 de noviembre, sobre el tratamiento de datos personales con fines de videovigilancia a través de sistemas de cámaras o videocámaras de la citada Autoridad de Control. como del carácter público de las sesiones del Pleno (artículo 70.1 de la Ley de Bases de Régimen Local y 156 del Texto Refundido de la Ley Municipal y de Régimen Local de Cataluña, sin perjuicio de que puedan ser secretos el debate y votación cuando los asuntos afecten a los derechos fundamental de los ciudadanos del artículo 18.1 de la Constitución Española, y siempre y cuando se acuerde por el Pleno por mayoría absoluta. Asimismo, también se cita que “el artículo 88.2 del Reglamento de Organización, Funcionamiento y Régimen Jurídico de los entes locales (ROF), aprobado por el Real Decreto 2568/1986, de 28 de noviembre, prevé la instalación de sistemas de megafonía o circuitos cerrados de televisión para ampliar la difusión auditiva o visual (véase, a este respecto, la Sentencia del Tribunal Supremo, de 18 de junio de 1998). 2.4.- Difusión de las grabaciones del Pleno de un Ayuntamiento a través de Youtube. Por lo tanto, según la Autoridad Catalana de Protección de Datos nada impediría que el ROM contemplara también la retransmisión en directo o en abierto, o la puesta a disposición en la web municipal de las grabaciones de las sesiones, tal como se apuntaba en el apartado 19 de la Recomendación 1/2008 de esta Agencia acerca de la difusión de información que contenga datos de carácter personal a través de Internet. (http://www.apd.cat/media/dictamen/es_251.pdf ) No obstante lo anterior, se advierte lo siguiente: Se trata de uno de los supuestos que más plantean los Ayuntamientos a las Autoridades de Control autonómicas. Como ocurre con otros Dictámenes de la APCAT, se analiza en primer lugar si la LOPD y demás normativa de desarrollo es aplicable a este caso concreto. La respuesta, como no podría ser de otra forma, es afirmativa, puesto que “las operaciones consistentes en la grabación de imágenes de una sesión del Pleno de la Corporación local o en su posterior puesta a disposición a través de Internet se produce un tratamiento de datos de carácter personal derivado de la captación y posterior retransmisión o puesta a disposición a través de la red de las imágenes de las personas asistentes, fundamentalmente los miembros de la corporación y los funcionarios que intervienen por razón de su cargo.” - la finalidad de la publicidad de las sesiones podría alcanzarse con la captación de la imagen de los representantes políticos que forman parte de la corporación mientras que podría resultar no proporcionada una grabación de los ciudadanos que, a título personal, asistan a la sesión, salvo que la captación de las imágenes de éstos sea meramente accesoria o incidental. Asimismo, una disposición inadecuada de las cámaras podría comportar la captación de imágenes de, por ejemplo, documentación privada que pudieran estar consultando los regidores durante el plenario, o conversaciones privadas de los mismos, cuya divulgación podría resultar inadecuada. Por tanto, la disposición de las cámaras puede ser un primer elemento a tener en cuenta desde el punto de vista del principio de proporcionalidad. En cuanto a la publicación de las imágenes grabadas en Youtube, se parte en primer lugar, de la aplicación del artículo 11 de la LOPD (régimen jurídico de las cesiones de datos de carácter personal) así - la utilización de You Tube como medio para difundir el contenido de las sesiones de los plenos comporta el sometimiento a las cláusulas contractuales establecidas, que YouTube se reser9 APEPINFORMA06 Generalitat o de los entes locales de Cataluña si el tratamiento se efectúa en Cataluña.” APEPINFORMA06 va el derecho de invadir en cualquier momento de forma unilateral (véanse, a este respecto, los términos y condiciones en http://www.youtube. com/t/terms) Así pues, cuestiones sobre la propiedad, la publicidad asociada a estas imágenes, los términos de la difusión, el control de las visitas efectuadas, etc. estarían totalmente en manos de esa empresa. Por añadidura, ello comportaría la transmisión de información a un operador, YouTube LLC, con domicilio social en 901 Cherry Avenue, San Bruno, CA 94066, Estados Unidos, que añade un elemento de internacionalidad a la comunicación de los datos que podría requerir la previsión de cláusulas contractuales tipo contenidas en la Decisión de la Comisión Europea 2002/16/CE, de 27 de diciembre de 2001, dado que en Estados Unidos no se proporciona un nivel adecuado de protección en materia de datos personales ni tampoco hay constancia de que YouTube se haya adherido al sistema de “Safe Harbor” (artículos 33 y 34 de la LOPD y 70 y ss. del RLOPD). Respecto a la posibilidad de que esta difusión se lleve a cabo a través de YouTube, esta Agencia considera más recomendable que sea a través de la web municipal. 3.- Otra documentación interesante. Cartel informativo para captación de imágenes. Cartel informativo para captación de imágenes y voz. Nota explicativa sobre la modificación de la Ley 23/1992, de Seguridad Privada, por la Ley 25/2009, de 22 de diciembre. Agencia Vasca de Protección de Datos. Es la única Autoridad que no ha aprobado una Instrucción que regule la aplicación de la normativa de protección de datos en relación con la videovigilancia, dentro de lo que es su ámbito de actuación. 1.- Supuestos prácticos. 1.1.- Grabaciones en vídeo de alumnos menores de edad durante actividades escolares. Se han realizado grabaciones a grupos de escolares de las diferentes actividades que desarrollan 10 en el marco de un proyecto medioambiental de un centro educativo, presumiblemente para ser usadas dentro del programa de su obra social. Dado que estos escolares son menores de edad y no existe autorización expresa de sus padres/ madres y/o tutores legales para la grabación de su imagen se solicita, entre otras cuestiones, si es necesario esa autorización así como, en su caso, cuáles son las medidas para cumplir con la normativa de protección de datos. A modo introductorio, la AVPD cita el artículo 3 de la LOPD para determinar que la imagen es un dato de carácter personal, “Por esta razón, cualquier tratamiento que se realice con imágenes (cesión, almacenamiento), debe respetar los principios básicos de protección de datos”. Asimismo, se recalca que “No sólo los datos íntimos son objeto de protección, sino también todos aquellos que, como en nuestro caso, imágenes de los escolares, aportando información sobre una persona identificada o identificable siguen siendo datos privados, respecto de los cuales el ciudadano posee el poder de control y disposición. En este sentido, podemos decir que los participantes en los proyectos de educación medio ambiental a que se refiere la consulta no sólo tienen un derecho a la intimidad, sino también un derecho a la privacidad de sus datos, el derecho a disponer de los mismos, a conocer quién los posee y con qué finalidad.” Por lo que se refiere al consentimiento, para la AVPD exceptuando los supuestos de seguridad pública o privada y control laboral, la ley no contempla ninguna habilitación de para la captación de imágenes sin consentimiento de los afectados. Por lo tanto, la captación de imágenes de los usuarios del centro de educación ambiental sin consentimiento, sería un tratamiento contrario a la normativa en materia de protección de datos. Este consentimiento podría ser obtenido a través del propio impreso de solicitud de admisión, que al firmarse dejaría constancia fehaciente del mismo. En todo caso, el consentimiento debiera cumplir los requisitos exigidos por el art. 3.h) de la LOPD en el sentido de constituir una “manifestación de voluntad, libre, inequívoca, específica e informada…”, pudiendo para ello utilizarse una casilla para que sea marcada por el ciudadano, sin que la negativa a hacerlo pueda implicar una discriminación de cara al acceso al Centro. puesto que una de las consultas frecuentes que reciben las Agencias Autonómicas es la referente al uso de las cámaras para grabar los Plenos de la Corporación, así como su posterior difusión a través de la web de la Corporación municipal correspondiente. 1.2.- Instalación de una cámara de vídeo en un campo de fútbol con el fin de publicar las imágenes en la página web del municipio. En este supuesto, en la consulta se pone de manifiesto que las grabaciones se almacenan en soporte CD y se archivan durante un período de tiempo limitado con el objeto de la subsanación de posibles errores de las actas de los Plenos. Las imágenes de dicha cámara permitirían a cualquier visitante de la página web municipal visualizar a deportistas escolares y a adultos, abonados y no abonados al IMD, mientras realizan entrenamientos y partidos de competición de fútbol o practican atletismo en la pista que rodea al campo de fútbol. Dos son las cuestiones que se plantean: en primer lugar, si la intimidad de los usuarios de la instalación deportiva podría menoscabarse al poder visionar las imágenes a través de la web municipal; en segundo lugar, si procede o no instalar la cámara. Respecto a la primera cuestión, la AVPD citando en su argumentación jurídica los fundamentos de la STC 292/2000, de 30 noviembre, considera que “los usuarios del recinto deportivo a que se refiere la consulta no sólo tienen un derecho a la intimidad, sino también un derecho a la privacidad de sus datos, el derecho a disponer de los mismos, a conocer quién los posee y con qué finalidad, a pesar de que el afectado se encuentre en una vía pública o en un recinto municipal”. Respecto a la segunda, se acude al principio de proporcionalidad a la hora de limitar un derecho fundamental, sobre el que existe diversa jurisprudencia del Tribunal Constitucional. Así, se citan las sentencias 37/1998, 98/200, 186/2000 y 207/1996, para concluir que la instalación de la cámara en la instalación deportiva con el fin de que las imágenes puedan visionarse en la web municipal no supera el juicio de proporcionalidad, al considerarse lesivo para la privacidad de los deportistas, “más aún cuando dicha captación es indiscriminada pudiendo afectar a colectivos más vulnerables como menores o discapacitados.” La AVPD considera que las grabaciones de voz es un fichero de carácter temporal, al que hay que aplicar el artículo 87 del Reglamento de desarrollo de la LOPD. En el informe se concluye que “Dado el carácter de fichero temporal, la única obligación que tiene el responsable respecto del mismo es el mantenimiento del nivel de seguridad que les corresponda hasta el momento de su destrucción. Al fichero temporal de grabaciones de voz de los Plenos Municipales no le es de aplicación la obligación de declaración e inscripción en el Registro de la Agencia Vasca de Protección de Datos.” 2.- Otra documentación interesante. Dos son los documentos que me gustaría destacar en los cuales la AVPD ha introducido referencias sobre la videovigilancia: En primer lugar, el Manual de Buenas Prácticas para la entidades locales de la Comunidad Autónoma del País Vasco en su Anexo I denominado “Supuestos concretos” analizada en un apartado específico la videovigilancia, en el cual se analiza la declaración de este tipo de ficheros instalados en los edificios municipales, la normativa aplicable y cómo cumplir con el derecho de información. 1.3.- Obligatoriedad de declarar como fichero las grabaciones de audio de los Plenos municipales. En segundo lugar, el Estudio cuantitativo de la percepción social de la Ciudadanía de la CAVP de 2009, contiene un apartado sobre la opinión de los ciudadanos vascos sobre la seguridad (incluyendo las cámaras) y la privacidad. El 60% de los encuestados considera prioritario la seguridad, y en cambio, un 29% la privacidad. Si bien este informe no está relacionado con la videovigilancia he considerado que era de interés Cartel informativo en euskera (página 10 Memoria 2010) 11 APEPINFORMA06 Por otra parte, y relación con el cumplimiento del resto la normativa de protección de datos, el Dictamen expone la obligación de crear el fichero correspondiente, así como respetar el derecho de información, fundamental para el ejercicio de los derechos ARCO. APEPINFORMA06 3. Artículos. 3.1 El interés legítimo: un balance de intereses. Cecilia Álvarez Rigaudias. Vicepresidenta APEP. Abogada, despacho Uría Menéndez. La sentencia del Tribunal Supremo de 8 de febrero de 2012 generó un seguimiento tan inusitado como inadecuado por parte de la prensa, aplaudiendo la supuesta desaparición del consentimiento como causa de legitimación de los tratamientos de datos personales o anunciando el final apocalíptico del régimen de protección de datos personales en España. Pues bien, ni el consentimiento ha desaparecido ni la LOPD ha quedado “mutilada”. Es más, la sentencia que es en realidad la sentencia importante no es esta sino la sentencia del Tribunal de Justicia de la Unión Europea de 24 de noviembre de 2011 que el Tribunal Supremo no hace más que aplicar. En efecto, el Tribunal de Justicia de la Unión Europea de 24 de noviembre de 2011 reconoció el efecto directo del denominado “interés legítimo” del artículo 7.f) de la Directiva 95/46/CE al analizar en sede de cuestión prejudicial el art. 10.2b) del reglamento de desarrollo de la LOPD aprobado por el real Decreto 1720/2007. Como es bien sabido, la LOPD no incorporó correctamente el art. 7.f) al constreñir el “interés legítimo” a aquellos datos que provenían de “fuentes accesibles al público” definidas en la LOPD mediante una lista exhaustiva de fuentes “públicas” muy limitada (directorios telefónicos, listados de colegios profesionales, medios de comunicación social y el “censo promocional” que quizás vea la luz algún día conforme a la Ley 43/2010). El reglamento de desarrollo de la LOPD aprobado por el Real Decreto 1720/2007 consagró este error en su artículo 10.2.b) al no reconocer al “interés legítimo” como una causa de legitimación adicional a las demás (sino integrada o subsumida en las demás). No hay pues grandes sorpresas en que el Tribunal Supremo anule este artículo art. 10.2.b) a la vista de la respuesta del Tribunal de Justicia. En todo caso, la sentencia del Tribunal de Justicia es más que bienvenida ya que reconoce de forma expresa y de forma indubitada una 12 causa de legitimación prácticamente ignorada hasta la fecha por las autoridades administrativas y judiciales españolas (con algunas honrosas excepciones). El principio del “interés legítimo” no es el reconocimiento de la prevalencia automática de un interés económico o comercial (legítimo) sobre la protección de datos como algunos han querido erróneamente hacer valer. Se trata de una causa de legitimación de tratamiento que exige, conforme al art. 7.f) de la Directiva 95/46/CE, un balance de intereses, esto es, que “no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección (...)”. Por ello, exige -de todos- una aplicación más sofisticada y reflexionada de la norma, ya que se deben ponderar los intereses en juego. La AEPD ya ha empezado a tener en cuenta esta causa de legitimación y la está incorporando a sus análisis con las cautelas que exige cualquier causa de legitimación no mecanicista. Se abre con ello pues una etapa más madura en la aplicación de la norma, esto es, una aplicación contextual. Esta debería conducir al balance deseado: el desarrollo económico y la innovación de la mano de una protección adecuada de los datos personales en lo que afecta a nuestra dignidad. Es más, el interés legítimo está llamado a jugar un papel más importante si cabe si la propuesta de reglamento comunitario se aprobara en su redacción actual, ya que el consentimiento se presenta como una causa de legitimación extraordinariamente difícil de obtener. Y el mercado se pregunta entonces ¿cuándo hay interés legítimo? Precisamente porque requiere una balance de intereses contextualizado, no cabe establecer listas simplistas a priori. Sin embargo, hay casos claros donde no concurre la prevalencia del interés comercial como serían las actividades de marketing directo (existen obviamente excepciones al consentimiento que se requiere como regla general y estas excepciones seguirán operando con independencia del “interés legítimo”). Por otro lado, parece que el “interés legítimo” sí podría jugar su rol, entre otros muchos supuestos, en el contexto de sistemas de denuncias profesionales, en las auditorías de la entidad objetivo de la operación de que se trate, en la lucha contra el • El cumplimiento de la LOPD proporciona confianza tanto interna, para los propios gestores, como externa para el cliente o administrado. 3.2 Protección de datos como reto y oportunidad empresarial. • El cumplimiento de la LOPD es presupuesto para la eficiencia en el manejo de la información y, lógicamente, para la de los procesos decisorios basados en la información personal y en el uso de las tecnologías de la información y las comunicaciones. Ricard Martínez Martínez. Presidente de la Asociación Profesional Española de Privacidad. Profesor de Derecho Constitucional de la Universitat de València La aplicación de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) ofrece una oportunidad única al mundo de la empresa para mejorar sus procesos de gestión. Desgraciadamente, las organizaciones perciben la norma como un conjunto de obligaciones leoninas, exageradas e inalcanzables. En este sentido, el usuario concibe el cumplimiento de la legislación como una obligación adicional “excesiva”: Así, desde el responsable del fichero, pasando por los profesionales de la informática al último usuario del sistema viven la LOPD como una pesada carga. Generalmente, debe tenerse en cuenta que no se interiorizan los beneficios que su aplicación proporciona. No se percibe la implementación como un conjunto de actuaciones que tenderán a mejorar las condiciones del trabajo y la calidad de la información y, sobre todo, no se alcanza a comprender cómo incide sobre una mejor comprensión de la realidad de la empresa, de su modelo de gestión o de las disfunciones que puedan detectarse. Para entender la importancia de proteger la privacidad cabe referirse a un conjunto de valores cuya interiorización resulta estratégica: • La información y los sistemas que la soportan constituyen activos valiosos e importantes para la Organización. Por tanto, el normal desenvolvimiento de las tareas depende de un adecuado tratamiento y de la calidad de la información tanto como de otros factores. • La seguridad “LOPD” permite depositar la suficiente confianza sobre la capacidad de la información y de los sistemas para sostener el funcionamiento adecuado de las funciones y los valores de la organización. • No existe ningún proceso vinculado a la búsqueda de calidad y excelencia que no requiera una adecuado cumplimiento de la LOPD y su Reglamento. Transmitir este conjunto de valores y hacerlo de un modo positivo puede resultar esencial para una adecuada implementación de la LOPD y su Reglamento de Desarrollo. Otro de los elementos disuasorios para una adecuada implementación de la LOPD reside en que las organizaciones la conciben como algo extraordinariamente costoso, sin caer en la cuenta de los valores positivos que comporta: • Proporciona un conocimiento cabal de los riesgos y vulnerabilidades y también, en muchas ocasiones permite identificar los modos en los que se tratan los datos, suprimir tratamientos innecesarios o centralizar aquellos que lo requieran. • Contribuye a garantizar la corrección de las decisiones de la organización ya que se basan en información confiable y no manipulada. • Ofrece confianza al titular de los datos: su perfil informativo será el adecuado y no variará arbitrariamente. • Garantiza el funcionamiento normal de la organización. • Permite restaurar los sistemas ante cualquier evento imprevisto y facilita la respuesta en todos los casos incluso ante las catástrofes. Por lo tanto, resulta evidente que la aplicación de la LOPD y sus normas de desarrollo no sólo puede concebirse desde una perspectiva de costes ya que se trata de algo valioso en si mismo. Vivimos en una sociedad en la que la información y el conocimiento poseen un valor estratégico. Adecuar el modo en el que se recoge y trata la información personal, aunque venga de la mano de la LOPD, resulta fundamental para garantizar el adecuado funcionamiento de todos los sistemas, 13 APEPINFORMA06 fraude o en la aportación de datos personales en juicio aún cuando el juez no lo hubiera solicitado expresamente. APEPINFORMA06 traten o no datos de carácter personal. Llegados a este punto cabe preguntarse, ¿qué se requiere para implementar la LOPD en una organización? En primer lugar, deben desecharse por principio las respuestas excesivamente “simples”: «no se preocupe esto es gratis», «un operador telefónico le llamará y respondiendo a un sencillo test Vd. cumplirá la LOPD en 15 minutos». Si se acude a un asesoramiento externo hay que garantizar rigor y seriedad profesional. APEP ha publicado un documento con «Claves para identificar un proyecto adecuado de consultoría para implementar la LOPD de forma integral»1, que permite identificar cuando se nos hace una oferta rigurosa. En segundo lugar, es indispensable una completa implicación de las estructuras de decisión. Una organización que se someta a un proceso de implantación de la LOPD debe transmitir verticalmente, desde el equipo directivo, al último de los trabajadores una idea de compromiso. Los resultados aplicar la LOPD no tienen por qué afectar estructuralmente al modelo de gestión pero puede requerir adaptaciones que, sin el compromiso del que aquí se habla, podrían resultar traumáticas. La organización podrá declarar sus ficheros, disponer de políticas de privacidad o contar con un documento de seguridad, pero sin un compromiso activo tarde o temprano estas políticas se olvidarán o, ante su escaso valor para la dirección, se incumplirán sistemáticamente. Además, cuando exista personal informático todo proceso riguroso de implantación de la LOPD debe realizarse con una implicación que debe ir más allá del momento inicial e incorporarse al círculo que va desde la planificación inicial del producto o servicio a todas las fases de su evolución. En tercer lugar, será esencial la formación de los usuarios. El RDLOPD obliga al responsable del fichero a adoptar «medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento» (art. 89.2 RDLOPD). Ahora bien, esta puesta en conocimiento se resuelve en muchas ocasiones con una simple notificación escrita al personal al que se solicita un acuse de recibo mediante la oportuna firma. En otras, especialmente cuando como en los supermercados 1. Disponible en http://bit.ly/oPbs5l. 14 con la formación se regala el asesoramiento en una oferta 2X1, se ha detectado que la formación se limita a la entrega de un CD o de folletos. Esta metodología, por muy correcta que resulte desde el punto de vista del cumplimiento formal del Reglamento, puede resultar poco acertada. La formación, es algo muy serio ya que garantiza un conocimiento profundo de las funciones y obligaciones de seguridad y permite subrayar la importancia de la seguridad para la organización y para el propio usuario promoviendo su compromiso activo con las políticas de seguridad. Además ayuda a que el usuario comprenda que sus responsabilidades se insertan en un diseño global subrayando la importancia de su propio papel. Finalmente contribuye a la gestación de una cultura LOPD en la organización y, cuando se realiza adecuadamente, a la asunción de un compromiso ético con la seguridad por cuanto con ello no sólo contribuye al funcionamiento adecuado de la organización sino también, y en último extremo, a la tutela de los derechos fundamentales de los ciudadanos. El conjunto de aseveraciones y recomendaciones inmediatamente precedentes se resumen en un reto: promover un cambio cultural en el seno de la organización. De un lado nos enfrentamos al reto de la incorporación acelerada de las tecnologías de la información y de las comunicaciones. Por otro, parece irrenunciable la inmersión profunda de nuestras estructuras empresariales en la sociedad de la información y del conocimiento. Pues bien, si no promovemos una cultura LOPD, si no tenemos en cuenta que el respeto y garantía del derecho a la protección de datos cumplirán un papel instrumental de primer orden, estamos condenados al fracaso. La sociedad cada día es más consciente de sus derechos. Es cuestión de tiempo que el ciudadano-cliente consciente de sus derechos los exija. El incumplimiento de la LOPD pone en juego la reputación empresarial y, en muchas ocasiones el perjuicio reputacional es más costoso que el montante de una sanción. Baste una pregunta para el lector: ¿los padres españoles que red social recomiendan a sus hijos? No espere aquí respuesta, basta con leer las noticias sobre redes sociales para entender por qué una determinada red española resulta confiable: trata de cumplir la LOPD y hace de ello una ventaja competitiva. Notificación de incidentes de seguridad en la transposición del paquete Telecom. Ricard Martínez Martínez. Presidente de la Asociación Profesional Española de Privacidad. Profesor de Derecho Constitucional de la Universitat de València En diciembre de 2009 se publicó el llamado paquete Telecom del que cabe destacar la Directiva 2009/136/CE que realiza diversas modificaciones en la Directiva 2002/58/CE. Esta norma abre el camino a la notificación de incidentes de seguridad a las autoridades de protección de datos y a los afectados subrayando su importancia económica y social. «(61) Una violación de los datos personales puede causar, si no se toman medidas de manera rápida y adecuada, pérdidas económicas sustanciales y perjuicios sociales para el abonado o particular afectado, incluida la usurpación de la identidad. Por consiguiente, tan pronto como el proveedor de servicios de comunicaciones electrónicas disponibles al público se percate de que se ha producido una violación de la seguridad de este tipo, debe notificarla a la autoridad nacional competente. Los abonados o particulares cuyos datos e intimidad puedan verse afectados negativamente por dichas violaciones deben recibir notificación inmediata para que puedan adoptar las precauciones necesarias. Se debe considerar que una violación afecta negativamente a los datos y la intimidad del abonado o particular cuando conlleva, por ejemplo, fraude o usurpación de identidad, daños materiales, humillación grave o daño para la reputación, en relación con la prestación de servicios de comunicaciones electrónicas disponibles al público. La notificación debe incluir información sobre las medidas adoptadas por el proveedor para atajar la violación, así como recomendaciones para el abonado o particular afectado». Como punto de partida la nueva Directiva introduce un concepto nuevo en la Directiva 2002/58/CE «“violación de los datos personales”: violación de la seguridad que provoque la destrucción, accidental o ilícita, la pérdida, la alteración, la revelación o el acceso no autorizados, de datos personales transmitidos, almacenados o tratados de otro modo en relación con la prestación de un servicio de comunicaciones electrónicas de acceso público en la Comunidad». La notificación de incidentes debe someterse a límites teniendo en cuenta la propia actuación diligente del responsable, las circunstancias de la violación de seguridad o las necesidades de investigar delitos: «(64) Al establecer disposiciones de aplicación sobre la forma y los procedimientos aplicables a la notificación de las violaciones de datos personales, conviene tener debidamente en cuenta las circunstancias de la violación, incluyendo si los datos personales habían sido protegidos mediante las medidas técnicas de protección adecuadas, limitando eficazmente la probabilidad de usurpación de identidad u otras formas de uso indebido. Asimismo, estas normas y procedimientos deben tener en cuenta los intereses legítimos de las autoridades policiales, en los casos en que una revelación temprana pudiera obstaculizar innecesariamente la investigación de las circunstancias de la violación». El 31 de marzo de 2011, por la vía de la extraordinaria y urgente necesidad se ha procedido a la transposición del llamado Paquete Telecom2. El Título Segundo del Real Decreto Ley traspone la Directiva modificando el artículo 34 de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones. En lo que atañe a la seguridad la reforma dota de mayor precisión al precepto3. En primer lugar, 2 Real Decreto-Ley 13/2012, de 30 de marzo, por el que se transponen directivas en materia de mercados interiores de electricidad y gas y en materia de comunicaciones electrónicas, y por el que se adoptan medidas para la corrección de las desviaciones por desajustes entre los costes e ingresos de los sectores eléctrico y gasista. Disponible en http://www.boe.es/diario_boe/txt.php?id=BOE-A-20124442. 3 En su antigua redacción éste señalaba: « Artículo 34. Protección de los datos de carácter personal. Sin perjuicio de lo previsto en el apartado 6 del artículo 4 y en el segundo párrafo del artículo anterior, así como en la restante normativa específica aplicable, los operadores que exploten redes públicas de comunicaciones electrónicas o que presten servicios de comunicaciones electrónicas disponibles al público deberán garantizar, en el ejercicio de su actividad, la protección de los datos de carácter personal conforme a la legislación vigente. Los operadores a los que se refiere el párrafo anterior deberán adoptar las medidas técnicas y de gestión adecuadas para preservar la seguridad en la explotación de su red o en la prestación de sus servicios, con el fin de garantizar los niveles de protección de los datos de carácter personal que sean exigidos por la normativa de desarrollo de esta ley en esta materia. En caso de que exista un riesgo particular de violación de la seguridad de la red pública de comunicaciones electrónicas, el operador que explote dicha red o preste el servicio de comunicaciones electrónicas informará a los abonados sobre dicho riesgo y sobre las medidas a adoptar». 15 APEPINFORMA06 4. Seguridad. APEPINFORMA06 incluyendo en el párrafo segundo ciertas obligaciones precisas para los operadores: «a) La garantía de que sólo el personal autorizado tenga acceso a los datos personales para fines autorizados por la ley. b) La protección de los datos personales almacenados o transmitidos de la destrucción accidental o ilícita, la pérdida o alteración accidentales o el almacenamiento, tratamiento, acceso o revelación no autorizados o ilícitos. c) La garantía de la aplicación efectiva de una política de seguridad con respecto al tratamiento de datos personales. Es evidente que ninguna de ellas constituye una novedad significativa. Por otra parte, la normativa vigente ya incorporaba el deber de informar a los abonados en caso de que exista un riesgo particular de violación de la seguridad de la red pública de comunicaciones electrónicas al que se suma el deber de hacerlo cuando este afecte al «servicio de comunicaciones electrónicas»4. Si constituyen novedad en cambio los deberes establecidos por el nuevo artículo 34.4 que debemos abordar párrafo a párrafo. Empezando por el inciso final que define de modo asistemático que debemos entender por incidente de seguridad que constituya una “violación de datos personales»: «A los efectos establecidos en este artículo, se entenderá como violación de los datos personales la violación de la seguridad que provoque la destrucción, accidental o ilícita, la pérdida, la alteración, la revelación o el acceso no autorizados, de datos personales transmitidos, almacenados o tratados de otro modo en relación con la prestación de un servicio de comunicaciones electrónicas de acceso público». El precepto fija obligaciones concretas de actuación: «4. En caso de violación de los datos personales, el operador de servicios de comunicaciones electrónicas disponibles al público notificará sin dilaciones 4 Este se define en el Anexo II de la LGT en los siguientes términos: « Servicio de comunicaciones electrónicas: el prestado por lo general a cambio de una remuneración que consiste, en su totalidad o principalmente, en el transporte de señales a través de redes de comunicaciones electrónicas, con inclusión de los servicios de telecomunicaciones y servicios de transmisión en las redes utilizadas para la radiodifusión, pero no de los servicios que suministren contenidos transmitidos mediante redes y servicios de comunicaciones electrónicas o de las actividades que consistan en el ejercicio del control editorial sobre dichos contenidos; quedan excluidos, asimismo, los servicios de la sociedad de la información definidos en el artículo 1 de la Directiva 98/34/CE que no consistan, en su totalidad o principalmente, en el transporte de señales a través de redes de comunicaciones electrónicas». 16 indebidas dicha violación a la Agencia Española de Protección de Datos. Si la violación de los datos pudiera afectar negativamente a la intimidad o a los datos personales de un abonado o particular, el operador notificará también la violación al abonado o particular sin dilaciones indebidas. La notificación de una violación de los datos personales a un abonado o particular afectado no será necesaria si el proveedor ha probado a satisfacción de la autoridad competente que ha aplicado las medidas de protección tecnológica convenientes y que estas medidas se han aplicado a los datos afectados por la violación de seguridad. Unas medidas de protección de estas características convierten los datos en incomprensibles para toda persona que no esté autorizada a acceder a ellos». Por tanto se establecen dos tipos de incidentes, aquellos graves, por cuanto produzcan efectos negativos en la intimidad o en la protección de datos deben ser notificados tanto a la AEPD como al propio abonado. Debe comunicarse a la Agencia: • El incidente. • Sus consecuencias. • Las medidas propuestas o adoptadas por el proveedor. Una interpretación razonable del precepto debería conducir a que cualquier afección a la intimidad, -habida cuenta de la propia naturaleza de este derecho fundamental-, se notifique de inmediato al afectado. En cambio en el caso del derecho fundamental a la protección de datos deberá evaluarse el impacto por ejemplo patrimonial, -acceso a datos bancarios o tarjetas de crédito-, si la exposición de determinados datos pudiera repercutir, de ser inadecuadamente utilizados, en la esfera de derechos del afectado, -como por ejemplo los que permitan suplantar su identidad-, o cualesquiera otros que, -como los datos de geolocalización-, puedan suponer cualquier riesgo para la seguridad o los bienes del sujeto. El inciso final del precepto parece apuntar necesariamente a la criptografía o cualquier tecnología equivalente, que blinde los datos personales con independencia del nivel de seguridad que les atribuya la LOPD. Incluso, cuando a juicio del operador no proceda la notificación al abonado la Agencia Española de Protección de Datos puede imponer esta medida: «Sin perjuicio de la obligación del proveedor de informar a los abonados o particulares afectados, si La notificación deberá contener: • Una descripción de la naturaleza de la violación de los datos personales. • Los puntos de contacto donde puede obtenerse más información. • Recomendaciones sobre las medidas para atenuar los posibles efectos adversos. Se reitera, el deber ya previsto por el RLOPD de mantener un inventario de incidentes de seguridad: «Los operadores deberán llevar un inventario de las violaciones de los datos personales, incluidos los hechos relacionados con tales infracciones, sus efectos y las medidas adoptadas al respecto, que resulte suficiente para permitir a la Agencia Española de Protección de Datos verificar el cumplimiento de las obligaciones de notificación reguladas en este apartado. Mediante real decreto podrá establecerse el formato y contenido del inventario»5. Por otra parte, debe destacarse que en materia de integridad y seguridad de las redes y de los servicios de comunicaciones electrónicas el nuevo artículo 36 bis impone a los operadores la obligación de: • Gestionar adecuadamente los riesgos de seguridad que puedan afectar a sus redes y servicios a fin de garantizar un adecuado nivel de seguridad y evitar o reducir al mínimo el impacto de los incidentes de seguridad en los usuarios y en las redes interconectadas. • Garantizar la integridad de las redes públicas de comunicaciones electrónicas a fin de asegurar la continuidad en la prestación de los servicios que utilizan dichas redes. • Garantizar la mayor disponibilidad posible de los servicios telefónicos disponibles al público a 5 Adicionalmente se define un cierto deber de diligencia en la implementación de procedimientos de respuesta ante derechos de acceso que, debería extenderse al conjunto de derechos ARCO.«5. Los operadores instaurarán procedimientos internos para responder a las solicitudes de acceso a los datos personales de los usuarios por parte de las autoridades legalmente autorizadas. Previa solicitud, facilitarán a las autoridades competentes información sobre esos procedimientos, el número de solicitudes recibidas, la motivación jurídica aducida y la respuesta ofrecida». través de las redes públicas de comunicaciones en caso de fallo catastrófico de la red o en casos de fuerza mayor, y adoptar todas las medidas necesarias para garantizar el acceso sin interrupciones a los servicios de emergencia. • Notificar al Ministerio de Industria, Energía y Turismo, las violaciones de la seguridad o pérdidas de integridad que hayan tenido un impacto significativo en la explotación de las redes o los servicios. El Ministerio podrá informa a las autoridades nacionales competentes de otros Estados miembros y a la Agencia Europea de Seguridad en las Redes y la Información (ENISA). Asimismo, podrá informar al público o exigir a las empresas que lo hagan, en caso de estimar que la divulgación de la violación reviste interés público. Una vez al año, el Ministerio presentará a la Comisión y a la ENISA un informe resumido sobre las notificaciones recibidas y las medidas adoptadas de conformidad con este apartado. Además se faculta al Ministerio de Industria, Energía y Turismo para determinar reglamentariamente los mecanismos para supervisar el cumplimiento de las obligaciones del artículo 36 bis. y dictar instrucciones vinculantes para los operadores, incluidas las relativas a las fechas límite de aplicación, para que adopten determinadas medidas relativas a la integridad y seguridad de redes y servicios de comunicaciones electrónicas. Entre ellas, podrá imponer: a) La obligación de facilitar la información necesaria para evaluar la seguridad y la integridad de sus servicios y redes, incluidos los documentos sobre las políticas de seguridad. b) La obligación de someterse a una auditoría de seguridad sufragada por el operador y realizada por un organismo independiente o por una autoridad competente poniendo el resultado a disposición del Ministerio de Industria, Energía y Turismo. Por tanto, se define un escenario de seguridad que no sólo atiende a los sistemas internos de las compañías sino también al conjunto de las redes y las interacciones en estas en un ámbito europeo. Es muy importante tener en cuenta esta regulación ya que los artículos 31 y 32 de la Propuesta de Reglamento Comunitario de protección de datos personales extienden esta metodología al conjunto de los responsables. 17 APEPINFORMA06 el proveedor no ha notificado ya al abonado o al particular la violación de los datos personales, la Agencia Española de Protección de Datos podrá exigirle que lo haga, una vez evaluados los efectos adversos posibles de la violación». APEPINFORMA06 5. Jurisprudencia e informes. 5.1 Jurisprudencia STC Tribunal Supremo. Sala de lo Contencioso-Administrativo, 22 de febrero de 2012. Sede: Madrid Sección 6ª. Número de Recurso Casación: 2034/2009 ANTECEDENTES DE HECHO La Audiencia Nacional dictó sentencia en febrero de 2009, en el recurso contencioso administrativo número 378/08, sobre Resolución de la Agencia Española de Protección de Datos que acuerda el archivo de reclamación por violación de los datos personales especialmente protegidos (referidos a la salud, intimidad personal y honor), por parte de la Autoridad Portuaria de la Bahía de Cádiz y del Hospital Santa María del Puerto. Se preparó recurso de casación contra la resolución, anteriormente señalada, emplazándose a las partes para que comparecieran ante el Tribunal Supremo. FUNDAMENTOS DE DERECHO El denunciante promovió un procedimiento de responsabilidad patrimonial contra la Autoridad Portuaria de la Bahía de Cádiz a consecuencia de unas lesiones sufridas en el Puerto de Santa María. En el expediente de responsabilidad patrimonial el denunciante propuso entre los medios de prueba la remisión de oficio al Hospital de Santa María para que se le solicite copia de toda la documentación de las que disponga en relación a la fractura sufrida por del denunciante. El Hospital remitió dicha documentación. La tesis del denunciante era que la aportación de pruebas a cualquier procedimiento requería el previo consentimiento de aquél a quien se refieren los datos médicos. Prevalece el derecho de tutela judicial efectiva, el hecho que son medios probatorios tendentes a acreditar hechos de gran relevancia y que el recurrente solicitó como medio de prueba que se oficiara al Hospital para recabar “toda la documentación” (expresión utilizada por el recurrente), pudiéndose entender que con ello el recurrente autoriza por escrito la comunicación de los datos solicitados. La desestimación del recurso conlleva la imposición de las costas a la parte recurrente. 18 FALLO Declara finalmente la sentencia no haber lugar al recurso de casación. STC Tribunal Supremo. Sala de lo Contencioso-Administrativo, 8 de febrero de 2012. Sede: Madrid Sección 6ª. Número de Recurso Casación: 25/2008 ANTECEDENTES DE HECHO Se interpuso por la Federación de Comercio Electrónico y Marketing Directo recurso contenciosoadministrativo contra el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de carácter personal (en adelante, el RLOPD). Se interesa la nulidad de los siguientes artículos del RLOPD: 5.1 q) in fine; 49; 47; 12.1 segundo párrafo; 8.5; 18; 20.1; 10, apartados 2.a) y 2.b); 45.1 b) in fine; 46, apartados 2, 3 y 4; 13.4; 42; 38, apartado 1a) y b); 38.2 y 38.3; 41; 15; 83. FUNDAMENTOS DE DERECHO Según se desprende del Fundamento de Derecho Cuarto, ni el artículo 6 ni el 11 de la LOPD han acertado a trasponer correctamente el artículo 7 f) de la Directiva. Tampoco lo hace el artículo 10.2 a) y b) del RLOPD. La consideración fue que el interés legítimo del responsable es por si mismo título que habilita, sin necesidad del consentimiento del interesado. Procede señalar que la mención en el apartado 2 b) de artículo 10 del RLOPD de que los datos objeto del tratamiento o cesión figuren en fuentes accesibles al público, no se corresponde con lo que el artículo 7 f) de la Directiva 95/46 reza. El Tribunal señala que con la exigencia que los datos figuren en fuentes accesibles al público, se excluye todo tratamiento de datos que no figuren en tales fuentes, por lo que el 10.2.b) del RLOPD no se contiene en el artículo 7 f) de la Directiva 95/46. Extender el pronunciamiento de estimación del recurso contencioso-administrativo interpuesto, que se realiza al artículo 10.2 b), que anulan por disconforme a derecho. en fuentes accesibles al público, se excluye todo tratamiento de datos que no figuren en tales fuentes, por lo que el 10.2.b) del RLOPD no se contiene en el artículo 7 f) de la Directiva 95/46. FALLO STC Tribunal Supremo. Sala de lo Contencioso-Administrativo, de 8 de febrero de 2012. Sede: Madrid Sección 6ª. Número de Recurso Casación: 23/2008 ANTECEDENTES DE HECHO Se interpuso recurso contencioso-administrativo por la Asociación Nacional de Establecimientos Financieros de Crédito (en adelante, ASNEF) contra el Real Decreto 1720/2007, de 21 de diciembre, que aprueba el reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal (en adelante, RLOPD). Se suplicó que se declarara la nulidad de los artículos siguientes del RLOPD: 5, 8, 10.2 a) y b) a 13, 18, 21, 23, 24, 38 a 47, 49, 69, 70 y 123. A su vez, se instó que se plantease Cuestión Prejudicial ante el Tribunal de Justicia de las Comunidades Europeas, suspendiendo el recurso. El Abogado del Estado se opuso a la demanda alegando que la recurrente no ostentaba legitimación activa para impugnar los artículos 45.1 b) 46.2 b) y c), 46.3, 49.2 y 4 del RLOPD, siendo el RLOPD conforme a Derecho. El Tribunal de Justicia declaró que el artículo 7 de la Directiva 95/46/CE, del Parlamento y del Consejo, de 24 de octubre de 1995 (en adelante, la Directiva), se opone a la normativa nacional que, para permitir el tratamiento de los datos personales necesario para la satisfacción del interés legítimo, se exige (en el caso de no contar con el consentimiento del interesado), a parte del respeto de los derechos y libertades fundamentales, lo siguiente: que los datos figuren en fuentes accesibles al público. FUNDAMENTOS DE DERECHO Procede señalar que la mención en el apartado 2 b) de artículo 10 del RLOPD de que los datos objeto del tratamiento o cesión figuren en fuentes accesibles al público, no se corresponde con lo que el artículo 7 f) de la Directiva 95/46 reza. El Tribunal señala que con la exigencia que los datos figuren Extender el pronunciamiento de estimación de recurso contencioso-administrativo interpuesto por ASNEF contra el artículo 10.2 b) del RLOPD. Se anula por ser disconforme a derecho. 5.2 Informes Informe AEPD 0223/2011 Publicación en páginas web de la Universidad de datos de contactos de sus profesores. Excluido de la LOPD. Enlace para descarga. Este informe resuelve la consulta de una universidad sobre si puede proceder a publicar en la página web de la Universidad los datos de contacto de sus profesores consistentes en el número de teléfono y correo electrónico de la Universidad sin su consentimiento, con la finalidad de favorecer la actividad docente a través de la interrelación con los alumnos, incluso si alguno manifiesta su oposición. La publicación planteada implica la existencia de una cesión o comunicación de datos de carácter personal, definida por el artículo 3 i) de la Ley Orgánica 15/1999. En relación con las cesiones, el artículo 11.1 de la Ley indica que “Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”. No obstante, este consentimiento no será preciso, en cualquiera de los supuestos del artículo 11.2. El Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, aprobado por Real Decreto 1720/2007, de 21 de diciembre, en su artículo 2.2 establece que “Este reglamento no será aplicable a los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes 19 APEPINFORMA06 FALLO APEPINFORMA06 únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales.” En el supuesto planteado parece claro que la finalidad del fichero de contactos se limita exclusivamente a facilitar el desarrollo y mantenimiento de la actividad docente y formativa ofertada por la Universidad consultante mediante la incorporación de las tecnologías de la información a los métodos de enseñanza, que favorezcan la comunicación profesor-alumno y redunden en la mejora de la actividad académica de la Universidad como institución. Por ello, si los datos identificativos de los profesores universitarios aparecen exclusivamente vinculados a su actividad en el marco de una determinada Administración Pública, y siempre que dicho tratamiento se limite a los datos de los afectados en su mera condición de cargos, administradores o representantes de una empresa o profesores de la Universidad, cabría considerar que estos datos estarían excluidos del marco de aplicación de la Ley 15/1999. Informe 0213-2011 Comunicación por empresa a Sindicato de Relación mensual de cuotas descontadas en nómina a sus afiliados. Enlace para la descarga. La consulta plantea si el empresario puede comunicar al sindicato consultante la relación mensual de los descuentos efectuados en nómina a sus afiliados. En el presente caso, será necesario contar con el consentimiento expreso y por escrito del afiliado no sólo para la comunicación al sindicato de los datos referidos al pago de la cuota sindical por parte del empresario, sino también para la comunicación previa efectuada por el sindicato al empresario de 20 su condición de afiliado que solicita el descuento en la nómina de la citada cuota. Resultando clara la existencia de una cesión de datos y la necesaria concurrencia del consentimiento del afectado, es necesario analizar si en el supuesto planteado el afiliado ha prestado su consentimiento a la comunicación de sus datos tanto del sindicato a la empresa, en lo referente a la opción adoptada por el afiliado, como de ésta a aquél, en lo relativo a la deducción en nómina de la cuota sindical, o la no deducción por indicación del propio trabajador. En este sentido, el artículo 11.2 de la Ley Orgánica 11/1985, de 2 de agosto, de Libertad Sindical dispone que “El empresario procederá al descuento de la cuota sindical sobre los salarios y a la correspondiente transferencia a solicitud del sindicato del trabajador afiliado y previa conformidad, siempre, de éste”, aclarando el apartado 1 del mismo artículo que, en el abono de las correspondientes cuotas “en todo caso, se respetará la voluntad individual del trabajador”. Es decir, el propio afiliado solicita expresamente al sindicato que comunique al empresario su deseo de que la cuota que ha de satisfacer al sindicato le sea deducida de la nómina mensual, del mismo modo que, como también se indica en otro lugar de este informe, puede solicitar a aquél la domiciliación del correspondiente recibo. Igualmente, a través de la elección expresa por el trabajador de la opción señalada, manifiesta expresamente su voluntad de que el sindicato pueda conocer el efectivo abono de su cuota por parte del empresario, quedando así habilitada por su propio consentimiento la comunicación que el empresario pueda efectuar al sindicato no sólo del hecho genérico del pago, sino también de su imputación a la cuota sindical de cada concreto trabajador que hubiera optado por esta modalidad. La protección de la vida privada en un mundo conectado: un marco europeo para la protección de datos Crónica de Carme Sánchez Ors. • Se refuerzan los derechos ARCO y se suman nuevos conceptos vinculados a nuevas realidades derivadas del uso de Internet la portabilidad y el derecho al olvido. El pasado 9 de febrero en el marco de la Jornada sobre el marco europeo de la protección de datos personales organizadas por la APDCAT tuvimos la oportunidad de tener una primera aproximación a la propuesta de Reglamento Comunitario. • Como ya venía ocurriendo la regulación europea no se centra en ficheros sino en tratamientos. No se prevé ni el registro de ficheros ni creación de los mismos. Desde APEP debemos señalar que como contrapartida se establecen obligaciones de documentación que constituyen funciones-obligaciones del oficial de protección de datos (DPO). En primer lugar, Manel Camós. Director de la Representación de la Comisión Europea en Barcelona, subrayó la necesidad de actualización de la normas a las TIC i a las necesidades de las empresas en el mercado único pero, obviamente garantizando el derecho a la privacidad. • Se potencian mecanismos prevención. En este campo el papel del DPO será fundamental en las evaluaciones de impacto privacidad, Privacy by design y by default. Asimismo existen referencias a certificados y sellos de calidad, códigos de conducta, etc. Por su parte, Ester Mitjans. Directora de la APDCAT, subrayó lo dilatado del proceso de revisión, dos años, y el hecho de tener que recurrir a una directiva. En nuestra opinión, el ámbito policial, y por tanto el tratarse de una competencia en gran medida reservada a los estados justificaría esta elección. • Se refuerza el valor seguridad, pero trasladando su centro de gravedad del tipo de datos a la naturaleza de los riesgos detectados y se fija la obligación de notificar quiebras de seguridad. • Se refuerza la figura de las autoridades de control, su independencia, y los mecanismos de cooperación y asistencia mutua. En cualquier caso, señaló la necesidad de hacer frente a nuevos riesgos derivados de los tratamientos en el marco de las tecnologías de la información y de las telecomunicaciones. En su opinión la propuesta posee ciertas notas distintivas: • El nuevo régimen sancionador europeo comporta un aumento de los importes fijando mecanismos de modulación como el volumen facturación, o ciertas ventajas para empresas con menos de 250 trabajadores. • La aplicación directa a todos los estados miembros era cuestión sencilla y se ha optado por un Reglamento, que dota de uniformidad, pero resta competencia a las autoridades nacionales. Y en ese contexto, ¿cual será el papel de la legislación española? Resolver supuestos de conflicto cuando afecten a supuestos específicos regidos por normas nacionales como la libertad de expresión. • La propuesta cambia distintos aspectos eliminando aquellos que se han demostrado ineficaces e incluyendo mejoras. En tercer lugar, José Manuel Frutos (Dirección general de Justicia de la Comisión Europea), tras un breve repaso al proceso de consultas y a la situación actual, destacó que la transposición de la Directiva obligó a tener 27 leyes nacionales. Estas presentan asimetrías y para los operadores sujetos a más de una legislación nacional comportan inseguridad jurídica, unos costes de 2.300 millones € anuales para las empresas, -derivados de trámites adicionales-, y serios problemas de competitividad. Barcelona, 9 de febrero de 2012. • El consentimiento continúa siendo la clave de bóveda de la regulación, incluyendo el de los menores a los 13 años, -en la línea de la ley norteamericana COPPA-, y se excluye cuando existen relaciones desiguales (ej. Laborales). Desde APEP queremos recordar que esta ha sido una posición constante en los dictámenes del Grupo del artículo 29. • Se mantiene la conocida cláusula de interés legítimo. Por ello, garantizando el derecho fundamental a la protección de datos era necesario garantizar reglas uniformes frente al mercado exterior de la protec21 APEPINFORMA06 6. Crónica de eventos APEPINFORMA06 ción de datos reduciendo la fractura entre estados miembros y simplificando el marco normativo. Ello debería facilitar los flujos internacionales de datos y garantizar una protección adecuada. Por ello, el objetivo primordial del nuevo reglamento es garantizar una regulación uniforme, y al igual que la Directiva Establece reglamentación uniforme proteger los derechos fundamentales a y garantizar libre circulación de datos en la UE. De ahí que el ponente justificase el acudir a este tipo de norma por cuanto unifica, reduce la fragmentación normativa, incrementa la certeza jurídica y mejora el funcionamiento del mercado interior. Entre los principales cambios se señalaron los siguientes: • Asegurar a los ciudadanos el control de sus datos • Mejorar la información, más y más clara a los ciudadanos sobre el tratamiento de sus datos. • garantizar un consentimiento libre, informado y explicito (cuando sea la base del tratamiento. • Facilitar el ejercicio de derechos (ARCO) • Regular el derecho al olvido y a la portabilidad • Generalizar la notificación de fallos de seguridad • Definir reglas para el mercado interno digital • Asegurar la reducción de la fragmentación normativa y simplificar formalidades, con un ahorro estimado en 2.300 millones € anuales en cargas administrativas y costos innecesarios. Sólo la supresión de la notificación de ficheros supondría un ahorro de 130 millones de € año). • Establecer para ciertos trámites y competencias, sobre la base del establecimiento, una autoridad de control única de referencia para el responsable (ONE STOP SHOP). • Mejorar el sistema de supervisión e instituciones • Mantener las autoridades de control como entidades totalmente independientes, con recur- 22 sos suficientes, y con poderes de intervención y sanción efectivas (enforcement). • Garantizar una cooperación más eficaz y rápida de las autoridades, fijar reglas de reconocimiento mutuo de las decisiones, y mecanismos de cooperación en investigaciones e inspecciones. • Fijar un mecanismo de coherencia a nivel UE, que garantice que las decisiones de una autoridad que puedan afectar a varios Estados miembros (o ciudadanos de varios estados) sean discutidos a nivel UE para que tomen en cuenta las opiniones de las demás autoridades y sean compatibles con el Derecho de la UE. • Se propone al conversión del Grupo de trabajo del art.29 en Comité Europeo de Protección de datos independiente, sin participación de la Comisión que podrá solicitar dictámenes. • Mejorar la regulación de las Transferencias Internacionales de Datos (TID). Se trata de hacer frente a los retos de la globalización, y en especial del Cloud Computing, facilitándolas pero asegurando la protección de los derechos de los cuidadnos (continuidad de la protección). Para ello se requieren: 1) reglas claras que determinen cuando el derecho de la UE se aplica a responsable del establecido en terceros países; 2) simplificar las decisiones de adecuación de países terceros; 3) criterios más precisos para la evaluación de países terceros; 4) facilitar/simplificar los instrumentos utilizados para transferencias cuando el país tercero no ofrece un nivel adecuado de protección; 5) facilitar la adopción de normas corporativas vinculantes (BCR) para cesiones en el seno de una corporación; y 6) desarrollar negociaciones con países terceros y organismos internacionales para promover estándares de protección interoperables y con un alto nivel de protección. En el turno de intervenciones los asistentes plantearon sus dudas respecto de la regulación, suscitándose un amplio debate al respecto. PABLO LUCAS MURILLO DE LA CUEVA. Magistrado del Tribunal Supremo, Catedrático de Derecho Constitucional y, junto con el profesor Antonio E. Pérez Luño, uno de los padres de la dogmática del derecho fundamental a la protección de datos en el Derecho Español. Su extensa bibliografía arranca de una obra nuclear, El derecho a la autodeterminación informativa, de obligada lectura si se quiere realmente entender el derecho fundamental a la protección de datos en España. Mucho ha llovido desde su publicación en 1990 lo que permite al Dr. Lucas Murillo de la Cueva tener una amplia perspectiva sobre la evolución del derecho fundamental a la protección de datos. ¿Le ha sorprendido el potencial alcanzado por el derecho fundamental a la protección de datos? ¿Podía el constituyente cuando redactó el artículo 18.4 de la Constitución prever que se iba a convertir en un derecho esencial para las modernas sociedades? Las Cortes que hicieron la Constitución quisieron establecer límites al uso de la informática no sólo para preservar los derechos al honor, a la intimidad personal y familiar y a la propia imagen sino, también, para garantizar a los ciudadanos el pleno ejercicio de sus derechos, de todos sus derechos. Eran, pues, conscientes de que, junto a ventajas imprescindibles, las que ahora llamamos tecnologías de la información y de las comunicaciones comportan riesgos, no sólo para esos derechos del artículo 18.1, sino para los más variados aspectos de la vida de las personas. El lugar en que incluyeron el mandato al legislador de limitar el uso de la informática es bien significativo: el dedicado a la regulación de los derechos fundamentales. Si, además, tenemos presente que la Constitución portuguesa de 1976, muy próxima en el tiempo y uno de los textos que manejaron, ya había recogido en su artículo 35 aspectos del derecho a la protección de datos, no creo que los autores de la nuestra pensasen que esta era una cuestión poco relevante. Precisamente, por eso, sorprende la escasa preocupación del legislador ordinario por abordar el desarrollo del artículo 18.4 de la Constitución. Contrasta con la que prestaron los constituyentes a las nuevas circunstancias que afectaban a los derechos de las personas, atención ésta que permitía esperar que, una vez en vigor el texto de 1978, se dictaran las leyes previstas en él. Así sucedió en casi todos los casos y es verdad que, en los primeros años, la preferencia debía estar en la creación de las instituciones y en llevar a cabo el proceso autonómico. La puesta en marcha del diseño constitucional fue, en sí misma y en comparación con otras experiencias, muy rápida. A mediados de los años ochenta casi se había completado. Sin embargo, no se acordaron las Cortes de hacer la ley prevista por ese artículo 18.4 ni de sacar de él las consecuencias debidas hasta 1992. Antes se limitaron a incluir una disposición transitoria en la Ley Orgánica 1/1982, diciendo que, mientras tanto, se estaría a lo que en ella se establecía para proteger civilmente el honor, la intimidad personal y familiar y la propia imagen. Solución claramente insuficiente. Desde luego, ha sido decisivo que, finalmente, en 2000 se reconociera el derecho a la protección de datos o derecho a la autodeterminación informativa como un derecho fundamental tanto en España como en la Unión Europea y en la jurisprudencia del Tribunal Europeo de Derechos Humanos, pero creo que todavía hay un largo camino por recorrer para completar y, sobre todo, consolidar el potencial que le corresponde. La LOPD, y antes la LORTAD, fueron criticadas por ser leyes imperfectas o restrictivas que o bien se adelantaron a la Directiva, o bien la traspusieron de forma imperfecta. Sin embargo, en el periodo que arranca con la LORTAD en 1992, la jurisprudencia del Tribunal Constitucional y del Tribunal Supremo, y después de la LOPD la de la Audiencia Nacional, junto con la labor de la Agencia Española de Protección de Datos parecen haber construido un sólido cuerpo doctrinal. ¿Realmente es así o siempre podemos encontrar problemas pendientes? Desde una perspectiva histórica es claro el avance en materia de derechos. En el largo plazo así 23 APEPINFORMA06 7. Entrevista a: APEPINFORMA06 se aprecia sin dificultad aunque en períodos más cortos se adviertan pausas e, incluso, retrocesos que, sin embargo, son corregidos posteriormente. El derecho a la autodeterminación informativa no tiene por qué ser una excepción a esa regularidad. En el período transcurrido desde que entró en vigor la LORTAD hasta hoy hemos vivido un proceso de construcción de este derecho en el que la actuación de la Agencia Española de Protección de Datos y de las tres autonómicas que se han creado, la madrileña, la catalana y la vasca, las aportaciones de los estudiosos y la interpretación jurisprudencial han llenado huecos de la LOPD y aprovechado los instrumentos que ofrece para que podamos controlar efectivamente el uso por terceros de nuestros datos personales. El progreso ha sido manifiesto. No obstante, éste, como todos los derechos, no es ilimitado. Además, se proyecta sobre un espacio en el que, de un lado, juegan intereses públicos que no se pueden desconocer y, de otro, se mueven muy importantes intereses económicos. El reto de mantener en sus debidos límites a los primeros y de lograr un equilibrio razonable con las pretensiones de los segundos que no suponga imponer a los afectados cargas que no deben soportar es permanente y puede dar lugar a desajustes. No obstante, precisamente, gracias al trabajo que ya se ha hecho, creo que estaremos en condiciones de superarlos. ¿Qué opinión le merece la reciente evolución europea en esta materia pasando por la “juridificación” de la Carta Europea de Derechos Fundamentales y la Propuesta de Reglamento de la Comisión? El reconocimiento del derecho a la protección de datos como derecho fundamental constituye un hito porque, además de darle carta de naturaleza como categoría autónoma, permite organizar a partir de ella un contenido jurídico específico y, sobre todo, le asegura el máximo nivel de garantía en toda la Unión Europea. Participa, en efecto, de la posición preferente propia de los derechos fundamentales y esta circunstancia juega a la hora de establecer sus confines y de resolver los conflictos en que pueda encontrarse con otros derechos. Me parece que la propuesta de Reglamento parte de esa premisa y trata de sacar las consecuencias correspondientes. Por eso, le dedica un tratamiento mucho más consistente que el ofrecido por la Directiva 95/46/ 24 CE y conduce a una posición de mayor equilibrio frente a quienes manejan información personal. En el fondo, todo obedece a la conciencia de que, en las condiciones sociales actuales, es imprescindible contar con instrumentos jurídicos que nos permitan imponer límites efectivos a los tratamientos de datos personales que hacen terceros.. Por tanto, considero una buena noticia que la propuesta de Reglamento se mueva en esa dirección. Se acusa a la legislación española por su dureza y sin embargo una lectura de la Propuesta de la Comisión parece apuntar hacía una cierta españolización en ámbitos como el enforcement, el derecho al olvido o el régimen sancionador. ¿Qué opinión le merecen estos posibles cambios? Me parecen bien. Aunque en España fue el Tribunal Constitucional el que reconoció como derecho fundamental el de protección de datos, estoy convencido de que a ese resultado se llegó no sólo porque, casi simultáneamente así lo declaró la Carta de los Derechos Fundamentales de la Unión Europea y afirmó la jurisprudencia de Estrasburgo, sino porque la LORTAD, cuya regulación mantiene sustancialmente la LOPD, recogió una disciplina coherente con ese carácter a partir de los fundamentos ofrecidos por la propia Constitución. La exposición de motivos de aquella ley orgánica ya decía que estaba regulando “un nuevo y más consistente derecho a la privacidad de las personas”. En 2000 se le pone el nombre. En consecuencia, si frente a otras experiencias en las que se ha plasmado un régimen jurídico menos comprometido, se sigue la orientación que hemos trazado en España será una buena noticia para todos. El derecho al olvido que afirma expresamente la propuesta de Reglamento ya resulta de nuestra LOPD y, también, aunque con menos énfasis, de la Directiva 95/46/CE. Recuperar a través de él las barreras que anteriormente ofrecían el tiempo y el espacio, sin por ello derivar en censura ni reconstruir la historia es una opción acertada. El régimen sancionador, por otra parte, es imprescindible para asegurar el cumplimiento de las normas. Y debe ser riguroso aunque concebido de manera que no sea la única ni la primera respuesta. Además, debe afinarse de manera que tenga Vd. además del ejercicio de la función jurisdiccional ha desarrollado una carrera académica. En España la universidad viene ofreciendo títulos de postgrado relacionados con la protección de datos personales desde los años 90. ¿Cree que eso ha influido en la preparación de nuestros profesionales? Sin duda. Una de las principales dificultades a las que se vienen enfrentando las autoridades encargadas de hacer valer el derecho a la protección de datos personales es el desconocimiento que todavía existe sobre los peligros que quiere conjurar. Desconocimiento que se encuentra aún en sedes e instancias en las que, por su relevancia política, económica o social, debería haber una clara conciencia sobre el particular. Contar con profesionales preparados al respecto en las instituciones y en la sociedad es fundamental para conseguir resultados. Creo que puede traerse a colación a este respecto, con todas las cautelas que se quiera por la diferencia material, lo sucedido con la prevención de los riesgos laborales. A partir de la Ley de 1995, Administraciones y empresas han tenido que tomarse más en serio las exigencias de protección de la salud y seguridad de los empleados públicos y trabajadores y les han ayudado a progresar en ese camino los profesionales titulados específicamente en dicho ámbito gracias a las enseñanzas ofrecidas por los centros universitarias. guiendo la directiva correspondiente, no se ha contentado con las soluciones regulatorias tradicionales sino que ha establecido en las empresas y en las Administraciones Públicas servicios de prevención y delegados de prevención. Me parece que es acertado aplicar una solución parecida y obligar a que las Administraciones y las empresas de cierta envergadura --la propuesta habla de las que tengan más de 250 trabajadores-- cuenten con ese delegado de protección de datos. Y, también, que deban contar con él quienes se dediquen a realizar tratamientos de datos personales que requieran un seguimiento periódico y sistemático de los interesados. La presencia de un técnico cualificado, dotado de garantías razonables de estabilidad en el puesto, beneficia, a la vez, al responsable del tratamiento, pues le asegura un asesoramiento profesional que le permitirá moverse en el respeto a la legalidad, y a los afectados. La asistencia específica que el delegado de protección de datos prestará a quienes aspiran a tratar sus datos personales o ya los están tratando representará para sus titulares una medida protectora adicional, eficaz en tanto en cuanto contribuya a que dichos tratamientos se lleven a cabo de conformidad con el ordenamiento jurídico. La propuesta de Reglamento prevé la figura del Delegado de Protección de Datos, ¿qué opinión le merece esta previsión?, ¿qué retos formativos supone para nuestros profesionales? El respeto real al derecho fundamental a la protección de datos personales requiere, desde luego, el establecimiento de normas que reconocen facultades a sus titulares e imponen deberes y limitaciones a los sujetos pasivos, también necesita de un régimen sancionador adecuado y de órganos especializados que velen por la aplicación de todo el conjunto normativo que gira en torno al derecho fundamental. Todo eso, no obstante, es insuficiente. En la medida en que los riesgos a la autodeterminación informativa son transversales, no se concentran en una determinada actividad o sector, son necesarios otros instrumentos en los planos de la formación e información y en los de la prevención. Instrumentos que han de utilizarse en el contexto de la necesaria programación para dar lugar a actuaciones integradas en un diseño global encaminado a darnos seguridad jurídica frente al tratamiento de nuestros datos en todos los ámbitos. De nuevo recurro a la comparación con la prevención de riesgos laborales. Para proteger el derecho a la salud y la seguridad en el trabajo, la Ley, si- Los delegados de protección de datos se inscriben, pues, en ese planteamiento integral. Por eso, esta figura es importante. Lo mismo sucede con la protección de datos de carácter personal. La formación superior universitaria especializada asegura la cualificación necesaria para afrontar y resolver los problemas que suscita en la organización y el funcionamiento de las Administraciones Públicas y de las empresas. 25 APEPINFORMA06 presente la posición y características del infractor a la hora de graduar la culpabilidad y considere debidamente la entidad real de la infracción a los efectos de la proporcionalidad de la sanción a imponer. APEPINFORMA06 ¿QUIERES COLABORAR? Con el objeto de fomentar la participación de los asociados y dado que en el seno de la APEP existen profesionales que pueden realizar interesantes aportaciones en la materia os reiteramos la invitación que se realizó en su día para que podáis proponer temas sobre los que escribir un artículo para próximas ediciones del boletín. Aquellos que estéis interesados deberéis remitirlos a [email protected]. 26