La competencia de la AEPD sobre los ficheros de juzgados y tribunales

Por Fco. Javier Sempere Samaniego
(Asesor de Apoyo Técnico-Jurídico de la
Agencia de Protección de Datos de la Comunidad de Madrid)
y David González Calleja

En una sentencia de 2 de diciembre de 2011, la Sala Tercera de lo Contencioso-Administrativo del Tribunal Supremo ha revocado una sentencia de la Audiencia Nacional y, por tanto, anulado una resolución de la Agencia Española de Protección de Datos (AEPD), por la que se declaraba infracción del Juzgado nº 1 de lo Contencioso Administrativo de La Coruña. La Agencia estimó que el juzgado había infringido el deber de secreto del artículo 10 de la LOPD al aportar partes de baja de algunos funcionarios del juzgado a expedientes disciplinarios abiertos a otros funcionarios en los que se recogían datos de salud.

Si bien al TS parece que no le gusta demasiado la forma de presentar los fundamentos jurídicos por parte del recurrente (“una más depurada técnica casacional y una más cuidadosa redacción de las consideraciones fácticas y jurídicas que se ofrecen en los fundamentos jurídicos, sobre todo evitando reiteraciones y hacer mención a circunstancias irrelevantes, harían, sin duda, más fácil su lectura y comprensión”), lo cierto es que le da la razón en el punto fundamental de este recurso, que no es el fondo del asunto (la infracción del artículo 10 de la LOPD, sobre la que el TS está de acuerdo, según se ve en el Fundamento Jurídico 1º de la sentencia), sino la falta de competencia de la AEPD. Estiman que la Agencia no es competente para investigar y enjuiciar la conducta de un juez en el legítimo desempeño de sus funciones, sino que el control de estas conductas está reservado al Consejo General del Poder Judicial (CGPJ).

Entienden los magistrados del Supremo (y también David Maeztu, con el que amablemente discrepamos) que sólo al órgano de gobierno del poder judicial le corresponde la inspección de juzgados y tribunales (art. 107.3 LOPJ). Pero que el CGPJ tenga esa potestad no excluye, a nuestro juicio, que otros entes públicos puedan realizar inspecciones dentro del ámbito de sus respectivas competencias. Ningún órgano administrativo podrá inspeccionar ni sancionar a un órgano judicial por el ejercicio de sus función jurisdiccional, pero que entren a otras cuestiones que no atañen a esta función, como es la normativa de protección de datos (además en relación con los funcionarios del juzgado) no parece que pueda afectar a su independencia ni al cumplimiento legítimo de sus funciones constitucionales.

Es más, haciendo un poco de “memoria histórica”, el 3 de mayo de 2010 la AEPD y el CGPJ firman un “Convenio de Colaboración sobre inspección de órganos jurisdiccionales en materia de protección de datos”. Leyendo el texto de este Convenio podemos ver que el Consejo pone sus condiciones a la Agencia a la hora de realizar las inspecciones sobre el tratamiento de datos en los Juzgados y Tribunales. Es decir, que acepta que les inspeccionen; con condiciones, sí, pero reconociendo la competencia de los inspectores de la AEPD.

Respecto al ámbito concreto de la protección de datos, el TS se apoya en los artículos 230.5 (por el que se establece que el CGPJ debe dictar un Reglamento en el que se determinarán los requisitos y demás condiciones que afectan al establecimiento y gestión de los ficheros automatizados bajo responsabilidad de los órganos judiciales) y 107.10 de la LOPJ (reglamento de tratamiento de las sentencias asegurar el cumplimiento de la legislación en materia de protección de datos personales). Pero que se disponga de estos reglamentos no quiere decir que no pueda ser controlado el cumplimiento de la normativa por la autoridad de control, sólo que debe elaborarse ese texto que regule estas actuaciones. Es decir, como hacen todas las administraciones públicas, regulan esta materia para dar cumplimiento a la Ley.

Es más, es significativo que la derogada LORTAD excluía en su Disposición Adicional Primera la aplicación de los Títulos dedicados a la Agencia de Protección de Datos y a las Infracciones y Sanciones respecto de los ficheros automatizados de los que eran titulares, entre otros, el Consejo General del Poder Judicial. El hecho de que la LOPD no incluya esta mención explícita como sí hacía la antigua norma, debe también llevarnos a la conclusión de que debe ser de aplicación la LOPD y las potestades de la AEPD también a este ámbito.

Lo cierto es que lo que realmente se plantea es un conflicto de competencias: el poder judicial versus un ente que es Administración independiente. Así que debemos preguntarnos si el Tribunal Supremo, que forma parte del poder judicial, es realmente competente para resolver esta cuestión. Llama muchísimo la atención que hable de la incardinación de la Agencia Española de Protección de Datos (AEPD) en el poder ejecutivo y sea este Tribunal el que resuelva un conflicto entre la AEPD y el Consejo General del Poder Judicial (CGPJ), cuando el Presidente del Tribunal Supremo es, a su vez, el Presidente de dicho Consejo.

¿Es por tanto el Tribunal Supremo el órgano jurisdiccional adecuado para resolver este conflicto de competencia? ¿Y quién sería el competente para dilucidar esta cuestión? La Ley 2/1987, de 18 de mayo, de Conflictos Jurisdiccionales , dedica sus artículos 1 a 21 a regular los conflictos jurisdiccionales entre los Juzgados o Tribunales y la Administración. El problema es que estos conflictos los resuelve el Tribunal de Conflictos de Jurisdicción que está formado por: “El Presidente del Tribunal Supremo, que lo presidirá, y por cinco vocales, de los que dos serán Magistrados de la Sala de lo Contencioso-administrativo del Tribunal Supremo, designados por el Pleno del Consejo General del Poder Judicial, y los otros tres serán Consejeros Permanentes de Estado, actuando como Secretario el de Gobierno del Tribunal Supremo”. Obviamente, y para el caso que nos ocupa, esta vía tampoco nos da una solución demasiado pacífica para resolver el problema entre el Consejo General del Poder Judicial y la AEPD. Así que nos tememos que nos vamos a quedar sin una respuesta clara.

Además, si bien no se puede discutir el proceso de nombramiento actual del Director de la AEPD –esta sentencia da argumentos para que sea nombrado por las Cortes Generales-, se olvida el carácter independiente de la AEPD. Y es que uno de los elementos de esta independencia es precisamente el carácter inamovible de su Director. De esta forma, sólo podrá ser cesado por incumplimiento grave de sus obligaciones, incapacidad sobrevenida para el ejercicio de su función, incompatibilidad o condena por delito doloso. En otras palabras, los mismos motivos de cese que los miembros del Tribunal Constitucional (artículo 23.1 de la Ley Orgánica 2/1979).

Asimismo, si seguimos el criterio adoptado por esta Sentencia del Tribunal Supremo, la AEPD tampoco podría controlar los ficheros del Defensor del Pueblo (por ser el Alto Comisionado de las Cortes Generales), incluyendo también a los autonómicos. En este sentido, si consultamos el Registro de Ficheros de la Agencia Española de Protección de Datos, hay ficheros inscritos del Defensor de Pueblo y Defensores del Pueblo Andaluz, Castilla La Mancha (aunque ya no existe), Navarra y Murcia (obviamente, estos son sólo los Defensores que tienen inscritos sus ficheros). O la Autoridad Catalana de Protección de Datos, respecto a los ficheros del Sindic de Greugues (su Defensor del Pueblo); la Agencia Vasca, respecto a los ficheros del Ararteko; y la APDCM, respecto al Defensor del Menor.

Incluso, rizando el rizo, habría que ver qué ocurre con los ficheros del Congreso, Senado, Parlamentos Autonómicos y Tribunal Constitucional, si bien, consultando el Registro de Ficheros de la AEPD, los ficheros de los citados se refieren a cuestiones meramente administrativas (secretaría general). O habría que preguntarse, incluso, qué ocurre con el Supervisor Europeo de Protección de Datos y los ficheros del TJCE.

En fin, consideramos que ningún órgano administrativo debe controlar la actuación de los jueces y tribunales relacionada con sus funciones jurisdiccionales, pero que es una garantía para el ciudadano (e incluso basada en la división de poderes) que la autoridad de control en materia de protección de datos pueda ser competente para inspeccionar y declarar infracciones de los jueces y tribunales por el incumplimiento de la normativa sobre protección de datos de carácter personal.

4ª Sesión Anual Abierta de la Agencia Española de Protección de Datos

Con motivo de la celebración del Día Europeo de Protección de Datos (28 de enero), se celebró el pasado 27 de enero de Madrid la 4ª Sesión Anual Abierta de la Agencia Española de Protección de Datos (AEPD). El objetivo de estas sesiones es dar a conocer el estado actual de la protección de datos en España, y convoca cada año a un gran número de profesionales de la materia, este ocasión, según la nota de prensa de la Agencia, unos 800. El resumen de la jornada lo pueden encontrar en esa misma nota de prensa.

El Director de la AEPD, don José Luis Rodríguez Álvarez, comenzó la jornada destacando el importante aumento de denuncias y reclamaciones de tutela de derechos realizadas por los ciudadanos durante el año 2011, que crecieron respecto al año anterior, un 50% y 34% respectivamente. Pese a que en anteriores intervenciones públicas el director no se había mostrado muy partidario del término, en esta ocasión celebró que se incluya expresamente el derecho al olvido en la propuesta de Reglamento europeo sobre Protección de Datos recientemente presentada por la Comisión Europea.
Precisamente resultó particularmente interesante dentro de la jornada la intervención del coordinador del Área de Internacional de la AEPD, Rafael García Gozalo, que desgranó la principales novedades de la propuesta de Reglamento y Directiva presentada recientemente por la Comisión Europea, así como la revisión del Convenio 108, del Consejo de Europa, para la protección de las personas físicas en relación con el tratamiento automatizado de datos personales.
El tema central de la sesión, como el de muchas jornadas del sector últimamente, fue la computación en la nube, o el cloud computing. Es conveniente recordar que este tipo de servicios no son novedosos, a fin de cuentas no es de ahora el alojamiento de datos en servidores de terceros. Lo que sí que es cierto es que se ha generalizado mucho su uso y que en cuanto a la normativa sobre protección de datos nos encontramos con varios problemas: la transferencia internacional de datos con la aplicación de las medidas de seguridad y la normativa española, y la habitual subcontratación de los servicios. Respecto a esto, la Agencia anunció la publicación de unas cláusulas contractuales tipo para los casos en los que se produzcan transferencias internacionales.
Por último, se contestaron por parte de los intervinientes consultas planteadas por los asistentes tanto al inscribirse como en la propia sesión. Hay que agradecer y valorar la predisposición del personal de la Agencia a la hora de responder preguntas en directo, pero creo que en muchos casos no aporta suficiente seguridad a las dudas de los profesionales, puesto que a menudo las cuestiones requieren de precisión tanto en el supuesto planteado como en la respuesta, y no siempre las respuestas son por tanto lo suficientemente claras o fiables.
En fin, un acto cuya celebración hay que agradecer a la Agencia, tanto por la deferencia ante los profesionales de la privacidad, como por las actuaciones de difusión de la cultura sobre protección de datos realizadas paralelamente en estos días.
Pueden descargarse las presentaciones de las distintas ponencias desde la web de la AEPD.
Otros resúmenes de la jornada en los blogs Marketing Positivo y Privacidad Práctica.

Apuntes sobre el caso Megaupload

Se ha hablado tanto los últimos días sobre el asunto Megaupload o, como se dice en la acusación, la “Mega Conspiracy”, que puede ser difícil aportar algo nuevo. Pero también es cierto que, dado que se ha hablado tanto, se han producido muchas manifestaciones que, bien por la precipitación, bien por el desconocimiento, no está de más aclarar. Sobre todo afirmaciones que han tachado la operación de ataque contra la cultura, contra la libertad, “Guantánamo digital” y similares, o que consideran que se ha atentado contra la privacidad o los datos personales de los usuarios.

Lo primero que hay que recordar es que los cargos contra los responsables no son sólo por infracción de propiedad intelectual, sino que están acusados también de blanqueo de capitales y constitución de organización criminal. No obstante, nos centraremos en la infracción de propiedad intelectual.

Hay que tener en cuenta que (simplificando un poco) tanto en Estados Unidos (según la DMCA, Digital Millennium Copyright Act) como en Europa (en España según lo establecido en la LSSI, la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico), hay un régimen similar respecto a la responsabilidad que debe asumir un prestador de servicios de alojamiento por alojar en sus servidores contenidos ilegales. En caso de que el prestador conozca la ilicitud de ese contenido será responsable de la infracción si no lo retira, quedando indemne en caso de que sí que lo haga. Megaupload aparentemente lo hacía cuando era requerido por los titulares de los derechos, pero por lo que parece lo único que hacían era eliminar la URL concreta desde la que se podía descargar el contenido, generando en ese mismo momento otra u otras. Además, realizaban pagos a aquellos usuarios que subían las películas o series más demandas, y por los correos electrónicosintervenidos a los responsables de las páginas, se puede ver también que conocían perfectamente la existencia de archivos protegidos (lo cual a nadie le extraña, dicho sea de paso, pero les impide alegar desconocimiento). Es decir, había un incumplimiento claro, con lo que no se puede afirmar en ningún caso que se trata de una operación caprichosa y sin sustento legal.

Se han leído también muchas quejas por la supuesta violación de la intimidad o de la privacidad de los usuarios. Se trata de un procedimiento judicial, y como en cualquier procedimiento, las autoridades policiales y judiciales pueden tener acceso a esa información sin que estemos ante un ataque a los derechos de los usuarios.

Respecto al perjuicio que puedan sufrir los usuarios que legítimamente utilizaban el servicio para almacenar sus propios archivos, aunque parezca mentira hay que recordar que a quien hay que quejarse (y contra quien reclamar, en su caso), es a los responsables de estas páginas, que son los que supuestamente han delinquido y, en definitiva, con quienes se ha contratado, y no contra el FBI ni los jueces estadounidenses. Es más, aquellos que utilizasen un servicio como este para alojar datos profesionales en mi opinión no estaban siendo suficientemente responsables, y no sólo porque se borraban los archivos que no se descargaban en un periodo de tiempo determinado. Si alojaban datos de carácter personal, estarían incumpliendo la normativa española sobre protección de datos puesto que ninguno de ellos tendrá firmado un contrato de los que obliga el artículo 12 de la Ley Orgánica de Protección de Datos, y además estaría realizando una transferencia internacional de datos sin las exigencias que esta ley contempla. Y si no tenían datos alojados datos personales, aunque no inclumpieran normativa alguna, no está de más que se adopten precauciones similares.

En definitiva, que no conviene aseverar que cualquier actuación contra las descargas es un atentado a la libertad, a la difusión de la cultura o a la tecnología. Se puede estar en contra de la Ley Sinde, de la SOPA y la PIPA, o de la criminalización de los enlaces y a la vez aplaudir actuaciones contra infractores como los responsables de Megaupload.

Por otro lado, desde la web Practicopedia.com me consultaron sobre algunas cuestiones prácticas relativas a las consecuencias del cierre de Megaupload. Se pueden leer aquí.

Nueva colaboración en COPE Valladolid

Alberto Guerrero, conductor de «Así son las mañanas» en COPE Valladolid, ha tenido la gentileza de invitarme a acudir a su programa todos los viernes. En una nueva sección del programa, hablaremos sobre tecnología, redes sociales, internet, etc. Comentaremos la actualidad al respecto, las aplicaciones más utilizadas en los teléfonos o daremos consejos sobre el uso de las redes sociales.

Cualquier que tenga una sugerencia o pregunta sobre estos temas, estaremos encantados de comentarla en la radio.

El programa se puede escuchar en directo en la web de la Cadena COPE y además se pueden descargar las grabaciones de los programas anteriores en la sección de audios de COPE Valladolid. Os espero al otro lado.

Despedido por usar el ordenador para fines particulares

La Sala de lo Social del Tribunal Supremo ha dictado una sentencia, resolviendo un recurso de casación para unificación de doctrina, que confirma las sentencias del Juzgado de lo Social del Valencia y del Tribunal Superior de Justicia de la Comunidad Valenciana. Se declara la procedencia de un despido disciplinariocontra una trabajadora por realizar un uso abusivo del ordenador de la empresa para cuestiones personales dentro del horario de trabajo, incluyendo el envío a su correo electrónico personal de valiosa información comercial de la empresa.

Según consta en la sentencia, la empresa había entregado “a todos los trabajadores y en concreto a la aquí demandante, una carta que ésta recibió y firmó, en la que se le comunicaba que quedaba terminantemente prohibido el uso de medios de la empresa (ordenadores, móviles, Internet, etc..) para fines personalestanto dentro como fuera del horario de trabajo”. Con posterioridad a esa información, se comenzó a monitorizar la actuación de la empleada, comprobándose el uso particular del ordenador.

En este tipo de conflictos siempre han de tenerse en cuenta varios aspectos, pero fundamentalmente la información previa y el alcance del control realizado por parte de la empresa. De la sentencia podemos sacar las siguientes conclusiones de cara a dejar claro el asunto:

El artículo 20 del Estatuto de los Trabajadoresreconoce el derecho de dirección y control de la actividad laboral del empresario, del que se deriva que puede “imponer lícitamente al trabajador la obligación de realizar el trabajo convenido dentro del marco de diligencia y colaboración […] y el sometimiento a las órdenes o instrucciones que el empresario imparta […] y, consecuentemente, la facultad empresarial para vigilar y controlar el cumplimiento de tales obligaciones por parte del trabajador”.
Aspecto clave es la expectativa razonable de confidencialidad que puede tener el trabajador respecto a su actuación, ya recogida en otras sentencias del Supremo. A este respecto, la sentencia es muy clara: “si no hay derecho a utilizar el ordenador para usos personales, no habrá tampoco derecho para hacerlo en unas condiciones que impongan un respeto a la intimidad o al secreto de las comunicaciones, porque, al no existir una situación de tolerancia del uso personal, tampoco existe ya una expectativa razonable de intimidad y porque, si el uso personal es ilícito, no puede exigirse al empresario que lo soporte y que además se abstenga de controlarlo”.
Para que no exista esa expectativa de confidencialidad es imprescindible informar de las condiciones y prohibiciones de utilización de los medios de la empresa. Por eso es fundamental redactar correctamente estas condiciones e informar de forma fehaciente de ellas a todos los trabajadores.

Indicios de delito por enlazar

El pasado mes de octubre conocimos la primera sentencia dictada por un tribunal español en la que se condena por delito contra la propiedad intelectual la actividad de enlazar, por considerarla comunicación pública. Lo cierto es que la sentencia era bastante criticable, tanto por la deficiente aplicación del artículo 15 de la LSSI, como porque de la descripción de los hechos incluso podía entenderse que no se condenaba por enlazar, sino porque se habían subido previamente las obras a un servidor por parte de los acusados (así lo entiende el compañero David Maeztu).

Ahora acabamos de tener conocimiento de un Auto dictado por la Audiencia Provincial de Mallorca por el que este tribunal acuerda la continuación del procedimiento penal iniciado contra el administrador de la web vagos.es. En esta web, según consta, se facilitan enlaces a obras (suponemos que sin autorización de los titulares de los derechos, claro está), con lo que no hay ningún archivo alojado en la misma.

Sin embargo, la Audiencia estima que hay indicios bastantes para sustentar la posibilidad de que el acusado “hubiera participado en la comisión de un delito contra la propiedad intelectual tal y como le atribuye el Juez Instructor”. Es decir, los magistrados consideran que no hay atipicidad en la conducta de enlazar, con lo que (yendo muy lejos, obviamente) si al final resultara condenado el acusado estaríamos ante un nuevo caso en el que los tribunales consideran que la actividad de enlazar supone un acto de comunicación pública que, realizado sin autorización de los titulares, con ánimo de lucro y en perjuicio de tercero (nunca está de más recordar todos los elementos del tipo) implica la comisión de un delito contra la propiedad intelectual, según lo establecido en los artículos 270 y siguientes del Código Penal. Seguiremos con atención este caso.

Sobre la validez del consentimiento presunto en materia de Protección de Datos

El artículo 6 de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (LOPD) exige la existencia, con carácter general, de consentimiento para el tratamiento de datos de carácter personal. Por su parte, el art. 7 de la misma norma exige que el consentimiento sea expreso para el tratamiento de datos especialmente protegidos. Dado que el artículo 7 especifica el consentimiento expreso para algunos casos, es fácilmente deducible que son válidos a estos efectos otros tipos de consentimiento.

Hecha esta pequeña introducción para los no iniciados, debemos preguntarnos qué otros tipos de consentimiento o qué otras formas de expresar la voluntad, pueden ser válidas. No es objeto de este artículo entrar en profundidades ni analizar los matices que pueden encontrarse en la doctrina, pero no obstante podemos distinguir:

Consentimiento expreso: la voluntad del interesado se expresa a través de una declaración clara por su parte.

Consentimiento tácito: la voluntad del interesado se deduce de su falta de actuación.

Consentimiento presunto: la voluntad del interesado se deduce de su comportamiento.

Pese a que en documentos anteriores podemos encontrar la aceptación, por parte de la Agencia Española de Protección de Datos , de estas tres formas de expresar la voluntad, al menos desde el año 2000 no admite el consentimiento presunto, por considerar que no cumple con el requisito de “inequívoco” que exige la LOPD en su art. 6.

Así lo expresaba un informe de 2000, en el que, recogiendo “los criterios sentados en las diversas recomendaciones emitidas por el Comité de Ministros del Consejo de Europa”, se establecía que el consentimiento debe ser libre, específico, informado e inequívoco “lo que implica que no resulta admisiblededucir el consentimiento de los meros actos realizados por el afectado (consentimiento presunto), siendo preciso que exista expresamente una acción u omisión que implique la existencia del consentimiento”. Esta interpretación de lo que ha de ser un consentimiento inequívoco ha sido repetida por la AEPD en multitud de resoluciones, y está presente en su página web para explicar las obligaciones de la LOPD en lo referido al consentimiento.

Conociendo esto, me ha sorprendido enormemente leer una resolución por la que se archivan las actuaciones iniciadas contra la Federación de Comunicación y Transportes de Comisiones Obreras, por una denuncia debida a la grabación de las intervenciones realizadas en un congreso de esta organización sin obtener el consentimiento de los afectados. La Agencia considera que “es conforme a derecho la idea de que existiría un consentimiento implícito al respecto del tratamiento de datos referidos a la celebración practicada […] en base a la participación de éstos [los afiliados intervinientes] en el propio congreso. Esto es así dado que en materia de protección de datos se articulan tipos de consentimiento más allá del calificado como expreso, como son los consentimientos tácitos y presuntos, desprendiéndose éste último del primigenio comportamiento de los denunciantes, que participaron en el acto sin oposición, debiendo conocer, por tanto, que el acto referido podría ser objeto de grabación”.

Como vemos, la Agencia claramente acepta la existencia de un consentimiento presunto por parte de los intervinientes en el congreso, dado que conocían la realización de las grabaciones. Puede que haya más resoluciones en las que se acepta el consentimiento presunto, pero no hemos encontrado ninguna.

Hay en la doctrina división de opiniones sobre este asunto y he de decir que estoy de acuerdo con esta interpretación de la Agencia, pero es evidente que estamos ante una resolución que va en contra de la doctrina de la propia AEPD, repetida una y otra vez en multitud de documentos. Es más, en materia de videovigilancia, en la que a mi juicio se da un claro caso de consentimiento presunto (una vez se informa de que una zona está videovigilada, se puede deducir que aquél que entra está consintiendo la grabación de su imagen) la Agencia acude a la Ley 23/1992, de 30 de julio, de Seguridad Privada, para eximir de consentimiento por habilitación legal.

Lo más curioso de todo es que la propia AEPD “tira” del consentimiento presunto en los actos que organiza y graba, informando a los asistentes, pero sin obtener su consentimiento expresamente (y sin que se pueda amparar en la seguridad, puesto que la finalidad de la grabación es dar difusión al acto y no la videovigilancia por razones de seguridad).

En fin, que estamos ante un claro caso de inconsistencia en las resoluciones de la Agencia, que deberían garantizar más seguridad jurídica y un criterio más uniforme.

Jornadas “Asesorías 2.0: Herramientas tecnológicas para Gestorías y Despachos profesionales».

Los próximos días 28, 29 y 30 de noviembre, invitados por la Red de Asesores TIC de Castilla y León
de las Cámaras Oficiales de Comercio e Industria, compartiremos nuestra experiencia en el uso de las Tecnologías de la Información y las Comunicaciones para la mejora de los procesos de gestión, comunicación y marketing en asesorías, despachos y gestorías.
Hablaremos de la aplicación SIGPAC que hemos desarrollado en la Red PRODAT para la gestión de nuestros procesos de consultoría, auditoría, comerciales y relación con nuestros clientes.
Expondremos las ventajas de la gestión documental digitalizada y los beneficios del uso de las redes sociales. Las jornadas son gratuitas y se realizarán en las Cámaras de Comercio de León, Segovia y Salamanca, respectivamente.
Además en las jornadas de Segovia y Salamanca impartiremos una charla sobre Protección de Datos, centrándonos, más allá de las meras obligaciones, en los beneficios y ventajas que aporta para la gestión el correcto cumplimiento de la normativa sobre Protección de Datos.
Las jornadas son gratuitas. Más información e inscripciones en cyldigital.es.

El TJUE, el tratamiento de datos sin consentimiento, y las fuentes accesibles al público.

El Tribunal de Justicia de la Unión Europa (TJUE) ha dictado una sentencia por la que se resuelven dos cuestiones prejudiciales elevadas por el Tribunal Supremo. Estas cuestiones se derivan de los recursos presentados por la Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF) y la Federación de Comercio Electrónico y Marketing Directo (FECEMD) contra determinado contenido del artículo 10 del Real Decreto 1720/2007, por el que se desarrolla la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (LOPD). Este artículo, entre otras cosas, permite el tratamiento de datos sin consentimiento del interesado cuando los “datos objeto de tratamiento o de cesión figuren en fuentes accesibles al público y el responsable del fichero, o el tercero a quien se comuniquen los datos, tenga un interés legítimo para su tratamiento o conocimiento, siempre que no se vulneren los derechos y libertades fundamentales del interesado“.

Este precepto trata de recoger lo dispuesto en el artículo 7 de la Directiva 95/46, que establece que podrán tratarse datos sin consentimiento si “es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva”.

¿Cuál es el problema? Pues que la normativa española exige, además del requisito del interés legítimo del responsable del tratamiento, y de que no prevalezca el interés o los derechos del afectado, que los datos figuren en fuentes accesibles al público. Esta es la primera pregunta que realiza el Supremo al TJUE, y la respuesta es clara: la Directiva se opone a que se exija este requisito adicional. A la vista de esto, al Supremo no le queda otro remedio que llevar a su fallo esta sentencia del TJUE, con lo que el artículo 10 del Real Decreto 1720/2007 no podrá seguir exigiendo que los datos figuren en fuentes accesibles al público.

La Agencia Española de Protección de Datos (AEPD) ha reaccionado a esta sentencia y en una nota de prensa ha dicho, básicamente, que la sentencia (resumida aquí por Gontzal Gallo) no altera el marco vigente de la Protección de Datos en España, puesto que ya venía interpretando el hecho de que los datos figuren en fuentes accesibles al público como un mero criterio de ponderación entre el interés legítimo del responsable del tratamiento y los derechos del interesado que se ven afectados por el tratamiento de datos sin consentimiento. Sin embargo, no es difícil encontrar procedimientos sancionadores, incluso recientes, en los que no se realiza ninguna ponderación en este sentido, rechazando la posibilidad del tratamiento de datos sin consentimiento si no figuran los datos en fuentes accesibles al público. Es más, la propia Agencia dice que, dado que se trata de una excepción, “debe aplicarse de forma restrictiva”. Por tanto, quizá sea más correcto decir que este será el criterio interpretativo a partir de ahora, con lo que, en mi opinión, sí que hay alteración del estado de las cosas.

Además tenemos que tener muy en cuenta la resolución de la segunda cuestión prejudicial planteada, en relación con el efecto directo del art. 7.f de la Directiva. El TJUE responde, como era de esperar, que sí que tiene efecto directo, con lo cual lo dispuesto en esta norma puede ser invocado por un particular y aplicado por los órganos jurisdiccionales nacionales. Esto tiene una importancia adicional, puesto que debemos recordar que el artículo 6.2 de la LOPD también incorpora el requisito de que los datos figuren en fuentes accesibles al público, requisito que, por lo que acabamos de ver en esta sentencia, es contrario a lo dispuesto en la Directiva.

Sobre la desaparición de la cuenta @nanianorajoy de Twitter

Durante todo el día el tema del momento en Twitter en España ha sido la desaparición de la cuenta @NanianoRajoy, una cuenta humorística desde la que se satirizaba a Mariano Rajoy. Desde poco tiempo después, con el hashtag #freenaniano se ha protestado por su desaparición, acusando al Partido Popular y a Twitter de censura. Unas horas más tarde, Edu Baeza, miembro del PP, ha asegurado en Twitter que ha habido una reclamación por su partido. Hasta aquí los hechos, ante los que, dando por supuesto que la cuenta ha sido cerrada por Twitter, debemos hacernos varias preguntas:

– ¿Puede Twitter cerrar cuentas?
Por supuesto, así lo recoge en su términos del servicio: se reservan el derecho a cerrar las cuentas que consideren oportuno. Pero lógicamente, Twitter es el primer interesado en no suprimir cuentas sin motivo. Por eso sólo las cierran cuando se incumple alguna de las condiciones establecidas en los mencionados términos del servicio.

– ¿Por qué ha cerrado Twitter la cuenta?
No lo sabemos, y puede que no lo sepamos, pero lo más probable es que haya sido cerrada por incumplir la primera de las prohibiciones comentadas: la suplantación de personalidad. Es verdad que es difícil que nadie que leyera los tweets de esta cuenta pudiera pensar que se tratara de un intento de engaño (el mero intento ya lo penaliza Twitter), pero también es cierto que, a mi juicio, el usuario de esta cuenta ha cometido dos errores que supongo son los que han podido llevar a la suspensión de la cuenta: en primer lugar, utilizar el mismo avatar que la cuenta oficial de Mariano Rajoy; en segundo lugar, no haber tenido la precaución (como se puede ver aquí) que tienen la mayoría de las cuentas paródicas de incorporar el término “parodia” a su perfil, tal y como recomiendan desde Twitter: “el perfil de una cuenta paródica debe dejar claro que es falsa o podrá ser eliminada de Twitter.com”. Estoy convencido de que si no se hubieran producido estas dos circunstancias Twitter no habría cerrado la cuenta.

– ¿Se puede hablar de censura por parte de Twitter?
En absoluto. Cualquiera que conozca mínimamente el habitual proceder de Twitter sabe que no tienen ni la más mínima intención de censurar ningún contenido por las opiniones que publique el usuario. Si no ha atendido las peticiones de Ministerio de Sanidad para cerrar perfiles que fomentan la anorexia, ni ha hecho caso a requerimientos del Departamento de Justicia de los EEUU, difícilmente iba a clausurar una cuenta satírica sólo porque le moleste simplemente a un partido político español. No tienen ningún sentido, Twitter tiraría piedras contra su propio tejado, porque lo lógico es que nadie quiera participar en un servicio que censure opiniones.

– ¿Ha hecho bien el PP en denunciar esta cuenta?
Aunque analizar esto ya queda fuera de las “competencias” de este blog, creo que es evidente que no, primero porque como hemos comentado es difícil pensar que nadie pudiera creerse que fuera una cuenta oficial, y segundo por el “efecto Streisand” que siempre se produce en estas situaciones.

– ¿Es lícito parodiar a personajes públicos?
Parodiar a un personaje público es perfectamente legítimo, pero, discrepando de lo que han dicho algunos compañeros, no tiene nada que ver un caso como este con lo permitido en el artículo 39 de la Ley de Propiedad Intelectual, que lo que permite es transformar una obra para realizar una parodia, y aquí no estamos ante una obra.

¿Qué opinan ustedes del asunto? ¿Ha habido censura? ¿Hace bien Twitter en cerrar este tipo de cuentas? Espero sus opiniones.