Tag Archives: AEPD

Sobre la validez del consentimiento presunto en materia de Protección de Datos

El artículo 6 de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (LOPD) exige la existencia, con carácter general, de consentimiento para el tratamiento de datos de carácter personal. Por su parte, el art. 7 de la misma norma exige que el consentimiento sea expreso para el tratamiento de datos especialmente protegidos. Dado que el artículo 7 especifica el consentimiento expreso para algunos casos, es fácilmente deducible que son válidos a estos efectos otros tipos de consentimiento.

Hecha esta pequeña introducción para los no iniciados, debemos preguntarnos qué otros tipos de consentimiento o qué otras formas de expresar la voluntad, pueden ser válidas. No es objeto de este artículo entrar en profundidades ni analizar los matices que pueden encontrarse en la doctrina, pero no obstante podemos distinguir:

Consentimiento expreso: la voluntad del interesado se expresa a través de una declaración clara por su parte.

Consentimiento tácito: la voluntad del interesado se deduce de su falta de actuación.

Consentimiento presunto: la voluntad del interesado se deduce de su comportamiento.

Pese a que en documentos anteriores podemos encontrar la aceptación, por parte de la Agencia Española de Protección de Datos , de estas tres formas de expresar la voluntad, al menos desde el año 2000 no admite el consentimiento presunto, por considerar que no cumple con el requisito de “inequívoco” que exige la LOPD en su art. 6.

Así lo expresaba un informe de 2000, en el que, recogiendo “los criterios sentados en las diversas recomendaciones emitidas por el Comité de Ministros del Consejo de Europa”, se establecía que el consentimiento debe ser libre, específico, informado e inequívoco “lo que implica que no resulta admisiblededucir el consentimiento de los meros actos realizados por el afectado (consentimiento presunto), siendo preciso que exista expresamente una acción u omisión que implique la existencia del consentimiento”. Esta interpretación de lo que ha de ser un consentimiento inequívoco ha sido repetida por la AEPD en multitud de resoluciones, y está presente en su página web para explicar las obligaciones de la LOPD en lo referido al consentimiento.

Conociendo esto, me ha sorprendido enormemente leer una resolución por la que se archivan las actuaciones iniciadas contra la Federación de Comunicación y Transportes de Comisiones Obreras, por una denuncia debida a la grabación de las intervenciones realizadas en un congreso de esta organización sin obtener el consentimiento de los afectados. La Agencia considera que “es conforme a derecho la idea de que existiría un consentimiento implícito al respecto del tratamiento de datos referidos a la celebración practicada […] en base a la participación de éstos [los afiliados intervinientes] en el propio congreso. Esto es así dado que en materia de protección de datos se articulan tipos de consentimiento más allá del calificado como expreso, como son los consentimientos tácitos y presuntos, desprendiéndose éste último del primigenio comportamiento de los denunciantes, que participaron en el acto sin oposición, debiendo conocer, por tanto, que el acto referido podría ser objeto de grabación”.

Como vemos, la Agencia claramente acepta la existencia de un consentimiento presunto por parte de los intervinientes en el congreso, dado que conocían la realización de las grabaciones. Puede que haya más resoluciones en las que se acepta el consentimiento presunto, pero no hemos encontrado ninguna.

Hay en la doctrina división de opiniones sobre este asunto y he de decir que estoy de acuerdo con esta interpretación de la Agencia, pero es evidente que estamos ante una resolución que va en contra de la doctrina de la propia AEPD, repetida una y otra vez en multitud de documentos. Es más, en materia de videovigilancia, en la que a mi juicio se da un claro caso de consentimiento presunto (una vez se informa de que una zona está videovigilada, se puede deducir que aquél que entra está consintiendo la grabación de su imagen) la Agencia acude a la Ley 23/1992, de 30 de julio, de Seguridad Privada, para eximir de consentimiento por habilitación legal.

Lo más curioso de todo es que la propia AEPD “tira” del consentimiento presunto en los actos que organiza y graba, informando a los asistentes, pero sin obtener su consentimiento expresamente (y sin que se pueda amparar en la seguridad, puesto que la finalidad de la grabación es dar difusión al acto y no la videovigilancia por razones de seguridad).

En fin, que estamos ante un claro caso de inconsistencia en las resoluciones de la Agencia, que deberían garantizar más seguridad jurídica y un criterio más uniforme.

Sanción de la AEPD por abrir un perfil falso

La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 2.000 euros a una persona por haber abierto un perfil falso en la red social Badoo haciéndose pasar por otra persona. Esta resolución es bastante jugosa por varias razones.

En primer lugar por su instrucción: primero se solicita a la Oficina del Comisionado Chipriota para la Protección de Datos, (cuyo nombre oficial es, por si les pica la curiosidad, Γραφείου Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα) información sobre la dirección IP desde la que se creó el perfil y se realizaron conexiones. Conocida esa IP, el operador Euskaltel le facilita a la AEPD la identificación del titular que tenía asignada esa dirección IP en el periodo en el que se realizaron las mencionadas conexiones.

Puede llamar la atención las inmensas posibilidades que tiene la AEPD de investigación e identificación de usuarios de servicios de telecomunicaciones. La Agencia se ampara en el art. 40 de la LOPD, en el que se dice que las autoridades de control, en su labor de inspección, podrán recabar “cuantas informaciones precisen para el cumplimiento de sus cometidos”. Es cierto que una interpretación amplia de este precepto puede llevar a aceptar que pueden “pedir” lo que quieran, pero también es verdad que una cosa es que puedan pedir y otra que el poseedor de esa información tenga la obligación de facilitarla. Por otro lado, está el viejo debate que trae a colación lo establecido en los arts. 1 y 6 de la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas, en los que se dice que los datos de tráfico sólo pueden ser cedidos previa autorización judicial y con fines de detección, investigación y enjuiciamiento de delitos graves contemplados en el Código Penal o en las leyes penales especiales. Respecto a este debate, nos remitimos a esta entrada de David Maeztu y a las aportaciones realizadas en sus comentarios.

También es interesante que en esta resolución se recuerda que, en caso de que haya abierto un proceso penal, se debe suspender el procedimiento hasta que recaiga resolución judicial. No se produjo en este caso, aunque lo alegaba la denunciada, puesto que la Agencia no tenía conocimiento de la apertura de ningún proceso penal con identidad de sujeto, hecho y fundamento, tal como exige el art. 7 del Real Decreto 1398/1993.

En cuanto a la cuestión de fondo, la Agencia entiende que, dado que se abrió un perfil utilizando el nombre de pila, número de teléfono y fotografía de otra persona, hay un tratamiento de datos sujeto a la LOPD, tratamiento realizado sin consentimiento, lo que supone una infracción del art. 6. En primer lugar puede llamar la atención que estamos ante el tratamiento de datos realizado por un particular, con lo que cabría pensar que estamos fuera del ámbito de aplicación de la LOPD, atendiendo a la conocida como “excepción doméstica“. Aunque es sabido y es reiterada la doctrina de la AEPD por la que se entiende que en el momento en que se tratan datos personales públicamente en Internet esta excepción no se tiene en cuenta, creo que debería haberse analizado este aspecto.

El caso es que debemos plantearnos si la AEPD entra a conocer de cuestiones que parecen ajenas a la normativa sobre Protección de Datos y por tanto sobre su competencia. La suplantación de identidad en una red social podría pensarse que supone un delito de usurpación del estado civil, tipificado en el art. 401 del Código Penal, pero es muy complicado aplicar este artículo, puesto que la jurisprudencia viene exigiendo que el infractor se haga pasar en su totalidad por otra persona, y además con carácter permanente. También puede ser un medio para la comisión de otras infracciones y delitos, pero sólo eso, un medio. Por tanto la mera suplantación de identidad en una red social puede quedar sin sanción y no parece que sea una actuación no merecedora de reproche.

Esta actuación de la AEPD ha sido muy criticada por entender, como hemos dicho, que estamos ante una actuación que debe quedarse fuera de sus competencias, pero lo que es incuestionable es que se ha realizado un tratamiento de datos personales sin consentimiento, y ante eso la Agencia no tiene más remedio que actuar. Espero los comentarios discrepantes con mucho interés.

Sobre la obligatoriedad de consultar la Lista Robinson

La Agencia Española de Protección de Datos (AEPD) ha sancionado recientemente a Telefónica Móviles España (TME) por haber realizado llamadas a un cliente suyo, pese a que este se encontraba incluido en la Lista Robinson. La sanción, de 3.000 euros, se fundamenta en la existencia de un tratamiento de datos contrario al principio de calidad de los datos (art. 4 de la LOPD), originado por el incumplimiento del art. 30.4 de la LOPD, que obliga a atender las peticiones de oposición de los titulares de los datos.

Mucha tela hay que cortar aquí sobre esta forma de sancionar, pero nos centraremos en la obligatoriedad de consultar el fichero de exclusión publicitaria, “Lista Robinson”, de la Asociación Española de la Economía Digital (Adigital). Al hacerse pública esta resolución, hemos podido leer afirmaciones sobre la necesidad de que se consulte este fichero antes de utilizar datos personales con finalidad publicitaria y es necesario recordar que no es así, o al menos no es así para todas las empresas que realicen esta actividad.

El artículo 49,4 del Real Decreto 1720/2007, por el que se aprueba el Reglamento de desarrollo de la LOPD (RDLOPD), establece que “quienes pretendan efectuar un tratamiento relacionado con actividades de publicidad o prospección comercial deberán previamente consultar los ficheros comunes que pudieran afectar a su actuación“. Una de las cosas que llama la atención en la resolución, es que en ningún momento se explica ni se justifica la obligación por parte de TME de consultar la Lista Robinson de la FECEMD (antigua denominación de Adigital), no se argumenta por qué ese fichero se trata de un fichero común “que pudiera afectar a su actuación”, tal y como establece el art. 49 del RDLOPD. La única razón por la que TME pueda estar obligado es porque sea usuaria de ese fichero, o mejor dicho, como claramente denominó hace ya tiempo Félix Haro, “cliente” de ese fichero. No se puede, con la normativa en la mano, exigir a cualquier empresa que tenga que consultar la Lista Robinson. Además, en este caso, ni siquiera se puede argumentar que TME estará obligada por ser socia de Adigital (sin llegar a ser usuaria, de hecho, del fichero), dado que TME no forma parte de la Asociación Española de la Economía Digital (nueva denominación de la FECEMD): sólo está asociada la matriz, Telefónica de España, como se puede ver en la web de la asociación.

En fin, entenderán el por qué del desastroso título de esta entrada: en resumidas cuentas, es obligatorio consultar la Lista Robinson de Adigital si usted, voluntariamente, se obliga a ello. Si no, la consulta de la Lista Robinson no es obligatoria. No conozco ninguna sanción de la AEPD por no haberlo hecho, si la hay, me encantaría que me la indicaran.

Por cierto, en la resolución se recoge, como hecho probado, que la FECEMD envió a TME “un fichero de solicitudes de inclusión en lista Robinson, que mezclaba clientes y no clientes de TDE y TME”. Me pregunto yo, ejem, si no estamos ante una cesión ilícita de datos de carácter personal, lo cual supone una infracción grave de acuerdo con el artículo 44.3.k de la LOPD. Dado que la Agencia ya conoce este hecho, puesta que está recogido, insisto, como hecho probado en la resolución, supongo que en este momento ya estará abriendo el procedimiento sancionador.

Trasposición de la «Directiva de Cookies»

El pasado 24 de mayo se aprobó el Proyecto de Ley por la que se modifica la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones (BOCG 27 de mayo 2011). Además de modificar la LGT, se realizan modificaciones en la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (LOPD) y en la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI).

En cuanto a las que afectan a esta última, nos vamos a centrar en las que se derivan de la trasposición de lo contenido en la Directiva 2009/136/CE, del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009, (conocida como “Directiva de cookies“), por la que se modifica, entre otras normas, la Directiva 2002/58/CE, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (la llamada Directiva de privacidad).

Efectivamente, la Disposición Final Segunda del proyecto, en su apartado Tres, viene a trasponer lo recogido en la Directiva sobre la utilización de “cookies”, modificando el apartado 2 del artículo 22 de la LSSI, que queda de esta forma:

“2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Cuando sea técnicamente posible y eficaz, de conformidad con las disposiciones pertinentes de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto”.

Lo que llama la atención de este texto es la posibilidad de entender obtenido el consentimiento “mediante el uso de parámetros adecuados del navegador o de otras aplicaciones”, lo cual, a primera vista, parece ir en contra de la intención de la Directiva 2002/58/CE, que en su nueva redacción dice lo siguiente:

“Los Estados miembros velarán por que únicamente sepermita el almacenamiento de información, o la obtenciónde acceso a la información ya almacenada, en el equipo terminal de un abonado o usuario, a condición de que dicho abonado o usuario haya dado su consentimiento después deque se le haya facilitado información clara y completa, en particular sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Directiva 95/46/CE.”

Sin embargo, si acudimos al Considerando 66 de la Directiva de cookies, vemos que esta redacción no es tan original:

“Cuando sea técnicamente posible y eficaz, de conformidad con las disposiciones pertinentes de la Directiva 95/46/CE, el consentimiento del usuario para aceptar el tratamiento de los datos puede facilitarse mediante el uso de los parámetros adecuados del navegador o de otra aplicación“.

En consecuencia, podemos afirmar que la trasposición es correcta y conforme a la Directiva, pero el quid de la cuestión está, a mi entender, en cómo interpretemos esto, puesto que una interpretación favorable puede facilitar enormemente el cumplimiento de esta obligación, con lo que ya no estaríamos ante la necesidad de que el usuario consienta, de alguna manera, la utilización de cookies, que en principio es la finalidad de la modificación.

Si la Agencia Española de Protección de Datos (AEPD), que es la competente en la materia, sigue los criterios del Grupo de Trabajo de Protección de Datos del artículo 29, la interpretación será bastante restrictiva. Así lo establece este órgano consultivo euroopeo en su Dictamen 2/2010 sobre publicidad comportamental en línea, en el que dice que “para que los buscadores u otras aplicaciones puedan «ser indicativos» de consentimiento válido” se deben dar las siguientes condiciones:

a) Deben rechazar por defecto cookies de terceros y requerir que el usuario realice una acción expresa para aceptar cookies.

b) Los buscadores deben transmitir, en nombre del proveedor de la red de publicidad, la información pertinente sobre el objeto de los cookies y el tratamiento de datos ulterior. Si no se cumplen los requisitos citados, el hecho de proporcionar información y, hasta cierto punto, facilitar la capacidad del usuario para rechazar cookies (explicando cómo hacerlo) no puede en principio considerarse consentimiento. En consecuencia, “parece de capital importancia que los buscadores dispongan de la configuración de «no aceptación y no transmisión de cookies de terceros». Para complementar esto y hacerlo más eficaz, los buscadores deben pedir a los usuarios que entren en un asistente de privacidad la primera vez que instalen o actualicen el buscador y proporcionarles un método fácil de ejercer su opción durante la utilización del producto”.

I Congreso Nacional de Privacidad

El pasado 19 de mayo se celebró el I Congreso Nacional de Privacidad, organizado por la Asociación Profesional Española de Privacidad. Se trata del primer gran encuentro de profesionales del sector a nivel nacional. Desde mi punto de vista, fue un encuentro muy provechoso, fundamentalmente por la posibilidad de comentar aquellos aspectos relacionados con nuestra profesión.

Se trataron asuntos relacionados con el fraude del “coste cero”, el intrusismo, la necesidad de formación, etc. En relación con esto, debe hacerse mención a la intervención de Ricard Martínez, profesor de Derecho Constitucional de la Universidad de Valencia, que habló de estos temas y de los retos de futuro que deben afrontar los profesionales de la privacidad.

Rosa Barceló, asesora del Supervisor Europeo de Protección de Datos nos contó por dónde van los tiros en el desarrollo de la modificación de la Directiva 95/46/CE, de protección de datos, la cual, por lo que nos transmitió, no estará aprobada antes de 2013. También resultó interesante la mesa redonda sobre protección de datos y medios de comunicación, en la que se comentó, fundamentalmente, el tan de moda “derecho al olvido“.

Por su parte, Pablo Pérez San José, gerente del Observatorio de Seguridad de la Información de Inteco, en una interesante ponencia, comentó las amenazas a la privacidad que pueden suponer las, por otra parte muy útiles, etiquetas RFID. Otra intervención muy didáctica y destacable fue la del magistrado Ricardo Bodas Martín, quien desgranó y repasó los precedentes jurisprudenciales que afectan a la normativa sobre protección de datos en las relaciones laborales.

En definitiva, un muy interesante encuentro que esperemos que se repita y que sirva no sólo como evento de conocimiento, sino también para la reivindicación de actuaciones profesionales de calidadrelacionadas con la protección de datos de carácter personal.

El apercibimiento en el régimen sancionador de la LOPD

De entre las modificaciones del régimen sancionador de la LOPD, una de las más significativas es la incorporación del apercibimiento como excepción, en algunos casos, alternativa a la apertura del procedimiento sancionador.

En una reciente jornada, el Adjunto al Director de la Agencia Española de Protección de Datos comentó una serie de cuestiones sobre el apercibimiento, que comentamos en el blog «Descargas legales».

Instalación de cámaras de videovigilancia falsas

La instalación de sistemas de videovigilancia se encuentra sometida a lo dispuesto en la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (LOPD). La imagen de una persona se considera un dato de carácter personal y, por tanto, el tratamiento de imágenes (incluida la mera transmisión de las mismas, sin que se almacenen) constituye un tratamiento de datos de carácter personal. Incluso la Agencia Española de Protección de Datos dictó una instrucción específica sobre la materia (Instrucción 1/2006, de 8 de noviembre, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras), que regula las obligaciones concretas aplicables a estos tratamientos de datos.

¿Y qué sucede con la instalación de cámaras falsas, sistemas que no estén en funcionamiento, o simplemente, meras carcasas de cámaras? Es una consulta bastante habitual si resulta conforme a la legalidad la instalación de cámaras de videovigilancia falsas, con un interés únicamente disuasorio. La lógica dice que, dado que no hay un tratamiento de datos, no puede aplicarse la LOPD, tan sencillo como eso. Sin embargo, tal y como han apuntado algunos colegas blogueros (1 y 2), la Agencia ha amenazado en algunos casos con la imposición de sanciones si no se retiran estos dispositivos meramente disuasorios, declarando que pueden constituir “prueba indiciaria suficiente“ de que las cámaras realmente captan imágenes. Por tanto, insta a su retirada, advirtiendo de que en caso contrario podrían imponerse sanciones “de hasta 300.506,05 €”. Esto ha sucedido, al menos, en los procedimientos E-01297-2008, E-00903-2009, PS-00155-2010 y E-00888-2010. Cierto es que hay archivos de actuaciones en las que no se incluye esta “amenaza” (como el E-00704-2007), pero no parece ser la tendencia actual.

No podemos estar de acuerdo con estas resoluciones de la Agencia. En primer lugar, por lo que ya hemos comentado, no hay tratamiento de imágenes. Si se iniciara un nuevo procedimiento sancionador contra alguno de los denunciados, la inspección volvería a determinar que no existen grabaciones, con lo que no hay tratamiento de datos, y por tanto, estamos fuera de la LOPD. Es decir, no se sostendría la existencia de una prueba indiciaria suficiente, puesto que la propia inspección comprobará la inexistencia de grabaciones.

Es más, aun aceptando que pudiera haber indicios de tratamientos de datos, deberían utilizarse esta argumentación exclusivamente en casos concretos, basándose en hechos que justificaran tal calificación y no, como parece que está empezando a hacer la Agencia, en todos los casos en los que se denuncian cámaras falsas.

No tendría sentido que lo que pretenda la AEPD sea que se inscriba el fichero, se coloquen carteles y se cumplan con todas las obligaciones derivadas del tratamiento de imágenes, puesto que no se puede inscribir algo que no existe. Por tanto, lo que parece que pretende la Agencia es que no se instalen sistemas disuasorios. La generalización de resoluciones de este tipo supondría que, por la vía de los hechos, la Agencia prohibiera la realización de una actuación (la instalación de cámaras falsas) no prohibidas por ninguna ley, y sobre la que además no tiene competencia (puesto que no debe aplicarse la LOPD).

En conclusión, ante la pregunta que titula esta entrada, instalen ustedes las cámaras falsas que estimen oportunas, como mínimo hasta que se le abra el primer procedimiento sancionador. Aunque se le haya abierto, ya han visto que de momento no se ha sancionado a nadie, con lo que en ese momento usted deberá decidir si mantiene las cámaras falsas o las retira, asustado por la amenaza de la Administración. Yo no lo haría, la verdad (entre otras cosas porque me encantaría ver cómo argumenta la Agencia en ese caso), pero el miedo es libre y ahí ya no me puedo meter.

Actualización: es interesante conocer que la Instrucción 1/2009, de 10 de febrero, sobre el tratamiento de datos de carácter personal mediante cámaras con fines de videovigilancia, de la Agencia Catalana de Protección de Datos, excluye de su ámbito de aplicación, en su artículo 1.2.d, “la instalación de cámaras falsas que no sean aptas para captar imágenes”.

Protección de datos, libros de bautismo y apostasía

La Sala Primera del Tribunal Constitucional, mediante Auto 20/2011, de 28 de febrero de 2011, ha inadmitido a trámite el recurso de amparo 9929-2008, promovido por la Agencia Española de Protección de Datos (AEPD), al respecto del contencioso que viene manteniendo desde hace unos años con el Arzobispado de Valencia en relación con la cancelación de datos en los libros de bautismo. Recapitulando, que la cosa viene de lejos:

El 23 de mayo de 2006, la AEPD estimó una reclamación de tutela de derechos (TD/00046/2006) por la que se ordenaba al Arzobispado de Valencia anotar en el libro de bautismo la solicitud de cancelación realizada por el interesado.
El 10 de octubre de 2007, la Sección Primera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional desestima el recurso interpuesto por el Arzobispado contra la resolución de la AEPD.
El 19 de septiembre de 2008, el Tribunal Supremo estimó el recurso de casación interpuesto por el Arzobispado contra la anterior sentencia, por lo que la Resolución inicial de la AEPD quedó anulada.
El 12 de noviembre de 2008, la Sección Sexta de la Sala de lo Contencioso-Administrativo del Tribunal Supremo dictó providencia por la que inadmitió el incidente de nulidad de actuaciones promovido por la AEPD.

El auto en cuestión, por tanto, inadmite el recurso de amparo presentado por la AEPD contra esta providencia. El TC considera que la Agencia adolece de falta de legitimación activa para interponer el recurso, puesto que no es titular (en este caso) del derecho a la tutela judicial efectiva, ni (en ningún caso) del derecho a la protección de datos personales. El TC estima que sólo los titulares de los derechos, el Defensor del Pueblo y el Ministerio Fiscal estarían legitimados.

Por tanto, como vemos, el Tribunal Constitucional, aparte de darle un esperado varapalo a la AEPD, no hace nada más, porque no entra en el fondo del asunto. Así pues, no se puede afirmar, como hemos podido leer, que como consecuencia de este auto se avale que la Iglesia no borre datos, o que se cargue el derecho a ejercer la apostasía, etc. Simplemente, no se valora.

Aclarado este extremo, conviene recordar lo que dijo el Tribunal Supremo en su sentencia de 2008, cuya doctrina es la que hay que aplicar al caso que nos ocupa:

Los libros de bautismo quedan fuera del ámbito de aplicación de la LOPD, dado que no constituyen un fichero, sino que se trata de una pura acumulación de datos que comporta una difícil búsqueda, acceso e identificación, en cuanto no están ordenados ni alfabéticamente, ni por fecha de nacimiento, sino sólo por las fechas de bautismo, siendo absolutamente necesario el conocimiento previo de la Parroquia donde aquel tuvo lugar.
Además, en los libros de bautismo no cabe apreciar ninguna inexactitud de datos, en cuanto en los mismos se recoge un dato histórico cierto, salvo que se acredite la falsedad, cual es el referente al bautismo de una persona. Es más, cuando se solicita la cancelación de ese hecho, no se está pretendiendo que se corrija una inexactitud, sino que en se está intentando y solicitando un sistema nuevo y diferente de registro de nuevos datos personales.

A todo esto, no está de más aclarar que el derecho de cancelación en relación con el contenido de los libros de bautismo no tiene nada que ver con la apostasía, contrariamente a lo que se suele pensar. La apostasía es, en general, la negación de la fe o el abandono de una religión, de acuerdo con la definición de la Real Academia Española y, específicamente, según el Canon 751 del Código de Derecho Canónico, “el rechazo total de la fe cristiana“ . No se entiende el especial interés en acudir a la normativa sobre protección de datos por parte de los pretendidos apóstatas. Acudan simplemente a las instrucciones de la Iglesia Católica y verán que, el que quiera salir de ésta, sólo tiene que manifestar su intención “en forma escrita, delante de la autoridad competente de la Iglesia católica: Ordinario o párroco propio”. Y ante esto, oh sorpresa, “proveerá para que en el libro de bautizados (cfr. can. 535, § 2) se haga la anotación con la expresión explícita de que ha tenido lugar la “defectio ab Ecclesia catholica actu formali”. ¿Les suena?

La AEPD vs. Google

Ayer estuvieron los medios y los internautas bastante revueltos con la noticia de que Google acude a la Audiencia Nacional para evitar tener que eliminar resultados de búsquedas, tanto por la noticia en sí, como por las aclaraciones del Director de la Agencia Española de Protección de Datos (AEPD). Desde hace tiempo, la AEPD y Google han tenido una intensa relación, como no podía ser de otra forma; una relación que, aunque no pasa por su mejor momento, tiene que acabar bien, porque creo que están condenados a entenderse. El caso es que nos encontramos ante el problema habitual de que un individuo quiere que Google deje de facilitar, entre sus resultados, un enlace a una información referente a él que le resulte perjudicial por cualquier motivo.

Aunque ha habido alguna excepción (¿qué sería de la AEPD sin excepciones a su doctrina habitual?), por lo general se han estimado las solicitudes de tutela de derechos de los afectados (como en este caso y en este), con lo que la AEPD considera que Google ha de atender el ejercicio del derecho de oposición por parte de los afectados y eliminar de sus resultados los datos de estos. Y la noticia (no es tan noticia, en el sentido de que no es nada que fuera desconocido hasta el momento) consiste en que Google recurre las resoluciones de la AEPD ante la ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional.

Al hilo de esto, creo conveniente aclarar y comentar varios puntos:

– La AEPD se dirige a Google Spain, S.L., entidad que no es la que opera el buscador. No hay más que ir a las Condiciones del Servicio de Google para ver que la entidad titular del buscador es «Google Inc., una sociedad con domicilio social en 1600 Amphitheatre Parkway, Mountain View, CA 94043, Estados Unidos». Vamos, que Google es un buscador americano, oh sorpresa.

– La AEPD no ignora (como no puede ser de otra forma) que los titulares de páginas web pueden autoexcluirse de las búsquedas, mediante ficheros robots.txt. Incluso la AEPD ha instado en algún procedimiento a la web que aloja los datos personales a arbitrar «las medidas necesarias con el fin de evitar la indexación de los datos […] e impedir que sean susceptibles de captación por los motores de búsqueda de internet».

– El criterio de la AEPD se basa en que hay ocasiones en las que el titular de la página web que aloja la información está impedido legalmente para cesar el tratamiento de los datos (por ejemplo, un boletín oficial), impedimento que no se produce en el caso del buscador, que «deberá adoptar medidas no sólo para cesar en el tratamiento de la información, sino también, para impedir el acceso futuro a la misma a través de su servicio». Así lo explica la Agencia en su «Declaración sobre buscadores de Internet».

– La AEPD tiene el importante respaldo del Grupo de Trabajo del artículo 29 (el órgano consultivo de la Unión Europea sobre Protección de Datos), el cual, en su «Dictamen sobre cuestiones de protección de datos en relación con buscadores», estimaba que «en relación con la eliminación de datos personales de sus índices y resultados de búsquedas, los buscadores poseen un control suficiente para ser considerados responsables de tratamiento (ya sea solos o conjuntamente con otros) en aquellos casos».

Espero ansioso el fallo de la Audiencia Nacional, aunque sea cual sea éste, seguro que acabamos en el Supremo. Mientras tanto, dado que Google no atiende los ejercicios de derechos, el que esté interesado en que le eliminen de las búsquedas, puede seguir estos consejos, aunque Google probablemente argumente lo mismo que en los procedimientos comentados, es decir, que las quejas, al maestro armero.

El registro en foros no recoge datos personales, ni siquiera el correo electrónico

Cualquiera que conozca mínimamente la normativa sobre Protección de Datos pensará que no tenemos ni idea de la materia o que, directamente, nos hemos vuelto locos al escribir el título de esta entrada. Pues bien, atendiendo a una resolución de la Agencia Española de Protección de Datos (AEPD) que nos han hecho llegar, podemos afirmar esto sin ningún problema.

En la resolución mencionada se recoge que, para efectuar el registro en un foro, se recogen apartados como «nombre de usuario», «confirmar dirección de email» y «contraseña». Sin embargo, para la AEPD, «los datos que se solicitan no tienen por qué hacer identificables a la persona que los facilita hecho que normalmente ocurre en este tipo de foros en los que el afectado se ampara en un alias o en datos identificables discrepantes con los del titular». De esta frase digna de ser enmarcada debemos considerar dos aspectos:

– Por un lado entiende la Agencia que, dado que «normalmente» «en este tipo de foros» el afectado se ampara en un alias, no se puede hacer identificable a la persona que facilita. Es bastante curioso que en la propia frase se está aceptando la posibilidad contraria: si «normalmente» se utiliza un alias, quiere decir que habrá ocasiones, aunque sean anormales, en las que se puede facilitar un nombre real. Es decir, la misma resolución concede la posibilidad (completamente real, por otra parte) de que se utilicen, por ejemplo, el nombre y apellidos de la persona, respecto de los cuales no creo que sea necesario entrar en su capacidad identificativa respecto a una persona.

– Por otro lado, como hemos señalado antes, uno de los datos que se facilita en el registro del foro es la dirección de correo electrónico. Es una interpretación más que consolidada de la Agencia Española de Protección de Datos el considerar a la dirección de correo electrónico como un dato de carácter personal, incluso en aquellos casos en los que directamente la dirección no pueda identificar a una persona (por ejemplo, en una dirección del tipo arhkjdfasd@gmail.com). Así lo viene afirmado «desde siempre», como se puede leer en este archiconocido informe jurídico, en el que se dice que, «incluso en aquellos casos en los que la dirección de correo electrónico no parece mostrar datos relacionados con la persona titular de la cuenta […] la dirección de correo electrónico aparecerá necesariamente referenciada a un dominio concreto, de tal forma que podrá procederse a la identificación del titular mediante la consulta del servidor en que se gestione dicho dominio, sin que ello pueda considerarse que lleve aparejado un esfuerzo desproporcionado por parte de quien procede a la identificación». Sin embargo, volviendo a la resolución que estamos comentando, ahora resulta que la dirección de correo electrónico «no tiene por qué hacer identificable a la persona». Y se quedan tan anchos, por decirlo de alguna manera.

Aún no repuesto de mi asombro, no obstante esta extravagante resolución, recomiendo a los responsables de foros que consideren que la recogida de datos que realizan para el registro en sus foros se encuentra dentro del ámbito de aplicación de la LOPD y, en consecuencia, tomen las medidas oportunas.