Tag Archives: LOPD

La AEPD archiva la denuncia de Facua contra Facebook por los mensajes privados

La asociación FACUA denunció ante la Agencia Española de Protección de Datos la supuesta aparición pública, para todos los usuarios, de mensajes privados intercambiados por usuarios de Facebook.
En el blog «Descargas Legales» dejo algunas reflexiones sobre el caso:
– La celeridad con que se ha abierto y cerrado el procedimiento.
– La respuesta realizada por Facebook Ireland a un requerimiento realizado a la filial española.
– La diferente percepción de la privacidad que vamos teniendo los usuarios de las redes sociales, aunque todavía insuficiente.

Aumento de denuncias y sanciones de Protección de Datos en Castilla y León

De la recientemente publicada Memoria de 2011 de la Agencia Española de Protección de Datos, se pueden extraer datos numéricos por territorios. En Castilla y León el crecimiento de denuncias, tutelas de derechos, sanciones y ficheros inscritos ha sido significativo. Europa Press en Castilla y León se ha hecho eco de un estudio propio que comenta estas cifras.

Aunque porcentualmente el incremento es sustancial, lo cierto es que los números totales no son muy altos. Hay mayor concienciación por parte de los ciudadanos, es cierto, y por eso crecen las denuncias y los procedimientos de tutelas de derechos, pero la inscripción de ficheros, obligación básica para toda empresa o profesional, sigue siendo relativamente escasa, lo cual nos da un indicio de que el resto de obligaciones que recoge la normativa no se cumplen correctamente.

Fotografías y vídeos de alumnos menores de edad en los colegios

La captación de imágenes (tanto fotografías como vídeos) de menores en los centros educativos provoca no pocos dolores de cabeza a los titulares de estos. Es costumbre que todo tipo de actividades que se realizan en los colegios sean fotografiadas o grabadas, tanto para el propio archivo escolar, como para entregar a las familias, como incluso para realizar material promocional.

Evidentemente, vaya por delante que la imagen es un dato de carácter personal y por tanto su tratamiento está sujeto a la normativa sobre Protección de Datos. En consecuencia, lo primero que ha de tenerse en cuenta es que se necesita el consentimiento para ello. Y para que ese consentimiento sea válido debe indicarse claramente qué uso se va a hacer de esas imágenes.

El problema (o mejor dicho, uno de los muchos problemas) es qué sucede cuando los padres de un menor se oponen a que se capte la imagen de su hijo en un acto público del colegio, como puede ser la típica función navideña, en la que participan todos los alumnos. Hace unos años salió a la luz un caso de este tipo, puesto que un padre denunció que no se permitió a sus hijos participar en la función puesto que no habían consentido que se les tomara imágenes. Desconozco los detalles del caso y cómo acabó resolviendo la Consejería de Educación (me encantaría saberlo), pero esto nos da pie a comentar una serie de cuestiones al respecto.

Lo cierto es que los padres del menor tienen, como hemos comentado, pleno derecho a que no se capte la imagen del menor. No se trata de un tratamiento de datos imprescindible para la prestación, por parte del colegio, de los servicios que debe prestar, con lo que es completamente lícito no dar el consentimiento. En estos casos, los colegios se encuentran con problemas, dado que en muchas ocasiones la única forma es apartar al niño de la fotografía o vídeo que se vaya a tomar o tratar la imagen posteriormente (aunque en puridad este procedimiento no sería válido, porque no hay consentimiento ni siquiera para la captación de la imagen).

En caso de que se aparte al niño, totalmente (como en el caso de la noticia reseñada) o parcialmente (apartando al niño del momento de realizar la fotografía), lo cierto es que se crea una situación de exclusión del menor respecto al resto de alumnos que, sin querer meterme en charcos psicopedagógicos, no parece muy adecuada.

Si se toma la imagen y se trata posteriormente, supone un trabajo adicional para el colegio, que puede ser sencillo en el caso de las fotografías, pero más costoso en el caso de vídeos.

Por último, la solución drástica es no tomar ninguna imagen del acto. Aquí los perjudicados son el resto de familias, que lo más probable es que la inmensa mayoría (o todas ellas) quieran tener imágenes de recuerdo.

Creo que han de ponderarse todas estas cuestiones, y alguna otra, a la hora de tomar una decisión de este tipo, tanto por el propio colegio, como por las autoridades educativas y de protección de datos. Teniendo en cuenta que la captación de imágenes del menor, sin consentimiento, no debe poder realizarse en ningún caso, en mi opinión debería resolverse la cuestión de la siguiente forma:

– En caso de que la grabación sea exclusivamente como recuerdo para las familias y archivo del colegio, en principio debe prevalecer el uso social aceptado comúnmente de grabar o fotografiar este tipo de actos, que son públicos, sobre la ausencia de consentimiento en el caso de alguno de los menores. Por tanto, si los padres del menor insisten en que su imagen no sea captada, no podrán tomar parte en la función.

– En caso de que el consentimiento solicitado sea para realizar una difusión mayor, como puede ser material promocional, o la publicación en Internet (web del colegio, redes sociales, etc.) de estas imágenes, en mi opinión en este caso debe prevalecer la oposición de los padres que no desean la publicación, con lo que los hijos de estos podrán participar en el acto y el colegio deberá abstenerse por completo de publicar las imágenes o al menos tratarlas para evitar la publicación de la imagen de los menores afectados.

Se trata sólo de mi opinión, en un asunto muy controvertido. Lo que sí que debe estar claro es que en caso de duda, lo mejor es evitar todo tipo de grabaciones y realizar las actuaciones con todos los alumnos, puesto que estamos ante un tema muy delicado como son las imágenes de menores. Espero opiniones en los comentarios.

Cumplimiento de la LOPD en Castilla y León

A raíz de un estudio que concluía que el cumplimiento de la LOPD en Castilla y León sigue siendo muy pequeño, los informativos de Castilla y León Televisión contaron conmigo para comentar la noticia. Hablamos, entre otras cosas, de qué se debe hacer al recoger datos, de la ventajas del cumplimiento de la normativa sobre protección de datos y de la privacidad en las redes sociales.

Tercer comunicado de la Fundación Tripartita sobre la aplicación de créditos formativos para consultoría LOPD

A raíz de lo comentado aquí hace tres días en nuestro último post, gracias a los muchos compañeros que escribieron lo mismo o entradas similares en sus respectivos blogs, y a la carta abierta publicada por la APEP, la Fundación Tripartita ha emitido el tercer comunicado al respecto de la utilización de créditos formativos para la prestación de servicios de consultoría en materia de protección de datos, lo que se conoce popularmente como «LOPD a coste cero».

En su comunicado, la Fundación Tripartita recuerda que «el crédito anual del que disponen las empresas está destinado exclusivamente a la realización de acciones formativas y permisos individuales de formación de los trabajadores«. Además advierte de que «las empresas que se bonifiquen por la contratación de servicios de consultoría (LOPD, LPR, etc.) deberán devolver los importes correspondientes y atenerse a las actuaciones pertinentes del Servicio Público de Empleo Estatal y la Inspección de Trabajo y Seguridad Social».

Por último, informan de que como consecuencia de los procesos de comprobación realizados, «las actuaciones realizadas por el Servicio Público de Empleo Estatal han dado lugar a la imposición de sanciones«.

Algunos de los comentarios escritos por compañeros al respecto (si falta alguno, por favor, indicádmelo en los comentarios):

http://marketingpositivo.blogspot.com.es/2012/06/caso-de-estudio-crisis-de-reputacion.html

http://www.evaluaconsultores.com/carta-abierta-a-la-federacion-de-municipios-y-provincias-de-castilla-la-mancha-y-la-fundacion-tripartita/

http://www.desaconsultores.es/se-acabo-el-mercado/

http://www.luissalvador.com/2012/06/carta-abierta-a-la-federacion-de-municipios-y-provincias-de-castilla-la-mancha-y-la-fundacion-tripartita/

http://marketingpositivo.blogspot.com.es/2012/06/la-administracion-avala-el-fraude-de-la.html

http://www.alviasesores.es/noticias/a_vueltas_de_nuevo_con_la_lopd_a_coste_cero-id55.html

http://www.evaluaconsultores.com/los-rescates-de-la-lopd-y-los-mendrugos/

http://ruthbenitoabog.wordpress.com/2012/06/12/sobre-adaptacion-lopd-a-coste-cero-y-subvenciones-de-fundacion-tripartita/

http://mikelgarcialarragan.blogspot.com.es/2012/06/el-colmo-de-la-lopd-coste-0.html

http://www.toito.es/actualidad/?p=1180

Edito para añadir que el desconocimiento que alega la Fundación Tripartita sobre el convenio en cuestión ya ha sido resuelto, dado que le ha sido remitido por varios compañeros. Dado que ya lo tienen, supongo que tendrán algo que decir.

Administraciones Públicas que colaboran en la utilización fraudulenta de créditos formativos

Leo que la Federación de Municipios y Provincias de Castilla-La Mancha (FEMP-CLM) ha firmado un convenio para «implantar la normativa sobre la Ley de Protección de Datos en la totalidad de las corporaciones locales de Castilla-La Mancha». Además podrán beneficiarse del convenio también «los proveedores de las administraciones locales de la región también podrán verse beneficiados, ya que la práctica totalidad de los mismos podrán adaptarse también a la LOPD sin coste para sus empresas, al ser dicha actuación subvencionable a través de la Fundación Tripartita«.

Se está diciendo claramente que los créditos formativos para los trabajadores se utilizarán para la prestación de servicios de adecuación a la normativa sobre protección de datos. Tal y como ha advertido en dos ocasiones la Fundación Tripartita (en 2010 y 2012), el crédito
«está destinado exclusivamente a la realización de acciones formativas y permisos individuales de formación de los trabajadores», con lo que utilizarlo para otras cosas «puede llegar a ser constitutivo de fraude». Además «las actuaciones realizadas por el Servicio Público de Empleo Estatal han dado lugar, en ocasiones, a la imposición de sanciones a las empresas ofertantes de los citados servicios de protección de datos de carácter personal, así como a la devolución de las bonificaciones practicadas en materia de formación en el empleo por parte de las empresas. Sin perjuicio de ello, podrá darse traslado de los hechos constatados y de las evidencias obtenidas tanto a la Inspección de Trabajo y Seguridad Social, como a los órganos administrativos pertinentes en materia de Defensa de la Competencia».

El caso es especialmente sangrante, puesto que según cuenta la noticia se bonificará a las entidades «si estas participan en el proceso de forma activa mediante la comunicación a sus proveedores de la necesidad de cumplir la LOPD». Es decir, no sólo se colabora en la utilización ilícita de fondos de formación para los trabajadores, sino que la propia administración tiene la desfachatez de actuar como comercial de una entidad privada que realiza estas actuaciones.

Así, mientras un gran número de profesionales del sector nos dedicamos a prestar servicios de calidad a nuestros clientes, con el objeto de cumplir correctamente con la Ley y ayudar a las empresas, una administración pública se dedica a firmar convenios para detraer fondos del derecho que tienen los trabajadores a su formación, puesto que se utilizarán créditos para pagar servicios que no son formativos. Enhorabuena a la FEMP-CLM por esta ejemplar actuación.

Este post se publica totalmente libre de derechos, eres libre de utilizar la obra sin ningún tipo de restricción.

Taller APEP sobre «Cloud Computing»

Ayer se celebró en Madrid un Taller Práctico sobre Protección de Datos Personales en el «Cloud Computing», uno de los temas de moda en materia de protección de datos, organizado por la Asociación Profesional Española de Privacidad (APEP). El objetivo de la jornada era que facilitar que se pueda «discriminar, entre las distintas ofertas de servicios, aquellas que se ajusten a los requerimientos de la LOPD, así como a las prácticas técnicas, organizativas y legales que se encuadran en esta concreta materia».

Manuel García Sánchez, de la Agencia Española de Protección de Datos, explicó las características esenciales del Cloud, así como los factores de impulso, las barreras para su adopción y los riesgos asociados, incidiendo en uno de los problemas fundamentales: la deslocalización. Manuel recomendó que la adopción de servicios de computación en nube se haga de forma gradual y planificada, analizando los riesgos que se asumen al elegir un determinado proveedor. Recordó que la responsabilidad del responsable del fichero no decae por su falta de poder negociador respecto del proveedor: siempre es necesario contar con el contrato que exige el artículo 12 de la LOPD y que el proveedor aplique las medidas de seguridad necesarias.

Jesús Rubí, Adjunto a la Dirección de la AEPD, nos recordó la intervención que ya realizó en la Sesión Anual Abierta de la AEPD de este año, insistiendo sobre las obligaciones de diligencia que son exigibles tanto para el responsable como para el encargado del tratamiento.

Con el objeto de cumplir con la obligación establecida en el artículo 20.3 del Reglamento de Desarrollo de la LOPD, Rubí explicó que la Agencia considera cumplido este requisito si el proveedor facilita al responsable documentación que acredite la realización de una auditoría, externa e independiente, sobre el cumplimiento de las medidas de seguridad.

Por último, Leandro Núñez, compañero de la APEP, abordó los problemas derivados de las transferencias internacionales de datos, tan habituales en la contratación de servicios de cloud computing. Desde una perspectiva práctica, analizó las distintas posibilidades: cláusulas contractuales tipo, Binding Corporate Rules, Puerto Seguro, etc. La conclusión principal es que en la práctica se presentan muchos problemas y es necesario un trabajo exigente para cumplir con las obligaciones que establece la LOPD y, en muchos casos, la autorización del Director de la Agencia.

La Generalitat pide ayuda a los ciudadanos para identificar sospechosos

La Generalitat de Catalunya ha publicado una web a través de la cual se pide la colaboración de los ciudadanos para identificar a personas sobre las cuales los Mossos tienen elementos para incriminarlos por su participación en actos delictivos o vandálicos. En la web figuran imágenes de sospechosos sobre los que se solicita información a los ciudadanos.

La polémica ha saltado porque distinguidos compañeros, como Carlos Sánchez Almeida y Josep Jover han expresado sus dudas sobre la adecuación a la normativa sobre protección de datos de esta página. Sin embargo, acudiendo al texto de la LOPD, debemos discrepar de estas opiniones.

El artículo 22.2 de la LOPD establece que se pueden tratar datos sin consentimiento de los afectados, por parte de las Fuerzas y Cuerpos de Seguridad cuando estemos ante supuestos y categorías de datos que resulten necesarios para la “prevención de un peligro real para la seguridad pública o para la represión de infracciones penales“. Estos datos deberán “ser almacenados en ficheros específicos establecidos al efecto“. Es decir, queda claro que se permite tratar datos personales sin consentimiento de los afectados en un caso como este, puesto que estamos ante sospechosos de haber cometido infracciones penales (e incluso puede hablarse de peligro real para la seguridad pública en algunos casos). No se atenta contra el principio de finalidad, dado que los datos se tratan para las finalidades señaladas: no debemos confundir que el tratamiento inicial de esas imágenes se realizara con una finalidad determinada por quien las captara (parece que proceden de diversas fuentes), con el hecho de que luego los Mossos las utilicen para el cumplimiento de sus funciones relacionadas con la seguridad.

Es más, el artículo 24 excluye también la necesidad de informar a los afectados cuando ello pueda afectar“a la seguridad pública o a la persecución de infracciones penales”. Estamos nuevamente en este caso, con lo que no sólo no es necesario el consentimiento, sino que por supuesto no es necesario cumplir con el principio de información (lo cual sería imposible, por otro lado, puesto que no son personas identificadas).

Yendo más allá, podemos incluso entender que este tratamiento está excluido del ámbito de aplicaciónde la LOPD, tal y como apunta, aunque sin estar de acuerdo, el compañero David Maeztu. El artículo 2.2.c de la LOPD establece que “el régimen de protección de los datos de carácter personal que se establece en la presente Ley Orgánica no será de aplicación […] a los ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada”. Puede parecer excesivo calificar los hechos que supuestamente han cometido estas personas (aunque no lo sabemos) como de terrorismo, pero no parece ni mucho menos descabellado considerar que podemos estar ante “formas graves de delincuencia organizada“.

Por tanto, es perfectamente defendible no sólo que no vaya contra la LOPD la web de los Mossos, sino que ni siquiera está dentro de su ámbito de aplicación.

Otra cosa es la información que se le da al ciudadano a la hora de enviar sus aportaciones, pero esa es otra historia…

¿Pueden tomarse imágenes de la vía pública con cámaras de videovigilancia?

Surveillance Camera --- Image by © Royalty-Free/Corbis

La Sala de lo Contencioso Administrativo de la Audiencia Nacional ha dictado una sentencia por la que se anula una resolución de la Agencia Española de Protección de Datos (AEPD) en la que se imponían dos sanciones a una discoteca por la instalación de cámaras de videovigilancia. Las cámaras se encontraban instaladas en la fachada y vigilaban la entrada del local, por lo que la AEPD entendía que se captaba la vía pública, lo cual está reservado a las Fuerzas y Cuerpos de Seguridad y por tanto se realizaba un tratamiento de datos ilícito, sancionando este hecho con 2.500 euros. La otra sanción, de 800 euros, se imponía por no haber realizado la inscripción del fichero en el Registro General de Protección de Datos.

Es conveniente recordar que el tratamiento de imágenes a través de sistemas de videovigilancia supone un tratamiento de datos de carácter personal y por tanto está sujeto a la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (LOPD) y en concreto a la Instrucción 1/2006, de 8 de noviembre, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.

El artículo 7 de esta norma establece la obligación de inscribir el fichero generado por el sistema de videovigilancia, pero aclara que “no se considerará fichero el tratamiento consistente exclusivamente en la reproducción o emisión de imágenes en tiempo real“. La sentencia de la Audiencia Nacional anula esta sanción por considerar que no había grabaciones y, por tanto, no había fichero alguno que inscribir.

Más interesante es la otra sanción, por captar imágenes de la vía pública. De acuerdo con lo establecido en la Ley Orgánica 4/1997esto es competencia exclusiva de las Fuerzas y Cuerpos de Seguridad del Estado. Así lo dice también el artículo 4.3 de la Instrucción 1/2006: “las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos”. Pero ese mismo precepto establece una excepción: ”salvo que resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas”.

Es decir, es perfectamente entendible que para la seguridad de entradas a establecimientos o perímetros de fincas, por ejemplo, puedan obtenerse, de forma accesoria, imágenes de la vía pública. Para analizar si esa instalación de videovigilancia es lícita debe realizarse un juicio de proporcionalidad, que no exista posibilidad de instalación alternativa y que la captación de imágenes de la vía pública sea la mínima imprescindible. En el caso que nos ocupa, la AN analiza varios aspectos:

Las imágenes captadas apenas permitían la identificación de las personas que accedían a al discoteca.
Las cámaras estaban orientadas de tal modo que si objeto de vigilancia principal era el entorno privado (la entrada al local).
La captación de imágenes de la vía pública era la mínima imprescindible.
El sistema no grababa las imágenes, sólo emitía.
Las imágenes sólo eran vistas por el encargado del local, a fin de controlar el acceso y evitar aglomeraciones.

A la vista de estos hechos, se considera que no hay infracción del principio de consentimiento por captar imágenes en la vía pública y por ello se anula la sanción de la AEPD. Lo interesante de esta sentencia es que las valoraciones que realiza la AN nos pueden servir de guía para determinar cuándo será posible instalar un sistema de videovigilancia que tome imágenes de la vía pública, lo cual es posible pero, como vemos, con limitaciones.

Más sobre este tema: Alfonso Pacheco, en Privacidad Práctica.

DISPONE: Herramienta de ayuda para la generación de una disposición de creación, modificación y/o supresión de ficheros de datos de carácter personal de Titularidad Pública

La Agencia Española de Protección de Datos (AEPD) ha presentado su nueva herramienta, DISPONE, una aplicación de ayuda para la generación de una disposición de creación, modificación y/o supresión de ficheros de datos de carácter personal de Titularidad Pública.

Con la introducción de la información que la herramienta va solicitando, que es la que exige la LOPD para la creación de ficheros de titularidad pública, se genera automáticamente el texto de la disposición que deberá ser aprobada por el órgano responsable y publicada en el boletín oficial correspondiente.

La aplicación es una buena herramienta de ayuda, pero ello no conlleva en ningún caso que se sustituya el trabajo previo necesario para la correcta determinación del fichero y, por tanto, de la previa disposición de creación. Es decir, sigue siendo imprescindible analizar exhaustivamente todas las circunstancias que tienen trascendencia a la hora de tratar datos, desde el procedimiento de recogida, la finalidad del tratamiento, las cesiones realizadas o las medidas de seguridad necesarias.

Cualquier iniciativa de la AEPD que busque un mayor grado de cumplimiento de la normativa es de alabar y en este caso podemos imaginarnos que va especialmente dirigida al gran número de administraciones públicas, fundamentalmente pequeños ayuntamientos, que todavía no han realizado la inscripción de sus ficheros.