NÚMERO 05 Informa ENERO 2012 En este número: Una nueva singladura ………………………………………………………………….………………… P.1 I desayuno APEP ……………………………………………………………..………………………….. P.2 Sobre el principio de culpabilidad, por Ricard Martínez Martínez ……………….…………..….. P.3 Algunas reflexiones sobre el deber de información y el consentimiento, por Eduard Chaveli. P. 9 La paja en el ojo ajeno, por Javier Peris …………………………………………………………… P.13 La figura del responsable de protección de datos, por Félix Haro ………………………..……. P.17 Entrevista a Dª Esther Mitjans, directora de la APDCAT ……………………… ……….…….…..P.20 Entrevista a D. Santiago Abascal, director de la APDCM ……………………………………. ….P.22 Entrevista a D. Iñaki Vicuña, director de la AVPD.. ……………………………………………….P.24 Jurisprudencia …………………………….………………………………………………………….…..P.26 Una nueva singladura Con este número inicia una nueva aventura el Boletín de la Asociación Profesional Española de Privacidad. El Boletín que llega a las manos de nuestros asociados y nuestras asociadas es una clara Reanudamos nuestro boletín manifestación del espíritu de APEP. Por una parte, es fruto del esfuerzo individual y voluntario de distintas personas que aportan su trabajo desinteresadamente en beneficio de nuestro colectivo. Por otra parte, constituye un reforzamiento de nuestro apoyo en la promoción de un conocimiento riguroso y útil y en la generación de servicios. Debemos profundizar en esta doble naturaleza. Iniciamos el 2012 con una nueva edición del boletín de APEP. En primer lugar, en los próximos meses APEP se enfrenta al reto de consolidar un entorno de servicios basados en la promoción del conocimiento y en la formación. Para ello el Boletín constituye la primera pieza en la construcción de una línea de publicaciones especializadas que nos permita aprovechar el conocimiento generado en actividades de APEP como cursos, jornadas y congresos. Por otra parte, y en segundo lugar, el esfuerzo en materia de publicaciones obliga a dinamizar la comisión de publicaciones y formación respectivamente y abrir cauce a la participación de todas las personas asociadas en la creación del conocimiento. Por ello, a través de la Comisión procederá definir criterios que permitan ampliar el número de colaboradores en la creación del Boletín y la variedad temática de sus entradas y a la vez fijar requisitos de calidad mínima para la publicación. Se trata de garantizar regularidad y calidad en una publicación que se concibe como exclusiva para los asociados y las asociadas de APEP. Disponer de un conocimiento actualizado, y cuando proceda crítico, resulta un reto estratégico para APEP junto con la formación. Las condiciones normativas en nuestro país y la existencia de formación universitaria y sectorial sólidas promueven un sector altamente especializado y competitivo. Somos conscientes de la grave problemática que afecta al sector de la mano de la competencia desleal y fraudulenta del Coste 0. Sin embargo, ni este Boletín, ni el esfuerzo inmediato de formación a desarrollar en el primer semestre de 2012 son en absoluto ajenos a esta lucha. Frente a quienes ofrecen servicios de “copiar-pegar”, APEP debe apostar por la calidad fomentando una profesionalidad basada en un conocimiento jurídico y técnico profundos como una estrategia fundamental de mejora y competitividad. 1 I desayuno APEP; cloud y privacidad. El pasado 13 de diciembre de 2012, tuvo lugar el primer desayuno de trabajo organizado por APEP Actividades APEP en Madrid. Con esta actividad se inicia el desarrollo de un formato de actividades en las que se tratará de ofrecer cíclicamente un foro de encuentro entre los profesionales del sector, la industria y representantes políticos y gubernamentales con la finalidad de promover el debate sobre cuestiones relacionadas con la privacidad. El pasado 13 de diciembre de 2012, tuvo lugar el En esta primera ocasión, el tema de discusión fueron las implicaciones de protección de datos primer desayuno de trabajo personales en los entornos de cloud computing. Tras una breve intervención del presidente de organizado por APEP en APEP, Ricard Martínez, en el panel de ponentes intervinieron miembros de la industria y de la Madrid. autoridad Microsoft Con esta actividad se inicia Ibérica), Patricia Perea (Desarrollo de Negocio de Telefónica Móviles), Pedro M. Prestel (Presidente el desarrollo de un formato de control nacional: Asier Crespo (Legal and Corporate Affairs (LCA), de Eurocloud España) y Rafael García Gozalo (Coordinador del Área Internacional, Agencia Española de Protección de Datos). de actividades en las que se tratará de ofrecer El debate se desarrolló con la moderación de Cecilia Álvarez Rigaudias, vicepresidenta de cíclicamente un foro de APEP, que fue planteando los problemas principales desde el punto de vista de la aplicación del encuentro marco normativo vigente a la prestación de servicios de Cloud Computing. profesionales del sector, la Las intervenciones giraron en torno al encuadre o no del prestador de servicios de cloud en la figura del encargado, a la necesidad de imputar responsabilidad a cliente y proveedor según su ámbito entre los industria y representantes políticos y respectivo de control y no tanto del título de responsable o encargado, a la oportunidad de contar gubernamentales con un código de conducta sectorial así como a las dificultades prácticas de cumplir los requisitos de finalidad de promover el subcontratación y transferencias internacionales y las herramientas o nuevas restricciones al efecto debate establecidas en el borrador de nuevo reglamento comunitario de protección de datos recientemente relacionadas filtrado desde Bruselas. privacidad. El debate, estuvo alimentado igualmente por la intensa y dinámica participación de los asistentes. En este sentido, existió un consenso común tanto en la mesa como en el público en cuanto a la procedencia de enmarcar a los prestadores de servicios de cloud en la figura del encargado si bien con una cierta prevención en relación con el futuro desarrollo de la normativa comunitaria. En relación con esta cuestión, resulta objeto de una intensa discusión el alcance jurídico y las consecuencias de un modelo de contratación que sigue los pasos de otros suministros y, por tanto, en muchos casos utiliza condiciones generales de contratación, respecto las cuales deberían contrastarse con el ordenamiento nacional. Por otra parte, este nuevo modelo hace realmente complejo el auditar o verificar las condiciones concretas de la prestación del servicio lo que obliga a buscar modelos alternativos que generen confianza en el mercado respecto de la garantía de la seguridad y la privacidad, como auditorías realizadas por terceros independientes, certificaciones conforme a estándares admitidos e incluso códigos de conducta sectorial. Por último, y en relación con las dificultades prácticas para cumplir con los requisitos normativos relativos a la subcontratación y, especialmente, en relación con las transferencias internacionales se examinó, como se ha señalado, el borrador de nuevo reglamento comunitario de protección de datos, si bien con mucha prevención habida cuenta de la no oficialidad del documento. 2 sobre con la cuestiones con la Sobre el principio de culpabilidad. Ricard Martínez Martínez Profesor Ayudante Doctor del Departamento de Derecho Constitucional de la Universitat de València Presidente de la APEP En el procedimiento sancionador en materia de protección de datos personales es bien conocido el carácter fundamental que posee el resultado para la imputación de responsabilidad. Desde este punto de vista cuando en el marco de una inspección, y posterior instrucción, se parte de la constatación de un hecho infractor resulta particularmente complejo rebatir la presunción de culpabilidad que recae sobre el responsable del fichero o encargado del tratamiento, en su caso (aunque nos centraremos en el primero). Esta realidad responde en cierta medida a que la configuración prestacional del dato personal implica que el conjunto de obligaciones que se imponen al responsable del fichero comporta lograr ciertos resultados. Por ejemplo, el deber de informar del artículo 5 LOPD comporta una conducta activa y muy visible que puede consistir en incorporar un texto en un cartel, factura, correo electrónico o en una página web, por poner algunos ejemplos. Y lo mismo sucede con todos y cada uno de los principios y derechos en esta materia. Por otra parte, hay que subrayar que mientras el cumplimiento de determinadas obligaciones está en manos del responsable y claramente sujeta a su control, no ocurre así en algunos casos. Deben subrayarse al menos dos ámbitos en los que, pese a su diligencia, el responsable se encuentra en manos de otras personas u organizaciones: la seguridad y las relaciones con terceros. Así, en materia de seguridad, el responsable va a depender de una adecuada formación de su personal. Ésta, más allá de la mera información, debe comportar un compromiso individual y colectivo con la salvaguarda de la seguridad y el secreto. Y ni siquiera con este esfuerzo será suficiente, ya que la actuación de ciertos terceros, incluso sin acceso a datos como el personal de limpieza y seguridad, puede poner a prueba el cumplimiento normativo. Para finalizar la caracterización de este escenario, cabe recordar que gran parte de las amenazas que se soportan provienen de ataques externos, de conductas delictivas respecto de las que el responsable será tan victima como los afectados cuyos datos ha tratado. La segunda categoría de supuestos que en cierta medida escapan a las posibilidades de control del responsable del fichero o tratamiento se refiere a las relaciones con terceros, incluidos los propios afectados. Aquellos responsables cuyos ficheros se alimentan de datos provenientes de cesiones de datos personales, sin perjuicio de cumplir con sus obligaciones en los términos del art. 11.5 LOPD, deben confiar en que el cedente ha tratado y cedido legítimamente tales datos. Lo mismo sucede si se ha contratado legítimamente un encargado del tratamiento. Aquí, aunque desde un punto de vista sancionador la barrera del art. 12 LOPD (tras su desarrollo “jurisprudencial” y reglamentario) actúa protegiendo al responsable diligente, el perjuicio reputacional puede ser particularmente relevante. Por último, la proliferación ya sea de suplantaciones de identidad, ya sea de menores, que con tal de acceder a un servicio falsean algún rasgo de su identidad, -singularmente la edad-, conlleva como efecto directo el incumplimiento de principios de la LOPD como el relativo al consentimiento. Un cierto número de sentencias de la Audiencia Nacional ha venido a concretar el alcance del deber de diligencia del responsable y la proyección de éste sobre el principio de culpabilidad. La consecuencia, ciertamente favorable, puede resumirse de modo muy sencillo: emplear una diligencia adecuada excluye la culpabilidad, y en ausencia de ella no cabe imputación de la infracción a la conducta del responsable. 3 En la primera de ellas, -la SAN de 25/02/2010, caso Portal Latino-, se enjuicia un supuesto en el que mediante un ataque se roba una base de datos de usuarios registrados. El responsable del fichero había auditado la seguridad con anterioridad, disponía de medidas e incluso adoptó determinadas disposiciones con posterioridad para corregir la incidencia y denunciar el delito a las Fuerzas y Cuerpos de Seguridad. No obstante, no se modificaron las contraseñas de acceso de los usuarios hasta que una réplica del fichero se publicó en internet. La Audiencia Nacional recuerda que el art. 9 LOPD persigue una obligación de resultado: QUINTO.- En interpretación del artículo 9 de la LOPD , esta Sala ha señalado en múltiples sentencias, entre otras la 28 de junio de 2006 , que la obligación que dimana del artículo 9 de la LOPD no se cumple con la adopción de cualquier medida, pues deben ser las necesarias para garantizar aquellos objetivos que marca el precepto, en concreto recoge "Se impone, en consecuencia, una obligación de resultado, consistente en que se adopten las medidas necesarias para evitar que los datos se pierdan, extravíen o acaben en manos de terceros. En definitiva y como manifiesta el Abogado del Estado en la contestación, la recurrente es, por disposición legal, una deudora de seguridad en materia de datos, y por tanto debe dar una explicación adecuada y razonable de como los datos han ido a parar a un lugar en el que son susceptibles de recuperación por parte de terceros, siendo insuficiente con acreditar que adopta una serie de medidas, pues también es responsable de que las mismas se cumplan y se ejecuten con rigor. En definitiva toda responsable de un fichero (o encargada del tratamiento) debe asegurarse de que dichas medidas o mecanismos se implementen de manera efectiva en la práctica sin que, bajo ningún concepto, datos bancarios o cualquier otro datos de carácter personal pueda llegar a manos de terceras personas." Ahora bien, esa obligación no es absoluta ni puede determinar una completa objetivación de la culpabilidad por el resultado dañoso: Así, aun cuando el artículo 9 de la LOPD establece una obligación de resultado, consistente en que se adopten las medidas necesarias para evitar que los datos se pierdan, extravíen o acaben en manos de terceros, tal obligación no es absoluta y no puede abarcar un supuesto como el analizado. En el caso de autos, el resultado es consecuencia de una actividad de intrusión, no amparada por ordenamiento jurídico y en tal sentido ilegal, de un tercero con altos conocimientos técnicos informáticos que rompiendo los sistemas de seguridad establecidos accede a la base de datos de usuarios registrados en www.portalatino.com, descargándose una copia de la misma. Y, tales hechos, no pueden imputarse a la entidad recurrente pues, de otra forma, se vulneraría el principio de culpabilidad. El principio de culpabilidad, previsto en el artículo 130.1 de la Ley 30/1992, dispone que solo pueden ser sancionadas por hechos constitutivos de infracción administrativa los responsables de los mismos, aún a titulo de simple inobservancia. Esta simple inobservancia no puede ser entendida como la admisión en el derecho administrativo sancionador de la responsabilidad objetiva, que está proscrita, después de la STC 76/199 , que señaló que los principios del ámbito del derecho penal son aplicables, con 4 ciertos matices, en el ámbito administrativo sancionador, requiriéndose la existencia de dolo o culpa. En esta línea la STC 246/1991, de 19 de diciembre, señaló que la culpabilidad constituye un principio básico del Derecho administrativo sancionador. Culpabilidad, que no concurre en la conducta analizada de Portal Latino. Ahora bien, ¿cómo cabe calificar el hecho de que el responsable con independencia de la diligencia previa omitiera un cambio inmediato de contraseñas? Pues bien, conforme al fundamento jurídico sexto, aquí el responsable no fue diligente: La recurrente, como responsable del fichero, seguía siendo garante de los datos de los usuarios que se habían incorporado al mismo. Es cierto, como indica la recurrente, que no tenía el control sobre la página web en la que un tercero volcó el fichero, pero también es cierto que un comportamiento adecuado y activo de la misma pudo impedir o, al menos, minimizar el riesgo real de revelación de los datos personales de los usuarios. Es decir, su comportamiento omisivo (no advirtiendo de la fuga a los usuarios, no presentando denuncia, no cambiando la contraseña etc.) facilitó o, al menos, no obstaculizó la revelación de los datos por un tercero. (...) Siendo ello así, la Sala entiende cometida, como también recoge la resolución impugnada, la infracción del artículo 10 de la LOPD , tipificada en el artículo 44.3 .g) de la citada norma, es decir la vulneración del deber de guardar secreto sobre datos personales incorporados a ficheros, produciéndose la conducta típica descrita por la Agencia en los Fundamentos Jurídicos VII y VIII de su resolución, cuestionados y contestados por la parte actora en el Fundamento Jurídico 3 apartado C de la demanda. En sendas sentencias de 29/04/2010, -casos Vodafone y Eurocrédito-, se analiza un supuesto similar. Una persona sufre un robo de identidad y el usurpador procede a contratar un servicio suplantando con éxito la identidad. En todos los casos el proceso de verificación de la identidad es el usual en el tráfico jurídico en consumo y consiste en presentar fotocopia de un documento de identidad. Como consecuencia posterior dañosa para la persona cuya identidad se utiliza, el usurpador no realiza los oportunos pagos siendo la deuda objeto de inscripción en un fichero de información sobre solvencia patrimonial. En el caso Vodafone, a condición de que exista un proceso de verificación de la identidad en el que el responsable del fichero resulta engañado, la Audiencia Nacional confirma una postura que arranca de sus sentencias de 29/10/2009 en los casos Caixa d’Estalvis de Catalunya y Santander Consumer Finance. En esencia, desde el punto de vista del responsable no existe infracción alguna del principio del consentimiento ya que fue víctima de un engaño: SEXTO.- (…) Es cierto que el denunciante no ha dado su consentimiento para el tratamiento de sus datos de carácter personal por parte de (...), pero no lo es menos que nos hallamos ante un supuesto de uso fraudulento de su identidad por parte de un tercero, que es la persona que efectúo la compra en el establecimiento (...), que se hizo pasar por D. Teodulfo , utilizando y exhibiendo documentación 5 que le identificaba como tal, por lo que nada hacía sospechar que dicha persona no era quien aparentaba ser." (…) Así, al igual que razonamos en nuestra sentencia de fecha 29 de octubre de 2009 , a la vista de las especiales circunstancias concurrentes en el caso de autos, no cabe apreciar culpabilidad alguna (ni siquiera a título de culpa o falta de diligencia) en la actuación de la entidad recurrente, que actuó en la creencia de que la persona con la que contrataba era quien decía ser y se identificaba como tal con una documentación en apariencia auténtica y a ella correspondiente, por lo que estaba legitimada para el tratamiento de sus datos de carácter personal. En consecuencia, al faltar uno de los requisitos exigidos para la imposición de sanción por vulneración del principio del consentimiento consagrado en el artículo 6.1 de la LOPD, procede dejar sin efecto la sanción impuesta por la comisión de dicha infracción. Del mismo modo, en el asunto Eurocrédito se pone el acento en el grado de diligencia empleado y en el proceso habitual de contratación para llegar a idéntica conclusión: la ausencia de culpabilidad: CUARTO.-(…) La cuestión que se suscita en el presente caso, a la vista del planteamiento de la demanda, no es tanto dilucidar si la recurrente trató los datos de carácter personal de la denunciante sin su consentimiento, como si empleó o no una diligencia razonable a la hora de tratar de identificar a la persona con la que suscribió el contrato de financiación. (...) Esta Sala ha venido reiterando, véase SAN, 8 de junio 2006 (Rec. 244/04 ) que si bien ni la normativa civil o mercantil, ni la específica aplicable a los consumidores y usuarios, establece que sea condición necesaria la solicitud de una copia del DNI o pasaporte a todos aquellos consumidores o usuarios que quieran contratar un determinado servicio con un empresario o profesional, ello no puede interpretarse, en el sentido de que le excuse de exigir medidas de prevención. Por tanto, decíamos en dicha sentencia "no es obligatoria la copia del DNI o pasaporte para contratar un servicio, pero a efectos del ámbito de la protección de datos en que nos hallamos, deben adoptarse las medidas de prevención adecuadas para verificar la identidad de una persona cuyos datos personales van a ser objeto de tratamiento, medidas que pueden plasmarse, a título de ejemplo, en la repetida copia del DNI, y que, como hemos visto, no han sido adoptadas por la entidad demandante". Se trata en definitiva de que "se verifique la identidad del solicitante de los servicios mediante la exigencia de fotocopia del documento que acredite dicha identidad, a fin de contratar y facilitar el servicio a la persona que efectivamente lo reclama". En conclusión, se ha solicitado para la concesión del crédito para identificar a la persona con la que se contrataba copia del DNI, lo que evidencia que de acuerdo con el criterio seguido por esta Sala, se adoptaron las medidas necesarias para la comprobación de la identidad de la 6 contratante y los datos que figuran en dicho DNI se corresponden con la titular del contrato. La utilización de dicho DNI, al parecer por una persona distinta de su auténtica titular, es una cuestión objeto de investigación en el ámbito penal, a raíz de la denuncia formulada (...) En el caso Santander Consumer Finance de 19/10/2010, la Audiencia Nacional incluso define el canon de diligencia exigible en este tipo de casos: SEGUNDO.(...) Pues bien, partiendo de dichos hechos esta Sala considera, a pesar de dicha argumentación de la Agencia, que en el presente caso concurren una serie de circunstancias que conllevan que no pueda considerarse que SFC ha infringido el principio del consentimiento del artículo 6.1 LOPD. Y ello tomando en consideración lo siguiente: Que para formalizar la contratación de la tarjeta de crédito, para la compra del ordenador, se exigió al cliente fotocopia de su DNI, de una cartilla de crédito y de una nomina a su nombre. Que a tenor del Acuerdo de colaboración entre entidad actora y MIRO (documento nº 2) el establecimiento asume el compromiso de constatar la identidad del titular. Que incluso la propia Agencia reconoce que a tal entidad actora no puede imputársele una responsabilidad plena, ya que la operación esta perfectamente documentada. En definitiva pues, SFC obró con una diligencia normalmente exigible en una operación de emisión de tarjeta y compraventa de un producto, y fue víctima de un fraude por un tercero, por lo que no es que no pueda exigírsele responsabilidad plena en los hechos (como sostiene la Agencia) sino ninguna responsabilidad en los mismos, a tenor de las circunstancias relatadas. Así dicha entidad actora, dada la suplantación de personalidad que se produjo, obró con la creencia de que existía consentimiento, por lo que la imputación de la infracción del artículo 6.1 LOPD no puede ser apreciada. Y la aproximación de la Audiencia se confirma definitivamente en el asunto Teabla Comunicaciones, de 10/02/2011: CUARTO. (...) Los hechos probados de la sentencia corroboran lo afirmado por la declaración testifical de la empleada, lo que permite concluir que esta intentó cerciorarse de la identidad de la persona con la que contrataba pidiendo que exhibiera su DNI y una cuenta bancaria a su nombre en donde poder domiciliar las facturas, y tras exhibir estos documentos y comprobar que figuraban a nombre de la misma persona no sospechó que se trataba de personas diferentes y que dicha documentación había sido sustraída de su verdadero titular. Lo cierto es que, al menos en lo relativo a la conducta desplegada por el empleado de la entidad recurrente, no es exigible una diligencia superior a la utilizada para el tratamiento de datos personales, pues existía un 7 aparente consentimiento expreso del que aparecía como titular y la impostora utilizó medios de engaño suficientes para inducirla a pensar que estaba contratando con la titular del DNI que se le exhibía, sin que en estas circunstancias pueda apreciarse una falta de diligencia o culpa que haga responsable del tratamiento inconsentido de datos, pues siempre que se hayan adoptado las precauciones proporcionales y exigibles en el tratamiento de los datos personales de terceros no es posible establecer una responsabilidad objetiva en los supuestos en los que se simula fraudulentamente la identidad de un tercero. Y en este caso ha de concluirse que el empleado, y por ende la entidad recurrente de la que este dependía, adoptaron las medidas de seguridad que le resultaban exigibles para intentar asegurarse de que la identidad del sujeto, y no es exigible convertirles en peritos calígrafos al tiempo de constatar la autenticidad de una firma. La intervención fraudulenta y perfectamente planificada de un tercero, que ha resultado plenamente acreditada, demuestran a la postre que existió un engaño que indujo al empleado a entender que la persona con la que contrataba era la misma que la que aparecía en el documento de identidad y que, por tanto, estaba prestando su consentimiento expreso al tratamiento de sus datos personales para la prestación del servicio de telefonía móvil. Poco importa en este caso, que el empleado no incorporara al contrato fotocopia del DNI utilizado, pues un vez constatado que pidió su exhibición y que intentó cerciorarse de su identidad con los medios a su alcance, la aportación de dicha fotocopia no hubiera impedido que el engaño se consumase. Es por ello que en este supuesto no se aprecia culpa alguna en la conducta desplegada por la entidad recurrente, (...) Para finalizar, deben subrayarse algunas concusiones, particularmente sencillas, pero estratégicas para un adecuado asesoramiento en esta materia. ● El criterio de diligencia como fuente de exclusión de la responsabilidad comporta una actuación previa proactiva. Dicho de otro modo, la cuestión no reside en verificar ex post facto si el responsable fue diligente. Es fundamental convencer de la importancia de implementar medidas de cumplimiento previo de la LOPD, cuyo fruto será la exclusión de la responsabilidad en caso de producirse un incumplimiento no imputable al responsable. ● En determinados casos el deber de diligencia se proyecta sobre el momento posterior al conocimiento de la incidencia. Ello obliga a adoptar de modo inmediato y eficaz medidas correctoras, por ejemplo en materia de fallos de seguridad, y reparadoras, por ejemplo satisfaciendo derechos de rectificación y cancelación en los casos de suplantación de la identidad. ● En ninguna de las sentencias el origen se encuentra en la actuación negligente de un empleado. Cabe pensar que, en este caso la responsabilidad se seguirá trasladando al responsable. Sin embargo, un cumplimiento diligente en el deber de formación no debe ser en absoluto desdeñado en la medida en que facilitará con posterioridad la repetición de los daños sobre el infractor material. 8 ALGUNAS REFLEXIONES SOBRE EL DEBER DE INFORMACIÓN Y EL CONSENTIMIENTO Eduard Chaveli Donet Abogado Especialista en Protección de Datos @eduardchaveli Este artículo pretende analizar algunos aspectos relativos al deber de información y el consentimiento. La primera consideración a realizar es la relativa a que el consentimiento es un pilar básico del derecho a la protección de datos pues no en balde nos encontramos ante un derecho de la personalidad. Ello no significa que se deban desmerecer otros principios y obligaciones que son fundamentales para una correcta conformación del derecho a la protección de datos ni que pretendamos un pulso entre ellos pero si que es necesario resaltar que, tratándose de un aspecto esencial, no siempre se le da la importancia que merece en los proyectos de consultoría. Esto es especialmente inquietante si somos conscientes que muchas sanciones en la materia se derivan de aspectos “jurídicos” más que de cuestiones técnicoorganizativas, que son muy importantes, pero que suelen ser objeto menos frecuente de sanciones. Al analizar el consentimiento también nos adentraremos en el deber de información, que es un aspecto esencial de aquél y que – además – en la práctica se suele cumplir en “unidad de acto” pero sin dejar de tener en cuenta que nos encontramos ante distintas obligaciones: reguladas en artículos diferentes de la LOPD, por tanto con diferente régimen sustantivo (lo cual es especialmente relevante en relación con las excepciones) y también sancionador. Creo que antes de entrar en el análisis de la cuestión es importante empezar poniendo el tema en su lugar. Para ello hay que recordar que no sólo existen derechos de diferentes generaciones (según la clasificación del jurista checo Karel Vasak) sino que cada derecho tiene su propia maduración, el tiempo en el que crece, se perfila, se le da forma. Para aquellos que no sean juristas simplemente indicar que a lo largo de la historia han ido forjándose derechos atendiendo a las “inquietudes” de la “época”, y así se habla de derechos de diferentes generaciones. Los derechos de primera generación son los Derechos civiles y políticos; los de segunda generación son los económicos, sociales y culturales; y los de tercera generación los derechos de solidaridad. Pues bien, el propio derecho a la protección de datos va madurando poco a poco y aquellos que llevan años en la materia habrán podido apreciar ciertos avances, aunque es mucho aún la evolución que queda por delante. Aplicando esta reflexión al concreto tema de análisis podemos ver claramente en la evolución del consentimiento y el deber de información que hemos pasado de un momento inicial en el que no se prestaba excesiva importancia a determinados aspectos - sino que únicamente se trataba de constatar su cumplimiento “grosso modo” - al momento actual en el que los matices comienzan a tener relevancia. Reflejo de ello es que los informes y resoluciones de la AEPD así como la jurisprudencia de nuestros tribunales han ido adentrándose en aspectos concretos y logrado su maduración. Tampoco debemos olvidar los interesantes documentos que el Grupo del artículo 29 ha elaborado en la materia y a los que nos referiremos a continuación. 9 En este sentido recomiendo (para quienes no hayan tenido la oportunidad) la lectura del WP100, Dictamen 10/2004 sobre una mayor armonización de las disposiciones relativas a la información (Adoptada el 25 de noviembre de 2004)1; y en relación con el consentimiento el WP187, Dictamen 15/2011 sobre la definición del consentimiento, adoptado el 13 de julio de 2011 2. Son múltiples los aspectos interesantes. Alguno de ellos, como el relativo al consentimiento “con mayúsculas” (por su evidente relación con su fundamentación derivada del Derecho Civil, así como sus peculiaridades en determinados ámbitos como el laboral) requieren quizá que sean especialistas en dichos ámbitos quienes ahonden con mayor rigor en ellos. Yo quiero centrarme sobretodo en el punto en que convergen consentimiento y deber de información: el consentimiento debe ser informado para que sea válido. La información en la recogida de datos personales constituye uno de los principios de la protección de datos, un derecho del afectado y un complemento previo de la prestación del consentimiento, cuya omisión puede determinar un vicio del consentimiento para el posterior tratamiento, que origine la nulidad del mismo. Así lo ha entendido también el TC en la Sentencia 292/2000 señalando que “sin la garantía que supone el derecho a una información apropiada mediante el cumplimiento de determinados requisitos legales (artículo 5 de la LOPD) quedaría sin duda frustrado el derecho del interesado a controlar y disponer de sus datos personales, pues es claro que le impedirían ejercer otras facultades que se integran en el contenido del derecho fundamental al que estamos haciendo referencia.” Tanto es así que sería nulo, en caso contrarío, el consentimiento prestado cuando la información facilitada no permita al interesado conocer la finalidad a la que se destinarán los datos (STS de 26 de octubre de 2006 y STS, Sala 3ª, Sección 6ª, de 4 de abril e 2000) Ahora bien, respecto de la forma en que cumplir con este deber el artículo 18 del Real Decreto 1720/2007, 21 de diciembre dispone: “El deber de información al que se refiere el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, deberá llevarse a cabo a través de un medio que permita acreditar su cumplimiento, debiendo conservarse mientras persista el tratamiento de los datos del afectado.(…)” Pero como sabemos este artículo fue anulado por la Sentencia de 15 de julio de 2010, de la Sala Tercera del Tribunal Supremo, en los siguientes términos: “La Ley reconoce en el artículo 5 el derecho a la información en la recogida de datos, concreta el contenido de la información, y advierte de que el deber de informar ha de ser previo a la recogida, pero salvo la indicación de que la información ha de ser expresa, precisa e inequívoca, ninguna referencia contiene a la forma, abriendo así múltiples posibilidades (escrita, verbal, telemática, etc.) Sólo en el apartado 2 del artículo de mención prevé la posibilidad de que se utilicen cuestionarios u otros impresos para la recogida de datos para advertir, pensando sin duda en medios estandarizados, que se han de contener y de forma claramente legible las advertencias expresadas en el apartado 1. En consecuencia, debe considerarse que el legislador ha optado por la libertad de forma. “ 1 Se puede consultar en http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2004/wp100_es.pdf 2 Se puede consultar en http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2011/wp187_es.pdf 10 Por tanto, rige el principio de libertad de forma, tanto para la prueba de la obtención del consentimiento del interesado, como para la acreditación del cumplimiento del deber de información al mismo. Pero esta libertad de forma se ve restringida cuando se trata de recogida de datos a través de cuestionarios o impresos. La Ley ha querido, en estos casos, imponer una formalidad específica en la recogida de datos a través de estos medios, que garantice el derecho a la información de los afectados: Se impone la obligación de que la información figure en los propios cuestionarios e impresos y la refuerza exigiendo que conste de forma claramente legible (artículo 5. 2 de la LOPD). Pero ninguna referencia legal existe en relación con el lenguaje, tamaño de la letra, etc… Y es un tema importante. La finalidad que pretende la Ley es que la información sea real y no únicamente formal. Y en este punto es en el que enlazamos con la reflexión inicial y verdadero leitmotiv de este post: aspectos como el lenguaje, el tamaño de letra, y en general la forma en que el deber de información y el consentimiento sean reales se deben ir revisando, y es lo que permitirá pasar de la fase inicial a la maduración del derecho. En este sentido el trabajo del Grupo del Artículo 29 es esencial. En el Punto VI del Dictamen WP 100 citado se hace referencia a los dos siguientes principios: a) Por un lapso el de “Apoyo al principio de que la información proporcionada a los interesados debería utilizar un lenguaje y una presentación fáciles de entender. La comprensión por parte de los interesados constituye un objetivo importante, de manera que puedan adoptar decisiones con conocimiento de causa y dispongan del conocimiento y la comprensión necesarios para influir en las prácticas de los responsables del tratamiento de datos y de los encargados del mismo. En este contexto, es importante garantizar que la información se proporciona de manera adecuada a las personas con necesidades específicas (por ejemplo, a los niños). Y en este sentido en el RD 1720/2007 en su artículo 13.3. recoge este espíritu precisamente en materia de menores: “Cuando el tratamiento se refiera a datos de menores de edad, la información dirigida a los mismos deberá expresarse en un lenguaje que sea fácilmente comprensible por aquéllos, con expresa indicación de lo dispuesto en este artículo”. b) Por otro lado el de “Apoyo al concepto de un formato de múltiples niveles para los avisos destinados a los interesados. Los avisos de múltiples niveles pueden contribuir a mejorar la calidad de la información recibida sobre la protección de datos centrando cada nivel en la información que la persona necesita para comprender su posición y adoptar decisiones. En aquellos casos en que el espacio o el tiempo de comunicación sea limitado, los formatos de múltiples niveles pueden mejorar la legibilidad de los avisos”. Es verdad que este principio hay que ponerlo en relación con los diferentes niveles tipos de información. Aunque la Directiva distingue entre información básica y “otra información”, hay interpretaciones nacionales (entre ellas, la Española) que no han reflejado esta distinción. Ello supone que en determinadas legislaciones deben cumplirse todos los requisitos en todas las situaciones de recogida de datos, sin tener en cuenta las pruebas de necesidad que se prevén en la Directiva. Y ello no tiene en cuenta las limitaciones de espacio o tiempo en una serie de situaciones en las que se realiza la recogida de datos. En España no hemos sido ajenos a este principio y prueba de ello es el doble nivel que, en algún caso, se ha establecido: Por ejemplo en el caso de los carteles de videovigilancia. Como sabemos la Instrucción 11 1/2006 que en su artículo 3 distingue entre carteles con la información básica y los impresos con la información adicional (la prevista en el artículo 5.1 de la LOPD. Juntamente con el lenguaje y los niveles hay otros aspectos que pueden ser relevantes como el tamaño de la letra, el de los carteles, etc... Es increíble la casi nula existencia de informes o resoluciones que borden este tema en relación con el tamaño de letra de las cláusulas. Si existe alguna referencia interesante como buena práctica, como por ejemplo la del código tipo de entidades locales del País Vasco en cuyo manual 3 se recoge: “La información se proporcionará a través de un medio coherente con el sistema de recogida de los datos; por ejemplo, si se recogen mediante cuestionarios o impresos, las informaciones y advertencias anteriores deberán figurar claramente en los mismos, debiéndose procurar que el tipo y tamaño de la letra empleada sea el mismo que el de los demás contenidos del documento”. Respecto a los carteles informativos de videovigilancia existen criterios de la AEPD respecto de temas tales como ubicación, dimensiones, color, etc… Respecto de la ubicación, el informe 84/2007 de la AEPD indica que no es necesario que se coloque debajo de la cámara, y que será suficiente colocar el distintivo informativo en lugar suficientemente visible, tanto en espacios abiertos como cerrado. Por lo que respecta a las dimensiones se dice en el citado informe que no existe ningún criterio de la Agencia pero que debe de ser un cartel informativo acorde con el espacio en el que se vayan a ubicar, y también que debe de ser suficientemente visible dado que no es equiparable colocar un cartel informativo en un autobús o en la entrada de un edificio. Por lo que respecta al color, se han admitido en diferentes colores que que han proliferado junto con los más habituales carteles “amarillos” carteles integrados con los colores corporativos o con criterios estéticos. Pero mientras en la Instrucción 1/2006 de la AEPD en su Anexo se indica únicamente el contenido y respecto de la forma o diseño sólo se sugiere un modelo, en la Instrucción 1/2009, de 10 de febrero, sobre el tratamiento de datos de carácter personal mediante cámaras con fines de video vigilancia, de la Agencia Catalana de Protección de Datos se complementa con la indicación de los requisitos que deberá cumplir y al que deberá ajustarse el diseño del cartel informativo: a) Tiene que ser de forma rectangular y con las aristas en ángulo recto. Las dimensiones estándar del cartel son, aproximadamente, 21 cm de base y 29,7 cm de altura. Estas dimensiones pueden aumentar o disminuir según sea el área o la zona sometida a videovigilancia y la distancia que sea necesaria para que el cartel informativo resulte visible para las personas afectadas. b) Tiene como color de fondo el amarillo, en cuyo extremo superior izquierdo puede constar el logotipo de la Agencia Catalana de Protección de Datos. c) Centrado dentro de un rectángulo blanco de unas dimensiones aproximadas de 1/3 de la altura del cartel y 4/5 de la anchura que, en el cartel estándar, se sitúa aproximadamente a 6 cm del lado superior, debe constar el pictograma al que se refiere el apartado 1 de este Anexo. En todo caso, estas indicaciones se deben mantener proporcionales en atención a las posibles variaciones en las dimensiones del cartel informativo.” 3 (disponible en http://www.agpd.es/portalwebAGPD/canaldocumentacion/codigos_tipo/common/pdfs/ codigo_tipo_entidades_locales_eudel.pdf ) 12 Espero haber reflejado lo que pretendo que sea la conclusión de este artículo: en materias tan importantes como el consentimiento y el deber de información se ha producido una maduración desde los inicios hasta el momento actual, y la inicial visión de cumplimiento “grosso modo” ha dado paso a un aumento progresivo del nivel de exigencia. Y ello supone - en última instancia - una mejora para el efectivo cumplimiento del derecho a la protección de datos. Podríamos abordar otros aspectos como los relativos al consentimiento en general el consentimiento en determinados entornos como el laboral, las peculiaridades que la toma de datos en línea supone, el tema del idioma, etc. pero la limitación de espacio se impone. LA PAJA EN EL OJO AJENO (Lucas 6, 41-42) Javier Peris CGEIT®, CRISC®, SMBE, ISO27K LA, Business Angel LaPajaEnElOjoAjeno@javierperis.com Para los que no me conocéis informaros someramente que trabajo en el sector de la tecnología desde el año 1985, actualmente soy Socio y Director de una Consultora Tecnológica y un ISP, además de, en mi faceta “.org”, Director de Comunicación de ISACA Valencia, Director de Comunicación de PMI Valencia, Director de Comunicación del Comité de Valencia de itSMF España, Miembro de la Internet Society, etc. Desde siempre he apoyado tanto los fines como a los profesionales de la APEP habiendo sido incluso patrono mediante aportación económica de su primer acto enmarcado en el I Congreso de Privacidad celebrado en Madrid y en lo que respecta a la lucha de la LOPD a coste cero, soy cruzado y hago eco de vuestras victorias cada oportunidad que tengo, la más cercana que muchos de vosotros recordaréis a la que fue invitando a participar vuestro Presidente Ricard Martinez fuera incluso de programa en el marco de las Jornadas Trimestrales de ISACA que presento y modero en el Palacio de La Colomina de Valencia. Teniendo en cuenta mi mayor afinidad con los objetivos de esta asociación, con sus representantes así como con la mayoría de sus asociados no quiero dejar pasar la oportunidad de mostraros como se ve “vuestra guerra” desde el otro lado de la mesa, una visión que debéis de conocer para poder mejorar el mensaje. Sin más prolegómenos os cuento, el otro día fui requerido por un cliente de nuestra empresa al cual le venimos manteniendo absolutamente todos los sistemas de información así como los servicios de comunicaciones electrónicas desde hace casi una década. El Gerente me encargó que le acompañara en una reunión con un consultor de Protección de Datos con el que quería que intercambiáramos impresiones ya que era familia de uno de los socios de la compañía y venía a informarnos sobre este tema para probablemente llevar a cabo la adecuación a la LOPD de la empresa, por fin grité en mi interior. Apareció el Consultor y tras las presentaciones pertinentes de su gran profesionalidad y tamaño de su empresa me informó que iba a mostrarnos una maravillosa presentación sobre privacidad para lo cual debía conectarse a la Red de Área Local de la empresa para acceder a Internet. 13 Me parece de muy mal gusto llegar a una empresa que todavía no conoces y pretender enlazarte o aprovecharte de sus recursos por dos grandes motivos por higiene de tus propios sistemas de información así como del cliente y como no también por educación. Mi negativa a conectar un PC cuya naturaleza y estado desconocemos a una red, hasta ese preciso momento estable, parece que le contrarió bastante y aseguró que eso no le había pasado nunca en ninguna empresa a la que había ido, lo que me contrario bastante a mi. Como se puede ser tan irresponsable de conectar tu equipo a una red que no conoces, como puede alguien ser tan gorrón como para pretender llegar a un cliente y tomar sus recursos y como puede alguien ser tan laxo de dejar que un desconocido acceda a su red de área local con los riesgos que eso conlleva. Para enderezar la situación le guiñé un ojo a mi cliente y le dije al consultor que el problema es que teníamos un virus en la red y que si se conectaba probablemente se infectaría su equipo, que lo hacía por su bien, a partir de ahí volvimos a ser amigos. Como parecía que habíamos entrado en un vortex y la visita no podía continuar dispuse mi PDA como modem inalámbrico y le dije que se conectara a internet través de él, tras lo cual suspiró retomando el hilo de la entrevista y asegurando media docena de veces que eso no le había pasado nunca con ningún cliente. Mientras le ayudé a configurar su equipo pues no andaba demasiado experto con las conexiones wifi pude constatar tres cosas, la primera que el equipo que traía venia con el COA o Certificado de Licencia de Windows XP Home Edition que como cualquier profesional de este medio sabe no es apto para conectarse a una red basada en dominio y por tanto no sirve para entornos de seguridad empresarial, la segunda aun más grave es que tenia instalado Windows 7 Home Premium que tampoco sirve para redes basadas en dominio y que seguramente habría sido instalado de manera forzada y sin la correspondiente licencia; pero la tercera fue digna de la calificación “cum laude” ya que se desplego el icono del software Ares y el equipo se conectó con los servidores de intercambio de archivos para continuar con las descargas que este hombre tenia suspendidas probablemente desde aquella mañana en casa cuando apagó el equipo para meterlo en su maletín. Le rogué que ya que se trataba de mi conexión HDSPA desconectara el Ares y algo sonrojado desconectó también el emule el cual había entrado en estado activo pero omitiendo el icono de la barra de tareas. Cuando ya verificamos que la conexión a internet esta realizada, y nada consumía ancho de banda innecesario, el Consultor se dirigió a su aplicación de DropBox para descargarse el archivo de PowerPoint de 65Mb que correspondía a la presentación de Outlook que nos quería mostrar. En aquel momento no lo estrangulé porque el ratón era inalámbrico. Toda aquella parafernalia, conexiones, internet, etc. para bajarse un “puñetero” archivo que podría haber traído simplemente instalado en su disco duro o en una memoria USB, eso sí a quedado moderno muy moderno, viva la nube. Recapitulemos: Ha puesto en Riesgo de Infección su equipo intentándolo conectar a una red desconocida Ha puesto en Riesgo de Infección la red de un cliente intentando conectar a ella su equipo. Ha tenido que pedir prestado servicio de acceso a internet Ha establecido desde mi IP conexiones para descarga de archivos susceptibles de derechos de autor Lleva un Equipo con licencia distinta a la adjudicada a ese equipo Usa un Sistema Operativo sin nivel de seguridad suficiente para entornos de trabajo empresariales Su equipo tiene ciertas carpetas compartidas de manera pública hacia internet con usuarios desconocidos 14 Una vez descargado el archivo, se ejecuta el PowerPoint y mientras se carga el programa podemos leer PowerPoint 2010, Edición Hogar y Estudiantes. Bien, Pepe, Bien, que así se llamaba el consultor, en un ordenador de una empresa. Sin querer hacer más sangre guardo silencio, la presentación muy profesional por cierto, digna de las ganas de vender de la empresa a la que representa el consultor y en la que se nota ha invertido lo que había que invertir, no como en portátiles y conexiones móviles. Finalizada la presentación el consultor me pregunta que me parece, yo le pregunto asombrado ¿el qué? Y el evidentemente dice la presentación claro! y yo le confirmo lo que aquí os he dicho, muy profesional. El Gerente de la empresa entra ya en aspectos más concretos y le pregunta sobre temas operativos, el Consultor explica que todo se trabaja con documentos en la nube, en DropBox donde se guarda e intercambia toda la información relacionada con Protección de Datos de cada cliente de la consultora. Inevitablemente yo le pregunto si se ha preocupado de averiguar si DropBox cumple con los requisitos mínimos de la Protección de Datos pues nos da un poco de “no sé que” dejar ahí toda la información y el consultor nos tranquiliza diciendo que no nos preocupemos que eso lo hace la consultora entera, todos los clientes, desde el más grande al más pequeño, y que nunca ha pasado nada que los correos electrónicos y los USB han muerto y ríe, él solo, y deja de reír. Sin salir de mi asombro le pregunto si su consultora tiene claro el contrato que firma con DropBox sobre este servicio y me lo aclara definitivamente, ya que según asegura no es la consultora la que abre las cuentas en DropBox, sino cada uno de los consultores abre una cuenta para cada cliente motu proprio y ahí es donde se guarda la información, que realmente en eso la consultora no tiene nada que ver. Intentando poner fin al desatino le digo que cual es el siguiente paso, y me informa que recibiré un correo electrónico, gracias a Dios, con un PDF con una serie de preguntas a las que responder para que nos pueda hacer un presupuesto, le indico para que se tome nota mi cuenta de correo y me dice que lo manda en ese mismo instante, veo que accede a través de un web mail a su cuenta de correo y a pesar de que la consultora trabaja con su propio dominio de internet veo que su prestador de servicios de comunicaciones electrónicas es harto conocido. Un Prestador de Servicios de Comunicaciones Electrónicas que presta servicios de Correo Electrónico por Cuenta de Terceros sin estar inscrito en el Registro Especial de Operadores de Telecomunicaciones requisito indispensable con carácter previo al inicio de la actividad como indica el articulo 6.2 de la Ley 32/2003 por lo que presta sus servicios al margen de la ley. Por tanto un prestador que tampoco cumple con las medidas básicas sobre Secreto de las Telecomunicaciones, que es un Derecho Constitucional y al que están sometidas todas las empresas que prestan servicios de correo electrónico por cuenta de terceros, es decir todo un profesional del medio, vaya. Mientras hablaba con él me extrañó no recibir su correo, encontré el correo en la Bandeja de Correo no Deseado, chequeé el dominio así como el servidor de correo donde está alojado dicho dominio y comprobé que ni tenía resolución inversa, ni tenía una IP fija, ni cumplía SPF además de estar incluido en un montón de listas negras de correo como foco de envío de correo basura al ser considerado un Relay Abierto. El archivo PDF misteriosamente incorporaba además de las casillas con las preguntas las respuestas que otro cliente había remitido por lo que me pude enterar de cierta información digamos de naturaleza sensible, estábamos una vez mas ante una manifestación del arte del Copia Pega. Recapitulemos: Utiliza Software de Microsoft sin el Licenciamiento Adecuado al Fin Previsto 15 Utiliza repositorios de información con empresas con las que no establece acuerdo LOPD La información que capta fruto de su relación mercantil la guarda en destinos fuera del ámbito mercantil Los datos personales guardados en el servicio implican una cesión internacional de datos que debe ser aprobada por el director de la agencia Su proveedor de Servicios de Comunicaciones Electrónicas no cumple con la legislación vigente No es cuidadoso en la custodia de la información que recibe de los clientes Pone poca precaución en la práctica del copia y pega. En aquel momento, aclarado todo, quedamos que le mandaría los detalles de la red, pero antes de marcharse nos invitó a una reflexión final, nos informó pormenorizadamente de las prácticas deshonestas y poco profesionales de ciertas empresas relacionadas con la LOPD y nos advirtió que si alguien venía vendiendo LOPD a coste cero y financiándola con fondos de formación que tuviéramos mucho cuidado con ellos porque eso además de que no es legal demuestra una gran falta de profesionalidad y evidencia no saber lo que se tiene entre manos. Algo asustado lo miré y le pregunté, ¿Conoces la APEP? y me respondió que no, que no le sonaba de nada, entonces y como dicen en las películas, el fiscal no hizo más preguntas. Menos mal me dije a mi mismo, tal interés en combatir la mala práctica de la LOPD a coste cero parecía propio de alguien cercano o del entorno de la APEP. Irremediablemente me vino a la memoria: Lucas 6,41-42: La paja en el ojo ajeno. “¿Cómo es que miras la brizna que hay en el ojo de tu hermano y no reparas en la viga que hay en tu propio ojo? ¿Cómo puedes decir a tu hermano: `Hermano, deja que saque la brizna que hay en tu ojo', si no ves la viga que hay en el tuyo? Saca primero la viga de tu ojo y entonces podrás ver para sacar la brizna que hay en el ojo de tu hermano." Tras despedirlo regresamos al despacho y el Gerente de la empresa me preguntó que me había parecido la entrevista, yo sabía perfectamente que él también se había dado cuenta de muchos de los detalles que a mí me habían chirriado, y por eso guardé silencio unos segundos, entonces el gerente me preguntó ¿Qué es eso de la APEP? A lo que yo le contesté la Asociación Española de Profesionales de la Privacidad. Me miró y me dio la razón en algo que yo le había dicho en reiteradas ocasiones el tema de la LOPD se hace solo con profesionales no basta con que sean conocidos. Ahora ya inmerso en la selección de la consultora no se si me centraré en el currículum de la empresa, analizaré su experiencia, averiguaré si los sistemas operativos que usan son legales o no, o si los servicios que luego van a utilizar cumplen o no cumplen con la legalidad que paradójicamente pretenden implantar, lo que por lo menos he logrado en esta entrevista es convencer a la gerencia de que sea un profesional de la APEP quien lleve a cabo la adecuación. 16 La figura del Responsable de Protección de Datos, un gran impulso para la profesión Félix Haro, abogado y consultor de protección de datos. En el Congreso de Protección de Datos de IAPP Europa el 29 de noviembre, antes de la intervención de la Comisaria europea de Justicia, Derechos Fundamentales y Ciudadanía, ya se rumoreaba que tendríamos un Reglamento y no una Directiva. Viviane Reding se limitó a indicar que el Parlamento Europeo tendría “un regalo tardío de Navidad” de la Comisión, y a leer un corto discursoi sin admitir preguntas. Unos días después, se filtró en Internet lo que se conoce como la versión 56 de la Propuesta de Reglamento General de Protección de Datos. El revuelco que el Reglamento le da a la legislación es de aúpa. Pero creo que lo más interesante para los profesionales es el reconocimiento de la figura del Responsable de Protección de Datos, “Data Privacy Officer” para los aficionados al inglés. Nada tiene que ver con el Responsable de Seguridad que regula nuestro Reglamento, que sólo está dedicado a coordinar/controlar las medidas de seguridad que se adoptan para los ficheros. La nueva figura se ocupará de bastantes más asuntos, y tendrá que asumir unos roles más amplios y diversos. Me resulta bastante curioso que la Unión Europea termine adoptando una figura con denominación de origen norteamericano. La empresa IBM fue pioneraii en designar en el año 2000 un “Chief Privacy Officer”, Harriet Pearson iii. Tenía los cometidos de unificar la privacidad en los proyectos y programas en IBM, incluyendo investigación y desarrollo, marketing, ventas, estrategia web y tecnología; coordinar la privacidad en la oferta tecnológica y de servicios; asegurar el liderazgo de IBM adoptando las mejores prácticas para con los empleados, clientes y consumidores, y que la empresa cumpliera con la legislación y estándares aplicables. Por si en el mundo de los “eleopedianos” no teníamos bastantes divisiones ya (tecnólogos, juristas y otras diversas faunas), ahora vienen desde Europa a exigirnos un poquito más. No solo tecnología y derecho, sino también organización, análisis de productos y servicios… De todo un poco, pero fundamentalmente, en todos sus desempeños, ha de entender el negocio de la empresa donde está trabajando y su funcionamiento. Esto es fundamental, lo llevo diciendo unos años: ¿cómo vas a asesorar sobre algo que desconoces? El Reglamento dedica tres artículos a regular esta figura (32 a 34). Será obligatorio contar con un Responsable de Protección de datos en las administraciones públicas (ver post de Francisco Javier Sempere, El Responsable de Protección de Datos (DPO) en las AAPP) iv, en empresas de más de 250 empleados, y en aquéllas donde se lleven a cabo operaciones con datos que por su naturaleza, alcance y/o finalidades requieran supervisión regular y sistemática. Nada impide que cualquier organización, sin que esté dentro de estos supuestos, pueda nombrar también a alguien para que cumpla estas funciones. Es posible tanto nombrar a un empleado para el puesto, como contratar a personal externo. Sin embargo, por la redacción de la propuesta de Reglamento, no parece que pueda contratarse a una empresa, sino que siempre habrá de ser una persona física quien lleve a cabo las funciones. Han de tenerse en cuenta las cualidades profesionales del Responsable, y en particular, conocimiento experto de la legislación sobre protección de datos. Queda claro que todo ello estará determinado también por los tratamientos de datos que lleve a cabo la empresa que lo nombra. 17 Subrayo la exigencia de conocimiento de la legislación. Al fin y al cabo, el mayor componente de esta figura es velar porque se cumpla la normativa, y quién mejor que alguien que la conoce para que conozca qué puede exigir. ¿Hasta dónde ha de llegar ese conocimiento? Para mí, el ideal es, en origen, un licenciado en derecho con especialización en protección de datos. Antes podía incluso ser discutible, porque el rol del Responsable de Seguridad primero estuvo ceñido a seguridad informática, luego se añadió la seguridad en ficheros automatizados y no automatizados, pero con esta ampliación de funciones junto con la afirmación del Reglamento queda despejada cualquier duda, a mi parecer. Algo que va a combatir el consabido “pluriempleo” de los profesionales del sector es que se impone a la empresa que se asegure de que si el Responsable de Protección de Datos tiene otras tareas, sean compatibles con sus obligaciones como tal, y nunca se provoque conflicto de intereses. Pensemos por un segundo en cuántos responsables de informática son a la vez Responsables de Seguridad conforme al Reglamento LOPD actual… ¿no supone conflicto de intereses? Será nombrado para un período de 2 años, pudiendo renovarse por el mismo tiempo. No puede ser apartado del puesto si no es porque deje de reunir los requisitos para cumplir con sus obligaciones. La empresa tendrá que comunicar su identificación a la autoridad supervisora (Agencia Española de Protección de Datos) y al público en general, que tendrá derecho a contactar con él para todas las cuestiones relativas tanto al ejercicio de derechos, como a los tratamientos de datos que se realicen. Así que los Responsables de Protección de Datos tendrán que lidiar con los clientes/usuarios, nueva e interesante atribución que va a exigir la coordinación con el departamento de comunicación, en caso de que exista en la empresa. El Responsable de Protección de Datos ha de poder llevar a cabo su trabajo de forma independiente, sin que pueda recibir instrucciones en el ejercicio de sus funciones. La empresa ha de preocuparse por que se cuente con él en tiempo y forma en cualquier cuestión que lleve parejo el tratamiento de datos de carácter personal. Tiene que ser apoyado en el desarrollo de sus trabajos, y han de proporcionársele el personal, instalaciones, equipos y cualquier recurso necesario para que trabaje. El Responsable de Protección de Datos ha de informar directamente a la dirección de la empresa. Imaginémonos la alteración que esto supone en el organigrama de cualquier empresa. Creo que el esfuerzo va a ser mayúsculo. Si la empresa en cuestión no tiene ya arraigada una cultura de protección de datos, a toda la estructura le costará bastante asumir este nuevo puesto con sus roles, y la primera tarea del Responsable pasará por justificar y explicar la necesidad de su propia existencia. Como siempre, si la dirección no está convencida de la necesidad de la existencia del Responsable de Protección de Datos, será bastante difícil que pueda trabajar y cumplir con sus cometidos convenientemente, al faltarle apoyo. Las funciones que el borrador de Reglamento enuncia para el Responsable son la siguientes: - informar y asesorar a la empresa acerca de las obligaciones que le impone el Reglamento, y documentar esta actividad y las respuestas que se han dado a sus peticiones, - controlar la implementación y aplicación de las políticas de la empresa en relación con la protección de datos personales, incluyendo la asignación de responsabilidades, la capacitación del personal involucrado en los tratamientos, y la realización de auditorías periódicas, 18 - controlar la implementación y aplicación del Reglamento, en particular los requisitos relativos a la protección de datos por diseño, protección de datos por defecto, la seguridad de los datos y las solicitudes de ejercicio de derechos, - asegurarse de mantener la documentación que exige el Reglamento; y controlar la documentación, notificación y comunicación de fugas de datos personales, - controlar la aplicación por la empresa de lo establecido en los análisis de impacto sobre protección de datos, y la solicitud de autorización o consulta previa, - actuar como contacto con la autoridad supervisora, y controlar las respuestas que se le ofrezcan, así como colaborar con ésta dentro de su esfera de competencias, ya sea a su solicitud, o por iniciativa propia Como puede verse, sus funciones son bastante más extensas que las del Responsable de Seguridad. Nada tiene que ver una figura con otra. Es más, la competencia de supervisar “la seguridad de los datos” es una más, por lo que las funciones del Responsable de Seguridad actual quedaría controladas/supervisadas por el Responsable de Protección de Datos. David González me planteó ayer a través de Twitter que echaba de menos la regulación de ciertas incompatibilidades que pueden darse, pensando en un Responsable de Protección de Datos en su modalidad de contratado externo… con el conocimiento que adquirirá sobre el negocio de las empresas a las que preste servicio, ¿no debieran haberse regulado? Quizá por lo compleja que puede ser esa regulación se ha obviado, ya que las mismas empresas se cuidarán muy bien de prestar atención al asunto. Por dar un ejemplo concreto, a una empresa de software no se le pasará por la cabeza contratar al mismo Responsable que también ejerce en una empresa competidora. Al menos yo no lo haría. ¿Están preparadas las empresas españolas para asumir esta figura? Pienso que todavía no, pero no les quedará más remedio. Es un revulsivo que puede ayudar bastante a pasar del mero cumplimiento en protección de datos, a la utilización de la cuestión como ventaja competitiva, como diferenciación con la competencia… Las empresas tendrán que pasar de estar acostumbradas a tratar la LOPD como amenaza, como algo externo que se puede obviar, a tener en cuenta la opinión de estos especialistas en todos los procesos en los que haya tratamiento de datos. Puede pensarse que es una exageración que se exija desde la UE, pero si realmente se quiere que se respete un derecho fundamental que está tan, tan impactado por las nuevas tecnologías, la mejor solución es obligar a las empresas a incluir especialistas en el campo en su funcionamiento. En este sentido prefiero una regulación quizá muy atrevida e influida por los “useños”, a una “no regulación” o una regulación muy coja, como la que tenemos ahora con la figura del Responsable de Seguridad. Como cuestión de cierre y para reflexión, ¿de qué calibre es la responsabilidad que asumirán estos trabajadores? ¿hasta qué punto serán responsables de que su empresa cumpla o no con la legislación? Es un tema que merece análisis, y quizá es más complejo de lo que puede parecer. Pero no puedo evitar pensar en el ejemplo de la condena v por un juzgado de Milán a Peter Fleischer vi, responsable global de privacidad de Google. En 2006, una pandilla de impresentables grabó en vídeo los abusos a un compañero de colegio autista, y lo subió a Google Video. Fleischer y dos ejecutivos más fueron condenados vii por no cumplir con la legislación sobre privacidad italiana. 19 Con todo, de ser aprobada esta versión del borrador de Reglamento, constituye un gran impulso para nuestra profesión. Sería un grave error que Europa no lo regulara, quedando en un breve plazo de tiempo por detrás de su eterno competidor, EE.UU. Es imposible que en pleno siglo XXI, donde la materia prima esencial que usan las empresas para trabajar es la información sobre las personas, el profesional de la privacidad todavía sea visto como algo raro y exótico. Esta regulación es más que necesaria. i http://europa.eu/rapid/pressReleasesAction.do?reference=SPEECH/11/817&format=HTML&aged=0&language=EN&guiLanguage=en ii http://www-03.ibm.com/press/us/en/pressrelease/1464.wss iii http://www.linkedin.com/in/harrietpearson iv http://fjaviersempere.wordpress.com/2011/12/19/el-responsable-de-proteccion-de-datos-dpo-en-las-aapp/ v http://news.bbc.co.uk/2/hi/8533695.stm vi http://peterfleischer.blogspot.com/2010/02/todays-astonishing-verdict-in-milan.html vii http://googleblog.blogspot.com/2010/02/serious-threat-to-web-in-italy.html Entrevista a Dª Esther Mitjans, directora de la Autoridad Catalana de Protección de Datos, con motivo del Día Europeo de Protección de Datos. ● El Día 28 de enero celebramos el Día Europeo de la Protección de Datos, ¿qué cree que aporta el modelo europeo en la tutela de este derecho fundamental? El modelo europeo supone el reconocimiento y garantía de un derecho fundamental que permite al titular de sus datos controlar que, quien y como se gestionan sus datos personales incorporando una garantía institucional, las autoridades de protección de datos, que permite una defensa efectiva y eficaz del derecho ante posibles vulneraciones del derecho. ● ¿Cuáles son en su opinión los retos a los que nos enfrentamos en 2012 en materia de protección de datos personales? Creo que uno de los principales retos a los que nos vamos a enfrentar en los próximos años es a como establecer un correcto equilibrio entre la nueva situación global sin menoscabar el contenido del derecho fundamental. En este entorno vamos a tener que replantearnos la protección de datos y trabajar en un acercamiento desde planteamientos pragmáticos al cumplimiento de las obligaciones y considero que un buen sistema es incorporar el elemento preventivo en la gestión de la información a partir de un correcto análisis de los riesgos existentes en cada uno de los sectores. 20 ● ¿Cuáles son a su juicio, los problemas más significativos para el adecuado cumplimiento de la legislación vigente en su área de competencia? La consciencia que la normativa de protección de datos no supone un entorpecimiento para las actuaciones sino el establecimiento de garantías para un mejor tratamiento de la información. Conseguir que las obligaciones en materia de protección de datos se integren en el normal funcionamiento de las instituciones de manera que su cumplimiento no sea percibido como un plus sino como el establecimiento de procedimientos que ayuden al correcto procesamiento de la información y permitan una simplificación de los procesos de gestión. ● Desde APEP estamos comprometidos en trasladar a la sociedad un mensaje positivo en relación con las ventajas que tiene cumplir con la LOPD, ¿podría ofrecernos argumentos en este sentido? Un correcto cumplimiento de la normativa de protección de datos aporta una mayor seguridad organizativa y tecnológica ya que permite un control de la información que gestionan las entidades públicas y privadas y, por tanto, ayuda en el desarrollo y prestación de los servicios ofrecidos por estas generando una mayor confianza en los usuarios. ● España cuenta con un sector profesional de profesionales de privacidad experto y formado. Nos gustaría que aproveche estas líneas libremente para dirigirse a las personas asociadas a APEP con una breve reflexión en relación con los retos de futuro para la profesión. La normativa de protección de datos permite un gran desarrollo personal y profesional de aquellas personas que se dedican a su estudio. Permite un trabajo multidisciplinar en los ámbitos jurídico, organizativo y tecnológico que aportan una visión más completa de las instituciones. La globalización va a exigir un esfuerzo de consolidación de todos estos aspectos para poder integrar la normativa de protección de datos en el conjunto de instituciones y que se convierta en una parte más del desarrollo de cualquier proyecto y actividad, pero, también, requiere que se amplíe la consciencia del derecho por parte de sus titulares en una sociedad cambiante que a veces olvida que el derecho a la protección de datos pasa por una actitud proactiva del propio titular. Todos aquellos que nos dedicamos a la protección de datos hemos de tener siempre muy presente que detrás de cualquier actuación o actividad en este entorno se encuentra un derecho fundamental que tiene como base principios como el de la dignidad humana o la libertad. 21 Entrevista a D Santiago Abascal Conde, director de la Agencia de Protección de Datos de la Comunidad de Madrid, con motivo del Día Europeo de Protección de Datos. ● El Día 28 de enero celebramos el Día Europeo de la Protección de Datos, ¿qué cree que aporta el modelo europeo en la tutela de este derecho fundamental? La aprobación de la Directiva 95/46 y su posterior transposición a través de la LOPD configuró un marco jurídico adecuado para proteger este “nuevo” derecho fundamental, articulando esa protección a través de una serie de principios básicos, de sobra conocidos, como son los de calidad, información, legitimación y consentimiento. En el caso español, me gustaría destacar, que además de la función de control realizada mediante la inspección y posterior tramitación denuncias, se garantizan los derechos ARCO de los ciudadanos con la existencia del procedimiento de tutela de derechos, inexistente en otros ordenamientos jurídicos europeos. No obstante, la evolución de las tecnologías de la información en los últimos años, y sobre todo, el auge de Internet, aunque los principios de la Directiva 95/46 sigan siendo válidos, ha demostrado que hay problemas de privacidad que requieren ser resueltos con una articulación jurídica adecuada en base a textos normativos. ● ¿Cuáles son en su opinión los retos a los que nos enfrentamos en 2012 en materia de protección de datos personales? Básicamente, tres. En primer lugar, aunque se ha avanzado en el cumplimiento de la LOPD, todavía queda mucho que hacer en el ámbito de las Administraciones públicas y de las PYMES. Varios estudios han expuesto que hay un avanzado grado de incumplimiento. En segundo lugar, en un mundo globalizado como el actual y con nuevos modelos de gestión como el “cloud computing”, es necesario establecer mecanismos adecuados, implicando a todas las partes afectadas, para garantizar este derecho. Recordemos que la respuesta del legislador siempre es tardía a este tipo de fenómenos que avanzan a pasos agigantados. Por último, la formación de los usuarios, sobre todo los menores y sus padres y madres, en el uso de las tecnologías de la información, las redes sociales, y en general, Internet. Está prohibido prohibir, porque las ventajas de la red son incalculables, pero hay que educar sobre un buen uso de los mismos. La puesta en práctica de esta educación o formación afecta a todos los poderes públicos. 22 ● ¿Cuáles son a su juicio, los problemas más significativos para el adecuado cumplimiento de la legislación vigente en su área de competencia? Los resumiría en dos. Primero, aunque la APDCM ha desarrolla una inmensa labor de formación (más de 50.000 empleados), todavía sigue habiendo un desconocimiento de la normativa de protección de datos. Además, en ocasiones los gestores públicos se acuerdan de este derecho a última hora. Por esta razón, considero que tanto la “Privacidad por diseño” como la “Privacidad por defecto” en la normativa europea que se aprobará este año sustituyendo a la vigente Directiva, puede ayudar a solucionar este problema. Segundo, aunque las Administraciones públicas han introducido en los últimos años nuevos modelos de gestión, a veces es difícil cambiar la “mentalidad burocrática” de tantos años, cuya forma de actuar puede estar produciendo, en ocasiones, algún perjuicio al titular de este derecho fundamental. Hablo del conocido “Es que esto siempre se ha hecho así”. Y en la mayoría de las ocasiones, el cambio, que supondrá eliminar el citado perjuicio, es bastante simple. La APDCM nunca va a cesar en su empeño en cambiar este tipo de actuaciones. ● Desde APEP estamos comprometidos en trasladar a la sociedad un mensaje positivo en relación con las ventajas que tiene cumplir con la LOPD, ¿podría ofrecernos argumentos en este sentido? Es necesario cambiar la mentalidad: no sólo se trata de cumplir la LOPD sino que la información que se tiene de los ciudadanos o clientes, sus datos personales, tienen un valor esencial para la organización, y gestionarlos de manera adecuada supone, además del cumplimiento normativo, ofrecer un “plus” a estos ciudadanos o clientes. De esta forma, se ofrece un servicio con una mayor calidad, que en el tráfico económico debe ser un elemento diferenciador para la contratación, incluyendo también cuando el contratista son las Administraciones Públicas. En este sentido, la APDCM participó en el Proyecto Europeo Europrise cuya finalidad era certificar productos o servicios que se adecuasen a los principios de la Directiva 95/46, es decir, la creación de un sello de calidad en materia de Privacidad. Asimismo, la Comisión Europea está muy interesada en implantar este tipo de sellos. De hecho, el borrador de Reglamento de Protección de Datos que sustituiría a la vigente Directiva, contiene un artículo en esta línea. ● España cuenta con un sector profesional de profesionales de privacidad experto y formado. Nos gustaría que aproveche estas líneas libremente para dirigirse a las personas asociadas a APEP con una breve reflexión en relación con los retos de futuro para la profesión. Ante la inminente aprobación del nuevo marco regulador de la Unión Europea, el profesional de la privacidad se va a enfrentar a nuevos retos. La figura del Responsable de Protección de Datos (DPO) no sólo ofrecerá nuevas perspectivas laborales sino también una mayor responsabilidad en el ejercicio de sus funciones y tareas. 23 También deberá estar convenientemente formado y preparado para realizar los “Informes de Impacto de Privacidad”, la “Privacidad por diseño” y la “Privacidad por defecto”. Todo ello redundará no sólo en una mejor prestación de sus servicios a la empresa o administración que le haya contratado, sino también en la garantía de este derecho fundamental de los ciudadanos. Entrevista a D. Iñaki Vicuña, director de la Agencia Vasca de Protección de Datos, con motivo del Día Europeo de Protección de Datos. El Día 28 de enero celebramos el Día Europeo de la Protección de Datos, ¿qué cree que aporta el modelo europeo en la tutela de este derecho fundamental? El modelo Europeo constituye el referente mundial en materia de protección de datos personales. En Europa se encuentra el origen y los instrumentos jurídicos más importantes. El Convenio 108 del Consejo de Europa y la Directiva 95/46/CE, son el espejo en la que se mira toda la legislación que, actualmente, se está desarrollando en los países que incorporan el Derecho a la Privacidad en sus ordenamientos. Esta influencia se acrecentará con el actual cambio legislativo que está impulsando la Comisión Europea, el nuevo Reglamento que sustituirá a la Directiva hoy vigente y la nueva Directiva que regulará los aspectos relativos a las áreas cooperación judicial y policial en materia penal (antiguo tercer pilar). En consecuencia el modelo europeo es base y fundamento de este derecho fundamental. ¿Cuáles son en su opinión los retos a los que nos enfrentamos en 2012 en materia de protección de datos personales? Los retos son múltiples y conocidos. Estamos ante la aprobación, previsiblemente durante este año, de una Ley de Transparencia y acceso a la información pública. Esto es ya un reto, y su implantación debe garantizar una ponderación y un justo equilibrio con la normativa en materia de protección de datos. Por otro lado tenemos retos tan importantes como el desarrollo de la Administración electrónica, los derivados del uso de las redes sociales, de la videovigilancia, la correcta implantación de la “Internet de las cosas”, o las evaluaciones de impacto sobre la privacidad (PIAs, o la aplicación de criterios de Privacy by Design) por citar sólo algunos importantes. Unos retos que no van a resolverse a corto plazo, si no que se han convertido en asuntos estructurales de nuestra sociedad. Es por ello que nuestra actual prioridad es incidir en la labor proactiva, más divulgativa, a través de la concienciación, la sensibilización y la educación, para conseguir que los ciudadanos conozcan sus derechos, los respeten y los reivindiquen. Evidentemente, como Autoridades de Control, también deberemos dar una correcta y rápida respuesta a las demandas de los ciudadanos y a sus solicitudes de tutela. 24 ¿Cuáles son a su juicio, los problemas más significativos para el adecuado cumplimiento de la legislación vigente en su área de competencia? Quizás uno de los problemas principales es que el derecho a la protección de datos personales no es suficientemente conocido. Por eso las Autoridades de Control dedicamos tanto esfuerzo en concienciar a las Instituciones de la necesidad de que, en el ejercicio de sus funciones, respeten y protejan el derecho fundamental de las personas a la confidencialidad y privacidad de sus datos. El cambio social que ha supuesto el uso de las nuevas tecnologías obliga a profundizar en el establecimiento de criterios y pautas de funcionamiento que permitan garantizar este derecho, porque estamos convencidos de que cuando el derecho se conoce, se ejerce y se respeta. Es también importante aclarar que la protección de datos personales no puede servir de justificación para actividades de opacidad ni por parte de las Administraciones e Instituciones ni de los ciudadanos. Hay que seguir insistiendo en que el derecho a la protección de datos personales y el derecho a la transparencia no son valores contrapuestos sino que deben, necesariamente, ir de la mano. Hay que encontrar el necesario equilibrio entre ambos derechos. Desde APEP estamos comprometidos en trasladar a la sociedad un mensaje positivo en relación con las ventajas que tiene cumplir con la LOPD, ¿podría ofrecernos argumentos en este sentido? Con respecto a la ciudadanía, pienso que los mensajes relativos a la protección de datos personales que reciben son, en general, positivos. Es un derecho que refuerza su autonomía y que ofrece garantías y soluciones. Ya todos somos conscientes de los impresionantes tratamientos que con nuestros datos se realizan, y saber que existe un derecho fundamental que nos asiste y unas autoridades que nos tutelan, de alguna manera, tranquiliza. No ocurre lo mismo, a mi parecer, con la percepción que tienen los responsables de tratamiento, sobre todo en el mundo de la empresa. Habitualmente los mensajes que reciben tienen una carga negativa, se presenta el cumplimiento de la ley desde el punto de vista de las sanciones, de las consecuencias económicas, lo que produce rechazo, una carga más a soportar. Yo no me cansaré de decir que el respeto a la privacidad en la empresa supone una ventaja competitiva. En las relaciones humanas la confianza constituye un elemento esencial. La ciudadanía, los clientes quieren relacionarse con empresas e instituciones que no les hagan trampas, que sean leales en el tratamiento de sus datos, que aseguren su custodia. Que los ciudadanos confíen en nuestras empresas es una ventaja competitiva que nos distingue de la competencia. España cuenta con un sector profesional de profesionales de privacidad experto y formado. Nos gustaría que aproveche estas líneas libremente para dirigirse a las personas asociadas a APEP con una breve reflexión en relación con los retos de futuro para la profesión. Como ya tuve ocasión de manifestar en el último Congreso organizado por la Asociación Profesional Española de la Privacidad, las autoridades de control debemos estar próximas a la sociedad y apostamos por el desarrollo de organizaciones profesionales y de la sociedad civil. A ello responde la firma del Convenio, que en septiembre del 2010, realizamos con APEP 25 Para poder lograr los retos que hemos asumido, tenemos muy claro que necesitamos buenos profesionales que se alineen con la necesidad de proteger los datos personales, que eviten los riesgos producidos por prácticas erróneas e inapropiadas. La implicación de los profesionales en lograr que la protección de datos personales forme parte del ADN de empresas y de Administraciones Públicas es estratégica para que nosotros podamos ser eficaces en la misión que, por ley, tenemos asignada. Necesitamos profesionales que, aparte de las funciones clásicas de gestionar declaraciones de ficheros, asesorar en cuestiones formales o facilitar la elaboración de documentos de seguridad, se impliquen en elementos fundamentales de la privacidad, como, por ejemplo, la asesoría acerca de la calidad de los datos, o la adopción de sistemas de tratamiento que incorporen, desde el inicio, los criterios y medidas promovidos desde el espíritu de “Privacy by Design”. RESUMEN ÚLTIMAS TRIBUNAL SUPREMO. SENTENCIAS DEL Roj: STS 7024/2011 Id Cendoj: 28079130062011100834 Órgano: Tribunal Supremo. Sala de lo Contencioso Sede: Madrid Sección: 6 Nº de Recurso: 5072/2008 Nº de Resolución: ANTECEDENTES DE HECHO La Audiencia Nacional, dictó sentencia en julio de 2008, contra una resolución de fecha 18 de junio de 2007 de la Agencia de Protección de Datos que desestimaba el recurso de reposición promovido contra una resolución de la misma AEPD que venía a denegar la cancelación de los ficheros de titularidad de la Fundación Hospital Alcorcón por entender que los mimos eran de de titularidad privada y no pública como argüía la Fundación. La sentencia de instancia concluía anulando las resoluciones de la AEPD “por ser contrarias a derecho, debiendo proceder la Agencia Española de Protección de datos a cancelar en su Registro General las anotaciones correspondientes a los ficheros de la citada Fundación". En noviembre de 2008 la AEPD presentó escrito de interposición de recurso de casación, solicitando se acuerde casar la sentencia recurrida y se dicte otra por la que se acuerde la plena conformidad a derecho del acto impugnado en la instancia. FUNDAMENTOS DE DERECHO Entiende el Tribunal Supremo que la ley 8/2001 de la CCAA de Madrid atiende igualmente al criterio subjetivo para delimitar las funciones de la AEPD y APDCM, “en atención al sujeto que creó o gestiona el fichero en cuestión, reconociendo de forma expresa el carácter de ficheros de titularidad pública a los creados o gestionados por las Instituciones de la Comunidad de Madrid, con la única excepción de las sociedades mercantiles”. 26 Si bien, la Sentencia en sus fundamentos jurídicos, ordena esta excepción indicando su alcance, pues la limita exclusivamente a empresas públicas con forma de sociedades mercantiles según el apartado 1 de la letra c) del artículo 2.2 de la ley 1/1984 de la CCAA de Madrid, “sin alcanzar por tanto la exclusión de las funciones de control por la APDCM a los demás entes públicos que integran la Administración institucional de la Comunidad de Madrid, descritos en el artículo 2 de la ley 1/1984, en particular, sin alcanzar la excepción a las empresas públicas del apartado 2 de la letra c) del referido precepto, que se refiere a las Entidades de Derecho público con personalidad jurídica propia hayan de ajustar sus actividades al ordenamiento jurídico privado”. Profundizando el Tribunal en la constitución y régimen jurídico de la Fundación Hospital Alcorcón que pretendía la cancelación de sus ficheros del Registro General de la Agencia Española de Protección de Datos con el fin de determinar si se trataba de una Institución de la Comunidad de Madrid, de las contempladas en el artículo 2 de la ley 8/2001 de dicha Comunidad, y determinar así el órgano administrativo competente para la inscripción de sus ficheros, analiza el Real Decreto Ley 10/1996, de 17 de junio, de habilitación de nuevas formas de gestión del INSALUD, respecto a la ampliación de las formas organizativas de gestión en el ámbito del Sistema Nacional de Salud, con finalidad de hacer frente a las exigencias de eficiencia y rentabilidad social de los recursos públicos que las Administraciones sanitarias tienen planteados, y en su artículo único estableció que la gestión y administración de los centros, servicios y establecimientos sanitarios podrían llevarse a cabo directamente, o indirectamente mediante cualesquiera entidades admitidas en derecho, "...así como a través de la constitución de consorcios, fundaciones y otros entes dotados de personalidad jurídica...". Entiende así la Sentencia que bajo la habilitación del RDL 10/1996, el Consejo de Ministros en su reunión de 22 de noviembre de 1996, se autorizó al INSALUD a constituir determinadas Fundaciones, entre las cuales fue creada la Fundación Hospital Alcorcón, “cuyo Protectorado se encomienda al Ministerio de Sanidad y Consumo por el artículo 8 de sus Estatutos”. Otro motivo por el que el Tribunal entiende que es es un fichero público al amparo de la APDCM, es la aplicación al caso de la Ley 15/1997, de 25 de abril, en cuanto a la habilitación de nuevas formas de gestión del Sistema Nacional de Salud, pues como se establece en el Fundamento Jurídico Cuarto, dicha ley “continuó amparando las nuevas formas organizativas de gestión de los centros hospitalarios, entre las que ha de entenderse incluida, en lo que a este recurso interesa, la gestión a través de entes interpuestos como las fundaciones”. Lo mismo hace con el Real Decreto 1479/2001, de 27 de diciembre, sobre traspaso de funciones y servicios del INSALUD a la Comunidad de Madrid, “incluyendo las de tutela y control, sobre las Fundaciones sanitarias ubicadas en el territorio de la Comunidad de Madrid que cita, entre las que se encuentra la Fundación Hospital Alcorcón, así como la subrogación de la Comunidad de Madrid en la posición que tiene el Estado en dicha Fundación”. Ahonda en esta interpretación al entender aplicable también el artículo 2.1.f) de la ley 47/2003, de 26 de noviembre, General Presupuestaria. Por último, la Sala coincide con la sentencia impugnada en que la solución de la presente controversia se encuentra en la interpretación de las dos normas jurídicas con igual rango de ley, una estatal y la otra autonómica, que delimitan el ámbito de actuación de la Agencia de Protección de Datos y del órgano administrativo homólogo de la Comunidad de Madrid, si bien entiende que según el régimen jurídico a que está sujeta la Fundación Hospital Alcorcón, “se trata de una Institución creada por la Administración Pública, que actúa sometida a la tutela y control de la Administración Pública y financiada mediante ingresos públicos”. 27 FALLO Declara la Sala no haber lugar al recurso de casación interpuesto por la AEPD contra la sentencia de 23 de julio de 2008, dictada por la Sección 1ª de la Sala de lo Contencioso Administrativo de la Audiencia Nacional en el recurso contencioso administrativo número 378/2007. Roj: STS 7583/2011 Órgano: Tribunal Supremo. Sala de lo Contencioso Sede: Madrid Sección: 6 Nº de Recurso: 5960/2008 Nº de Resolución: Fecha de Resolución: 10/11/2011 Procedimiento: RECURSO CASACIÓN HECHOS La Audiencia Nacional en septiembre de 2008 dictaba sentencia desestimando el recurso contencioso administrativo interpuesto por Prelatura del Opus Dei, Región de España, frente a la resolución de la Agencia Española de Protección de Datos de 31 de enero de 2007 que instaba a dicha entidad emitir certificado de cancelación de sus datos y en dicha Resolución se aportaba contestación de la Prelatura del Opus Dei al respecto de la denegación de la cancelación en los siguientes términos: "los únicos datos que se refieren a su persona son hechos históricos, realizados voluntariamente, que no pueden anularse. De todas formas, le comunico que en anotación marginal se hará constar su deseo de que no tengan trascendencia externa". Ante la Sentencia de instancia la Prelatura del Opus Dei, Región de España, presentó escrito de interposición del recurso de casación solicitando la casación de la sentencia impugnada y se declara no conforme a derecho y se anulara la Resolución dictada el 31 de enero de 2007 por la Agencia Española de Protección de Datos en el procedimiento TD/00418/2006. FUNDAMENTOS DE DERECHO El recurso de casación se articula en tres motivos, los dos últimos, denunciaban la infracción del artículo 2.1 de la LOPD y los artículos 4.5 y 16.2 de la LOPD respectivamente. Argüía el recurrente que existía una infracción del artículo 2.1 de la LOPD, “porque en el caso de autos los datos cuya cancelación se pretende no están incorporados a ningún soporte informático, ni tampoco son objeto de tratamiento alguno en los términos delartículo 3.d) LOPD”, y que guardaban un notable paralelismo con otros casos resueltos en forma estimatoria contra Resoluciones de la AEPD que ordenaban cancelar los datos contenidos en los libros de bautismo. Sin embargo, entiende la Sala que los datos a que se refiere el recurso, son las fechas de la incorporación y baja en la Prelatura anotados de forma mecanográfica en un papel, y dicho formato no se encuentra excluido de la protección de la LOPD. Estima entonces que con claridad el artículo 3 de LOPD, que en sus letras b) y c) define los ficheros “como todo conjunto organizado de datos de carácter personal, "...cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso...", y entiende por tratamiento de datos, las operaciones y procedimientos 28 técnicos" ...de carácter automatizado o no...", que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos”. Entiende el alto Tribunal que los datos personales interesados en cancelar y que el recurrente contaba registrados eran “obviamente y en primer lugar, el nombre y apellidos de la persona interesada y además, (...) las fechas de su petición de admisión, de su incorporación definitiva y de su baja en la Entidad religiosa recurrente”. Además, la Sala reconoce que “la información que se recoge está constituida por datos personales, especialmente protegidos además, de acuerdo con el artículo 7 LOPD, “por afectar a las creencias religiosas, y está también presente la nota o elemento de organización (...) por el hecho de que habiendo solicitado la interesada información sobre sus datos en poder de la Entidad religiosa, estos datos fueron localizados y la información fue facilitada, sin que conste, ni la Entidad religiosa haya alegado siquiera, que fuera precisa adicional información u otros datos distintos al nombre y apellidos para acceder a la información de que se trataba”. De esta forma, se rechaza el motivo segundo de la casación, ya que no existe paralelismo con los Libros de Bautismo, los cuales no fueron considerados el Tribunal Supremo como ficheros de datos, según Sentencia de 19 de septiembre de 2008 (recurso 6031/2007), “ya que los datos personales no están recogidos en dichos Libros de Bautismo”. El Fundamento Jurídico Quinto, analiza el tercer motivo del recurso de casación (infracción de los artículos 4.5 y 16.2 de la LOPD), ya que entendía el recurrente que no es ésta quien ha de acreditar que los datos sean necesarios para la finalidad que motivó su recogida, sino al revés, debería haberse acreditado “que dichos datos no eran necesarios para hacer subsumible el supuesto de hecho en lo dispuesto por el artículo 4.5 LOPD”. Es la propia Sala quien determina que el artículo 4.5 LOPD, “no se remite a la voluntad de la persona interesada, ni tampoco a la del responsable del fichero para determinar cuando los datos han dejado de ser necesarios o pertinentes, sino que la necesidad del mantenimiento de los datos ha de relacionarse con la finalidad para la cual los datos fueron recogidos”. Al entender la AEPD y la sentencia impugnada que los datos dejaron de ser necesarios para la finalidad que justificó su tratamiento, por haber decidido el interesado dejar de pertenecer al Opus Dei, “sin que por la parte recurrente se haya desvirtuado tal conclusión, ni acreditado una finalidad de mantenimiento de los datos merecedora de mayor protección”, procedía la sentencia a desestimar también este motivo de recurso. FALLO Declara finalmente la sentencia no haber lugar al recurso de casación, no anulando la Resolución de la AEPD. ¿QUIERES COLABORAR? Con el objeto de fomentar la participación de los asociados y dado que en el seno de la APEP existen profesionales que pueden realizar interesantes aportaciones en la materia os reiteramos la invitación que se realizó en su día para que podáis proponer temas sobre los que escribir un artículo para próximas ediciones del boletín. Aquellos que estéis interesados deberéis remitirlos a administracion@apep.es. 29