La armonizacion de la normativa de proteccion de datos a las normas comunitarias


La recientes Sentencias del Tribunal Supremo de fechas 8 de Febrero de 2012 han puesto de manifiesto la inadecuada transposición en España de la Directiva 95/46/CE relativa a la protección de datos personales y a la libre circulación de estos datos (en adelante Directiva) , en la medida que, mientras la Directiva parte de definir una serie de presupuestos para el tratamiento,  la Ley Orgánica 15/1999 de Protección de Datos (en adelante LOPD) opta por legitimar el tratamiento o la cesión de datos sobre la base del consentimiento inequívoco del interesando y, a partir de esa figura, sentar una serie de excepciones. Por su parte, el RD 1720/2007 por el que se desarrolla la LOPD (en adelante RD 1720/2007) en su artículo 10,  estableció una serie de bases para que se pudieran desarrollar alguna de las excepciones marcadas en la Ley Orgánica.

La Directiva 95/46 estableció en su artículo 7 dentro de los principios que legitiman la protección de datos  que los Estados miembros dispondrán que el tratamiento de datos personales sólo pueda efectuarse si: a) el interesado ha dado su consentimiento de forma inequívoca, o b) es necesario para la ejecución de un contrato en el que el interesado sea parte o para la aplicación de medidas precontractuales adoptadas a petición del interesado, o c) es necesario para el cumplimiento de una obligación jurídica a la que esté sujeto el responsable del tratamiento, o d) es necesario para proteger el interés vital del interesado, o e) es necesario para el cumplimiento de una misión de interés público o inherente al ejercicio del poder público conferido al responsable del tratamiento o a un tercero a quien se comuniquen los datos, o f) es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva.

Sin embargo la LOPD en su artículo 6 opta, como ya hemos indicado, por regular en su apartado 1 que “El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa” y en el apartado 2 establece las excepciones para la recogida del consentimiento: a) datos recogidos por las Administraciones públicas para sus funciones b) cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa c) cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado y d) cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado”.

De la simple lectura comparativa del Artículo 7 de la Directiva y del Artículo 6 de la LOPD se deduce la naturaleza del problema objeto de análisis: mientras que el Artículo 6.2 vincula la existencia de un interés legítimo, como excepción al consentimiento a dos requisitos: a) que no se vulneren derechos y libertades fundamentales del interesado y 2) que los datos figuren en una fuente accesible al público, el Artículo 7 f) de la Directiva 95/46 solo alude al primero de los supuestos. El problema además se agrava en la medida que la propia LOPD en su artículo 3 apartado j) define esas fuentes accesibles al público como numerus clausus, de forma que se regula un sistema que limita estas fuentes a: el censo promocional, los repertorios telefónicos, las listas de personas pertenecientes a grupos de profesionales,  los diarios y boletines oficiales y los medios de comunicación.

El mismo error arrastra el Artículo 11.2 b) de la LOPD, al definir los supuestos de legitimidad para la cesión de datos, limitando nuevamente, el Artículo 7 de la Directiva 95/46.

El RD 1720/2007, que pudiera haber sido una excelente oportunidad para corregir este desajuste entre la normativa nacional y comunitaria, no sólo no lo hizo sino que además consolidó el problema. El Artículo 10 en su apartado 1 recalca la necesidad del consentimiento y en los apartados 2 a) y b) establece las excepciones al mismo.

El apartado 2 a) libera de la necesidad del consentimiento cuando lo autorice una norma con rango de ley o una norma de derecho comunitario y, en particular, cuando el tratamiento o la cesión tengan por objeto la satisfacción de un interés o cuando el tratamiento o la cesión de los datos sean necesarios para que el responsable del tratamiento cumpla un deber que le imponga una de dichas normas.

En línea con el Artículo 6.2 de la LOPD El apartado 2 b) vincula la existencia de un interés legítimo y la no vulneración de los derechos fundamentales a que los datos objeto de tratamiento o de cesión figuren en fuentes accesibles al público, añadiendo que las Administraciones públicas sólo podrán comunicar los datos recogidos de fuentes accesibles al público a responsables de ficheros de titularidad privada cuando se encuentren autorizadas para ello por una norma con rango de ley.

La publicación de éste RD 1720/2007 dio lugar a que dos asociaciones ASNEF y FECEMD impugnaran el mismo y sugirieran al Tribunal Supremo la existencia de este desajuste entre la legislación nacional y comunitaria. El Tribunal Supremo planteó al Tribunal de Justicia de la Unión Europea dos cuestiones prejudiciales.  El 24 de noviembre de 2011 la Sala Tercera resolvió las citadas cuestiones, C-468/10 Y C-469/10 señalando que:

1)      El artículo 7, letra f), de la Directiva debe interpretarse en el sentido de que se opone a una normativa nacional que, para permitir el tratamiento de datos personales necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, exige, en el caso de que no exista consentimiento del interesado, no sólo que se respeten los derechos y libertades fundamentales de éste, sino además que dichos datos figuren en fuentes accesibles al público, excluyendo así de forma categórica y generalizada todo tratamiento de datos que no figuren en tales fuentes.

2)      El artículo 7, letra f), de la Directiva 95/46 tiene efecto directo.

Ante la respuesta dada a las cuestiones prejudiciales, el Tribunal Supremo ha resuelto los dos recursos planteados por ASNEF y FECEMD en sendas Sentencias de 8 de febrero del presente año  y ha concluido: A) declarando que el artículo 10.2.a) no es nulo en la medida que es un supuesto habilitador no expresamente previsto en la norma comunitaria y que en todo caso sería superable mediante la aplicación directa del artículo 7 f) de la Directiva, B) declarando la nulidad del artículo 10.2 b) en la medida que excluye de forma categórica y generalizada todo tratamiento de datos que no figure en fuentes accesibles al público, declarando tal proceder contrario a la Directiva, c) declarando que al valorar y ponderar la existencia de un interés legítimo y la vulneración de un derecho fundamental es necesaria la ponderación de los derechos e intereses en conflicto, d) que esta ponderación debe realizarse caso por caso, e) que conforme a la STJUE el hecho de que el dato figure en una fuente accesible al público puede ser un criterio de ponderación que incline la balanza hacia el interés legítimo pero no puede ser un requisito habilitante.

Por último debe tenerse en cuenta que han quedado cuestionados no solo los Artículos objeto de impugnación del RD 1720/2007, sino que, además, los Artículo 6.2 y 11.2 de la LOPD en la medida que se aparten del Artículo 7 f) de la Directiva, no pueden ser aplicados y prevalece el Artículo 7 f) de la misma al que se le ha dado efecto directo. También el propio Tribunal Supremo ha cuestionado el sistema cerrado de fuentes accesibles al público en la medida que no puede haber diferencias entre los Estados miembros de la Unión Europea en su configuración.

Frente a la cuestión planteada sobre si estas Sentencias de nuestro Tribunal Supremo menoscaban los derechos de los consumidores debe concluirse negativamente en la medida que: a) el resto de Estados han aplicado correctamente la Directiva y los derechos de los consumidores han sido adecuadamente protegidos, y b) las Sentencias solo se refieren a un supuesto más de legitimación del tratamiento que deberá ser ponderado y no al resto de principios de protección de datos como son: calidad, información, seguridad de datos y deber de secreto

FUENTE:diariojurídico.com

"Nuestros datos siguen protegidos"
Una sentencia del Tribunal Supremo elimina restricciones al tratamiento de datos sin consentimiento


Hay muchos ciudadanos que tras recibir una llamada en la que alguien que sabe su nombre y apellidos, edad y hasta preferencias de consumo intenta venderles algo o que cambien de compañía de gas se preguntan dónde y cómo habrán conseguido sus datos. Por eso la noticia de que el Tribunal Supremo había anulado parte de la normativa de protección de datos personales activó muchas alarmas. La preocupación de los ciudadanos aumentó al leer que, a raíz de la sentencia, las empresas podían tratar y comercializar datos personales sin el consentimiento de los particulares y algunos quisieron ver en esto el fin de la privacidad.

La alarma, sin embargo, es infundada. Los expertos dicen que no se ha abierto la veda para que cualquiera acceda a nuestros datos, ni para que las empresas puedan comerciar con ellos libremente.

Iñaki Vicuña, director de la Agencia Vasca de Protección de Datos, explica que ahora "nuestros datos están tan protegidos como antes". El responsable de que el tratamiento de datos que se hace en la Comunidad Autónoma Vasca cumpla las reglas opina que "dejar que las empresas puedan comerciar con los datos personales sin pedir permiso sería difícilmente entendible", así que "los ciudadanos pueden estar tranquilos".

Las dudas sobre el uso que las empresas podrían dar a nuestros datos en el futuro más inmediato surgieron hace unos días tras conocerse una sentencia del Tribunal Supremo, de fecha 8 de febrero de 2012, que anula un artículo del reglamento de desarrollo de la Ley Orgánica de Protección de Datos.

El fallo declara nula una restricción añadida por el legislador español al sistema de protección de datos derivado de la directiva europea. Se trata, en concreto, de la exigencia de que los datos de los particulares deban tener su origen en fuentes accesibles al público para que puedan ser utilizados sin permiso argumentando un "interés legítimo".

Preguntado sobre los efectos prácticos que esta sentencia puede tener para los ciudadanos, el director de la Agencia Vasca de Protección de Datos (AVPD) explica que se trata de un asunto "eminentemente jurídico" y muy técnico que ha tenido "mucha trascendencia mediática" debido a unos titulares que simplificaban excesivamente. "Es un tema muy jurídico -añade Vicuña- que no cambia prácticamente nada de lo que se está haciendo ahora en materia de protección de datos". Lo mismo opinan en la Asociación Profesional Española de Privacidad (APEP), que tras el pronunciamiento del Tribunal Supremo se apresuró a subrayar que "considerar que las empresas podrán comercializar datos personales sin pedir permiso supone una interpretación simplista y nada rigurosa del tenor literal de la sentencia".

Competitividad El origen del tema está en dos recursos presentados por la Federación de Comercio Electrónico y Marketing Directo y por la Asociación Nacional de Establecimientos Financieros, que entendían que la legislación española sobre protección de datos es más restrictiva que la europea y que eso les restaba competitividad y dificultaba sus actividades. El Supremo planteó una cuestión prejudicial al Tribunal de Justicia de la Unión Europea, que ya en noviembre había advertido de que la Ley española había hecho una mala transposición de la Directiva europea de Protección de Datos, y estableció que no es necesario que los datos se obtengan de una fuente accesible al público para que puedan ser tratados.

En opinión de Iñaki Vicuña, tanto el TJUE como el Supremo dicen que la transposición no está bien hecha, pero "eso y la anulación del artículo 10.2.b del reglamento no excluye los principios generales y los derechos reconocidos en la Ley Orgánica de Protección de Datos".

Fuentes jurídicas recuerdan que el Tribunal Supremo ha mantenido en vigor el artículo 10 del reglamento de la LOPD, de forma que el tratamiento de datos personal todavía requiere el consentimiento del afectado.

consentimiento La Agencia Española de Protección de Datos ya explicó tras la resolución del TJUE que "la mera invocación de un interés legítimo no puede considerarse suficiente para legitimar el tratamiento de datos personales sin el consentimiento del afectado" y que en cada caso concreto debe realizarse "una ponderación entre el interés legítimo de quien va a tratar los datos y los derechos fundamentales de los ciudadanos".

En este sentido, el director de la AVPD, explica que para entender la situación tras la sentencia del Supremo hay que tener en cuenta dos temas fundamentales: "en primer lugar, el interés legítimo es un concepto jurídico indeterminado, su interpretación debe hacerse caso a caso y en función del contexto; en segundo lugar, no es cierto que el tratamiento de datos pueda hacerse ahora sin permiso, ya que la aplicación del interés legítimo está limitada por el derecho fundamental a la protección de datos". Es decir, que el Tribunal Supremo, siguiendo lo establecido por el TJUE, permite que los datos puedan ser obtenidos de fuentes que no sean públicas, pero se tendrá que informar al sujeto del tratamiento de sus datos y siempre y cuando no se vulneren derechos y libertades fundamentales del interesado.

Iñaki Vicuña insiste en tranquilizar a los ciudadanos y dice que no se producirá una comercialización de bases de datos personal sin control, "porque las empresas tienen que respetar la LOPD". "Los principios de protección de nuestros datos personales -explica- siguen igual que hasta ahora, porque lo contrario sería como decir que en los países europeos que han hecho bien la transposición de la Directiva no existe la protección de datos". Añade que cualquier persona que crea que se han vulnerado sus derechos y difundido sus datos indebidamente puede reclamar "igual que antes" y que "prevalece lo que diga la Agencia de Protección de Datos, que es la autoridad competente".

URL:http://www.deia.com/2012/03/04/sociedad/euskadi/nuestros-datos-siguen-protegidos

FUENTE:Deia

La Audencia Nacional plantea una cuestion prejudicial sobre el derecho al olvido en la red al TJUE


La Sala de lo Contencioso-administrativo de la Audiencia Nacional plantea al Tribunal de Justicia de la UE una cuestión prejudicial de interpretación sobre la protección de datos de un particular frente a Google. Con su resolución, la AN describe jurídicamente la situación creada ante las nuevas tecnologías que traspasan fronteras y límites temporales y que se han desarrollado con posterioridad a las normativas vigentes. Es la primera vez que un tribunal plantea esta cuestión ante el Tribunal de Justicia de la UE y la decisión del Tribunal de Luxemburgo vinculará a todos los tribunales de los
estados miembros donde existen reclamaciones similares.

El auto de la Sección Primera plantea de fondo si un particular tiene derecho a reclamar la supresión y bloqueo de informaciones en los buscadores de Internet relativas a su persona y que, con las nuevas tecnologías, podrán ser localizadas “a lo largo de toda su vida y la de sus descendientes”.

Nueve preguntas al Tribunal de Justicia de la UE

Los magistrados resumen en nueve preguntas todas las dudas jurídicas que se han encontrado al abordar el caso de un particular que, al teclear
su nombre en Google encontraba el enlace con un anuncio en un periódico de tirada nacional, de la subasta de un inmueble por un impago a la Seguridad Social. El afectado afirmaba que el embargo ya se había solucionado y resuelto desde hace años y, pese a ello, esa referencia
seguía apareciendo en el buscador.

La Agencia Española de Protección de Datos acogió la petición de tutela del afectado y requirió a Google Spain SL y Google Inc. que retiraran los datos del denunciante de su índice. Sin embargo, consideró que la información de la subasta aparecida en el periódico debía mantenerse por tener una justificación legal.

La Sala entiende que el recurso plantea “el problema referido a las obligaciones que tienen los buscadores de Internet en la protección de datos personales de aquellos afectados que no desean que determinadas informaciones, publicadas en páginas web de terceros y que contienen sus datos personales y permiten relacionarles con la misma, sean localizadas, indexadas y sean puestas a disposición de los internautas de forma indefinida”.

La primera duda que se plantean los jueces es si la normativa comunitaria y nacional en materia de protección de datos se puede aplicar en este caso o, si como sostiene la empresa Google Inc., los afectados deberían acudir a los tribunales de California (EEUU) donde  está domiciliada la empresa matriz del grupo.

Se pregunta también la Sala si los buscadores, cuando indexan la información, están realizando un tratamiento de datos personales, si son responsables de ese tratamiento y deben atender por tanto a los derechos de cancelación y/o oposición del afectado de forma directa, aunque la información se mantenga en la fuente originaria por considerarse lícita.

Finalmente, los jueces preguntan al Tribunal de Luxemburgo si la protección de datos incluye que el afectado se niegue a que una información referida a su persona se indexe y difunda, aun siendo lícita y exacta en su persona se indexe y difunda, aun siendo lícita y exacta en su origen, pero que la considere negativa o perjudicial para su persona.


URL:http://www.diariojuridico.com/actualidad/la-audencia-nacional-plantea-una-cuestion-prejudicial-sobre-el-derecho-al-olvido-en-la-red-al-tjue.html.

FUENTE:diariojurídico.com

La policía española y la cesión de datos a las empresas de seguridad




Del derecho y las normas




El Comisario Jefe de la Unidad Central de Seguridad Privada ha manifestado que permitirá a las empresas de seguridad privada conocer datos personales de las bases de datos policiales. Según la nota de prensa difundida por la Policia en su página web se trata de que las empresas de seguridad remitan información a la Policía y esta a su vez de información a los cuerpos y fuerzas de seguridad del estado. El plan se denomina Plan Azul y trata de profundizar en la colaboración entre empresas privadas y la policía. La nota de prensa, escrita en un tono más propio de una consultora (sí, en el peor sentido de la palabra, esto es muchas palabras y poco contenido), señala que:

Para realizar este ambicioso plan, la Policía Nacional se compromete a facilitar la información pertinente en base a la reciprocidad y bidireccionalidad; integrar y distribuir la información recibida, que será integrada en el sistema de información de policial para su explotación por parte de otras unidades; permitir la participación en la planificación activa de servicios, y se compromete también a reconocer profesionalmente el aporte informativo o material realizado por el sector privado. Paralelamente las empresas de Seguridad Privada utilizarán los canales y procedimientos establecidos; pondrán a disposición de la Policía Nacional toda la información que posean sobre hechos delictivos o susceptibles de afectar a la seguridad ciudadana; se comprometen a hacer un buen uso de la información recibida y guardar la reserva necesaria de la información o apoyo que reciban.

Lo que viene a suponer que la Policía va a entregar información a las empresas privadas, pero bajo el criterio de que se dará en función de lo que aporten las empresas. Las empresas deben dar información sobre delitos que conozcan, una obligación que ya está en la Ley 23/1992 de Seguridad Privada, artículo 19:

3. Tampoco podrán realizar investigaciones sobre delitos perseguibles de oficio, debiendo denunciar inmediatamente ante la autoridad competente cualquier hecho de esta naturaleza que llegará a su conocimiento y poniendo a su disposición toda la información y los instrumentos que pudieran haber obtenido.

Además las empresas de Seguridad Privada (LSP), por esa misma ley tienen la obligación de comunicar todas sus actividades, artículo 2.4:

4. Asimismo, las empresas de seguridad y los detectives privados presentarán cada año un informe sobre sus actividades al Ministerio del Interior, que dará cuenta a las Cortes Generales del funcionamiento del sector. Dicho informe habrá de contener relación de los contratos de prestación de los servicios de seguridad celebrados con terceros, con indicación de la persona con quien se contrató y de la naturaleza del servicio contratado, incluyéndose igualmente los demás aspectos relacionados con la seguridad pública, en el tiempo y en la forma que reglamentariamente se determinen.
Y por supuesto la obligación genérica de colaborar, artículo 1.4:

4. Las empresas y el personal de seguridad privada tendrán obligación especial de auxiliar a las Fuerzas y Cuerpos de Seguridad en el ejercicio de sus funciones, de prestarles su colaboración y de seguir sus instrucciones en relación con las personas, los bienes, establecimientos o vehículos de cuya protección, vigilancia o custodia estuvieren encargados.

En resumen, que con el anuncio de ayer la Policía se compromete a dar información a cambio de nada que no tuviese ya (llamativa la mención a los tiempos de crisis), pero eso sí, todo justificado porque así estaremos más seguros, por supuesto... Ni que decir tiene que dar datos de las bases de datos policiales a una empresa privada para fines tales como:
"El Corte Inglés, por ejemplo, si retiene a alguna persona por hurto o robo, podrá pedir información sobre sus antecedentes policiales"
suena mucho a una cesión de datos de caracter personal, pero preguntado por ello, el Comisario Jefe ha indicado que:

"[...] las empresas no tendrán acceso a datos de carácter personal de los ciudadanos ni a investigaciones policiales abiertas o judicializadas."

Y que además, esto no supone una comunicación de datos personales puesto que:
"[...] el comisario Gándara considera que se trata solo de “confirmar” una información."

Para los que, como el comisario, no lo sepan, una comunicación de datos personales se define en la Ley Orgánica 15/1999 de Protección de Datos, como (artículo 3.i)
"toda revelación de datos realizada a una persona distinta del interesado"

El hecho de responder, en sentido negativo o afirmativo, a la existencia de antecedentes penales por parte de la policía supone una comunicación de datos, ya que esa respuesta indica informaciones sobre la persona. Pero además, que digo yo que a El Corte Inglés que más le da si me han pillado robando anteriormente, puesto que sus vigilantes lo único que pueden hacer es, artículo 11.1.d LSP
Poner inmediatamente a disposición de los miembros de las Fuerzas y Cuerpos de Seguridad a los delincuentes en relación con el objeto de su protección, así como los instrumentos, efectos y pruebas de los delitos, no pudiendo proceder al interrogatorio de aquéllos.

Por lo que si se va a poner a quien cometía un delito (o falta) a disposición de la Policía no hay ninguna razón legal para indicar a la empresa ni la mera existencia de antecedentes. Como se ve, y esto es lo preocupante, lo que se pretende no es algo que no exista ya, sino que por el tono de las declaraciones lo que parece es que se va a vender el acceso a la base de datos, si no no se explica la mención a los tiempos de crisis, de la Policía a las empresas sujetas a la Ley de Seguridad Privada. Evidentemente todo este Plan Azul necesita de la modificación de unas cuantas normas para que no termine siendo negro, pero si es como la información que se ha hecho pública presenta muchos problemas de legalidad permitir a empresas privadas acceder a los datos de los Cuerpos y Fuerzas de Seguridad del Estado. Esperemos que la Agencia Española de Protección de Datos ponga orden en este asunto, e incluso que jueces y fiscales estén atentos a estas manifestaciones, claramente preocupantes.

http://derechoynormas.blogspot.com/2012/02/la-policia-y-la-cesion-de-datos-las.html

FUENTE:Rebelión