Los abogados especializados en Protección de Datos están viendo cómo aumentan los casos de denuncias en Castilla y León. Hasta un 15% en un año, según la memoria de la Agencia Española de Protección de Datos publicada este mes de septiembre.
Ese incremento del 15% se ha traducido en un aumento de hasta el 57% en las sanciones finalmente impuestas por la autoridad de control.
En total, en la Comunidad se sumaron 253 denuncias a lo largo de 2011, y el mayor incremento con respecto a 2010 se produjo en la provincia de León, donde con 58 denuncias aumentaron un 58,3%. Mientras tanto, en Salamanca el número se elevó hasta 39, un 50% más que en 2010; en Palencia, un 27,3%; y en Valladolid, un 23,6%. Sin embargo, hubo provincias en las que la cantidad de procedimientos fue menor, como en Burgos.
El asunto se remonta a enero de 2011, cuando 18 trabajadores vinculados al Ayuntamiento de Pájara presentan una denuncia conjunta ante la Agencia Española de Protección de Datos en la que indican que en los pliegos de condiciones, tanto técnicas como administrativas, que el Ayuntamiento de Pájara tiene publicados en la página web de Contrataciones del Estado, se incluye un anexo de personal adscrito en el que figuran los datos personales de 35 trabajadores, incluyendo los nombres y apellidos, categoría, fecha de ingreso, antigüedad, tarifa de cotización y salario anual los trabajadores.
Los datos publicados correspondían a los trabajadores de la empresa Emergencias y Seguridad SLU, quien mediante acuerdo del pleno del Ayuntamiento del año 2000 resultó adjudicataria de la concesión del servicio público de rescate, salvamento, vigilancia del litoral y unidad mínima contraincendios del Ayuntamiento de Pájara.
El alcalde de la corporación, Rafael Perdomo, alegó a requerimiento de la Agencia que no necesitaba del consentimiento de estos trabajadores para publicar sus datos libremente en Internet pues actuaba en el ejercicio de una competencia administrativa. Sin embargo, la Agencia Española de Protección de Datos afirma que publicar los datos de los trabajadores por parte del Ayuntamiento majorero, que no es la empresa con la que mantienen la relación laboral, sí que precisaría del consentimiento, pues resulta una cesión en cuanto al hecho de dar a conocer a terceros ciertos datos.
Por ello, la citada Agencia nacional determinó que el Ayuntamiento de Pájara vulneró el principio de consentimiento recogido en la Ley, declarando expresamente que "la conducta ilícita por la que se declara la infracción al Ayuntamiento de Pájara como responsable del tratamiento consiste en usar datos sin consentimiento de sus titulares al ponerlos a disposición de terceros en general en la web de la plataforma de Contratación del Estado".
Samuel Parra, de la firma ePrivacidad, señaló que las infracciones que comenten las Administraciones públicas en materia de protección de datos no llevan, a diferencia de lo que ocurre con las entidades privadas, "la imposición de una sanción económica, sino solamente la declaración de dicha infracción; si esta misma infracción la hubiera cometido una empresa, la sanción habría oscilado entre los 40.001 y los 300.000 euros"
La Directiva de la Comisión Europea sobre protección de datos entró en vigor en octubre de 1998, y prohíbe la transferencia de datos de carácter personal a países no pertenecientes a la Unión Europea, que no cumplen con la adecuación estándar de protección de datos dentro de la Unión Europea.
Cualquier entidad estadounidense que quiera ser receptora de transferencias internacionales de datos de carácter personal procedentes de la Unión Europea, tienen que adherirse al acuerdo Safe Harbor (Puerto Seguro). Por lo que, si una organización está adherida a dicho acuerdo, se considera que cumple con los principios de privacidad necesarios, y el destino es “confiable”.
Desde los inicios, este acuerdo ha recibido multitud de críticas en cuanto a lo sencillo que resulta obtener el certificado y las pocas garantías que éste ofrece: para obtenerlo basta con abonar las tasas correspondientes y hacer una declaración en la cual se compromete a cumplir con 7 principios de privacidad:
- Notice: Deber de información (o notificación). Las entidades adheridas a Safe Harbor deben informar a los interesados de las finalidades para las cuales han sido recabados sus datos y sobre la forma en que se utilizarán.
- Choice: El principio del principio del consentimiento del afectado. Corresponde al interesado o afectado el poder decidir acerca de la recogida y la transferencia de sus datos de carácter personal a terceros.
- Transfers to Third Parties: Sólo será posible la transferencia de datos cuando las entidades o países destinatarios estén suscritos al acuerdo Safe Harbor o sean países miembros de la Unión Europea.
- Access: Las personas deben ser capaces de acceder a la información y corregirla o eliminarla si no es exacta, a efectos de poder ejercitar los derechos ARCO.
- Security: El principio de seguridad de los datos: “adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado”.
- Data Integrity: El principio de calidad de los datos. Los datos deben ser fiables y consecuentes con el propósito para el que fueron recopilados.
- Enforcement: Este principio se refiere a la concreta aplicación o ejecución de todo lo que conlleva Safe Harbour. Es un principio controvertido por su ambigüedad, que dispone que para garantizar el cumplimiento de los postulados de Safe Harbor, deben articularse mecanismos independientes de resolución de conflictos y de verificación del cumplimiento de los principios Safe Harbor, con potestad para sancionar, en su caso.
Una de las graves deficiencias de dicho acuerdo, es que la verificación del cumplimiento, la realizan las propias entidades sin un control externo, en España, estas competencias son asumidas por la Agencia Española de Protección de Datos. Esto, unido a la libre interpretación de los principios, hace que el nivel de protección o acceso aplicado a la información pueda ser insuficiente.
A parte, otros estudios sobre Safe Harbor han dado como resultado un escandaloso descontrol en cuanto a las empresas adheridas a este marco: listado desfasado de empresas (donde aparecen entidades que ya no existen o que han quedado fuera de Safe Harbor), empresas incluidas en la relación de entidades adheridas pero que carecen de política de privacidad y, lo más preocupante, la mayoría de empresas adheridas no cumplía con el séptimo principio (o lo hacían impracticable), relativo al mecanismo de resolución de controversias.
La filtración de un documento relativo al proyecto Clean IT ha suscitado diversas opiniones en lo que se refiere al control y vigilancia en Internet. Según el diario The Telegraph, en dicho documento se contempla la vigilancia por parte miembros policiales para “patrullar” las redes sociales mediante la creación de perfiles en las mismas. De esta manera, podrían unirse a grupos creados en dichas redes así como mandar y recibir mensajes en dichas plataformas.
Por un lado, hay quienes afirman que dicha vigilancia y control policial podría dar lugar a la intromisión ilegítima en la intimidad de los afectados vulnerándose, probablemente, aspectos de su privacidad. En efecto, si el Centro Nacional de Coordinación Antiterrorista llevase a cabo un “perfil falso”, aquellos perfiles reales que contactasen con el mismo podrían revelar ciertos aspectos de su intimidad que, de haber sabido la identidad real del “perfil falso”, no habrían revelado.
Por otro lado, hay quienes alegan que, en defensa de seguridad de los estados miembros y de sus ciudadanos, deben realizarse ciertas acciones de control y vigilancia incluso cuando ello pueda comprometer la intimidad y privacidad de los ciudadanos europeos.
En cualquier caso, debe tenerse en cuenta que este proyecto únicamente pretende establecer unas directrices para controlar y vigilar las conductas relacionadas con el terrorismo en Internet. De esta manera, se pretende vincular al sector público y al sector privado para que se lleve a cabo una cooperación a fin de frenar el uso de Internet como medio de comunicación para los terroristas. Se trata, tal y como puede comprobarse de la información aportada por la Unión Europea sobre el proyecto, de una iniciativa totalmente transparente y participativa por parte de ambos ámbitos. De hecho, en este sentido, pretende publicarse todos los debates llevados a cabo en relación al proyecto de manera que se haga pública toda la información respecto al mismo.
Teniendo en cuenta lo anterior, al ser un proyecto a nivel europeo que pretende sentar unas directrices, éstas deberán respetar en todo momento la normativa comunitaria y la nacional de los estados miembros. En este sentido, respecto a la normativa de protección de datos española, debemos tener en cuenta que la Ley Orgánica de Protección de Datos (LOPD) no será de aplicación “para aquellos ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada. No obstante, en estos supuestos el responsable del fichero comunicará previamente la existencia del mismo, sus características generales y su finalidad a la Agencia Española de Protección de Datos” (artículo 2 apartado c).
Es decir, siguiendo la excepción de la Directiva 95/46/CE sobre la excepción al tratamiento de datos que tenga por objeto la seguridad pública, la defensa y la seguridad del Estado; no será de aplicación la LOPD cuando el tratamiento de los datos durante la actividad policial se limite a la investigación del terrorismo. Al ser así, el organismo que lleve a cabo la actividad policial estaría exento de las obligaciones de la normativa española de protección de datos salvo por lo exceptuado en el citado artículo.
Además, en la misma línea, debe recordarse que, en caso de que fuese de aplicación la normativa de protección de datos porque el supuesto de hecho cambie, cualquier cesión de datos que hiciese una persona física, incluso en nombre de una persona jurídica, a las fuerzas y cuerpos de seguridad del Estado sobre actos relacionados con delitos públicos no necesitaría el consentimiento del actor al estar exceptuado dentro del artículo 11.2 a) en relación con el artículo 259 y 262 de la Ley de Enjuiciamiento Criminal tal y como establece el informe 213/2004 de la Agencia Española de Protección de datos.
Por otro lado, no obstante, debe tenerse en cuenta que la no aplicabilidad de la normativa de protección de datos no exime del cumplimiento por parte de los organismos públicos y privados del resto de derechos de los afectados, muchos de ellos constitucionales. Entre ellos, cabría destacar el derecho a la intimidad y a la propia imagen, la libertad de expresión, el honor, la dignidad y el secreto a las comunicaciones de los afectados -aunque si bien este último puede ser suspendido para personas determinadas en relación con las investigaciones correspondientes a la actuación de bandas armadas o elementos terroristas-.
En este sentido, el pleno respeto a los citados derechos lo confirma el borrador del proyecto Clean IT al señalar en sus principios el deber de cumplir con las leyes nacionales y europeas respetando en todo momento los derechos fundamentales y las libertades de los ciudadanos, incluidas entre ellas, el acceso a Internet, el derecho de reunión, la libertad de expresión, la privacidad y la protección de datos de los afectados.
Por último, debemos tener en cuenta que si Centro Nacional de Coordinación Antiterrorista crease un perfil falso para recabar información relacionada con actividades terroristas que, incluida la personal de los afectados, estuviese relacionada con actividades terroristas, la acción del creación del perfil no sería tipificada como una usurpación de identidad de acuerdo con el artículo 401 del Código Penal puesto que para que dicho artículo opere, una persona ha de hacerse pasar por otra – además de manera completa tal y como entiende la jurisprudencia-, sin que se considere que haya usurpación del estado civil cuando el perfil no corresponda con la identidad real de alguien en particular.
Así las cosas, parece que el nuevo proyecto Clean IT estaría cumpliendo con la normativa española vigente siempre y cuando se respete el resto de derechos fundamentales recogidos a nivel nacional y comunitario así como otro tipo de derechos internacionales que resulten de aplicación.
Fuente
El pasado 12 de septiembre tuvo lugar en el Salón de Actos del Ilustre Colegio de Abogados de Madrid, el Foro DENAE La publicidad comportamental y la protección de datos personales, un tema de gran actualidad como consecuencia de la reciente implementación en España de la normativa europea sobre “cookies”, que supedita la instalación de estos pequeños dispositivos de rastreo en los navegadores de los usuarios a la obtención del consentimiento previo e informado de los mismos.
Moderado por Cristina Sirera, Abogada, CIPP/E y Directora del Curso Avanzado de Protección de Datos del IE Law School la jornada contó con relevantes expertos en la materia, entre los que se encontraban representantes de la industria de la publicidad online y la propia Agencia de Protección de Datos. Todos los ponentes coincidieron en que nos encontrábamos ante una situación transitoria hasta que la Agencia Española de Protección de Datos exprese su opinión respecto a la aplicación efectiva de la nueva normativa.
Francisco Pérez Bes, abogado en LADBROKES INTERNATIONAL PLC, abrió la sesión advirtiendo que esta regulación no sólo se refiere a las “cookies”, y que hay herramientas y dispositivos que, con la misma finalidad, pueden acabar superando la normativa existente. Por su parte, Analore García, Directora del Departamento Jurídico de ANTEVENIO, puso de manifiesto el deseo de la industria y de las empresas del sector afectadas por esta normativa de cumplir con la normativa aplicable, y explicó la situación de intenso y rápido cambio ante las nuevas aplicaciones emergentes y formas de hacer publicidad con las que se encuentra la industria. Paula Ortiz, Directora de la Asesoría Jurídica de IAB SPAIN, expuso las diferentes maneras en las que se podría gestionar el consentimiento del usuario a la luz de la nueva normativa, valorando el consentimiento tácito del usuario a las “cookies” como la opción más viable. Asimismo, anunció que IAB Spain, Adigital y Autocontrol están preparando una propuesta de fórmulas para la gestión de las “cookies” que presentarán a la Agencia de Protección de Datos y que tendrán como base fórmulas de consentimiento tácito. Finalmente, Jesús Rubí. Adjunto al Director de la AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS, informó que la Agencia no tiene una posición cerrada sobre cómo ha de ser el consentimiento y expuso que la Agencia quiere adoptar soluciones que nazcan de la industria, cumplan los requisitos legales y den garantías a los ciudadanos.
La Jornada concluyó con un turno de preguntas por los asistentes donde se debatió lo complejo que es cumplir con los requisitos legales de la nueva normativa, la evolución tecnológica y la multiplicación de dispositivos desde los que se navega.