Esta situación conllevó que los organizadores fueran en un principio sancionados por la Agencia.

Esta situación llegó a los tribunales y la Audiencia Nacional se pronunció al respecto dejando sin efecto la sanción impuesta. De la Sentencia dictada se desprenden las siguientes conclusiones:

- Origen de los datos. El origen de los datos de los compañeros es un elemento a tener en cuenta. No es lo mismo que los datos sean recabados del colegio, academia, o empresa; o que los datos se recojan de las agendas personales de los propios compañeros. Si fuesen recogidos de las agendas de los compañeros, la Audiencia Nacional entiende que se trata de un tratamiento con fines personales o domésticos, y por tanto estaría exento de la aplicación de la Ley de protección de datos, por la aplicación del artículo 2.2.a) de esta misma ley.

La cesión de los mismos a terceros para la organización del evento podría incluirse por tanto en este supuesto.

Si por el contrario los datos fuesen recabados de las entidades enunciadas anteriormente, la situación se complica. En este caso no podríamos hablar de tratamientos con fines personales o domésticos, y la entidad organizadora, o cedente de los datos tendría que tener el consentimiento del titular de los mismos para el tratamiento con la finalidad concreta de organización de eventos, fiestas…, y además el consentimiento para la cesión de estos datos a otros compañeros, o empresas que se puedan contratar para la organización del evento, identificando en lo posible a los mismos, o como mínimo la rama de actividad de las empresas cesionarias de los datos.

- Concepto de tratamiento.  El artículo 3.c) de la LOPD define el tratamiento de datos como aquellas “operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias” y según la Agencia de Protección de Datos en este caso quedó acreditado que la citada Comisión elaboró un listado que facilitó a una agencia de viajes para la promoción del evento, de suerte que ha existido recogida de datos, grabación y comunicación de los mismos e incluso cancelación, lo que acredita la existencia de tratamiento de datos. Efectivamente para la organización del efecto se realizó un tratamiento de datos, pero según la Audiencia Nacional “El criterio del tratamiento como delimitador del ámbito de aplicación del régimen de protección de la ley 15/1 999 es insuficiente… tal actividad constituye sin duda tratamiento en el sentido expresado en el artículo 3.c) antes trascrito, y sin embargo no queda sujeto al ámbito de aplicación de la ley. Lo excluye expresamente el artículo 2.2.a).”

Por todo lo expuesto os recomendamos, que antes de organizar una cena o comida de empresa, de amigos, o de familia, tengamos en cuenta que estamos realizando un tratamiento de datos, y que el mismo debe ajustarse a lo dispuesto en la Ley Orgánica de Protección de Datos, sea por su sujeción, o para la exención del mismo por la propia Ley.

Que paséis buenas fiestas.

 Áudea Seguridad de la Información.

Aurelio J. Martínez Ferre

Departarmento Derecho NNTT

www.audea.com

Además, añade que de lo contrario “no deberían hacer negocios en nuestro mercado interno”; aunque no ha aclarado como impediría Bruselas actividades de empresas extranjeras que no respeten la normativa comunitaria y hasta que punto estarían dispuestos; incluso cuando existe un altísimo porcentaje de incumplimiento por parte de las empresas comunitarias. También en este sentido ha hecho referencia a la necesidad de que las redes sociales con usuarios europeos cumplan la normativa aún cuando estén ubicados en terceros países e incluso aunque sus datos se almacenen en la nube.

Sobre la futura normativa europea ha adelantado que se deberá establecer un sistema que permita un mayor control de los datos por parte de las personas físicas, como “requerir el consentimiento explícito antes de se utilicen sus datos” para cualquier fin, además de que puedan los usuarios eliminar sus datos en cualquier momento, especialmente los que se hayan en Internet. De esta manera, esperemos se haga fuerte el derecho al olvido digital.

Europa es consciente de la perdida de control de los datos que está sufriendo la ciudadanía, debido precisamente por el desarrollo de Internet y las redes sociales, y así lo muestran las últimas encuestas realizadas por el Eurobarómetro. El 70 % de los europeos está preocupado por la utilización de sus datos personales por parte de las empresas y considera que el control que tienen sobre ellos es parcial, mientras que el 74% defienden que deberían dar su consentimiento para recoger y procesar sus datos en Internet.

Áudea Seguridad de la Información

Departamento Derecho NNTT

www.audea.com

Entre la información publicada se encuentran normativa, nombramientos, situaciones e incidencias, oposiciones y concursos, notificaciones de la Administración de Justicia, anuncios oficiales y particulares, subastas y concursos de obras y servicios, y otras disposiciones.

En un primer momento estos boletines se publicaban en papel, y a pesar de su vocación de difusión en realidad eran pocas las personas o empresas que leían estos boletines, generalmente profesionales que en su labor diaria precisaban su consulta.

Pero con el desarrollo de las tecnologías de la información, estas publicaciones han entrado en Internet. Las distintas normas que regulan estos boletines reconocen la validez jurídica de la publicación de los mismos en su versión digital. Paulatinamente se ha ido sustituyendo la edición en papel por la edición digital, de consulta mas fácil, cómoda, y universal.

En estas publicaciones es habitual que se contengan datos de carácter personal como por ejemplo en notificaciones de la Administración de Justicia, anuncios, subastas, oposiciones y concursos.

La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en adelante LOPD, reconoce a estas publicaciones el carácter de fuentes accesibles al público, pudiendo ser consultadas, y utilizar la información contenida sin el consentimiento del titular de los datos, siempre que su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, y que no se vulneren los derechos y libertades fundamentales del interesado.

Todos conocemos la importante función que los buscadores de Internet realizan en la indagación de los datos e informaciones que el internauta precisa. Un buscador es una página Web en la que se puede consultar una base de datos en la que se relacionan direcciones de páginas Web con su contenido. Su uso facilita extraordinariamente la obtención de un listado de páginas Web que contienen información sobre el tema precisado.

Por lo tanto uniendo estas dos herramientas, boletines oficiales electrónicos y buscadores en Internet, es posible localizar los datos de cualquier persona cuyo nombre aparezca en los citados boletines, sea por el motivo que sea.

Esto ha llevado a que los afectados se vean incursos en un proceso de vigilancia o escrutinio público que en ocasiones perjudica la imagen pública de esta persona. Es posible encontrar información de las infracciones administrativas y penales, puestos de trabajo de funcionarios, nombramientos, domicilios, e incluso he encontrado en alguna ocasión el lugar de celebración del matrimonio de una determinada persona.

Pero ¿es necesario que esta información aparezca de forma indefinida en la red?, ¿tiene el particular la obligación de soportar que sus datos personales puedan ser consultados y usados por todo el mundo?

La Agencia Española de Protección de datos, haciéndose eco de estas reclamaciones o reivindicaciones, se ha pronunciado en diversas ocasiones sobre esta situación. En este sentido El Gabinete Jurídico de la Agencia Española de Protección de Datos, en su Informe Jurídico 0214/2010 indica que “dado que el interesado ya se ha dado por notificado de los mencionados actos administrativos, objetivo que se pretendía con su publicación en los citados diarios oficiales, por parte de la Diputación Provincial de Córdoba y la Diputación Provincial de Cádiz, se dictaran las órdenes oportunas para limitar la indexación del nombre y apellidos de Don ……en los mencionados documentos mediante la incorporación de un código norobot.txt, con objeto de que en el futuro los motores de búsqueda de Internet no puedan asociarlo al interesado”. En este sentido no podemos obviar que la Agencia Española de Protección de Datos ya condenó a la Agencia Estatal BOE en RESOLUCIÓN Nº.: R/00078/2011 “instando a esta entidad para que adopte las medidas necesarias para evitar la indexación de los datos personales de la reclamante en sus páginas, con objeto de que en el futuro los motores de búsqueda de internet no puedan asociarlas a la reclamante”.

Igualmente en el procedimiento de tutela de derechos TD/266/2007 la Agencia Española de protección de datos manifiesta “… cabe proclamar que ningún ciudadano que ni goce de la condición de personaje público ni sea objeto de hecho noticiable de relevancia pública tiene que resignarse a soportar que sus datos de carácter personal circulen por la RED sin poder reaccionar ni corregir la inclusión ilegítima de los mismos en un sistema de comunicación universal como Internet. Si requerir el consentimiento individualizado de los ciudadanos para incluir sus datos personales en Internet o exigir mecanismos técnicos que impidieran o filtraran la incorporación inconsentida de datos personales podría suponer una insoportable barrera al libre ejercicio de las libertades de expresión e información a modo de censura previa (lo que resulta constitucionalmente proscrito), no es menos cierto que resulta palmariamente legítimo que el ciudadano que no esté obligado a someterse a la disciplina del ejercicio de las referidas libertades (por no resultar sus datos personales de interés público ni contribuir, en consecuencia, su conocimiento a forjar una opinión pública libre como pilar basilar del Estado democrático) debe gozar de mecanismos reactivos amparados en Derecho (como el derecho de cancelación de datos de carácter personal) que impidan el mantenimiento secular y universal en la Red de su información de carácter personal”.

Como conclusión podemos decir que como regla general cualquier persona no debe soportar que sus datos personales queden accesibles de por vida en Internet como consecuencia de la inclusión de sus datos en los buscadores de referencia en este medio. Y por tanto debemos a distintas circunstancias:

- La finalidad por la que fueron publicados estos datos. Si ésta fue la de notificación al interesado de un determinado acto administrativo, una vez efectuada ésta, y transcurridos los plazos de ejercicio de los posibles recursos, la finalidad quedaría cumplida, y por tanto no sería necesario el mantenimiento de estos datos para su búsqueda a través de los buscadores.

- La condición de personaje público del titular de los datos, y que el hecho sea noticiable o de relevancia pública. En consecuencia cualquier persona o hecho que no reúna estas características no debería soportar por tiempo indefinido la inclusión de sus datos en Internet. Pero esta conclusión en mi opinión merece una crítica, y es que los hechos resultan noticiables en un determinado momento, dejando de tener este carácter pasado un tiempo. Y en este sentido si transcurrido un tiempo prudencial, la noticia siguiese apareciendo mediante su examen en los buscadores indicados, el afectado debería intentar la retirada de la información de los medios donde aparezca, o como mínimo se debería evitar encontrar los datos concretos a través de estos buscadores.

Consciente del hecho que la información no puede ser retirada de los Boletines Oficiales, la Agencia Española de Protección de datos propone la aplicación de medios técnicos que eviten que los buscadores puedan encontrar estos datos personales. Consistirán en la aplicación de programas norobot.txt. Éstos lo que hacen es dar instrucciones tanto a la página Web donde se encuentre la información, como a los propios buscadores para evitar que la misma pueda ser indexada. En consecuencia la programación de estos códigos debe efectuarla tanto la Web que incluye la información, como los buscadores. Además los buscadores deberían actualizar su caché[1] para que esta información no vuelva aparecer.

Áudea Seguridad de la Información

Aurelio J. Martínez Ferre

Departamento Derecho NNTT

www.audea.com

En un primero momento el Gabinete Jurídico de la Agencia de protección de datos elaboró un informe el 140/2006 donde se respondía a una consulta plantada a la agencia sobre video vigilancia en las comunidades de propietarios y así dijo en su momento que las imágenes se considerarán datos de carácter personal si sirven para identificar a las personas que aparecen en las mismas. Estas imágenes pueden o no estar incorporadas a un fichero, puesto que aunque no se encuentren grabadas el simple hecho de la recogida de imágenes conlleva un tratamiento a los efectos del artículo 3.c) de la LO 15/1999, donde se define el tratamiento de datos como “operaciones y procedimientos técnicos de carácter automático o no, que, permiten la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias”. Por lo tanto y según el artículo 6.1 de la Ley “el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”.

En consecuencia la utilización de videocamaras será posible “siempre que no exista identificación de las personas que aparecen en las mismas o, en caso de existir, las mismas no sean incorporadas a un fichero, ya que en caso contrario será preciso el consentimiento del afectado, de forma que debería comunicarse esta circunstancia a quienes pudieran aparecer en dichas imágenes, debiendo además el fichero resultante ser inscrito en el Registro General de Protección de Datos, conforme requiere el artículo 26 de la Ley Orgánica 15/1999.

Pero aunque no se exija el consentimiento en los casos expresados “ello no exime al responsable del tratamiento del deber de informar a los afectados, en los términos establecidos en el artículo 5.1 de la Ley Orgánica el cual reza lo siguiente “ Los interesados a los que soliciten datos personales deberán ser previamente informados de modo, expreso, preciso e inequívoco:

a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos de los destinatarios de la información.

b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

d) De la posibilidad de ejercer los derechos de acceso, rectificación, cancelación y oposición.

e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.”

En cuanto al modo en que haya de facilitarse dicha información, debe tenerse en cuenta que es doctrina reiterada de la Audiencia Nacional que corresponde al responsable del fichero la prueba del cumplimiento del deber de informar, y dicha prueba no podría obtenerse en caso de una mera información verbal.

Por otra parte, esta Agencia ha venido considerando suficiente el cumplimiento del deber de información mediante la existencia de un cartel informativo siempre que el mismo resulte claramente visible por parte del afectado, quedando así garantizado que el mismo ha podido tener perfecto conocimiento de la información exigible. y Tener a disposición de los/las interesados/as impresos en los que se detalle la información prevista en el artículo 5.1 de la Ley Orgánica 15/1999.

Sin embargo posteriormente a esta resolución la Agencia de protección de datos publicó una instrucción que matizaba ésta, la Instrucción 1/2006 sobre video vigilancia de 8 de noviembre, (B.O.E. nº 296, de 12 de diciembre), regulaba el tratamiento de datos personales con fines de video vigilancia a través de cámaras o videocámaras.

El objeto de esta instrucción es garantizar los derechos de las personas cuyas imágenes son tratadas por medio de video vigilancia, adecuando estos tratamientos a los principios de la LOPD.

En relación con la instalación de sistemas de videocámaras, será necesario averiguar cuales son los bienes jurídicos protegidos y si se cumple con el principio de proporcionalidad, esto implica que si fuese posible se deberán adoptar otros medios menos intrusivos a la intimidad de las personas, con el fin de prevenir interferencias injustificadas en los derechos y libertades fundamentales. Para averiguar si se cumple con el principio de proporcionalidad el Tribunal Constitucional en su Sentencia 207/1996 determina que “Es necesario constatar si cumple los tres siguientes requisitos o condiciones: “si tal medida es susceptible de conseguir el objetivo propuesto (juicio de idoneidad); si, además, es necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia (juicio de necesidad); y, finalmente, si la misma es ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto)”.

En este sentido, la instalación de cámaras de video vigilancia sería idónea, necesaria y proporcional si la finalidad de la instalación tiene como objetivo controlar robos, actos de vandalismo, o acciones violentas habituales en la finca que se trate.

Pero seguía existiendo un problema y es que era necesario el consentimiento de los afectados por el tratamiento de datos. Como se intuye conseguir el consentimiento de todas y cada una de las personas que pudieran ser grabadas constituye un esfuerzo titánico, y probablemente imposible. Por lo tanto para que sea legítimo el tratamiento éste deberá habilitarse en una Ley. En este sentido, la AEPD considera que el tratamiento de imágenes por razones de seguridad se encuentra amparado en el artículo 5.1 e) de la Ley de Seguridad Privada, que hasta la entrada en vigor la de 25/2009, de 27 de diciembre únicamente podrían realizar las empresas de seguridad debidamente autorizadas por el Ministerio del Interior, que previamente hubiesen cumplido los requisitos legalmente establecidos, (esto es que sean empresas de seguridad autorizadas por el Ministerio del Interior previa inscripción en el Registro del mismo, y que hubieran notificado el contrato).

En el Informe jurídico 0161/2008, posterior al estudiado y ya vigente la instrucción 1/2.006 se añaden una serie de requisitos que no se contemplaban anteriormente, por ejemplo en cuanto al modo de facilitar el derecho de información a los interesados se añade un apartado en el que se indica que “se debe tener a disposición de los/las interesados/as impresos en los que se detalle la información prevista en el  artículo 5.1 de la Ley Orgánica 15/1999”. En lo que se refiere a la notificación del fichero, el artículo 7 de la Instrucción dispone que: “La persona o entidad que prevea la creación de ficheros de video vigilancia deberá notificarlo previamente a la Agencia Española de Protección de Datos, para su inscripción en el Registro General de la misma… A estos efectos, no se considerará fichero el tratamiento consistente exclusivamente en la reproducción o emisión de imágenes en tiempo real“.

El tratamiento de imágenes sólo puede realizarse por parte de las empresas de seguridad privada. La Ley 23/1992, de 30 de julio, de Seguridad Privada (LSP) regula en su artículo 1.2 que “A los efectos de la presente Ley, únicamente pueden realizar actividades de seguridad privada y prestar servicios de esta naturaleza las empresas de seguridad y el personal de seguridad privada, que estará integrado por los vigilantes de seguridad, los jefes de seguridad y los escoltas privados que trabajen en aquéllas, los guardas particulares del campo y los detectives privados”.

El artículo 5.1 e) de la LSP dispone que “Con sujeción a lo dispuesto en la presente Ley y en las normas reglamentarias que la desarrollen, las empresas de seguridad únicamente podrán prestar o desarrollar los siguientes servicios y actividades (…) Instalación y mantenimiento de aparatos, dispositivos y sistemas de seguridad”. Esta previsión se reitera en el artículo 1 del Reglamento de Seguridad Privada, aprobado por Real decreto 2364/1994, de 9 de diciembre (RSP)

De este modo, la Ley habilitaría que los sujetos previstos puedan instalar dispositivos de seguridad, entre los que podrían encontrarse las cámaras, siempre con la finalidad descrita en el citado artículo 1.1.

Para la efectiva puesta en funcionamiento de la medida, el artículo 6.1 dispone que “Los contratos de prestación de los distintos servicios de seguridad deberán en todo caso consignarse por escrito, con arreglo a modelo oficial, y comunicarse al Ministerio del Interior, con una antelación mínima de tres días a la iniciación de tales servicios”.

Por último, el artículo 7.1 establece que “Para la prestación privada de servicios o actividades de seguridad, las empresas de seguridad habrán de obtener la oportuna autorización administrativa mediante su inscripción en un Registro que se llevará en el Ministerio del Interior”.

La inscripción se regula en el artículo 2 del RSP, detallando el Anexo los requisitos que han de reunir estas empresas. No obstante, quedarían excluidas las de ámbito exclusivamente autonómico. Además, el artículo 39.1 dispone que “únicamente podrán realizar las operaciones de instalación y mantenimiento de sistemas de seguridad electrónica contra robo e intrusión y contra incendios las empresas autorizadas”.

En consecuencia, siempre que se haya dado cumplimiento a los requisitos formales establecidos en los artículos precedentes (inscripción en el Registro de la empresa y comunicación del contrato al Ministerio del Interior), las empresas de seguridad reconocidas podrán instalar dispositivos de seguridad, entre los que se encontrarían los que tratasen imágenes con fines de video vigilancia, existiendo así una habilitación legal para el tratamiento de los datos resultantes de dicha instalación, no siendo necesario el consentimiento del afectado.

La aprobación de la Ley 25/2009 (Ley  ómnibus) viene a efectuar modificaciones en diversas leyes. En la materia que nos ocupa debemos analizar el artículo 14 de la Ley 25/2009 donde señala que “La Ley 23/1992, de 30 de julio, de Seguridad Privada, queda modificada en los siguientes términos:

Uno. Se modifica la letra e) del artículo 5.1:

“e) Instalación y mantenimiento de aparatos, dispositivos y sistemas de seguridad, de conformidad con lo dispuesto en la Disposición adicional sexta”.

Dos. Se añade una Disposición adicional sexta:

 “Disposición adicional sexta. Exclusión de las empresas relacionadas con equipos técnicos de seguridad. Los prestadores de servicios o las filiales de las empresas de seguridad privada que vendan, entreguen, instalen o mantengan equipos técnicos de seguridad, siempre que no incluyan la prestación de servicios de conexión con centrales de alarma, quedan excluidos de la legislación de seguridad privada siempre y cuando no se dediquen a ninguno de los otros fines definidos en el artículo 5, sin perjuicio de otras legislaciones específicas que pudieran resultarles de aplicación.”

Por tanto, la reforma legal permite a cualquier empresa o particular realizar las actividades que se han descrito, sin necesidad de cumplir los requisitos de autorización del Ministerio del Interior, exigidos hasta la fecha.

En definitiva, la mencionada disposición determina que cualquier particular o empresa cuya actividad no sea la propia de una empresa de seguridad privada podrá; “vender, entregar, instalar y mantener equipos técnicos de seguridad” sin necesidad de cumplir las exigencias previstas en la Ley de Seguridad Privada para tales empresas. De este modo, dado que la Ley permite la instalación y mantenimiento de dichos equipos por empresas distintas a las de seguridad privada, legitima a quienes adquieran de estos dispositivos para tratar los datos personales derivados de la captación de las imágenes, sin necesidad de acudir a empresas de seguridad privada, siendo dicho tratamiento conforme a lo previsto en la Ley Orgánica de Protección de Datos de Carácter Personal y a las finalidades previstas en la Ley de Seguridad Privada, constituyendo un interés legítimo de quienes adquieran estos dispositivos. Por tanto dicho tratamiento de datos, resulta conforme con el artículo 10. 2 a) del Reglamento de desarrollo de la Ley Orgánica 15/1999, aprobado por Real Decreto 1720/2007, de 21 de diciembre que señala que “No obstante, será posible el tratamiento o la cesión de los datos de carácter personal sin necesidad del consentimiento del interesado cuando (…) Lo autorice una norma con rango de ley o una norma de derecho comunitario y, en particular, cuando concurra uno de los supuestos siguientes:

- El tratamiento o la cesión tengan por objeto la satisfacción de un interés legítimo del responsable del tratamiento o del cesionario amparado por dichas normas, siempre que no prevalezca el interés o los derechos y libertades fundamentales de los interesados previstos en el artículo 1 de la Ley Orgánica 15/1999, de 13 de diciembre.”

No obstante, la instalación de un sistema de video vigilancia conectado a una central de alarma, seguirá necesitando “que el dispositivo sea contratado, instalado y mantenido por una empresa de seguridad privada autorizada por el Ministerio del Interior y que el contrato sea notificado a dicho Departamento”.

Áudea Seguridad de la Información

Aurelio J. Martinez

Departamento Derecho NNTT

www.audea.com

Este es el primero de una serie de artículos sobre el tratamiento de datos personales en las comunidades de propietarios.

Las obligaciones que impone la LOPD y sus normas de desarrollo plantean la necesidad de que las comunidades de propietarios se adapten y cumplan escrupulosamente con la normativa de protección de datos. La organización y gestión de la comunidad de propietarios supone la existencia de al menos un fichero o tratamiento de datos personales: la de los propios integrantes de la comunidad. Existen hechos habituales de la vida de una comunidad de propietarios que conllevan la existencia y obligatoriedad de adaptar estas comunidades a lo dispuesto por la LOPD, así podríamos hablar de contratación con terceros de servicios prestados a la comunidad como el contrato con administradores externos a los propietarios de las viviendas de la comunidad, seguridad, reparaciones, limpieza…; cobro de cuotas de comunidad y como consecuencia gestión de impagados.

Según el art. 3 de la LOPD es Responsable del fichero o tratamiento la persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. Poniendo en relación esta definición con las de la Ley de Propiedad Horizontal el responsable del Fichero sería la propia Comunidad de Propietarios como persona jurídica y compuesta por tanto por la Junta de Propietarios. Esta distinción es importante puesto que nos indica que cualquier tratamiento de datos debe ser consensuado por la totalidad de los propietarios conforme a las reglas de la formación de la voluntad de los órganos de la Comunidad. En consecuencia el responsable del fichero, será el que sufra de las consecuencias de un incumplimiento de lo dispuesto en la legislación de protección de datos. Esta afirmación se corrobora por la AEPD en su informe 2000 de fecha 23-04-2.010.

Por tanto y en aplicación del art. 25 y 26 de la LOPD toda comunidad de propietarios que tenga almacenados datos de los comuneros, es decir, todas ellas, tienen obligación de crear un fichero y comunicar este a la AEPD. Esta notificación la podrá hacer el órgano de representación de la misma o bien un administrador externo a la comunidad que ejerza las funciones de administración en nombre de ésta, pero en este supuesto el responsable del fichero seguirá siendo la propia comunidad de propietarios.

La denominación del fichero dependerá de los distintos usos que se le vaya a dar al mismo. Por lo general se le denominará “Comunidad de propietarios”, para identificarlo claramente de cualquier otro fichero.

En cuanto a la finalidad del mismo sería las obligaciones propias de la llevanza de la propia comunidad así por ejemplo gestión de los datos de la comunidad de propietarios, o envío de información y documentación, asistencia a juntas y en general todo lo necesario para asegurar el correcto desenvolvimiento de la comunidad, y tendría datos como D.N.I./N.I.F., nombre y apellidos, teléfono, datos económicos, financieros, seguros, transacciones.

Puede darse la circunstancia que la comunidad tenga contratados a diversos agentes para la llevanza de tareas en la comunidad. Sería el caso de porteros, limpieza, o cualquier otro que se nos pueda ocurrir, en estos casos en mi opinión deberíamos crear un fichero diferente puesto que la finalidad del mismo sería diferente a las propias de la llevanza de la comunidad. Estaríamos en un supuesto en el que el fichero se podría denominar “Personal contratado” o “personal”, cuya finalidad sería la gestión del personal que trabaja en la comunidad o “Gestión de nominas”.

Áudea Seguridad de la Información

Aurelio J. Martínez

Departamento Derecho NNTT

www.audea.com

 Esta figura fue introducida por la Ley 3/2011, de Economía Sostenible que modificó el régimen sancionador de la Ley de Protección de Datos. Faculta a la Agencia, en casos excepcionales, para no abrir procedimiento sancionador frente al infractor y en su lugar apercibirle, entiéndase como hacerle un reproche, por los incumplimientos leves o graves que el infractor hubiese cometido, obligándole a adoptar las medidas correctoras que se estimen convenientes para restituir la situación inicial, en el plazo indicado por la Agencia, y que no se vuelva a producir el incumplimiento de la Ley por los mismos motivos.

 Si no se restituyese la situación en el plazo indicado, la Agencia continuaría con la apertura del procedimiento sancionador.

 Para la aplicación de esta nueva figura se exigen unos requisitos previos o principales, que son que el infractor no fuese sancionado o apercibido con anterioridad y que los hechos fuesen constitutivos como infracción leve o grave según la propia Ley; y unos requisitos accesorios, que no por ello menos importantes, regulados en el art. 45.4 y 45.5 de la misma Ley como pudieran ser el reconocimiento de la responsabilidad, la intencionalidad, volumen de negocio, beneficios obtenidos, regularización de la situación irregular de forma diligente…

 La Audiencia Nacional por su parte también está reconociendo la aplicación de esta figura, cuando la Agencia Española no lo ha hecho, y se cumplen los requisitos exigidos en la Ley (Sentencia de 17 de junio de 2011).

 El procedimiento a seguir sería el siguiente:

 La AEPD recibe denuncia sobre posible vulneración del derecho a la protección de datos de carácter personal. Abre expediente sobre comprobación de los hechos, previa a la apertura del expediente sancionador. En fase de comprobación la AEPD puede solicitar al presunto infractor cuanta documentación estime pertinente. Aunque la LOPD no indica nada sobre el derecho de defensa del presunto infractor, en aplicación del art. 79 de la Ley 30/92 del Procedimiento Administrativo, éste podrá realizar cuantas alegaciones estime conveniente; y realizar comprobaciones presenciales, y en este caso el inspector redactará un acta que será ofrecida para la firma del investigado donde éste podrá efectuar también alegaciones. Como motivos de defensa, en ambos casos,  además de los materiales, podríamos aludir a motivos formales o de procedimiento, como pudieran ser los de prescripción de los hechos.

 Si se comprueba que efectivamente se está vulnerando el derecho, la Agencia puede actuar de dos modos diferentes.

 1º Aplicar la figura del apercibimiento. Para ello deberá comprobar la concurrencia de los requisitos exigidos comentados anteriormente para que se aplique. En este punto, y recordando que uno de los requisitos aplicables es la no sanción o apercibimiento anterior, indicar que si anteriormente el infractor hubiese sido sancionado, o apercibido con anterioridad, se debería comprobar que la sanción hubiere prescrito, en cuyo caso se podría aplicar nuevamente el apercibimiento.

 Se le concederá plazo para que realice las medidas correctoras propuestas, y en el caso de que no las aplicara se abriría expediente sancionador.

  2º Abrir expediente sancionador, en cuyo caso y si al término del mismo se impusiera sanción calificada como leve o grave el sancionado podría recurrir ante la Audiencia Nacional solicitando la aplicación de la figura del apercibimiento, si se diesen los presupuestos habilitantes.

 La aplicación de esta figura supone una nueva oportunidad para la empresa infractora de adaptarse a los requerimientos de la normativa vigente en materia de protección de datos, pero no olvidemos que en teoría sólo se puede aplicar una vez, por lo que lo deseable es que no se tenga que recurrir a ella nunca.

 Aurelio José Martínez

Departamento legal

www.audea.com

Áudea Seguridad de la Información

Karol Sedkowski

Consultor Legal

www.audea.com

La AEPD, ente de derecho público con personalidad jurídica propia, tiene entre sus funciones la del ejercicio de la potestad sancionadora, y el ejercicio de esta actividad de policía es el punto más controvertido de la regulación española en materia de protección de datos, pues impone sanciones en muchos casos desproporcionadas a la gravedad de los hechos, o la actuación de los sujetos infractores, dando lugar a situaciones de flagrante desequilibrio, sobre todo si ponemos la lupa en el derecho comparado, tanto internacional (es la legislación más restrictiva de la Unión Europea) como interno.

Así, Samuel Parra señala en su blog que la amputación del dedo de un menor que trabajaba ilegalmente, manipulando maquinaria peligrosa sin las medidas de seguridad legalmente establecidas, dio lugar a una sanción para la empresa responsable de 30.000 €, según la normativa de Prevención de Riesgos Laborales, mientras que el envío de cartas a domicilios de antiguos compañeros de colegio por parte de un particular, incumpliendo las exigencias legales de protección de datos, tuvo como consecuencia una multa de 60.000 €.

Tampoco ayuda demasiado  para empatizar con la actitud de la AEPD el hecho de que la misma se autofinancie con el importe de las sanciones aplicadas. Si bien es verdad que son los Presupuestos Generales del Estado los que financian al ente público, y la cuantía recaudada en concepto de multas va ha parar a una cuenta no dedicada a gastos corrientes de la misma, la percepción general es que es el afán recaudatorio, por encima del ánimo educador, lo que prima en la actuación de la AEPD.

En cualquier caso, no dudamos que la imposición de multas no consiga el efecto deseado en muchos casos, pero la impresión es que más que concienciación lo que genera es pánico en las empresas, que muchas veces no saben como actuar, y que en no pocos casos se ven incapaces de llevar a cabo todas las medidas de seguridad que exige la normativa, debido a la imposibilidad material o económica de su puesta en práctica. La situación se agrava con la aplicación por parte de la AEPD del art. 130 de la Ley 30/92, que admite que “sólo podrán ser sancionadas por hechos constitutivos de infracción administrativa las personas físicas y jurídicas que resulten responsables de los mismos aun a título de simple inobservancia”. Por tanto, la mera falta del deber de cuidado puede dar lugar a sanción, sin entrar a valorar la culpabilidad del infractor, al que se le impone una obligación de resultado tal y como ha señalado la Audiencia Nacional en Sentencia de 6 de febrero de 2008.

La reforma del régimen sancionador de la LOPD, operada recientemente con la aprobación de la Ley de Economía Sostenible, ha paliado en parte esta situación, y purga algunos de los excesos de la normativa anterior, situando más el enfoque en el fomento del respeto a la protección de datos, incentivando los mecanismos de advertencia y seguimiento a través de la figura del apercibimiento (en caso de infracciones leves o graves por parte de infractores “primerizos”), que requiere la adopción de las correspondientes medidas, y permitiendo la graduación de la imposición de multas en función de las circunstancias concurrentes en la infracción.

Es éste, bajo nuestro punto de vista, el enfoque necesario que debe adoptar la legislación española, que en momentos tan críticos como los que vivimos actualmente no puede permitirse un régimen sancionador tan gravoso, sobre todo si lo comparamos con el de otros países cuya situación económica y tejido empresarial goza de una situación bastante más saludable que la nuestra.

Debemos aprovechar las sinergias positivas que ha dejado a su paso la aplicación de un régimen sancionado tan duro, para abrir el camino a una nueva etapa en la que la educación y la concienciación, acompañadas como no de una proporcionada aplicación de medidas punitivas siempre aparejadas de instrumentos correctores y aseguradores, sean los que guíen la senda del objetivo marcado: el respeto al derecho fundamental consagrado en el artículo 18 de la Constitución Española.

Áudea Seguridad de la Información

Javier Villegas

Consultor Legal

www.audea.com

Lo que para algunos es tan solo una ramificación más del buscador de Google, que parametra las búsquedas explicitándolas exclusivamente a las noticias publicadas por los medios informativos, supone para otros muchos una explotación en toda regla de contenidos ajenos por parte de Google sin consentimiento ni acuerdo previo.

A los que aún no conozcan en que consiste “Google News”: http://news.google.es/

Como podemos observar, la estructura de la web es distinta a la del buscador genérico, ya que se articula en secciones que imitan la fisonomía de las ediciones de los diarios online. Sin embargo, Google News se limita a publicar un extracto de apróximadamente 250 caracteres de la fuente original de la noticia a la que enlaza, indicando a continuación hipervínculos de otras noticias sobre el tema, y con fotografías que no tienen por qué corresponderse con la fuente original.

La gran disquisición sobre la que sustentar todo el razonamiento jurídico es la siguiente: ¿actúa “Google News” como un mero prestador de servicios de intermediación, o es a su vez un explotador de contenidos ajenos?

De acuerdo a la normativa española, resulta harto difícil poder demostrar que “Google News” sea un prestador de servicios de la sociedad de la información explotador de contenidos de terceros, más aún si tenemos en cuenta la valoración que en reiteradas sentencias han hecho de los buscadores o “intermediarios” (páginas P2P, empresas de hosting, etc.) los jueces y tribunales españoles.

Google News, de acuerdo de la Ley de Servicios de la Sociedad de la Información (en adelante LSSI), es un prestador de servicios de intermediación:

“ANEXO Definiciones LSSI:

b. Servicio de intermediación: servicio de la sociedad de la información por el que se facilita la prestación o utilización de otros servicios de la sociedad de la información o el acceso a la información.

Son servicios de intermediación la provisión de servicios de acceso a Internet, la transmisión de datos por redes de telecomunicaciones, la realización de copia temporal de las páginas de Internet solicitadas por los usuarios, el alojamiento en los propios servidores de datos, aplicaciones o servicios suministrados por otros y la provisión de instrumentos de búsqueda, acceso y recopilación de datos o de enlaces a otros sitios de Internet.”

Por tanto, no existe diferenciación a efectos legales entre la actividad realizada por el buscador clásico de Google y la que lleva a cabo Google News, ya que ésta no selecciona o clasifica titulares como cualquier medio de noticias o directorio de información, sino que utiliza el algoritmo de su buscador, limitándose a referenciar la noticia mediante la publicación del titular y una breve reseña con el inicio de la misma, vinculándola al sitio web de procedencia de la misma. La diferencia viene marcada por la especificidad de la temática objeto de la búsqueda de Google News, esto es, noticias de portales de información.

Sobre esta base argumental, carece de fundamento jurídico el imputar a Google cualquier tipo de violación de derecho de propiedad intelectual. Google News no se apropia de la obra del portal informativo, no la comunica públicamente ni la reproduce parcialmente, sino que la referencia o “cita”. Hemos de recordar en este punto lo que establece el Texto Refundido de la Ley de Propiedad Intelectual (en adelante TRLPI) en su artículo 17:

“Corresponde al autor el ejercicio exclusivo de los derechos de explotación de su obra en cualquier forma y, en especial, los derechos de reproducción, distribución, comunicación pública y transformación, que no podrán ser realizadas sin su autorización, salvo en los casos previstos en la presente Ley.”

Y la ley en su artículo 32 señala como límite de los derechos de autor, entre otros:

“(…) la inclusión en una obra propia de fragmentos de otras ajenas de naturaleza escrita, sonora o audiovisual, así como la de obras aisladas de carácter plástico o fotográfico figurativo, siempre que se trate de obras ya divulgadas y su inclusión se realice a título de cita o para su análisis, comentario o juicio crítico. Tal utilización sólo podrá realizarse con fines docentes o de investigación, en la medida justificada por el fin de esa incorporación e indicando la fuente y el nombre del autor de la obra utilizada.

Las recopilaciones periódicas efectuadas en forma de reseñas o revista de prensa tendrán la consideración de citas. No obstante, cuando se realicen recopilaciones de artículos periodísticos que consistan básicamente en su mera reproducción y dicha actividad se realice con fines comerciales, el autor que no se haya opuesto expresamente tendrá derecho a percibir una remuneración equitativa. En caso de oposición expresa del autor, dicha actividad no se entenderá amparada por este límite.”

El hecho de que los editores sean libres de elegir si quieren o no que sus contenidos estén presentes en Google News, aclara aún más la situación a favor de Google, y deviene innecesario un hipotético ejercicio de la acción de cesación en virtud de una presunta infracción de derechos de autor. Si un diario considera que, por las razones que sea, no quiere aparecer en el buscador, no tiene más que solicitarlo, pudiendo incluso hacerlo directamente incorporando a sus páginas atributos como “no index”, “no archive” o “no snippet”, que inmediatamente evitarían su uso por parte de este tipo de servicios.

En definitiva, el ejercicio de acciones contra Google News parte un intento desesperado por parte de los editores (emulando a las grandes operadoras de telecomunicaciones) de recibir una parte del pastel que tan bien ha cocinado Google, más que por resarcir un supuesto daño comercial derivado de un furtivo ataque a la propiedad intelectual.

Audea Seguridad de la Información S.L.

Departamento Legal

Javier Villegas Flores

www.audea.com

En ámbito general, según información publicada, hemos conocido innumerables casos de fraude y de negligencia por aquello de la mala praxis y la mala gestión de la información en sitios de Internet, al igual que hemos visto muchísimas denuncias de afectados por ésta serie de situaciones, sin embargo, las aplicaciones “espía”, creadas por hackers, parecen no tener control y de hecho cada día se reproducen a la velocidad de la luz; por ejemplo, en la red social Facebook, existen varias aplicaciones que no son fiables, hablamos desde la configuración de “privacidad” hasta un botón de “No me gusta”, creado para estar a disgusto con un comentario o una fotografía publicada, éste tipo de aplicación es capaz de mostrar desde quienes han estado viendo tu perfil en las ultimas semanas, quienes han podido ver tus fotos e incluso saber el tiempo que han estado navegando en tu site. Ahora bien, al usuario, quizás le parece “interesante” tener un control de las personas y/o empresas que visitan su perfil, sobretodo cuando se ha tomado la tarea de “personalizarlo” para que sea más atractivo o diferente al resto, pero ¿cómo acceden a tu perfil privado con éste tipo de aplicaciones?.

Una de las maneras más comunes es copiar y pegar enlaces donde supuestamente bajas la aplicación, de ésta manera y a través de un código informático los hackers pueden acceder al servidor y posteriormente a tu perfil o sitio privado en la red; a veces dan acceso a publicidades pornográficas “pop up” de ventas de software para móviles con aplicaciones de rayos X para las cámaras de video

También existen algunas otras aplicaciones, quizás las más populares, que funcionan como fuentes de información de datos confidenciales para las empresas de publicidad, y así se han obtenido cifras de unos 25mil anunciantes y algunos más, que han recaudado información confidencial a través de éstos software.

Desde Audea, hacemos un llamado a la reflexión, dando a conocer los daños que ocasionan ésta mala utilización de los recursos informáticos que se aprovechan de la evolución tecnológica y la demanda que esto acarrea, sobre todo en la juventud que en muchos casos llegan a ser víctimas reales por no tener demasiado sentido común. Las penalizaciones en las que proceden éstos hechos considerados como delitos, se transforman en grandes cantidades de dinero y crean una mala reputación online que implementando un poco de consciencia, no habría necesidad de tener.

Audea Seguridad de la Información

Departamento de Comunicación

Eugenia Moreau

www.audea.com