Organización de eventos familiares o de amigos y LOPD.
Llega la Navidad, y con ella las reuniones de familias, amigos, y compañeros de promoción, de cursos, o de trabajo. Para ello es habitual que con motivo de la reunión, alguien del grupo, o una comisión creada al efecto, se dedique a contactar con todos para citarse en un sitio y en una fecha concreta y celebrar el evento preparado. Hasta aquí el procedimiento nos suena habitual, y en principio no tiene nada de particular. Hasta que la Agencia Española de Protección de Datos, AEPD, se le ocurrió indagar sobre estos supuestos, y concluyó que el tratamiento de los datos de los compañeros de promoción de una academia militar por parte de una Comisión creada al efecto por varios colegas para la organización de una comida de confraternidad incumplía la Ley de protección de datos, y pretendía sancionar a los organizadores con una multa de 6.010,12 euros al no contar éstos con el consentimiento de los compañeros de promoción para el tratamiento de sus datos y crear un fichero con la finalidad de organizar el evento.
Esta situación conllevó que los organizadores fueran en un principio sancionados por la Agencia.
Esta situación llegó a los tribunales y la Audiencia Nacional se pronunció al respecto dejando sin efecto la sanción impuesta. De la Sentencia dictada se desprenden las siguientes conclusiones:
- Origen de los datos. El origen de los datos de los compañeros es un elemento a tener en cuenta. No es lo mismo que los datos sean recabados del colegio, academia, o empresa; o que los datos se recojan de las agendas personales de los propios compañeros. Si fuesen recogidos de las agendas de los compañeros, la Audiencia Nacional entiende que se trata de un tratamiento con fines personales o domésticos, y por tanto estaría exento de la aplicación de la Ley de protección de datos, por la aplicación del artículo 2.2.a) de esta misma ley.
La cesión de los mismos a terceros para la organización del evento podría incluirse por tanto en este supuesto.
Si por el contrario los datos fuesen recabados de las entidades enunciadas anteriormente, la situación se complica. En este caso no podríamos hablar de tratamientos con fines personales o domésticos, y la entidad organizadora, o cedente de los datos tendría que tener el consentimiento del titular de los mismos para el tratamiento con la finalidad concreta de organización de eventos, fiestas…, y además el consentimiento para la cesión de estos datos a otros compañeros, o empresas que se puedan contratar para la organización del evento, identificando en lo posible a los mismos, o como mínimo la rama de actividad de las empresas cesionarias de los datos.
- Concepto de tratamiento. El artículo 3.c) de la LOPD define el tratamiento de datos como aquellas “operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias” y según la Agencia de Protección de Datos en este caso quedó acreditado que la citada Comisión elaboró un listado que facilitó a una agencia de viajes para la promoción del evento, de suerte que ha existido recogida de datos, grabación y comunicación de los mismos e incluso cancelación, lo que acredita la existencia de tratamiento de datos. Efectivamente para la organización del efecto se realizó un tratamiento de datos, pero según la Audiencia Nacional “El criterio del tratamiento como delimitador del ámbito de aplicación del régimen de protección de la ley 15/1 999 es insuficiente… tal actividad constituye sin duda tratamiento en el sentido expresado en el artículo 3.c) antes trascrito, y sin embargo no queda sujeto al ámbito de aplicación de la ley. Lo excluye expresamente el artículo 2.2.a).”
Por todo lo expuesto os recomendamos, que antes de organizar una cena o comida de empresa, de amigos, o de familia, tengamos en cuenta que estamos realizando un tratamiento de datos, y que el mismo debe ajustarse a lo dispuesto en la Ley Orgánica de Protección de Datos, sea por su sujeción, o para la exención del mismo por la propia Ley.
Que paséis buenas fiestas.
Áudea Seguridad de la Información.
Aurelio J. Martínez Ferre
Departarmento Derecho NNTT
www.audea.com
La Unión Europea defiende que las empresas se sometan a las leyes de Protección de Datos
Viviane Reding, vicepresidenta dela Comisión Europeay responsable de Justicia ha defendido, a pocos meses de quela Comisiónpresente propuestas legislativas para actualizar la directiva de Protección de Datos de 1995, que “las compañías que dirigen sus servicios a los consumidores europeos deben estar sujetas a la legislación de protección de datos europea”.
Además, añade que de lo contrario “no deberían hacer negocios en nuestro mercado interno”; aunque no ha aclarado como impediría Bruselas actividades de empresas extranjeras que no respeten la normativa comunitaria y hasta que punto estarían dispuestos; incluso cuando existe un altísimo porcentaje de incumplimiento por parte de las empresas comunitarias. También en este sentido ha hecho referencia a la necesidad de que las redes sociales con usuarios europeos cumplan la normativa aún cuando estén ubicados en terceros países e incluso aunque sus datos se almacenen en la nube.
Sobre la futura normativa europea ha adelantado que se deberá establecer un sistema que permita un mayor control de los datos por parte de las personas físicas, como “requerir el consentimiento explícito antes de se utilicen sus datos” para cualquier fin, además de que puedan los usuarios eliminar sus datos en cualquier momento, especialmente los que se hayan en Internet. De esta manera, esperemos se haga fuerte el derecho al olvido digital.
Europa es consciente de la perdida de control de los datos que está sufriendo la ciudadanía, debido precisamente por el desarrollo de Internet y las redes sociales, y así lo muestran las últimas encuestas realizadas por el Eurobarómetro. El 70 % de los europeos está preocupado por la utilización de sus datos personales por parte de las empresas y considera que el control que tienen sobre ellos es parcial, mientras que el 74% defienden que deberían dar su consentimiento para recoger y procesar sus datos en Internet.
Áudea Seguridad de la Información
Departamento Derecho NNTT
www.audea.com
El apercibimiento en la LOPD
La Agencia Española de Protección de datos ya está aplicando la figura del apercibimiento regulada en el artículo 45.6 de la LOPD.
Esta figura fue introducida por la Ley 3/2011, de Economía Sostenible que modificó el régimen sancionador de la Ley de Protección de Datos. Faculta a la Agencia, en casos excepcionales, para no abrir procedimiento sancionador frente al infractor y en su lugar apercibirle, entiéndase como hacerle un reproche, por los incumplimientos leves o graves que el infractor hubiese cometido, obligándole a adoptar las medidas correctoras que se estimen convenientes para restituir la situación inicial, en el plazo indicado por la Agencia, y que no se vuelva a producir el incumplimiento de la Ley por los mismos motivos. (más…)
El Día Internacional de la Internet segura se centró en los menores de edad
Con motivo de la octava edición del Día Internacional de la Internet segura se han publicado diversos trabajos y guías para que los usuarios tengan una experiencia en Internet segura y sin problemas.
De este modo, Yahoo! Ha lanzado Yahoo! Seguridad, una web que ofrece información para padres y educadores sobre como informar a los menores de las medidas para evitar el ciberacoso, como gestionar la identidad online y aprender a utilizar de una forma segura los terminales móviles. Como complemento, la compañía ha habilitado una entrada en Yahoo! Respuestas con consejos e información sobre la seguridad en la red y pidiendo a los usuarios su participación, aportando sus propios consejos o experiencias.
Microsoft también ha participado de este día con la creación de yonavegoseguro.com, donde se ofrece al usuario un gran número de material documental y grafico con el propósito de ayudar al usuario a tener una experiencia satisfactoria y segura cuando navega por la web. Especial atención ha puesto la compañía norteamericana en la protección de los menores de edad, lanzando un software que permitirá a los padres estar al tanto de los movimientos que realiza su hijo en Internet, además de habilitar un mail donde se pueden denunciar contenidos ilícitos en cualquiera de los servicios que presta la compañía.
Dentro de nuestras fronteras, ha sido la Agencia Española de Protección de Datos quien ha publicado recientemente unos consejos dirigidos a los jóvenes que navegan por Internet. La AEPD recuerda que los menores deberían tener un acceso controlado a la red y ser educados en los peligros que acechan en la web cuando no se hace un uso responsable de los datos personales. Aprovechando este evento, la AEPD ha vuelto a reiterar la importancia de crear por parte de los portales que contienen datos personales de menores, herramientas que permitan comprobar la edad del menor así como la autenticidad del consentimiento prestado por los padres si fuera el caso.
Fuente: www.elmundo.es
Reseña de la Sentencia 15-07-2010 del Tribunal Supremo (TS), sala 3ª
La Federación de Comercio Electrónico y Marketing Directo (FCEMD) interpuso recurso contencioso-administrativo contra el Reglamento de Desarrollo de la LOPD.
La FCEMD basó su recurso en dos líneas argumentales:
Primero.- Argumentos de naturaleza formal, lo que les llevó a instar la nulidad de pleno derecho del RDLOPD.
Segunda.- Argumentos de naturaleza material, puesto que a juicio de la FCEMD el Reglamento de Desarrollo de la LOPD establece nuevas obligaciones, es decir, obligaciones adicionales a las contempladas en la Ley y en la Directiva. Esta segunda línea argumental se resume en dos críticas hacia numeroso articulado del Reglamento de Desarrollo de la LOPD:
Primero.- Se establecen nuevas restricciones.
Segundo.- Se añaden requisitos adicionales a los supuestos que legitiman el tratamiento (o cesión) de los datos.
En relación a los argumentos de contenido, el alto tribunal sí anula el artículo 18 del Reglamento de Desarrollo de la LOPD que versa sobre la acreditación del cumplimiento del deber de información al interesado.
La razón principal por la que el Tribunal Supremo considera este artículo como no conforme a derecho es que establece una obligación adicional a las exigidas por la propia Ley en el sentido de no limitarse a indicar que la carga de probar el efectivo cumplimiento del deber de informar corre a cargo del responsable del fichero o tratamiento. Este artículo va más allá y exige que la prueba del cumplimiento de información conste documentalmente o por medios informáticos o telemáticos.
Fuente: El Derecho Editores S.A.
Áudea Seguridad de la Información
Departamento de comunicación y Marketing
