Esta situación conllevó que los organizadores fueran en un principio sancionados por la Agencia.

Esta situación llegó a los tribunales y la Audiencia Nacional se pronunció al respecto dejando sin efecto la sanción impuesta. De la Sentencia dictada se desprenden las siguientes conclusiones:

- Origen de los datos. El origen de los datos de los compañeros es un elemento a tener en cuenta. No es lo mismo que los datos sean recabados del colegio, academia, o empresa; o que los datos se recojan de las agendas personales de los propios compañeros. Si fuesen recogidos de las agendas de los compañeros, la Audiencia Nacional entiende que se trata de un tratamiento con fines personales o domésticos, y por tanto estaría exento de la aplicación de la Ley de protección de datos, por la aplicación del artículo 2.2.a) de esta misma ley.

La cesión de los mismos a terceros para la organización del evento podría incluirse por tanto en este supuesto.

Si por el contrario los datos fuesen recabados de las entidades enunciadas anteriormente, la situación se complica. En este caso no podríamos hablar de tratamientos con fines personales o domésticos, y la entidad organizadora, o cedente de los datos tendría que tener el consentimiento del titular de los mismos para el tratamiento con la finalidad concreta de organización de eventos, fiestas…, y además el consentimiento para la cesión de estos datos a otros compañeros, o empresas que se puedan contratar para la organización del evento, identificando en lo posible a los mismos, o como mínimo la rama de actividad de las empresas cesionarias de los datos.

- Concepto de tratamiento.  El artículo 3.c) de la LOPD define el tratamiento de datos como aquellas “operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias” y según la Agencia de Protección de Datos en este caso quedó acreditado que la citada Comisión elaboró un listado que facilitó a una agencia de viajes para la promoción del evento, de suerte que ha existido recogida de datos, grabación y comunicación de los mismos e incluso cancelación, lo que acredita la existencia de tratamiento de datos. Efectivamente para la organización del efecto se realizó un tratamiento de datos, pero según la Audiencia Nacional “El criterio del tratamiento como delimitador del ámbito de aplicación del régimen de protección de la ley 15/1 999 es insuficiente… tal actividad constituye sin duda tratamiento en el sentido expresado en el artículo 3.c) antes trascrito, y sin embargo no queda sujeto al ámbito de aplicación de la ley. Lo excluye expresamente el artículo 2.2.a).”

Por todo lo expuesto os recomendamos, que antes de organizar una cena o comida de empresa, de amigos, o de familia, tengamos en cuenta que estamos realizando un tratamiento de datos, y que el mismo debe ajustarse a lo dispuesto en la Ley Orgánica de Protección de Datos, sea por su sujeción, o para la exención del mismo por la propia Ley.

Que paséis buenas fiestas.

 Áudea Seguridad de la Información.

Aurelio J. Martínez Ferre

Departarmento Derecho NNTT

www.audea.com

Además, añade que de lo contrario “no deberían hacer negocios en nuestro mercado interno”; aunque no ha aclarado como impediría Bruselas actividades de empresas extranjeras que no respeten la normativa comunitaria y hasta que punto estarían dispuestos; incluso cuando existe un altísimo porcentaje de incumplimiento por parte de las empresas comunitarias. También en este sentido ha hecho referencia a la necesidad de que las redes sociales con usuarios europeos cumplan la normativa aún cuando estén ubicados en terceros países e incluso aunque sus datos se almacenen en la nube.

Sobre la futura normativa europea ha adelantado que se deberá establecer un sistema que permita un mayor control de los datos por parte de las personas físicas, como “requerir el consentimiento explícito antes de se utilicen sus datos” para cualquier fin, además de que puedan los usuarios eliminar sus datos en cualquier momento, especialmente los que se hayan en Internet. De esta manera, esperemos se haga fuerte el derecho al olvido digital.

Europa es consciente de la perdida de control de los datos que está sufriendo la ciudadanía, debido precisamente por el desarrollo de Internet y las redes sociales, y así lo muestran las últimas encuestas realizadas por el Eurobarómetro. El 70 % de los europeos está preocupado por la utilización de sus datos personales por parte de las empresas y considera que el control que tienen sobre ellos es parcial, mientras que el 74% defienden que deberían dar su consentimiento para recoger y procesar sus datos en Internet.

Áudea Seguridad de la Información

Departamento Derecho NNTT

www.audea.com

 Esta figura fue introducida por la Ley 3/2011, de Economía Sostenible que modificó el régimen sancionador de la Ley de Protección de Datos. Faculta a la Agencia, en casos excepcionales, para no abrir procedimiento sancionador frente al infractor y en su lugar apercibirle, entiéndase como hacerle un reproche, por los incumplimientos leves o graves que el infractor hubiese cometido, obligándole a adoptar las medidas correctoras que se estimen convenientes para restituir la situación inicial, en el plazo indicado por la Agencia, y que no se vuelva a producir el incumplimiento de la Ley por los mismos motivos.

 Si no se restituyese la situación en el plazo indicado, la Agencia continuaría con la apertura del procedimiento sancionador.

 Para la aplicación de esta nueva figura se exigen unos requisitos previos o principales, que son que el infractor no fuese sancionado o apercibido con anterioridad y que los hechos fuesen constitutivos como infracción leve o grave según la propia Ley; y unos requisitos accesorios, que no por ello menos importantes, regulados en el art. 45.4 y 45.5 de la misma Ley como pudieran ser el reconocimiento de la responsabilidad, la intencionalidad, volumen de negocio, beneficios obtenidos, regularización de la situación irregular de forma diligente…

 La Audiencia Nacional por su parte también está reconociendo la aplicación de esta figura, cuando la Agencia Española no lo ha hecho, y se cumplen los requisitos exigidos en la Ley (Sentencia de 17 de junio de 2011).

 El procedimiento a seguir sería el siguiente:

 La AEPD recibe denuncia sobre posible vulneración del derecho a la protección de datos de carácter personal. Abre expediente sobre comprobación de los hechos, previa a la apertura del expediente sancionador. En fase de comprobación la AEPD puede solicitar al presunto infractor cuanta documentación estime pertinente. Aunque la LOPD no indica nada sobre el derecho de defensa del presunto infractor, en aplicación del art. 79 de la Ley 30/92 del Procedimiento Administrativo, éste podrá realizar cuantas alegaciones estime conveniente; y realizar comprobaciones presenciales, y en este caso el inspector redactará un acta que será ofrecida para la firma del investigado donde éste podrá efectuar también alegaciones. Como motivos de defensa, en ambos casos,  además de los materiales, podríamos aludir a motivos formales o de procedimiento, como pudieran ser los de prescripción de los hechos.

 Si se comprueba que efectivamente se está vulnerando el derecho, la Agencia puede actuar de dos modos diferentes.

 1º Aplicar la figura del apercibimiento. Para ello deberá comprobar la concurrencia de los requisitos exigidos comentados anteriormente para que se aplique. En este punto, y recordando que uno de los requisitos aplicables es la no sanción o apercibimiento anterior, indicar que si anteriormente el infractor hubiese sido sancionado, o apercibido con anterioridad, se debería comprobar que la sanción hubiere prescrito, en cuyo caso se podría aplicar nuevamente el apercibimiento.

 Se le concederá plazo para que realice las medidas correctoras propuestas, y en el caso de que no las aplicara se abriría expediente sancionador.

  2º Abrir expediente sancionador, en cuyo caso y si al término del mismo se impusiera sanción calificada como leve o grave el sancionado podría recurrir ante la Audiencia Nacional solicitando la aplicación de la figura del apercibimiento, si se diesen los presupuestos habilitantes.

 La aplicación de esta figura supone una nueva oportunidad para la empresa infractora de adaptarse a los requerimientos de la normativa vigente en materia de protección de datos, pero no olvidemos que en teoría sólo se puede aplicar una vez, por lo que lo deseable es que no se tenga que recurrir a ella nunca.

 Aurelio José Martínez

Departamento legal

www.audea.com

De este modo, Yahoo! Ha lanzado Yahoo! Seguridad, una web que ofrece información para padres y educadores sobre como informar a los menores de las medidas para evitar el ciberacoso, como gestionar la identidad online y aprender a utilizar de una forma segura los terminales móviles. Como complemento, la compañía ha habilitado una entrada en Yahoo! Respuestas con consejos e información sobre la seguridad en la red y pidiendo a los usuarios su participación, aportando sus propios consejos o experiencias.

Microsoft también ha participado de este día con la creación de yonavegoseguro.com, donde se ofrece al usuario un gran número de material documental y grafico con el propósito de ayudar al usuario a tener una experiencia satisfactoria y segura cuando navega por la web. Especial atención ha puesto la compañía norteamericana en la protección de los menores de edad, lanzando un software que permitirá a los padres estar al tanto de los movimientos que realiza su hijo en Internet, además de habilitar un mail donde se pueden denunciar contenidos ilícitos en cualquiera de los servicios que presta la compañía.

Dentro de nuestras fronteras, ha sido la Agencia Española de Protección de Datos quien ha publicado recientemente unos consejos dirigidos a los jóvenes que navegan por Internet. La AEPD recuerda que los menores deberían tener un acceso controlado a la red y ser educados en los peligros que acechan en la web cuando no se hace un uso responsable de los datos personales.  Aprovechando este evento, la AEPD ha vuelto a reiterar la importancia de crear por parte de los portales que contienen datos personales de menores, herramientas que permitan comprobar la edad del menor así como la autenticidad del consentimiento prestado por los padres si fuera el caso.

Fuente: www.elmundo.es

 La FCEMD basó su recurso en dos líneas argumentales:

 Primero.- Argumentos de naturaleza formal, lo que les llevó a instar la nulidad de pleno derecho del RDLOPD.

 Segunda.- Argumentos de naturaleza material, puesto que a juicio de la FCEMD el Reglamento de Desarrollo de la LOPD establece nuevas obligaciones, es decir, obligaciones adicionales a las contempladas en la Ley y en la Directiva. Esta segunda línea argumental se resume en dos críticas hacia numeroso articulado del Reglamento de Desarrollo de la LOPD:

 Primero.- Se establecen nuevas restricciones.

Segundo.- Se añaden requisitos adicionales a los supuestos que legitiman el tratamiento (o cesión) de los datos.

 En relación a los argumentos de contenido, el alto tribunal sí anula el artículo 18 del Reglamento de Desarrollo de la LOPD que versa sobre la acreditación del cumplimiento del deber de información al interesado.

La razón principal por la que el Tribunal Supremo considera este artículo como no conforme a derecho es que establece una obligación adicional a las exigidas por la propia Ley en el sentido de no limitarse a indicar que la carga de probar el efectivo cumplimiento del deber de informar corre a cargo del responsable del fichero o tratamiento. Este artículo va más allá y exige que la prueba del cumplimiento de información conste documentalmente o por medios informáticos o telemáticos.

Fuente: El Derecho Editores S.A.

Áudea Seguridad de la Información

Departamento de comunicación y Marketing

www.audea.com

Vista la obligación de inscripción de ficheros, el principio de calidad y el deber de información en nuestra primera entrega; y la obtención del consentimiento en la segunda, hoy le toca el turno a… los “Datos Especialmente Protegidos”.

¿Sabías que…

… el simple hecho de dejar por escrito que una persona está afiliada a un partido político, o a un sindicato (aunque haga gala de ello), es un dato especialmente protegido además obliga a adoptar las más estrictas medidas de seguridad?

A pesar de que estar afiliado a dichas organizaciones implica un apoyo incondicional y manifiesto (algo que a algunos les puede llenar de orgullo y satisfacción), si nos dedicásemos a crear un Excel con nombres y apellidos de afiliados, tendríamos un fichero con datos especialmente protegidos, que deben ser recabados con consentimiento expreso y por escrito, y al que le tendríamos que aplicar las medidas de seguridad de nivel alto (y un Excel no permite alcanzar este nivel). De todas formas, la LOPD prohíbe crear un fichero con datos especialmente protegidos por el simple gusto de almacenar esta información.

Ah… pero es que esto no es todo… ¿Qué ocurre si recibimos una carta de una Administración Pública aportando datos sobre algún empleado sindicalista en nuestra empresa? Lo normal es que la empresa, inconsciente, lo adjunte a la carpeta del trabajador junto con su expediente, o que incluso lo digitalice… “por si acaso”, contagiando al fichero de RRHH con esta maldición legal. Nuestra recomendación es que se practique un exorcismo profundo de todos estos datos que, en realidad, no solemos necesitar.

… recibe la misma protección un enfermo de sida, o de cáncer que alguien que tiene una caries, gafas o un resfriado?

Provoca sonrojo, ¿verdad? La Agencia ha insistido en infinidad de ocasiones en que debe entenderse de forma amplia cuando la Ley habla de datos de salud. ¿Será por preocuparse por la intimidad bucal de sus ciudadanos, o quizá por poder poner mayores sanciones?

Si un cliente llama a tu empresa y pregunta por un empleado en concreto, y contestas diciendo que dicha persona está en casa con gripe o en el dentista por una caries, estás vulnerando el deber de secreto, revelando, además, datos de salud de tu empleado… y tu empresa podría ser premiada con una bonita sanción de 300.000 a 600.000 euros que seguramente obligaría a cerrar y a despedir a todos los trabajadores por causas objetivas (con indemnización de 20 días por año trabajado). No te preocupes, seguro que los empleados y sus familias serán comprensivos.

… cuando un empleado cae enfermo y nos trae un parte de baja, no se tienen por qué aplicar las medidas de seguridad de nivel alto y, sin embargo, cuando tiene un accidente sí?

“Resurrta de que” el legislador se dio cuenta de que era excesivo que todas las empresas tuvieran que tener un fichero de RRHH de nivel alto, e hizo encaje de bolillos para conseguir que así fuese… pero se le olvidó incluir los partes de accidente. La Agencia, implacable como siempre, ha rechazado en varios informes la posibilidad de extrapolar estas excepciones del nivel alto a los accidentes de trabajo.

¿La solución? No tener accidentes… o volver a hacer encaje de bolillos, procesando la información directamente sobre el Sistema Delt@, sin quedarnos copia, y queriendo entender que el Ministerio de Trabajo y la Mutua son los únicos responsables de este fichero… ¿pensará igual la AEPD?

… si contratas a una mujer, víctima de violencia de género (cuya cotización a la Seguridad Social está bonificada) también tenemos que aplicar las medidas de seguridad de nivel alto, aunque no se trate de un dato especialmente protegido?

Hasta la entrada en vigor del RLOPD, a los datos especialmente protegidos, se les aplicaban las medidas de seguridad de nivel alto. Ahora, hay datos especialmente protegidos con medidas de seguridad de nivel básico, y datos no especialmente protegidos que obligan a implantar el nivel alto de seguridad.

Los datos especialmente protegidos son aquellos relacionados con la ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual. Para recabarlos debes obtener un consentimiento expreso, o expreso y por escrito, dependiendo del caso (aunque teniendo en cuenta que en caso de denuncia tendremos que demostrar haber obtenido el consentimiento, esta diferencia no tiene mucha relevancia).

Por otra parte, el RLOPD exige las medidas de nivel alto para todos estos ficheros, para los datos recabados en investigaciones policiales, y para aquellos derivados de la violencia de género (así, sin más). Como hemos visto antes, hay excepciones en la aplicación del nivel alto sobre los datos especialmente protegidos, pero no sobre los datos de violencia de género.

Podríamos seguir hablando páginas y páginas sobre estos supuestos tan llamativos, pero preferimos reservarnos para el Volumen IV.

Autor: José Carlos Moratilla

www.audea.com

Si pese a haberse cumplido en la medida de lo posible las anteriores premisas la Agencia considerase la empresa como infractora de alguno de los preceptos de la ley, y como consecuencia impusiera una sanción, deberá interponerse un recurso de reposición ante el órgano que dictó la resolución, en este caso la AEPD. Si de dicho recurso se desprende una resolución desestimatoria por parte de la Agencia, se cierra la vía administrativa.

En caso de que se dé la desestimación del recurso, contra dicha resolución que como se ha dicho cierra la vía administrativa, se podrá interponer en el plazo de dos meses a contar desde el día siguiente a la notificación de la misma, recurso contencioso-administrativo, según lo previsto en el artículo 46.1 de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, ante la sala correspondiente de la Audiencia Nacional. Dicho recurso se realizará con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta del referido texto legal.

Si la Audiencia Nacional desestimase el recurso interpuesto, ratificando así la sanción interpuesta por la AEPD, siempre queda recurso ante el Tribunal Supremo, siendo éste el último escalón ante el que se puede acudir, de tal forma que si el Tribunal Supremo confirma la sentencia de la Audiencia, la sanción deviene firme.

Departamento de Comunicación

Áudea Seguridad de la Información

www.audea.com

Así, conforme a la tipología de datos personales pueden diferenciarse tres grupos

1.1         Nivel Básico

La información más habitual que comprende este nivel de seguridad, son los datos definidos como meramente identificativos, tales como: D.N.I. o N.I.F., NUM.S.S. o MUTUALIDAD, NOMBRE, APELLIDOS, DIRECCION, TELÉFONO, FIRMA/HUELLA u otra información biométrica de identificación, IMAGEN/VOZ, E-MAIL, NOMBRE USUARIO, FIRMA ELECTRÓNICA, NÚMERO DE TARJETA, MATRÍCULA, etc.

1.2        Nivel Medio

Los datos a los cuales se les aplica una seguridad nivel medio son aquellos contenidos en ficheros con información relativa a:

• La comisión de infracciones administrativas o penales.
• Solvencia patrimonial y crédito.
• Datos tributarios responsabilidad de las distintas Administraciones.
• La prestación de servicios financieros.
• Datos responsabilidad de las Entidades Gestoras y Servicios Comunes de la Seguridad Social.
• La obtención de características o información sobre la personalidad y el comportamiento de las personas, como por ejemplo los test psicotécnicos sobre la profesionalidad o personalidad de una persona, y aquella recabada con la finalidad de ofrecer ofertas y servicios relacionados con los gustos, costumbres o aficiones de una persona.

Además de las medidas de nivel básico, se aplicarán a los ficheros que contengan este tipo de información, las medidas correspondientes al nivel medio.

1.3         Nivel Alto

Las medias de seguridad de nivel alto se aplican a los ficheros que contengan datos personales en relación a la información sobre:

• Ideología, afiliación sindical, religión, creencias, origen racial, sobre salud o vida sexual.
• Fines policiales sin consentimiento de los afectados.
• Violencia de género.
• Tráfico y localización, que en el ámbito de las comunicaciones electrónicas públicas o que exploten redes públicas, dispongan los distintos operadores.

Las medidas de seguridad aplicables para esta tipología de datos corresponden a una acumulación de las de nivel básico, medio y alto.

No obstante, el RLOPD ha introducido una serie de excepciones sobre las medidas aplicables a los datos sobre ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual, permitiendo la aplicación de las medidas de nivel básico cuando:

• Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros.
• Se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad.

Para los datos exclusivos de salud, se permite aplicar las medidas de nivel básico, cuando se refieran al grado de discapacidad o declaración de condición de discapacidad o invalidez de una persona, y siempre que el tratamiento esté asociado al cumplimiento de deberes públicos.

La introducción de estas excepciones en el RLOPD, permitirá facilitar el tratamiento de la información exclusivamente de salud a un gran número de Responsables del tratamiento, al posibilitar la declaración y aplicación a los ficheros relativos a la administración y gestión del personal de las medidas de nivel básico, siempre que puedan acogerse a dicha excepción.

Departamento de Comunicación

Áudea Seguridad de la Información

www.audea.com

El éxito de la implantación de los sistemas de videovigilancia se debe a la mayor sensación general de seguridad y el proceso de regularización de muchos de estos dispositivos que se están adecuando a la normativa de protección de datos y que ha propiciado de manera significativa el incremento del fenómeno de instalar estos mecanismos en los ámbitos privados.

De acuerdo con la información aportada por el director de la Agencia Española de Protección de datos (en adelante AEPD) Artemi Rallo en una reciente entrevista, últimamente, se han disparado las inscripciones de los ficheros de videovigilancia en el entorno privado.  

En este sentido cabe destacar, que en el 2006 apenas eran unas 200 entidades que se declaraban responsables de cámaras de videovigilancia, para sumarse otras 5000 al año siguiente y a fecha de hoy son unas 21.000.

Además, en los dos últimos años, se ha triplicado el número de ficheros que tenían registrados las comunidades de vecinos en el Registro General de Protección de Datos (en adelante RGPD), y ha pasado de 341 ficheros en el año 2007 para alcanzar los 1.108 el año pasado. Con estas medidas se pretende evitar los actos de vandalismo, intrusismo y robos dentro de los vehículos en los parkings y garajes. Hay que tener en cuenta que a parte de poder grabar los posibles actos delictivos, las cámaras cumplen una función disuasoria y con su instalación los incidentes bajan, además de mejorar la convivencia entre los vecinos.

La sensación de seguridad que aportan los sistemas de videovigilancia a los empresarios, comerciantes y comunidades de vecinos ha provocado también el auge de las empresas de seguridad que instalan este tipo de dispositivos y que a pesar de la actual complicada situación económica, han visto incrementar sus ventas en el último año de hasta un 40%.  En cuanto a los precios, los modelos de videovigilancia que se pueden encontrar actualmente en el mercado pueden ir desde los 1000 euros – con un grabador, dos cámaras y un monitor- hasta los más sofisticados a partir de los 6.000 euros.

Los principales motivos por los que se instalan las videocámaras en las empresas están dictados por la seguridad, su aplicación en los procesos de selección de personal y control y vigilancia de los puestos de trabajo. La instalación de las cámaras obliga a los empresarios a la inscripción de los ficheros de videovigilancia en el RGPD y la adopción de las medidas de índole técnica y organizativa que garanticen la seguridad de las imágenes y eviten su alteración, perdida, tratamiento o acceso no autorizado. Con carácter general a estos ficheros se aplica el  nivel básico de protección, sin embargo puede ocurrir que su nivel sea más alto, por ejemplo en caso de su utilización en algunos procesos de selección de personal (nivel medio) o en medicina, para verificar las respuestas ante determinados estímulos (nivel alto). Igualmente, cuando las imágenes se cedan a la autoridad judicial o a las Fuerzas y Cuerpos de Seguridad con ocasión de un delito, entonces se convierten en datos relativos a las investigaciones policiales y los ficheros de estas autoridades aplicarán el nivel alto de seguridad.

No obstante, a parte de las ventajas que aportan los sistemas de videovigilancia, su instalación impone determinadas obligaciones a los empresarios. El montaje de las cámaras en las empresas no puede ser un acto arbitrario al gusto del empresario sino que debe estar justificado, se tiene que instalar de la forma menos agresiva posible para que sea lo menos intrusiva en la privacidad de los trabajadores. Se admitirá esta medida sólo en casos que impidan la adopción de otra más idónea. Por ejemplo, no se autorizará la instalación de las cámaras para el control horario del personal cuando exista la posibilidad de fichar con la  tarjeta de acceso u otro medio equivalente.

Respetando en todo momento la dignidad e intimidad de las personas, los empresarios tienen que tomar en especial consideración, la correcta ubicación de las cámaras. En ningún caso se instalarán las cámaras en baños, vestuarios, taquillas o zonas de descanso. Para evitar las grabaciones de las conversaciones o actos de carácter privado, las imágenes sólo pueden captarse en los espacios indispensables para satisfacer finalidades de seguridad o control laboral. Además, los empresarios no pueden utilizar las imágenes de los empleados con fines comerciales, publicitarios o formativos salvo que medie la autorización de los interesados a tal efecto.

Así mismo, hay que garantizar el derecho a la información en la recogida de las imágenes con la información específica a la representación de los trabajadores. En las instalaciones, en los sitios visibles, se colocarán los carteles anunciadores.  Conforme a lo establecido en la instrucción 1/2006 de la AEPD  en el cartel informativo se identificará al responsable de tratamiento, su dirección y los derechos que puedan ejercer los afectados.

En particular las entidades privadas que quieran instalar los sistemas de videovigilancia deben cumplir con los siguientes requisitos:

- La creación de un fichero de videovigilancia exigirá su previa notificación de inscripción en el RGPD.

- El uso de las cámaras sólo será admisible cuando no exista un medio menos invasivo.

- Se tomarán las medidas de seguridad adecuadas al tipo de las imágenes captadas.
- Deberá informarse sobre la captación y/o grabación de las imágenes a los interesados. Se les facilitará el ejercicio de sus derechos a acceder a las imágenes y a cancelarlas
- Las imágenes tendrán que ser canceladas en un plazo máximo de un mes desde su captación.

- Si se contratase las empresas de seguridad que realizasen labores de videovigilancia se formalizarán con ellas los contratos de acceso por cuenta de terceros.
- Las empresas que realicen la instalación y el mantenimiento de los sistemas de videovigilancia en sus oficinas deben estar autorizadas por la Agencia Española de Protección de Datos
- Las cámaras y videocámaras no podrán obtener imágenes de espacios públicos. Se orientarán de manera que captarán sólo las imágenes de espacios privados.   

Autor: Karol Sedkowski

En un afán recaudatorio sin precedentes (excepto cuando se presentan para cobrar los derechos por los conciertos benéficos a favor de los menos favorecidos), la entidad de gestión decidió en el año 2005 contratar los servicios de un detective privado quien, sin recato o pudor ninguno, allí se plantó y en la boda se coló (espero que no me cobren por esta cover version), dispuesto a grabar imágenes de la misma, en base a las cuales la SGAE cortó su parte del pastel por uso no autorizado de música protegida.

Cuando los alegres inspectores de la AEPD tuvieron conocimiento de tamaña tropelía, no lo dudaron un segundo y acudieron al rescate del indefenso, imponiendo a la SGAE la nada despreciable cantidad de 60.101 euros por recabar datos de los afectados sin solicitar el debido consentimiento. Algo que es cristalino para cualquiera de nosotros, añadiendo las agravantes de invasión de la intimidad, nocturnidad y alevosía y dando origen a una entretenida guerra de siglas… AEPD vs. SGAE.

Pues bien, llegado este punto, la SGAE decidió no rendirse, ni siquiera después de que el juzgado número uno de lo Mercantil de Sevilla declarase nulo el video por su inconstitucionalidad, afirmando además que se trata de una invasión de la intimidad y anulando por tanto la multa al salón de bodas. E hicieron bien. La Audiencia Nacional, en un inesperado giro de los acontecimientos, se puso a favor de los poderosos y desechó cualquier idea de que nos encontremos ante un tratamiento de datos sin consentimiento, demostrándonos de nuevo que la Justicia no es tan ciega como debería… o quizá demasiado.

¿Y en que se han basado los próceres de tan magna instancia para afirmar tal descalabro? Básicamente en que los datos no se incorporaron a un fichero “organizado o estructurado con arreglo a determinados criterios que permitan el tratamiento de los datos“.

¿Y qué consideran entonces nuestros queridos magistrados que es un fichero? Imagino que no deben compartir la definición ofrecida por la Ley (“todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso“).

Pero no nos quedemos a las puertas de esta fascinante obra de ficción. Afirma igualmente que “los datos personales de la denunciante, en concreto su imagen, no fueron recogidos con intención de ser incorporados a un fichero estructurado que permitiera posteriores tratamientos“. ¿Ah, no? ¿Y que querían hacer con la grabación? ¿Una película de Tom Hanks y Meg Ryan?

Nuevamente, la Audiencia parece no estar de acuerdo con la definición de tratamiento de datos que ofrece la Ley: “operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias“. Es decir, básicamente TODO.

¿¿Y acaso una cámara de video no permite todo eso?? ¿¿No se pueden recoger, grabar, conservar, elaborar, modificar, etc., datos en una cinta o cualquier otro soporte admitido en las actuales cámaras de vídeo? Creía yo que sí, vaya. Agradezcamos que han venido los señores magistrados, cual progenitores preocupados, con gesto adusto y dedo en alto, para sacarnos de nuestro error.

Vamos, que o yo soy tonto, lo cual es harto probable aunque irrelevante en este caso, o los magistrados de la Audiencia no saben leer. O, a pesar de saber leer interpretan lo que les da la gana. O lo que les da la gana a otros, vaya usted a saber. A ver si interpretan la Ley igual para esa asociación de vecinos de la calle Montera que grabó a una serie de prostitutas y proxenetas para denunciar la peligrosa situación que se vive en esa calle y a la que están continuamente expuestos. Aunque no creo, porque la finalidad de estos vecinos no es tan moralmente elevada como la de mis primos de la SGAE. O eso o no cuentan con el poderoso caballero, que diría aquel. Menos mal que la Audiencia admite, a regañadientes, eso sí, que “la conducta de la SGAE ¿pudo? vulnerar el derecho a la intimidad” que garantiza nuestra Carta Magna. Pudo, claro. 

Por lo que he podido comprobar, han puesto a un grupo de corsarios a la caza del pirata. Bienvenido Mr. Francis Drake. Resulta que ahora la SGAE tiene patente de corso para saquearnos al gusto. Espero que no les dé a ustedes por cantar en la ducha, ya que al acecho podría encontrarse Hércules Poirot dispuesto a saltarse las más elementales normas del buen gusto y la decencia (grabarme a mí en la ducha y cantando es susceptible de garrote vil, pero no por el hecho, sino por el sujeto grabado) con tal de que ningún maleante aficionado a la música gratuita se las dé de listo y pretenda esquivar el justo canon.

Desde mi humilde punto de vista, Teddy Bautista es merecedor del Oscar al mejor actor de reparto por su Judas en Jesucristo Superstar, ya que lleva 34 años interpretando el papel. Y cada día mejor.

Autor: Rafael Eguilior

Áudea Seguridad de la Información

www.audea.com