• Shortcuts : 'n' next unread feed - 'p' previous unread feed • Styles : 1 2

» Publishers, Monetize your RSS feeds with FeedShow:  More infos  (Show/Hide Ads)


Date: Friday, 19 Sep 2014 01:54

demasiado-pequenaA pesar de que constaba en el expediente declaraciones realizadas por dos personas distintas respecto a que habían llegado a verla más grande, lo cierto es que los magistrados solo pudieron examinar la que podían ver y ésta era de tan solo 2 centímetros, llegando a la conclusión de que era demasiado pequeña para poder valorarla y por tanto terminan desestimando el recurso interpuesto por la afectada ante la Audiencia Nacional.

Aunque la sentencia es del año 2013, me ha parecido interesante comentarla porque es un ejemplo muy esclarecedor en cuanto a la definición de “dato de carácter personal” y más concretamente a los dos adjetivos que acompañan a su definición: “identificado o identificable“.

Por un lado, el artículo 3.a de la Ley Orgánica de Protección de Datos (LOPD) define el dato de carácter personal como “cualquier información concerniente a persona física identificada o identificable“. Esta definición se amplía en el artículo 5.1.f del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (RDLOPD), al hablar de: “cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables“.

Como podemos observar, en ambos casos se limita la definición al hablar de “personas físicas identificadas o identificables“.

Por tanto, un dato va a ser “de carácter personal” y por tanto, sometido a la LOPD, cuando haga referencia a una persona física identificada o identificable.

El matiz más complicado es el de “identificable“, ya que el de “identificada” no entraña problema alguno: si el dato te identifica directamente (por ejemplo tu nombre y apellidos) nos encontramos ante dato y además de carácter personal según las definiciones que hemos visto puesto que no hace falta realizar actividad alguna para identificarte.

Pero como digo, el problema viene con lo de “identificable“, ¿qué es esto? Bueno, al margen de lo que nos puede decir la RAE (que puede ser identificado), el propio RDLOPD nos arroja más luz en el artículo 5.1.o, al definir qué es una “persona identificable”:

toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados.

Esto aclara bastante, pero sigue dejando un amplio margen a la interpretación pues nos habla de “plazos o actividades desproporcionados”, y habrá que atender cada caso concreto para ver si nos encontramos ante una actividad o plazo desproporcionado o no.

Pues bien, no es frecuente encontrar sentencias donde se hable de este tema, pero la de 11 de marzo de 2013 de la Audiencia Nacional, a pesar de su brevedad, nos viene a ejemplificar esta cuestión.

El asunto nace con la denuncia de una mujer ante la Agencia Española de Protección de Datos (AEPD) por la publicación, en el muro de Facebook de una institución, de una fotografía donde, al parecer, se la muestra a ella de perfil. La fotografía se publicaba por parte de esta institución porque habían observado que esa señora (o señorita) venía siguiendo todo el día, cámara en ristre, al presidente de esta institución, y publicaban la fotografía de la susodicha para ver si alguien podía identificarla, no fuera a ser una terrorista internacional peligrosa que apretara el botón en cuanto alguien se le acercara a darle los buenos días…
Rápidamente se demostró que la muchacha era una periodista haciendo su trabajo, pero la cuestión es que su fotografía quedó plasmada en ese muro de Facebook durante varias horas, y esto, entendió la afectada, suponía una vulneración de la normativa sobre protección de datos, dado que la imagen personal se considera un dato de carácter personal y había sido tratado sin su consentimiento.

Interpuso la denuncia correspondiente ante la AEPD, pero cometió el error de no preconstituir la prueba, esto es, asegurarte, antes de hacer nada, la prueba de lo que vas a denunciar, no vaya a ser que a los pocos días eliminen esa prueba ya que tú no tienes el control sobre ella.
Como quiera que fuese, la denunciante aportó como prueba una captura de pantalla donde se vía la dichosa fotografía, sí, pero de un tamaño de 2 centímetros.

Cuando le toca a la AEPD examinar el asunto, solo tiene como prueba para valorar los hechos la aportada por la denunciante, esto es, una foto de 2 centímetros, declarando la AEPD que es demasiado pequeña y no se ve lo suficiente como para poder entender que en efecto nos encontramos ante un “dato de carácter personal” o no.

Porque sí, la imagen es un dato de carácter personal, pero, recordemos, siempre que identifique a la persona o la haga identificable. Por ejemplo, si la foto viniera acompaña de su nombre y apellidos, no cabría duda de que esa foto es un dato de carácter personal, pero si viene ella sola, habrá que ver si la hace o no identificable, y este es el motivo por el que la AEPD archiva la denuncia, porque no puede determinar si nos encontramos ante datos personales o no.

La mujer recurre ante la Audiencia Nacional, y ésta, en cosa de un párrafo ventila el asunto, indicando que:

“…en atención a la regulación y jurisprudencia expuesta, en esta litis, consta sólo una imagen de 2 cm, y sobre la misma no se puede predicar la condición expuesta del carácter identificable, sin perjuicio de que existiera una versión original hoy no disponible para la Agencia, sobre la que basar, en su caso, la infracción. No existiendo más prueba, y constando que ya no existe la mencionada fotografía, como ha comprobado la Agencia, no resulta procedente que la
Agencia realice más diligencias. La existencia de copia de la foto unido a los testimonios de las jefas de prensa, confirman que la fotografía existió en la red, pero no consta su posible ampliación, que permitiera el carácter identificable, por lo que se trata de una actuación cuya investigación y sanción no resulta de la competencia de la Agencia.”

Este es un caso similar al que sucedió hace unos años contra la SGAE, en la que se libró de una multa porque la calidad de las grabaciones que estaba realizando aparentemente ilícita eran de tan mala calidad que no permitían identificar a nadie de los que allí aparecían, aquí lo comenté: La SGAE se libra de una multa gracias a la mala calidad de sus videograbaciones

Sirva este caso de ejemplo y lección para todos aquellos que quieran denunciar algo ante la AEPD: debemos recabar todas las pruebas posibles para al menos sembrar la duda de la ilicitud en la AEPD y que puedan iniciar diligencias para llegar al fondo de la cuestión.

La Sentencia de los 2 centímetros, aquí.

Author: "Samuel Parra" Tags: "Internet, Sentencias, facebook, identifi..."
Comments Send by mail Print  Save  Delicious 
Date: Tuesday, 09 Sep 2014 00:15

Pronto finalizará el plazo de preinscripción de la edición 2014-2015 del Curso Especialista Universitario en Protección de Datos y Privacidad. Una nueva edición comienza de este prestigioso curso de posgrado organizado por la Facultad de Derecho de la Universidad de Murcia, en el que el plazo para inscribirse se agota en unos días. Al igual que en ediciones anteriores el número máximo de alumnos es de 50, cifra que suele superarse con creces en la primera fase de la preinscripción por lo que si quieres adquirir una formación de calidad y exclusiva en temas de protección de datos y privacidad, no esperes más.

Este curso de especialista universitario, en formato online, está dividido en varios módulos específicos y cuenta tanto con actividades individuales como grupales, donde tanto alumnos como profesores expondrán sus distintos puntos de vista sobre asuntos de interés y actualidad; el curso está dirigido por el profesor D. Julián Valero Torrijos, sobradamente conocido tanto en el ámbito de la protección de datos como en el de la administración electrónica, con una trayectoria profesional y docente impresionante.
Los docentes que guiarán y desarrollarán cada uno de los módulos es siempre uno de los puntos fuertes del curso ya que son académicos y técnicos expertos en sus disciplinas, por lo que tanto si buscas un primer acercamiento en la materia como si pretendes profundizar en los detalles, este curso especialista online está hecho para ti.

El curso comienza el día 11 de octubre, pero el periodo de preinscripción finaliza el 18 de septiembre.

Las materias o módulos de contenido son los siguientes:

  • CONCEPTOS JURÍDICOS BÁSICOS EN MATERIA DE PROTECCIÓN DE DATOS Y PRIVACIDAD. Fundamentos conceptuales de los derechos fudamentales y libertades públicas. Especial referencia a la distinción con otras figuras afines.
  • PRINCIPIOS GENERALES y DERECHOS DE LOS TITULARES. Análisis de los principios generales de la protección de los datos personales en la LOPDP (calidad de los datos, consentimiento informado…) y de los derechos que corresponden a las personas físicas titulares de la información (acceso, rectificación, cancelación, oposición)
  • FICHEROS DE TITULARIDAD PÚBLICA. Examen de las particularidades propias los tratamientos de datos en el sector público
  • FICHEROS DE TITULARIDAD PRIVADA. Examen de las peculiaridades de los tratamientos de datos en el sector privado
  • MARKETING Y PROSPECCIÓN COMERCIAL. Especialidades de la protección de datos en las actividades de promoción y publicidad comercial
  • FICHEROS DE SOLVENCIA PATRIMONIAL Y CRÉDITO. Examen de las condiciones para la inscripción de datos en los ficheros de moros y de solvencia patrimonial
  • PROTECCIÓN DE DATOS EN LAS TELECOMUNICACIONES Y EN INTERNET. Examen de las singularidades de la protección de datos en el sector de las telecomunicaciones: Internet, correo electrónico, dispositivos automáticos de obtención de información…
  • PROTECCIÓN DE DATOS EN EL ÁMBITO DE LAS RELACIONES LABORALES. Análisis del uso de la información personal para el desenvolvimiento de las relaciones entre el trabajador y la empresa, así como de la perspectiva sindical
  • TRANSFERENCIA INTERNACIONAL DE DATOS. Análisis de los requisitos, condiciones y límites de las cesiones internacionales de datos así como del resto de las implicaciones internacionales de los tratamientos de información personal que superen el ámbito de un Estado
  • PROTECCIÓN DE DATOS E INFORMACIÓN SANITARIA. Relaciones entre información sanitaria y protección de datos, con una especial referencia a la problemática de las historias clínicas
  • PROCEDIMIENTOS ADMINISTRATIVOS EN MATERIA DE PROTECCIÓN DE DATOS. LAS SANCIONES ADMINISTRATIVAS. Análisis de los diversos tipos de procedimientos vinculados al tratamiento de información personal, en particular el de carácter sancionador
  • MEDIDAS DE SEGURIDAD. Aplicación de las medidas de seguridad a los ficheros y tratamientos de datos personales. Especial atención al Reglamento de Medidas de Seguridad
  • SEGUIMIENTO Y EVALUACIÓN DE CONTENIDOS MULTIMEDIA EN INTERNET. Actividades relacionadas con la utilización de los recursos multimedia relacionados con la materia sobre la que versa cada uno de los módulos que se encuentran disponibles en Internet (documentación, videos, blogs).

Respecto a la duración del curso, es de 30 créditos ECTS, con un máximo de 50 alumnos, lo que garantiza un seguimiento personalizado por parte de todos los profesores.

Todos los detalles del curso los podéis encontrar aquí: DETALLES DEL CURSO

El enlace directo para la preinscripción, aquí: PREINSCRIPCIÓN

Author: "Samuel Parra" Tags: "Formación, curso, privacidad, protecci..."
Comments Send by mail Print  Save  Delicious 
Date: Sunday, 01 Jun 2014 23:04

recordarMucho se está hablando últimamente de este “Derecho al olvido” y muchas son las voces que alertan de que la aplicación de este derecho derivará en una censura, en una Internet donde no encontraremos nada malo de nadie, ya que, con la reciente sentencia del Tribunal de Justicia de la Unión Europea, Google está obligado a atender (que no necesariamente a estimar) las peticiones de ciudadanos europeos de cancelar sus datos personales del índice de resultados.

Este post es fruto de un estudio que he realizado de todas las Resoluciones de la Agencia Española de Protección de Datos del año 2013 relativas a Tutelas de Derechos de ciudadanos en las que requerían a Google retirar resultados de su índice de búsqueda; en otras palabras, es un estudio de todas las resoluciones de 2013 dictadas por nuestra autoridad de control resolviendo casos de los denominados “derecho al olvido”, personas que solicitaban al buscador Google eliminar determinados resultados y acudían a la Agencia para que les tutelase tras la negativa de Google. Considero que el muestro total del año 2013 es significativo a efectos de este estudio.

Me propuse dedicar tiempo y esfuerzo en ver todas las resoluciones de 2013 en las que se veía afectado el buscador, con la intención de ver si, en efecto, se acerca una nueva era de censura en la que buscaremos en Google la palabra “Bárcenas” y no saldrá nada negativo, o por el contrario, este derecho se está construyendo con cierta lógica y coherencia por parte de nuestra autoridad de control y lo que va a desaparecer es aquello que ha quedado obsoleto o que se demuestra falto a la verdad.

Muchos son los que han visto un peligro para la libertad de información y circulación de información por Internet en la reciente sentencia del Tribunal de Justicia de la Unión Europea sobre el derecho al olvido frente a Google (en la que simplemente le ha venido a decir a Google que se le aplica nuestra legislación de protección de datos, nada más, como a cualquier otra empresa que actúe en España, pero esta es otra cuestión).

Por ejemplo, Enrique Dans publicaba un artículo titulado: “Sobre el imposible y absurdo “derecho al olvido” donde comentaba lo absurdo de tener que dirigirse al buscador para que retire contenido cuando lo razonable es dirigirse a la fuente.

También el propio Peter Fleischer hablaba de “censura” hace unos años cuando se debatía el tema del derecho al olvido, en un artículo publicado en el año 2011.

En Twitter también ha habido muchos comentarios en este sentido, desde prestigiosos despachos de abogados como el que dirige Carlos Almeida: @bufetalmeida “Con tanta memez de derecho al olvido, habrá que crear una herramienta para que las víctimas impidan el borrado de nombres de asesinos.”

Hasta uno de los propios abogados de Google, Yago Abascal, al afirmar, refiriéndose a la Agencia Española de Protección de Datos, como herramienta poderosa de censura sin competencia para ordenar la retirada ni ponderar los derechos en juego: @Yagoabascal: “Yo veo más poderosa a la administración censora sin competencia para ello ni ponderar nada de nada” (captura de pantalla del mensaje).

Pero también ha habido voces en el otro lado, por ejemplo Javier Sempere hizo un excelente análisis titulado: Derecho al olvido: ni censura ni límite al derecho de información donde precisamente comentaba el limitado alcance de este mal llamado “derecho al olvido”.

Por tanto, este estudio tiene también otro objetivo: determinar si todo lo que llega a la Agencia Española de Protección de Datos (AEPD en adelante) respecto a la supresión de resultados de Google es estimado de forma descontrolada y sistemática y sin atender cada caso concreto, sin ponderar, como varias personas han llegado a afirmar, o bien, la AEPD establece límites a este “derecho al olvido”, dispone de algunos criterios concretos y por tanto no todo será borrado por el simple hecho de ser solicitado.

Antes de empezar a ver los resultados, dejemos claras algunas premisas:

  • 1º: El ámbito del estudio es únicamente peticiones de retirada de enlaces frente al buscador Google, y no frente a la fuente.
  • 2º: La solicitud, reitero, es la retirada de la información del buscador y NO de la fuente original.
  • 3º: La petición de supresión del ciudadano puede terminar en tres estados: estimado (cuando la AEPD requiere a Google que elimine el resultado), desestimado (cuando la AEPD no estima la pretensión por algún motivo) e inadmitido (cuando falta algún requisito para que la AEPD pueda entrar a valorar el asunto).

Vayamos a los datos. En el año 2013 la AEPD dictó un total de 2100 resoluciones de Tutela de Derechos; de estas 2100, tan solo 89 han tenido incidencia en esto del “derecho al olvido” frente al buscador Google.

De esos 89 casos (que no tienen que ser necesariamente 89 noticias o 89 enlaces a suprimir, pueden ser más, de hecho son más), como decía, de esos 89 casos, fueron ESTIMADOS 26, y el resto desestimados o inadmitidos.
Es decir, casi el 30% de los casos que llegaron a la AEPD terminaron en una resolución que obligaba a Google a eliminar resultados.

Este primer dato ya nos dice algo importante en abstracto: no todo lo que se solicita eliminar se termina ordenando su eliminación; hay un filtro muy importante que detiene la mayoría de las peticiones.

Pero vayamos a lo interesante; decía que se han estimado 26 casos; siguiendo la corriente que apuesta por una censura en Internet, de esos 26 casos la mayoría deberían ser de políticos corruptos, asesinos, estafadores y pedófilos, examinemos:

De esos 26 tenemos un total de 8 que hacen referencia a publicaciones en Boletines Oficiales. ¿Y qué es lo que contenían esas publicaciones oficiales?
Pues tenemos algunos boletines oficiales del año 1979 que contenían listados provisionales de aspirantes a algún puesto en la Administración; el caso de un edicto en el Boletín Oficial del Estado del año 1998 en el que se sacaba a subasta un inmueble de un señor que había sido vendido 5 años antes y por tanto ya no era suyo, o algunos casos en los que el Boletín había adoptado medidas de desindexación pero el buscador Google no las había respetado.
La AEPD argumenta en estos casos que la información publicada ha perdido la vigencia que en su día motivaba la publicación y se encuentran obsoletas. OJO, no siempre algo será obsoleto por el mero transcurso del tiempo, en el apartado de “Desestimadas” veremos varios casos en este sentido. Pero como digo, en esos casos concretos justifica la desindexación por el transcurso del tiempo. Eso sí, el ciudadano podrá seguir encontrando esta información consultando directamente el Boletín correspondiente.

Nos quedan 18 casos estimados, veamos qué más encontramos.

Otros 8 casos frente a noticias en prensa. Las noticias en prensa sobre las que se ordena la retirada del buscador son del año 1978, 1983, 1988, etc, la más “reciente” del año 1992; en estos casos la AEPD entiende que no hay necesidad de mantener esa información en el índice al considerarse obsoleta; en otro caso por ejemplo, se estima porque la noticia original hablaba de una imputación en un delito de blanqueo de capitales y al poco tiempo se emitió un auto de sobreseimiento (del cual nadie se hizo eco) por lo que procedía estimar la tutela del ciudadano.

Y nos quedan otros, 10, en los que hay un poco de todo. Tenemos desde un señor que solicitó a Google que eliminara de Street View la matrícula de su moto, en otro caso tenemos la petición para no indexar el nombre, apellidos, dirección, email y teléfono publicados en algunos directorios o en blogs personales, y también algunos casos en los que la información había sido eliminada de la fuente original pero Google seguía mostrando los datos personales.

De este primer bloque ya podemos extraer una conclusión: la AEPD, nuestra autoridad de control, resulta que no ha estimado ni una sola petición de información que o bien no fuera realmente obsoleta (20-30 años de antigüedad), o que no fuera exacta y puesta al día; de hecho, no ha estimado ni una sola petición de esos casos que comentan los partidarios de una red censurada: políticos corruptos, estafadores, asesinos, pedófilos, etc.

Pero examinemos los casos denegados pues arrojan más información.

De entre los casos denegados destaco los siguientes:

  • a) Abogado exalto cargo del gobierno. Pide eliminar de Google una noticia negativa, la AEPD le dice que no porque hay interés público en la noticia dada la relevancia y proyección pública del exalto cargo, aunque ya no tenga esa condición de “alto cargo” y haya pasado mucho tiempo desde que se publicó la noticia.
  • b) Alcalde. Pide eliminar de Google unos resultados de un blog donde lo critican en su actividad política. La AEPD le dice que prevalece el derecho a la libertad de expresión e información por su carácter de personaje público y que no se borra.
  • c) Exdiputada socialista. Pide eliminar múltiples resultados de Google relativa a información publicada en blogs y medios de comunicación. La AEPD deniega todo por los mismos motivos que en el caso anterior: libertad de información, relevancia pública de la información, etc.
  • d) Cargo público. Pide eliminar resultados de un blog que comenta negativamente su actividad como cargo público. Denegado.
  • e) Cargo público. Pide eliminar un resultado relativo a un comentario en un foro donde se reproduce una noticia del año 1999. Denegado.
  • f) Secretario General de un Organismo Público. Pide eliminar varias noticias de Google, todas denegadas.
  • g) Persona imputada en el caso ERE. Pide eliminar de Google varias noticias, la AEPD desestima todas las peticiones por ser un caso de especial relevancia e interés público y prevalece la libertad de información.
  • h) Personaje anónimo sobre el que publican varios mensajes relativos a hechos delictivos, solicita la retirada de Google y le es denegada ya que no acredita que la información sea inveraz.
  • i) Indulto en Boletín Oficial del Estado; se deniega porque es reciente.
  • j) Personaje anónimo sobre el que se publican noticias relativas a un delito de narcotráfico y blanqueo de capitales, la AEPD desestima todas las pretensiones y no requiere a Google a eliminar nada.

A poco que se preste atención a las solicitudes denegadas se aprecian varios denominadores comunes:

  1. Los personajes públicos no van a gozar de este “derecho al olvido“; muchos son los casos de políticos inmersos en asuntos de corrupción que han acudido invocando este derecho y se les ha denegado sistemáticamente.
  2. Si la información tiene relevancia pública y es actual se va a quedar en el buscador; y habrá casos, como los que hemos visto, que incluso cuando la información no sea actual, tampoco será eliminada.

Luego hay un gran número de peticiones inadmitidas porque o bien se presentaron con algún defecto de forma o bien no se atendieron los requerimientos posteriores que le hizo la AEPD al solicitante.

Después de este muestreo de todo un año de la actividad de la AEPD en lo referente a la concesión o no de este “derecho al olvido” parece claro que no podrá ser utilizado por políticos corruptos, pedófilos y demás delincuentes para ocultar sus fechorías en la red, sino que se está construyendo en base a principios racionales y de respeto hacia personas que ya han superado una fase concreta de su vida y no deben tener la carga de soportar, indefinidamente en Internet, esos sucesos pasados.

Es por tanto falso también que nuestra autoridad de control no pondere cada caso que le llega y no aplique límites que puedan ver comprometida la libertad de información que circule por el buscador Google, al contrario, según sus propios criterios no será tan fácil lograr alcanzar ese “derecho al olvido” y menos si se trata de personajes públicos/políticos o de criminales, tal y como ha quedado demostrado.

Los datos completos analizados aquí.

Author: "Samuel Parra" Tags: "Internet, Varios, derecho al olvido"
Comments Send by mail Print  Save  Delicious 
Date: Monday, 05 May 2014 05:00

perro rastrearDa la impresión de que aquellas palabras que el CEO de Facebook pronunciara hace unos años afirmando que “la privacidad ha muerto” sólo es válido si la privacidad muere en Facebook; si alguno de nosotros quisiéramos rastrear de forma automatizada todo o parte de Facebook (como lo haría un buscador de Internet) nos encontramos con una prohibición expresa: solo podremos rastrear la red social si conseguimos su consentimiento expreso y por escrito.

Me ha parecido curiosa la advertencia de Facebook en su fichero robots.txt: “Rastrear Facebook está prohibido a menos que tengas nuestro consentimiento expreso por escrito“; a continuación, nos enlaza a una web con las condiciones que deberemos respetar para poder rastrear, utilizar robots, arañas o en definitiva automatizar la obtención de información de las páginas de Facebook, siempre previo consentimiento por escrito de la propia Facebook.

Si aceptamos estas condiciones podremos acceder al formulario para solicitar la mencionada autorización de Facebook; en este formulario, no solo tendremos que indicar qué direcciones IPs utilizaremos para el rastreo, la finalidad, así como nuestros datos personales identificativos, sino también cuántas páginas tenemos previsto rastrear al día, entre otros detalles técnicos.

Que me conste, es la única página del mundo que exige un consentimiento previo y por escrito para ser rastreada; no hablamos de evitar que cualquier robot pueda rastrear su contenido, de estas hay muchas, sino de que si quieres rastrearme, pídeme permiso primero y ya veremos si te lo concedo.

Bajo mi punto de vista esto refleja realmente la personalidad de Facebook: no es que quieran que compartas información en Internet, sino que quieren que la compartas en su plataforma, y si alguien quiere rastrearla para, por ejemplo, indexar su contenido como lo haría Google, Yahoo o Bing, te van a exigir que pidas permiso primero.

Hasta ahora, solo 9 robots han conseguido la autorización de Facebook para rastrear su contenido, son:

  • BaiduSpider = El robot del buscador Chino Baidu.
  • Googlebot = El robot de Google
  • MsnBot = El predecesor del bot del buscador de Microsoft Bing; en la actualidad msnbot está en desuso.
  • Naverbot y Yeti = El robot del buscador de Corea del Sur de nombre Naver.
  • Seznambot = El robot del buscador de la República Checa de nombre Seznam
  • Slurp = El robot del buscador Yahoo
  • Teoma = Evolucionado, es el actual robot del buscador Ask
  • Yandex = El robot del buscador ruso Yandex.
  • ia_archiver = Es el bot de Alexa, pero solo tiene autorización para indexar páginas relativas a las políticas de Facebook.

El resto de buscadores/robots/spiders tienen denegado el rastreo de Facebook según indica las dos últimas líneas del fichero robots.txt de Facebook.

Ahora bien, ¿qué pasa si quiero rastrear Facebook y no tengo su consentimiento?

Pues que puedes hacerlo; Facebook no está estableciendo ninguna medida técnica para evitar el rastreo y mucho menos la indexación de su portal, ya que las instrucciones que puedan figurar en un fichero robots.txt no dejan de ser unas meras recomendaciones para los robots/spiders de la web, no existiendo normativa que imponga una obligación de respetar estas instrucciones; sería una cuestión más bien moral o ética la de respetar este estándar de exclusión. Otra cosa es el uso que se pudiera hacer de la información obtenida de forma masiva y automatizada de la red social, pero eso es otra cuestión.

De hecho, existen otros buscadores que, no habiendo obtenido el consentimiento de Facebook, rastrean e indexan su contenido; por ejemplo Lycos/Hotbot o Looksmart (hasta donde han llegado mis investigaciones, estos buscadores utilizan spiders propios que no habrían obtenido la autorización de Facebook para el rastreo de su web, pero que sin embargo sí lo hacen).

Author: "Samuel Parra" Tags: "Internet, Opinión, facebook, robots.txt"
Comments Send by mail Print  Save  Delicious 
Date: Thursday, 13 Feb 2014 23:19

tarjeta de creditoLa Agencia Española de Protección de Datos ha sancionado al popular portal de ofertas con una multa de 20.000 euros por almacenar el código CVV y demás datos de las tarjetas de crédito de sus clientes sin que informara de este extremo. De hecho, según ha reflejado la Agencia, Groupon informaba de lo contrario, que no almacena los datos de las tarjetas de crédito de sus clientes.

Durante mediados de 2012, la Agencia Española de Protección de Datos (AEPD) recibió diversos escritos de usuarios del portal donde denunciaban que, a pesar de que Groupon indicaba en su web que “en ningún momento la información de tu tarjeta de crédito queda almacenada en nuestros servidores“, observaban como al realizar una compra, los datos relativos a la tarjeta de crédito y código CVV se autorellenaban.

Los denunciantes aportaron diversas capturas de pantalla del problema, donde se mostraba los hechos que estaban denunciando y cómo Groupon no ofrecía ninguna opción para “no almacenar los datos de tarjetas”.

A raíz de esta denuncia, la AEPD solicitó información a Groupon, y declararon que:

  1. “GROUPON no guarda datos de las tarjetas de crédito de los clientes, la guarda la pasarela de pagos.”
  2. “Los clientes pueden elegir si desean que se conserve o no el número de tarjeta de crédito en la pasarela de pagos. Quien no lo desee puede solicitarlo a GROUPON, que procede a marcarlo así en sus sistemas y en adelante la pasarela no guardará dicho dato.”

Los inspectores de la AEPD solicitaron entonces un acceso al sistema y que se simulase el alta como usuario y una compra, para ver qué pasaba.

En primer lugar se procede a dar de alta como nuevo usuario a la representante legal de Groupon realizándose una compra. Se observa que en ningún momento se informa al usuario de que el dato de la tarjeta de crédito se guardará para futuras compras, ni se da la opción de elegir si dicho dato ha de ser guardado o no.

Al realizar una segunda compra se verifica que el sistema no solicita el número de tarjeta de crédito, sino que ofrece los anteriormente utilizados, si bien oculta parte de los dígitos del número de tarjeta, mostrando solo los cuatro últimos. Aparecen también como ocultos los dígitos del CVV. De esta forma, el usuario no tiene que aportar nuevamente los datos de la tarjeta en cada ocasión.

Ante esta evidencia, Groupon afirma que los datos no proceden de los sistemas de Groupon sino de la pasarela de pagos.

A continuación se accede a la plataforma de gestión de clientes de Groupon y se observa que todos los clientes tienen un campo denominado “Recurring for this user” y en el caso del usuario de prueba de la representante legal aparece marcado como “Yes”.

Se accede posteriormente a la pantalla donde el propio usuario puede modificar sus datos y se comprueba que no figura ningún campo relacionado con el “Recurring for this user” para modificar esta opción.

Ante estos hechos, desde Groupon informan que si el cliente no desea que se conserve el número de tarjeta ha de solicitarlo expresamente a la entidad, quien procederá al cambio en unas pocas horas.

Los inspectores de la AEPD se llevaron también una impresión de pantalla de la página web donde en la que se informa a los clientes de la entidad que no almacena los datos de las tarjetas de crédito en sus servidores.

Curiosamente, los datos de la tarjeta de crédito del usuario no es encontrada por la inspección en la base de datos de Groupon, quien sostiene que esos datos provienen de la pasarela de pago y Groupon tiene la posibilidad de indicar a la pasarela de pago no almacenar esos datos, mediante una solicitud al personal de Groupon.

Por parte de la AEPD se le solicitó a Groupon copia del contrato suscrito con la entidad que le ofrece la pasarela de pagos, pero nunca fue aportado.

En consecuencia, la AEPD termina afirmando que:

“ha resultado probado que GROUPON ha incumplido el art. 5 de la LOPD, pues no informaba a sus clientes de que conservaba los datos correspondientes a las tarjetas de crédito que previamente habían utilizado sus clientes.

Es decir, no ha proporcionado información clara y precisa respecto del tratamiento al que iban a ser sometidos sus datos personales, en concreto se informa precisamente de lo contrario al asegurar que “en ningún momento la información de tu tarjeta de crédito queda almacenada en nuestros servidores”.

GROUPON manifestó que los datos no se conservan en sus sistemas sino que son “importados” de la pasarela de pago utilizada para gestionar el cobro de la venta de sus productos. No obstante no aportó el contrato en virtud de la cual se gestionan dichos cobros de donde se podía deducir las responsabilidades de cada interviniente. En este sentido, debe recordarse que la entidad que gestiona el cobro a través de la pasarela de pago, puede ostentar la cualidad de encargado del tratamiento, y debe tenerse en cuenta que el art. 12.4 de la LOPD, en caso de vulneración de la citada norma, establece un mecanismo de agregación y no de exclusión de responsabilidad, entre el responsable del tratamiento y el encargado del tratamiento.

Por lo que de acuerdo con la definición de tratamiento de datos y responsable del tratamiento, que recoge el art. 3 de la LOPD, GROUPON ha de responsabilizarse de las obligaciones que la citada ley orgánica impone, pues el tratamiento de datos realizado se realiza por su cuenta en tanto que está ligado a la venta de sus productos, con independencia de la entidad que participe en el cobro de los mismos.”

Por todo lo anterior, la AEPD declara que Groupon infringió el artículo 5.1 de la LOPD al no informar de esta circunstancia y le impone una multa de 20.000 euros.

Author: "Samuel Parra" Tags: "Consumidores, Internet, Multas, Groupon,..."
Comments Send by mail Print  Save  Delicious 
Date: Monday, 10 Feb 2014 23:24

 confidencialEl portal de venta de tickets entradas.com estaría cediendo a empresas ubicadas en México, Perú y Chile los datos de las tarjetas de crédito de sus clientes, incluido en teoría el código CVV para transacciones, según figura en varias autorizaciones de transferencia internacional de datos de la Agencia Española de Protección de Datos.

[ACTUALIZACIÓN 11-02-2014 20:13h] Desde el portal entradas.com me informan que en ningún caso se almacena el código CVV de las tarjetas de sus clientes y que si se menciona el código CVV en las resoluciones de la Agencia Española de Protección de Datos se debe a un intento de obtener una mayor cobertura legal con el objetivo de hacer bien las cosas.

[ACTUALIZACIÓN 11-02-2014 23:01h] Importante leer el artículo hasta el final, se incluyen aclaraciones relevantes. 

[ACTUALIZACIÓN 11-03-2014 11:30h] El portal entradas.com ha sido vendido a CTS Eventim AG, más información al final del artículo.

Desde el año 2009, la entidad que dirige el portal entradas.com ha solicitado en 3 ocasiones una autorización a la Agencia Española de Protección de Datos para transferir datos personales desde España a empresas ubicadas en el extranjero: en el año 2009 fue a Chile, en 2011 a Perú y en 2013 a México. En estas solicitudes de autorización se debe indicar qué datos concretos de los que tiene la empresa española se pretenden facilitar a las empresas extranjeras, y en el caso concreto de entradas.com se ha detectado algo llamativo: junto a los datos habituales de nombre, apellidos y demás datos identificativos de los clientes, se incluyen: “datos de tarjeta de crédito, fecha de caducidad y código CVV”.

Antes de continuar conviene responder a dos preguntas para entender el problema que se trata de describir en este post: ¿Qué es una autorización de transferencia internacional de datos? y ¿Qué diablo es el código CVV?

Vayamos con la primera ¿Qué es una autorización de transferencia internacional de datos en el ámbito de la protección de datos de carácter personal?

Cuando una empresa española pretende ceder o facilitar el acceso a los datos personales que tiene en su base de datos a empresas que se encuentran fuera de la Unión Europea, o a Estados respecto de los cuales la Comisión de las Comunidades Europeas no haya declarado que garantiza un nivel de protección de datos adecuado, será necesario que el responsable del fichero español solicite a la Agencia Española de Protección de Datos la autorización correspondiente para esta transferencia; de esta forma, si la Agencia estima que el destinatario de la información se encuentra en un nivel de protección adecuado y se respeta el resto de normativa aplicable, podrá autorizar esa transferencia de datos y proceder con ella.

Ejemplos de estas transferencias internacionales de datos las tenéis en este artículo que publiqué en 2011, donde comentaba las autorizaciones que había recibido Jazztel para transferir los datos de sus clientes españoles a 36 empresas fuera de la Unión Europea. Estas transferencias normalmente obedecen a la externalización de la atención al cliente de grandes compañías.

Y en segundo lugar ¿qué es el código CVV?

El código CVV, CVV2, etc, que en genérico se conoce como CSC (Card Security Code) es ese código que podemos encontrar normalmente en la parte posterior de las tarjetas de crédito y que cuando vamos a hacer una compra por Internet nos solicitan los comercios.

codigo cvv

Click para ampliar

Este código es una medida de seguridad adicional para evitar fraudes en el uso de tarjeta de crédito en compras por Internet, de forma que al añadir un elemento que en teoría solo está escrito en el propio plástico de la tarjeta, obtenemos un plus de seguridad: si no tienes la tarjeta física no tienes ese código y por tanto no puedes operar con ella aunque conozcas el resto de datos (numeración y fecha de caducidad).

De ahí que sea tan importante no apuntar el código CVV en ningún sitio ni facilitárselo a nadie que no sea en la propia operación de compra en comercios seguros; tan importante es la confidencialidad de este código que las normas que regulan el pago con tarjeta de crédito/débito indican expresamente a los comercios que bajo ningún concepto almacenen el código CVV de los clientes.

Así, en la última versión del Estándar de Seguridad que rige para la industria de las tarjetas de pago, el Payment Card Industry – Data Security Standard (PCI-DSS), se indica que el código CVV/CVV2, etc, NO se almacenen por parte del comercio cuando es solicitado para una compra y que se utilice únicamente para validar la transacción. Las compañías que procesan, guardan o trasmiten datos de tarjetas deben cumplir con el estándar o arriesgan la pérdida de sus permisos para procesar las tarjetas de crédito y débito. En concreto, el requisito 3.2.2 de esta norma establece expresamente “No almacene el valor ni el código de validación de tarjetas (número de tres o cuatro dígitos impreso en el anverso o reverso de una tarjeta de pago) que se utiliza para verificar las transacciones de tarjetas ausentes“.

La siguiente tabla muestra lo que se puede y lo que no se puede almacenar en estas transacciones:

almacenar-cvv

Volvamos ahora con el asunto de entradas.com

El 11 de mayo de 2009, la entidad TRANSACCIONES INTERNET DE COMERCIO ELECTRÓNICO S.A (propietaria en aquel entonces del portal entradas.com) recibe la autorización de la Agencia Española de Protección de Datos para una transferencia internacional de datos a la entidad TRANSCOM WORLDWIDE CHILE L.T.D.A con domicilio en Chile.

Como se puede observar, del listado de información que se pretende transferir relativo a los clientes del portal, tienen declarado, entre otra información, lo siguiente:

  • Nombre y apellidos
  • NIF
  • Número de tarjeta de crédito, fecha de caducidad, código CVV

La finalidad de esta transferencia de datos es la de: “Atender ó contactar a los clientes del exportador de los datos para prestarles, por parte del importador de datos, servicios de atención al cliente para la información y venta de billetes y/o entradas de cine, museos, teatro, eventos deportivos y musicales entre otros.”

El 16 de enero de 2012 se autoriza una nueva transferencia internacional, por parte de la actual empresa que gestiona el portal, ENTRADAS SEE TICKETS, S.A., a la sociedad TRANSCOM WORLWIDE PERU, con domicilio en Perú. Los datos a transferir y la finalidad es la misma.

Y finalmente, el día 28 de octubre de 2013 se autoriza una nueva transferencia internacional a la entidad CINÉPOLIS DE MÉXICO, S.A., con domicilio en México, con la misma finalidad y los mismos datos.

Bajo mi punto de vista es ya un peligro que un portal tan conocido y utilizado como entradas.com almacene los códigos CVV de las tarjetas de sus clientes, pero más peligroso aun es que se estén concediendo transferencias internacionales de datos de este sensible código, sin que además el portal informe de esta situación, lo que provoca que al final, los datos de las tarjetas de crédito, incluyendo el CVV, estén circulando por múltiples empresas de varios países. Precisamente el código CVV es una barrera que depende de su confidencialidad, de suerte que si se pierde el control de quién conoce el CVV se pierde la efectividad de esta medida de seguridad.

De hecho lo habitual es encontrarnos con una situación conforme a las normas expuestas donde expresamente se declara que el CVV es muy importante y no se almacena.

Nos podemos fijar por ejemplo en la advertencia que Google hace en su Google Play respecto a este dato:

“Google Wallet solo envía la información del código CVC a tu banco para la autorización inicial de la tarjeta. Para garantizar la seguridad de la información de tu tarjeta de crédito, Google no almacena el código CVC ni lo envía para obtener futuras autorizaciones.”

O el portal de renfe.es, que sin ser un ejemplo de seguridad y usabilidad dice:

“Ya que el número CVV2 se encuentra en su tarjeta de crédito pero no se almacena en ningún lado, la única forma de saber cuál es el número CVV2 correcto es cuando se tiene posesión física de la tarjeta en sí.”

En el caso de entradas.com, la única referencia es esta:

“Introduce, en el campo correspondiente al pago con tarjeta, el número de tu tarjeta, la fecha de caducidad y el CVV2 o código de validación (que son los tres últimos dígitos del número situado en el reverso de la tarjeta). Pulsa FINALIZAR COMPRA.”

No dice nada de que se vaya a almacenar ni mucho menos que otras empresas vayan a tener acceso a ese dato.

El código CVV es tan importante como el código PIN, no lo facilitéis nunca por escrito en un formulario (aquí un ejemplo de formulario en papel donde solicitan el CVV), y mantenedlo siempre custodiado.

[ACTUALIZACIÓN 11-02-2014, 23:01H] Tras una conversación con entradas.com es necesario aclarar algunos puntos que podrían generar confusión.

Desde entradas.com se han puesto en contacto conmigo para aclararme el asunto de los códigos CVV y las transferencias internacionales de datos.
En primer lugar me aseguran sin margen de error que ellos NO almacenan los códigos CVV de las tarjetas de crédito de los usuarios; el motivo por el que aparece en las Resoluciones de transferencia internacional de datos de la Agencia Española de Protección de Datos se debe a un intento de obtener una mayor cobertura legal respecto al tratamiento de datos de los clientes de forma, que sin saber muy bien cómo, se añadió el dato de “CVV” junto al de “tarjeta de crédito/caducidad” a la hora de solicitar la autorización para la transferencia internacional cuando en realidad, según me indican, no almacenan el dichoso CVV. Por tanto hay que dejar claro que aunque en las autorizaciones de la Agencia se mencione el código CVV, entradas.com insiste y asegura que ellos no lo guardan.

En segundo lugar aclarar lo que significa “transferencia internacional de datos” que por los comentarios de algunas personas no parece que haya quedado claro. Cuando se habla de “transferencia internacional de datos” se hace siempre desde la perspectiva de la normativa sobre protección de datos; he intentado explicar al inicio lo que esto significa sin demasiado éxito. En el caso concreto de entradas.com la solicitud de “transferencia internacional de datos” no significa que estén vendiendo o comerciando con los datos con empresas en el extranjero, sino que, según me indica, se descentraliza el tema de la venta telefónica, de forma que los trabajadores de la empresa en México necesitan acceder a los datos que los usuarios aportan en el portal entradas.com para ofrecerles el correspondiente servicio de venta. Esto, como indiqué, es una práctica habitual en las grandes empresas. Por tanto, para que entradas.com pudiera descentralizar su servicio de venta telefónica era necesario que solicitara la autorización de la Agencia Española de Protección de Datos para que, los trabajadores de la empresa mejicana, pudieran acceder a la base de datos, a los efectos de prestar ese servicio (no se están vendiendo datos). La Agencia autorizó a entradas.com a realizar esta “transferencia internacional de datos”, pero esto, insisto, no significa que se esté comerciando con ningún dato.

[ACTUALIZACIÓN 11-03-2014, 11:30h] Me informan desde el departamento de comunicación de entradas.com que el portal ha sido vendido a CTS Eventim AG. Durante el año 2013 entradas.com facturó 110 millones de euros y con casi 14 millones de usuarios únicos gestiona más de 40 millones de entradas al año, a través de sus diferentes canales, genera el 3,5% de las transacciones del e-commerce en España.

En relación a este acuerdo, María Fanjul,  CEO de entradas.com ha indicado que: “Estamos muy contentos de este acuerdo, ya que CTS Eventim  es una compañía líder en ticketing que cuenta con una de las tecnologías más avanzadas del mundo y nos va a permitir reforzar nuestra posición de liderazgo en España, así como continuar desarrollando nuestra expansión internacional en Latinoamérica“.

Según fuentes de la compañía, este acuerdo permite a CTS Eventim la expansión en Europa de la mano del líder del mercado español.

Author: "Samuel Parra" Tags: "Consumidores, Internet, Opinión, confid..."
Comments Send by mail Print  Save  Delicious 
Date: Thursday, 09 Jan 2014 00:25

datos-masivosUn balneario de Madrid requiere a sus clientes responder múltiples preguntas sobre su salud antes de poder acceder a las piscinas; entre estas preguntas, de respuesta obligatoria, nos encontramos con preguntas sobre si se tiene SIDA, hepatitis, enfermedades oncológicas, estar tomando algún medicamento (cuál), y en general si se tiene alguna enfermedad. Planteado ante la Agencia Española de Protección de Datos si un establecimiento privado como un balneario puede exigir responder a estas preguntas para acceder a él, esto es lo que ha respondido.

Antes de entrar en el fondo de la cuestión conviene hacer un breve inciso normativo. La Ley Orgánica de Protección de Datos, como su propio nombre indica, tiene como pretendida finalidad la de proteger nuestros datos de carácter personal; esta protección se consigue en base a varios principios que emanan de esta propia Ley Orgánica. Entre estos principios existe el denominado principio de calidad de datos, que viene contemplado en el artículo 4 de esta norma.

Este principio de calidad de datos tiene diversas vertientes, la que nos interesa aquí es la que expresa el artículo 4.1 que dice así:

“Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.”

Esto es lo que se conoce como principio de proporcionalidad; y parece razonable entender que solo podrán tratar nuestros datos personales si éstos son adecuados y no excesivos para la finalidad que se persiga, en otras palabras, que sean idóneos. Como principio que es, será necesario acudir a cada caso concreto para determinar si una recogida de datos es idónea o no.

Un ejemplo de lo que hablo lo podemos encontrar en el vídeo que la Agencia Vasca de Protección de Datos realizó en el año 2010, donde se dramatizan estos principios relativos a la protección de datos.
A partir del minuto 2:22 vemos la escena en la que el protagonista pretende hacer check in en el hotel donde se va a alojar; la recepcionista comienza a hacerle varias preguntas habituales; hasta ahí todo bien, pero de pronto la chica le pregunta que si puede facilitarle su número de píe… tras un momento de asombro, le responde; la chica sigue rellenando el formulario y termina por preguntarle la orientación sexual, y bueno, lo mejor es verlo.

Esta es una escenificación, exagerada lógicamente, de lo que pretende proteger ese principio de proporcionalidad ¿hace falta conocer el número de píe para hacer check in en un hotel? ¿Y la orientación sexual?

Volvamos a la historia real del balneario. Acompañados con unos amigos fui a un balneario de Madrid; a la hora de hacer el pago para acceder a la piscinas me asombró que todos tuviéramos que rellenar un formulario con nuestros datos personales (en otros balnearios en los que he estado no tienes ni que identificarte); el formulario en cuestión es este.

Cuestionario 1

Formulario 1

 

En primer lugar me asombró que no solo me pidieran mi nombre y apellidos, sino también mi domicilio, teléfono, email, fecha de nacimiento, y DNI. Todos los datos a completar obligatoriamente.

Pero lo que me dejó fuera de servicio fueron las preguntas en el reverso del folio, todas ellas encabezadas con el título “Cuestionario de Salud”.

Cuestionario 2

Formulario 2

Como se puede leer, preguntan, entre otras cosas, si se tiene Hepatitis, SIDA o alguna enfermedad transmisible; enfermedad respiratoria como asma, neumonía; si se tiene alguna alergia o se es alérgico a algún medicamento. Si se padece alguna enfermedad en la piel, como hongos, dermatitis; enfermedades oncológicas, crónicas, etc, etc. Todo esto, recordemos, para acceder a las piscinas del balneario.

Llegados a este punto le indiqué a la recepcionista si era necesario responder a todas las preguntas para entrar a las piscinas, su respuesta lógicamente fue que sí. Intenté dialogar con ella para hacerle ver que para meterme en una piscina parecía ser un cuestionario un tanto excesivo, que ese cuestionario era el mismo que para el resto de actividades que se podían realizar en el balneario (en la primera hoja se puede marcar a qué vas al balneario), pero eran las normas del local.

Entonces me fijé en la cláusula sobre protección de datos para ver cuál es la finalidad del tratamiento de esos datos; en la cláusula como se puede apreciar pone que la finalidad es “gestión fiscal, administrativa, comercial y contable“. Además me advierten que mis datos podrán ser cedidos a las empresas del grupo EL BOSQUE. ¿Qué empresas son esas? (luego las veremos).

En vista del percal, me negué a pasar por el aro. Me negué a seguirle el juego a una empresa que sabía que estaba realizando un tratamiento excesivo de datos personales para una finalidad indebida y con unos posibles destinatarios desconocidos en ese momento para mí.

Ya en casa decidí cuestionar a la Agencia Española de Protección de Datos (AEPD) sobre lo sucedido para que se pronunciara sobre si efectivamente pueden exigir responder este tipo de preguntas para acceder a un balneario o en caso de no responder denegar el acceso. Es importante destacar el hecho de que el formulario es el mismo para todos, vayas a lo que vayas allí. De hecho era obligatorio que respondiera a la pregunta de si estoy embarazado…

La respuesta no se hizo esperar; en la Resolución E/03232/2013 se resuelve, en un par de páginas, el asunto, en base a lo siguiente:

a) Que en la Ley 6/1994, de 24 de noviembre, de balnearios y de aguas minero-medicinales y/o termales, se adjudica la condición de “centro sanitario” a los balnearios.
b) Que no se identifican qué datos de los solicitados considero excesivos y que no aporto informe de facultativo competente que acredite el carácter de excesivo de esos datos solicitados.
c) Que la AEPD no es competente para evaluar la negativa del centro a prestar el servicio si no se aportan esos datos.
d) Que el formulario respeta lo estipulado en el artículo 5 de la LOPD en lo relativo a la finalidad de la recogida de datos.

Dado que no estaba conforme con la interpretación y con el fin de aclarar algunos aspectos, presenté recurso de reposición, en base a los siguientes motivos:

a) Que la Ley 6/1994, de 24 de noviembre, de balnearios y de aguas minero-medicinales y/o termales ha sido indebidamente aplicada, toda vez que el artículo 1 de esta Ley delimita su ámbito de aplicación territorial a los balnearios de la Comunidad Autónoma de Extremadura, y este es un balneario en Madrid.

Frente a esto, la AEPD respondió invocando la definición de la RAE de la palabra “balneario” y el concepto de “termalismo”, todo ello para atribuir la condición de centro sanitario al balneario, amparándose en lo dispuesto en el Real Decreto 1277/2003 de 10 de octubre.

b) Que en el escrito que presenté sí que identifico los datos que considero excesivos (todos los de salud y algunos identificativos, como el DNI, teléfono, domicilio, etc). Que no se me puede exigir aportar documento de facultativo que apoye mi teoría toda vez que lo que pretendo es que precisamente la AEPD se pronuncie sobre la cuestión, en la inteligencia de que es ella la que tiene esa competencia y conocimientos adecuados sobre la materia.

Frente a esto, la AEPD vuelve a repetir que no aporto elemento documental o informe de facultativo competente que acredite el carácter excesivo de los datos y que aquellos que entiendan que el contenido de los cuestionarios tiene un carácter excesivo para la prestación para la que se recogen los datos, son los que cuentan con la carga de acreditar dicho carácter excesivo.

Añade por último que dado que nos encontramos ante un servicio de balneario y que dada sus características puede tener efectos para la salud de los clientes, a juicio de esta Agencia nos encontramos ante una solicitud de datos que no consta que sea inadecuada.

c) Que no se pronuncian sobre la cesión de los datos a las empresas del grupo.

Frente a esto la AEPD indica que no se acredita por mi parte que se haya producido dicha cesión.

Y ello a pesar de que se le facilitó a la AEPD el listado de las empresas que forman parte del grupo, a saber:

  • EL BOSQUE MADRID SIERRA SL
    Objeto Social: LA REALIZACION DE ESTUDIOS POR CUENTA PROPIA O AJENA Y ASESORAMIENTO TECNICO A EMPRESAS, SOBRE TODA CLASE DE OPERACIONES MERCANTILES
  • EL BOSQUE ADVANCE SA
    Objeto Social: REALIZACION DE ESTUDIOS POR CUENTA PROPIA O AJENA Y ASESORAMIENTO TECNICO A EMPRESAS, SOBRE TODA CLASE DE OPERACIONES MERCANTILES E INDUSTRIALES. ADQUISICION, ARRENDAMIENTO, EXPLOTACION Y VENTA DE TERRENOS, EDIFICIOS.
    CNAE 2009: 6810 Compraventa de bienes inmobiliarios por cuenta propia
  • EL BOSQUE DEVELOPMENT SL.
    Objeto Social: LA REALIZACION DE ESTUDIOS POR CUENTA PROPIA O AJENA Y ASESORAMIENTO TECNICO A EMPRESAS, SOBRE TODA CLASE DE OPERACIONES MERCANTILES E INDUSTRIALES,
    CNAE 2009: 5510 Hoteles y alojamientos similares
  • EL BOSQUE INTEGRA SL
    Objeto Social: LA PROMOCION DE SERVICIOS DE BIENESTAR, ASISTENCIALES Y DE CRECIMIENTO PERSONAL
    CNAE: 702 Actividades de consultoría de gestión empresarial
  • EL BOSQUE PONTECALDELAS, SL
    Objeto Social: LOS SERVICIOS DE HOSTELERIA Y RESTAURACION. LOS SERVICIOS DE BALNEARIO. LA EXPLOTACION TURISTICA DE PUBS, CAFETERIAS Y BARES.
    CNAE 2009: 5610 Restaurantes y puestos de comidas

Por todo lo anterior, se desestima igualmente el recurso de reposición.

Aquí la resolución desestimatoria.
Y aquí el recurso de reposición desestimado.

Author: "Samuel Parra" Tags: "Consumidores, En primera persona, Resolu..."
Comments Send by mail Print  Save  Delicious 
Date: Tuesday, 29 Oct 2013 22:30

espiasQue varios países de la Unión Europea se asombren ahora de la existencia de un espionaje masivo en las telecomunicaciones es de una hipocresía sin precedentes. Parece que estos gobiernos han olvidado ya el informe que expuso Gerhard Schmid en julio de 2001 en el Parlamento Europeo, donde indicó: “No hay ninguna razón para seguir dudando de la existencia de un sistema de interceptación de las comunicaciones a nivel mundial en el que participan los EE.UU.[...] sirve para interceptar comunicaciones privadas y de carácter económico“. 

Durante estos días se está hablando mucho del espionaje masivo y casi indiscriminado por parte de EEUU, asombrando a dirigentes y ciudadanos de unos y otros países:

  1. España eleva el tono de las quejas a EE UU por el espionaje masivo 
  2. EE UU promete espiar sólo lo que necesite, no todo lo que pueda 
  3. EEUU acusa a los servicios franceses y españoles de ser los autores del espionaje telefónico 

No voy a entrar a debatir si es legal o ilegal, (David Maeztu por ejemplo ya lo ha hecho), sino que pretendo dar una respuesta a la pregunta ¿de verdad pilla por sorpresa a los gobiernos la existencia de un sistema de interceptación de las telecomunicaciones global? Para ello voy a extraer algunos párrafos de un extenso informe que en julio de 2001 (antes de los atentados del 11-S) se presentó en el Parlamento Europeo por parte del ponente Gerhard Schmid y que pretendía ofrecer algo de luz sobre la existencia o no de un sistema global que interceptase las telecomunicaciones, y vaya si arrojó luz, deslumbró…

Nadie duda de que los países entre sí, como compañeros, se espían. Lo que trato de demostrar aquí es que ya en 2001 se sabía que existía un sistema para interceptar las telecomunicaciones privadas de forma masiva, indicando en ese informe casos concretos conocidos, declaraciones de exmiembros de la NSA y países implicados. Y es importante destacar que esta tecnología y situación es previa a los atentados del 11-S, porque desde entonces todo este sistema ha tenido que evolucionar en gran medida, pero fue sin duda el embrión que permite hoy interceptar esas 60 millones de llamadas entre otras muchas cosas.

El informe, en su versión española, consta de 195 páginas, voy a extraer una selección de aquellos pasajes que me parece más relevantes y que transmiten el mensaje que pretendo comunicar:

El 5 de julio de 2000, el Parlamento Europeo decidió constituir una comisión temporal sobre el sistema de interceptación ECHELON. Esta decisión se adoptó a raíz del debate sobre el estudio encargado por la Scientific and Technological Options Assessment en relación con el denominado sistema ECHELON, que su autor, Duncan Campbell, había presentado con ocasión de una audiencia de la Comisión de Libertades y Derechos de los Ciudadanos, Justicia y Asuntos Interiores, sobre la Unión Europea y la protección de los datos.
Esa comisión temporal tenía como misión comprobar la existencia del sistema de interceptación de comunicaciones conocido por el nombre de ECHELON.

El sistema de interceptación denominado ECHELON se distingue de los otros sistemas de inteligencia en dos propiedades que le confieren características consideradas muy peculiares: en primer lugar, se le atribuye la capacidad de ejercer una vigilancia simultánea de la totalidad de las comunicaciones. Todo mensaje enviado por teléfono, telefax, Internet o correo electrónico, sea cual sea su remitente, puede captarse mediante estaciones de interceptación de comunicaciones, lo que permite conocer su contenido.
Como segunda característica de ECHELON se menciona que este sistema funciona a escala mundial gracias a la cooperación de distintos Estados (el Reino Unido, los Estados Unidos, el Canadá, Australia y Nueva Zelanda), lo que significa un valor añadido en comparación con los sistemas nacionales: los Estados que participan en el sistema ECHELON (los Estados UKUSA) pueden ponerse mutuamente a disposición las instalaciones de escucha e interceptación, sufragar conjuntamente los gastos resultantes y utilizar de manera conjunta la información obtenida.

 

Declaraciones de antiguos empleados de servicios de inteligencia que constan en el informe:

 

Wayne Madsen (antiguo empleado de la NSA): la recopilación de datos económicos es prioritaria y se utiliza en beneficio de empresas de los EE.UU. Teme en especial que ECHELON pueda espiar a ONG como Amnistía Internacional o Greenpeace. Añade que la NSA tuvo que admitir que disponía de más de 1000 páginas de información sobre la princesa Diana porque su campaña contra las minas reflejaba una actitud contraria a la política de los EE.UU. En su reunión con la delegación de la comisión en Washington se mostró especialmente preocupado por el peligro de que el sistema mundial de espionaje supone para la esfera privada de los ciudadanos europeos.

 

Mike Frost (antiguo empleado del servicio secreto canadiense): trabajó durante más de 20 años para el CSE, servicio secreto canadiense. En una entrevista concedida a la CBS, declaró que las conversaciones telefónicas, los correos electrónicos y los fax son supervisados cada día en todo el mundo por ECHELON, una red secreta de vigilancia del Gobierno. Ello afecta también a las comunicaciones civiles. En una entrevista que concedió a un canal de televisión australiano, dijo, a modo de ejemplo, que el CSE había introducido el nombre y el número de teléfono de una mujer en una base de datos de posibles terroristas porque había utilizado una frase ambigua en una conversación telefónica inofensiva con un amigo. Al buscar a través de comunicaciones interceptadas, el ordenador había encontrado la palabra clave y había reproducido la conversación. El analista, que no sabía muy bien qué pensar, registró sus datos personales.
Los servicios de inteligencia de los Estados UKUSA se ayudan mutuamente: un servicio espía por cuenta de otro, de modo que no se puede acusar de nada al servicio de inteligencia nacional. Por ejemplo, el GCHQ pidió al CSE canadiense que espiara a dos ministros británicos porque la Primera Ministra Sra. Thatcher quería saber si estaban de su parte.

 

Fred Stock (antiguo empleado del servicio secreto canadiense): Según sus propias declaraciones, Fred Stock fue expulsado del servicio secreto canadiense, CSE, en 1993 porque había criticado el nuevo énfasis del servicio en la información económica y los objetivos civiles. Las comunicaciones interceptadas contenían información sobre el comercio con otros países, incluidas las negociaciones sobre el NAFTA, la compra de cereales por China y las ventas de armas francesas. Según él, el servicio recibía también habitualmente información sobre acciones de protesta de los ecologistas llevadas a cabo por barcos de Greenpeace en alta mar.

 

Casos que se exponen en el informe que demuestran el uso concreto de ECHELON:

casos

 

Situación jurídica en caso de corrupción de agentes públicos

La justificación estadounidense para el espionaje económico se basa en la referencia a las prácticas de corrupción por parte de empresas europeas.

La corrupción destinada a obtener contratos no es un fenómeno europeo, sino mundial. Según el índice de sobornadores (BIP) publicado en 1999 por Transparency International, en que se clasifica a los 19 principales países exportadores en función de su inclinación a ofrecer sobornos, Alemania y los Estados Unidos comparten el noveno puesto. En el caso de Suecia, Austria, los Países Bajos, el Reino Unido y Bélgica se constató que la práctica del soborno era menor. Solamente España, Francia e Italia estaban situadas en puestos superiores (El grado oscila entre 10 (baja tasa de corrupción) y 0 (tasa de corrupción elevada): Suecia (8,3), Australia (8,1), el Canadá (8,1), Austria (7,8), Suiza (7,7), los Países Bajos (7,4), el Reino Unido (7,2), Bélgica (6,8), Alemania (6,2), EE.UU. (6,2), Singapur (5,7), España (5,3), Francia (5,2), el Japón (5,1), Malasia (3,9), Italia (3,7), Taiwan (3,5), Corea del Sur (3,4) y China (3,1).

 

Conclusiones realizadas en el informe

Con respecto a la existencia de un sistema mundial de interceptación de las comunicaciones privadas y económicas (sistema de interceptación ECHELON).

No hay ninguna razón para seguir dudando de la existencia de un sistema de interceptación de las comunicaciones a nivel mundial en el que participan los EE.UU., el Reino Unido, el Canadá, Australia y Nueva Zelanda en el marco del Acuerdo UKUSA. Teniendo en cuenta indicios disponibles y numerosas declaraciones coincidentes procedentes de círculos muy diferentes, incluidas fuentes estadounidenses, se puede admitir que el nombre del sistema, o de partes del sistema, fue, por lo menos durante un tiempo, “ECHELON”.

Lo importante es que sirve para interceptar comunicaciones privadas y de carácter económico, pero no militares.

 

Recomendaciones (entre otras) emitidas en el informe

    • Se insta a la Unión Europea y a los EE.UU. a que alcancen un acuerdo conforme al cual cada una de las partes aplique con respecto a la otra las disposiciones relativas a la protección del ámbito privado y de la confidencialidad de las comunicaciones entre empresas que son válidas para sus ciudadanos y empresas.

 

    • Se insta a los Estados miembros a que celebren un acuerdo con terceros Estados a fin de conseguir una protección más elevada del ámbito privado de los ciudadanos de la UE y por el que, en caso de que un Estado contractual realice interceptaciones en otro Estado contractual, todos los Estados contractuales informen a éste último sobre las interceptaciones previstas.

 

    • Se insta a la Comisión y a los Estados miembros a que informen a sus ciudadanos y empresas sobre la posibilidad de que sus comunicaciones internacionales sean interceptadas y a que acompañen esta información de ayuda práctica para el desarrollo y la aplicación de amplias medidas de protección, también por lo que se refiere a la seguridad de las tecnologías de la información.

 

    • Se insta a la Comisión y a los Estados miembros a que impulsen proyectos de soportes lógicos cuyo texto de base sea público, ya que este es el único modo de garantizar que no se incluirán “puertas traseras” (“open-source software”) se insta a la Comisión a que fije una norma para la seguridad de los soportes lógicos destinados al intercambio de comunicaciones por vía electrónica, con arreglo a la cual los soportes lógicos cuyo código fuente no sea conocido sean clasificados en la categoría de “menos fiables”.

 

    • Se insta a las Instituciones comunitarias y a las administraciones públicas de los Estados miembros a que encripten sistemáticamente el correo electrónico para que, a largo plazo, la encriptación se convierta en la norma.

 

Opiniones de diputados reflejados en el informe

OPINIÓN de Giuseppe di Lello, Pernille Frahm y Alain Krivine

El informe de la comisión afirma la existencia del sistema de interceptación Echelon, gestionado por distintos Estados, entre los que se cuenta el Reino Unido, Estado miembro de la Unión Europea, con la colaboración de Alemania.
Un sistema de este tipo de interceptación indiscriminada de comunicaciones, datos y documentos viola el derecho fundamental al respeto de la vida privada garantizado por el artículo 8 del Convenio Europeo de Derechos Humanos y por el artículo 6 del Tratado de la Unión Europea.
Por lo tanto, este sistema viola flagrantemente las libertades de los ciudadanos europeos, la lógica del libre mercado y la seguridad de la Unión; sea cual sea nuestro juicio sobre estas lógicas y estos tratados o nuestra oposición a los mismos, estas violaciones son inaceptables.
En sus conclusiones, el informe debería haber pedido al Reino Unido que se disocie del sistema Echelon y a Alemania, que cierre la base de escuchas situada en su territorio. No puede sino lamentarse que la Unión Europea se preocupe más por el espionaje industrial que por las escuchas a particulares.

 

OPINIÓN de Patricia McKenna e Ilka Schröder

El presente informe hace una observación importante al insistir en la existencia de Echelon. Pero se queda corto en las conclusiones políticas. Es hipócrita que el Parlamento Europeo critique la existencia de las prácticas de interceptación de Echelon y al mismo tiempo participe en los planes de establecimiento de un servicio secreto europeo.

Para la mayoría del Parlamento, el centro de interés es la industria, cuyos beneficios se ven presuntamente amenazados por el espionaje industrial. Sin embargo, la cuestión fundamental es que ya nadie puede comunicarse confidencialmente a distancia. El espionaje político es una amenaza mucho mayor que el espionaje económico. El presente informe minimiza constantemente estos peligros que presenta Echelon, y soslaya los planes de interceptación ENFOPOL de la UE. Para cualquier sociedad vivir bajo un control permanente es una decisión fundamental. Con la aprobación del presente informe, el Parlamento Europeo muestra que no le preocupa la protección de los derechos humanos y las libertades fundamentales de los ciudadanos.

 

Toda esta información está extraída íntegramente del informe mencionado; he destacado solo algunos de los puntos que me parecían más interesantes para demostrar que el espionaje que sufrimos actualmente no es ni más ni menos que una evolución de lo que ya se sabía; se sabía y no parece que los Estados implicados y los Estados afectados hayan tomado ninguna medida o iniciativa para evitarlo, al contrario, se deduce que existe una colaboración estrecha entre unos y otros.

El informe completo aquí.

Author: "Samuel Parra" Tags: "Internet, Opinión, Varios, echelon, esp..."
Comments Send by mail Print  Save  Delicious 
Date: Wednesday, 11 Sep 2013 09:22

Pronto finalizará el plazo de preinscripción a la edición 2013-2014 del Curso Especialista Universitario en Protección de Datos y Privacidad. Un año más dará comienzo el prestigioso curso de posgrado organizado por la Facultad de Derecho de la Universidad de Murcia, y el plazo para inscribirse se agota en unos días. Al igual que en ediciones anteriores el número máximo de alumnos es de 50, cifra que suele superarse con creces en la primera fase de la preinscripción por lo que sugiero que quienes estén interesados en realizar el curso formalicen ya su solicitud.

El curso de especialista mantiene su formato online, dividido en varios módulos específicos y contando tanto con actividades individuales como grupales; estará dirigido como desde la primera edición por el profesor D. Julián Valero Torrijos, sobradamente conocido tanto en el ámbito de la protección de datos como en el de la administración electrónica y con una trayectoria profesional y docente impecable.
Los docentes que guiarán y desarrollarán cada uno de los módulos es uno de los puntos fuertes del programa, de forma que tanto si buscas un primer acercamiento en la materia como si pretendes profundizar en los detalles, este curso especialista online está hecho para ti.

El curso comienza el 9 de octubre de 2013, PERO el periodo de preinscripción termina el 20 de septiembre (insisto, si esperáis a última hora os quedaréis sin plaza).

Los temas que se abordarán se agrupan en módulos temáticos, que son los siguientes:

  • Módulo 1: CONCEPTOS JURÍDICOS BÁSICOS EN MATERIA DE PROTECCIÓN DE DATOS Y PRIVACIDAD. 22 octubre al 4 de noviembre de 2013
  • Módulo 2: PRINCIPIOS GENERALES: 5 al 18 de noviembre de 2013
  • Módulo 3: FICHEROS DE TITULARIDAD PÚBLICA: 19 de noviembre al 9 de diciembre de 2013
  • Módulo 4: FICHEROS DE TITULARIDAD PRIVADA: 10 al 23 de diciembre de 2013
  • Módulo 5: PROTECCIÓN DE DATOS E INFORMACIÓN SANITARIA: 7 al 20 de enero de 2014
  • Módulo 6: MARKETING Y PROSPECCIÓN COMERCIAL: 21 de enero al 3 de febrero de 2014
  • Módulo 7: FICHEROS DE SOLVENCIA PATRIMONIAL Y CRÉDITO: 4 al 17 de febrero de 2014
  • Módulo 8: PROTECCIÓN DE DATOS EN LAS TELECOMUNICACIONES: 18 de febrero al 3 de marzo de 2014
  • Módulo 9:TRANSFERENCIA INTERNACIONAL DE DATOS: 4 al 17 de marzo de 2014
  • Módulo 10: ROTECCIÓN DE DATOS EN EL ÁMBITO DE LAS RELACIONES LABORALES. 18 al 31 de marzo de 2014
  • Módulo 11: PROCEDIMIENTOS ADMINISTRATIVOS EN MATERIA DE PROTECCIÓN DE DATOS: 1 al 14 de abril de 2014
  • Módulo 12: MEDIDAS DE SEGURIDAD. Del 29 de abril al 12 de mayo de 2014
  • Seminario: SEGUIMIENTO Y EVALUACIÓN DE CONTENIDOS MULTIMEDIA EN INTERNET del 13 de mayo al 30 de junio de 2014

El curso tiene una duración de 30 créditos ECTS.

Los asociados a APEP tendrán un descuento especial de 100 euros en la cuota de inscripción, que este año está fijada en 600 euros, mismo importe que la edición anterior.

Si queréis más información sobre el curso, podéis obtenerla en este enlace.

 

Author: "Samuel Parra" Tags: "Formación, curso, privacidad, protecci..."
Comments Send by mail Print  Save  Delicious 
Date: Monday, 02 Sep 2013 23:10

justiciaAlgo peor que una “ley” absurda es una ley absurda que no se aplique a quien la crea; la conocida como “ley de cookies” que impone obligaciones de cierta complejidad técnica incluso a simples blogs personales que tengan publicidad bajo la amenaza de fuertes sanciones, resulta no ser de aplicación con carácter general a las webs de la Administración Pública  (Ministerios, Ayuntamientos, Congreso de los Diputados, etc); una “ley” en la que el propio legislador no está obligado a predicar con el ejemplo.

Desde que el pasado 1 de abril entrara en vigor la mal llamada “ley de cookies” (no es técnicamente una ley, sino un apartado de un artículo de una Ley, en concreto el apartado segundo del artículo 22 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (en adelante LSSI)) se han sucedido un gran número de críticas por lo gravoso de su cumplimiento y su poca utilidad práctica. Pablo Burgueño publicaba en su día un completo artículo sobre las obligaciones nacidas de esta “ley de cookies” que recomiendo leer para contextualizar este post.

Durante este periodo de vigencia se han podido leer muchos comentarios de usuarios que se quejaban de que ciertas páginas webs, como la de la DGT, la de la Junta de Andalucía, o la propia de la Agencia Española de Protección de Datos, no cumplían con esta “ley”. Pero lo cierto es que el hecho de que no cumplan obedece a una simple cuestión: no están obligadas a hacerlo, ya que el ámbito de aplicación de la LSSI no alcanza a la Administración Pública.

Así, la LSSI y con ella la “ley de cookies”, es aplicable únicamente a los prestadores de servicios de la sociedad de la información; en otras palabras, personas (físicas o jurídicas) que realicen actividades económicas por Internet u otros medios telemáticos siempre que se reúnan otros requisitos que ahora no vienen al caso; lo relevante es por tanto que se preste un servicio que conlleve actividad económica. Por ello, si un blog personal no incluye publicidad, ni solicita donaciones, ni realiza ninguna actividad económica en él, no está obligado a cumplir con la LSSI ni por supuesto con esta “ley de cookies”.

Y esto mismo sucede con la Administración Pública en general; una Administración Pública no encaja en la definición que hace la LSSI de “prestador de servicios de la sociedad de la información” precisamente por faltar ese elemento económico, esa actividad económica imprescindible, por lo que no le es aplicable la LSSI con carácter general.
Por si hubiera alguna duda, el propio Ministerio de Industria, Energia y Turismo lo deja bien claro en su página web.

Como curiosidad, este mismo Ministerio incurre en una incoherencia al indicar, en el aviso legal relativo a la utilización de las cookies, que el propio Ministerio está obligado a respetar la “ley de cookies”:

“El Ministerio de Industria, Energía y Turismo tiene la obligación por el Real Decreto-ley 13/2012 que modifica la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, de informar y obtener el consentimiento del ciudadano acerca del uso de las cookies en sus páginas web.”.

No cabe por tanto esperar, por ejemplo, que la página web del Congreso de los Diputados vaya a cumplir con esta normativa, a pesar de que instala varias cookies cuando es visitada. O la propia página de La Moncloa, que al menos instala media docena de cookies.
Pero eso sí, ese señor que para intentar incrementar un poco la venta de sus productos decide abrir en Internet y utiliza, por ejemplo, Google Analytics para medir la audiencia de su web, podrá ser sancionado con una multa de hasta 30.000 si no cumple escrupulosamente con los requisitos de esta “ley de cookies”, tan necesaria y útil para proteger nuestra privacidad.

Añadir por último, que aunque la Ley obligara también a la Administración Pública, la página web de la Agencia Española de Protección de Datos, al menos en el momento de escribir este artículo, tampoco necesitaría hacer nada ya que no instala cookies cuando se navega por ella; a excepción (que yo haya encontrado) de cuando se desea realizar el autotest “Evalúa“, pero incluso esta cookie entraría dentro de las exceptuadas según el Grupo de Trabajo del Artículo 29 en su Dictamen 4/2012, por lo que no se encontraría sometida a la “ley de cookies”.

[Actualización 3-9-2013] Me parece oportuno precisar (tal y como me comentan en los comentarios de esta noticia aparecida en Menéame) que aunque si bien es cierto que con carácter general, a la gran mayoría de páginas webs de la Administración no les será de aplicación esta “ley de cookies” sí que es cierto que habrá ocasiones en las que sí les será de aplicación; en la web del Ministerio que citaba anteriormente lo aclaran igualmente:

“Sin embargo, cuando la actividad de una Administración sí tenga un carácter económico (por ejemplo, la venta de libros turísticos por una entidad pública dependiente de un Ayuntamiento), le será aplicable la LSSI. “

Efectivamente, dado lo complejo y lo entramado de nuestra Administración (entiéndase “Administración” en sentido amplio), no será difícil encontrar páginas de Ayuntamientos donde, a través de alguna entidad pública o similar, se oferte algún servicio que sí entraría dentro del concepto que ofrece la LSSI y que por tanto le sería de aplicación la “ley de cookies”.

Author: "Samuel Parra" Tags: "Internet, Opinión, Administración Púb..."
Comments Send by mail Print  Save  Delicious 
Date: Tuesday, 02 Jul 2013 22:35

Diversos servicios de correo electrónico online, como el ofrecido por ONO o Movistar, estarían revelando las cuentas de correo electrónico de sus clientes al ser enviadas en la cadena “referer” cada vez que desde dicha plataforma se hiciera click en algún enlace externo. Esta circunstancia supone vulnerar el deber de secreto que impone el artículo 10 de la Ley Orgánica de Protección de Datos.

Conviene definir algunos conceptos para aquellos lectores que no estén acostumbrados al argot informático, partiendo en primer lugar de ¿qué es el “referer“?

Cuando hablamos aquí de “referer” nos referimos a un campo específico de la cabecera del protocolo HTTP… lo cual aclarará poco para los que no conocieran de primeras el “referer”; pero más que saber lo que es, lo importante es saber qué hace. Este campo sirve para informar “de dónde vienes” cuando vas saltando de una página web a otra; sería como preguntarle al navegador cuando nos visita ¿desde dónde has llegado hasta aquí? y el navegador nos diría la página web (URL) de origen, desde la que venimos, desde la que hemos hecho click en ese enlace.

Veamos un ejemplo muy sencillo. Imagina que estás viendo un vídeo en Youtube (este por ejemplo), fíjate que la URL de ese vídeo es: http://www.youtube.com/watch?v=oHg5SJYRHA0

Bien, si ahora hicieras click en algún enlace de los que allí tenemos (los enlaces existentes en esa página web de Youtube), el protocolo HTTP permite (y lo hace por defecto) enviar la URL desde la que has hecho click, en este caso, enviaría a la página de destino (que puede no ser Youtube) que vienes de http://www.youtube.com/watch?v=oHg5SJYRHA0 e insisto, esa información la recibe la página web de destino por defecto.

Cualquier utilidad que guarde estadísticas sobre los visitantes de una página web, almacenarán, en mayor o menor medida, esta información de los “referers”, de forma que podremos saber cuánta gente nos visita desde búsquedas en Google (y qué buscaba), o desde una página cualquier que nos haya enlazado, en definitiva saber las fuentes de origen del tráfico hacia nuestra página web.

Ahora que ya sabemos qué es esto del “referer” y para qué sirve, vayamos con el problema.

Algunas aplicaciones de gestión de correo electrónico vía web generan cierta información personal en sus URLs mientras vas leyendo tus correos electrónicos; esto significa que si haces click en algún enlace que por ejemplo te hayan enviado por email, vas a enviar esa URL generada por la aplicación de correo electrónico a la página web que te dispones a visitar.

En muchos casos esto no debe suponer ningún problema ya que esas URLs de referencia (el referer) que envías no le va a decir gran cosa al destinatario (a lo sumo que vienes de Gmail o Yahoo, pero nada más); sin embargo he detectado 2 entornos de gestión de correo electrónico que sí que incluyen información personal en sus referers, me refiero a Movistar y a ONO.

Fijáos cómo es un referer típico de Movistar:

  • http://wmail14.movistar.es/cp/ps/Mail/widgets/MailMessageBody?d=telefonica.net&u=XXXXXXXXXXX&contentSeed=d73d9&pct=d109d

En lugar de las “XXXXXXXX” ahi va el nombre de usuario (su dirección de correo electrónico) de la persona que estaba visualizando el email y desde allí saltó a mi blog.

Y mirad el de ONO:

  • http://webmailcpr03.ono.com/cp/ps/Mail/ViewMsgController?d=ono.com&sh=&listPositionNextForSearch=11&sc=&sd=Desc&u=YYYYYYYY&an=ZZZZZZZZZ@ono.com&t=4582d&fpOrigin=
    INBOX&ss=&listPositionPrevForSearch=0&fp=INBOX&uid=NNNNNNN&sl=1&fi=1&dblclick=false

En este caso envía hasta 3 campos sensibles: por un lado el nombre de usuario de esta persona (u=YYYYYY), por otro su dirección de correo electrónico (an=ZZZZZZZZ) y por último, menos importante, el identificador numérico de ese cliente en el sistema de ONO (uid=NNNNNN).

De hecho, haciendo algunas búsquedas en Google podemos encontrar webs de estadísticas que nos van a mostrar cientos de ejemplos con estos datos personales visibles…

¿Y cómo encaja esto en la Ley Orgánica de Protección de Datos?

Veamos, el artículo 10 de la LOPD dice: “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

El “responsable del fichero” en este caso concreto será tanto Movistar como ONO respectivamente, y los datos personales en juego serán esencialmente la dirección de correo electrónico (que se considera dato de carácter personal según nuestra normativa de protección de datos).

Por tanto nos encontraríamos que los sistema de gestión de correo electrónico online de Movistar y ONO estarían revelando las direcciones de correo electrónico de sus clientes (información que deben guardar de forma confidencial); sería eso sí una revelación a sujetos indeterminados pero determinables: todos aquellos que en los referers de entrada de la gente que le visite vengan desde Movistar o desde ONO.

Esta situación, de constatarse por la Agencia Española de Protección de Datos, podría suponer la imputación de una infracción grave, con multa de entre 40000 y 300000 euros.

Author: "Samuel Parra" Tags: "Internet, movistar, ono, referer"
Comments Send by mail Print  Save  Delicious 
Date: Tuesday, 02 Apr 2013 22:08

La Agencia Española de Protección de Datos ha sancionado con 1500 euros a un vecino de Madrid por no retirar unas carcasas de plástico que simulaban ser cámaras de videovigilancia instaladas en la fachada de su vivienda y que enfocaban a parte de la vía pública. La Agencia de Protección de Datos viene insistiendo en la existencia de una prohibición general de captar imágenes de la calle, y que la garantía de la seguridad y la prevención de delitos corresponde en exclusiva a las Fuerzas y Cuerpos de Seguridad del Estado.

La Agencia Española de Protección de Datos ha publicado una resolución con el título “sanción por incumplimiento de requerimiento de retirada de cámaras de videovigilancia ficticias“, en el que, efectivamente, se ha sancionado a un particular, vecino de Madrid, por no acreditar que había retirado unas cámaras ficticias de su fachada, y que enfocaban a varias zonas comunes de la urbanización así como parte de la vía pública (entrada y salida exterior del garaje).

El asunto comienza en la Resolución de Apercibimiento 00136/2011 de 15 de mayo de 2011, donde, tras una denuncia de los vecinos de esta urbanización de Madrid ante la Agencia Española de Protección de Datos, se acuerda apercibir al particular por la instalación de al menos 3 cámaras que enfocaban partes de la urbanización como la pista de pádel, piscina, y otras zonas comunes, así como también las entradas y salidas exteriores del garaje.

Durante la tramitación de este procedimiento de Apercibimiento, el denunciado no llegó a alegar nada, por lo que finalmente, la Agencia decide Apercibir (figura de relativa reciente creación que viene a significar que aunque has vulnerado la normativa sobre protección de datos, concurren ciertos requisitos en el infractor que permiten, en vez de imponer una sanción directamente, simplemente “apercibir”, dar toque de atención, con la cautela eso sí, de que solo se puede acudir a esta figura una vez), constatando que ha vulnerado el artículo 6.1 de la Ley Orgánica de Protección de Datos al, en principio, captar imágenes de personas de la vía pública o de zonas comunes de la urbanización. Pero además de Apercibir, se le requiere para que en el plazo de 1 mes acredite el cumplimiento de ese artículo 6.1, cosa que solo puede hacer retirando esas cámaras, advirtiendo la Agencia de que si no lo hace podría ser sancionado.

Y pasa que transcurre ese mes y el denunciado no acredita nada, por lo que se inicia un nuevo procedimiento, el procedimiento sancionador 00139-2012, de 10 de octubre de 2012 cuyo objeto es, si procede, sancionar por no acreditar la retirada de esas cámaras.

No obstante, durante la tramitación de este procedimiento el denunciado sí que alega varias cosas, las transcribo aquí literalmente:

QUE ESTANDO ACOSADO EN ESTA COMUNIDAD Y PERSEGIDO, CON TODO TIPO DE DENUNCIAS Y AMENAZAS QUE HA PERDIDO LA COMUNIDA EN LOS TRIBUNALES. Y NO SABIENDO QUE MAS BUSCAR SE HAN INVENTADO LA SITUACION ACTUAL, EN RELACCION A UN BULO QUE YO CORRI PARA DISUADIR DE QUE HICIERAN DAÑO A MIS PERTENENCIAS DE LA 1NSTALACION DE CAMARAS LO CUAL ES MENTIRA Y NO ESISTE NINGUN SISTEMA DE GRAVACION NI DE SEGIMIENTO DE NADIE . POR LO QUE NO ENTIENDO ESTA SITUACION EN LA CUAL SEME INCOA UN PROCEDIMIENTO SI COMPROBAR LA VERACIDAD DE LOS HECHOS. O EN SU DEFECTO PRUEVA DE LA EXISTENCIA DE IMÁGENES MAL USADAS DE ALGIEN, SIENDO UN HOGAR PARTICULAR NORMAL QUE DADA LA PENURIA ECONOMICA NO TENEMOS NI PARA LAS ALARMAS QUE SE CÓMERCIALIZAN PARA LOS HOGARES MUCHO MENOS PARA INSTALAR SYSTEMAS DE GARBACION Y SEGIMINENTO QUE DICEN LOS VECINOS. SOLICITO: EL DESESTIMIENTO DEL PROCEDIMIENTO Y QUE NO SE COMUNIQUE A LAS PARTES LA ESISTENCIA DE LOS BULOS, YA QUE ESTE HECHO ELIMINARÍA EL EFECTO DISUASORIO QUE ASTA AHORA HA IDO TAMBIEN, PRODUCIENDO EL EFECTO CONTRARIO DE SOLUCIONAR LA SITUACION A DAÑAR A UNAS DE LAS PARTES.”

Y concluye en otro momento procesal distinto:

Con el fin de probar la persecución a la que me veo sometido por la comunidad, y no sabiendo que exponer mas que la utilización torticera de la ley por parte de la comunidad, cosa que no digo yo si no en la sentencia que les facilito como prueba de lo expuesto en la cual queda acreditado dichos hechos por los jueces de la sala.
Reiterar que no tengo ningún sistema de grabación, ni siquiera de seguridad (Alarma etc…). que no guardo imagen alguna de nadie. Siendo un padre de familia en paro en los tiempos que corren y con tres hijos me es imposible asumir sanción alguna y menos 4000 euros, sin saber en base a que es la misma.“.

La Agencia no obstante viene manteniendo una postura firme en relación a la instalación de cámaras ficticias o carcasas de plástico que simulan ser cámaras; así, por ejemplo, en el procedimiento E/00888-2010 (entre otros muchos), donde un particular también fue denunciado por instalar cámaras en su ventana para proteger su vehículo de algunos gamberros, alegó que dichas cámaras eran de mentira, y la Agencia respondió:

En supuesto presente, no existe constancia de que las cámaras instaladas en el lugar denunciado funcionen y capten imágenes de personas, por lo que de acuerdo con los principios de presunción de inocencia, que impide imputar una infracción administrativa cuando no se haya obtenido y acreditado una prueba de cargo acreditativa de los hechos que motivan la imputación o de la intervención en los mismos del presunto infractor, e “in dubio pro reo”, que obliga en caso de duda respecto de un hecho concreto y determinante a resolver dicha duda del modo más favorable al interesado, procede el archivo las presentes actuaciones.
No obstante, resultaría plenamente fundada la imposición de una sanción si en el futuro continuaran ubicadas las cámaras en el establecimiento, pues tal circunstancia podría constituir prueba indiciaria suficiente para determinar que las citadas cámaras se encuentran en funcionamiento y enervar el principio de presunción de inocencia, pudiendo imputarse la comisión de las infracciones que resulten de la aplicación de la LOPD que podrían ser sancionadas, de conformidad con el régimen sancionador previsto en la citada Ley, con multas de hasta 300.506,05 €”

En otras palabras, aunque la cámara sea falsa, podría no obstante dar la sensación en el futuro de que sí que están grabando, y esto sí podría ser un problema.

Volviendo al caso de nuestro amigo, a pesar de que alegó que dichas cámaras eran de mentira y todo eso, la Agencia termina imponiéndole una sanción de 1500 euros, basada, tal y como indica la Agencia:

En esta ocasión, la infracción que se considera es la falta de atención al requerimiento realizado por el Director de esta Agencia, sin que puedan considerarse en esta ocasión alegaciones respecto de infracciones no imputadas en este procedimiento. En este expediente ha quedado acreditada la falta de atención al requerimiento efectuado por el Director de esta Agencia, infracción que ahora se imputa.
El hecho constatado de la falta de atención al requerimiento del Director de esta Agencia Española de Protección de Datos al imputado en este procedimiento, establece la base de facto para fundamentar la imputación de la infracción“.

Esto es, la sanción se produce porque cuando le requirieron para que quitara las cámaras ficticias otorgándole ese plazo de 1 mes para notificar dicha retirada, no lo hizo, a pesar de que las cámaras eran de mentira. Considero este caso un ejemplo de sanción por parte de la Agencia Española de Protección de Datos en el que en ningún momento pudo entrar en juego la normativa sobre protección de datos toda vez que nunca hubo datos personales de por medio y quizá, la primera resolución de Apercibimiento nunca debió haberse producido ya que no existían pruebas de que las cámaras del vecino estuvieran funcionando, o como en el caso concreto, fueran reales.

A colación de esto, veo necesario recordar la postura de la Agencia Española de Protección de Datos en lo que se refiere a la grabación de imágenes en espacios públicos, repetida en multitud de resoluciones, como por ejemplo en el procedimiento A/00132/2011  donde la Agencia aclara que:

Debe tenerse en cuenta que las videocámaras no podrán captar imágenes de las personas que se encuentren fuera de la propiedad particular ya que el tratamiento de imágenes en lugares públicos sólo puede ser realizado, salvo que concurra autorización gubernativa, por las Fuerzas y Cuerpos de Seguridad, o que opere la excepción establecida el artículo 4.3 de la Instrucción 1/2006 de esta Agencia que establece: “las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos salvo que resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquellas. En todo caso deberá evitarse cualquier tratamiento de datos innecesario para la finalidad perseguida”.

De este modo, se constata que el denunciado trata imágenes de la vía pública o de las personas que se encuentran en el exterior del local, lo que supone la realización de un tratamiento de datos de carácter personal sin contar con la cobertura de la LSP a los efectos del principio del consentimiento, toda vez que dicha norma resulta de aplicación únicamente a los espacios y entornos privados. Ha de tenerse en cuenta que la prevención del delito y la garantía de la seguridad en las vías públicas corresponden en exclusiva a las Fuerzas y Cuerpos de Seguridad del Estado. Es decir, la regla general es la prohibición de captar imágenes de la calle desde instalaciones privadas.

A veces también resulta necesario captar los accesos, puertas o entradas, de modo que aunque la cámara se encuentre en el interior del edificio, resulta imposible no registrar parte de lo que sucede en la porción de vía pública que inevitablemente se capta.
Para que esta excepción resulte aplicable, no deberá existir una posibilidad de instalación alternativa. Debiendo tenerse en cuenta que:

- El responsable del fichero adecuará el uso de la instalación de modo que el impacto en los derechos de los viandantes sea el mínimo posible.

- En ningún caso se admitirá el uso de prácticas de vigilancia más allá del entorno objeto de la instalación y en particular en lo que se refiere a los espacios públicos circundantes, edificios contiguos y vehículos distintos de los que accedan al espacio vigilado.”.

Author: "Samuel Parra" Tags: "Multas, cámaras, ficticias"
Comments Send by mail Print  Save  Delicious 
Date: Monday, 25 Mar 2013 23:15

Desde hace algún tiempo se viene observando una gran cantidad de vídeos grabados por conductores rusos en los que ellos o terceros son objeto de accidentes o “intentos de accidentes”. Según varias fuentes, allí las compañías aseguradoras exigen la instalación de una cámara que grabe lo que sucede mientras conduces, motivo por el cual existen tantos vídeos de este tipo en la red; pero la pregunta es ¿sería legal en España instalar una cámara en nuestro coche que grabe el exterior mientras conducimos? 

El fenómeno de los accidentes rusos grabados en vídeo ha incidido con fuerza en los últimos meses, existiendo incluso recopilatorios de “los más impactantes”, “los más cómicos” o “los más extraños”, echad un vistazo. Como se indicaba, existen tantos vídeos grabados en aquella zona del mundo gracias a que las compañías aseguradoras obligan a instalar cámaras en los coches para que, en caso de accidente, se pueda ver lo que ha ocurrido realmente, pues, según parece, el fraude en la simulación de accidentes en Rusia supera los límites razonables, así como las conducciones temerarias. Por este motivo, casi todos los coches tienen una cámara instalada en su salpicadero que graba todo lo que sucede mientras conducen.

Pero si se os ha ocurrido hacer lo mismo en España, quizá os merezca la pena saber que dice la Ley Orgánica de Protección de Datos y la doctrina de la Agencia Española de Protección de Datos en lo que respecta a la grabación de imágenes en la vía pública.

La primera cuestión es determinar si lo que vamos a grabar con la cámara se puede considerar “dato de carácter personal” que es lo que protege esta ley y su Agencia, y no los gatos como alguna sugirió hace tiempo.
Es indudable que mientras circulemos con el coche, la cámara grabará con toda seguridad a las personas que circulen por la calle e incluso las matrículas de los vehículos correspondientes.

La imagen personal se considera dato de carácter personal, no me extenderé mucho sobre esto, a día de hoy está claro:

El artículo 5.1. f) del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, define datos de carácter personal como:
Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, concerniente a personas físicas identificadas o identificables”.

En este mismo sentido se pronuncia el artículo 2.a) de la Directiva 95/46/CE del Parlamento y del Consejo, de 24 de octubre de 1995, relativa a la Protección de las Personas Físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, según el cual, a efectos de dicha Directiva, se entiende por dato personal “toda información sobre una persona física identificada o identificable; se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social”.

Queda claro pues que con la cámara captaremos datos personales, por lo que quedamos sujetos a lo establecido por la Ley Orgánica de Protección de Datos (LOPD).

Por otro lado la matrícula de los vehículos también se considera un dato de carácter personal, tal y como se indicó aquí en su día.

Ahora vayamos a lo que dice la LOPD; el artículo 6.1 consagra el principio de consentimiento o autodeterminación y dispone que:
El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.

Este mismo artículo enumera luego una serie de excepciones en las que no se requerirá el consentimiento, pero en la que no encajaría nuestra conducta.

Pero además, la Instrucción 1/2006 de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras, indica en su artículo 4: “las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos salvo que resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas.

Por tanto, aunque la cámara esté instalada en un espacio privado, no podremos captar imágenes de espacios públicos y además vamos a necesitar, con carácter general, el consentimiento de las personas que captemos, además de informar de esta recogida de datos personales, según lo dispuesto en el artículo 5.1 de la misma LOPD, en lo que no me voy a extender.

Dicho lo cual, el asunto está claro: necesitamos el consentimiento de todas aquellas personas a las que grabemos por la calle si queremos respetar la normativa sobre protección de datos.

Y ya se han producido muchas sanciones por grabar lo que no se debía, aquí van algunos ejemplos que os pueden servir para profundizar en el tema:

- 600 euros de multa a un chaval que intentó grabar, desde su casa, a la vecina de enfrente.

- 600 euros de multa a una anciana que grabó, desde su casa, 30 centímetros del rellano.

- 2000 euros de multa a un particular por tener varias cámaras enfocando a calle.

- 2000 euros de multa por no avisar que nos están grabando.

Author: "Samuel Parra" Tags: "Consumidores, Opinión, Varios, cámaras..."
Comments Send by mail Print  Save  Delicious 
Date: Wednesday, 20 Feb 2013 22:43

Una empresa ha sido sancionada por enviar una única carta de publicidad al domicilio de la denunciante sin contar con su consentimiento. En concreto, la Agencia Española de Protección de Datos constata que la empresa que envió la carta trató los datos relativos a nombre, apellidos y dirección sin el consentimiento de su titular para hacerle llegar una oferta promocional, por lo que procede que sea sancionada con 100.000 euros de multa.

No, no es una errata, no hablo de “cien coma cero cero cero euros”, son “cien mil euros”, y qué duda cabe que imponer una sanción de 100.000 euros a una S.L. por enviar una comunicación comercial por vía postal al domicilio de una persona que no dio su consentimiento para recibir este tipo de comunicaciones, puede resultar un poquito excesivo.

Pero esto es lo que le ha pasado a la sociedad Todo Data Integral Services S.L. que ha visto como el pasado 14 de junio de 2012 le sancionaban por enviar una carta de publicidad al domicilio de un particular que posteriormente denunció a esta empresa.
La Agencia Española de Protección de Datos (AEPD), en su Resolución, declara que esta mercantil “registro en su fichero automatizado y utilizo los datos de la denunciante concretándose en nombre y apellidos, dirección con piso y puerta, sin poder acreditar ninguna circunstancia que legitime dicho tratamiento de datos“.

En efecto, para poder realizar ese envío publicitario, la empresa tuvo que tratar los datos personales (nombre, apellidos y dirección) de la denunciante, y al no contar con su consentimiento se produce una infracción de la Ley Orgánica de Protección de Datos, en concreto una infracción del artículo 6.1 que recoge el principio general de consentimiento que viene a indicar sencillamente que para el tratamiento de nuestros datos personales se requiere nuestro consentimiento.
En el caso de que alguien tratara nuestros datos personales sin nuestro consentimiento, se produce una infracción grave, que lleva aparejada una multa de entre 40001 y 300000 euros.

A pesar de estas sanciones astronómicas por la comisión de una infracción grave, la propia normativa de protección de datos permite rebajar “en grado” estas sanciones, derivado del principio de proporcionalidad de la sanción y el hecho ilícito cometido, de forma que ante infracciones graves es posible que se aplique la escala de sanciones leves, cuyas multas van de los 900 a los 40000 euros. No obstante, y a pesar de la petición de la empresa de la aplicación de esta excepción, la AEPD la deniega argumentando que no se dan las circunstancia para apreciar esta atenuante y porque además ya en 2011 fue sancionada también por vulnerar la normativa de protección de datos.

A la luz de todo lo anterior, pudiendo sancionar entre los 40001 y los 300000 euros, terminan imponiendo una sanción de 100000 euros.

Ahora bien, me gustaría destacar algunos elementos de esta Resolución por cuanto me parecen curiosos:

1º: Durante la tramitación del procedimiento sancionador, la sociedad sancionada solicitó copia del expediente administrativo; solicitar copia de un expediente administrativo sancionador es más que necesario si se quiere preparar adecuadamente una defensa pues en él se contienen todos los documentos que serán tenidos en cuenta para la Resolución.
Pues bien, como digo, se solicita copia del expediente el día 16 de febrero de 2012, pero el 28 de febrero el solicitante recibe una comunicación del Instructor indicándole que para que pueda acceder al expediente es necesario que proporcione un número de teléfono al que poder contactar con él para avisarle de cuándo puede pasar por la sede de la Agencia a recoger el expediente.

Esto sin duda es atípico…

En respuesta a esa notificación, ese mismo día, la empresa informa al instructor por email para que, por favor, les indique por esta misma vía cuándo pueden pasarse a recoger el expediente y que quedan a su disposición en el email, afirmando que no pueden exigirles requisitos no legalmente impuestos para acceder al expediente.
El Instructor le responde por vía postal el 12 de marzo de 2012 indicándole:

a) Que “desde esta Agencia no se le está exigiendo requisito no impuesto legalmente como aduce en su escrito, simplemente se le está pidiendo un medio de contacto que acredite su identidad, (ya sea teléfono o cualquier otro…) para que usted conozca cuando está disponible la copia del expediente que solicita. Circunstancia que está dentro de toda lógica y sentido común, es decir, usted ejerce su derecho de vista del expediente, y desde esta administración se le pregunta cómo podemos comunicarle cuando ésta realizada dicha copia.”

b) Que: “En segundo lugar, si bien el medio del correo electrónico procura un medio ágil para las comunicaciones, no es un medio que ofrece totales garantías de seguridad e integridad en las comunicaciones y su contenido, ni el envío y ni la recepción, así como la verdadera identidad de los interlocutores.
La dirección de correo electrónico no cumple las medidas de autenticación y seguridad de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, ni de la Ley 59/2003, de 19 de diciembre, de firma electrónica, ni tampoco cumple el Título VIII del RD 1720/2007, Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, en lo referente a las medidas de seguridad.

Y me pregunto yo ¿y un número de teléfono sí?

c) Por último le dice el Instructor que ya está disponible su expediente y que puede pasarse a recogerlo en la sede de la Agencia entre las 11:30 y las 12:30 horas, eso sí, cualquier día de la semana.

Cabe añadir que el sancionado no pasó a recoger el expediente, según indica la Resolución sancionadora.

El sancionado además solicitó la recusación del inspector y la iniciación de un procedimiento disciplinario contra él, aunque se ignoran los motivos por lo que solicitaban esto pues no se indican en la Resolución, a lo que la Agencia responde que: “En atención a la solicitud de inicio de procedimiento disciplinario y la posible causa de recusación formulada contra el instructor tanto en las alegaciones al acuerdo de inicio como en las formuladas a la propuesta de resolución, cabe señalar que tales manifestaciones han sido valoradas y resueltas en pieza separada, obrante en los folios 74 a 80, por lo que nada tiene que referenciarse en la presente resolución, habiendo sido notificado su resultado a entidad imputada.”

Pero me gustaría advertir otro detalle.
Como he dicho antes, esta misma empresa fue sancionada en 2011 y por eso se entendió que era reincidente (la Resolución sancionadora referencia al PS 00114/2011); el dato curioso es que esa sanción de 2011 no fue iniciada por denuncia de ningún particular, sino que se realizó de oficio por esta Agencia, siendo uno de los poquísimos casos en los que la Agencia interviene de oficio. En aquel entonces se sancionó a la empresa con una multa de 70000 euros, aunque no por enviar publicidad. No obstante, esta misma empresa sí fue sancionada en 2011 por enviar otra carta de publicidad sin consentimiento, entonces fue sancionada con 120.000 euros.

En total esta empresa acumula 220.000 euros en multas por enviar 2 cartas de publicidad y otra multa de 70.000 iniciada de oficio por la Agencia.

Por último, en relación a la reincidencia aducida en esta Resolución sancionadora, llama la atención que sí que se aprecie reinciencia en este caso concreto, pero no por ejemplo frente a otras entidades que han podido recibir más de 200 sanciones en un año por infringir el mismo precepto de la normativa sobre protección de datos.

Aquí la Resolución sancionadora comentada.

Author: "Samuel Parra" Tags: "Multas, Resoluciones, envío de publicid..."
Comments Send by mail Print  Save  Delicious 
» You can also retrieve older items : Read
» © All content and copyrights belong to their respective authors.«
» © FeedShow - Online RSS Feeds Reader