Una empresa ha sido sancionada por enviar una única carta de publicidad al domicilio de la denunciante sin contar con su consentimiento. En concreto, la Agencia Española de Protección de Datos constata que la empresa que envió la carta trató los datos relativos a nombre, apellidos y dirección sin el consentimiento de su titular para hacerle llegar una oferta promocional, por lo que procede que sea sancionada con 100.000 euros de multa.

No, no es una errata, no hablo de “cien coma cero cero cero euros”, son “cien mil euros”, y qué duda cabe que imponer una sanción de 100.000 euros a una S.L. por enviar una comunicación comercial por vía postal al domicilio de una persona que no dio su consentimiento para recibir este tipo de comunicaciones, puede resultar un poquito excesivo.

Pero esto es lo que le ha pasado a la sociedad Todo Data Integral Services S.L. que ha visto como el pasado 14 de junio de 2012 le sancionaban por enviar una carta de publicidad al domicilio de un particular que posteriormente denunció a esta empresa.
La Agencia Española de Protección de Datos (AEPD), en su Resolución, declara que esta mercantil “registro en su fichero automatizado y utilizo los datos de la denunciante concretándose en nombre y apellidos, dirección con piso y puerta, sin poder acreditar ninguna circunstancia que legitime dicho tratamiento de datos“.

En efecto, para poder realizar ese envío publicitario, la empresa tuvo que tratar los datos personales (nombre, apellidos y dirección) de la denunciante, y al no contar con su consentimiento se produce una infracción de la Ley Orgánica de Protección de Datos, en concreto una infracción del artículo 6.1 que recoge el principio general de consentimiento que viene a indicar sencillamente que para el tratamiento de nuestros datos personales se requiere nuestro consentimiento.
En el caso de que alguien tratara nuestros datos personales sin nuestro consentimiento, se produce una infracción grave, que lleva aparejada una multa de entre 40001 y 300000 euros.

A pesar de estas sanciones astronómicas por la comisión de una infracción grave, la propia normativa de protección de datos permite rebajar “en grado” estas sanciones, derivado del principio de proporcionalidad de la sanción y el hecho ilícito cometido, de forma que ante infracciones graves es posible que se aplique la escala de sanciones leves, cuyas multas van de los 900 a los 40000 euros. No obstante, y a pesar de la petición de la empresa de la aplicación de esta excepción, la AEPD la deniega argumentando que no se dan las circunstancia para apreciar esta atenuante y porque además ya en 2011 fue sancionada también por vulnerar la normativa de protección de datos.

A la luz de todo lo anterior, pudiendo sancionar entre los 40001 y los 300000 euros, terminan imponiendo una sanción de 100000 euros.

Ahora bien, me gustaría destacar algunos elementos de esta Resolución por cuanto me parecen curiosos:

1º: Durante la tramitación del procedimiento sancionador, la sociedad sancionada solicitó copia del expediente administrativo; solicitar copia de un expediente administrativo sancionador es más que necesario si se quiere preparar adecuadamente una defensa pues en él se contienen todos los documentos que serán tenidos en cuenta para la Resolución.
Pues bien, como digo, se solicita copia del expediente el día 16 de febrero de 2012, pero el 28 de febrero el solicitante recibe una comunicación del Instructor indicándole que para que pueda acceder al expediente es necesario que proporcione un número de teléfono al que poder contactar con él para avisarle de cuándo puede pasar por la sede de la Agencia a recoger el expediente.

Esto sin duda es atípico…

En respuesta a esa notificación, ese mismo día, la empresa informa al instructor por email para que, por favor, les indique por esta misma vía cuándo pueden pasarse a recoger el expediente y que quedan a su disposición en el email, afirmando que no pueden exigirles requisitos no legalmente impuestos para acceder al expediente.
El Instructor le responde por vía postal el 12 de marzo de 2012 indicándole:

a) Que “desde esta Agencia no se le está exigiendo requisito no impuesto legalmente como aduce en su escrito, simplemente se le está pidiendo un medio de contacto que acredite su identidad, (ya sea teléfono o cualquier otro…) para que usted conozca cuando está disponible la copia del expediente que solicita. Circunstancia que está dentro de toda lógica y sentido común, es decir, usted ejerce su derecho de vista del expediente, y desde esta administración se le pregunta cómo podemos comunicarle cuando ésta realizada dicha copia.”

b) Que: “En segundo lugar, si bien el medio del correo electrónico procura un medio ágil para las comunicaciones, no es un medio que ofrece totales garantías de seguridad e integridad en las comunicaciones y su contenido, ni el envío y ni la recepción, así como la verdadera identidad de los interlocutores.
La dirección de correo electrónico no cumple las medidas de autenticación y seguridad de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, ni de la Ley 59/2003, de 19 de diciembre, de firma electrónica, ni tampoco cumple el Título VIII del RD 1720/2007, Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, en lo referente a las medidas de seguridad.”

Y me pregunto yo ¿y un número de teléfono sí?

c) Por último le dice el Instructor que ya está disponible su expediente y que puede pasarse a recogerlo en la sede de la Agencia entre las 11:30 y las 12:30 horas, eso sí, cualquier día de la semana.

Cabe añadir que el sancionado no pasó a recoger el expediente, según indica la Resolución sancionadora.

El sancionado además solicitó la recusación del inspector y la iniciación de un procedimiento disciplinario contra él, aunque se ignoran los motivos por lo que solicitaban esto pues no se indican en la Resolución, a lo que la Agencia responde que: “En atención a la solicitud de inicio de procedimiento disciplinario y la posible causa de recusación formulada contra el instructor tanto en las alegaciones al acuerdo de inicio como en las formuladas a la propuesta de resolución, cabe señalar que tales manifestaciones han sido valoradas y resueltas en pieza separada, obrante en los folios 74 a 80, por lo que nada tiene que referenciarse en la presente resolución, habiendo sido notificado su resultado a entidad imputada.”

Pero me gustaría advertir otro detalle.
Como he dicho antes, esta misma empresa fue sancionada en 2011 y por eso se entendió que era reincidente (la Resolución sancionadora referencia al PS 00114/2011); el dato curioso es que esa sanción de 2011 no fue iniciada por denuncia de ningún particular, sino que se realizó de oficio por esta Agencia, siendo uno de los poquísimos casos en los que la Agencia interviene de oficio. En aquel entonces se sancionó a la empresa con una multa de 70000 euros, aunque no por enviar publicidad. No obstante, esta misma empresa sí fue sancionada en 2011 por enviar otra carta de publicidad sin consentimiento, entonces fue sancionada con 120.000 euros.

En total esta empresa acumula 220.000 euros en multas por enviar 2 cartas de publicidad y otra multa de 70.000 iniciada de oficio por la Agencia.

Por último, en relación a la reincidencia aducida en esta Resolución sancionadora, llama la atención que sí que se aprecie reinciencia en este caso concreto, pero no por ejemplo frente a otras entidades que han podido recibir más de 200 sanciones en un año por infringir el mismo precepto de la normativa sobre protección de datos.

Aquí la Resolución sancionadora comentada.

Resulta evidente que existe una grave crisis en el periodismo actual; los principales medios de comunicación producen esa “noticia basura” en cadena, que se cocina en 3 minutos, no informa, contiene altos niveles de imprecisiones, falsedades o invenciones y lo aderezan todo con cantidades industriales de sensacionalismo. La fast-news tiene como único objetivo generar visitas si se dispensa por Internet o vender ejemplares si se distribuye en la calle, no pretende informar.

Cualquier ciudadano que tenga la mente mínimamente abierta y sepa distinguir lo blanco de lo negro se habrá percatado que los medios de comunicación tradicionales, esos que llegan a las masas, se han convertido en un vertedero de opiniones, algunas más fundamentadas que otras, y pocas informaciones. Esto siempre ha sido así, pero en mucha menor medida. Hoy en día es complicado encontrar una noticia de verdad, de esas que informan de la realidad de este universo (no de alguno paralelo) de forma objetiva en cualquier medio de comunicación masivo.
La cosa ha llegado hasta el extremo de que si uno quiere estar informado de verdad, tiene que acudir a blogs personales de gente especializada en ese tema concreto, y huir del medio clásico si no quiere vivir en una constante desinformación muy peligrosa.

A este tipo de noticias las denomino “noticia basura” o “fast news” en comparación con la “comida basura” o “fast food”. Miremos la siguiente tabla comparativa:

Como se puede observar, esta noticia basura tiene unas características muy similares a la comida basura: al igual que la comida basura no pretende alimentar, la noticia basura no pretende informar. Al igual que la comida basura contiene aditivos y potenciadores del sabor, la noticia basura contiene sensacionalismo desbordante, y etc.

Pero no es este un blog sobre periodismo y este no pretende ser un post sobre la crisis del periodismo. ¿Qué tiene que ver esto de la noticia basura con la protección de datos? Pues algo tiene.

En no pocas ocasiones la noticia basura afecta a la esfera íntima y personal de particulares anónimos, que sin venir a cuento son mencionados en noticias basura para generar morbo y atraer audiencia o visitas (o simplemente para dañar la imagen de esa persona deliberadamente). Esto es, la noticia basura puede afectar muy negativamente a la reputación de una persona o a su privacidad, sin estar justificado y sin importar si lo que se dice de ellos es verdad o no (recordemos que la noticia basura no pretende informar). De esto podemos encontrar ejemplos todos los días en la prensa y en la televisión, pero voy a poner un ejemplo que me parece muy claro:

Medio: Antena 3
Programa: Espejo Público.
Fecha: 8 de noviembre de 2012

Espejo Público es uno de esos programas de televisión, como el homólogo en Telecinco, que todos los días, con la “excusa” de informar (de cocinar la notica basura), daña la privacidad o la reputación de alguna persona. Vayamos el ejemplo.

El contexto es la tragedia del Madrid Arena. Los periodistas de Espejo Público descubren algo muy importante sobre este asunto, resulta que el administrador único de la sociedad Kontrol 34 es, en palabra de estos periodistas, “un violento skin” y un “peligroso neonazi” ¿y en qué se basan estos periodistas para afirmar tal cosa? Pues fuentes totalmente fiables y actualizadas: la hemeroteca. Pero no la hemeroteca de hace unos meses, no, estos periodistas deducen que este señor es un peligroso neonazi porque en el año 1987 aparece mencionado en una noticia en la que se dice que intentó apuñalar a un policía. Después de esa noticia de 1987 no hay nada más sobre este señor (como por ejemplo si fue condenado o no, que resulta ciertamente importante), pero ya este dato aislado de hace 26 años sin contrastar es suficiente para catalogar a este señor de “peligroso neonazi” y “violento skin”. Es por ello que si se busca en Google el nombre de esta persona solo aparecen “noticias” donde se le etiqueta de peligroso y violento neonazi para arriba.

El vídeo de este momento del programa Espejo Público del 8 de noviembre de 2012 ya no está en la página web oficial, pero lo he encontrado subido en una plataforma de reproducción de videos online:

Video 1: http://www.magnovideo.com/?v=W8HJOTW

Por si acaso lo borran, transcribo aquí lo que se dice:

- Susana Griso: “Lo peor de esto esto es que esta empresa la dirige una persona con antecedentes penales, un violento skin”
Subtítulo “un peligroso neonazi responsable de la seguridad”
- Colaborador: “Lo van a ver, porque hemos podido investigar y seguirle el rastro a Kontrol34…”
- Colaborador: “lo que están viendo es una nota del registro mercantil donde se encuentra registrada Kontrol34…su administrador único es “Juan Carlos García Perdiguero”. Hemos echado un vistazo a la hemeroteca y nos hemos llevado una desagradable sorpresa, allá por 1987, Juan Carlos García Perdiguero era motivo de noticia en el diario ABC, pero los motivos eran bien distintos”.
- Colaborador: “un intento de apuñalamiento a un policía municipal antes del partido At. Madrid-Athlétic, acabó con la detención de Juan Carlos”.
- Colaborador: “sí, el titular “el administrador único de Kontrol34 intentó apuñalar a policía municipal”, ahora administra la empresa de seguridad que…”

Como se puede comprobar, para Susana Griso, “lo peor de lo ocurrido en el Madrid Arena” es que el administrador de una de las empresas implicadas de alguna forma es una persona con antecedentes penales, un violento skin (lo de que han muerto personas es menos importante parece). Y en pantalla se imprime “un peligroso neonazi responsable de la seguridad” (hay diferencia entre ser el administrador de una sociedad y ser el responsable de la seguridad en un evento concreto).

Y luego tenemos el titular del colaborador: “el administrador único de Kontrol34 intentó apuñalar a policía municipal” (le ha faltado añadir un dato sin importancia, que ese intento de apuñalamiento fue hace 26 años).

Pero fijaros ahora en este segundo vídeo, que ocurre justo después, cuando otra colaboradora viene a puntualizar todo lo que han dicho anteriormente porque precisamente sabe que están exagerando y manipulando:

Video 2: http://www.magnovideo.com/?v=I2L36VSG

Transcribo por si borran:

Colaboradora: “bueno, lo que habría que ver es si efectivamente este hombre fue condenado en su día y si los antecedentes ya están cancelaos ¿eh? porque hablamos del año 87 y eso habría que darle una vuelta más…”.

Una vuelta no, 38 vueltas lo menos.

Este es un ejemplo de noticia basaura o fastnews, realmente poco importa lo que el administrador de una de las sociedades implicadas en el Madrid Arena hiciera cuando era joven hace 26 años, pero gracias a la receta sensacionalismo+mentiras+morbo = noticia basura estupenda para ser consumida a media mañana.

La necesidad que parece que tienen los medios de ser los primeros en dar una noticia, sin preocuparse de contrastar lo más mínimo, provoca este tipo de noticias basura. Otro ejemplo es el titular que se publicaba en Cadena Ser, El Mundo o Europa Press el 11 de diciembre de 2012, en el que se afirmaba que “El juez admite una querella contra Ana Botella por homicidio imprudente“, y donde se podía leer: “El juez Eduardo López Palop, que instruye el ‘caso Madrid Arena’, ha admitido a trámite una querella contra la alcaldesa de Madrid, Ana Botella, por homicidio imprudente en relación a la muerte de cinco jóvenes en la fiesta que se celebró en este recinto municipal la noche del 31 de octubre, han confirmado a Europa Press fuentes próximas a la investigación.”

A las pocas horas el propio tribunal desmentía semejante cosa.

Y eso que según Europa Press, la noticia anterior “ha sido confirmada por fuentes próximas a la investigación”…

Más recientemente tenemos lo de El País con la foto de Hugo Chávez,  y etc, etc.

Precisamente por todo esto, no es de extrañar que algunas de las noticias publicadas en el Mundo Today, terminen colándose como noticias reales en medios serios.

En definitiva, nos encontramos ante un grave problema en los medios de comunicación tradicionales, convertidos la mayor parte en tabloides sensacionalista monocromáticos, y el resto en pseudo artículos morboseantes atraedores de clicks. La información de verdad, esa que sí informa, deberemos obtenerla de otras fuentes, normalmente de particulares que de forma desinteresada comparten sus conocimientos contrastados y científicos en forma de artículos en un blog personal. 

Con cerca de 200 multas en 2012 por infringir diversos preceptos de la normativa de protección de datos, Telefónica es la empresa más sancionada en 2012 pero también la empresa que ha conseguido hacerse con un contrato de casi 2 millones de euros en una licitación pública de la Agencia Española de Protección de Datos, en el que, entre otras cosas, Telefónica deberá ofrecer una solución de almacenamiento y seguridad de los datos de dicha Agencia.

El pasado 15 de enero de 2013, el BOE publicaba la Resolución de la Agencia Española de Protección de Datos por la que se anuncia la formalización del contrato de los servicios de comunicaciones de voz (fija y móvil) y datos, gestión de red, seguridad, externalización del alojamiento de los sistemas y de los servicios electrónicos que presta la Agencia Española de Protección de Datos, a ejecutar en principio en 4 años.

La adjudicataria ha sido el “grupo Telefónica”: Telefónica de España, S.A. y Telefónica Móviles España, S.A. por obtener la mejor puntuación según la valoración establecida en el pliego de cláusulas administrativas particulares.

Si uno observa dicho pliego, verá que en la página 12 se indica que los candidatos deberán tener diversas obligaciones en materia de fiscalidad, protección del medio ambiente, protección del empleo, condiciones de trabajo y prevención de riesgos laborales… aunque nada dice sobre protección de datos de carácter personal, que quizá habría sido útil.

Resulta precisamente desalentador que la empresa que más sanciones ha recibido en 2012 (de las publicadas hasta la fecha, que son la mayoría) por vulnerar la Ley Orgánica de Protección de Datos (LOPD) sea la más adecuada para hacerse con un contrato con la Agencia Española de Protección de Datos.
Y es que el grupo Telefónica ha recibido más de 200 multas en 2012 por vulnerar algún precepto de la LOPD, en concreto, Telefónica Móviles de España acumula cerca de 120 expedientes sancionadores, lo que le ha llevado a sufrir algo más de 180 multas por importe superior a los 7 millones de euros. Por su parte, a Telefónica de España le han abierto 12 procedimientos sancionadores con 17 multas por valor de casi medio millón de euros. Estamos hablando de que prácticamente cada 3 días se le abre un expediente sancionador a Telefónica por vulnerar el derecho fundamental a la protección de datos, derecho que tutela la Agencia Española de Protección de Datos.

Cabe reflexionar si por la naturaleza del órgano que saca a concurso un determinado contrato debería exigir un plus a los candidatos precisamente en la materia que tutela o dirige. Esto es, en el caso de la Agencia Española de Protección de Datos, podría ser interesante que además de las obligaciones para el medio ambiente y para la prevención de riesgos laborales, exigiese un cumplimiento respetuoso del derecho fundamental que esta Agencia protege; y no me refiero a que el contrato que vaya a ejecutar deba respetar la LOPD, naturalmente, sino que este candidato tenga un historial inmaculado en esa materia.
En este caso concreto, Telefónica acumula varios millones de euros en multas en 2012 impuestas precisamente por el organismo con el que va a firmar el contrato y cuya ejecución supone un tratamiento muy grande de datos personales ¿estarán seguros nuestros datos ahí?

Sinceramente no me imagino yo a Hacienda otorgando un contrato a un candidato multireincidente en evasión de impuestos y blanqueo de capitales; o a la Seguridad Social a un candidado condenado 200 veces por no afrontar sus obligaciones en materia de seguros sociales…

Además de este contrato, el BOE del mismo día publicaba también la adjudicación a la consultora Axpe Consulting, S.L. de un contrato de servicio de “grabación de datos” por valor de 440.000 euros a ejecutar en principio en un año. Si queréis saber en qué consiste en concreto este servicio de grabación de datos, aquí los pliegos de prescripciones técnicas.

La Agencia de Protección de Datos de la Comunidad de Madrid ha premiado a este blog como el mejor blog en materia de protección de datos, en reunión del Jurado celebrada el pasado 29 de noviembre de 2012.

Esta Agencia convocó el premio al mejor blog en materia de protección de datos el día 3 de agosto de 2012, para promover y premiar la labor de personas que, a través de sus respectivos blogs, coadyuvan a la divulgación de la cultura de protección de datos y contribuyen a la difusión de la misma en la sociedad.

Me ilusiona anunciar por esta vía la nota enviada la semana pasada por la Agencia de Protección de Datos de la Comunidad de Madrid (APDCM) por la cual se comunicaba el fallo del Jurado en relación al premio al mejor blog en materia de protección de datos.

Como he indicado anteriormente, en agosto de este año la APDCM publicó las bases del “Premio al menor blog en materia de protección de datos” cuyo objeto era la de, mediante un procedimiento de concurrencia competitiva, reconocer el prestigio de los trabajos científicos, jurídicos y técnicos publicados en blogs cuya temática sea la de protección de datos de carácter personal.

Según dichas bases, la valoración del Jurado se realizaba de acuerdo con el siguiente baremo:

• Solvencia y rigor científico, técnico y jurídico del blog: Hasta 4 puntos.
• Originalidad de los temas publicados en el blog: Hasta 3 puntos.
• Aportación destacada del blog al conocimiento de la realidad y perspectivas de la protección de datos personales: Hasta 3 puntos

Como no podía ser de otra manera, presenté mi blog a dichos premios y la semana pasada me enteraba que había sido el ganador!
La noticia la he recibido con mucha ilusión y alegría, pero también con sorpresa pues era consciente que en los últimos tiempos han aparecido blogs de esta misma temática muy buenos y me imaginaba que ellos también se presentarían, así que el Jurado no lo ha debido tener nada fácil.

El premio tiene no obstante un sabor agridulce, pues creo que va a ser uno de los últimos eventos o labores que realizará la APDCM antes de que sea extinguida a finales de este mes de diciembre; en efecto, el nuevo presidente de la Comunidad de Madrid, Ignacio González, decidió en septiembre prescindir de esta institución ya que, según sus palabras, sus funciones pueden ser realizadas por otros y de esta forma ahorrarse casi 2 millones de euros al año.
Lo cierto es que para mí, una persona que piensa que debería existir una autoridad de control en materia de protección de datos en cada Comunidad Autónoma, esta decisión supone eliminar una institución que, y todos los expertos coinciden, hacía muy bien su trabajo, con iniciativas muy interesantes y con gran proyección.
La Asociación Profesional Española de Privacidad hizo un breve resumen de su actividad hace un par de meses donde uno ve claramente que lo que habría que hacer es justo lo contrario: aumentarle el presupuesto para que pudiera llegar más lejos, pero en fin…

Volviendo al tema del premio, quiero agradecer a la APDCM y a los miembros del Jurado el premio recibido, para mí tiene un significado muy especial y lo valoro con mucho cariño y respeto a esta gran institución, GRACIAS.

Además del premio al mejor blog, también se han otorgado 2 menciones honoríficas a los blogs http://descargalegal.blogs.lexnova.es/ de David González Calleja y www.ayudaleyprotecciondatos.es de Jesús Pérez Serna, conocidos ambos por cualquier que se dedique a estos temas, y cuyos blogs recomiendo seguir.

Por último me gustaría agradecer a una persona que allá por el año 2006 me dio el empujoncito que necesitaba para montar un blog sobre protección de datos y quizá, sin su insistencia, nunca se habría materializado: gracias Jorge Campanillas.

¿Os imagináis que la policía guardara un registro de la ubicación y momento del tiempo de todos los coches que circularan por la calle? Y más aún ¿y si además cualquiera pudiera consultar esa base de datos para saber los movimientos de un coche concreto? No es ficción, en Estados Unidos lleva funcionando varios años.

La policía municipal de cada estado de Estados Unidos viene utilizando desde hace algún tiempo una red de “lectores de matrículas de vehículos” instalados en diversas ubicaciones públicas que en esencia guardan la posición GPS de la matrícula, la fecha y la hora de todo el que pasa por allí. La información es almacenada durante un periodo de tiempo que depende de la ciudad, pero en algunos casos se almacenan hasta varios años, y lo más asombroso es que en muchos casos cualquiera puede consultar los registros de una matrícula concreta para saber dónde ha estado.

Grupo de cámaras en un cruce

Cámara oculta en icono

Desde hace varios años se viene ampliando la red que allí se conoce como “LPRs” (del inglés, Licence Plate Readers), una red consistente en diversas cámaras fotográficas especialmente diseñadas para captar la matrícula de los coches y guardar su ubicación, fecha y hora. Según las especificaciones de estos dispositivos pueden leer y registrar hasta 60 matrículas por segundo. De esta forma sería bien sencillo seguir la pista a un coche a lo largo de una ciudad, incluso aunque atravesara varios Estados.
Las cámaras no solo se instalan en cruces o avenidas; pueden estar instaladas en cualquier calle o garaje, camufladas en algún vehículo, un taxi, conos de tráfico, etc…
En las imágenes de la derecha podemos ver en primer lugar una de estas cámaras oculta en un cono de señalización y al lado un conjunto de estas cámaras en un cruce cualquiera (click en la imagen para ampliar).

Esta base de datos, cuyo titular es el cuerpo municipal/estatal de policía de turno, puede parecer una auténtica agresión a nuestra privacidad si lo vemos desde nuestra perspectiva, pero lo cierto es que allí este sistema es aceptado de forma generalizada ya que, como bien se encargan de divulgar las autoridades de allí, reducen drásticamente los robos, aumenta la seguridad ciudadana y ahora más que nunca se encuentran muy rápido los vehículos robados.

Resultado de búsqueda de una matrícula

Sin embargo, en algunos Estados se están empezando a oír voces discordantes. En concreto hace unos días en Minneapolis han propuesto un cambio en la legislación interna para limitar el acceso de consulta a esta base de datos (que hasta ahora era libre como en muchos otros Estados) y pretenden que solo tengan acceso la propia policía pero también los particulares aunque solo en relación a sus propios vehículos.
Además, pretenden limitar también las solicitudes de obtención de la base de datos completa; hasta ahora determinadas instituciones públicas o privadas pueden solicitar una “copia” íntegra de toda la base de datos, esto es, solicitar directamente toda la base de datos con todos los registros de golpe; por ejemplo, en el caso de Minneapolis, se vienen tramitando 4 de estas peticiones a la semana.

Lo cierto es que desde mi punto de vista, poder conocer los itinerarios de mi vecino, saber dónde ha estado, cuándo o incluso con quién, no solo supone un atentado a su intimidad, sino que además esta información puede ser utilizada por delincuentes para, por ejemplo, saber que no estás en casa, o saber que todos los días, de lunes a viernes, pasas siempre a la misma hora por el mismo sitio. Las implicaciones en materia de privacidad son infinitas e impensables en España con nuestra legislación actual sobre protección de datos de carácter personal; sin embargo este es un claro ejemplo de cómo se percibe la intimidad y la privacidad en culturas no tan distintas, pero sí tan alejadas en estas cuestiones.
Actualmente la matrícula de un coche se considera un dato de carácter personal, pero ese sería el menor de los problemas para un sistema similar en España; el verdadero problema vendría directamente del uso que el funcionario o el particular de turno haría de ese sistema. Procede recordar ahora esa Circular del año 2009 de la Secretaría General de la Administración de Justicia donde se hablaba de cómo se debían utilizar algunas bases de datos en la Administración de Justicia y los límites que se iban a imponer precisamente por el mal uso (cotilleo esencialmente) que se estaban haciendo de las mismas. Publiqué un artículo en su día con el título “El cotillear se va a acabar (en la Administración de Justicia)“.

Para quien quiera saber un poco más, aquí dejo un PDF del Instituto Nacional de Justicia con algo más de información sobre ese sistema de videocámaras y sus registros y aquí un vídeo en Youtube hablando de este sistema y lo fantástico que es para perseguir delincuentes y encontrar coches robados.

Los días 22 y 23 de noviembre de 2012 se va a celebrar un Congreso sobre privacidad que lleva por título “La privacidad, ¿un lastre para la innovación tecnológica?”. El Congreso es gratuito y se admite la presentación de comunicaciones, la mejor además ganará un tablet.

Enmarcado en la Red Derecho TICs  (Red de especialistas en Derecho de las Nuevas Tecnologías de la Información y Comunicación) se ha organizado un Congreso cuya temática girará en torno a la privacidad, abordando diversas cuestiones tales como:

• La Ley aplicable y autoridad competente: ¿hacia la reconstrucción del principio de territorialidad de las normas?
• Implicaciones jurídicas de las normas tecnológicas y la seguridad en Internet: consecuencias de su incumplimiento
• Hacia un nuevo modelo de protección del titular de datos personales ante manifiesta insuficiencia del consentimiento
• ¿Hay un derecho “a no olvidar”?
• La readaptación de las garantías jurídicas ante la innovación tecnológica: ¿misión imposible?
• Internet móvil y geolocalización
• Big data y análisis avanzado de datos
• Servicios avanzados en el ámbito de la Administración electrónica, en particular el open data

La asistencia es gratuita y no requiere inscripción previa aunque se recomienda sí hacerla a los efectos de poder organizarse mejor en función de la gente interesada. La inscripción se puede realizar desde este enlace.

Por otro lado, en relación a la presentación de comunicaciones, hay de plazo hasta el 21 de octubre, por lo que si quieres aprovechar para realizar una comunicación no esperes más tiempo. Además, la mejor comunicación del Congreso será premiada con una tablet. Las normas y recomendaciones para la presentación de comunicaciones se pueden descargar de este enlace.

El evento está patrocinado por:

• Legitec, organización de ámbito nacional altamente especializada en ofrecer Servicios de Consultoría sobre Legislación del sector de las Nuevas Tecnologías.
• ePrivacidad, bufete especializado en la protección de la privacidad en Internet, eliminar datos de Internet y asistencia letrada en delitos cometidos por Internet.

El Congreso tiene además una cuenta oficial en Twitter @CongresoPrivacy desde la que se comentará información relevante sobre el Congreso.

Toda la información del Congreso la tenéis en la página web del Congreso.

Si en algunos de los servicios de Google, como por ejemplo Google+, indicas una fecha de nacimiento que suponga tener una edad inferior a 14 años, Google bloqueará automáticamente la cuenta en todos los servicios (incluido el de correo electrónico) y te brindará un plazo de 29 días para que le remitas a California cierta documentación oficial o bien lo arregles por la vía rápida: facilitándole tu tarjeta de crédito y pagando 0,30 dolares.

Muchas son las páginas y servicios que impiden que un usuario se registre si indica que tiene menos de 14 años; si nos encontramos en España esto suele obedecer a que según nuestra normativa de protección de datos no te considera un “mayor de edad” hasta que cumples los 14, de ahí que un “menor de edad” no pueda registrarse sin más en una página web, como una red social, un foro, etc, requiriendo teóricamente autorización de sus padres.

Lo normal es que el mecanismo de control para impedir el acceso a menores sea que si existe la posibilidad de indicar tu fecha de nacimiento el sistema no te permita completar el registro si dicha fecha de nacimiento suponer tener menos de 14 años.

Google sin embargo va más allá, como no podía ser de otra manera.

Imaginemos que eres un usuario consolidado de Gmail, llevas usando años el correo de Gmail y un día te decides a crearte una cuenta en Google+, la red social de Google.
Para ello no es suficiente con tener una cuenta de Gmail, necesitas aportar algunos datos adicionales en el momento de entrar por primera vez en Google+, entre ellos la fecha de nacimiento (ver imagen). Imaginemos ahora que por error o porque no te apetece poner tu fecha de nacimiento real, completas el formulario con datos al azar, con la mala suerte de que indicas tener menos de 14 años.
En un supuesto normal el formulario te arrojaría algún error o advertencia, indicándote que el servicio es solo para mayores de 14 años, y por tanto no te dejaría continuar.
Sin embargo Google no avisa de esta eventualidad y directamente bloqueará tu cuenta mostrándote el siguiente ultimatum de 29 días. (imagen 1) “The Google Account for email@email.com has been disable”.

Te avisa de que tu cuenta ha sido suspendida y tienes 29 días para resolver el problema o la cuenta será definitivamente eliminada. Mientras tanto no podrás hacer uso de ninguno de los servicios que tuvieras asociado a esa cuenta, incluido por supuesto el correo electrónico en Gmail.

Veamos las opciones que nuestro amigo Google nos ofrece para acreditarle que o bien ha sido un error al introducir la fecha de nacimiento o bien tenemos efectivamente más de 14 años:

• Opción a) Utilizar una tarjeta de crédito en la que nos cargarán 0,30 dólares.
• Opción b) Envía un formulario online con una copia del documento de identidad expedido por el gobierno.
• Opción c) Enviar por correo ordinario o fax una copia del documento de identidad expedido por el gobierno a Google en California.

De esta forma, cualquier persona que tenga un mínimo de respeto por su privacidad se encuentra en una tesitura: ¿le facilito a Google una fotocopia de mi DNI? (con los problemas que eso puede acarrear
¿O bien le facilito los datos de mi tarjeta de crédito y pago una cantidad ridícula de 0,30 dólares?

La tesitura se despeja si el usuario es español, porque si uno lee los detalles de uno y otro procedimiento y tiene interés en recuperar la cuenta decidirá finalmente la opción de la tarjeta de crédito, el motivo, muy sencillo: nos han otorgado un plazo de 29 días, pero nos avisan que si elegimos la opción c), la de enviar el documento por correo ordinario, pueden tardar hasta 2 semanas en procesarlo, a este tiempo súmale lo que tarde la carta en llegar desde España hasta California y seguramente terminarás perdiendo la cuenta. También te avisan que en el caso de elegir la opción b) pueden pasar muchos días hasta que un operario de Google tramite el asunto.

Así que al final, si quieres dormir tranquilo, terminas tragando con la opción a), la de facilitar tu tarjeta de crédito y pagar los 0,30 dólares.

Pero en puridad lo que estaríamos haciendo a fin de cuentas es rectificar un dato que una empresa tiene erróneo sobre nosotros, aunque se lo hayamos dado nosotros mal por error, o lo que es lo mismo, estamos ejerciendo el derecho de rectificación del que habla la normativa sobre protección de datos.

El artículo 24.2 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, indica:

“Deberá concederse al interesado un medio sencillo y gratuito para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición.”

Y el 24.3 indica:

“El ejercicio por el afectado de sus derechos de acceso, rectificación, cancelación y oposición será gratuito y en ningún caso podrá suponer un ingreso adicional para el responsable del tratamiento ante el que se ejercitan.”

Bajo mi punto de vista, la opción a) sería contraría a la gratuidad que versa en esos preceptos.

Todo esto se agrava porque además Google no avisa de que esto puede pasar, de hecho, ni en sus condiciones de uso que se acceden desde la página de registro en Google+ ni en su política de privacidad  habla nada de los menores de 14 años, o de que tengas que ser mayor de edad; es más, la información que te indica Google en el apartado de la “edad” a la hora de completar el registro en Google+ es esta:
Y por supuesto, por ningún lado te advierten de que introduzcas bien la fecha de nacimiento o bloquearemos directamente la cuenta…

Para los que tengan curiosidad, en las siguientes imágenes muestro el procedimiento completo de rehabilitación de la cuenta mediante el pago con tarjeta:

Paso 3.
Paso 4.
Paso 5.

Si recibes una comunicación comercial por vía electrónica de Movistar encontrarás en su pie de página un “si no deseas seguir recibiendo publicidad pulse aquí”; pero la información que te solicitará Movistar para dar de baja tu email es ilegalmente excesiva: NIF, pasaporte o tarjeta de residente, nombre, teléfono o 2 apellidos.

Uno de los principios rectores en materia de protección de datos de carácter personal es el denominado principio de calidad de datos, que viene regulado en el artículo 4 de la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal (LOPD). Este principio de calidad tiene una vertiente específica en lo que se resume como la prohibición expresa de recabar datos “excesivos en relación con el ámbito y las finalidades determinadas para las que se recaben” (artículo 4.1 LOPD).

No es muy habitual encontrar resoluciones de la Agencia Española de Protección de Datos (AEPD) en las que se vulnere este principio en relación a la recogida de información excesiva pues ciertamente es raro encontrar este tipo de supuestos en la vida real y menos aún que lleguen a ser denunciados o inspeccionados.
Sin embargo Movistar nos ofrece un buen ejemplo: su procedimiento específico para darse de baja de la lista de comunicaciones comerciales por email no siendo cliente de la operadora. Es importante el detalle de “no siendo cliente” porque en efecto, lo habitual es que Movistar te esté enviando emails sin ni siquiera saber cómo te llamas, simplemente porque te diste de alta con tu email en alguna campaña de Movistar o de sus filiales, porque te registraste en algún sitio y sin saberlo consentías a que te enviara publicidad Movistar o simplemente porque sí.

Echemos un vistazo al procedimiento:

1º: Recibimos email con contenido publicitario; sabemos que es obligatorio por imperativo de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI) que en la propia comunicación se deba “ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito“. En efecto, en el pie del email de Movistar figura: “Si no desea recibir en adelante información publicitaria en esta dirección de e-mail pulse aquí.” Y el aquí nos lleva a aquí. IMAGEN 1.

2º: Como vemos, hay dos posibilidades ahora, que curses la baja siendo cliente o no siéndolo. Le damos a “No clientes de Movistar” (en realidad aunque le demos a “Cliente de Movistar” te lleva al mismo sitio…en fin).

3º: Accedemos a una nueva ventana (IMAGEN 2) donde ya hay algo raro. En primer lugar nos piden el NIF o equivalente y además el número de teléfono asociado a ese NIF. Pero como no soy cliente de Movistar, aunque introduzca mi NIF y mi número de teléfono me dice que “No existe un usuario con esos datos” (claro, por eso le di a “no soy cliente…”). Entonces si nos fijamos, vemos que a pie de esa nueva ventana pone “(1) En caso de no ser titular de una línea de teléfono de Telefónica de España pulse aquí.”. Y el aquí nos lleva a la siguiente ventana (IMAGEN 3).

4º: Ahora ya no nos pide el número de teléfono, en su lugar nos sigue pidiendo el NIF o equivalente, pero ahora nos pide el nombre, más los apellidos o razón social y lógicamente el email que queremos dar de baja. Rellenamos y le damos a “Enviar”.

5º: Ahora lo lógico sería que nos avisara que se procedía con la baja y blabla, pero no, tras darle a enviar recibimos esta información: IMAGEN 4.

6: Esperamos un rato (en mi caso fueron 30 minutos) y nos llega un email, con el siguiente contenido: IMAGEN 5.

7: ¿Otra vez? Bien, le damos al enlace de “Confirmar” y nos abre una nueva ventana, IMAGEN 6.

8: En esta nueva ventana nos vuelve a solicitar confirmación para darnos de baja por si acaso hemos llegado a este punto y nos hemos arrepentido… Le damos a “Confirmar” y nos abre una nueva ventana.

9: A estas alturas yo me esperaba ver una ventana que me dijera “Pero está usted seguro que se quiere dar de baja”, pero no, en su lugar aparece esto: IMAGEN 7 ¡operación realizada con éxito!, con un hermoso botón a la derecha que pone “null” (parte friki del post).

10: Lógicamente no podía resistirme a darle a ese botón “null” para “ver qué pasa”, a pesar de que temía encontrarme con un “Gracias, se ha vuelto a suscribir a nuestra lista de comunicaciones comerciales”. El resultado lo cierto es que fue decepcionante, te lleva a una página con un error 404 not found.

Pero volviendo al tema de solicitar información excesiva; resulta evidente que requerirte el NIF, nombre y apellidos para darte de baja de un sitio que NO tiene esa información para contrastar nada es totalmente excesivo; de hecho lo normal en los procedimientos para darte de baja es que el primer enlace de “Si no desea recibir más comunicaciones haga click aquí” ya te lleve directamente a una web donde de forma automática se produzca la baja al visitarla o a lo sumo tras darle a un botón (como ocurre en este caso después de rellenar el formulario con los datos excesivos).

Todo ello además de que durante el procedimiento de baja y en los formularios de solicitud de datos no aparece ninguna cláusula informativa de para qué te están pidiendo esos datos (infracción del deber de información de la LOPD) y de hecho la única explicación que se me ocurre de para qué te la piden es para tener ellos una base de datos de emails más completa: si antes solo teníamos el dato del email, ahora sabemos cómo se llama y su NIF.

Por último, si alguien denunciara a Movistar y efectivamente se constatara la infracción derivada de la solicitud excesiva de datos, la sanción podría alcanzar los 300.000 euros.

Ya está abierto el plazo de preinscripción a la edición 2012-2013 del Curso Especialista Universitario en Protección de Datos y Privacidad. Un año más, el prestigioso curso de posgrado organizado por la Facultad de Derecho de la Universidad de Murcia abre los plazos para inscribirse y matricularse. Al igual que en ediciones anteriores el número máximo de alumnos es de 50, cifra que suele superarse con creces en la primera fase de la preinscripción por lo que sugiero que quienes estén interesados formalicen ya su solicitud.

El curso de especialista mantiene su formato online, dividido en varios módulos específicos y contando tanto con actividades individuales como grupales; estará dirigido como no podía ser de otra manera por el profesor D. Julián Valero Torrijos, del que cualquier referencia profesional que podamos mencionar se quedaría corta.
La selección exquisita y cuidada de los docentes que guiarán y desarrollarán cada uno de los módulos es uno de los puntos fuertes del programa, de forma que tanto si buscas un primer acercamiento en la materia como si pretendes profundizar en los detalles, este curso especialista online está hecho para ti.

El curso comienza el 9 de octubre de 2012, PERO el periodo de preinscripción termina el 21 de septiembre (insisto, si esperáis a última hora os quedaréis sin plaza).

Los diferentes bloques específicos, con las fechas previstas, que se verán en el curso son los siguientes:

• Módulo 1 (una de las siguientes optativas a elegir): 23 octubre al 5 de noviembre de 2011
  a)CONCEPTOS JURÍDICOS BÁSICOS EN MATERIA DE PROTECCIÓN DE DATOS Y PRIVACIDAD
  b)LENGUAJE INFORMÁTICO BÁSICO
• Módulo 2: PRINCIPIOS GENERALES: 6 al 19 de noviembre de 2012
• Módulo 3: FICHEROS DE TITULARIDAD PÚBLICA: 20 de noviembre al 10 de diciembre de 2011
• Módulo 4: FICHEROS DE TITULARIDAD PRIVADA: 11 al 23 de diciembre de 2012
• Módulo 5: PROTECCIÓN DE DATOS E INFORMACIÓN SANITARIA: 8 al 21 de enero de 2013
• Módulo 6: MARKETING Y PROSPECCIÓN COMERCIAL: 22 de enero al 4 de febrero de 2013
• Módulo 7: FICHEROS DE SOLVENCIA PATRIMONIAL Y CRÉDITO: 5 al 18 de febrero de 2013
• Módulo 8: PROTECCIÓN DE DATOS EN LAS TELECOMUNICACIONES: 19 de febrero al 4 de marzo de 2013
• Módulo 9:
  a) TRANSFERENCIA INTERNACIONAL DE DATOS
  b) PROTECCIÓN DE DATOS EN EL ÁMBITO DE LAS RELACIONES LABORALES: 5 al 22 de marzo de 2013
• Módulo 10: PROCEDIMIENTOS ADMINISTRATIVOS EN MATERIA DE PROTECCIÓN DE DATOS: 2 al 15 de abril de 2013
• Módulo 11: MEDIDAS DE SEGURIDAD: 16 al 30 de abril de 2013
• Módulo 12: AUDITORÍA INFORMÁTICA: 2 al 16 de mayo de 2013
• Seminario: SEGUIMIENTO Y EVALUACIÓN DE CONTENIDOS MULTIMEDIA EN INTERNET 17 al 30 de mayo

El curso tiene una duración de 30 créditos ECTS.

Los asociados a APEP tendrán un descuento especial de 100 euros en la cuota de inscripción, que este año está fijada en 600 euros.

Si queréis más información sobre el curso, podéis obtenerla en este enlace.

Todos los que participamos en la denuncia multitudinaria contra el Club Zed por su campaña de mensajes SMS masivos para promocionar el programa de Antena 3 “Rico al Instante” estamos de enhorabuena. La Agencia Española de Protección de Datos nos ha dado la razón y ha sancionado al Club Zed con una multa de 200.000 euros por remitir mensajes de contenido comercial (spam) sin consentimiento a miles de ciudadanos.

A principios de enero de 2011 publiqué en mi blog dos artículos que tuvieron una gran repercusión en la red (seguramente porque salieron en portada de Menéame: aquí el primero, y aquí el segundo ).

En estos artículos comentaba las posibles (ahora ya confirmadas) irregularidades que estaría cometiendo el Club Zed al enviar de forma masiva e indiscriminada mensajes SMS a una gran multitud de personas para promocionar el concurso de Antena 3 “Rico al Instante“. Ahora sabemos que envió cerca de 40 millones de mensajes.
A las pocas horas publiqué un modelo de denuncia para que los afectados que lo desearan pudieran denunciar estos hechos.

Los primeros efectos por la gran repercusión del asunto no se hicieron esperar: el programa fue retirado de la parrilla de Antena 3, y la Comisión del Mercado de las Telecomunicaciones les canceló el número corto que utilizaban en el programa.

Sin embargo la apuesta fuerte estaba en la denuncia presentada en la Agencia Española de Protección de Datos quién indicó en su momento que había dejado de admitir más denuncias pues las que tenían ya eran suficientes para hacerse una idea de lo sucedido; ahora sabemos que admitieron hasta 333 denuncias.

La Agencia ha venido ahora a confirmar lo que muchos de nosotros denunciamos: que el Club Zed utilizó nuestros números de teléfono móvil de forma ilegal para enviarnos comunicaciones comerciales (spam) sin nuestro consentimiento y sin respetar las exigencias legales.

La sanción: 200.000 euros por la comisión de 2 infracciones graves; lo cierto es que no parece demasiado, pues la sanción podría haber alcanzado los 300.000 euros si se hubiera aplicado el máximo permitido por la ley para las infracciones graves, pero creo que se les habrán quitado las ganas de volver a hacer cosas similares.

La conclusión que podemos extraer de todo esto es simple: si queremos, podemos. Las estafas por SMS o los intentos de embaucar o engañar a la gente a través de programas de televisión para incentivarles a enviar mensajes SMS están a la orden del día, y seguirán ahí si no hacemos nada (al igual que otras muchas irregularidades en otros campos).

En este caso cientos de personas nos pusimos de acuerdo, presentamos denuncia, cogieron las 333 primeras, y el resultado ha sido el que debía ser.

Muchas gracias a todos los que os animasteis a denunciar, sin vosotros el resultado no habría sido el mismo.

Bonus: el Club Zed cambió su denominación social por la de Ocio Factory Time S.L. 2 meses después de que se presentaran las denuncias, en concreto el 21 de marzo de 2011…

O eso al menos es lo que sostiene la Agencia Española de Protección de Datos en una de sus resoluciones, donde afirma que en la medida en que la página de la empresa que envía la comunicación comercial por correo electrónico dispone de un formulario para darse de alta en la “lista de spam”, no procede comprobar si existe o no consentimiento.

Por todos es más o menos conocido que para la remisión de comunicaciones comerciales por vía electrónica (también conocido como “spam”) se requiere el consentimiento previo del destinatario; esto es lo que viene a decir la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico en el artículo 21:

Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.

Esto que suena tan simple parece ser que tiene diversas interpretaciones; en la Resolución de fecha 19 de julio de 2011 de la Agencia Española de Protección de Datos (AEPD) se denuncia la recepción de varios correos electrónico de contenido comercial sin que el destinatario haya dado su consentimiento al emisor.

Tras las comprobaciones de rigor, se solicita a la empresa que envió esas comunicaciones que alegase lo que estimara oportuno, afirmando entre otras cosas que:

a) Nunca se envían emails no solicitados, siendo que las personas que reciben las newsletter es porque lo han solicitado expresamenet a través del formulario de alta de información de ofertas en la web de la empresa.

La Inspección de Datos verifica que en efecto en la página web de la empresa denunciada hay un formulario electrónico de solicitud de información.

Lo que procedería a continuación es verificar si en efecto ese usuario que ha denunciado la recepción de “spam” se ha dado de alta para lo cual se me ocurren dos opciones:

a) Que el “alta” se realice mediante un sistema de verificación de emails, esto es, que el usuario que introduce su email en ese formulario para darse de alta recibe un email de confirmación y mientras no lo confirme siguiendo las instrucciones de ese email el alta no se produce de forma efectiva.

b) Que se guarde un registro de la dirección IP desde la cual se da de alta el usuario en esa “lista de spam” también llamada “newsletter”. Esta opción es la que, por ejemplo, permitió a esta misma Agencia sancionar en su día a una persona que dio de alta a otra sin su consentimiento en una de estas listas de spam.

Pero volviendo al caso que tratamos hoy, la AEPD, tras las declaraciones de la empresa denunciada, no realiza más comprobaciones, sino que directamente pasa a resolver.
La motivación de la resolución se la ventila en un par de párrafos, que transcribo literalmente:

En este caso, procede resaltar que la página web que contiene la información relativa STIC DIGITAL S.L. dispone de un formulario en el que se recaba, entre otros datos, la dirección de correo para remitir información a quienes lo cumplimentan. Además en el correo electrónico que usted recibió consta información sobre el procedimiento habilitado para oponerse al envío de comunicaciones comerciales.
Por ello, y a fin de evitar dudas razonables sobre la existencia de consentimiento en la remisión de los correos comerciales, usted puede utilizar el procedimiento indicado en el correo electrónico objeto de denuncia para no recibir nuevos envíos comerciales, pudiendo dirigirse a esta Agencia Española de Protección de Datos si su petición no fuera atendida aportando la documentación acreditativa de haber solicitado la oposición.

Nótese que en la propia resolución se dirigen directamente al denunciante “… que usted recibió consta información…“, “… usted puede utilizar...” algo inusual en una Resolución.

Pero en efecto viene a decir que primero prueba a darte de baja de esa lista y si no te dan de baja entonces ya acude a nosotros Agencia para que te tutelemos; pero es que según la LSSI la cosa no funciona así: si recibo un correo electrónico de contenido comercial sin mi consentimiento y lo denuncio, lo que procede (y lo que se venía haciendo) es solicitar al emisor que acredite haber obtenido el consentimiento ya que al receptor le es imposible acreditar que NO cuentan con su consentimiento ¿cómo podría yo probar que no me he dado de alta en una lista de spam?

Y es que además esta carga va en consonancia con el artículo 12.3 del Real Decreto 1720/2007 que dice: “Corresponderá al responsable del tratamiento la prueba de la existencia del consentimiento del afectado por cualquier medio de prueba admisible en derecho.“

Por tanto y a tenor de lo que establece esta Resolución, cabe concluir que si existe un formulario en la página web de la empresa para darse de alta en las listas de spam (o newsletters) y en cada comunicación indicamos un medio para darse de baja, podremos enviar spam libremente.

No obstante quiero pensar que detrás de esta Resolución existen hechos que ignoramos y que han justificado archivar directamente la denuncia sin más indagaciones…

La Resolución comentada está aquí

Por todos es conocido que en los últimos tiempos el objetivo de la mayoría de los “medios de comunicación” no es informar con rigor y veracidad sino vender ejemplares o ganar audiencia; para ello se sirven de titulares pomposos y normalmente alejados de la realidad; pero cuando esa desinformación o toxicidad informativa hace creer al pueblo llano que han perdido ciertos derechos, debemos empezar a preocuparnos.

Este artículo tiene como centro de gravedad una reciente Sentencia del Tribunal Supremo en relación a la normativa sobre protección de datos, no obstante, estoy convencido que cualquier experto en otras materias podría contar cosas similares en la disciplina que domine.

No tenía intención de comentar nada sobre la Sentencia del Tribunal Supremo de 8 de febrero de 2012, pero este comentario dejado por un lector en mi blog me ha animado.

El comentario en cuestión dice esto:

He recibido un SPAM masivo (7 e-mails de publicidad iguales en 10 horas), y al quejarme al emisor me ha contestado:
————————————————————-
En relación a su email recibido sobre el tema que nos ocupa, les informamos que el Tribunal Supremo en Sentencia de fecha 8 de febrero de 2012, ha estimado que el uso de datos personales no requiere el consentimiento previo del afectado, cuando es para un “fin legítimo”, sin necesidad de que el origen de esos datos sea una fuente de acceso público.
————————————————————-

¿Significa que ya no podemos hacer nada contra el SPAM, o es otro de los falsos pretextos para dar apariencia de legalidad al envio de publicidad?.

La respuesta de ese “emisor de spam” ante la queja del “receptor de spam” viene motivada por el machacamiento de los medios de comunicación tradicionales realizado entre los días 13 y 15 de febrero de 2012 en el que pudimos asistir a titulares tales como:

Las empresas podrán comercializar datos personales sin pedir permiso
El Tribunal Supremo legaliza el uso de datos personales sin consentimiento (y con ánimo de lucro)
Las operadoras podrán ceder los datos personales de clientes sin consentimiento previo
España: empresas tratarán datos personales sin consentimiento
El Supremo permite utilizar datos de los usuarios sin consentimiento
El Supremo mutila la protección de datos personales
El Supremo permite usar datos de clientes sin permiso para fines legítimos

Si leemos esas noticias, vienen a “explicar” (en algunos casos sospecho que incluso a inventarse) las consecuencias de esa Sentencia del Tribunal Supremo; pero claro, entre que hay que ser rápidos y que hay que vender ejemplares (o retwitteos y similares), lo que se transmite al final queda tan lejos de la realidad que es contrario a la verdad… y es algo que se podría evitar simplemente consultando a fuentes especializadas en cada materia.

Llegados a este punto, ¿qué supone esa Sentencia? ¿De verdad que las empresas pueden tratar mis datos personales sin mi consentimiento? ¿Me pueden enviar ya spam y no puedo hacer nada?

A ver, la Sentencia hace una cosa muy simple: anula un epígrafe de un apartado de un artículo de un reglamento que desarrolla la Ley Orgánica de Protección de Datos… vaya, dicho así no parece que afecte mucho a la Ley Orgánica de Protección de Datos (LOPD), y así es, porque es que la LOPD se queda intacta.

¿Qué dice ese epígrafe de ese apartado de ese artículo de ese reglamento? pues dice que, será posible el tratamiento o la cesión de los datos de carácter personal sin necesidad del consentimiento del interesado cuando “Los datos objeto de tratamiento o de cesión figuren en fuentes accesibles al público y el responsable del fichero, o el tercero a quien se comuniquen los datos, tenga un interés legítimo para su tratamiento o conocimiento, siempre que no se vulneren los derechos y libertades fundamentales del interesado.[...]“

En realidad el problema de todo ese apartado son las palabras “figuren en fuentes accesibles al público”, me explico:

El Reglamento que cito es el Reglamento de desarrollo de la LOPD que en su artículo 10 indica que se pueden tratar o ceder los datos personales sin consentimiento cuando, entre otros motivos que ahora no vienen al caso:

• a) Medie un interés legítimo por parte del que los trata o cede amparado en alguna norma con rango de Ley, siempre que no prevalezca el interés o los derechos y libertades fundamentales de los interesados previstos en el artículo 1 de la LOPD.
• b) Los datos figuren en fuentes accesibles al público y el que los va a tratar o quien los va a recibir tenga un interés legítimo, siempre que no se vulneren los derechos y libertades fundamentales del interesado.

Pues bien, lo que se anula es ese segundo apartado, el b), porque, dicho brevemente, ese requisito de que los datos figuren en fuentes accesibles al público es una limitación que excede de las previsiones de la Directiva sobre Protección de Datos. Por tanto queda vigente el a) (que ya estaba vigente desde el principio por otra parte).

Es decir, lo que se anula es un supuesto que permitía tratar y ceder nuestros datos personales sin nuestro consentimiento… insisto, se anula un supuesto que permitía tratar y ceder nuestros datos sin nuestro consentimiento; o sea, que lo que se anula es una excepción que permitía tratar nuestros datos sin nuestro consentimiento, por tanto, ahora ya no van a poder coger nuestros datos de una fuente accesible al público y tratarlos o cederlos si tienen un interés legítimo.

Por consiguiente solo queda vigente la primera excepción que comentaba: medie un interés legítimo por parte del que trata o cede datos personales amparado en alguna norma con rango de Ley, siempre que no prevalezca el interés o los derechos y libertades fundamentales de los interesados previstos en el artículo 1 de la LOPD.

Evidentemente, el primer efecto de esto es que de 2 excepciones que tenían las empresas para tratar nuestros datos sin consentimiento ahora tienen solo una; una que, por otro lado, lleva vigente desde el año 2008 que es el año en que entró en vigor este Reglamento, por tanto no es que AHORA las empresas puedan comerciar con nuestros datos sin nuestro consentimiento… si así fuera (que no lo es), lo sería desde el año 2008 y no ahora.

- Pero entonces a ver que nos aclaremos, ¿las empresas pueden o no pueden tratar mis datos sin mi consentimiento?
La respuesta es que con carácter general NO PUEDEN; el principio general es que deben pedirte tu consentimiento; pero no es necesario este consentimiento (entre otros casos) si el tratamiento o cesión se realiza para satisfacer un interés legítimo de la empresa que los trata amparado en una Ley y siempre que no prevalezca el interés o los derechos y libertades fundamentales del afectado. Y repito, esta excepción lleva en vigor desde el año 2008, no es nueva de ahora.

- ¿Y qué es eso del interés legítimo? Pues puede ser todo o nada; el interés legítimo debe apreciarse en cada caso concreto y no hay una definición general.

Pero es importante destacar que la empresa que se aventure a tratar datos personales sin consentimiento esgrimiendo un “interés legítimo” corre el riesgo de que o bien nuestra Agencia Española de Protección de Datos o un Tribunal determine que en ese caso concreto eso que la empresa entendía como “interés legítimo” no lo era, y por tanto se han tratado datos personales sin consentimiento lo que supone incurrir en una infracción grave cuya sanción va desde los 40001 a los 300000 euros.

Por tanto, y ya respondiendo al amigo lector Luis Martín  (siento haberte hecho esperar hasta aquí), en relación a tu pregunta “¿Significa que ya no podemos hacer nada contra el SPAM, o es otro de los falsos pretextos para dar apariencia de legalidad al envio de publicidad?” la respuesta es que para el envío de comunicaciones comerciales por vía electrónica se requiere el consentimiento expreso del receptor, pero no porque lo diga la LOPD, sino porque lo está expresando la Ley de Servicios de la Sociedad de la Información (LSSI) al afirmar en su artículo 21.1 que “Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas“.

Por tanto da igual lo que diga la LOPD, su Reglamento de Desarrollo o esa Sentencia del Tribunal Supremo, es de aplicación ese artículo 21.1. de la LSSI, siendo irrelevante si la empresa que te lo envía tiene interés legítimo (que además no lo tiene).

Por último comentar que los verdaderos especialistas en la materia sí que se pronunciaron con rigor sobre este tema, pero su voz fue inaudible entre los chillidos de los grandes medios, aquí van algunos que he podido recopilar:

Ricard Martínez en “El Derecho”, imprescindible si quieres profundizar en este tema
Jorge Campanillas en Iurismatica
Asociación Profesional Española de Privacidad
Xavier Ribas sobre el interés legítimo
Gontzal Gallo

Diversas notas y comentarios en varios medios de comunicación están dando a entender que una posible vía para recuperar nuestros datos alojados en Megaupload es acudir a la Agencia Española de Protección de Datos; en este sentido considero necesario aclarar que dicha Agencia no podrá ayudarnos en el caso de Megaupload por varios motivos.

Examinemos los motivos por los que debemos concluir que nuestra autoridad en materia de protección de datos de carácter personal (la Agencia Española de Protección de Datos (AEPD)), que recordemos NO es una autoridad judicial, no podrá hacer nada frente a nuestras solicitudes en relación a Megaupload en materia de su competencia: la protección de los datos de carácter personal.

En primer lugar respondamos tres preguntas claves:

¿Cuál es la nacionalidad de la empresa que gestionaba Megaupload? Megaupload era explotada por “Megaupload Limited” (entre otras sociedades) registrada y ubicada en Hong Kong y no en California como podría parecer en un primer momento.

¿Tenía sedes en España o en algún país de la Unión Europea o del Espacio Económico Europeo? NO.

Según Megaupload Limited, al hacer uso de su servicio Megaupload ¿por qué legislación me rijo? En las propias condiciones del servicio de Megaupload (que ya no están accesibles) se informaba al usuario (en inglés) que cualquier posible relación con ellos así como cualquier controversia se va a rejir por las leyes del Estado de California (EEUU).

Con esto tenemos suficiente; ahora examinemos los motivos por los que la AEPD no va a poder ayudarnos en el caso de Megaupload:

a) Comencemos por el más evidente: la AEPD no puede decirle nada a una empresa que está operando en Hong Kong y que se rije por las leyes de California. Esto es así porque nuestras leyes no se aplican en todos los paises del mundo así sin más(lógicamente).
Nuestra Ley Orgánica de Protección de Datos (LOPD) nos dice en el artículo 2.1.c que se aplicará esta LOPD cuando la empresa que trata nuestros datos no esté establecida en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito.

Es decir, si una empresa no está en la Unión Europea pero utiliza medios situados en España para tratar los datos personales, entonces sí que se le aplica nuestra LOPD aunque la empresa esté en Hong Kong. Sin entrar en lo que significa “medios situados en España”, decir que una institución europea, la conocida como Grupo de Trabajo del artículo 29, en varios de sus documentos ha indicado que se entiende que una empresa utiliza medios situados en España para tratar datos cuando utiliza cookies en los ordenadores de sus “clientes” con el objetivo de tratar datos personales. Y esta es precisamente la excusa que en algunos medios se ha utilizado para afirmar que como Megaupload utilizaba cookies (presumiblemente, porque la página web ya no existe), pues entonces se aplica la LOPD española. El problema es que no cualquier cookie que una página web nos instale en nuestro navegador determina directamente la aplicación de la LOPD a la empresa que gestione esa página web (ojo, siempre según esos documentos del Grupo de Trabajo del artículo 29), se requiere además que esa cookie esté diseñada para tratar nuestros datos personales y normalmente por “tratar” debemos entender “obtener”. Así por ejemplo, una cookie que sea utilizada para recordar en el navegador la marcación o no de una casilla no entraría en este caso.
Es por ello que sería necesario auditar qué hacían las cookies de Megaupload, lo cual ya es imposible. Al ser imposible determinar siquiera si Megaupload utilizaba cookies, no podremos aplicar esta excepción de “medios situados en España”, por lo que la LOPD no puede ser de aplicación.

b) Megaupload Limited no tiene establecimientos permanentes ni en España ni en Europa. Esto es relevante porque se ha intentado hacer ver, de forma errónea, una similitud entre el caso de Megaupload y el caso del buscador Bing (gestionado por Microsoft en Luxemburgo).
En una reciente resolución de la AEPD se ha estimado una tutela de derechos frente al buscador Bing dirigida a Microsoft Iberica S.L. y no a Microsoft Luxemburgo. Las diferencias con el caso de Megaupload son esenciales, en primer lugar porque Luxemburgo es miembro de la Unión Europea y por tanto entra dentro de la aplicación de la Directiva Europea sobre protección de datos, pero lo determinante es que el propio buscador (la propia Microsoft) en sus condiciones de uso te da a elegir entre que te acojas a la legislación/jurisdicción de Luxemburgo o a la legislación/jurisdicción de tu país, dice así:

“Todas las demandas, incluidas las relacionadas con las leyes de protección del consumidor, la legislación relativa a la competencia desleal y en caso de responsabilidad extracontractual, se resolverán en virtud de las leyes de Luxemburgo o del país en el que usted resida. Con respecto a la jurisdicción, usted puede elegir el tribunal responsable en Luxemburgo o en el país en el que resida para resolver los conflictos derivados de este contrato o relativos a él.”

Por tanto, y teniendo en cuenta que Microsoft tiene un establecimiento permanente en España, no hay lugar a dudas de que si el ciudadano español así lo desea, puede ejercer sus derechos de protección de datos en España. Pero ojo, esta política de Microsoft lleva vigente desde el 31 de agosto de 2010.

c) Se ha indicado también que los usuarios españoles dirijan sus solicitudes en materia de protección de datos frente a las autoridades de EEUU; creo que no es necesario explicar que invocar una ley española de protección de datos ante una autoridad policial o judicial en Estados Unidos está fuera de lugar. Por supuesto, no esperéis que os respondan desde EEUU y podéis ahorraros el tiempo de acudir a nuestra AEPD para quejaros por el hecho de que el FBI o los tribunales de Estados Unidos no han atendido vuestra solicitud relativa a la protección de datos; si de hecho recientemente el Tribunal Supremo ha determinado que la AEPD no tiene competencia para actuar frente a órganos judiciales españoles, imaginaros frente a órganos de países fuera de la Unión Europea.

d) Pero es que además, aunque fuera de aplicación nuestra LOPD, los casos en los que podría aplicarse serían muy muy reducidos. Recordemos que esta ley se aplica en relación a “datos de carácter personal” y no a cualquier dato o información. Si hemos subido unos apuntes de clase, una película o una canción, todo eso no son datos de carácter personal y tampoco se va a aplicar la LOPD. Pero aunque fuesen datos de carácter personal, habría que ver cómo se demuestra que efectivamente están en los servidores ahora en poder del FBI y bajo unas leyes penales en Estados Unidos.

Llegados a este punto donde queda claro que por un motivo u otro no podremos aplicar la LOPD o la tutela de la AEPD frente a Megaupload, podemos preguntarnos ¿qué podemos hacer para recuperar esos ficheros que subí a Megaupload?

Antes de responder, pregunto yo ¿alguien se había leído las condiciones de uso de Megaupload? Es que da la sensación de que parece que las condiciones de uso de un servicio están de adorno y no, esas condiciones de uso suelen tener información importante en casos de problemas.
Veamos lo que decían las condiciones de uso de Megaupload en el apartado de “datos alojados en Megaupload por los usuarios”:

“El cliente es el único responsable y tiene la responsabilidad sobre lo que almacena en Megaupload. Megaupload anima al cliente a archivar regular y frecuentemente sus datos. El cliente tiene toda la responsabilidad por los datos que almacene y será el único responsable por la pérdida o por no poder recuperar sus datos.”

Y luego añade en el apartado “Sin garantías”:

“El uso que hagas del Servicio es bajo tu propia responsabilidad. El servicio de Megaupload es ofrecido “como es” y “con su disponibilidad”. [...] Megaupload no puede garantizar la duración del Servicio o que no sea interrumpido. [...] Megaupload se reserva el derecho de interrumpir el servicio en cualquier momento sin previo aviso. Si no estás de acuerdo con nuestras condiciones o con nuestro Servicio o con cualquier otra de nuestras reglas, tu única opción es dejar de utilizar nuestro Servicio”.

Y termina indicando lo que comentaba al principio, que cualquier controversia será resuelta por los tribunales de Santa Clara (California).

En definitiva, que Megaupload no se hacía responsable de nada que alojaras con ellos y que podían dar el servicio por terminado en cualquier momento, sin previo aviso. Esas eran sus reglas del juego y se jugaba en el Estado de California, si no te gustaba tu única opción era no jugar.

Por último añadir que en relación a la noticia sobre que la AEPD ha pedido a la Comisión Federal de Comercio en Estados Unidos información sobre lo que sucederá con los datos almacenados en Megaupload es simplemente eso, una consulta realizada por nuestra AEPD que bajo mi punto de vista tiene como finalidad la de ofrecer una falsa sensación de tranquilidad o control sobre este asunto, que realmente no tiene.

Tras dejar mi terminal en reparación en un distribuidor de Vodafone, me hacen entrega de otro de sustitución; nada más encenderlo veo la fotografía de una chica y un chico, además de diversos iconos en el escritorio, entre ellos el WhatsApp… se lo enseño a la chica de Vodafone y entonces se excusa, pero no porque me estén entregando un terminal con datos de otro cliente, sino para decirme que “el teléfono sólo ha pasado por manos de esa chica anteriormente, está prácticamente nuevo”…

Me imagino que lo que voy a narrar le habrá pasado a muchas personas y lamentablemente será algo habitual, pero dada la temática de este blog es inevitable que cuente esta historia, máxime cuando pone de manifiesto algo que los que nos dedicamos a esto de la Privacidad percibimos todos los días: no hay conciencia social respecto a la protección de datos personales y a la privacidad.

El viernes pasado dejé en un distribuidor de Vodafone mi terminal en reparación; Vodafone tiene un servicio por el que te entregan un terminal mientras reparan el tuyo, en mi caso me dieron un HTC Wild Fire.
El terminal tienes que devolverlo en el mismo estado en el que te lo dan, de forma que el procedimiento habitual es arrancarlo con la tarjeta SIM del cliente que se lo lleva para demostrarle que funciona correctamente.

Tras introducir el PIN se carga el escritorio, con una foto de fondo donde aparecen dos rostros en grande, el de una chica y un chico. También hay 2 iconos, el del WhatsApp y el del Google Calendar.

Se lo enseño a la chica de Vodafone, y directamente se excusa: “ah sí, pero el teléfono está nuevo, solo ha pasado por manos de esa chica hace unos días, está prácticamente nuevo…“.
Es decir, a la del Vodafone lo que le preocupaba era hacerme ver que el terminal que me estaba dando era nuevecito, le daba igual si venía “personalizado” con los datos de otro cliente…

Ya en casa, y con la intención (la única intención) de ver qué datos de esa chica había en el teléfono para poder documentar este artículo, me encontré con lo siguiente:

1- Historial de conversaciones en el WhatsApp, con unas 20 personas distintas. De nuevo, y para poder documentar este artículo, accedo a algunas de esas conversaciones y sin prestar mucha atención se deduce claramente algunos datos de esa chica:

- Qué y dónde estudia.
- Dónde va normalmente a descansar mientras estudia.
- Fotografía del coche de su padre que le gustaría conducir.
- Hábitos de consumo.
- Con quién suele salir y dónde.
- etc…

2- Fotografías variadas.

3- Eventos en Google Calendar, de los que cabe destacar:

- Días inicio menstruación.
- Visita al ginecólogo.
- etc…

4- Correo electrónico de la chica en @gmail.com y número de teléfono

5- Agenda de contactos (nombre, teléfono y en algunos casos correo electrónico)

Esto viene a demostrar que como otras muchas cosas en la vida, de la privacidad e intimidad solo nos acordamos cuando nos la invaden, esto es, adoptamos una posición reaccionaria frente al evento “privacidad” en vez de adoptar una posición preventiva.

En mi opinión lo anterior es consecuencia de una nula educación y concienciación en esta materia; la sociedad está ya acostumbrada a utilizar la tecnología, pero sin entender realmente ni cómo funciona ni cuáles son las consecuencias de su utilización (y ni les incomoda no saberlo); esa niña de 13 o 14 años que sabe utilizar perfectamente Tuenti para subir fotos es muy probable que no haya recibido una sola clase didáctica sobre privacidad e intimidad, con ejemplos sencillos y simpáticos, sin asustarla; de adolescente con 16 años tendrá ya su smartphone, donde compartirá otros muchos datos, y nadie le habrá explicado todavía qué pasa con sus datos personales ni dónde están realmente. A los 21 años enviará cadenas de correos electrónicos a 1000 destinatarios sin utilizar Copia Oculta porque seguramente ignorará que esa opción la han podido llegar a inventar, y tendrá su perfil abierto en 4 redes sociales distintas, porque así vienen por defecto. A los 24 años esa chica estará atendiendo al público en una distribuidora de Vodafone o estará introduciendo sus datos en un terminal de sustitución sin preocuparse luego de borrarlos…

Determinadas instituciones públicas se ponen al servicio de empresas privadas que, mediante la aplicación torticera de Leyes y para proteger intereses privados, pretenden provocar la quiebra de ciudadanos que simplemente ejercen el más elemental derecho a la libertad de expresión.

La Asociación Videográfica Española Independiente (en adelante AVEI) adoptó la decisión en 2008 de denunciar a un gran listado de páginas webs (blogs, foros, portales…), personales y profesionales porque, según ellos, no estaban respetando el artículo 10 de la LSSI; esto lo comenté aquí.

En concreto, la denuncia se presenta porque, según ese artículo 10, cualquiera de nosotros que tengamos un blog, foro o página web personal en la que estemos prestando un servicio de la sociedad de la información (por ejemplo tengamos un banner por el que ingresemos 1 euro al mes) estamos obligados a indicar en la web nuestro nombre completo, número de DNI, domicilio, email y poner a disposición de los usuarios una vía de contacto directo (un teléfono, formulario de contacto, etc).

Si no ponemos estos datos nos enfrentamos a una multa de hasta 150000 euros.

Como decía, AVEI presentó una denuncia donde simplemente aportaba un listado enorme de páginas webs que incumplían ese precepto, con un denominador común en todas ellas: eran webs donde se habla o hablaba de películas o series de televisión (y no solo me estoy refiriendo a páginas de descargas o enlaces, también blogs personales de esa temática donde no hay ni un enlace a contenido).

Resultaba evidente que lo que perseguía AVEI era una mera sanción que provocase la destrucción civil del titular de la web, pues como es de esperar, los que no se dedican profesionalmente a la explotación de webs ignoran que tienen ciertas obligaciones formales; y además de la sanción, consigue identificar, con nombre y apellidos, a los titulares de las páginas webs que a ella le interesan, todo ello sin invertir un euro, pues la investigación correría a cargo de la Administración Pública (la Secretaría de Estado de las Telecomunicaciones en este caso).

Esa denuncia prosperó y ha provocado la iniciación de decenas de expedientes sancionadores contra los más variados sujetos, provocando en la mayoría de los casos una sanción económica importante.

A dia de hoy (3 años despues de presentarse la denuncia) todavía se están produciendo sanciones derivadas de esa denuncia. ¿Tanto tarda un procedimiento sancionador de estas características?
En realidad no, lo que pasa es que la Secretaría de Estado de las Telecomunicaciones tiene un personal muy limitado y en absoluto se podía prever  que de un día para otro se recibieran el equivalente a unas 200 denuncias, por eso, todavía hoy, siguen trabajando sobre esa denuncia presentada en 2008. En otras palabras, el personal de esta Secretaría de Estado está trabajando esencialmente para AVEI, identificando y sancionando a los que AVEI indicó en ese listado y lógicamente están desbordados.

Es más, como transcurre tanto tiempo, algunas de las páginas que fueron denunciadas en su día, hoy ya no existen como tal, y solo son un dominio en “parking” lo cual no obsta a que se identifique y sancione al titular de ese dominio web.

Para que os hagáis una idea, esta Secretaría de Estado debe requerir datos a organismos públicos, empresas privadas, Cuerpos y Fuerzas de Seguridad del Estado, etc, para conseguir identificar a un chaval de 20 años que tiene un blog personal que habla sobre las series que más le gustan, todo ello porque ese chaval no ha puesto su DNI y domicilio en su web, y eso le costará una multa de hasta 150000 euros.

Si habéis seguido leyendo hasta aquí quizá os estéis preguntando qué tiene esto que ver con la Agencia Española de Protección de Datos (AEPD)…

Veamos; AVEI, no contenta con el dolor que estaba sembrando gracias a su cooperador necesario (la Secretaría de Estado de Telecomunicaciones), pretendió repetir la jugada con la AEPD. Presentó otra denuncia masiva ante la AEPD, alegando cosas como que esas páginas no respetaban el artículo 5.1 de la LOPD (deber de información y de identificar el titular de la web) y que además no quedan protegidos los datos de los menores de edad pues no se establecen mecanismos para evitar que sean captados.

Pero la AEPD no está para tonterías y le deja la cosas bien claras a AVEI, en una resolución que todavía no ha sido publicada:

Y continua:

Termina indicando:

Por supuesto, la AEPD archiva las denuncias presentadas y no inicia procedimiento sancionador.

En mi opinión es así como debería haber actuado también la Secretaría de Estado de Telecomunicaciones, mecanismos jurídicos tenían para no entrar en el juego de AVEI, pero decidió hacerlo con todas las consecuencias.

En los últimos 3 años Jazztel habría cedido datos a, al menos, 36 empresas en 6 países distintos; estas cesiones de datos tendrían como finalidad no solo la atención al cliente de esta teleopoeradora sino también la realización de llamadas comerciales. Lo alarmante es que entre los datos que se facilitan se encuentran no solo el nombre, apellidos dirección y teléfonos, sino también los datos bancarios de cada cliente.

Jazz Telecom S.A.U (en adelante Jazztel) ha acudido en los últimos 3 años hasta en 36 ocasiones para solicitar al Director de la Agencia Española de Protección de Datos autorización para realizar una transferencia internacional de datos.

¿Qué es una transferencia internacional de datos? Según la definición legal (definición según el Real Decreto 1720/2007), sería una transmisión de datos personales fuera del territorio del Espacio Económico Europeo, bien como una cesión, bien como la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español (un encargado del tratamiento fuera de ese espacio europeo).
En definitiva, una transferencia internacional de datos es como una cesión de datos que hacemos a un país fuera del Espacio Económico Europeo o cuando tenemos un encargado del tratamiento fuera de ese mismo espacio.

Dejando de lado el hecho de que a pesar de lo que diga ese Real Decreto 1720/2007, una transferencia internacional de datos, en puridad (como así lo establece la Ley Orgánica de Protección de Datos (LOPD), es cualquier transferencia que sea haga fuera de nuestro país, con independencia de que el país receptor o cesionario esté o no dentro del Espacio Económico Europeo, lo relevante es precisamente que si la transferencia es a un país fuera de ese Espacio se va a requierir una autorización del Director de la Agencia Española de Protección de Datos (a no ser que el país cesionario tenga un nivel de protección de datos similar al nuestro).

Y aquí es donde empiezan las curiosidades, concretamente las autorizaciones que ha pedido Jazztel entre 2009 y 2011.

Veamos el siguiente gráfico:

Este gráfico muestra el porcentaje correspondiente de transferencias internacionales de datos realizadas por las cinco principales operadoras entre 2009 y lo que llevamos de 2011.

De las cinco operadoras principales en nuestro país, casi el 50% de las transferencias internacionales de datos se las lleva Jazztel; lo cual resulta curioso pues en relación a número de clientes o volumen de información es superado ampliamente tanto por Movistar (que engloba la parte de telefonía fija y móvil en este gráfico) así como por Vodafone. En definitiva, el número de transferencias realizadas por Jazztel supera a las realizadas por Vodafone, France Telecom (Orange) y ONO juntas y casi triplica a las realizas por Movistar (que no olvidemos engloba telefonía fija y móvil).

¿Dónde transfiere datos Jazztel?

Pues en total, en estos 3 años, como mínimo a 36 empresas distintas, ubicadas en Marruecos, Perú, Paraguay, Colombia, Chile y Guatemala.

¿Para qué transfiere esos datos?

Esencialmente para diversas actividades de “call center”: atención telefónica al cliente, llamadas comerciales, y poco más.

¿Qué datos transfiere a esas 36 empresas?

Jazztel transfiere no solo el nombre completo, dirección y lógicamente teléfono, sino también los datos bancarios.

Llegados a este punto ¿debe el cliente de Jazztel preocuparse? que cada uno saque sus propias conclusiones, pero parece evidente que el hecho de que circulen por al menos 36 empresas distintas en 6 países distintos los datos bancarios de miles de clientes no parece muy tranquilizador.

El límite mínimo en razón de la cuantía para poder acudir en casación ante el Tribunal Supremo en la jurisdicción contencioso-administrativa se ha elevado hasta más de 600.000 euros, lo que en la práctica supone dejar fuera de este recurso cualquier sanción en materia de protección de datos de carácter personal.

El 31 de octubre de 2011 entró en vigor la reforma de la Ley 29/1998 de 13 de julio, reguladora de la Jurisdicción Contencioso-Administrativa, operada a través de la Ley 37/2011, de 10 de octubre, de medidas de agilización procesal. Esta Ley de medidas ha modificado el artículo 86.2.b de la citada Ley reguladora de la jurisdicción concentioso-administrativo.

Este artículo 86 estipula que las sentencias dictadas en única instancia por la Sala de lo Contencioso-Administrativo de la Audiencia Nacional y por las Salas de lo Contencioso-Administrativo de los Tribunales Superiores de Justicia serán susceptibles de recurso de casación ante la Sala de lo Contencioso-Administrativo del Tribunal Supremo, pero luego continua añadiendo una serie de excepciones en las que NO cabe dicho recurso.

Una de esas excepciones es la contemplada en el apartado 2.b que es precisamente la que viene a reformar la Ley de medidas de agilización procesal.

La redacción vigente hasta el 31 de octubre de 2011 decía que NO procederá recurso de casación en las sentencias recaidas cualquiera que fuere la materia, en asuntos cuya cuantía no exceda de 150.000 euros, excepto cuando se trate del procedimiento especial para la defensa de los derechos fundamentales, en cuyo caso procederá el recurso cualquiera que sea la cuantía del asunto litigioso.

Esto es, se imponía ese límite mínimo en más de 150.000 euros para acudir en casación ante el Tribunal Supremo.

Pero ahora, con la reforma, ese límite se extiende hasta los 600.000 euros.

Pues bien, teniendo en cuenta que la sanción máxima que se puede alcanzar en una única infracción en materia de protección de datos es precisamente esa cifra de 600.000 euros, tenemos el resultado de que aunque se impusiera esa multa de 600.000 euros (cosa inaudita) tampoco tendrían acceso al recurso de casación pues “no se excede de 600.000 euros”.

Tampoco sería posible acudir aunque nos impusieran 10 multas de 300.000 euros cada una, pues estas cuantías no son acumulables a estos efectos.

Se priva así en nuestro ordenamiento de una “segunda opinión” jurisdiccional de peso, pues aunque si bien no debe entenderse este recurso excepcional de casación como una segunda instancia, lo cierto es que muchas de las sentencias del Tribunal Supremo dictadas en esta materia han arrojado luz sobre algunos puntos oscuros.

La Facultad de Derecho de la Universidad de Murcia organiza la segunda edición del aclamado Curso de Especialista Universitario en Protección de Datos y Privacidad, una oportunidad excepcional para los profesionales de la protección de datos y privacidad de obtener un diploma oficial en unas materias tan demandadas actualmente.

El periodo de preinscripción finaliza el 23 de septiembre de 2011 y existe un número de plazas limitadas; ya os adelanto que en la edición pasada se agotaron las plazas a los pocos días; se el curso te interesa preinscríbete hoy mismo. Puedes encontrar todos los detalles, así como el mecanismo para formalizar la preinscripción en este enlace no obstante me gustaría destacar los siguientes puntos de este Curso de Especialista Universitario:

• Metodología: online a través de Internet. Hacer este tipo de cursos online permite superar las barreras espaciales que supone para muchos interesados. El acceso a los materiales y el contacto directo con todos los profesores se garantiza gracias a una plataforma específicamente diseñada para este tipo de cursos: tutorías personalizadas, foros de debate, chats, videoconferencias, en resumen, todas las posibilidades tecnológicas.
• Duración / Créditos ECTS: este curso equivale a 30 créditos ECTS, desarrollándose entre el 10 de octubre de 2011 al 12 de julio de 2012.
• Dirección: la dirección del curso corre a cargo de Julián Valero Torrijos, profesor titular de la Universidad de Murcia y experto de reconocido prestigio. El hecho de que Julián Valero se encuentre al frente de este curso, respaldado con las exitosas seis ediciones anteriores del Curso de Protección de Datos de Carácter Personal más el de la primera edición del curso de Especialista, es ya garantía de la calidad y exhaustividad.
• Programa: entre otras materias, se abordará la protección de datos y la privacidad en el ámbito sanitario, prospección comercial y marketing, solvencia patrimonial y crédito, telecomunicaciones e Internet y auditoría informática.
• Profesorado: un total de 16 profesores impartirán las distintas disciplinas.

Este curso lleva ya 8 años funcionando, los dos últimos como curso especialista y cada vez la cola de espera es mayor; eso creo que es prueba suficiente de que el Curso Especialista funciona y es muy demandado en el sector.

Toda la información y preinscripción aquí.

Para que una empresa pueda incluirte en un fichero de morosos es obligatorio que ANTES de hacerlo te requiera fehacientemente el pago de la deuda correspondiente; en caso contrario no solo la inclusión es ilegal, sino que si lo denuncias la empresa podrá ser sancionada con multa de hasta 300.000 euros.

Cada 3 días recibo un correo electrónico de diferentes personas pero con una duda común: inclusión en un fichero de morosos sin que o bien exista deuda o sin haberles requerido el pago de la misma.
Pues bien, publico este artículo con la intención de poder remitir directamente a esas personas aquí y de paso explico claramente el asunto porque veo que es complicado encontrar esta información en la red.

El escenario típico y sobre el que voy a ceñirme es muy simple: la empresa X (normalmente X será una operadora de telecomunicaciones o una entidad financiera) te incluye en un fichero de morosos (normalmente ASNEF) por el impago de un recibo; a los efectos que nos interesa únicamente importa si ese impago (en adelante deuda) te ha sido requerido para que lo saldes, en otras palabras, si te han notificado que tienes una deuda con la entidad y que procedas a pagarla. Dejamos pues cuestiones relativas a si la deuda es correcta, existente o inexistente, solo importa en este punto si te han requerido el pago de la deuda o no.

El artículo de la Ley Orgánica de Protección de Datos (LOPD) a tener en cuenta inicialmente es el 29.2 que dice todo esto:

Y por otro lado tenemos la Instrucción 1/1995, de 1 de marzo, de la Agencia Española de Protección de Datos, relativa a la prestación de servicios de información sobre solvencia patrimonial y crédito.
Esta Instrucción 1/1995 es la que nos va a indicar los requisitos necesarios para que la inclusión de un deudor en un fichero de morosos sea conforme al ordenamiento, y dice algo muy importante en su artículo primero:

El contenido de esta Instrucción del año 1995 cristalizó en el desarrollo reglamentario de la LOPD, esto es, en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Así, el artículo 38 de ese Real Decreto viene a decir prácticamente lo mismo que la mencionada Instrucción 1/1995 en lo que a nosotros nos importa: que para que se pueda proceder a incluir a alguien en un fichero de morosos es requisito imprescindible el requerimiento previo de la deuda. Obvio decir que a quien hay que reclamar la deuda es al sujeto que le corresponda el cumplimiento de la obligación por la que nace la deuda…

Me imagino que para los que normalmente están al día en el pago de sus recibos les parecerá evidente este requisito previo, pero en la práctica lo cierto es que no se suele hacer, lo que convierte la inclusión en el fichero de morosos en una inclusión ilegal, con unas consecuencias muy claras como veremos.

Lo dicho, hay que requerir previamente la deuda, pero tan importante como requerir previamente la deuda es que la entidad que lo haga esté en disposición de poder probar que lo requirió y aquí es donde está el punto débil que debemos conocer. ¿Vale cualquier forma para reclamar la deuda? NO. La entidad deberá asegurarse que podrá probar, llegado el caso, que os ha requerido la deuda y aquí vienen algunos ejemplos de lo que no valdrá para probarlo:

• Envío de carta ordinaria
• Impresiones de pantalla de la entidad donde se diga que se requirió la deuda.
• Llamada telefónica.
• Envío de fax.

¿Y qué es lo que vale?, pues lo ha dejado muy claro la Audiencia Nacional en su sentencia de 19 de septiembre de 2007:

¿Qué podemos hacer si no nos han requerido la deuda ANTES de incluirnos en el fichero de morosos?
Hay que denunciarlo ante la Agencia Española de Protección de Datos, y no solo por la más que segura sanción que se llevará la entidad negligente, que podrá oscilar entre los 40001 y 300000 euros, sino porque además tendremos una Resolución donde se indicará que esa inclusión fue contraria a la ley y que podremos utilizar para intentar conseguir una indemnización si se derivó algún daño.

Por último añadir que como es sabido las inclusiones realizadas por las operadoras de telecomunicaciones no suelen ser tenidas en cuenta por las entidades financieras.

Ejemplo de lo anterior lo tenemos en una reciente resolución de la AEPD por la que sanciona a Bancaja con 60101 euros por no poder probar que requirió previamente.

La cadena de supermercados Lidl ha sido sancionada con 6000 euros porque uno de los monitores de videovigilancia era visible por los propios clientes, lo que supone, a juicio de la Agencia Española de Protección de Datos, una vulneración de la Ley Orgánica de Protección de Datos.

Un cliente denunció la instalación del sistema de videovigilancia del supermercado Lidl de su localidad por diversos motivos, destacando entre ellos que los monitores que se encuentran en el pasillo de entrada a la zona de compra se visualizan las imágenes que graba alguna cámara del establecimiento.

Tras las comprobaciones oportunas se inicia un procedimiento sancionador por entenderse vulnerado el artículo 4.1 y 4.2 de la Ley Orgánica de Protección de Datos; este artículo indica:

¿Cómo se relaciona ese artículo con el hecho antes descrito? Veamos cómo lo hace la Agencia Española de Protección de Datos (AEPD).

En primer lugar, como siempre que se trata de cuestiones relativas a la videovigilancia, la AEPD hace una introducción para justificar la intromisión de la LOPD en el ámbito del tratamiento de la imagen personal, para terminar diciendo que la imagen de una persona es un dato de carácter personal y por tanto se encuentra protegido por el manto de la LOPD.
Tras concluir esto, la Agencia afirma que dado que se están monstrando datos de carácter personal (la imagen de los clientes que capta las cámaras de seguridad) en monitores ubicados en el pasillo de entrada a la zona de compra, se está produciendo un tratamiento de datos personales y por tanto hay que ver si se ajusta a la LOPD y es entonces cuando invoca el citado artículo 4.1 de la LOPD en relación al 4.2.

Alega entonces la AEPD que el tratamiento del dato ha de ser “pertinente�? al fin perseguido y la finalidad ha de estar “determinada�?, y difícilmente (asegura la AEPD) se puede defender, que el irregular tratamiento dado por LIDL a las imágenes captadas por las cámaras de videovigilancia instaladas, haya respetado el principio de proporcionalidad con el funcionamiento del monitor situado a la entrada del supermercado.
En este supuesto, continua la AEPD, se ha probado que las imágenes captadas por las cámaras que integraban el sistema de videovigilancia podían ser visionadas en tiempo real por cualquier persona que accediera al establecimiento a través del monitor colocado en la entrada del local al que estaban conectadas las citadas cámaras, siendo visionadas también por cualquier persona que se acercara al lugar en que estaba emplazado dicho dispositivo.

Concluye la AEPD en que como el referido monitor permitía que las imágenes recogidas se visualizaran en tiempo real, este tratamiento ha supuesto una vulneración del principio de proporcionalidad previsto en el artículo 4.1 de la LOPD, habida cuenta que la exposición de las imágenes captadas en la forma descrita en modo alguno puede considerarse como proporcionado y necesario, para la finalidad de seguridad y vigilancia pretendida, ni responde, tampoco, a una intervención mínima en lo que respecta a los derechos a la intimidad y a la protección de datos de carácter personal de los afectados por dicho tratamiento.

En definitiva, que como los clientes pueden ver las imágenes en tiempo real captadas por las cámaras de seguridad, se están utilizando de forma desproporcionada los datos personales (la imagen de la gente que entra en el supermercado) y se vulnera por tanto el artículo 4.1 para terminar imponiendo una multa de 6000 euros.

Cumplir con la LOPD se va a hacer cada día más complicado (para algunos), porque lo cierto es que mientras la AEPD defendía el gravísimo atentado contra nuestro derecho a la protección de datos que estaba cometiendo Lidl, seguramente en esos momentos a alguno de nosotros lo estaban dando de alta en alguna operadora de telefonía móvil sin su consentimiento, o incluyéndonos en algún fichero de morosos sin que llegase a existir una deuda, o alguna gran compañia estaba enviando millones de datos a algún país para que haga vaya usted a saber qué con ellos…

La resolución completa se puede leer aquí