Sin embargo, se han dado casos en que una simple gotera en el techo de la dependencia donde se ubicaba el servidor con los ficheros de datos personales ha constituido una incidencia en materia de protección de datos personales. Como consecuencia de la gotera se mojó la máquina servidor que albergaba los ficheros de datos personales de un centro sanitario, con la consiguiente avería de dicho soporte. Tal infortunio constituyó una incidencia que afectó a la seguridad de los datos conforme al RLOPD, no debiéndose olvidar que la LOPD exige en su artículo noveno que las medidas de seguridad a adoptar por el responsable del fichero deben garantizar la seguridad de los datos de carácter personal y evitar su alteración, pérdida, tratamiento o acceso no autorizado.

Conforme al documento de seguridad del centro sanitario se tuvieron que llevar a cabo, bajo el control del responsable de seguridad, los siguientes procedimientos recogidos en dicho documento:

1º.- Una de las personas autorizadas para acceder a la dependencia donde se ubicaba el servidor de datos la trasladó a otra dependencia seca y sin goteras. El soporte se encontraba identificado mediante un sistema de etiquetado que permitía a los usuarios autorizados para su acceso identificar su contenido.

2º.- Se procedió a notificar y cumplimentar el registro de incidencias, consignándose, además de la información tipo de dicho registro, el procedimiento de recuperación de datos que a la postre hubo que realizar, pero que previamente tuvo que ser autorizado por el responsable del fichero a través de la persona delegada al efecto. La recuperación de los ficheros de datos fue posible gracias a que se realizaban copias de seguridad con periocidad al menos semanal. Y una de dichas copias se encontraba depositada en un centro de respaldo de datos personales.

3º.- Como la máquina servidor dejó de funcionar hubo que trasladarla a una empresa de informática especializada en reparación de Hardware y Software. Ello dio lugar a que previamente el responsable del fichero tuvo que autorizar la salida del soporte de la sede del centro sanitario, y se cumplimentó el registro de entrada y salida de soportes.

4º.- Hubo que celebrar por escrito un contrato de protección de datos en los términos recogidos por el artículo 12 LOPD y 20 RLOPD con la empresa de informática prestadora del servicio de reparación para habilitar legalmente el acceso a los ficheros de datos personales que contenía el soporte averiado.

5º.- Gracias a que la aplicación informática ubicada en la máquina averiada cifraba los datos personales relativos a la salud de los pacientes del centro sanitario, se pudo trasladar el soporte a la sede de la empresa de informática con garantía de que dicha información no iba a ser accesible o manipulada durante su transporte por terceros no autorizados.

Por todo ello, es importante que los responsables de seguridad de las empresas realicen cursos formativos sobre la aplicación del documento de seguridad y las medidas técnicas y organizativas que contienen. Dichos cursos pueden tener un coste bonificado para las empresas si se realizan con cargo a las partidas destinadas para la formación de los empleados a través de la Fundación Tripartita.

Los profesionales médicos que tienen su consulta privada y recaban datos personales de sus pacientes deben elaborar un documento de seguridad en donde se recojan las medidas de índole técnica y organizativas necesarias que garantice la seguridad de los datos de carácter personal y evite su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana, del medio físico o natural.

Dado que los profesionales médicos en la prestación de sus servicios de asistencia sanitaria recaban datos de salud, que son datos especialmente protegidos por el RLOPD con un nivel de seguridad alto, deberán proceder a cumplir, conforme a su documento de seguridad, la medida de carácter técnico conocida como registro de accesos en caso de tratamiento automatizado. Si el tratamiento no es automatizado, como el resultante de la llevanza de un fichero alfabetizado de fichas de pacientes manuales, deberá establecerse mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por múltiples usuarios.

Resulta, pues, que el profesional médico autónomo que tiene una consulta privada en donde son dos los usuarios que acceden a la aplicación informática que contiene los datos personales y de salud de los pacientes deberá, con periocidad al menos mensual, elaborar un informe donde se recojan las revisiones realizadas a la información de control registrada por la aplicación informática y especificar los problemas detectados. En teoría, en el acceso por los usuarios a la aplicación informática que recoge los datos de los pacientes deberá registrar, en cada intento de acceso, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido.

De esta forma, este profesional médico autónomo que tiene una consulta modesta con un solo empleado con acceso autorizado al fichero de pacientes debe cumplir con esta complicada medida de seguridad de índole técnico. También debe cumplir con dicha medida el profesional médico autónomo que ha constituido una sociedad mercantil para operar en el mercado, aunque sea el único usuario que accede al programa informático de gestión de datos de los pacientes. Ello es así, porque a ambos profesionales no se les aplica la excepción del artículo 103.6 del RLOPD que les eximiría de cumplir con el registro de accesos. Para que opere dicha excepción deben concurrir las siguientes circunstancias:

a) Que el responsable del fichero o tratamiento sea una persona física.

b) Que el responsable del fichero o tratamiento garantice que únicamente él tiene acceso y trata los datos personales.

Uno de los principales problemas con que se encuentra el profesional médico autónomo para cumplir con el registro de accesos automatizado es que la aplicación informática con la que recaba los datos de carácter personal, entre ellos los datos de salud de los pacientes, no tiene funcionalidades para cumplir con las medidas de seguridad de nivel alto que impone el RLOPD. Muchos de los Software de gestión sanitaria comercializados con anterioridad a la entrada en vigor del RLOPD no contemplan el cumplimiento técnico de la normativa de protección de datos de carácter personal, lo que implica que deberían de ser retirados del mercado o adaptarse a la norma. Conforme a la Disposición adicional única del RLOPD, los productos de software destinados al tratamiento automatizado de datos personales deberán incluir en su descripción técnica el nivel de seguridad, básico, medio o alto, que permitan alcanzar las medidas de seguridad descritas en la norma reglamentaria.

La conclusión práctica que se alcanza es que el RLOPD recoge medidas de seguridad que están totalmente al margen de los problemas y de la realidad en la que operan muchos profesionales autónomos y empresas. El resultado que se consigue es el incumplimiento generalizado de la norma porque no es sensible a la forma de trabajar, al tiempo y a los medios disponibles por los responsables de los ficheros o tratamientos.

La Agencia de Protección de Datos había sancionado con multa de 30.000 Euros por, según ella, haber enviado tres fax de publicidad. Pero lo cierto es que nunca aparecieron los mencionados fax.

En esta ocasión, la Sentencia (que anula la sanción por “contraria a Derecho”) le dice al Sr. Abogado del Estado, quien había mantenido que había pruebas más que suficientes para sancionar, que dónde están esas pruebas, porque no existen.

La Sentencia vuelve a recordarle a la Agencia de Protección de Datos que no se puede sancionar sin pruebas y le informa en qué consiste la presunción de inocencia.

Es de esperar que la Agencia tome nota y revise el modo de llevar a cabo sus procedimientos de inspección y sancionadores.

El procedimiento juicial se inició con la demanda de AUSBANC contra los bancos mencionados.

La importante Sentencia comienza declarando esa cláusula suelo como una condición general de la contratación por ser impuesta de manera unilateral por una sola de las partes (los bancos), y por no estar sometida a negociación entre las partes. De este modo, esta cláusula suelo no forma parte de los elementos esenciales del contrato, sino que abusivamente se utiliza para en casos de bajada del Euribor, seguir contando con amplios márgenes y buenos beneficios. Por contra, el consumidor prestatario no se beneficia de la bajada del Euríbor.

Los bancos por el contrario, han defendido en el procedimiento que se trata de una condición esencial del contrato ya que se somete a negociación. Cualquiera que tenga una hipoteca con esa cláusula suelo, sabe que no se negocia, sino que se impone por el banco, de modo que si el cliente prestatario no está de acuerdo, el banco se limita a no conceder la hipoteca.

Es importante esta Sentencia que dicta el comienzo del fin de este abuso generalizado de la mayoría de los bancos. Aunque según elmundo.es la Sentencia va a ser recurrida, espero que la Sentencia de apelación las reconozca como condición general del contrato por no poderse negociar y las declare abusivas.

La Sección Primera de la Sala de lo Contencioso Administrativo de la Audiencia Nacional (AN), encargada de los recursos contra las resoluciones de la Agencia Española de Protección de Datos (AEPD) ha dictado una importante Sentencia que destruye el modo de llevar la inspección o investigación por parte de la AEPD en lo que respecta a los envíos de Fax.

La Sentencia fue dictada el 24/09/2010 y anula la Resolución 200/2009 de la AEPD por la que se imponía a una empresa de marketing una multa de 600 Euros por el envío de un fax de venta directa a la persona que denunció este envío (infracción del Art. 38.3.h de la LGT).

Ciertamente en el procedimiento nunca apareció el fax, ni el envío del mismo, ni la recepción del mismo en el número de teléfono del denunciado. Únicamente los inspectores de la Agencia encontraron un registro telefónico, y esa fue su única prueba para sancionar.

La Sentencia acoge como suyos todos los alegatos de la parte recurrente y afirma que la fundamentación de la Resolución resulta excesivamente forzada al no haberse podido probar la recepción del fax ni el envío del mismo. Dice que la AEPD considera acreditado tal envío en base exclusivamente a un pantallazo que se obtuvo en la visita de los inspectores en los locales de la entidad inicialmente sancionada, quienes, al no conseguir pruebas, se centraban en otro tipo de información, como eran registros de llamadas telefónicas con el objeto de atribuir el registro de una llamada telefónica al envío de un fax, y es tal registro telefónico el que obtenían a través del pantallazo.

Sentencia la AN diciendo que ese pantallazo es, como mucho, una información relativa a una campaña de la recurrente.

Incide la Sentencia en que al no haber documentación relativa al contenido del fax ni el envío ni la recepción del mismo, no existe prueba que incrimine a la entidad recurrente.

Recuerda la AN a la AEPD las exigencias propias del derecho a la presunción de inocencia que tiene declaradas el Tribunal Constitucional y el Tribunal Supremo, diciendo que la sanción tiene que estar basada en en actos o medios probatorios de cargo o incriminadores de la conducta imputada, y que recae sobre la Administración pública la carga probatoria de la comisión del hecho ilícito y de la participación del denunciado (no al revés). Le recuerda también la AN a la AEPD que en derecho administrativo sancionador es necesario que exista una prueba PLENA DE LA CULPABILIDAD, de tal forma que la presunción de inocencia HA DE PRIMAR en todas las situaciones en las que se plantee la duda.

Termina la Sentencia diciendo que la AEPD no ha practicado prueba de cargo suficiente y que el derecho de presunción de inocencia persiste.

Es importante esta Sentencia para el derecho de protección de datos, sociedad de la información y telecomunicaciones: contribuye a cambiar el sistema de fundamentación y valoración de las pruebas obtenidas por la AEPD, dota de seguridad jurídica al tráfico mercantil español y a las comunicaciones comerciales efcetuadas a través de medios electrónicos, y constituye un necesario revés para la inspección e instrucción pública conminando a las instituciones a una mejor formación y a un más transparente desempeño de su función.

El procedimiento administrativo ha sido dirigido y ganado por Don Daniel Santos García, miembro de SANTOS & ROJAS ABOGADOS, S.L.P.

Con la LOPD y su Reglamento de desarrollo (RD 1720/2007, de 21 de diciembre), se pretende básicamente garantizar el libre ejercicio de los derechos de acceso, rectificación, cancelación y oposición por los interesados (personas físicas titulares de los datos personales sometidos a tratamiento) y el cumplimiento de los principios de información, consentimiento, finalidad, calidad y seguridad recogidos en la Ley. A través de la LOPD y su desarrollo reglamentario cobra vida el núcleo esencial del derecho fundamental a la protección de los datos de carácter personal definido como el derecho de toda persona física a tener pleno poder disposición sobre sus datos personales, a conocer y consentir las finalidades para las que van a ser objeto de tratamiento por terceros, así como de las cesiones que de dichos datos se vayan a efectuar.

Muchas organizaciones (empresas, profesionales liberales, asociaciones, fundaciones, administraciones públicas, etc) cumplen ya con los principios y derechos recogidos en la LOPD mediante las siguientes acciones:

- Notificando los ficheros de datos personales al Registro General de Protección de Datos, dependiente de la Agencia Española de Protección de Datos (AEPD), institución independiente que vela por la garantía del derecho fundamental a la protección de los datos de carácter personal.

- Informando a los interesados de los pormenores del tratamiento de sus datos de carácter personal y recabando, en su caso, su consentimiento a los tratamientos informados.

- Imponiendo a terceros prestadores de servicios garantías contractuales en el acceso a los ficheros de datos personales o tratamientos a efectuar.

- Recogiendo en un documento de seguridad el elenco de medidas técnicas y organizativas de nivel básico o medio o alto a implementar en los ficheros de datos personales, automatizados o no automatizados, de los que sean responsables o que accedan cuando tengan la cualidad de encargados del tratamiento.

- Garantizado a los interesados el ejercicio de sus derechos de acceso, rectificación, cancelación y oposición mediante procedimiento sencillos y gratuitos.

-Formando a los usuarios de los ficheros de datos personales sobre las medidas de seguridad recogidas en el documento de seguridad y su aplicación en el desarrollo de las funciones que se les asignen.

Dado que estamos en la Era del Conocimiento, de la transmisión de todo tipo de información por las redes de comunicaciones electrónicas, en un mundo global y virtual por el uso de Internet, está claro que el futuro de la protección del derecho fundamental a la protección de los datos de carácter personal pasa por establecer controles y habilitar procedimientos y recomendaciones que permitan a los internautas disfrutar de la red de redes (Internet), sin ver vulnerado este derecho fundamental y el restos de derechos fundamentales que pueden ser potencialmente vulnerados a través de la infracción de las normativas de la protección de datos.

Por ello, desear a la LOPD una larga vida, por ser medio de protección de las personas y contribuir al desarrollo de la calidad de vida de los ciudadanos.

A consecuencia de la vigencia de la Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras, las Comunidades de Propietarios desconocen si dicha Instrucción es aplicable a tratamiento de datos personales derivado de la instalación de cámaras y video porteros en las instalaciones de la Comunidad. Cuando familiares, amigos o “el de la propaganda” llama a nuestro piso a través del video portero y le observamos a través de la cámara instalada en el mismo portal, ¿estamos realizando un tratamiento de datos de carácter personal (la imagen de la persona) sujeto al conjunto de obligaciones y derechos que emanan de dicha Instrucción y de la Ley Orgánica de Protección de Datos de Carácter Personal?

La respuesta a dicha cuestión la encontramos en la propia Instrucción 1/2006 que excluye expresamente de su ámbito de aplicación a las imágenes obtenidas en el ámbito personal y doméstico, entendiéndose por tal el realizado por una persona física en el marco de una actividad exclusivamente privada o familiar.

En consecuencia, en aquellos supuestos en los que la utilización de video portero se limite a su función de verificar la identidad de la persona que llamó al timbre y permitir el acceso a la vivienda, no será de aplicación la normativa de protección de datos.

Sin embargo, si la instalación de las cámaras de video permiten que se reproduzcan y/o graben imágenes de modo constante, y resultan accesibles por Internet o mediante emisiones por la televisión de los vecinos, y en particular cuando el objeto de las mismas alcance al conjunto del patio, las instalaciones y/o a la vía pública colindante, resultará de aplicación la Instrucción 1/2006.

Al margen del tratamiento de imágenes a través de cámaras y videocámaras, todas las Comunidades de Vecinos en el desarrollo de su actividad como comunidad necesitan tratar los datos personales de los vecinos integrantes de la comunidad, bien a través del presidente de turno, bien contratando los servicios de un Administrador de Fincas que actúa en nombre y por cuenta de la comunidad. Este tratamiento de datos personales está sujeto a la Ley Orgánica de Protección de Datos y, por lo tanto, la Comunidad de Propietarios como responsable del fichero de Comunidad debe cumplir con las siguientes obligaciones:

1º.- Inscribir el fichero en el Registro General de Protección de Datos Personales.

2º.- Informar a los vecinos de la existencia del fichero o tratamiento, de la finalidades del mismo, de los destinatarios de la información y de los derechos de acceso, rectificación, cancelación y oposición que le corresponden.

3º.- En caso de que se contrate los servicios profesionales de un Administrador de Fincas proceder a la firma de un contrato haciendo hincapié una de sus cláusulas en el contenido exigido en el artículo 12LOPD y artículo 20 del RLOPD, en quien se delegará, las más de la veces, la llevanza del DOCUMENTO DE SEGURIDAD, que incorpora las medidas técnicas y organizativas que garanticen la seguridad de los datos personales de los vecinos y evite su alteración, pérdida, tratamiento o acceso no autorizado.

4º.- Deberá garantizarse el ejercicio de los derechos de acceso, rectificación, cancelación y oposición de los vecinos, mediante un medio sencillo y gratuito.

Han pasado casi diez años desde la entrada en vigor de la Ley Orgánica de Protección de Datos de Carácter Personal y ya es hora de que las Comunidades de Propietarios se adecuen a la norma.

Hasta aquí correcto. Pero el domingo pasado, comiendo en mi casa con unos amigos, surgió el tema: las consultoras de Recursos Humanos se meten en el facebook para encontrar información personal sobre aquellos que están valorando para colocar en puestos de trabajo. Indagan sobre la vida personal para obtener valoraciones de la personalidad ante determinadas situaciones que igual que en la vida privada, se dan en el puesto de trabajo. Obtienen de este modo conclusiones ¿sin consentimiento o con el consentimiento del interesado? ¿Y el de los amigos que aparecen a su lado? Pues obtuve todas las opiniones, hasta la de quien decía que se podía hacer siempre que los datos estuvieran en acceso público, no en privado.

Quien entra en facebook, ve todo acerca de otro, un viejo amigo, por ejemplo, consulta sobre sus aficiones, ¿puede utilizarlo para una finalidad que sale del ámbito doméstico? El que una consultora o el responsable de recursos humanos de una empresa obtenga y valore una candidatura a un puesto de trabajo apoyándose en lo consultado en facebook ¿vulnera el principio de calidad de datos? ¿Está tratando datos sin consentimiento? ¿Informará al interesado de esa valoración?

¿Puede constituir delito contra la intimidad?

Si la valoración después de mirar en facebook es negativa y perjudica al candidato, ¿incurre la consultora en responsabilidad por daños y perjuicios que deba imdemnizar después al perjudicado?

Internet no es una fuente de acceso público sino un medio de comunicación. Facebook, ¿es una fuente de acceso público?

No pongo mis opiniones, os dejo a vosotros.

En diversos informes jurídicos la Agencia Española de Protección de Datos (AEPD) considera al amparo de la legislación vigente que los hijos mayores de catorce años, en principio, pueden otorgar el consentimiento para el tratamiento de sus datos personales, por ejemplo, para abrirse una cuenta de usuario en una página web, facilitar datos relativos a su salud en el colegio, etc.

Esta posibilidad legal tiene su amparo en el artículo 162 del Código Civil que establece que los padres que ostenten la patria potestad tienen la representación legal de sus hijos menores no emancipados, excepto: 1º para los actos relativos a derechos de la personalidad u otros que el hijo, de acuerdo con las Leyes y con sus condiciones de madurez, pueda realizar por sí mismo. Por otros preceptos del Código Civil (adquisición de nacionalidad, capacidad para testar, etc), se considera que los hijos mayores de catorces años tienen esas condiciones de madurez para que puedan decidir por sí mismos diversos aspectos que afectan a su personalidad, entre los que se encuentra la prestación del consentimiento para el tratamiento de sus datos de carácter personal.

Seguro que a una buena cantidad de padres esta posibilidad de que sus hijos mayores de catorce años puedan dar su consentimiento, sin enterarse ellos, para que empresas y entidades puedan tratar los datos personales de sus hijos relativos a su salud, religión, creencias, aficiones, fotografías, etc, no les hace ninguna gracia.

El modo de llevar a cabo las notificaciones en el proceso penal son a través del procurador (representante procesal) si está personado en el procedimiento (no es obligatorio en la fase de instrucción o investigación del delito), a través del correo certificado, a través de edictos o a través de la Policía que, en auxilio del Juez, es quien se dirige al domicilio o al lugar de trabajo del imputado a entregar la notificación en mano.

En el caso de notificaciones por correo se entregan en sobre cerrado. Pero en el caso de notificaciones a través de la policía no se entregan en sobre cerrado sino en el mismo folio del juzgado sin sobre, donde figura en muchas ocasiones el delito que se le imputa al notificado.

En ocasiones la policía se lo entrega aun en sobre abierto a un familiar o al portero, causando un perjuicio incuantificable para el imputado, que aún puede ser inocente, no se olvide.

El Art. 10 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos dice lo siguente: El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

El Art. 11 de la LOPD dice que no podrán cederse datos personales a terceros sin el consentimiento inequívoco del interesado.

Y el Real Decreto 1720/2007, de 21 de diciembre, incumplido por los juzgados y tribunales de justicia de una manera generalizada, establece que únicamente el personal autorizado accederá a la documentación (Art. 113).

¿Es la Policía personal autorizado para acceder al contenido de las notificaciones (ya que se dirigen sin sobre)? ¿Es titular del deber de secreto y cuál es la garantía de su cumplimiento? ¿Cumple el juzgado y la policía con la legislación vigente cuando envían por fax una notificación a la Policía? ¿Cómo se distribuye ese fax en el que consta una persona que es imputada por un delito?

Piénsese en delitos de agresiones sexual por ejemplo o en delitos que puede perjudicar la fama o estimación del imputado. A nuestro juicio, la Policía no tiene que tener acceso a esta documentación en abierto, sí en sobre cerrado.