miércoles, 14 de mayo de 2014

Sentencia del Tribunal de Justicia de la Unión Europea sobre el mal llamado “derecho al olvido”.


En el día de ayer se publicaba la Sentencia del Tribunal de Justicia de la Unión Europea en el asunto C-131/12 Google Spain, S.L., Google Inc. / Agencia Española de Protección de Datos, Mario Costeja González. Dicha sentencia se produce en el marco de una cuestión prejudicial planteada por la Audiencia Nacional española respecto de la interpretación de determinados preceptos de la Directiva 95/46/CE del Parlamento europeo y del Consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

En realidad, lo que está en la base del pronunciamiento es la colisión de dos derechos fundamentales: el de protección de los datos de carácter personal y el de libertad de expresión e información, ambos recogidos en el Título II de la Carta de Derechos Fundamentales de la Unión Europea. Recordemos la mención que la Carta hace de cada uno de ellos:

Artículo 8:

1. Toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan.
2. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que le conciernan y a obtener su rectificación.
3. El respeto de estas normas estará sujeto al control de una autoridad independiente.
  

Artículo 11:

1. Toda persona tiene derecho a la libertad de expresión. Este derecho comprende la libertad de opinión y la libertad de recibir o comunicar informaciones o ideas sin que pueda haber injerencia de autoridades públicas y sin consideración de fronteras.
2. Se respetan la libertad de los medios de comunicación y su pluralismo.

Pues bien, con estas premisas, los hechos y las cuestiones prejudiciales planteadas las describe en sus conclusiones el abogado general Sr. NIILO JÄÄSKINEN en los siguientes términos:

A comienzos de 1998, un periódico español de gran tirada publicó en su edición impresa dos anuncios relativos a una subasta de inmuebles relacionada con un embargo derivado de deudas a la Seguridad Social. Se mencionaba al interesado como propietario de éstos. En un momento posterior, la editorial puso a disposición del público una versión electrónica del periódico online.

En noviembre de 2009, el interesado contactó con la editorial del periódico afirmando que, cuando introducía su nombre y apellidos en el motor de búsqueda de Google, aparecía la referencia a varias páginas del periódico que incluían los anuncios de la mencionada subasta de inmuebles. Alegó que el embargo estaba solucionado y resuelto desde hacía años y carecía de relevancia en aquel momento. La editorial le respondió que no procedía la cancelación de sus datos, dado que la publicación se había realizado por orden del Ministerio de Trabajo y Asuntos Sociales.

En febrero de 2010, el interesado remitió escrito a Google Spain solicitando que al introducir su nombre y apellidos en el motor de búsqueda en Internet de Google no aparecieran en los resultados de búsqueda enlaces a ese periódico. Google Spain le remitió a Google Inc., con domicilio social en California, Estados Unidos, por entender que ésta era la empresa que presta el servicio de búsqueda en Internet.

En consecuencia, el interesado interpuso una reclamación ante la AEPD solicitando que se exigiese a la editorial eliminar o modificar la publicación para que no apareciesen sus datos personales, o utilizar las herramientas facilitadas por los motores de búsqueda para proteger sus datos personales. También solicitaba que se exigiese a Google España o a Google que eliminaran u ocultaran sus datos para que dejaran de incluirse en sus resultados de búsqueda y ofrecer los enlaces al periódico.

Mediante resolución de 30 de julio de 2010, el Director de la AEPD estimó la reclamación formulada por el interesado contra Google Spain y Google Inc., instándoles a adoptar las medidas necesarias para retirar los datos de su índice e imposibilitar el acceso futuro a los mismos, pero desestimó la reclamación contra la editorial porque la publicación de los datos en la prensa tenía justificación legal. Google Spain y Google Inc. interpusieron recursos ante el tribunal remitente en los que solicitaban la nulidad de la resolución de la AEPD.

El tribunal remitente (Audiencia Nacional española) suspendió el procedimiento y planteó las siguientes cuestiones al Tribunal de Justicia:

«1.      Por lo que respecta a la aplicación territorial de [la Directiva] y, consiguientemente de la normativa española de protección de datos:
1.1      ¿Debe interpretarse que existe un “establecimiento”, en los términos descritos en el art. 4.1.a) de [la Directiva], cuando concurra alguno o algunos de los siguientes supuestos:
–        cuando la empresa proveedora del motor de búsqueda crea en un Estado miembro una oficina o filial destinada a la promoción y venta de los espacios publicitarios del buscador, que dirige su actividad a los habitantes del Estado,
o
–        cuando la empresa matriz designa a una filial ubicada en ese Estado miembro como su representante y responsable del tratamiento de dos ficheros concretos que guardan relación con los datos de los clientes que contrataron publicidad con dicha empresa
o
–        cuando la oficina o filial establecida en un Estado miembro traslada a la empresa matriz, radicada fuera de la Unión Europea, las solicitudes y requerimientos que le dirigen tanto los afectados como las autoridades competentes en relación con el respeto al derecho de protección de datos, aun cuando dicha colaboración se realice de forma voluntaria?
1.2.      ¿Debe interpretarse el art. 4.1.c de [la Directiva] en el sentido de que existe un “recurso a medios situados en el territorio de dicho Estado miembro”
cuando un buscador utilice arañas o robots para localizar e indexar la información contenida en páginas web ubicadas en servidores de ese Estado miembro
o
cuando utilice un nombre de dominio propio de un Estado miembro y dirija las búsquedas y los resultados en función del idioma de ese Estado miembro?
1.3.      ¿Puede considerarse como un recurso a medios, en los términos del art. 4.1.c de [la Directiva], el almacenamiento temporal de la información indexada por los buscadores en internet? Si la respuesta a esta última cuestión fuera afirmativa, ¿puede entenderse que este criterio de conexión concurre cuando la empresa se niega a revelar el lugar donde almacena estos índices alegando razones competitivas?
1.4.      Con independencia de la respuesta a las preguntas anteriores y especialmente en el caso en que se considerase por el [Tribunal] de Justicia de la Unión que no concurren los criterios de conexión previstos en el art. 4 de la Directiva,
¿Debe aplicarse [la Directiva] en materia de protección de datos, a la luz del art. 8 de la Carta Europea de Derechos Fundamentales, en el país miembro donde se localice el centro de gravedad del conflicto y sea posible una tutela más eficaz de los derechos de los ciudadanos de la Unión Europea?
2.      Por lo que respecta a la actividad de los buscadores como proveedor de contenidos en relación con [la Directiva]:
2.1.      En relación con la actividad del buscador de la empresa “Google” en internet, como proveedor de contenidos, consistente en localizar la información publicada o incluida en la red por terceros, indexarla de forma automática, almacenarla temporalmente y finalmente ponerla a disposición de los internautas con un cierto orden de preferencia, cuando dicha información contenga datos personales de terceras personas,
¿Debe interpretarse una actividad como la descrita comprendida en el concepto de “tratamiento de datos” contenido en el art. 2.b de [la Directiva]?
2.2.      En caso de que la respuesta anterior fuera afirmativa y siempre en relación con una actividad como la ya descrita: ¿Debe interpretarse el artículo 2.d) de [la Directiva], en el sentido de considerar que la empresa que gestiona el buscador “Google” es “responsable del tratamiento” de los datos personales contenidos en las páginas web que indexa?
2.3.      En el caso de que la respuesta anterior fuera afirmativa: ¿Puede la autoridad nacional de control de datos (en este caso la [AEPD]), tutelando los derechos contenidos en el art. 12.b) y 14.a) de [la Directiva], requerir directamente al buscador de la empresa “Google” para exigirle la retirada de sus índices de una información publicada por terceros, sin dirigirse previa o simultáneamente al titular de la página web en la que se ubica dicha información?
2.4.      En el caso de que la respuesta a esta última pregunta fuera afirmativa, ¿Se excluiría la obligación de los buscadores de tutelar estos derechos cuando la información que contiene los datos personales se haya publicado lícitamente por terceros y se mantenga en la página web de origen?
3.      Respecto al alcance del derecho de cancelación y/o oposición en relación con el derecho al olvido se plantea la siguiente pregunta:
3.1      ¿Debe interpretarse que los derechos de supresión y bloqueo de los datos, regulados en el art. 12.b) y el de oposición, regulado en el art. 14.a) de [la Directiva] comprenden que el interesado pueda dirigirse frente a los buscadores para impedir la indexación de la información referida a su persona, publicada en páginas web de terceros, amparándose en su voluntad de que la misma no sea conocida por los internautas cuando considere que puede perjudicarle o desea que sea olvidada, aunque se trate de una información publicada lícitamente por terceros?»

Y el fallo de la Sentencia del TJUE que comentamos es el siguiente:

1)     El artículo 2, letras b) y d), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, debe interpretarse en el sentido de que, por un lado, la actividad de un motor de búsqueda, que consiste en hallar información publicada o puesta en Internet por terceros, indexarla de manera automática, almacenarla temporalmente y, por último, ponerla a disposición de los internautas según un orden de preferencia determinado, debe calificarse de «tratamiento de datos personales», en el sentido de dicho artículo 2, letra b), cuando esa información contiene datos personales, y, por otro, el gestor de un motor de búsqueda debe considerarse «responsable» de dicho tratamiento, en el sentido del mencionado artículo 2, letra d).
2)     El artículo 4, apartado 1, letra a), de la Directiva 95/46 debe interpretarse en el sentido de que se lleva a cabo un tratamiento de datos personales en el marco de las actividades de un establecimiento del responsable de dicho tratamiento en territorio de un Estado miembro, en el sentido de dicha disposición, cuando el gestor de un motor de búsqueda crea en el Estado miembro una sucursal o una filial destinada a garantizar la promoción y la venta de espacios publicitarios propuestos por el mencionado motor y cuya actividad se dirige a los habitantes de este Estado miembro.
3)     Los artículos 12, letra b) y 14, párrafo primero, letra a), de la Directiva 95/46 deben interpretarse en el sentido de que, para respetar los derechos que establecen estas disposiciones, siempre que se cumplan realmente los requisitos establecidos en ellos, el gestor de un motor de búsqueda está obligado a eliminar de la lista de resultados obtenida tras una búsqueda efectuada a partir del nombre de una persona vínculos a páginas web, publicadas por terceros y que contienen información relativa a esta persona, también en el supuesto de que este nombre o esta información no se borren previa o simultáneamente de estas páginas web, y, en su caso, aunque la publicación en dichas páginas sea en sí misma lícita.
4)     Los artículos 12, letra b), y 14, párrafo primero, letra a), de la Directiva 95/46 deben interpretarse en el sentido de que, al analizar los requisitos de aplicación de estas disposiciones, se tendrá que examinar, en particular, si el interesado tiene derecho a que la información en cuestión relativa a su persona ya no esté, en la situación actual, vinculada a su nombre por una lista de resultados obtenida tras una búsqueda efectuada a partir de su nombre, sin que la apreciación de la existencia de tal derecho presuponga que la inclusión de la información en cuestión en la lista de resultados cause un perjuicio al interesado. Puesto que éste puede, habida cuenta de los derechos que le reconocen los artículos 7 y 8 de la Carta, solicitar que la información de que se trate ya no se ponga a disposición del público en general mediante su inclusión en tal lista de resultados, estos derechos prevalecen, en principio, no sólo sobre el interés económico del gestor del motor de búsqueda, sino también sobre el interés de dicho público en acceder a la mencionada información en una búsqueda que verse sobre el nombre de esa persona. Sin embargo, tal no sería el caso si resultara, por razones concretas, como el papel desempeñado por el interesado en la vida pública, que la injerencia en sus derechos fundamentales está justificada por el interés preponderante de dicho público en tener, a raíz de esta inclusión, acceso a la información de que se trate.

Por tanto, el Alto Tribunal europeo considera la indexación en buscadores de datos relativos a las personas como tratamiento de datos personales, aunque se realice de forma automática y sobre la base de informaciones ajenas. Y, en consecuencia, cuando el interesado así lo solicite, el buscador (Google) viene obligado a borrar dichos datos a pesar de que permanezcan en el sitio web desde donde se tomaron y a la que el resultado de la búsqueda redirige. Sólo se excepcionan los supuestos en que prevalezca el interés público en la permanencia del enlace a dicha información.

¿Estamos ante un derecho al olvido o, más bien, a un derecho a la selección de lo que los motores de búsqueda deben o no indexar sobre informaciones publicadas de forma lícita?.
Publicado por en No hay comentarios:
Etiquetas: , , , ,

martes, 13 de mayo de 2014

"Lo de la protección de datos no sirve para nada..."

Hablando con un colega abogado hace unos días me decía justamente eso: “lo de la protección de datos no sirve de nada”.

La verdad es que estoy acostumbrado a escuchar estas y algunas otras esquelas mortuorias de las exigencias legales (el record de las críticas se las llevan - ¡cómo no! – las cambiantes normas fiscales) de personas y profesionales ajenos al mundo de lo jurídico, pero era la primera vez que un colega me decía algo así.

Nunca pretendo convencer a nadie que esgrime afirmaciones categóricas pues entiendo que son producto de una reflexión dilatada. Pero, ante un comentario de esta índole y que afecta a mi trabajo cotidiano, tampoco podía quedarme impasible; ya saben: “el que calla, otorga” y, si otorgo, ¡vaya contradicción diaria la mía, haciendo algo en lo que no creo!

En realidad, creo que mi colega, volcado en otros complejos campos del derecho y la economía, no ha profundizado mucho en esto de la protección de datos que, en principio puede parecer algo superfluo, intangible, pero que tiene mucha más miga práctica de la que se piensa. Intentaré explicarlo.
En efecto. Centrándonos en el ámbito de las empresas (quizás el más tangible), éstas nacen para tener clientes, sin los cuales no hay empresa.
La clientela, integrada en el llamado fondo de comercio, es un activo de la empresa y, como tal, es protegido por nuestra legislación mercantil.
Pero los clientes de una empresa, como tales, también tienen sus propios derechos frente a la misma: además de los determinados por la legislación protectora de consumidores y usuarios, los derivados de la Ley orgánica de protección de datos de carácter personal (LOPD),  dictada en desarrollo de nuestra Constitución, y que obliga a profesionales, empresas e instituciones a observar unas normas en su relación con las personas físicas con las que se relacionen (quedan ajenas a esta normativa la relación con otras empresas y su personal). En  concreto, se imponen reglas en cuanto a:
  1. Recogida de datos personales (nombre, contacto, datos financieros, sanitarios, ideológicos, entre otros)
  2. Tratamiento y protección de los mismos
  3. Puesta a disposición de su titular para su acceso, rectificación, cancelación y oposición (los llamados derechos ARCO)
Además de posibles sanciones y litigios, la no implantación de la legislación sobre protección de datos en la empresa o institución, genera desconfianza hacia las mismas en las personas que con ellas se relacionan y, a la postre, una mala imagen.
He aquí una primera razón práctica: la de la imagen de marca de la empresa que no cumple con la legalidad en materia de protección de datos. ¿Se fiarían ustedes de una entidad financiera que no cumpliera con la legislación sobre blanqueo de capitales?. Los últimos acontecimientos sufridos en nuestro país (y en todo el mundo) nos hacen desconfiar. ¿Y de la empresa que cede las bases de datos de sus clientes al mejor postor para realizar campañas publicitarias o investigación del perfil de comprador, por supuesto sin consentimiento de los afectados?
Pero hay más. La implantación de la legislación sobre protección de datos personales hace necesario orientar la organización de la empresa entera, redirigir sus protocolos de actuación hacia el orden y la seguridad de los datos tratados.
¿Qué piensan ustedes de una mesa de trabajo (pongamos la de un abogado) cargada hasta los topes de expedientes, con archivadores por los suelos y libros sobre las sillas?; ¿le confiarían al residente en tal desorden su vida física o patrimonial?
El documento de seguridad es un elemento básico en el día a día de la práctica de protección de datos y, si lo aplicamos con un mínimo rigor, nuestra empresa ganará orden y, en consecuencia, tiempo y dinero. Así lo aseguran los cientos de clientes satisfechos con “eso” de la protección de datos…, y además se cumple con la ley, con el debido respeto a los derechos de nuestros clientes y se evitan posibles sanciones. ¿Alguien da más?.
Publicado por en No hay comentarios:
Etiquetas: , , , , ,

jueves, 10 de abril de 2014

Comentario a la Sentencia del Tribunal de Justicia de la UE sobre conservación de los datos de las comunicaciones

El 15 de marzo de 2006 se aprobó la Directiva 2006/24/CE que obligaba a las compañías prestadoras de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones a conservar los datos de las realizadas por sus clientes en lo relativo, básicamente, a identificación de remitente y destinatario y ubicación de ambos, aunque no del contenido, por razones de interés general a fin de prevenir y perseguir la comisión de delitos graves.

Pues bien, esta semana se publicaba la Sentencia que comentamos que declara tal Directiva en su conjunto incompatible con el artículo 52, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea, en la medida en que las limitaciones al ejercicio de los derechos fundamentales que supone como consecuencia de la obligación de conservación de datos que establece no se acompañan de los principios indispensables que deben regir las garantías necesarias para regular el acceso a dichos datos y su explotación. Dice, en efecto, dicho apartado 1 del artículo 52 de la Carta que:

Cualquier limitación del ejercicio de los derechos y libertades reconocidos por la presente Carta deberá ser establecida por la ley y respetar el contenido esencial de dichos derechos y libertades. Sólo se podrán introducir limitaciones, respetando el principio de proporcionalidad, cuando sean necesarias y respondan efectivamente a objetivos de interés general reconocidos por la Unión o a la necesidad de protección de los derechos y libertades de los demás.

El Tribunal de Justicia señala, en primer lugar, que los datos que han de conservarse permiten saber con qué persona y de qué modo se ha comunicado un abonado o un usuario registrado, determinar el momento de la comunicación y el lugar desde el que ésta se ha producido y conocer la frecuencia de las comunicaciones del abonado o del usuario registrado con determinadas personas durante un período concreto. Estos datos, considerados en su conjunto, pueden proporcionar indicaciones muy precisas sobre la vida privada de las personas cuyos datos se conservan, como los hábitos de la vida cotidiana, los lugares de residencia permanentes o temporales, los desplazamientos diarios u otros, las actividades realizadas, las relaciones sociales y los medios sociales frecuentados.

El Tribunal de Justicia considera que, al imponer la conservación de estos datos y al permitir el acceso a las autoridades nacionales competentes, la Directiva se inmiscuye de manera especialmente grave en los derechos fundamentales al respeto de la vida privada y a la protección de datos de carácter personal. Además, el hecho de que la conservación y la utilización posterior de los datos se efectúen sin que el abonado o el usuario registrado sea informado de ello puede generar en las personas afectadas el sentimiento de que su vida privada es objeto de una vigilancia constante.

En realidad, el problema radica en determinar si tal injerencia está justificada por la protección de intereses generales. Y en tal sentido, el Tribunal de Justicia considera que, si bien la conservación de datos que impone la Directiva puede considerarse adecuada para conseguir el objetivo que ésta persigue (a saber, la lucha contra la delincuencia grave y, en definitiva, la seguridad pública), la injerencia amplia y especialmente grave de la Directiva en los derechos fundamentales de que se trata no está suficientemente regulada para garantizar que dicha injerencia se límite efectivamente a lo estrictamente necesario:

  1. Primero, porque la Directiva abarca de manera generalizada a todas las personas, medios de comunicación electrónica y datos relativos al tráfico sin que se establezca ninguna diferenciación, limitación o excepción en función del objetivo de lucha contra los delitos graves.
  1. Segundo, porque  no fija ningún criterio objetivo que permita garantizar que las autoridades nacionales competentes únicamente tendrán acceso a los datos y podrán utilizarlos para prevenir, detectar o reprimir penalmente delitos que, por la magnitud y la gravedad de la injerencia en los derechos fundamentales en cuestión, puedan considerarse suficientemente graves para justificar tal injerencia. Por el contrario, la Directiva se limita a remitir de manera general a los «delitos graves» definidos por cada Estado miembro en su ordenamiento jurídico interno, sin supeditarlo a control previo jurisdiccional.

  1. En tercer lugar, la Directiva establece un plazo de conservación que va desde el mínimo de 6 y un máximo de 24 meses, sin precisar criterios objetivos con arreglo a los que debe determinarse el período de conservación para garantizar que se limite a lo estrictamente necesario.

  1. El Tribunal de Justicia considera asimismo que la Directiva no contiene garantías suficientes que permitan asegurar una protección eficaz de los datos contra los riesgos de abuso y contra cualquier acceso y utilización ilícitos de los datos. En particular, señala que la Directiva autoriza a los proveedores de servicios a tener en cuenta consideraciones económicas al determinar el nivel de seguridad que aplican (especialmente en lo que respecta a los costes de aplicación de las medidas de seguridad) y que no garantiza la destrucción definitiva de los datos al término de su período de conservación.

  1. Por último, el Tribunal de Justicia censura que la Directiva no obliga a que los datos se conserven en el territorio de la Unión. Por lo tanto, no garantiza plenamente el control del cumplimiento de los requisitos de protección y de seguridad por una autoridad independiente, como se exige expresamente en la Carta. Dicho control, efectuado sobre la base del Derecho de la Unión, constituye un elemento esencial del respeto a la protección de las personas en lo que respecta al tratamiento de datos personales.
El fallo se ha producido en el marco de un procedimiento prejudicial a instancia de los Tribunales Constitucionales de Irlanda y Austria, vinculando, no sólo a dichos Tribunales respecto de los asuntos planteados, sino a todos los tribunales de los estados miembros que conozcan de un problema similar, incluidos, por supuesto, los españoles.
Publicado por en No hay comentarios:
Etiquetas: , , , , ,

miércoles, 12 de marzo de 2014

La publicidad del Registro de la Propiedad y la protección de datos personales

En nuestro Ordenamiento jurídico, el Registro de la Propiedad es el medio previsto oficialmente para dar publicidad a la existencia de los bienes inmuebles y a los derechos reales que sobre ellos estén constituidos (usufructo, hipoteca, arrendamiento, etc.), así como de las personas físicas o jurídicas titulares de los mismos.

¿Y para qué sirve dicha publicidad? El efecto más práctico es el de dotar de seguridad jurídica al tercero que quiere conocer la situación jurídica del bien inmueble inscrito o pretende averiguar la solvencia económica de la persona titular para valorar la celebración con ella de negocios.

Así, por ejemplo, si pretendemos comprar un inmueble (piso o terreno para habitar o construir), lo más aconsejable es acudir al Registro de la Propiedad para conocer si quien nos lo quiere vender es el propietario y nada le impide venderlo (por ejemplo, no hay prohibición de disponer o no existe inscrita una sentencia de incapacitación que le impida disponer de sus bienes por sí sólo), así como las cargas o gravámenes que pesen sobre la finca y los usos (en terrenos, por ejemplo) a los que pueden destinarse.

Así pues, en el Registro de la Propiedad no sólo constan bienes y derechos reales, sino también datos personales de los titulares sobre los mismos: nombre, domicilio, estado civil, limitaciones de su capacidad, etcétera. Datos personales que, desde luego, están sujetos a la legislación sobre protección de los mismos.

Surgen básicamente dos cuestiones al respecto:

  1. Quién está legitimado para obtener información sobre el contenido del Registro de la Propiedad.
  2. A qué información contenida en el Registro se puede tener acceso.
La Dirección General de los Registros y del Notariado, Centro Directivo de los Registros de la Propiedad, en Resolución de 3 de diciembre de 2.010, trata de ambas cuestiones, conteniendo los siguientes criterios:
a.   Legitimado para obtener información del Registro lo está cualquier persona que justifique tener un interés conocido (en el sentido de acreditado o justificado), de lo que se excepciona a las autoridades o funcionarios públicos que actúen en razón de su cargo u oficio, para los que se presume dicho interés.
Además, el interés ha de ser directo (en caso contrario se ha de acreditar debidamente el encargo) y legítimo, lo que alcanza a cualquier tipo de interés lícito. En este sentido la Sentencia del Tribunal Supremo –Sala Tercera– de 24 de febrero de 2000 aclaró que dicha exigencia de interés legítimo «aparece amparada por el artículo 222.7 de la Ley Hipotecaria que se refiere expresamente a los «fines lícitos» que se proponga quien solicite la información registral, fines lícitos que implican un interés legítimo en cuanto no contrario a Derecho».
Finalmente, el interés ha de ser patrimonial, es decir, que el que solicita la información tiene o espera tener una relación patrimonial para la cual el conocimiento que solicita resulta relevante.  

b.   En cuanto al alcance de la publicidad, la Resolución contiene las siguientes afirmaciones: 

Ø     En el marco del principio general de publicidad, los datos sensibles de carácter personal o patrimonial contenidos en los asientos registrales no podrán ser objeto de publicidad formal ni de tratamiento automatizado, para finalidades distintas de las propias de la institución registral. Cuando se ajusta a tal finalidad, la publicidad del contenido de los asientos no requiere el consentimiento del titular ni es tampoco necesario que se le notifique su cesión o tratamiento, sin perjuicio del derecho de aquél a ser informado, a su instancia, del nombre o de la denominación y domicilio de las personas físicas o jurídicas que han recabado información respecto a su persona o bienes. 

Ø     La propia Dirección General de los Registros y del Notariado, en su Instrucción de 17 de febrero de 1998, se ocupó de la delicada misión de fijar dicha finalidad, haciéndolo en los siguientes términos: «Se consideran, pues, finalidades de la institución registral la investigación jurídica, en sentido amplio, patrimonial y económica (crédito, solvencia y responsabilidad), así como la investigación estrictamente jurídica encaminada a la contratación o a la interposición de acciones judiciales (objeto, titularidad, limitaciones, representación,...), pero no la investigación privada de datos no patrimoniales contenidos en el Registro, de manera que el Registrador sólo podrá dar publicidad de los mismos si se cumplen las normas sobre protección de datos (artículo 18.4 de la Constitución «habeas data». 

Todo ello supone que el Registrador de la Propiedad, ante la solicitud de publicidad de los asientos registrales, ha de calificar, no sólo si procede o no procede expedir la información o publicidad formal respecto de la finca o derecho (en el caso del Registro de la Propiedad) que se solicita, sino también qué datos y circunstancias de los incluidos en el folio registral correspondiente puede incluir o debe excluir de dicha información, pues cabe perfectamente que puedan proporcionarse ciertos datos registrales y no otros relativos a una misma finca o entidad. Y en este punto ha de recordarse, por un lado, que el artículo 4 de la ya citada Instrucción de 17 de febrero de 1998 dispone que «La solicitud de información sobre datos personales sin relevancia patrimonial se realizará con expresión del interés perseguido, que ha de ser conforme con la finalidad del Registro» y, por otro, que el artículo 14 de la Instrucción de este Centro Directivo de 29 de octubre de 1996 obliga al Registrador a excluir de la publicidad registral la manifestación de los datos carentes de transcendencia jurídica, los cuales sólo pueden ser cedidos con el consentimiento de su titular.
Publicado por en No hay comentarios:
Etiquetas: , , ,

viernes, 28 de febrero de 2014

El derecho de autodeterminación informativa


Se trata del inicio de toda esta película de la protección de datos para el afectado o propietario de los mismos. Porque, sí, como prolongación del derecho al honor, a la intimidad personal y a la propia imagen de la persona, la legislación le atribuye a ésta el derecho al control de todo dato personal que salga de su ámbito más íntimo.

Estamos ante el derecho de la persona física (aquí las personas jurídicas o morales no cuentan, aunque tengan su honor, imagen e intimidades que, además, pueden estar valoradas en millones de euros) a decidir a quién entrega sus datos, para qué finalidad egoísta los entrega y, en cualquier momento, volver sobre sus pasos e impedir que sus datos se sigan tratando, simplemente porque ha cambiado de opinión y con sus datos puede hacer lo que desee, sin más explicaciones.

Los datos personales se pueden ceder por muchas causas y para múltiples finalidades. Hay algunas que nos son impuestas por las leyes penales, de policía o administrativas (por ejemplo, el documento de identidad, pasaporte, datos del padrón, permiso conducir o de armas, o la cartilla sanitaria), y otras, las más, en las que la cesión es voluntaria aunque necesaria para que el cesionario o empresa proceda a tratar nuestros datos a fin de ejecutar contratos de prestación de servicios o suministros (gas, electricidad o teléfono, seguros, servicios bancarios, defensa jurídica, etc.).

Pues bien, para conjugar el derecho a la autodeterminación de los datos personales y la necesidad del tratamiento de los mismos para conseguir una determinada finalidad, se aplican los principios de información y consentimiento. De manera que, según dice el artículo 5 de la Ley orgánica de Protección de datos (LOPD), los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:

a.    De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

b.    Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

c.     De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

d.    De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

e.    De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

De manera que, cuando, como es frecuente, se utilicen cuestionarios (físicos o digitales) u otros impresos para la recogida de datos de los propios interesados o de sus representantes legales (por ejemplo, el caso de menores de edad), figurarán en los mismos, en forma claramente legible, las advertencias anteriores.

En resumen: tras inscribir el fichero en el Registro de la Agencia de Protección de Datos con una determinada finalidad y características (datos que se recaban, modo de recoger los mismos, forma de tratamiento, nivel de protección, etc.), se redactarán los cuestionarios de recogida de datos en los que, de forma clara, legible y comprensible para el usuario o afectado, se le informará de que sus datos entran a formar parte de un fichero inscrito, la finalidad y responsable del tratamiento y la posibilidad de ejercer el control sobre los mismos en cualquier momento (derechos ARCO de acceso, rectificación, cancelación y oposición).

Y, tras recibir esa información, el usuario o afectado prestará su consentimiento inequívoco (dice el artículo 6 de la LOPD), salvo algunos casos en los que no es necesario, como cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias; o cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento.

¿Qué ocurre en la realidad?. Pues, aunque la LOPD data de 1.999 (¡15 años!, no está mal) y tenía un precedente parcial (la LORTAD de 1.992 hacía referencia a datos automatizados exclusivamente), parece como si para empresas e instituciones (incluyendo, por supuesto, a las propias Administraciones públicas), la ley se hubiera aprobado ayer y, en período transitorio (vacatio legis) se tuviera que “adecuar” a la nueva ley la situación ya existente.

En efecto: es demasiado frecuente encontrarse con la existencia de ficheros no inscritos y de cuestionarios en los que, si se toca el tema, se hace muchas veces en letra con fuente mini minúscula y en términos incomprensibles para el común de los mortales (especialmente en lo tocante a la finalidad del fichero y a la posibilidad de cesión de los datos, o sea, en los puntos clave).

Y si hablamos del “aviso legal” de las páginas o sitios webs, el tema es aún más preocupante. En un porcentaje elevadísimo, la protección de datos se desconoce y, cuando se recoge, se mezcla con cláusulas de todo orden (propiedad intelectual, derechos y obligaciones de los visitantes, exclusiones de responsabilidad, jurisdicción aplicable y mil extremos más) que, en la mayoría de los casos, obedecen a un copia y pega de otras webs que han servido de modelo y que, en muchos casos, conducen al absurdo.

Con la excepción del e-comerce o tiendas virtuales (en las que la oferta de la empresa y la aceptación del consumidor respecto a la compra de un producto se realizan online, incluido el pago a través de pasarela), en el resto nos solemos encontrar con meros “escaparates” virtuales de los productos o servicios de empresas o instituciones en los que únicamente es de obligada referencia:

1.    El propietario del sitio, con su identificación y datos de contacto.
2.    La política de protección de datos, si es que se recaban datos que se incluyen en ficheros inscritos.
3.    La política sobre cookies, si es que el sitio web las tiene.

¡Y ya está! Pero, claro, un diseñador web (el webmaster) no tiene porque saber de esas cosas; y, ya se sabe, de cara al cliente, más vale que sobre…, aunque lo que sobra no haga falta.

Con todo, los avances en la adaptación de empresas e instituciones para el reconocimiento y protección del derecho de autodeterminación informativa es, año a año, progresivo. Buena culpa de lo cual la tiene la labor divulgativa que realiza la Agencia Española de Protección de Datos, especialmente, a través de su web, en la que se pueden encontrar, desde guías hasta videos prácticos e informativos y formularios de cláusulas y documentos. Les recomiendo una visita.
Publicado por en No hay comentarios:
Etiquetas: , , , ,

jueves, 20 de febrero de 2014

El principio de calidad de los datos personales

Cuando a principios de la década de los sesenta del pasado siglo, los ingenieros americanos acometieron el reto de poner al hombre en la Luna, tuvieron constantemente dos principios en la cabeza: la finalidad (llegar a la Luna…, y volver) y la eficiencia. Eficiencia que implicaba utilizar lo imprescindible para conseguir la misión: ni más (porque la encarecería y la haría peligrar al tener que llevar objetos inservibles a cientos de miles de kilómetros), ni menos (porque carecerían de lo necesario para alcanzarla).

La eficiencia es pariente cercano de la calidad, pues sólo con ella se logra la finalidad perseguida, al menor coste, con el menor desperdicio y la mayor satisfacción de las expectativas.

Principios como el de la calidad y la eficiencia rigen el mundo de la industria automovilística desde mediados del pasado siglo y, muy especialmente, desde las sucesivas crisis del petróleo, cuyo encarecimiento ha revolucionado la investigación en la búsqueda de materiales más ligeros y moldeables para, junto con los avances en aerodinámica, obtener un aumento de potencia, seguridad y mínimo consumo.

-       Pero, oiga, ¡yo pensaba que este blog iba de protección da datos!, ¿dónde quiere ir usted a parar?
-       Pues quiero significar que la consecución de una meta, de una finalidad, cualquiera que esta sea, implica tener los recursos imprescindibles para ello, significando despilfarro el exceso (para construir, mantener, etc.) e inutilidad el defecto.
-       De acuerdo. ¿Y eso qué tiene que ver con la protección de datos?
-       Pues mucho: los datos se recogen con una finalidad, y el consentimiento para su tratamiento se pide al interesado para conseguir dicha finalidad, no para cualquier cosa.
-       ¿Y?
-       Pues que si se recogen más datos de los necesarios, o nos estamos desviando de la declarada finalidad (y hay alguna otra encubierta), o estamos malgastando tiempo y recursos: los del afectado, declarando y aportando datos innecesarios; y los nuestros, tratando y protegiendo datos inútiles.

En efecto, abriendo el título que la Ley orgánica de protección de datos (LOPD) dedica a los principios de la protección de datos, dice el artículo 4 que

1. Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.

2. Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.

3. Los datos de carácter personal serán exactos y puestos al día de forma que respondan como veracidad a la situación actual del afectado.

4. Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el artículo 16 (derechos ARCO).

5. Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados.  

Es decir, los datos solicitados para una finalidad determinada, explícita y legítima (como dice el artículo 8 del Reglamento de la Ley, han de ser adecuados, pertinentes y no excesivos para el logro o consecución de la misma; y, una vez alcanzada la finalidad pretendida, hay obligación de cancelar dichos datos recabados, salvo excepciones. Más allá se podrán conservar únicamente como dato disociado que no permite la identificación del afectado.

Por lo tanto, recabemos de nuestros clientes o usuarios los datos imprescindibles para el desarrollo de nuestra oferta de negocio o actividad: además de cumplir con la ley, ahorraremos recursos (en la recogida, tratamiento, protección y cancelación; además de las consecuencias de los derechos de acceso, rectificación, cancelación y oposición por el afectado) y ganaremos en seriedad e imagen corporativa ante nuestra clientela y nuestro mercado.  
Publicado por en No hay comentarios:
Etiquetas: , , , , , ,

lunes, 10 de febrero de 2014

Las cookies son algo más que unas galletitas

¿Qué cara se le quedaría si invitase a merendar a un desconocido a su casa y, tras despachar el cafelillo y las pastitas, el fulano se levantara del asiento y, en su presencia, colocase micrófonos y cámaras en todo su domicilio?... Esperpéntico, ¿verdad? Pues algo así es lo que ocurre con la navegación por Internet y las cookies.

En efecto, según la Agencia Española de Protección de Datos (AEPD),  una cookie es un fichero de texto que se descarga en el equipo terminal del usuario para almacenar en el mismo durante la navegación en Internet ciertos datos con una o varias finalidades, siendo un tratamiento especialmente intrusivo cuando el responsable de su instalación, actualización y recuperación recoge y trata la información almacenada en la cookie sin informar y sin contar con el consentimiento del usuario para ello.

La gravedad del asunto hizo que, en 2012 y siguiendo directivas europeas (Directiva 2009/136/CE), se modificara la Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico de 11 de julio de 2002 (LSSI), cuyo artículo 22, apartado 2º dice ahora que:

Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.
Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.

Resumiendo: salvo aquellos casos en los que la instalación de cookies sea necesario para que el usuario reciba la prestación de un servicio por él solicitado (por ejemplo, las declaraciones telemáticas con la Agencia Tributaria), la instalación de estos “ficheros espía” necesitan el consentimiento informado del usuario de Internet – propietario del equipo, sea éste PC, tableta o teléfono inteligente.

En abril de 2013, la AEPD publicó una “Guía sobre el uso de las cookies” que, de forma clara y didáctica, pretende marcar pautas en la implantación del adecuado y legal uso de esta herramienta informática, sirviendo de ayuda a usuarios (para promover el conocimiento de sus derechos y los riesgos para la privacidad en la navegación), a editores o propietarios de páginas web (para que sean conscientes del uso que hacen de las mismas) y, muy especialmente, a los desarrolladores de sitios web o webmaster (para establecer criterios seguros en la materia). Desde luego que también afecta a empresas de publicidad online y a las multinacionales que, como Google, basan su estrategia de desarrollo de negocio en el almacenamiento de perfiles para su posterior explotación.

Para el cumplimiento del deber de información sobre el uso de cookies, la Guía apuesta por un sistema de capas. Así:

1)      En una primera capa, que aparecería de forma visible en el encabezado o pie de la página de inicio o index, se informaría sobre el uso de cookies, su finalidad, la acción del usuario que provocará la presunción de aceptación del uso de las mismas y, por último, un enlace a la segunda capa. 

2)      En esta segunda capa, que se mostraría en ventana aparte, se incluiría definición y función de las cookies, las clases que se utilizan en la web (propias y/o de terceros, analíticas, publicitarias, etc.), información de cómo desactivar o eliminar las cookies según el navegador que se utilice e identificación  de quien o quienes utilizan la información obtenida.

 Con respecto a la prestación del consentimiento, la Guía admite que pueda obtenerse mediante fórmulas expresas, como haciendo clic en un apartado que indique “consiento”, “acepto”, u otros términos similares; así como infiriéndolo de una determinada acción realizada por el usuario, en un contexto en que a éste se le haya facilitado información clara y accesible sobre las finalidades de las cookies y de si van a ser utilizadas por el mismo editor y/o por terceros, de forma que quepa entender que el usuario acepta que se instalen cookies. En todo caso la mera inactividad del usuario no implica la prestación del consentimiento por sí misma.

Lo cierto es que basta dar un “paseo por Internet” para comprobar que pocos sitios web cumplen actualmente con la legalidad vigente en materia de cookies y, las pocas que lo hacen, incurren en graves omisiones. En este sentido, el pasado 14 de enero se dictó la primera Resolución de la AEPD sancionando a dos empresas en la materia.

Como señala la propia Guía, Internet contribuye actualmente en un 3,8 del PIB de la Unión Europea, casi 25.000 millones en España. El desarrollo digital pasa por garantizar la confianza de los usuarios en la red y, por tanto, y en este ámbito, por garantizar que la utilización de las cookies se lleve a cabo respetando siempre la privacidad de los usuarios.

A la postre, el buen uso de las herramientas (las cookies en este caso) puede propiciar beneficios para todas las partes implicadas y para la sociedad en su conjunto. A la inversa, su mal uso promociona la desconfianza hacia el que, sin duda, es, hasta el momento, el mayor invento del siglo XXI: la globalización digital.
Publicado por en No hay comentarios:
Etiquetas: , , , , ,
Suscribirse a: Comentarios (Atom)