TOP

SONRÍA, POR FAVOR, LE ESTAMOS GRABANDO

Autor: Emilio Aced Félez (Adjunto al Director de la Agencia de Protección de Datos)

Era una agradable tarde de primavera que invitaba al paseo tras haber concluido las actividades profesionales del día en una ciudad extranjera. El escaparate de una tienda de productos fotográficos -una de mis aficiones preferidas-, que mostraba las últimas novedades en este campo, llamó mi atención y me acerqué a echar un vistazo. «Sonría, por favor, le estamos grabando», fue el mensaje de bienvenida rotulado en el centro de la vitrina y, aunque he de confesar que no me sentí muy predispuesto a la sonrisa, llegué a la conclusión de que, al menos, el responsable de mi tienda fotográfica hacía llegar a los viandantes una información que, en muchísimos otros casos, no se produce. Y, el sucinto mensaje me hizo reflexionar, una vez más, sobre las implicaciones de dicha grabación de imágenes, muchas veces encubierta, en el caso de las personas que se acercaran a un consultorio o clínica médica, una ONG dedicada a la lucha y prevención del SIDA o de determinadas drogodependencias o una librería especializada en determinadas materias (religiosas, políticas, filosóficas o sociales).
No hace falta más que echar un vistazo a nuestro alrededor cuando paseamos por las calles de cualquier ciudad, deambulamos despreocupadamente por cualquier centro comercial, hacemos la compra en el supermercado o en unos grandes almacenes, conducimos nuestro coche por carreteras y autopistas, utilizamos el «Metro» o esperamos el avión en un aeropuerto para darnos cuenta de la omnipresencia de distintos dispositivos de vigilancia y, de forma muy especial, de videocámaras capaces de captar imágenes y, en algunos casos, sonidos de todos aquellos que pasan por su campo de visión.

En muchas ocasiones, la simple visualización de las imágenes grabadas por estas cámaras permitirían reproducir de manera milimétrica todo lo acaecido en la vida de una persona desde que abandonó su hogar por la mañana hasta su regreso de nuevo al mismo al final del día. E, incluso, en la puerta de su casa o de su garaje podría ser recibido por una cámara conectada al tradicional portero automático o encargada de grabar los accesos al aparcamiento, seguido por las instaladas en las zonas comunes de su urbanización para prevenir el vandalismo o el acceso de extraños e, incluso, imágenes de su casa y de su familia podrían ser transmitidas a través de Internet mediante la utilización webcams.
Por ello, aun reconociendo los aspectos positivos que la aplicación limitada de las técnicas de videovigilancia pueden aportar a la sociedad, el desarrollo y creciente implantación de lo que podríamos llamar «Sociedad de la Vigilancia» nos preocupa a un gran número de personas. La expansión a un número cada vez mayor de ámbitos de estos sistemas y, lo que es más preocupante, su banalización, de la que el ingenio de nuestro comerciante es un mero ejemplo, debe ser analizada rigurosa y sistemáticamente desde la perspectiva de sus implicaciones para el derecho fundamental a la protección de datos personales.

A este respecto, las autoridades de protección de datos de la Unión Europea, han decidido recientemente someter a consulta publica un «Documento de trabajo relativo al tratamiento de datos personales mediante vigilancia por videocámara» [1], cuyo primer objetivo es «(...) atraer la atención hacia la amplia gama de criterios que existen para evaluar la legalidad y la conveniencia de instalar sistemas individuales de vigilancia por videocámara».
Pero, al mismo tiempo, también señalan la conveniencia de que «(...) las instituciones pertinentes de los Estados miembros evalúen la vigilancia por videocámara desde un punto de vista general y con vistas a impulsar un enfoque globalmente selectivo, además de sistemático, para este asunto. La proliferación excesiva de sistemas de captación de imagen en zonas públicas y privadas no deberá traducirse en la imposición de restricciones injustificadas a los derechos y libertades fundamentales de los ciudadanos; de lo contrario, los ciudadanos podrían verse obligados a someterse a procedimientos desproporcionados de recogida de datos que permitirían su identificación masiva en diversos lugares públicos y privados».
Dicho análisis sistemático, para los que nos dedicamos profesionalmente a la protección de datos personales, debe comenzar por los fundamentos: ¿se pueden considerar datos personales aquellos que se captan por los distintos dispositivos de videovigilancia? y, caso de ser así, ¿hasta que punto les son de aplicación las disposiciones nacionales e internacionales en esta materia? O, expresado de otra manera, ¿en qué casos se puede considerar que estamos ante tratamientos automatizados de datos personales o ante tratamientos manuales de datos personales contenidos o destinados a ser incluidos en un fichero?
Abordaré el estudio de estas cuestiones desde las disposiciones presentes en la Directiva 95/46/CE, del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, (en adelante, «la Directiva»), ya que la universalidad del fenómeno que estamos tratando aconseja prescindir de matices introducidos por las distintas legislaciones nacionales y, en concreto, por la española[2].

--------------------------------------------------------------------------------

[1] Se puede acceder a dicho documento y hacer contribuciones a dicha consulta a través de las páginas web de la Agencia de Protección de Datos española (https://www.agpd.es).
[2] En este artículo no trataré aspectos sectoriales tan interesantes como la videovigilancia en el entorno laboral, su utilización por las Fuerzas y Cuerpos de Seguridad para la prevención de un peligro real para la seguridad pública o la represión de infracciones penales o aquellos tratamientos que se pueden encuadrar dentro de la creación literaria o artística o en el ámbito de la libertad de expresión e información, ya que exceden del propósito del mismo y cada uno de ellos sería motivo de un trabajo separado.

En primer lugar, la aplicabilidad de las previsiones de la Directiva a los tratamientos de datos de carácter personal constituidos por imágenes y sonido, queda ya patente en sus Considerandos números 14 y 15[1]. Igualmente, en el mandato que la Directiva impone, en el artículo 33, a la Comisión para la realización de un informe sobre la aplicación de la misma, pone un énfasis especial en que la Comisión estudie «(...) en particular, la aplicación de la presente Directiva al tratamiento de datos que consistan en sonidos e imágenes relativos a personas físicas y presentará las propuestas pertinentes que puedan resultar necesarias en función de los avances de la tecnología de la información, y a la luz de los trabajos de la sociedad de la información».
Pero, además de la existencia de dichas previsiones legales, no puedo pensar en algo más personal y que nos identifique tanto como nuestra propia imagen física o las características de nuestra voz. Esta imagen física constituye el conjunto de datos personales captados (recogidos) por nuestros órganos sensoriales y transmitidos al cerebro para que los procese (trate) y establezca nuestra identidad. Este es, pues, el mecanismo habitual por el que las personas somos identificadas en nuestra vida cotidiana y en  nuestras relaciones con los demás.
El hecho de que los ordenadores hayan tratado tradicionalmente informaciones textuales y no gráficas, sólo se debe a la complejidad del tratamiento de estas últimas y a la necesidad de una capacidad de almacenamiento y tratamiento que, hasta hace pocos años, estaban fuera del alcance de los computadores existentes. Pero hoy en día esta situación está cambiando drásticamente. Las enormes potencias de cómputo y de acumulación de información están haciendo que cada vez se trate más información en forma de imágenes y son

LEY GENERAL DE TELECOMUNICACIONES

Las empresas podrán enviar desde hoy «e-mails» publicitarios a clientes, aunque no tengan su consentimiento expreso (ABC 6-11-2003)

Hoy entra en vigor la Ley General de Telecomunicaciones, que modifica algunos aspectos del «spam» de la «Ley de Internet».

El envío de correos electrónicos comerciales por parte de empresas a usuarios con los que han tenido una relación contractual no requerirá a partir de hoy que éstos hayan expresado su consentimiento expreso.

La publicación ayer en el ´Boletín Oficial del Estado´ (BOE) de la Ley General de Telecomunicaciones(LGT)supone una modificación sustancial del concepto recogido en la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI) sobre los controvertidos ´e-mails´ publicitarios no solicitados, popularmente conocidos como ´spam´.

Así, la LGT modifica el artículo 21 de la LSSI, que prohibía expresamente mandar 'comunicaciones publicitarias o comerciales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas'.

Sin embargo, la disposición final primera de la LGT recoge que esta circunstancia no será de aplicación 'cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente'.

El nuevo artículo 21. 2 señala también que el prestador deberá ofrecer al usuario la 'posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija'.

Para acabar de ajustar las modificaciones, la LGT también elimina el artículo 22. 1 de la LSSI, que explicitaba la obligación de que las empresas solicitaran a los usuarios su consentimiento para utilizar su dirección electrónico con fines comerciales.

Igualmente, el nuevo artículo 22. 2 dice que los prestadores de servicios que empleen dispositivos de almacenamiento y recuperación de datos deberán informar a los destinatarios 'de manera clara y completa sobre su utilización y finalidad', ofreciéndoles la posibilidad de rechazar el tratamiento de los datos mediante un procedimiento 'sencillo y gratuito'.

En buena lógica, estas modificaciones suponen también la modificación de algunos detalles del régimen sancionador de la LSSI. Además, a partir de ahora la Agencia de Protección de Datos tendrá potestad para 'la imposición de sanciones por la comisión de infracciones' referidas al ´spam´.

Finalmente, la LSSI también incluye a partir de mañana una nueva disposición adicional sexta, titulada ´Fomento de la Sociedad de la Información´, que ha generado polémica al entender el PSOE que su aprobación implica que el nuevo plan ´España. es 2004-2005´ 'nace muerto'.

El texto recoge que el Ministerio de Ciencia y Tecnología 'presentará al Gobierno para su aprobación y a las Cortes Generales un plan cuatrienal para el desarrollo de la Sociedad de la Información y de convergencia con Europa con objetivos mensurables, estructurado en torno a acciones concretas, con mecanismos de seguimiento efectivos'.

OJO AL DATO

Prácticas tan cotidianas como utilizar una base de datos de clientes para una acción comercial o gestionar las nóminas de los trabajadores, no son algo que las empresas inmobiliarias puedan hacer a la ligera. La Ley de Protección de Datos obliga a ciertos procedimientos. No hacerlo puede acarrear más de un disgusto, como pone de manifiesto María Martín Pardo de Vera, abogada y responsable del Departamento de Instituciones de Helguero Asociados, en el presente artículo para Diarioinmobiliario.com (30-10-2003)

El próximo mes de enero se cumplirán ya cuatro años de la entrada en vigor de la Ley Orgánica de Protección de Datos, la que regula el uso de bases de datos de carácter personal. Una de las más estrictas de Europa en esta materia y que también cuenta con uno de los regímenes sancionadores más severos. Una ley que afecta a todas las empresas, independientemente de su tamaño y de su actividad, sólo por el hecho de manejar datos relativos a personas físicas; por lo tanto, a todas las que tengan al menos un empleado; sí, así es... un solo empleado.

Pero curiosamente son todavía muy pocas las empresas españolas -y dentro del sector inmobiliario parece que el porcentaje se reduce aún más- las que han adaptado sus procedimientos a esta legislación a la hora de trabajar con ficheros que incluyen datos de carácter personal. Incluso y aunque parezca extraño, ésta es una normativa conocida por el ciudadano mucho más que por las empresas, dándose la paradoja de que muchos directivos del sector inmobilario saben de su existencia "como personas de a pie" -digámoslo así- pues han leído noticias sobre ella cuando cientos de currículos aparecen abandonados en contenedores de basura, o la han visto reflejada en las cláusulas de esas cartas comerciales que inundan los buzones de todas las casas; pero ellos mismos parecen desconocerla cuando se encuentran en su ámbito de trabajo.

¿Por qué ese aparente desconocimiento? ¿Por qué esa falta de interés por algo que se sabe es de obligado cumplimiento? Desconozco las causas y hasta supongo que cada una de esos directivos esgrimiría una diferente: "pocas campañas informativas por parte de la Administración", "tenemos demasiados frentes pendientes y éste es de los menos importantes"...

Pero lo que es una realidad es que, tal y como están las cosas actualmente, muy pocas empresas inmobiliarias pasarían con aprobado una inspección de la Agencia Estatal de Protección de Datos, y que por ello la mayoría serían sancionadas con alguna de las cuantiosas multas que impone este organismo y que pueden alcanzar los 600.000 euros, o lo que es lo mismo 100 millones de las antiguas pesetas.

Pero lo que también es una realidad es que esas inspecciones no son algo tan hipotético; ya se están produciendo. A veces como consecuencia de la denuncia de algún particular, normalmente de un cliente insatisfecho o un empleado descontento; en otras ocasiones, como inspecciones sectoriales de oficio.

Conviene pues recordar cómo afecta la actual legislación sobre protección de datos al sector inmobiliario; un sector que por las características propias de su actividad, maneja una gran cantidad de bases de datos, y muchas de ellas con datos de importancia sobre la identidad, situación económica y estilos de vida de personas.

Antes de nada debemos especificar qué datos de los que maneja una empresa de este sector son susceptibles de someterse a la normativa vigente. Fácil: Todos aquellos datos identificativos de personas físicas, ya sean trabajadores de la empresa, clientes -tanto reales como potenciales-, colaboradores o proveedores (nombre, dirección, teléfono, DNI, estado civil, afiliación sindical, altas y bajas médicas, datos bancarios, estilo de vida, perfil económico... ).

A este respecto es muy importante no caer en el error de pensar que la Ley afecta sólo a los datos tratados de forma electrónica (bases de datos informáticas). Absolutamente falso. La protección de datos atañe también a las empresas que manejan documentación en soportes de papel.

¿Y qué deben hacer las inmobiliarias para cumplir con la Ley?

Las obligaciones que tienen las empresas como responsables de sus ficheros, son básicamente cinco:

1. Inscribir los ficheros en el Registro General; es decir, notificar a la Agencia de Protección de Datos la existencia y creación de las bases de datos, indicando la tipología de los mismos, su finalidad, cómo los ha obtenido, a quién se los cederá, qué medidas de seguridad ha establecido, etc. También tienen la obligación de notificar las modificaciones que se hayan producido en los ficheros, como la inclusión de nuevos datos, y de comunicar la supresión de aquellos ficheros que hayan dejado de existir, por ejemplo, en el caso de disolución de la empresa.

2. Informar a las personas cuyos datos se manejan de la existencia del fichero, de su tratamiento y finalidad, de la identidad y dirección de la empresa inmobiliaria como responsable del mismo, de los derechos que tiene el afectado... Tal es el objetivo de las cláusulas informativas que se incluyen en los formularios de recogida de datos o en el material publicitario.

DECLARACIONES DIRECTOR APDCAM

Antonio Troncoso: 'El médico responde del fichero que desconozca la gerencia' (Diario Médico 28-10-2004)

Antonio Troncoso, director de la Agencia de Protección de Datos (APD) de la Comunidad de Madrid, explicó la actividad de la agencia en estos dos años en toda la autonomía: ya hay 7.600 ficheros declarados.  La aplicación de la normativa de protección de datos -tanto estatal como autonómica- es costosa por dos razones: los requisitos técnicos exigidos a los ficheros automatizados, que incluyen la progresiva conversión de los soportes de papel hasta 2007, y el necesario cambio de mentalidad en la población que asimile la cultura de la protección de datos.  Estos dos factores están muy presentes en la intención de los miembros de la Agencia de Protección de Datos de la Comunidad de Madrid, cuyo director, Antonio Troncoso, aclaró varios puntos controvertidos a los asistentes al taller que trató estos temas en el X Congreso Nacional de Derecho Sanitario.


A la pregunta planteada acerca de quién respondería si hay una fuga de información procedente de aplicaciones informáticas que hayan sido regaladas al médico -y que hayan sido utilizadas para elaborar listados de pacientes- o de la intranet del centro hospitalario, Troncoso apuntó que 'si el gerente desconoce que el médico maneja archivos propios de pacientes sería el facultativo el responsable ante una fuga de información'.

Comprometerse

Para estas situaciones 'debe tenerse en cuenta la importancia de la historia clínica informatizada, ya que es más segura; si la Administración o el hospital se apoya en empresas externas para gestionar las historias, éstas deben comprometerse a salvaguardar la confidencialidad'.   Por otro lado, en lo que se refiere a la intranet, este jurista matizó que 'debe distinguirse entre el acceso a los datos y el mantenimiento del sistema, que son dos cosas diferentes; en otras palabras, el mantenimiento de la intranet no implica necesariamente acceso'. En el caso de los expedientes sanitarios y de las historias clínicas que sean aportadas a un proceso judicial, Troncoso explicó que no debe existir temor por parte de los profesionales sanitarios en vulnerar la confidencialidad, ya que 'los jueces garantizan la protección de los derechos fundamentales: si piden una historia hay que facilitarla, no es una cuestión de competencias administrativas'. Por otra parte, el director de la APD de Madrid explicó el esfuerzo que se está invirtiendo en 'aplicar la normativa de forma no punitiva sino formativa'.

SANCION A VICTORIA'S SECRET

La cadena de lencería Victoria's Secret condenada por no respetar confidencialidad de clientes en Internet (Europa Press 22-10-2003)

La cadena de lencería femenina estadounidense Victoria's Secret fue condenada a pagar una enmienda de 50.000 dólares por no asegurar la confidencialidad de los clientes en su sitio en internet, decidió este martes un juez neoyorquino.

En el sitio de internet de la cadena de tiendas, los internautas podían consultar los pedidos de clientes y explorar sus gustos en materia de ropa íntima.

Victoria's Secret va a recompensar a los neoyorquinos a cuya información pudieron acceder los usuarios del sitio y se comprometió a reforzar las medidas de seguridad de su página web.