TOP

CLAVES PARA UNA CERTIFICAIÓN CERTIDFICADA

El crecimiento de las nuevas tecnologías ha provocado usos ilegales y alegales, lo que demanda profesionales especificamente capacitados. Fuente: Atenea (Diciembre 2010).

Descargar el fichero adjunto.

LA PRESCRIPCIÓN EN LOS PROCEDIMIENTOS SANCIONADORES EN MATERIA DE PROTECCIÓN DE DATOS

La institución de la prescripción de infracciones y su forma de interrumpirse en el procedimiento administrativo sancionador está ocasionando situaciones de impunidad en muchos expedientes tramitados ante la Agencia Española de Protección de Datos. Aunque el afectado denuncie al día siguiente de cometerse la infracción, ésta podría prescribir igualmente. Fuente: Samuel Parra (12/12/2010).

Dada la actual configuración del régimen de la prescripción dentro del procedimiento administrativo sancionador junto a los plazos previstos para la prescripción de las infracciones en materia de protección de datos, se da la circunstancia de que aunque el afectado denuncie al día siguiente de haberse cometido una infracción leve, ésta podría igualmente prescribir si la Agencia Española de Protección de Datos (AEPD) dejara transcurrir los plazos legalmente establecidos.

Esto tiene dos consecuencias muy negativas:

Primera: indefensión del ciudadano; nos encontramos con diversos casos donde la vulneración de la normativa de protección es más que evidente, pero la AEPD, dejando transcurrir muchos meses, ocasiona la prescripción de la infracción.

Segunda: esto supone que en la práctica queda al arbitrio de la AEPD perseguir las infracciones leves.

Voy a intentar explicar el problema desde su inicio, pero para ello debo resumir brevemente el desarrollo de un procedimiento sancionador en materia de protección de datos (que viene a ser prácticamente igual al régimen establecido para el procedimiento sancionador general).

El instrumento legal que regula el procedimiento sancionador es el Real Decreto 1398/1993, de 4 de agosto, por el que se aprueba el Reglamento del Procedimiento para el Ejercicio de la Potestad Sancionadora, aunque éste sólo es de aplicación si cada procedimiento sancionador no dispone de su propia regulación; por ejemplo, en materia de protección de datos desde el año 2007 tiene la suya propia prevista en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (RDLOPD).

Veamos primero el procedimiento sancionador general, el establecido por el Real Decreto 1398/1993:

Fase 1ª: Formas de Iniciación: se inicia siempre de oficio por el órgano competente; esta iniciación puede venir por iniciativa propia o por denuncia del afectado. En materia de protección de datos normalmente se inician el procedimiento por la interposición de una denuncia donde se relatan los hechos que podrían haber vulnerado la normativa de protección de datos.

Fase 2ª: Actuaciones previas: una vez recibida la denuncia, se podrán realizar, ANTES de que se inicie el procedimiento sancionador, unas actuaciones previas, tendentes a determinar si en efecto, los hechos denunciados, podrían ser constitutivos de alguna infracción.

Fase 3ª: Iniciación: si del punto anterior se llega a la conclusión de que se ha vulnerado la normativa, se inicia formalmente el procedimiento sancionador.

A partir de aquí el procedimiento continúa, pudiendo llegar a imponerse una sanción o archivando el asunto según el caso; pero para lo que ahora interesa, con que entendamos esta primera parte del procedimiento es suficiente.

El procedimiento sancionador regulado en el RDLOPD es sustancialmente idéntico al general, PERO con una pequeña matización: mientras que en el regulado por el Real Decreto 1398/1993 no se dice nada respecto a la duración de las actuaciones previas, en el RDLOPD sí que se impone una plazo máximo de un año. Es decir, que esas actuaciones previas (esto es, ANTES de que se inicie el procedimiento) podrán tener una duración máxima de un año. En otras palabras, la AEPD tiene la opción de quedarse en esa fase del procedimiento (actuaciones previas) durante todo un año.

Bien, ahora veamos el plazo de prescripción de las infracciones en materia de protección de datos:

Leves: un año

Graves: dos años

Muy graves: tres años

¿Dónde está el problema?

El problema está en la institución de la prescripción en el Procedimiento Administrativo Sancionador, y en concreto en determinar en qué momento se considerada interrumpida dicha prescripción.

A diferencia de lo que ocurre en el ámbito civil, la prescripción NO se interrumpe por el mero hecho de poner en conocimiento de la Administración competente (en este caso la AEPD) los hechos constitutivos de infracción, sino que se interrumpe cuando se inicia el procedimiento sancionador (recordad, la fase 3º de las antes expuestas), esto es, una vez haya transcurrido ese periodo de “actuaciones previas”.

Así lo establece la Ley 30/1992, de 26 de noviembre de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común (Ley 30/1992), en su artículo 132.2 que expresa:

“El plazo de prescripción de las infracciones comenzará a contarse desde el día en que la infracción se hubiera cometido. Interrumpirá la prescripción la iniciación, con conocimiento del interesado, del procedimiento sancionador…”.

En idéntico sentido está redactado el artículo 47.3 de la Ley Orgánica de Protección de Datos.

Es decir, en la práctica, el plazo de prescripción de las infracciones leves (las que no sean continuadas) coincide con el plazo previsto para las actuaciones previas, lo que se traduce en que queda al arbitrio de la AEPD perseguir o no esas infracciones porque siempre podría dejar pasar el plazo de un año realizando esas actuaciones previas para luego resolver indicando que la infracción ya ha prescrito, aunque en el momento de denunciar los hechos todavía quedasen 364 díaspara que la infracción prescribiera.

Y como es lógico, esto se traduce también en recortar, de facto, un año el plazo de prescripción para las infracciones graves y muy graves.

Esto que puede parecer pura teoría se está viendo cada vez más en los procedimientos de la AEPD, aquí van algunos ejemplos para demostrar lo curioso del asunto:

PS/00611/2008: los hechos ocurren el 9 de octubre de 2006, se trata de una infracción grave (2 años de prescripción), se denuncia el 8 de octubre de 2007 quedando todavía 363 días para que prescriba. El 4 de marzo de 2009 se resuelve declarando prescrita la infracción.

PS/00065/2008: los hechos ocurren el 6 de marzo de 2007, se trata de una infracción leve (1 año de prescripción), se denuncia el 27 de marzo de 2007, quedando todavía 346 días para que prescriba. El 10 de junio de 2008 se resuelve declarando prescrita la infracción.

E/00927/2007: los hechos ocurren el 22 de abril de 2007, se trata de una infracción leve (1 año de prescripción), se denuncia el 10 de mayo de 2007, quedando todavía 343 días para que prescriba. El 16 de marzo de 2009 se resuelve declarando prescrita la infracción.

E/03607/2010: los hechos ocurren el 27 de mayo de 2008, se trata de una infracción grave (2 años de prescripción), se denuncia el 6 de noviembre de 2009, quedando todavía algo más de 6 meses para que prescriba. El 25 de octubre de 2010 se resuelve declarando prescrita la infracción.

Estos no son casos aislados, algunas infracciones sí habrán prescrito adecuadamente, pero en otros muchos casos se aprecia una clara inactividad por parte de la AEPD en intentar que no prescriban, fruto seguramente de la saturación de trabajo que soportan.señalar que confía en que se resuelva favorablemente.

UPYD PIDE A LA FUNDACIÓN TRIPARTITA UN MAYOR CELO PARA PREVENIR LA FRAUDULENTA IMPLANTACIÓN DE SERVICIOS "A COSTE CERO" A CAMBIO DE BONIFICACIONES PARA LA FORMACIÓN DE EMPLEO

Se hace eco de las denuncias de APEP y AMISELEC • Rosa Díez interpeló en el Congreso al Gobierno, sin respuesta • Advierten a las empresas que serán responsables de los posibles fraudes, que suponen "un caso gravísimo de malgasto público" que, "a la postre, revienta la libre competencia". Fuente: UPD (08/12/2010).
Las asociaciones APEP y AMISELEC llevan meses denunciando la práctica que consiste en ofrecer la implantación de la Ley de Protección de Datos a coste cero a cambio de las bonificaciones de la seguridad social a las que las empresas tienen derecho para organizar cursos de formación para el empleo. La Fundación Tripartita ha reconocido que estas prácticas pueden ser fraudulentas. El 8 de junio, Rosa Díez, portavoz nacional de UPyD, registró en las Cortes una pregunta parlamentaria dirigida al gobierno, todavía hoy -seis meses después- sin contestar, sobre los hechos denunciados por las dos asociaciones citadas y reconocidos por la Fundación Tripartita. En Baleares circulan fuertes sospechas de que ciertas empresas ofrecen a empresarios y asociaciones profesionales su servicio de implantación de Protección de Datos a coste cero, a cambio de las citadas bonificaciones.
 
Unión Progreso y Democracia (UPyD) quiere llamar la atención sobre que ningún servicio es ofrecido a coste cero si no lleva consigo una contraprestación económica, por lo que aconseja a las empresas que precisan de implantación de protección de datos que rechacen ceder dichas bonificaciones, a las que tienen derecho y que gestiona la Fundación Tripartita para organizar cursos de formación para sus empleados, a cambio de la implantación a coste cero de sistemas de protección de datos. "Si así lo hicieran, podrían estar cometiendo un fraude y del mismo serían responsables las propias empresas", afirma Calbarro, portavoz de UPyD en Baleares.
 
En un comunicado del 25 de marzo de 2010, la Fundación Tripartita reconoció la existencia de estos casos y avisó "a empresas y consultores, a todos los gestores de formación para el empleo del sistema de bonificaciones de ámbito estatal, sobre la existencia de entidades que de manera gratuita ofrecen servicios de implantación, auditoría y asesoría jurídica en materia de protección de datos de carácter personal, que en la práctica financian estos servicios con cargo al crédito asignado para la formación, un hecho que puede llegar a ser constitutivo de fraude” (más información aquí).
 
"UPyD es un partido que tiene entre sus señas de identidad la lucha contra la corrupción y contra el despilfarro", recuerda Calbarro, "y entiende que estos usos que reconoce la Fundación Tripartita y denuncian APEP y AMISELEC son un caso gravísimo de malgasto público que, a la postre, revienta la libre competencia".
 
UPyD sabe que la Fundación Tripartita ha realizado actuaciones inspectoras, a raíz de las denuncias de APEP y AMISELEC y de la pregunta parlamentaria de Rosa Díez, que han terminado en requerimiento para el reintegro de las cuotas de seguridad social indebidamente bonificadas. Pero ha llegado el momento de adelantarse al fraude, por lo que reclama "a la Fundación Tripartita de Baleares que dé un paso al frente y divulgue debida y pormenorizadamente los elementos que caracterizan la ilegalidad de estas ofertas de contratación, de forma que las mismas sean fácilmente identificables por sus destinatarios".
 
Por otro lado, habiendo reconocido la propia Fundación Tripartita la enorme dimensión del fraude, cuyos grandes beneficiarios son precisamente las empresas y asesores que fomentan esta contratación ilegal, y siendo este asunto público y notorio, desde UPyD "entendemos que quizás ha llegado el momento para la intervención de Fiscalía General del Estado". UPyD, por otra parte, recuerda que "estas prácticas no parecen exclusivas de la implantación de Protección de Datos. Creemos que existen empresas que ofrecen otros servicios (seguridad laboral, sistemas de calidad, etc) mediante el mismo procedimiento fraudulento". A señalar que confía en que se resuelva favorablemente.

"SI LOS USUARIOS NO SE SIENTEN SEGUROS SERÁ NUESTRO FIN"

Google no solo tiene un problema de dominio de mercado. Su éxito planetario también lleva aparejado conflictos con la privacidad y el manejo de datos personales de sus millones de usuarios. Su buscador, pero también Gmail, YouTube, Buzz, Street View y otros tantos servicios se basan precisamente en recolectar datos, hábitos de consumo y preferencias de los usuarios para hacer funcionar una inmensa máquina publicitaria que se lleva la mayor parte del pastel de los anuncios en Internet. Y eso le está ya ocasionando denuncias en los juzgados. Fuente: El País (02/12/2010).

Alma Whitten (Nueva York, 1966), la directora mundial de Privacidad de Google, defiende como un factor "fundamental y crítico" la protección de la privacidad. "Si la gente no se siente segura usando nuestros servicios dejará de utilizarlos y ese sería nuestro fin", argumenta.

De visita en Madrid, la ejecutiva niega la frase que se le atribuye al consejero delegado de su empresa, Eric Schmidt, de que si no quieres ver algo en Internet es mejor que no lo hagas. "El sentido de sus palabras es que es labor de los técnicos de Google es informar al usuario sobre lo que quiere exponer en Internet y con qué usuarios quiere compartir esa información, para que sea consciente en todo momento de hasta donde va a llegar esa información, y sus consecuencias, y se sienta seguro en esa situación, que él mismo ha decidido". "No queremos que se lleven sorpresas desagradables", apunta.

De las filtraciones de Wikileaks prefiere no opinar -"Porque es un asunto de periodistas"-, pero sí deja claro que no existe peligro de que hubiera un wikileaks interno, con filtraciones de su inmensa base de datos porque la información sobre los proyectos y los servicios de Google y de sus usuarios están seguros "dentro de lo razonablemente posible". "Los datos de Google y los e-mail de nuestros ejecutivos tienen la misma protección que el correo de cualquier usuario de Gmail".

"Tenemos un sistema integral de protección interna. Lo primero que hacemos es cerciorarnos de que el número de personas que accede a esos datos sea tan pequeña como sea posible. En segundo lugar, controlamos que el uso de esos datos sea apropiado y, en caso, de no serlo sea intervenido rápidamente; y, por último, que todo el mundo que tenga acceso a datos delicados haya recibido la información adecuada y sea consciente del peligro de hacer un uso impropio de ellos".

Este trabajo de control es llevado a cabo por un equipo de seguridad interna. Se trata de uno de los cinco equipos que trabajan en el área de privacidad, que van desde la gestión del dashboard (panel de control) desde el que un usuario puede acceder a todos los datos que tiene de él Google (aunque no las cookies o aquellos datos internos que sirven de guía a los anunciantes), a los que desarrollan los nuevos servicios, al equipo jurídico y técnico que revisa que están de acuerdo con las normas de privacidad.

Pese a ese control, Whitten reconoce fallos como el que le ha forzado a llegar a un acuerdo para cerrar la demanda judicial colectiva por Buzz, una especie de red social asociada a Gmail, que revelaba datos sin conocimiento del usuario. "Cuando empezaron a llegar quejas de usuarios, nuestros ingenieros trabajaron tres días y tres noches para solucionarlos y ahora estamos trabajando para que no vuelva a ocurrir". Google ha pagado 8,5 millones a un fondo independiente que será usado para "apoyar a organizaciones que promuevan la educación sobre la privacidad en la web" y 2.500 a los usuarios que promovieron la demanda.

Sin embargo, los problemas más acuciantes para Google vienen ahora de Street View, el servicio de mapeado mediante fotografías de las calles de las principales ciudades del mundo. Google primero tuvo que pixelar los rostros de los peatones y las matrículas de los vehículos. Luego se descubrió que los coches encargados de recorrer las calles recogían sin permiso datos sobre redes privadas de wi-fi, lo que provocó una nueva rebelión en varios países como Austria, República Checa y Portugal que han frenado el proyecto hasta que se sustancien las demandas judiciales abiertas contra la empresa. En España, donde también se sigue el caso por la vía judicial, el servicio está activo pero se han dejado de hacer fotos.

"Nunca tuvimos la intención de recoger esos datos, se debió a un error en la programación de los vehículos como dijimos en su día en nuestro post. Y cuando nos enteramos de que eso estaba sucediendo rápidamente lo corregimos y nos aseguramos de que no volviera a ocurrir", asegura.

La directiva de Google insiste en que Street View es un producto "legal" y se lanza "desde la legalidad" en todos los países en los que está presente. "En todos ellos, hemos abierto un debate previo con las agencias de protección de datos, los Gobiernos y los propios usuarios para intentar no molestar a nadie. Los procesos judiciales los lleva el departamento jurídico, pero trabajamos con los Gobiernos y respetaremos siempre sus opiniones, como hemos hecho en Alemania". En este país, ha tenido que borrar más de 240.000 edificios cuyos propietarios no querían salir en Street View.

Whitten reconoce que tanto en el buscador como en Gmail, Google detecta las palabras clave que escribe el usuario y las utiliza para adjuntarle publicidad de sus anunciantes en relación con esas palabras, la llamada publicidad relacionada. "Es importante aclarar que, primero, Google no vende ni comparte información con los anunciantes ni con terceros y, en segundo lugar, a los usuarios les llegan anuncios de los anunciantes que han comprado la búsqueda con esa palabra clave, pero en ningún caso información personal de los usuarios".

Sobre el procedimiento abierto en Bruselas por abuso de posición dominante, Whitten se limitó a señalar que confía en que se resuelva favorablemente.

PROTECCIÓN DE DATOS ALERTA: GOOGLE O FACEBOOK "HAN CRUZADO VARIAS LÍNEAS ROJAS"

El director de la Agencia Española de Protección de Datos (AEPD), Artemi Rallo, ha alertado en el Congreso de que grandes empresas de Internet como 'Google' o 'Facebook' "han cruzado varias líneas rojas" en cuanto a los derechos de privacidad de millones de usuarios, que han llevado a la agencia a iniciar en los últimos meses diversas investigaciones. Fuente: Europa Press (02/12/2010).

En su comparecencia en la Comisión Constitucional del Congreso, Rallo, ha advertido de casos registrado en los últimos meses como y ha citado como ejemplo el de 'Street View' o la red social 'Buzz' de Google, que incorporó sin consentimiento a los usuarios de 'Gmail' como participantes de esa nueva red social, y les asignó como 'seguidores' a personas con las que mantenían correspondencia más frecuentemente a través del correo electrónico. "Todo ello sin informarles adecuadamente", ha puntualizado.

De hecho, ha puesto como ejemplo la cesión de datos de usuarios de Facebook a anunciantes por medio de aplicaciones. En este sentido, ha argumentado que en mayo de 2010 las autoridades de Protección de Datos de la UE remitieron una carta a los responsables de la plataforma rechazando la modificación unilateral de la configuración de privacidad de los usuarios de la red social.

'TSUNAMI' DE ACTUACIONES

Es más, ha destacado que los problemas planteados sitúan a la AEPD ante "un auténtico tsunami" de situaciones que obligan a responder con prontitud y con la mayor eficacia posible. Ante esta situación ha dicho que "no se puede obviar" la exigencia de responsabilidades cuando se incumple la Ley.

También, ha resaltado que el impacto de las nuevas tecnologías sobre la privacidad y la necesidad de responder a las exigencias del uso generalizado de las mismas han sido uno de los puntos de partida para iniciar la revisión de la Directiva de Protección de Datos de 1995, al objeto de adaptar sus disposiciones e introducir mejoras del marco actual y nuevos principios, como la noción de privacidad desde el diseño o 'privacy by design'.

Es más, ha recordado que recientemente la Comisión Europea ha fijado las prioridades del futuro marco legal europeo entre las que destacan: la necesidad de una mayor armonización de las normativas nacionales de protección de datos; el fortalecimiento de las funciones de las autoridades nacionales de protección de datos, verificando su independencia; la existencia de un régimen de sanciones y de más eficaces mecanismos de cooperación intraeuropea, o la mejora del control de los ciudadanos sobre sus propios datos.

MENORES Y REDES SOCIALES

Respecto a las actuaciones desarrolladas por la AEPD para proteger a los menores, ante su presencia creciente en la Red, el director de la agencia ha informado que durante los años 2009 y 2010 se han mantenido contactos con las redes sociales 'Tuenti' y 'Facebook' para mejorar sus políticas de privacidad e impedir el acceso de menores de 14 años.

En este contexto, ha apuntado que para evitar registros por debajo de esa edad, 'Tuenti' ha implantado y está desarrollando medidas que deberían permitir revisar unos 300.000 perfiles anuales, y 'Facebook', por su parte, y a requerimiento de la Agencia, ha establecido como edad mínima para poder registrarse desde España también los 14 años, adecuándose a la normativa nacional.

Finalmente, ha indicado que el barómetro del CIS indica que la preocupación por el uso de la información personal alcanza casi al 75 por ciento de los encuestados y que el 50 por ciento de ellos conoce la existencia de una ley que protege ante posibles abusos.