TOP

LA INTOXICACIÓN DE LA PRENSA PARA VENDER TITULARES

Este artículo tiene como centro de gravedad una reciente Sentencia del Tribunal Supremo en relación a la normativa sobre protección de datos. Fuente: Samuel Parra, 22/02/2012
Por todos es conocido que en los últimos tiempos el objetivo de la mayoría de los “medios de comunicación” no es informar con rigor y veracidad sino vender ejemplares o ganar audiencia; para ello se sirven de titulares pomposos y normalmente alejados de la realidad; pero cuando esa desinformación o toxicidad informativa hace creer al pueblo llano que han perdido ciertos derechos, debemos empezar a preocuparnos.
Este artículo tiene como centro de gravedad una reciente Sentencia del Tribunal Supremo en relación a la normativa sobre protección de datos, no obstante, estoy convencido que cualquier experto en otras materias podría contar cosas similares en la disciplina que domine.
No tenía intención de comentar nada sobre la Sentencia del Tribunal Supremo de 8 de febrero de 2012, pero este comentario dejado por un lector en mi blog me ha animado.
El comentario en cuestión dice esto:
He recibido un SPAM masivo (7 e-mails de publicidad iguales en 10 horas), y al quejarme al emisor me ha contestado:
————————————————————-
En relación a su email recibido sobre el tema que nos ocupa, les informamos que el Tribunal Supremo en Sentencia de fecha 8 de febrero de 2012, ha estimado que el uso de datos personales no requiere el consentimiento previo del afectado, cuando es para un “fin legítimo”, sin necesidad de que el origen de esos datos sea una fuente de acceso público.
————————————————————-
¿Significa que ya no podemos hacer nada contra el SPAM, o es otro de los falsos pretextos para dar apariencia de legalidad al envio de publicidad?.
La respuesta de ese “emisor de spam” ante la queja del “receptor de spam” viene motivada por el machacamiento de los medios de comunicación tradicionales realizado entre los días 13 y 15 de febrero de 2012 en el que pudimos asistir a titulares tales como:
Las empresas podrán comercializar datos personales sin pedir permiso
El Tribunal Supremo legaliza el uso de datos personales sin consentimiento (y con ánimo de lucro)
Las operadoras podrán ceder los datos personales de clientes sin consentimiento previo
España: empresas tratarán datos personales sin consentimiento
El Supremo permite utilizar datos de los usuarios sin consentimiento
El Supremo mutila la protección de datos personales
El Supremo permite usar datos de clientes sin permiso para fines legítimos
Si leemos esas noticias, vienen a “explicar” (en algunos casos sospecho que incluso a inventarse) las consecuencias de esa Sentencia del Tribunal Supremo; pero claro, entre que hay que ser rápidos y que hay que vender ejemplares (o retwitteos y similares), lo que se transmite al final queda tan lejos de la realidad que es contrario a la verdad… y es algo que se podría evitar simplemente consultando a fuentes especializadas en cada materia.
Llegados a este punto, ¿qué supone esa Sentencia? ¿De verdad que las empresas pueden tratar mis datos personales sin mi consentimiento? ¿Me pueden enviar ya spam y no puedo hacer nada?
A ver, la Sentencia hace una cosa muy simple: anula un epígrafe de un apartado de un artículo de un reglamento que desarrolla la Ley Orgánica de Protección de Datos… vaya, dicho así no parece que afecte mucho a la Ley Orgánica de Protección de Datos (LOPD), y así es, porque es que la LOPD se queda intacta.
¿Qué dice ese epígrafe de ese apartado de ese artículo de ese reglamento? pues dice que, será posible el tratamiento o la cesión de los datos de carácter personal sin necesidad del consentimiento del interesado cuando “Los datos objeto de tratamiento o de cesión figuren en fuentes accesibles al público y el responsable del fichero, o el tercero a quien se comuniquen los datos, tenga un interés legítimo para su tratamiento o conocimiento, siempre que no se vulneren los derechos y libertades fundamentales del interesado.[...]“
En realidad el problema de todo ese apartado son las palabras “figuren en fuentes accesibles al público”, me explico:
El Reglamento que cito es el Reglamento de desarrollo de la LOPD que en su artículo 10 indica que se pueden tratar o ceder los datos personales sin consentimiento cuando, entre otros motivos que ahora no vienen al caso:
? a) Medie un interés legítimo por parte del que los trata o cede amparado en alguna norma con rango de Ley, siempre que no prevalezca el interés o los derechos y libertades fundamentales de los interesados previstos en el artículo 1 de la LOPD.
? b) Los datos figuren en fuentes accesibles al público y el que los va a tratar o quien los va a recibir tenga un interés legítimo, siempre que no se vulneren los derechos y libertades fundamentales del interesado.
Pues bien, lo que se anula es ese segundo apartado, el b), porque, dicho brevemente, ese requisito de que los datos figuren en fuentes accesibles al público es una limitación que excede de las previsiones de la Directiva sobre Protección de Datos. Por tanto queda vigente el a) (que ya estaba vigente desde el principio por otra parte).
Es decir, lo que se anula es un supuesto que permitía tratar y ceder nuestros datos personales sin nuestro consentimiento… insisto, se anula un supuesto que permitía tratar y ceder nuestros datos sin nuestro consentimiento; o sea, que lo que se anula es una excepción que permitía tratar nuestros datos sin nuestro consentimiento, por tanto, ahora ya no van a poder coger nuestros datos de una fuente accesible al público y tratarlos o cederlos si tienen un interés legítimo.
Por consiguiente solo queda vigente la primera excepción que comentaba: medie un interés legítimo por parte del que trata o cede datos personales amparado en alguna norma con rango de Ley, siempre que no prevalezca el interés o los derechos y libertades fundamentales de los interesados previstos en el artículo 1 de la LOPD.
Evidentemente, el primer efecto de esto es que de 2 excepciones que tenían las empresas para tratar nuestros datos sin consentimiento ahora tienen solo una; una que, por otro lado, lleva vigente desde el año 2008 que es el año en que entró en vigor este Reglamento, por tanto no es que AHORA las empresas puedan comerciar con nuestros datos sin nuestro consentimiento… si así fuera (que no lo es), lo sería desde el año 2008 y no ahora.
- Pero entonces a ver que nos aclaremos, ¿las empresas pueden o no pueden tratar mis datos sin mi consentimiento?
La respuesta es que con carácter general NO PUEDEN; el principio general es que deben pedirte tu consentimiento; pero no es necesario este consentimiento (entre otros casos) si el tratamiento o cesión se realiza para satisfacer un interés legítimo de la empresa que los trata amparado en una Ley y siempre que no prevalezca el interés o los derechos y libertades fundamentales del afectado. Y repito, esta excepción lleva en vigor desde el año 2008, no es nueva de ahora.
- ¿Y qué es eso del interés legítimo? Pues puede ser todo o nada; el interés legítimo debe apreciarse en cada caso concreto y no hay una definición general.
Pero es importante destacar que la empresa que se aventure a tratar datos personales sin consentimiento esgrimiendo un “interés legítimo” corre el riesgo de que o bien nuestra Agencia Española de Protección de Datos o un Tribunal determine que en ese caso concreto eso que la empresa entendía como “interés legítimo” no lo era, y por tanto se han tratado datos personales sin consentimiento lo que supone incurrir en una infracción grave cuya sanción va desde los 40001 a los 300000 euros.
Por tanto, y ya respondiendo al amigo lector Luis Martín  (siento haberte hecho esperar hasta aquí), en relación a tu pregunta “¿Significa que ya no podemos hacer nada contra el SPAM, o es otro de los falsos pretextos para dar apariencia de legalidad al envio de publicidad?” la respuesta es que para el envío de comunicaciones comerciales por vía electrónica se requiere el consentimiento expreso del receptor, pero no porque lo diga la LOPD, sino porque lo está expresando la Ley de Servicios de la Sociedad de la Información (LSSI) al afirmar en su artículo 21.1 que “Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas“.
Por tanto da igual lo que diga la LOPD, su Reglamento de Desarrollo o esa Sentencia del Tribunal Supremo, es de aplicación ese artículo 21.1. de la LSSI, siendo irrelevante si la empresa que te lo envía tiene interés legítimo (que además no lo tiene).

SANCIONES DE HASTA 1 MILLON DE EUROS

La comisaria de Justicia y Derechos Fundamentales, Viviane Reding, ha presentado la primera de sus propuestas para actualizar la ley europea de protección de datos. Fuente: UE 25/01/2012 y Libertad Digital.com 26/12/2012
Helas.MVC4.Models.Shared.FileViewModel

La comisaria de Justicia y Derechos Fundamentales, Viviane Reding, ha presentado la primera de sus propuestas para actualizar la ley europea de protección de datos, una legislación que data de 1995, antes de la popularización de la red.
La nueva legislación propuesta por Bruselas, que necesitará el visto bueno de los gobiernos de los Veintisiete y del pleno de la Eurocámara, facilitará a los ciudadanos borrar la información que aparece de ellos en buscadores como Google o en redes sociales como Facebook.

Con esta iniciativa Reding quiere plasmar su vieja reivindicación de que los europeos tengan el derecho a "borrar su rastro en internet" cuando lo deseen, aunque previamente hayan accedido a dar información sobre sí mismos colgando, por ejemplo, fotografías en las redes sociales.

"La protección de datos es un derecho fundamental pero a veces los ciudadanos ven cómo se les escapa de las manos", señaló Reding ante la prensa.

La comisaria destacó la necesidad de poner al día la legislación sobre protección de datos dado que "cuando se aprobó la última, en 1995, solo el 1% de los europeos se comunicaba habitualmente por internet. Hoy son el 97 %", precisó.

La iniciativa pretende que exista un solo mercado digital para usuarios y empresas y una sola ley para los Veintisiete en términos de protección de datos. Además de mejorar los derechos de los usuarios, la iniciativa también pretende simplificar la legislación para las empresas de telecomunicaciones que operan en la UE. "El mercado digital europeo no vuela tan alto como podría porque las empresas tienen que pensar en veintisiete legislaciones distintas", indicó Reding.

Por ello, la medida prevé que exista un futuro conjunto único de normas de protección de datos y que se eliminen "requisitos administrativos innecesarios" que permitirán ahorrar 2.300 millones de euros (unos 2.900 millones de dólares) al año a las compañías, explicó.

Actualmente, las empresas tenían que notificar sus actividades de protección de datos a los supervisores nacionales. A partir de ahora, solo tendrán que hacerlo a una única autoridad, y no a veintisiete distintas. Esta "ventanilla única" de datos personales facilitará las cosas a las empresas, "pero también a los ciudadanos que quieran denunciar abusos", subrayó Reding.

En casos de incumplimiento por las compañías de sus obligaciones de protección de datos, las empresas deberán hacer frente a sanciones de hasta un millón de euros (más de un millón de dólares) o el 2 % del volumen de su negocio.

COMENTARIOS AL BORRADOR DEL REGLAMENTO DE PROTECCION DE DATOS DE LA UE

Comentarios al borrador de Reglamento de Protección de Datos de la Unión Europea. Autor: Fco. Javier Sempere Samaniego Asesor de Apoyo Técnico-Jurídico. Agencia Protección de Datos de la Comunidad de Madrid. Fuente: Revista Datospersonales.org
Helas.MVC4.Models.Shared.FileViewModel

Como muchos sabrán, se ha filtrado este documento cuya aprobación está prevista en este año que acaba de empezar y que sustituirá a la actual Directiva 95/46.

Para realizar este trabajo he optado por comentar algunos artículos –el texto del borrador de Reglamento es bastante extenso- pero no sólo de manera expositiva, sino que he tratado de relacionarlo, en algunos supuestos, con la normativa vigente, realizando también reflexiones sobre algunas cuestiones.
Asimismo, encontrarán algunos pies de páginas referidos a documentos de los cuales recomiendo su lectura.
Para facilitar la lectura y su comprensión, he seguido una estructura de comentar “artículo por artículo”.
Como he comentado al principio, se trata de un borrador y por tal carácter su contenido hay que tomarlo con mucha cautela, aunque sirve para darnos una idea de cuál va a ser la reforma definitiva, o al menos, el espíritu de la misma, que no es otro que reforzar y proteger el derecho fundamental a la protección de datos personales.
Artículo 2. “Ámbito de aplicación”.
Trata de solucionar el llamado problema de “ley aplicable” en sus diferentes vertientes (“cloud computing”, tratamiento de datos por empresas que no tengan sede en la Unión Europea…) utilizando para ello la base del Dictamen 8 /2010[1] sobre Derecho Aplicable elaborado por el Grupo de Trabajo de la Unión Europea del Artículo 29 de la Directiva.
De esta forma, se define el ámbito de la siguiente manera:
1. Cuando el tratamiento se realice en el marco de las actividades llevadas a cabo por el responsable o encargado cuyo establecimiento se encuentre en la Unión Europea.
2. Cuando el tratamiento de datos afecte a los ciudadanos de la Unión aunque el responsable no tenga establecimiento en la misma, siempre que el citado tratamiento esté dirigido a obtener/tratar los datos de los afectados o se utilicen para controlar su comportamiento. Esta referencia, hay que conectarla con el artículo 22 del borrador, que se refiere a la designación de un representante cuando el responsable no tenga sede en el territorio de la Unión.
Sobre esta cuestión, el Dictamen 8/2010 se refiere en el sentido de que se utilicen medios en los Estados de la Unión para la recogida de datos aunque el responsable esté fuera de la misma, poniendo como ejemplo el uso de vehículos para la recogida de información sobre punto de acceso wifi o la propia computación en nube usando la instalación de cookies o javascripts.
No obstante, dicho dictamen abre la puerta a que este criterio de los medios se complemente con “un factor de conexión más específico, que tuviera en cuenta la oportuna orientación hacia las personas”. Por lo tanto, este apartado sobre el ámbito de aplicación supondría la aplicación de la normativa de protección de datos, cuando la empresa esté fuera de la Unión Europea, en base al criterio de “orientación hacia las personas”.
1. Cuando el tratamiento de los datos personales se realice por medios total o parcialmente informatizados o que no sean automatizados pero vayan a formar parte de un archivo. De este apartado puede deducirse dos interpretaciones: por una parte, estamos ante el supuesto “clásico” del fichero (ver también la definición de archivo en la parte del borrador sobre las definiciones –artículo 3-); por otra, podemos entender que aparece el criterio de los medios al que me he referido en el apartado anterior.
2. Cuando el tratamiento de datos personales se realice por un responsable que no esté establecido en la Unión Europea pero se aplique la ley de un Estado miembro de la Unión en base al Derecho Internacional Público. El Dictamen 8/2010 nos aclara esta cuestión cuando dice que “Así puede ocurrir cuando el Derecho internacional público o acuerdos internacionales determinan el Derecho aplicable a una embajada o consulado, o el aplicable a un buque o una aeronave. En estos casos, cuando el responsable del tratamiento está establecido en uno de estos lugares específicos, el Derecho nacional de protección de datos aplicable se determinará por el Derecho internacional”.
Sobre los cuatro supuestos, resaltar que en todo momento se habla de tratamiento coincidiendo con la doctrina actual, que ha evolucionado de la “existencia del fichero” para aplicar la LOPD al mero “tratamiento”. Esta cuestión, a su vez, ha derivado en lo que se conoce como “LOPD para todo”, es decir, que en la medida en que se estén tratando datos de carácter personal se puede aplicar la LOPD, independientemente de la existencia de un fichero[2].
En cuanto a los supuestos de no aplicación, destacar la actividad doméstica queda fuera de la protección de datos de carácter personal excepto que se haya procedido a la publicitación de los datos personales de manera que los mismos sean accesibles para una pluralidad de personas. En este supuesto, se introduce el criterio establecido en la conocida sentencia Lindqvist[3].
Asimismo, aunque la excepción se refiere a la actividad doméstica habría que valorar si los supuestos de no aplicación de la LOPD recogidos por su Reglamento de desarrollo, tal y como se ha interpretado hasta la fecha, dicha exclusión alcanza también la posibilidad de publicar esos datos en Internet[4].
Artículo 3. “Definiciones”.
Aparecen nuevas definiciones que no sólo no se encuentran en la actual Directiva 95/46 sino tampoco en la LOPD o en su Reglamento de desarrollo. Así, podemos citar como ejemplo, los referentes a “brechas de seguridad”, las conocidas “BCR’s” o el “establecimiento principal” (este último ligado al nuevo ámbito de aplicación). Asimismo, se introduce dentro de la definición de dato de carácter personal la “ip” o los datos de localización[5].
Me gustaría detenerme en tres definiciones, dos de las cuales aparecen como nuevas –si bien ya estaban plasmadas en algunos documentos del Grupo del Artículo 29[6]-, y que son los “datos genéticos”, “datos biométricos”, y los “datos de salud”.
Respecto a los dos primeros, el artículo 30 del borrador exige que cuando el tratamiento vaya a afectar a este tipo de datos, se realice un “Informe de Impacto de Privacidad” (Privacy Impact Asessement), por lo que se opta por una mayor protección de este tipo de datos.
En este sentido, y respecto a los datos biométricos habrá que valorar si al gozar de una mayor protección debido no sólo con la introducción en el apartado de definiciones sino también como consecuencia de tener que realizar los citados “Informes de Impacto de Privacidad”, la normativa española tendría que modificarse en el sentido de especificar que las medidas de seguridad de estos datos sean al menos de carácter medio.
Así, podemos citar que en la actualidad, el uso de la huella para el control fichaje se considera un dato identificativo y por tanto las medidas de seguridad serán las de carácter básico. Sobre el uso de la huella dactilar, en los países del centro de Europa, existe una mayor conciencia respecto al dato de la huella dactilar debido, sobre todo, por ser países que han sufrido las investigaciones indiscriminadas que realizaba la antigua policía de la extinta RDA (la Stasi), por lo que en los citados países se considera como un dato especialmente protegido.
Más discusión puede plantear el uso de otros tipos de datos biométricos, como el iris que podría revelar datos de salud (por ejemplo, alguna enfermedad).
En el caso de los datos genéticos, con el RD de desarrollo de la LOPD ya se les otorga una especial protección, ya que de conformidad con el artículo 5.1.g) se les considera como datos de carácter personal relacionados con la salud.
En cuanto a los “datos de salud” amplía ostensiblemente el contenido de la definición de los mismos hasta el punto de considerar como dato de salud la información contenida en los pagos que se realicen por una prestación sanitaria (pongamos por ejemplo, que un recibo de pagar la visita al médico de cabecera sin que en dicho pago apareciese ningún tipo de enfermedad, ya que en cambio, si fuese un especialista, aunque no se sepa si esa persona tiene o no la enfermedad que es tratado por el mismo, revela más información que en el primer supuesto), y el número que pueda identificar a una persona en relación con la prestación sanitaria, en otras palabras, el número de la tarjeta de la seguridad social.
Pues bien, al igual que en el supuesto de los datos biómetricos (también habrá que realizar el “Informe de Impacto de Privacidad”), veremos cómo afecta esta nueva definición a las excepciones que ha recogido el Reglamento de desarrollo de la LOPD en relación con los citados datos (por ejemplo, el artículo 81.5.b) sobre el tratamiento incidental o accesorio de los datos especialmente protegidos), ya que el reforzamiento o ampliación de su contenido puede llevarnos a que no se apliquen las mencionadas excepciones.

Autor: Fco. Javier Sempere Samaniego Asesor de Apoyo Técnico-Jurídico. Agencia Protección de Datos de la Comunidad de Madrid.

RESUMEN DE LA 4ª SESION ANUAL ABIERTA DE LA AEPD

El director de la AEPD destaca la creciente concienciación ciudadana sobre la protección de sus datos, y pone de manifiesto que las denuncias y reclamaciones de tutela recibidas en 2011 crecieron en torno a un 50% y un 34%, respectivamente, respecto a 2010
Helas.MVC4.Models.Shared.FileViewModel

La Agencia Española de Protección de Datos (AEPD) ha celebrado hoy la “4ª Sesión Anual Abierta de la AEPD” en los Teatros del Canal de Madrid, a la que han acudido más de 800 expertos, organizada en el marco de la celebración mañana, 28 de enero, del Día de la protección de datos en Europa.

Durante el acto de apertura de la jornada, el director de la AEPD, José Luis Rodríguez Álvarez, ha destacado la creciente concienciación ciudadana acerca del valor de su información personal en nuestro país, y ha puesto de relieve que el número de denuncias recibidas en la AEPD ha crecido aproximadamente en un 50% con respecto al año 2010 y el de reclamaciones de tutela en más de un 34%. “Estos incrementos contrastan fuertemente con la relativa estabilización que se produjo en 2010 respecto del año anterior”, ha añadido.

Asimismo, José Luis Rodríguez Álvarez se ha referido a la reciente presentación por parte de la Comisión Europea del nuevo marco europeo de protección de datos, subrayando que “esta iniciativa legislativa supone un importante avance para fortalecer la protección de los datos personales de los individuos en el territorio de la Unión Europea”.

El director de la AEPD ha subrayado que la Agencia ha recibido con especial satisfacción que se reconozca expresamente la existencia de un derecho al olvido en Internet, “algo que hemos venido defendiendo e intentando materializar de forma continuada en los últimos años”, ha añadido.

Rodríguez Álvarez también ha destacado el importante avance que supondrá reforzar las Autoridades de Protección de Datos, y equiparar sus poderes en todos los Estados Miembros, entre los que se incluye el de imponer sanciones económicas sobre la base de un régimen sancionador que también se armoniza para toda la Unión.

Además, el director de la AEPD ha recalcado que la posición jurídica y las garantías de los ciudadanos se ven también reforzadas en la medida en que el Reglamento establece expresamente su aplicación no sólo a las entidades establecidas en la UE, sino también a aquellas que, no estándolo, traten datos de residentes en la Unión para ofrecerles bienes o servicios o para monitorizar sus actividades. “Con ello se logrará poner fin a una práctica frecuente en los últimos tiempos de ciertas corporaciones que alegan que no les es aplicable el derecho europeo, negando con ello a sus usuarios europeos algunos derechos que éste les garantiza”, ha añadido.

En cuanto al tema central de la jornada, -la Computación en Nube- el director de la AEPD ha recordado a los asistentes que, ante las cuestiones que plantean estos servicios en nube para la protección de los datos personales, la AEPD está desarrollando diversas iniciativas, entre las que se encuentran reuniones con las empresas prestadoras; la participación activa en la formulación de criterios generales en el Grupo de Autoridades Europeas de Protección de Datos, y la consulta pública abierta por la Agencia para conocer mejor las necesidades, experiencias y criterios de los prestadores y usuarios en España.

El primer bloque de la jornada, titulado “Cloud Computing: sujetos que intervienen, ley aplicable, garantías. Transferencias Internacionales de Datos”, ha contado con la participación del adjunto al director de la AEPD, Jesús Rubí, y la subdirectora general del Registro de la AEPD, Mª José Blanco.

Durante su intervención, Rubí ha repasado las distintas modalidades de Nubes y de servicios susceptibles de prestación en estos entornos, y ha recordado que la ley aplicable en este ámbito es la ley nacional del responsable del tratamiento datos o cliente.

Asimismo, el adjunto al director de la AEPD ha recordado que tanto las empresas responsables de los datos como las empresas contratadas para prestar servicios de Cloud Computing, deben actuar con arreglo a lo establecido en la legislación de protección de datos (la LOPD y su reglamento de desarrollo). En este sentido, deben existir en los contratos unas cláusulas contractuales que recojan las garantías que exige la legislación española de protección de datos -finalidad y usos de la información, seguridad, confidencialidad devolución o traslado a  otro  prestador de servicios.

Por su parte, Mª José Blanco ha centrado su intervención en abordar las implicaciones de la Computación en Nube en las transferencias internacionales de datos, y ha analizado régimen aplicable y los requisitos para cumplir con los principios establecidos en la LOPD.

En el segundo bloque, dedicado a abordar las principales novedades en materia de protección de datos en el ámbito nacional e internacional, el abogado del Estado-jefe de la AEPD, Agustín Puente se ha referido a consultas, informes y sentencias más relevantes de 2011. Entre otras sentencias se ha referido a la sentencia del Tribunal Supremo de 2 de diciembre de 2011, que si bien no cuestiona la sujeción de los órganos judiciales a la LOPD, establece que la competencia en este ámbito no corresponde a la Agencia sino al CGPJ, tanto en lo que respecta a los ficheros jurisdiccionales como a los no jurisdiccionales o gubernativos.

También se ha referido a la sentencia del Tribunal de Justicia de la Unión Europea (TJUE), que resuelve las cuestiones prejudiciales planteadas por el TS sobre la interpretación del artículo 7.f) de la Directiva Europea de Protección de Datos. Dicha sentencia proclama que el citado artículo tiene efecto directo en España y precisa el alcance del citado artículo, haciendo hincapié en la necesidad de ponderar caso a caso los derechos e intereses en conflicto. Puente ha indicado que, en la práctica, la incorporación de la doctrina del TJUE no debería llevar a un escenario sustancialmente distinto del actual, si bien, a partir de ahora será necesario proceder a un examen más exhaustivo de las circunstancias concurrentes en cada caso concreto y a su adecuada ponderación, con el fin de decidir sobre la legitimidad del tratamiento.

Por otra parte, este segundo bloque de la jornada ha abordado, de la mano del subdirector general de Inspección de Datos de la AEPD, José López Calvo, los principales casos tramitados en el último año en el área de inspección. López Calvo ha subrayado que en 2011 la entrada de denuncias y reclamaciones de tutela creció frente a 2010 en aproximadamente un 50% y un 34,5 %, respectivamente.

Asimismo, el subdirector general de Inspección de la AEPD ha hecho alusión a los primeros meses de aplicación del nuevo régimen sancionador de la LOPD aplicable tras la entrada en vigor en marzo de 2011 de la Ley de economía sostenible, que introdujo la figura del apercibimiento. En este contexto, López Calvo ha explicado que entre el 3 de marzo y el 31 de diciembre de 2011 se dictaron 394 resoluciones sancionadoras y 284 apercibimientos, es decir, que el 42 % de los asuntos en los que se aprecia una infracción acabaron en apercibimiento, sin imposición de sanciones, atendiendo a los criterios para la aplicación de esta figura contenidos en la Ley.

Posteriormente, la subdirectora general del Registro General de la AEPD ha presentado un nuevo modelo de cláusulas contractuales de transferencias internacionales de datos en respuesta a la demanda surgida por parte de empresas españolas prestadoras de servicios para poder dirigirse directamente a la Agencia para solicitar autorizaciones de transferencias internacionales de datos. Blanco ha puesto de manifiesto que si bien el criterio de la Agencia era que el exportador de los datos tenía que ser el responsable del fichero, la Decisión 2010/87 ofrece la posibilidad de ofrecer esta misma flexibilidad a los encargados de tratamiento nacionales, criterio que recoge el nuevo contrato presentado por la AEPD.

En el ámbito de los desarrollos internacionales, el coordinador del Área de Internacional de la AEPD, Rafael García, al igual que el director de la AEPD ha centrado gran parte de su intervención en el nuevo marco normativo europeo presentado por la Comisión Europea. Durante su intervención, ha valorado positivamente que la Comisión haya elegido la figura del Reglamento –norma aplicable directamente en toda la UE- como instrumento para lograr una mayor armonización y un marco uniforme del sistema europeo de protección de datos y superar las actuales diferencias que se derivan de las distintas aplicaciones nacionales de la Directiva.

APEP EN EL DIA EUROPEO DE PROTECCION DE DATOS

Declaración de la Asociación Profesional Española de Privacidad Fuente: APEP 27/01/2012
Helas.MVC4.Models.Shared.FileViewModel

El 28 de enero conmemoramos el Día Europeo de la Protección de Datos y con ello un modelo de normativo que garantiza un elevado nivel de protección de la vida privada de nuestros ciudadanos. La defensa de la privacidad no es patrimonio exclusivo del continente. Los padres del derecho a la intimidad, Warren y Brandeis formulan su defensa del derecho en 1890, Estados unidos cuenta con legislación desde la Privacy Act de 1974, y junto a las leyes europeas de la misma época, como la de Land de Hesse, la francesa o a la sueca, se legisla también en Japón. Sin embargo, el Convenio 108/1981 del Consejo de Europa y la Directiva 95/46 configuran el modelo de protección más acabado que hoy celebramos.

La defensa del derecho a la protección de datos resulta imprescindible para los retos a los que se enfrenta nuestra sociedad. Cuando la expresión “nuevas tecnologías” huele ya a mohoso, cuando las tecnologías de la información constituyen una realidad presente y una esperanza de futuro y en un mundo en el que la frontera entre la vida en lo físico y lo virtual se difumina mientras creamos un mundo Web 2.0, el derecho fundamental a la protección de datos está llamado a ser una garantía esencial de nuestras libertades.

Contribuir con nuestro trabajo diario a promover un adecuado cumplimiento de este derecho no puede sino proporcionarnos el orgullo de desempeñar una noble tarea al servicio de la sociedad. La aplicación de la legislación sobre protección de datos no debe ser ni una actividad formal ni un mal necesario que administraciones, empresas y corporaciones deban padecer estoicamente. Cuando una organización cumple con sus deberes en esta materia incorpora un valor añadido fundamental para su futuro. Analiza todos sus procesos, implementa seguridad, configura un modelo de adopción de decisiones basado en información confiable y ofrece a sus usuarios, clientes o administrados calidad, seguridad y confianza.

Por ello, a los profesionales nos incumbe trasladar en nuestro quehacer cotidiano estos valores positivos. Nuestra tarea es difícil frente a un tejido social integrado por responsables no siempre conscientes de la importancia de la protección de datos personales. Es fundamental la implicación de poderes públicos y de las organizaciones sindicales, empresariales y sociales en la difusión y concienciación de nuestra sociedad. Pero además los profesionales debemos ser ejemplo de rigor y competencia en el desempeño de nuestra tarea. Debemos apostar por una formación continuada constante, por un desempeño ajustado a las necesidades de cada organización auditada frente a soluciones epidérmicas de copia-pega, debemos ser capaces de transmitir la importancia de nuestra tarea garantizando que la “implementación de la LOPD” no es un puerto de arribo, sino el inicio de una tarea continuada.

Y todo ello, en un contexto económico particularmente difícil y en un entorno en el que las prácticas desleales hacen a veces imposible el normal desempeño de nuestro trabajo. Quienes prestan servicios de consultaría a Coste 0, regalando un servicio que acaba siendo financiado con los impuestos de los españoles, quienes ofertan servicios sin rigor profesional alguno, condenan a los responsables a un cumplimiento inadecuado de la Ley que acabará lesionando los derechos fundamentales de nuestros ciudadanos. Este tipo de arribista de la subvención avergüenza a nuestra sociedad ya que es imposible que quien no es en absoluto un profesional pueda avergonzar a la profesión.

Afortunadamente, vivimos tiempos interesantes y esperanzadores. La reforma de la Directiva apuesta por los profesionales de la privacidad no sólo reconociendo la figura y definiendo un perfil de funciones sino en cuanto que incorpora con contundencia el principio de documentación, el valor de la seguridad y las metodologías de “data protection impact assesment” y “data protection by default”. Si a ello se añade la revisión por el Consejo de Europa, de los principios de la OCDE, e incluso de la Privacy Act de 1974 acompañada de la cada vez mayor implicación de la Federal Trade Commision Norteamericana en la defensa de la privacidad de los consumidores, debemos contemplar el futuro con esperanza.

En este día que celebramos más que nunca, los profesionales de la privacidad debemos asumir el papel central que debemos jugar en la sociedad de la información y debemos hacerlo con rigor, responsabilidad y compromiso social.

http://www.apep.es/apep-en-el-da-europeo-de-la-proteccin-de-datos/