TOP

DE CÁMARAS FALSAS DE VIDEO VIGILANCIA Y PEGATINAS DISUASORIAS. LA DOCTRINA GEPPETTO DE LA AEPD.

Geppetto, creador de Pinocho, en versión Disney. Y usted se preguntará? ¿qué narices tiene que ver el pobre Geppetto con la vídeo vigilancia? Ahhhhhhhhhh? siga leyendo si quiere enterarse. Autor: Alfonso Pacheco. 10/06/2013.
Helas.MVC4.Models.Shared.FileViewModel Una de las resoluciones de la AEPD que últimamente ha dado más que hablar es la famosa R/02155/2012, en virtud de la que se imponía una sanción de mil quinientos euros a un particular que en su día había colocado (porque lo de instalado le queda un poco grande) en su casa una cámara falsa a modo de herramienta disuasoria contra vándalos y gamberros.
 En honor a la verdad, pese a que la resolución ha pasado a la historia por eso,  la sanción no se impone por la colocación de la cámara falsa. La punición deriva de la desatención de un requerimiento para que acreditara consentimiento de la comunidad para su instalación y no captación de imágenes de elementos comunes, dictado en el procedimiento de apercibimiento 136/2011. Dicho procedimiento se inició a resultas de denuncia presentada por la comunidad de propietarios, y en el que el ahora sancionado, pese a haber recibido traslado de la denuncia  para presentar alegaciones  no dijo ni mu, dando la callada por respuesta, al igual que hizo en relación con el  requerimiento cuya desatención justifica el castigo.
El hecho de que la supuesta cámara era una mera carcasa sale a la luz en el curso del expediente sancionador. Pero bueno, el caso es que, como ya he dicho, la resolución se ha ganado su lugar en la memoria colectiva eleopediana precisamente por el folletín de la carcasa de marras.
¿Por qué no le gustan las cámaras falsas a la AEPD? Nos lo explica el propio ente regulador en su resolución de archivo de actuaciones, de fecha 16 de julio de 2010, dictada en el expediente E/00888/2010 en relación con una "instalación" de similares características:
En el supuesto presente, no existe constancia de que las cámaras instaladas en el lugar denunciado funcionen y capten imágenes de personas, por lo que de acuerdo con los principios de presunción de inocencia, que impide imputar una infracción administrativa cuando no se haya obtenido y acreditado una prueba de cargo acreditativa de los hechos que motivan la imputación o de la intervención en los mismos del presunto infractor, e “in dubio pro reo”, que obliga en caso de duda respecto de un hecho concreto y determinante a resolver dicha duda del modo más favorable al interesado, procede el archivo las presentes actuaciones.
No obstante, resultaría plenamente fundada la imposición de una sanción si en el futuro continuaran ubicadas las cámaras en el establecimiento, pues tal circunstancia podría constituir prueba indiciaria suficiente para determinar que las citadas cámaras se encuentran en funcionamiento y enervar el principio de presunción de inocencia, pudiendo imputarse la comisión de las infracciones que resulten de la aplicación de la LOPD que podrían ser sancionadas, de conformidad con el régimen sancionador previsto en la citada Ley, con multas de hasta 300.506,05 €.
Tres reflexiones críticas y rápidas sobre esa argumentación:
1.- Esa resolución es de archivo. ¿Por qué? Yo creo que por dos motivos: uno, porque no hay tratamiento de datos de carácter personal por una mera carcasa; y dos, porque el hecho no resulta subsumible dentro del supuesto de hecho de ninguna de las infracciones previstas en la LOPD. Y si no hay tratamiento de datos y los hechos no casan en ningún tipo punible…
2.- En vez de reconocer eso, y mover hilos para llenar legislativamente este hueco si es que se considera el hecho intolerable,  la AEPD se monta una película y nos dice que “no existe constancia de que las cámaras instaladas en el lugar denunciado funcionen y capten imágenes de personas, por lo que de acuerdo con los principios de presunción de inocencia, que impide imputar una infracción administrativa cuando no se haya obtenido y acreditado una prueba de cargo acreditativa…”
Si  lo instalado por el particular en su balcón no era una cámara, sino una carcasa. ¿Cómo podría haber constancia de que la cámara funcione y capte imágenes, si eso era materialmente imposible? Oigan, que estamos hablando de  una simple y mera CARCASA, U-NA CAR-CA-SA. ¿Desde cuándo puede una carcasa funcionar y captar imágenes? Es como decir que aquellas cámaras de fotografiar de plástico de colores parchiseros que se vendían en los kioskos cuando éramos pequeños, aquellas que cuando apretabas el pulsador se soltaba la tapa del objetivo y saltaba un muelle con una cara sonriente en el extremo… pues que hacían fotos de verdad. Pues eso, que precisamente, de lo que sí hay constancia es de que el objeto “instalado” nunca podría  captar imágenes.
3.- ¿He dicho “nunca podría”? Pues la AEPD cree que no es así, porque nos dice que si quien la colocó no procede a retirarla, eso puede constituir¡¡¡¡prueba indiciaria suficiente para determinar que las citadas cámaras se encuentran en funcionamiento y enervar el principio de presunción de inocencia!!!!  Es decir, ¿que la mera permanencia en el tiempo de la carcasa la puede convertir en una cámara de verdad, de esas que graban imágenes, en color y todo, con zoom , efectos especiales y todo eso, y encima de marca? ¡Pues claro que puede ser! ¿Acaso no consiguió el pobre y buen Geppetto1, a fuerza de pedirlo una y otra vez, que el hada buena se apiadara de él y convirtiera a Pinocho, una marioneta de madera, en un niño de verdad? Entonces… ¿Por qué no va a ser posible, si el dueño de la carcasa que simula una cámara lo pide mucho, mucho, mucho y de corazón,  que el hada buena de la seguridad privada se conmueva y convierta una mera carcasa, un mero caparazón comprado en un todo a cien, en el último modelo de videocámara? ¿Se imaginan?  ¿No sería algo precioso? ¿Quien soy yo para quitarle esa ilusión a la AEPD?
Cabe aquí recordar que para que  la prueba indiciaria tenga valor en derecho sancionador debe cumplir una serie de requisitos que ha ido determinando la interpretación de la norma por parte de los órganos de Justicia y que sintetiza muy bien la Sentencia  de la Audiencia Provincial de Castellón (s. 2ª) de 1 de julio de 2010, y a mí me da que esa prueba indiciaria que se ha montado la AEPD nos los cumple todos. Entiendo que con una simple lectura de la resolución judicial sabrán al que me refiero, pero, por si las moscas, se lo destaco en negrita:
En primer lugar, se exige (de forma análoga a lo establecido en los arts. 385 y 386 de la LECr.) que los hechos básicos o indicios de los que se parte estén plenamente acreditados. Además se suele exigir que los indicios sean varios, plurales (excepcionalmente se puede admitir un indicio único, siempre que sea de una singular potencia o eficacia acreditativa: así se indica expresamente en la Sentencia del Tribunal Supremo 1182/97, de 3 de Octubre; y así parece admitirse también en la sentencia del alto tribunal 1586/94, de 10 de Noviembre); y que sean concordantes o concomitantes al hecho que se trata de probar, y que (cuando sean varios), estén interrelacionados de modo que se refuercen entre sí (véanse, entre otras muchas, las sentencias del Tribunal Supremo 515/96, de 12 de Julio, 1026/96, de 16 de Diciembre, 1170/97, de 29 de Septiembre, 1182/97, de 3 de Octubre, 694/99, de 30 de Abril, 1024/99, de 17 de Junio). En segundo lugar, se exige que la inducción o inferencia sea razonable, es decir, que no sólo no sea arbitraria, absurda o infundada, sino que debe adecuarse plenamente a las reglas de la lógica y de la experiencia; de manera que de los hechos base acreditados resulte, como conclusión o inferencia natural, el dato precisado de acreditar, existiendo entre ambos (tal y como se decía en el antiguo art. 1253 del Código Civil, y tal y como se dice en los arts. 385 y 386 de la LECi.) “un enlace preciso y directo según las reglas del criterio humano” (sentencias del T.S. 1051/95, de 18 de Octubre, 1/96, de 19 de Enero, 507/96, de 13 de Julio, 694/99, de 30 de Abril, 1586/99, de 10 de Noviembre, etc.).
 A los anteriores requisitos, se añade una exigencia de orden formal, que no es sino la elemental consecuencia de aplicar, en relación con la prueba indiciaria, la exigencia general de motivación de las sentencias, establecida en el art. 120.3 de la Constitución. El órgano judicial ha de explicar el razonamiento o proceso deductivo por virtud del cual de los hechos indicios probados se deducen los hechos presuntos, o más exactamente, el proceso lógico por el que se llega a la convicción de la participación criminal del acusado en los hechos delictivos objeto del proceso. En definitiva, y a modo de recapitulación de cuanto se lleva dicho, tal y como se señala en las sentencias del Tribunal Constitucional 24/97 y 68/98, la prueba indiciaria ha de partir de unos hechos (base, o indicios) plenamente probados, y los hechos constitutivos del delito y de la participación criminal en él del acusado deben deducirse de dichos hechos indiciarios a través de un proceso mental razonable y acorde con las reglas del criterio humano, que ha de ser explicitado o razonado suficientemente en la sentencia condenatoria
 Y ya puestos, vamos a darle una vuelta de tuerca al tema: ¿Qué opinará  la AEPD si llega a su conocimiento que se han puesto de moda las pegatinas  disuasorias? Pues sí señores, la gente, aunque parezca lo contrario, piensa (y más en tiempos de crisis) y espabila: El otro día, esperando en una copistería que me encuadernaran un informe, me pude enterar que en el mismo establecimiento, por tres eurillos podía comprar una hermosa pegatina, muy similar al modelo oficial de cartel informativo, en virtud de la que se advierte a cacos, gamberros y maleantes que  el establecimiento al que van acceder PUEDE que esté sometido a vídeo vigilancia… o no (como diría Rajoy)… y que usted verá. Les reproduzco las fotos que obtuve, tanto del adhesivo en sí, como de los motivos comerciales para su venta plasmados en su expositor.
¿Así que, señores de la AEPD, qué hacemos?
Como siempre, barra libre para opinar y debatir, que cuanto más lo hagamos, más aprendemos todos. De entrada, sugiero una línea de debate, por comparar situaciones: ¿podría sancionar, legislación de seguridad privada en la mano, la autoridad competente en dicha materia a un particular que sin haber contratado los servicios de una empresa de seguridad privada, coloque en su puerta un cartel de una de ellas con el aviso de instalación de alarma?
Notas: (1) ¿lo ven cómo, al final, Geppetto sí que tiene que ver con la vídeo vigilancia?

 

EL COSTE 0 EN LA ADECUACIÓN DE PROTECCIÓN DE DATOS: ESTAFANDO QUE ES GERUNDIO

El coste O, ese gran desconocido... Autor: Esther Botella. 4/06/2013
Vayamos por partes, definamos "El coste 0" en el entorno de la adecuación de empresas a la Protección de datos:
“Dícese del servicio que prestan algunos consultores de LOPD a empresas de manera gratuita o con un coste muy reducido mediante subvenciones de la Fundación Tripartita por formación en el empleo”
Es decir, el cliente, aleccionado por el consultor, simula haber recibido formación para sus empleados, objeto de bonificación por parte de la fundación tripartita, cuando en realidad le han realizado una adaptación a la LOPD y le paga de forma encubierta a éste por la bonificación a la que tiene derecho si hubiese realizado dicha formación.
Lo primero que puede pensar el lector, sobre todo si es emprendedor es…..”pues muy bien, todos ganan”…..y es aquí donde yo voy a intentar dar mis argumentos para afirmar lo contrario…..”en realidad, todos perdemos”:

ARGUMENTOS
1.- Generalmente un consultor con experiencia y “ducho” en el tema, es serio, profesional, con responsabilidad y suele aceptar las reglas del mercado (por muy mal que éste esté).
Esto significa, dos cosas:
A.- que no reventará el mercado haciendo que su servicio  tenga la apariencia de no valer nada. (cosa que ya está empezando a ocurrir).
B.- que por ese motivo, quien se dedica a realizar este tipo de servicios a coste 0, (por experiencia hablo) suelen ser la mayoría empresas o personas que no suelen tener experiencia ni conocimiento en este ámbito. Es decir, en muchos casos aprovechando la oportunidad del mercado al igual que antes vendían “pipas” ahora la oportunidad está en vender “coste o”.
2.- Que existe un gran desconocimiento en lo que exige la Ley de protección de datos a una empresa, y esto no es otra cosa que principalmente saber qué datos se tratan en una organización, cómo, y cumplir con todas las garantías y principios que exige.
Esto implica de nuevo, dos cosas:
A- que la protección de datos no es sólo tener un documento de seguridad y un registro de ficheros en la AGPD. Si no estar bien asesorado acerca de qué se puede o no hacer, y qué medidas tomar para cumplir con los requerimientos legales.
B- que los “consultores” (con comillas si) que realizan coste 0 ven una oportunidad en la “ignorancia legal ” de sus potenciales clientes y lejos de asesorarles bien, suelen darles un CD con los documentos cumplimentados sin más…….(y créanme no será la primera vez que me encuentro con un empresario confiado de cumplir con los dictados de la Ley, cuando en realidad la están infringiendo constantemente sin querer y sin saber)
3.- Que ésto puede conllevar consecuencias….El hecho de que una empresa se bonifique por una formación que nunca recibió puede conllevar a la devolución del dinero que se bonificó y alguna posible penalización tal como decía hace un tiempo el Comunicado de la propia Fundación tripartita: “atenerse a las actuaciones pertinentes del Servicio Público de Empleo Estatal y la Inspección de Trabajo y Seguridad Social”, sin perjuicio de las acciones posibles con la agencia tributaria en materia de exoneración del pago del IVA  (tal como corresponde a temas de formación y no al caso del servicio de asesoramiento en protección de datos).
Además en dicho comunicado, se advertía a ” empresas y consultores, a todos los gestores de formación para el empleo del sistema de bonificaciones de ámbito estatal, sobre la existencia de entidades que de manera gratuita ofrecen servicios de implantación, auditoria y asesoría jurídica en materia de protección de datos de carácter personal, que en la práctica financian estos servicios con cargo al crédito asignado para la formación, un hecho que puede llegar a ser constitutivo de fraude”.
En conclusión, perdemos todos sí, por un lado los consultores que nos dedicamos a esto de forma medianamente seria y que nos levantamos todos los días a currar en un mercado cada vez más difícil y que vemos como poco a poco se va degradando nuestros servicios, y por otro, quienes contratan a estos individuos convencidos que está todo bien, pero que en el fondo se mueven por tierras pantanosas faltos de estar bien asesorados y con las garantías de un buen servicio, sin saber que están expuestos a posibles inspecciones y penalizaciones por parte de la Fundación tripartita, la Agencia Tributaria, etc.

En Alicante, a 04 de Junio de 2013
www.EstherbBotella.com


SANCIONAN A UN PARTICULAR POR NO RETIRAR CÁMARAS DE VIDEOVIGILANCIA FICTICIAS

La Agencia Española de Protección de Datos ha sancionado con 1500 euros a un vecino de Madrid por no retirar unas carcasas de plástico que simulaban ser cámaras de videovigilancia (...) Autor: Samuel Parra. 02/04/2013
La Agencia Española de Protección de Datos ha sancionado con 1500 euros a un vecino de Madrid por no retirar unas carcasas de plástico que simulaban ser cámaras de videovigilancia instaladas en la fachada de su vivienda y que enfocaban a parte de la vía pública. 
La Agencia de Protección de Datos viene insistiendo en la existencia de una prohibición general de captar imágenes de la calle, y que la garantía de la seguridad y la prevención de delitos corresponde en exclusiva a las Fuerzas y Cuerpos de Seguridad del Estado.
La Agencia Española de Protección de Datos ha publicado una resolución con el título “sanción por incumplimiento de requerimiento de retirada de cámaras de videovigilancia ficticias“, en el que, efectivamente, se ha sancionado a un particular, vecino de Madrid, por no acreditar que había retirado unas cámaras ficticias de su fachada, y que enfocaban a varias zonas comunes de la urbanización así como parte de la vía pública (entrada y salida exterior del garaje).
El asunto comienza en la Resolución de Apercibimiento 00136/2011 de 15 de mayo de 2011, donde, tras una denuncia de los vecinos de esta urbanización de Madrid ante la Agencia Española de Protección de Datos, se acuerda apercibir al particular por la instalación de al menos 3 cámaras que enfocaban partes de la urbanización como la pista de pádel, piscina, y otras zonas comunes, así como también las entradas y salidas exteriores del garaje.
Durante la tramitación de este procedimiento de Apercibimiento, el denunciado no llegó a alegar nada, por lo que finalmente, la Agencia decide Apercibir (figura de relativa reciente creación que viene a significar que aunque has vulnerado la normativa sobre protección de datos, concurren ciertos requisitos en el infractor que permiten, en vez de imponer una sanción directamente, simplemente “apercibir”, dar toque de atención, con la cautela eso sí, de que solo se puede acudir a esta figura una vez), constatando que ha vulnerado el artículo 6.1 de la Ley Orgánica de Protección de Datos al, en principio, captar imágenes de personas de la vía pública o de zonas comunes de la urbanización. Pero además de Apercibir, se le requiere para que en el plazo de 1 mes acredite el cumplimiento de ese artículo 6.1, cosa que solo puede hacer retirando esas cámaras, advirtiendo la Agencia de que si no lo hace podría ser sancionado.
Y pasa que transcurre ese mes y el denunciado no acredita nada, por lo que se inicia un nuevo procedimiento, el procedimiento sancionador 00139-2012, de 10 de octubre de 2012 cuyo objeto es, si procede, sancionar por no acreditar la retirada de esas cámaras.
No obstante, durante la tramitación de este procedimiento el denunciado sí que alega varias cosas, las transcribo aquí literalmente:
“Que estando acosado en esta comunidad y persegido, con todo tipo de denuncias y amenazas que ha perdido la comunida en los tribunales. y no sabiendo que mas buscar se han inventado la situacion actual, en relaccion a un bulo que yo corri para disuadir de que hicieran daño a mis pertenencias de la 1nstalacion de camaras lo cual es mentira y no esiste ningun sistema de gravacion ni de segimiento de nadie . por lo que no entiendo esta situacion en la cual seme incoa un procedimiento si comprobar la veracidad de los hechos. o en su defecto prueva de la existencia de imágenes mal usadas de algien, siendo un hogar particular normal que dada la penuria economica no tenemos ni para las alarmas que se cómercializan para los hogares mucho menos para instalar systemas de garbacion y segiminento que dicen los vecinos. solicito: el desestimiento del procedimiento y que no se comunique a las partes la esistencia de los bulos, ya que este hecho eliminaría el efecto disuasorio que asta ahora ha ido tambien, produciendo el efecto contrario de solucionar la situacion a dañar a unas de las partes.
Y concluye en otro momento procesal distinto:
Con el fin de probar la persecución a la que me veo sometido por la comunidad, y no sabiendo que exponer más que la utilización torticera de la ley por parte de la comunidad, cosa que no digo yo si no en la sentencia que les facilito como prueba de lo expuesto en la cual queda acreditado dichos hechos por los jueces de la sala. 
Reiterar que no tengo ningún sistema de grabación, ni siquiera de seguridad (Alarma etc…). que no guardo imagen alguna de nadie. Siendo un padre de familia en paro en los tiempos que corren y con tres hijos me es imposible asumir sanción alguna y menos 4000 euros, sin saber en base a que es la misma
.“.
La Agencia no obstante viene manteniendo una postura firme en relación a la instalación de cámaras ficticias o carcasas de plástico que simulan ser cámaras; así, por ejemplo, en el procedimiento E/00888-2010 (entre otros muchos), donde un particular también fue denunciado por instalar cámaras en su ventana para proteger su vehículo de algunos gamberros, alegó que dichas cámaras eran de mentira, y la Agencia respondió:
“En supuesto presente, no existe constancia de que las cámaras instaladas en el lugar denunciado funcionen y capten imágenes de personas, por lo que de acuerdo con los principios de presunción de inocencia, que impide imputar una infracción administrativa cuando no se haya obtenido y acreditado una prueba de cargo acreditativa de los hechos que motivan la imputación o de la intervención en los mismos del presunto infractor, e “in dubio pro reo”, que obliga en caso de duda respecto de un hecho concreto y determinante a resolver dicha duda del modo más favorable al interesado, procede el archivo las presentes actuaciones.
No obstante, resultaría plenamente fundada la imposición de una sanción si en el futuro continuaran ubicadas las cámaras en el establecimiento, pues tal circunstancia podría constituir prueba indiciaria suficiente para determinar que las citadas cámaras se encuentran en funcionamiento y enervar el principio de presunción de inocencia, pudiendo imputarse la comisión de las infracciones que resulten de la aplicación de la LOPD que podrían ser sancionadas, de conformidad con el régimen sancionador previsto en la citada Ley, con multas de hasta 300.506,05 €”
En otras palabras, aunque la cámara sea falsa, podría no obstante dar la sensación en el futuro de que sí que están grabando, y esto sí podría ser un problema.
Volviendo al caso de nuestro amigo, a pesar de que alegó que dichas cámaras eran de mentira y todo eso, la Agencia termina imponiéndole una sanción de 1.500 euros, basada, tal y como indica la Agencia:
“En esta ocasión, la infracción que se considera es la falta de atención al requerimiento realizado por el Director de esta Agencia, sin que puedan considerarse en esta ocasión alegaciones respecto de infracciones no imputadas en este procedimiento. En este expediente ha quedado acreditada la falta de atención al requerimiento efectuado por el Director de esta Agencia, infracción que ahora se imputa.
El hecho constatado de la falta de atención al requerimiento del Director de esta Agencia Española de Protección de Datos al imputado en este procedimiento, establece la base de facto para fundamentar la imputación de la infracción“.
Esto es, la sanción se produce porque cuando le requirieron para que quitara las cámaras ficticias otorgándole ese plazo de 1 mes para notificar dicha retirada, no lo hizo, a pesar de que las cámaras eran de mentira. Considero este caso un ejemplo de sanción por parte de la Agencia Española de Protección de Datos en el que en ningún momento pudo entrar en juego la normativa sobre protección de datos toda vez que nunca hubo datos personales de por medio y quizá, la primera resolución de Apercibimiento nunca debió haberse producido ya que no existían pruebas de que las cámaras del vecino estuvieran funcionando, o como en el caso concreto, fueran reales.
A colación de esto, veo necesario recordar la postura de la Agencia Española de Protección de Datos en lo que se refiere a la grabación de imágenes en espacios públicos, repetida en multitud de resoluciones, como por ejemplo en el procedimiento A/00132/2011  donde la Agencia aclara que:
“Debe tenerse en cuenta que las videocámaras no podrán captar imágenes de las personas que se encuentren fuera de la propiedad particular ya que el tratamiento de imágenes en lugares públicos sólo puede ser realizado, salvo que concurra autorización gubernativa, por las Fuerzas y Cuerpos de Seguridad, o que opere la excepción establecida el artículo 4.3 de la Instrucción 1/2006 de esta Agencia que establece: “las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos salvo que resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquellas. En todo caso deberá evitarse cualquier tratamiento de datos innecesario para la finalidad perseguida”.
De este modo, se constata que el denunciado trata imágenes de la vía pública o de las personas que se encuentran en el exterior del local, lo que supone la realización de un tratamiento de datos de carácter personal sin contar con la cobertura de la LSP a los efectos del principio del consentimiento, toda vez que dicha norma resulta de aplicación únicamente a los espacios y entornos privados. Ha de tenerse en cuenta que la prevención del delito y la garantía de la seguridad en las vías públicas corresponden en exclusiva a las Fuerzas y Cuerpos de Seguridad del Estado. Es decir, la regla general es la prohibición de captar imágenes de la calle desde instalaciones privadas.
A veces también resulta necesario captar los accesos, puertas o entradas, de modo que aunque la cámara se encuentre en el interior del edificio, resulta imposible no registrar parte de lo que sucede en la porción de vía pública que inevitablemente se capta.
Para que esta excepción resulte aplicable, no deberá existir una posibilidad de instalación alternativa. Debiendo tenerse en cuenta que:
- El responsable del fichero adecuará el uso de la instalación de modo que el impacto en los derechos de los viandantes sea el mínimo posible.
- En ningún caso se admitirá el uso de prácticas de vigilancia más allá del entorno objeto de la instalación y en particular en lo que se refiere a los espacios públicos circundantes, edificios contiguos y vehículos distintos de los que accedan al espacio vigilado.”.

LAS AUTORIDADES EUROPEAS DE PROTECCIÓN DE DATOS APRUEBAN EL PRIMER DICTAMEN CONJUNTO SOBRE OBLIGACIONES DE DESARROLLADORES DE APPS MÓVILES

Las Autoridades europeas de protección de datos (Grupo de Trabajo del Artículo 29) han aprobado el primer dictamen conjunto sobre la privacidad en apps móviles, incidencia y riesgos para la protección de datos. Fuente: El Portal de la Publicidad. 15/03/201
Los usuarios deberán poder controlar sus propios datos personales. En el Dictamen se detallan las obligaciones específicas tanto de los desarrolladores de aplicaciones como del resto de actores que intervienen en el desarrollo y la distribución de las mismas. En ese ecosistema se incluyen, además de los creadores de apps, las tiendas de aplicaciones, los fabricantes de sistemas operativos y dispositivos y los proveedores de servicios publicitarios. El Dictamen también presta una atención especial al uso de estas aplicaciones por parte de menores.
Las Autoridades recuerdan que el marco legal aplicable a cualquier app dirigida a los usuarios europeos es la Directiva de Protección de Datos 95/46, en combinación con la Directiva 2002/58/CE de Privacidad y Comunicaciones Electrónicas. En particular subraya la necesidad de obtener el consentimiento informado y previo del usuario. Este marco normativo es aplicable con independencia de dónde esté ubicado el desarrollador de la aplicación o la tienda que la comercialice, debido a que estos programas recurren a medios ubicados en la Unión Europea, como son los propios terminales de los usuarios.
Las tiendas de aplicaciones reciben más de 1.600 apps nuevas cada día, y de media, un usuario de un smartphone se descarga 37. Las aplicaciones pueden recopilar enormes cantidades de datos personales a través del acceso, por ejemplo, al álbum de fotos, a la libreta de direcciones o a los datos de localización. Las Autoridades destacan el riesgo que para la protección de datos supone el elevado número de agentes que intervienen en el ecosistema móvil. Cada uno de ellos tiene una responsabilidad para con sus usuarios en el ámbito de la privacidad. Pese a que los desarrolladores de aplicaciones persigan el objetivo de ofrecer servicios nuevos e innovadores, es necesario tener presente que sus apps pueden plantear importantes riesgos para la vida privada de los usuarios de dispositivos inteligentes si no cumplen la legislación sobre protección de datos de la UE.
La mayoría de las conclusiones y recomendaciones del Dictamen se dirigen a los desarrolladores de aplicaciones (ya que son los que tienen un mayor control sobre cómo se gestiona y presenta la información dentro de la aplicación) pero, en ocasiones, también es necesario que colaboren con el resto de actores, que a su vez tienen sus propias obligaciones. En el Dictamen se abordan cuestiones fundamentales para la protección de la privacidad, tales como el consentimiento informado y previo del usuario, el principio de limitación de la finalidad para la que se recoge la información, la minimización de la misma, la necesidad de tomar las medidas adecuadas de seguridad, la obligación de informar correctamente a los usuarios finales sobre sus derechos, los períodos de retención de datos y, específicamente, el correcto tratamiento de los datos recogidos en el caso de menores.
El Dictamen destaca que no todas las aplicaciones informan adecuadamente sobre el tipo de datos que la aplicación puede procesar y con qué fines. En este sentido, un reciente estudio refleja que sólo el 61% de las 150 aplicaciones más descargadas cuenta con una política de privacidad. En lo que respecta al consentimiento, que constituye la base jurídica para permitir que una empresa trate los datos personales del usuario, las autoridades subrayan que a menudo este se reduce a una casilla de verificación que indica que el usuario acepta los términos y condiciones aplicables, sin ofrecer una opción que permita rechazarlas. Según un estudio realizado por GSMA, al 92% de los usuarios de apps les gustaría que se les ofreciese la opción de elegir a qué funciones de su terminal puede acceder la aplicación y a cuáles no.
A juicio del Grupo, los usuarios deben poder controlar sus propios datos personales. Por ello, los desarrolladores de aplicaciones deben proporcionar información suficiente sobre los datos que van a tratar antes de hacerlo, de forma que puedan obtener un consentimiento válido. El documento puntualiza que el usuario no debe enfrentarse a una pantalla cuya única opción es la de “Sí, acepto”. También debería mostrarse un botón que permitiera cancelar la instalación. Además, el usuario tiene que poder conocer a qué información va a acceder el desarrollador de la app antes de instalarla. En este sentido, los fines del tratamiento de esos datos tienen que estar bien definidos y deben ser comprensibles para un usuario medio, excluyéndose los cambios repentinos en las condiciones del servicio.
El Dictamen destaca que el hecho de hacer clic en el botón ‘Instalar’ no implica necesariamente un consentimiento válido para el tratamiento de datos personales si no va acompañado de suficiente información, tanto sobre las condiciones de ese tratamiento como sobre el hecho de que al pulsar ‘Instalar’ se presta el consentimiento para tratar los datos en esas condiciones.
El responsable del tratamiento de los datos debe informar sobre quién es, qué datos va a recopilar, para qué usos o finalidades, si esa información será cedida a terceros y la forma que tiene el usuario para revocar su consentimiento y cancelar sus datos. El Dictamen subraya que los usuarios de aplicaciones deben poder ejercer sus derechos de acceso, rectificación, cancelación y oposición.
Por su parte, el creador del sistema operativo también desempeña un papel importante, por ejemplo, avisando al desarrollador de la app de que la aplicación ha sido desinstalada, ya que, en principio, no existe fundamento legal que justifique que el desarrollador de la app continúe con el tratamiento de datos personales después de que el usuario haya desinstalado la aplicación.
Hay un gran mercado de aplicaciones destinadas a los menores, un colectivo particularmente sensible que tiene poca conciencia sobre los datos que facilita. El Dictamen pone de manifiesto que los responsables de recoger datos deben prestar atención a los límites de edad vigentes en las legislaciones nacionales. En el caso de España, la legislación no permite el tratamiento de datos de menores de 14 años sin el consentimiento de padres o tutores.
Debido a la vulnerabilidad de este público, y teniendo en cuenta que los datos personales deben ser tratados de manera leal y lícita, los responsables deben respetar aún más estrictamente los principios de minimización de los datos y limitación de la finalidad. En concreto, no deberían procesar datos de menores con fines publicitarios y deben abstenerse de recopilar información acerca de los padres o familiares. Además, los términos y condiciones de uso de las aplicaciones orientadas a menores deben estar redactadas de forma sencilla, en un lenguaje específico para su edad.

100.000 EUROS DE MULTA POR ENVIAR UNA CARTA DE PUBLICIDAD SIN CONSENTIMIENTO DEL DESTINATARIO

Una empresa ha sido sancionada por enviar una única carta de publicidad al domicilio de la denunciante sin contar con su consentimiento. Autor: Samuel Parra. 20/02/2013
En concreto, la Agencia Española de Protección de Datos constata que la empresa que envió la carta trató los datos relativos a nombre, apellidos y dirección sin el consentimiento de su titular para hacerle llegar una oferta promocional, por lo que procede que sea sancionada con 100.000 euros de multa.
No, no es una errata, no hablo de “cien coma cero cero cero euros”, son “cien mil euros”, y qué duda cabe que imponer una sanción de 100.000 euros a una S.L. por enviar una comunicación comercial por vía postal al domicilio de una persona que no dio su consentimiento para recibir este tipo de comunicaciones, puede resultar un poquito excesivo.
Pero esto es lo que le ha pasado a la sociedad Todo Data Integral Services S.L. que ha visto como el pasado 14 de junio de 2012 le sancionaban por enviar una carta de publicidad al domicilio de un particular que posteriormente denunció a esta empresa.
La Agencia Española de Protección de Datos (AEPD), en su Resolución, declara que esta mercantil “registro en su fichero automatizado y utilizo los datos de la denunciante concretándose en nombre y apellidos, dirección con piso y puerta, sin poder acreditar ninguna circunstancia que legitime dicho tratamiento de datos“.
En efecto, para poder realizar ese envío publicitario, la empresa tuvo que tratar los datos personales (nombre, apellidos y dirección) de la denunciante, y al no contar con su consentimiento se produce una infracción de la Ley Orgánica de Protección de Datos, en concreto una infracción del artículo 6.1 que recoge el principio general de consentimiento que viene a indicar sencillamente que para el tratamiento de nuestros datos personales se requiere nuestro consentimiento.
En el caso de que alguien tratara nuestros datos personales sin nuestro consentimiento, se produce una infracción grave, que lleva aparejada una multa de entre 40001 y 300000 euros.
A pesar de estas sanciones astronómicas por la comisión de una infracción grave, la propia normativa de protección de datos permite rebajar “en grado” estas sanciones, derivado del principio de proporcionalidad de la sanción y el hecho ilícito cometido, de forma que ante infracciones graves es posible que se aplique la escala de sanciones leves, cuyas multas van de los 900 a los 40000 euros. No obstante, y a pesar de la petición de la empresa de la aplicación de esta excepción, la AEPD la deniega argumentando que no se dan las circunstancia para apreciar esta atenuante y porque además ya en 2011 fue sancionada también por vulnerar la normativa de protección de datos.
A la luz de todo lo anterior, pudiendo sancionar entre los 40.001 y los 300.000 euros, terminan imponiendo una sanción de 100.000 euros.
Ahora bien, me gustaría destacar algunos elementos de esta Resolución por cuanto me parecen curiosos:
1º: Durante la tramitación del procedimiento sancionador, la sociedad sancionada solicitó copia del expediente administrativo; solicitar copia de un expediente administrativo sancionador es más que necesario si se quiere preparar adecuadamente una defensa pues en él se contienen todos los documentos que serán tenidos en cuenta para la Resolución.
Pues bien, como digo, se solicita copia del expediente el día 16 de febrero de 2012, pero el 28 de febrero el solicitante recibe una comunicación del Instructor indicándole que para que pueda acceder al expediente es necesario que proporcione un número de teléfono al que poder contactar con él para avisarle de cuándo puede pasar por la sede de la Agencia a recoger el expediente.
Esto sin duda es atípico…
En respuesta a esa notificación, ese mismo día, la empresa informa al instructor por email para que, por favor, les indique por esta misma vía cuándo pueden pasarse a recoger el expediente y que quedan a su disposición en el email, afirmando que no pueden exigirles requisitos no legalmente impuestos para acceder al expediente.
El Instructor le responde por vía postal el 12 de marzo de 2012 indicándole:
a) Que “desde esta Agencia no se le está exigiendo requisito no impuesto legalmente como aduce en su escrito, simplemente se le está pidiendo un medio de contacto que acredite su identidad, (ya sea teléfono o cualquier otro…) para que usted conozca cuando está disponible la copia del expediente que solicita. Circunstancia que está dentro de toda lógica y sentido común, es decir, usted ejerce su derecho de vista del expediente, y desde esta administración se le pregunta cómo podemos comunicarle cuando ésta realizada dicha copia.”
b) Que: “En segundo lugar, si bien el medio del correo electrónico procura un medio ágil para las comunicaciones, no es un medio que ofrecetotales garantías de seguridad e integridad en las comunicaciones y su contenido, ni el envío y ni la recepción, así como la verdadera identidad de los interlocutores.
La dirección de correo electrónico no cumple las medidas de autenticación y seguridad de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos, ni de la Ley 59/2003, de 19 de diciembre, de firma electrónica, ni tampoco cumple el Título VIII del RD 1720/2007, Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, en lo referente a las medidas de seguridad.”
Y me pregunto yo ¿y un número de teléfono sí?
c) Por último le dice el Instructor que ya está disponible su expediente y que puede pasarse a recogerlo en la sede de la Agencia entre las 11:30 y las 12:30 horas, eso sí, cualquier día de la semana.
Cabe añadir que el sancionado no pasó a recoger el expediente, según indica la Resolución sancionadora.
El sancionado además solicitó la recusación del inspector y la iniciación de un procedimiento disciplinario contra él, aunque se ignoran los motivos por lo que solicitaban esto pues no se indican en la Resolución, a lo que la Agencia responde que: “En atención a la solicitud de inicio de procedimiento disciplinario y la posible causa de recusación formulada contra el instructor tanto en las alegaciones al acuerdo de inicio como en las formuladas a la propuesta de resolución, cabe señalar que tales manifestaciones han sido valoradas y resueltas en pieza separada, obrante en los folios 74 a 80, por lo que nada tiene que referenciarse en la presente resolución, habiendo sido notificado su resultado a entidad imputada.”
Pero me gustaría advertir otro detalle.
Como he dicho antes, esta misma empresa fue sancionada en 2011 y por eso se entendió que era reincidente (la Resolución sancionadora referencia al PS 00114/2011); el dato curioso es que esa sanción de 2011 no fue iniciada por denuncia de ningún particular, sino que se realizó de oficio por esta Agencia, siendo uno de los poquísimos casos en los que la Agencia interviene de oficio. En aquel entonces se sancionó a la empresa con una multa de 70000 euros, aunque no por enviar publicidad. No obstante, esta misma empresa sí fue sancionada en 2011 por enviar otra carta de publicidad sin consentimiento, entonces fue sancionada con 120.000 euros.
En total esta empresa acumula 220.000 euros en multas por enviar 2 cartas de publicidad y otra multa de 70.000 iniciada de oficio por la Agencia.
Por último, en relación a la reincidencia aducida en esta Resolución sancionadora, llama la atención que sí que se aprecie reinciencia en este caso concreto, pero no por ejemplo frente a otras entidades que han podido recibir más de 200 sanciones en un año por infringir el mismo precepto de la normativa sobre protección de datos.