SalirdeInternet.com - Noticias

¿Qué tienes bonita? 2.000 € de sanción

Wed, 16 May 2012 15:49:47 +0200

2.000 € de sanción a una empresa por incluir en Facebook la baja de una trabajadora

Después de colgar el documento de baja, se publicó en el muro de Facebook (por el usuario que administraba el perfil) una frase que decía: "Buenísimo! Pataleta Y hacia al médico: ¿Qué tienes bonita? Es una enfermedad común! Ah, y cuando crees q te durará? Pues 60 días. Pffff.. je .. ". El documento de baja (que estuvo en facebook al menos 48 horas) incluía los siguientes datos: nombre y apellidos, número de tarjeta sanitaria, de afiliación a la Seguridad Social, de DNI y domicilio, empresa y enfermedad.

Al requerir explicaciones la Agencia Española de Protección de Datos a la empresa, ésta manifestó que decidió “la retirada del parte de la red social y el cambio de las contraseñas de acceso a dicha red, dado que los empleados tenían acceso al perfil de la empresa”. También manifestó a la AEPD que: “no se pudieron tomar medidas disciplinarias dado que a fecha de hoy desconocemos la autoría de dicha publicación”.

La Agencia de Protección de Datos, que solicitó a Facebook Inc el dato de la fecha de la creación de la cuenta, y la dirección a la que estaba asociada, acordó imponer una sanción de 2.000 € a la empresa ante la falta de acreditación del consentimiento y ante la ausencia de cobertura legal.

Listas negras electorales. Archivada la denuncia a las FFCCSS

Wed, 16 May 2012 15:19:21 +0200

Archivada la denuncia que acusaba a las Fuerzas y Cuerpos de Seguridad del Estado de almacenar listados de miles de ciudadanos que no pueden participar en el proceso electoral

Según informa la Agencia de Protección de Datos, se presentó ante dicho organismo un escrito de denuncia en el que se expone que “se ha tenido conocimiento a través de fuentes periodísticas de que las Fuerzas de Seguridad del Estado cuentan con bases de datos en las que aparecerían miles de ciudadanos que estarían incapacitados para participar en el proceso electoral como consecuencia de la Ley de Partidos Políticos”.

Los denunciantes afirmaron ante la Agencia que habían accedido a los Informes de las Fuerzas de Seguridad del Estado y que en los mismos se incluía información de ámbito privado. A juicio de los denunciantes, las informaciones podrían no haberse recogido legítimamente, y se están tratando incumpliendo medidas de seguridad y publicidad, sin contar con el consentimiento de los afectados, ni posibilitar el ejercicio de derechos.

La Agencia Española de Protección de Datos ha acordado no iniciar procedimiento de infracción, al entender que el tratamiento de datos por las Administraciones puede justificarse y que no se aprecia que contravenga la normativa de protección de datos.

Desde Salirdeinternet.com destacamos que si bien la Resolución no refleja que los denunciantes aportasen alguna prueba documental, tampoco se refleja la realización de actuaciones mínimas de comprobación o requerimientos de subsanación.

Fuente: Resolución AEPD

Manipulaciones periodísticas. La diferencia entre 451 SMS y 40 millones de SMS

Mon, 07 May 2012 11:54:19 +0200

El pasado viernes saltó una noticia en las redes sociales: Se había puesto una sanción de 200.000 € a Club ZED, por haber mandado SPAM inconsentido a “miles de ciudadanos”. Nadie contrastó la noticia y se replicó erróneamente incluso acusando a la compañía de haber mandado 40 millones de sms sin consentimiento.

La noticia es falsa. La realidad (que vende menos) es que ni se sancionó al Club ZED, y que los SMS inconsentidos eran 451. Ni miles, ni millones. Puede comprobarse en esta Resolución, que aconsejamos que se lea

La equivocación partió de un Blog de amplia difusión por su titular (ver ejemplo en Menéame), que anunció que se “ha sancionado al Club Zed con una multa de 200.000 euros por remitir mensajes de contenido comercial (spam) sin consentimiento a miles de ciudadanos”. El blog, que es jurídico, añadió “Ahora sabemos que envió cerca de 40 millones de mensajes”. Es chocante que precise el número de envíos, pero no el número de envíos que realmente son ilegales.

La plataforma de noticias Menéame replicó inmediatamente la noticia, presentándola de la misma forma (es decir, falsa). A partir de ahí, la noticia corrió como la pólvora entre determinadas Redes Sociales y Web. Ponemos el ejemplo de FormulaTV (ha tenido que modificar la noticia), o Periodistas-es o Movilonia

Finalmente, el único medio que ha contado la realidad de la sanción por mensajes inconsentidos ha sido El País, que ha aclarado que: “la AEPD se ha mostrado inflexible. Percibe que la productora ha cometido dos infracciones graves. La primera —tras la tramitación de 330 denuncias, aunque llegaron 100 más— por 451 envíos de mensajes a teléfonos móviles sin consentimiento (50.000 euros). La segunda, por los 8.170 SMS en los que no se daba a los usuarios un medio de oposición “sencillo y gratuito” para recibir comunicaciones comerciales (150.000 euros)”

El País ha cumplido un deber que todo periodista debería observar:ser riguroso y contrastar las noticias incluso a riesgo de que estas sean menos sensacionalistas.

Ahora que hemos demostrado que la información que se está publicando es falsa ¿qué ocurre con los periodistas que difunden información errónea?

El Código Deontológico dice:

13. El compromiso con la búsqueda de la verdad llevará siempre al periodista a informar sólo sobre hechos de los cuales conozca su origen, sin falsificar documentos ni omitir informaciones esenciales, así como a no publicar material informativo falso, engañoso o deformado. En consecuencia:

a) Deberá fundamentar las informaciones que difunda, lo que incluye el deber que contrastar las fuentes y el de dar la oportunidad a la persona afectada de ofrecer su propia versión de los hechos.

b) Advertida la difusión de material falso, engañoso o deformado, estará obligado a corregir el error sufrido con toda rapidez y con el mismo despliegue tipográfico y/o audiovisual empleado para su difusión. Asimismo difundirá a través de su medio una disculpa cuando así proceda.

* Aclaración

La Web FormulaTV ha modificado la noticia para dar cabida a la información real. Así, cuando antes decía "Ha sido multada por una cantidad de 200.000 euros por enviar mensajes SMS "de forma masiva e indiscriminada" y " "Envió casi 40 millones de mensajes SMS durante la campaña publicitaria del programa de Antena 3", ahora matiza, acabando la última frase con el siguiente texto "algunos de ellos (451) sin consentimiento del usuario". Por otra parte, se cita nuestra opinión..

La Web Movilonia también ha rectificado el contenido. Así, cuando antes decían que se habían enviado "miles" de sms, ahora citan "cientos"

Telefónica utiliza todo tipo de grabaciones (y se lo permiten).

Wed, 02 May 2012 13:59:00 +0200

Telefónica (y otros operadores) han sido sancionados en numeras ocasiones por incluir a personas en Registros de Morosos cuando ni siquiera existía deuda o contrato escrito (fue notorio el caso de una deuda irreal de 0,01 céntimos). Pero Telefónica (y otros) están aprendiendo y están aportando grabaciones para demostrar la contratación. Lo grave es que en muchos casos no se sanciona a Telefónica, incluso cuando se demuestra que las grabaciones no son correctas Por su importancia, señalaremos al final de este artículo una Resolución que puede indicar el camino correcto para tramitar estas solicitudes.

Algunos casos de grabaciones controvertidas

1.- En el procedimiento PS/00099/2010 seguido en la Agencia Española de Protección de Datos frente a Telefónica, los “hechos probados” dicen, de forma significativa: “La audición de la grabación de voz aportada por Telefónica y la aportada por la denunciante concluye que ambas corresponden a personas distintas”.

A pesar de ello, la Agencia no sancionó a Telefónica, pues entendió que la existencia de una grabación que contenía los datos de la denunciante planteaba una razonable duda sobre la existencia del consentimiento de la denunciante, duda que obliga a la aplicación de la presunción de inocencia.

2.- En el Procedimiento PS/00405/2009 seguido en la Agencia Española de Protección de Datos, se analizó el siguiente caso: a una persona le llegó a su domicilio un contrato con Jazztel. Presentó una denuncia ante la Agencia Española de Protección de Datos, pues nunca había contratado con la empresa. La Agencia solicitó a Jazztel aclaraciones y la compañía presentó un CD-ROM en el que se incluía una grabación. El denunciante aclaró que ni era su voz (para ello aportó un CD-ROM con su voz), ni los datos de la grabación eran correctos. Aun así, la Agencia de Protección de Datos no sancionó a Jazztel al creer que existían indicios de una posible contratación y tener en cuenta que Jazztel había cancelado los datos.

3.- En el Procedimiento E-00391-2011 seguido en la Agencia Española de Protección de Datos, TELEFONICA aportó copia de un CD-ROM que contenía una conversación telefónica entre un operador y una persona. Según la AEPD, dicho CD-ROM justificó la relación contractual, y por ello no se sancionó a Telefónica. La AEPD argumentó que las grabaciones sonoras se aceptarán como medio de prueba “siempre que quede garantizada su autenticidad, la identificación fiable de los manifestantes, su integridad, la no alteración del contenido de lo manifestado, así como el momento de su emisión y recepción”.

Sin embargo, la persona “grabada”, recurrió el caso y alegó que en el CD-ROM no podría estar su voz. La Agencia de Protección de Datos, de nuevo no sancionó a Telefónica. La Agencia argumentó: “Las competencias de esta Agencia se centran, exclusivamente, en verificar el consentimiento para el tratamiento de los datos de carácter personal, por lo que las discusiones y dudas que sobre la autenticidad del documento puedan suscitarse entre las partes exceden de las competencias atribuidas a esta Agencia y, en todo caso, deberían ser dirimidos por los órganos jurisdiccionales competentes.

Solución fallida

Si crees que la solución para “desmontar” la grabación (y que se sancione) es aportar un Acta Notarial, es lógico pero …también se desestimó por la Agencia: E/01106/2009,

Solución

Tramitar previamente denuncia ante la SETSI y posteriormente en la Agencia Española de Protección de Datos. Caso real que la ha costado a France Telecom 20.000 € (ver)

Conflicto entre Yahoo y Bing (Microsoft) en la AEPD. #LOPD

Tue, 24 Apr 2012 11:02:30 +0200

BING Y YAHOO ESPERAN LA RESOLUCIÓN DE LA AEPD

Cuando en 2011 conseguimos convencer a la Agencia Española de Protección de Datos (AEPD) que a BING (el buscador de Microsoft), se le aplicaba la Ley de Protección de Datos y que BING debía eliminar más de 100 Web de su rastreo, se generó una contradicción que hoy, en 2012, se ha vuelto turbulenta por acontecimientos que conviene hacer públicos. Bing y Yahoo esperan un nuevo pronunciamiento de la AEPD.

El punto de partida:

Durante 2009 y 20110, varios españoles se dirigieron a la AEPD, solicitando la eliminación de sus datos del buscador BING. La AEPD desestimaba sus solicitudes al entender que a BING no se le aplicaba la LOPD, por tener su sede operativa en Luxemburgo (de acuerdo con las condiciones legales del buscador).

Pero el 31 de agosto de 2010, Microsoft cambió parte de sus condiciones legales, posibilitando la aplicación de la Legislación Española (concretamente la LOPD).

A pesar del cambio, el 26 de noviembre de 2010, la Agencia Española de Protección de Datos no admitió una solicitud de un ciudadano frente a BING, afirmando que a Microsoft no se le aplicaba la normativa Española. Como ha sucedido en otros supuestos controvertidos, la Resolución ha “aparecido” publicada en la Web de la AEPD bastante después de dictarse. Ver Resolución

En el año 2011 nos llegó un caso de un ciudadano que quería salir de BING. Le hicimos ver a la AEPD que (en contra de su criterio anterior) a BING se podría aplicar la normativa Española de acuerdo con su cláusula legal y de acuerdo con el “acceso a medios”, explicitado en la Web de BING. La AEPD nos dio la razón y BING eliminó la información requerida.

Desde entonces, la AEPD viene estimando reclamaciones frente a BING. Sirva de ejemplo esta Resolución. En ella se estima la retirada de datos en BING al considerar la AEPD que a BING se le aplica la LOPD (esta resolución no habla del “acceso a medios”). Hubo quien intentó confundir todas estas resoluciones intencionadamente, como ya expusimos en este artículo sobre Megaupload.

¿Cuál es la situación actual?

BING (Microsoft) sigue manifestando ante la AEPD que no le resulta de aplicación la AEPD, por tener su sede operativa en Luxemburgo.

YAHOO Iberia afirma ahora (ante la AEPD), que todo pronunciamiento que haga la AEPD respecto a YAHOO se entenderá hecho a respecto a MICROSOFT CORPORATION, por existir un acuerdo funcional, y que Yahoo mediará en el cumplimiento de la Resolución de la AEPD.

Mientras que el bucle BING-YAHOO-AEPD está servido, la Web de Yahoo no hace mención al pacto de los buscadores..lo que parece que debe tener alguna consecuencia en sus políticas de privacidad.

PD. Desinteresadamente le hemos solicitado a la AEPD que revise la resolución de fecha 26 de noviembre de 2010…

(II) Cómo librarse de una multa de 60.101,21 € #lopd

Wed, 18 Apr 2012 16:44:40 +0200

Caso real: la Agencia Española de Protección de Datos impuso una sanción de 60.101,21 € a una Clínica que no envió la documentación a un paciente que la solicitó.

La Clínica recurrió la sanción ante la Audiencia Nacional. Si bien la Audiencia apreció que la conducta de la Clínica era grave, entendió que concurría una cualificada disminución de la culpabilidad, nada más y nada menos que por el siguiente motivo:

"la clínica demandante envió un burofax al que no acompañaba la documentación con los datos médicos solicitados por la denunciante, pero con la creencia de que sí estaba facilitando el derecho de acceso a la misma, según se desprende de la documentación adjuntada a autos, referida con anterioridad, en relación con la prueba testifical"

Entre esto, y la aplicación de la LES, la sanción se rebajó: de 60.101,21 € a 2.000 €.

La desproporción existente entre 60.000 € de sanción inicial y los 2.000 € finales da para pensar. Sin dudar del caso, estoy convencido que, desde ahora, muchas empresas dirán que "creían" haber cumplido y solicitarán la disminución de las sanciones.

Fuente SAN 1412/2012. Nº de Recurso: 893/2010

Quejas de LOPD. Algunos casos y notas del informe anual del Defensor del Pueblo

Mon, 16 Apr 2012 21:48:57 +0200

Con un apartado específico destinado al tema “Protección de Datos” (y con alguna mención en otros apartados, que también traigo), el Informe anual del Defensor del Pueblo pone de relieve quejas, recomendaciones y reiteraciones en la materia, que por su interés reproduzco.

Sobre la Agencia Española de Protección de Datos

El Defensor del Pueblo informa de la existencia de numerosas quejas y reclamaciones frente a la propia Agencia de Protección de Datos, por dos cuestiones esenciales: discrepancia con sus criterios e incumplimiento de plazos por la AEPD.

El Defensor no escatima esfuerzos e incluye en su informe casos reales, como el de unos padres que solicitaron una Tutela de Derechos a la AEPD, sin obtener respuesta, ni certificación de acto presunto de la AEPD. Con gran concreción en las posiciones de las partes, se explica el caso de una persona a la que la AEPD desestimó una solicitud fuera del plazo legal (contraviniendo el silencio positivo), y que presentó un recurso que fue contestado por vía edictal de forma negativa (sin probarse la existencia de motivos por los que se acudió a esa vía de notificación).

Requerida una respuesta a la AEPD por el Defensor del Pueblo, la AEPD alegó que había resuelto fuera de plazo por la gran carga existente en el departamento de Tutelas de Derecho y que la resolución era desestimatoria para no ser contraria al ordenamiento jurídico y evitar que el ciudadano adquiriese derechos y facultades sin reunir requisitos esenciales para su adquisición.

El Defensor del Pueblo muestra en su Informe su disconformidad con el razonamiento de la Agencia y le insta a corregir sus Resoluciones (fundamentando su rechazo en los criterios que ha fijado la Sentencia de la Audiencia Nacional de 23 de junio de 2011, en un caso prácticamente idéntico en el que se recuerda a la AEPD que su obligación es resolver estimatoriamente fuera de plazo, con independencia de la revisión de oficio).

Préstamos y LOPD

El Defensor ha analizado la Orden EHA/2899/2011, y advierte que cuando el texto no se pronuncia sobre el tratamiento de dichos datos cuando se deniega el préstamo al solicitante, estos datos “deberían ser eliminados de la base de datos y de los expedientes para que no sean susceptibles de ser utilizados”.

Cancelación de antecedentes policiales

Expone el Defensor del Pueblo un caso en el que un ciudadano había sido denunciado tras unas actuaciones policiales. La propia Policía exponía al Defensor que no podría eliminar los datos del detenido (documentos del atestado), en tanto que los ficheros de las FFCCSS, no están sujetos al régimen general de la LOPD. Además, señaló la Policía, la documentación se puede calificar como “patrimonio documental”, y su eliminación pudiera hacer necesaria la intervención de una Comisión Calificadora.

El Defensor del Pueblo, respondió a esta consulta advirtiendo que, aun existiendo particularidades, no podría obviarse la aplicación de la LOPD y los derechos de los ciudadanos, por lo que la Policía debería contestar al ciudadano. Aconsejo leer detenidamente la respuesta (y trasladarme la conclusión).

Filtración policial a prensa

Presenta el Defensor del Pueblo un caso en el que la ficha policial de una ciudadana fue mostrada en un programa de televisión y que la Policía y la Guardia Civil comprobaron qué personas (autorizadas) habían accedido a los archivos internos de la ficha policial, con el fin de determinar quién la había filtrado. La investigación terminó al comprobarse que se trataba de numerosas personas y accesos, que harían imposible la identificación.

Acceso a móvil sin orden judicial previa

Se ha analizado por el Defensor del Pueblo el caso de un ciudadano que asistía a un acto público (apertura del año judicial) en una plaza de Teruel y utilizó su móvil para fotografiar, (de forma disimulada), a las autoridades. Se procedió a la incautación de su teléfono móvil para acceder a su contenido, sin la correspondiente actuación judicial.

En este caso el Defensor del Pueblo entiende que existió un “exceso de celo” en el ejercicio de prevención de delitos y de mantenimiento de la seguridad ciudadana. Por ello, el Defensor recomendó a la Dirección General de la Policía y de la Guardia Civil que en cuantas intervenciones de las comunicaciones telefónicas y de datos se realicen en lo sucesivo por la policía se respete escrupulosamente la necesidad de contar con la previa y preceptiva resolución judicial que autorice la limitación del derecho fundamental al secreto de las comunicaciones, y siempre que existan indicios suficientes de la posible comisión de un hecho delictivo

Apostasía

Se pone de manifiesto por el Defensor del Pueblo que siguen llegando a su Institución quejas de ciudadanos que quieren “ejercer declaración de apostasía” (sic). El Defensor responde aconsejando la vía de la AEPD, si bien, declara, la legitimación de dicha Agencia en este asunto es actualmente objeto de “controversia judicial” (sic).

Derecho a recibir respuesta

Como curiosidad (y guiño a todos aquellos que esperamos pacientemente escritos y respuestas de la Administración), añado un texto sobre el “derecho a recibir respuesta”, analizado por el Defensor del Pueblo, en el que se termina aconsejando a la Administración que responda:

Fue el caso de un ciudadano que no había recibido respuesta a dos escritos dirigidos al Ayuntamiento de Madrid en relación con un suceso ocurrido en la Plaza de los Chisperos, tras la caída de una farola que golpeó a su esposa, el Ayuntamiento de Madrid ha considerado que los escritos del compareciente han sido contestados mediante la eficaz actuación de la Policía Municipal (que consistió en la personación en el lugar de los hechos).

¿Cuestiones resueltas?

El los informes de los dos años anteriores, el Defensor del Pueblo recomendó a la AEPD la necesidad de elaborar una norma que regulase la publicación y “retirada” de datos personales en los Boletines Oficiales.

En el informe del año pasado, el Defensor del Pueblo indicó que la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información, Agencia Española de Protección de Datos, Instituto Nacional de Consumo y Comisión del Mercado de las Telecomunicaciones hasta la fecha no habían habilitado mecanismos de coordinación y colaboración para evitar la duplicidad de actuaciones o incluso acciones contradictorias.

Publicación en páginas web de nombres de profesores

Mon, 09 Apr 2012 13:18:39 +0200

Publicación de email, teléfono, y nombres de profesores en una Web. El criterio de las Agencias.

El Informe número 0223 de 2011 de la Agencia Española de Protección de Datos (AEPD), respondió a esta cuestión. Una persona planteó si podría publicar en una Web las direcciones profesionales de email y teléfono de profesores de una Universidad, incluso cuando éstos no estuviesen de acuerdo.Aclaró el consultante que la finalidad era favorecer la docencia por medio de una mayor comunicación con los alumnos.

La AEPD, examinó la finalidad alegada y consideró que si los datos que se publicarían únicamente eran profesionales y relacionados con la Universidad, no haría falta el consentimiento de los profesores para publicar los datos, ni se requería registrar un fichero.

Desde otra Agencia, la de la Comunidad de Madrid (APDCM), se examinó el caso de la Universidad Politécnica de Madrid, que fue el siguiente: una persona reclamó a la Universidad la retirada de sus datos personales de su Web y al negársele la retirada, acudió a la Agencia para que resolviese esta cuestión.

La Universidad alegó ante la APDCM que únicamente publicaba datos profesionales (nombre y apellidos, puesto de trabajo, teléfono y dirección de correo electrónico de su personal), con la finalidad de que los datos fuesen accesibles por el resto del personal y ciudadanos, con finalidades académicas y administrativas.

Sin embargo, la APDCM, ordenó a la Universidad la retirada de los datos de la Web, atendiendo a los siguientes motivos:

1.- Sólo en el caso de personal con responsabilidades políticas, puede procederse a la publicación de los datos sin consentimiento del afectado.

2.- Cuando concurra el interés público necesario, corresponderá al titular del órgano administrativo de la Universidad determinar, en su caso, la conveniencia de proceder a la publicación sin restricciones.

3.- No existe ninguna norma que autorice la publicación en abierto en la Web de la Universidad Politécnica de los datos de nombre y apellidos, puesto de trabajo, teléfono y dirección de correo electrónico profesionales, ni se estima concurrente un interés público que autorice dicha publicación personalizada en abierto sin el consentimiento expreso de los afectados, siendo necesario el consentimiento expreso de los afectados para publicar en abierto en la Web de la Universidad los referidos datos personales.

¿Salir de Google Spain, S.L. y salir de Google Inc.? criterio explicativo de la AEPD. LOPD

Tue, 03 Apr 2012 14:30:19 +0200

Desde hace años, la Agencia Española de Protección de datos (AEPD) viene requiriendo a Google la retirada de datos personales de sus resultados de búsqueda.

La AEPD ha venido resolviendo frente a “Google”, “Google España”, “Google Spain, S.L.”, “Google Inc.” e incluso, en alguna ocasión, conjuntamente frente a “Google Inc. y “Google Spain, .SL.”

Como novedad, observamos que desde julio de 2011, la AEPD viene pronunciándose expresamente, en diversas Tutelas de Derechos, frente a Google Spain, S.L., y no frente a Google Inc., a pesar de que en las solicitudes de Tutela constaban expresamente requeridos tanto Google Inc., como Google Spain, S.L. (ver ejemplo real).

Requerida la AEPD a presentar una explicación, la misma ha afirmado en una reciente resolución, de marzo de 2012: “las acciones de tramitación del procedimiento se dirigieron a Google Spain, S.L. como representante de Google Inc. Si bien es cierto que no refleja expresamente en la resolución la inadmisión de las reclamaciones presentadas frente a dichas empresas, y de conformidad con el citado artículo 3.1.c) y el 4.a) de la Directiva, esta Agencia se ha dirigido únicamente al representante designado establecido en territorio español, debiéndose tener lo resuelto como destinado al “representado””

El alcance de lo que quiere expresarse parece vislumbrarse en el procedimiento TD/01364/2011, en el que al citarse a Google, la AEPD utiliza finalmente la siguiente fórmula: “Google Spain (Google Inc)”.

La explicación de la AEPD salva sus Resoluciones, pero parece enfrentarse a la realidad que día a día proclama el buscador: Google Inc y Google Spain, actuan como entidades diferenciadas. Por otra parte, la explicación de la AEPD se enfrenta a sus anteriores Resoluciones (puede contemplarse que el Auto de la Audiencia Nacional, con destino al TJUE), o los procedimientos E/01544/2007, TD/00833/2008, E/01234/2008, TD/00458/2010.

Las búsquedas prohibidas de Google

Sat, 24 Mar 2012 11:00:28 +0200

Si comienzo a escribir en Google.com “Matar a una” Google me sugiere la búsqueda “Matar a una persona sin dejar rastro”. Según Google, las sugerencias de búsqueda “facilitan el trabajo de búsqueda”, aunque, pueden restringirse (pej si incitan al odio o muestran un contenido violento) ¿hacemos una prueba?

Señalamos algunas búsquedas realizadas en Google. En negrita, señalaremos las recomendaciones conflictivas que Google muestra:

Franco era un buen hombre

Google es una basura

La Sexta es una porquería

Los catalanes son unos nazis

Hitler era un genio

Hitler es dios

Gandhi era racista

Bill gates es autista

Leire pajin es hija de felipe gonzalez

El país es un periódico de derechas

Voy a matar a mou guardiola

La droga es la autentica salud el bienestar la alegria

Los Andaluces son tontos/vagos/analfabetos

Fabricar una/ bomba/pistola

Aznar es un asesino

Zapatero es/ masón/ gay/ diputado/ tonto

¿Esto ya le empieza a pasar factura a Google?

Sí. Google debe: indemnizar a un particular con 5.000 € por asociarlo a la palabra “violador”, indemnizar a una empresa por asociarla a la palabra secta , y pagar 50.000 € al asociar a una empresa con la palabra estafador

Desde www.salirdeinternet.com nos preguntamos si los sectores que defienden una Red sin restricciones llegan a hacerse cargo de las situaciones que pueden derivarse en dicho contexto. Por nuestra parte, no nos cansamos de insistir en que no debe cesar la exigencia a los grandes buscadores para que destinen recursos a mejorar sus herramientas y cesen en la vulneración de los derechos a la privacidad y al honor a las que las mismas han dado lugar hoy en día.

Si bien asistimos a lentas mejoras que suponen pasos lentos en la rápida evolución que supone el día a día en Internet, a la vista de las últimas sentencias dictadas en nuestros países vecinos, los avances de la UE y ejemplos de la Agencia Española de Protección de Datos (recientemente logramos la primera resolución en España que obliga al buscador de Microsoft a retirar contenidos), estamos seguros de que a día de hoy, nos dirigimos en la dirección correcta.

¿Cómo librarse de una multa de 360.607 € en #lopd? caso real

Fri, 16 Mar 2012 18:29:22 +0200

El Tribunal Supremo confirma que ARVATO SERVICES IBERIA, S.A, no deberá pagar 360.607 € a la Agencia Española de Protección de Datos, al actuar la empresa conforme al criterio de sucesivas resoluciones de la Agencia.

La importancia de leer resoluciones

Una persona recibió una carta de CITIBANK, en la que se le ofrecían productos financieros. A su vez, se le informaba que sus datos personales habían sido facilitados por ARVATO, que los había obtenido de CEAC (CENTRO DE ESTUDIOS CEAC, S.L.).

La persona que recibió la información comercial, denunció el caso ante la Agencia Española de Protección de Datos (AEPD), al considerar que se estaban tratando y cediendo sus datos sin su consentimiento.

Con fecha 11.05.2007, la AEPD sancionó a las tres empresas, y especialmente a ARVATO, a la que impuso dos sanciones por importe total de 360.607,26 €. PS-00223-2006

ARVATO recurrió la Resolución de la AEPD ante la Audiencia Nacional, con el objetivo de que este organismo analizase una cuestión fundamental: “Si ARVATO ha actuado como encargado de CEAC, no se habría producido vulneración alguna de la Ley de Protección de Datos”

Asimismo, ARVATO aportó tres Resoluciones de la Agencia Española de Protección de Datos que habían considerado su actividad, y la de empresas de su grupo como “encargado”, por lo que no podría considerársele responsable (PS/00053/2005, PS/00136/2003 y PS/00093/2003).

La Audiencia Nacional entendió que ARVATO realizaba tratamientos propios y que no había actuado como encargado, sin embargo, la Audiencia Nacional anuló las multas al considerar que, en virtud de las tres resoluciones de la AEPD, ARVATO había actuado con el convencimiento de estar realizando una actividad legal, y de ser encargado.

Con fecha 27.02.2012, el Tribunal Supremo ha confirmado el criterio de la Audiencia Nacional, destacando:

Se ha acreditado la identidad sustancial de supuestos entre los que ahora contemplamos y lo resuelto por la Agencia Española de Protección de Datos en los tres expedientes mencioandos, habiéndose dictado las resoluciones de los procedimientos sancionadores en relación con Arvato o empresas de su mismo grupo, por lo que se pudo inducir a error a la recurrente que pudo razonablemente considerar que su conducta era legal y que actuaba amparada por el cumplimiento de las exigencias de la Ley Orgánica de Protección de Datos, afirmando que no es posible que la Agencia en la resolución que ahora es objeto de recurso contencioso administrativo, como se apreció en la sentencia de 13 de junio de 2008 , considere cometida una infracción cuando la misma conducta había sido considerada impune en resoluciones anteriores, entendiendo que en materia sancionadora los nuevos criterios, por muy razonables que éstos sean, ya estén contenidos en una norma o deriven de una decisión de la Administración interpretando las normas, han de desplegar sus efectos hacia el futuro pero nunca proyectarse hacia actuaciones pasadas que se acomodaran a los criterios entonces existentes, así como que la relación de los administrados con la Administración debe sustentarse en un principio de confianza legitima, confianza que sólo puede generarse cuando se tiene previsibilidad y seguridad en la actuación de la Administración, por lo que concluye que si bien Arvato no puede amparar su conducta en la condición de encargado del tratamiento, al concurrir una grave infracción de las exigencias derivadas del principio de culpabilidad, procede, por infracción del principio de culpabilidad la estimación del recurso y la anulación de la resolución impugnada

Fuente: STS 1299/2012 Nº de Recurso: 747/200

Se puede Salir de Internet

Sat, 03 Mar 2012 12:31:01 +0200

Respuesta al Director de la Agencia Española de Protección de Datos

El Director de la AEPD ha sido entrevistado por el periódico El Mundo en relación con un tema de actualidad: “el derecho al olvido”. Uno de los titulares de la entrevista dice: no se puede “salir de Internet”. Declara posteriormente el Director de la AEPD que el derecho al olvido tiene poco recorrido en los casos en las que las personas aparecen publicadas en medios de comunicación.

Desde Salirdeinternet.com, como os podéis imaginar y como no podía ser de otra manera, no podemos más que diferir con el desafortunado titular. Desde nuestro punto de vista, el titular resulta vacío de contenido (son muchos más los casos en los que sí se puede salir de Internet), y no podemos dar por cierta la excepción que realiza sobre los medios de comunicación, por varios motivos:

(1)

(2)

(3)

(4)

Este despacho logró que se obligase a un buscador a retirar más de un centenar de páginas Web

Desde nuestro punto de vista, no debe extenderse la opinión de que los medios de comunicación tienen “carta blanca”, como si todo lo que en los mismos se publicase quedase amparado por un supuesto derecho de información sin límite alguno. Nada más lejos de la realidad.

Muchas Resoluciones de la AEPD, recogen cómo debería practicarse el derecho al olvido por los medios de comunicación (incluimos texto de las Resoluciones de la AEPD TD/01335/2008 y TD/01164/2008:

"(...) los medios de comunicación deberían valorar la necesidad de que su actuación se dirija a conciliar, en mayor medida, el derecho a la libertad de información con la aplicación de los principios de protección de datos personales. En primer lugar debiera ponderarse escrupulosamente la relevancia pública de la identidad de las personas afectadas por el hecho noticiable para, en el caso de que no aporte información adicional, evitar la identificación mediante la supresión del nombre e incluso, si fuera necesario, de las iniciales o cualquier referencia suplementaria de la que pueda deducirse la identificación, en el caso de que el entorno sea limitado. (....)los medios de comunicación debieran usar medidas informáticas para que, en el caso de que concurra interés legítimo de un particular y la relevancia del hecho haya dejado de existir, se evite desde su webmaster la indexación de la noticia por los motores de búsqueda en Internet. De esta forma, aun manteniéndola inalterable en su soporte –no se borraría de sus archivos ni de sus históricos- se evitará su divulgación indiscriminada, permanente y, en su caso, lesiva".

Ésta es la tendencia a la que deben dirigirse todos los medios: el respeto a la privacidad de los ciudadanos en el cumplimiento de su labor y su derecho a informar.

¿Salir de Internet es posible?

Nos dedicamos a eso y es lo que hacemos (y estamos consiguiendo) prácticamente a diario. En salir de Internet creemos en la privacidad, creemos en nuestro trabajo y hasta la presente fecha, podemos decir que somos más una realidad que un “eslogan atractivo”. Como botón de muestra, recordamos que, cuando todo se veía aún más complicado y más pesimista de lo que se ve ahora, fuimos el primer despacho en haber conseguido en España eliminar datos de Google y borrar datos de un boletín oficial (completamente) reflejado en Resolución de la Agencia Española de Protección de Datos, y recientemente hemos sido los primeros en haber conseguido una resolución contra Microsoft (Bing) que obliga a retirar datos a dicho buscador.

Cómo reclamar gratis los datos de Megaupload (y por alusiones)

Mon, 23 Jan 2012 17:00:22 +0200

*Añadimos un apartado denominado POR ALUSIONES

Se repite el esquema oficial de los grandes escándalos: pocos detenidos, millones en juego, retención de datos y, como siempre, la información sobre las vías para reclamar es nula. ¿Cómo pueden recuperar sus documentos personales los usuarios?

Nos extraña mucho que cuando se están reteniendo informaciones de 2,5 millones de Españoles, nadie haya citado a la Agencia de Protección de Datos. (AEPD). Este organismo proporciona una vía ágil y gratuita para interponer reclamaciones y denuncias, y puede facilitar a los usuarios de Megaupload la reclamación para que se conserven documentos personales, y que no se realicen cesiones inconsentidas.

La AEPD, con la que hemos estado hablando hoy en varias ocasiones, ha manifestado inicialmente su negativa y posteriormente ha admitido que debería estudiar viabilidad de una reclamación pero ha declarado claro que no es su objetivo interferir en un procedimiento judicial sustanciado en el extranjero.

Desde el despacho Salirdeinternet.com, escribimos esta entrada en nuestro Blog con el ánimo de exponer nuestro punto de vista, sobre una posible reclamación:

¿Se aplica la LOPD una empresa situada en el extanjero?

Sí. Recientemente, este despacho logró que la AEPD se pronunciase por primera vez en España frente a BING, el buscador de Microsoft, aunque éste alegaba que no se le aplicaba la LOPD, al estar su sede en Luxemburgo.

Si Megaupload trataba datos personales y almacenaba cookies, la cuestión parece evidente: aún estando en el extranjero le sería aplicable la LOPD. No sólo los usuarios podrían ejercer sus derechos frente a Megaupload, sino que la AEPD entraría a conocer los incumplimientos.

En un caso muy parecido al de Megaupload, el 11.12.2009, el Gabinete Jurídico de la Agencia Española de Protección de Datos emitió el Dictamen 0454/2009, que resolvió una consulta en la que se planteaba si resultaba aplicable la LOPD a una compañía, domiciliada en Nueva York, propietaria de una página web que permitía a los clientes que se registraban la descarga de diseños-imágenes, tratando datos como los Server logs, direcciones IP, e-mail, cookies..

La AEPD, en su Dictamen Jurídico declaró: “En el caso planteado, será aplicable la normativa de protección de datos a la actividad objeto de consulta, ya que el responsable del tratamiento (empresa prestadora del servicio) al decidir la utilización de cookies y otras herramientas con el fin de recoger y tratar datos personales, recurre, en el sentiido, examinado, a medios (los ordenadores de los usuarios) que se encuentran en territorio español.”

La respuesta del informe de la AEPD coincide con el espíritu de la Directiva 95/46/CE, del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, que declara “el hecho de que el responsable del tratamiento de datos esté establecido en un país tercero no debe obstaculizar la protección de las personas”, y así dispone para los casos en los que la empresa que trate los datos se encuentre en el extranjero:“Los Estados miembros aplicarán las disposiciones nacionales que haya aprobado para la aplicación de la presente Directiva a todo tratamiento de datos personales cuando el responsable del tratamiento recurra, para el tratamiento de datos personales, a medios, automatizados o no, situados en el territorio de dicho Estado miembro, salvo en caso de que dichos medios se utilicen solamente con fines de tránsito por el territorio de la Comunidad Europea.”

El Art 2.1.c de la LOPD y artículo 3.1. del Reglamento LOPD, disponen que estas normas se aplicarán a empresas que se encuentre en el extranjero: “Cuando utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito”.

Debe recordarse asimismo que si fuese de aplicación la LOPD, Megaupload debería designar un representante establecido en territorio español, tal y como dispone el segundo párrado del artículo 31.c del Reglamento de desarrollo de la LOPD. Esto no sólo agilizaría las reclamaciones, sino que podría solicitarse a la AEPD.

¿Qué reclamar a Megaupload?

Aconsejamos que el usuario que quiera ejercer sus derechos de protección de datos frente a Megaupload se dirija, por medio fehaciente e identificándose con copia de DNI a la sociedad y a las Autoridades de EEUU, solicitando (a elección del usuario):

1.- El derecho de acceso a sus datos de carácter personal (art. 15 LOPD), e información acerca de las comunicaciones realizadas o que se prevean realizar legalmente (inclusive durante el procedimiento judicial) y remisión de copia de los citados documentos a la dirección indicada por el usuario.

2.- La voluntad de que se conserven los documentos personales del usuario -a disposición de éste-, incluidos en Megaupload y no sean cancelados ni cedidos a terceros ajenos a la voluntad de los interesados y de un procedimiento legítimo.

¿ Qué reclamar a la AEPD?

Si el usuario no recibe respuesta a las solicitudes o esta no es satisfactoria, podrá interponer una reclamación ante la AEPD, solicitando la tutela de sus derechos y obligando a que Megaupload designe un representante en España, hecho que facilitaría cualquier reclamación.

Todo este procedimiento lo puede hacer un usuario sin gastarse nada de dinero y sin necesidad de contratar a nadie (incluido a nosotros, por cierto :) )

* POR ALUSIONES

Leo con cierta alegría que después de este Post la AEPD se dirigió a las Autoridades de EEUU.

Leo con impresión varios tweet que afirman "La Agencia de Protección de Datos no es competente para el caso MegaUpload". Tirando un poco de la fuente, acabo de descubrir una corriente doctrinal que afirma sin reparos no puede requerirse a una sociedad que está en Hong Kong "y que se rije" por la normativa de California.

Por existir referencias bastante explicitas, podría pensar que alguien está respondiendo negativamente al artículo que publiqué recientemente en el que llegué a afirmar que a MegaUpload podría aplicársele la LOPD.

Pero hay varios motivos que me quitan esta idea de la cabeza:

1.- El texto que he descubierto, a pesar de contener de inicio una postura radical y distinta a la mía (en un tono algo sensacionalista), divaga hasta llegar -por extraño que parezca- a reconocer mi punto de vista (que puede ser erróneo pues al fin y al cabo es un criterio).

2.- Dije que a MegaUpload se le podría aplicar la LOPD al igual que a BING (el buscador de Microsoft) se le había aplicado la LOPD.

Para ello, incluí un artículo periodístico en el que citaba que este despacho, Salirdeinternet.com había ganado el primer caso de BING en España. En el caso se habían alegando dos cuestiones: (A) a pesar de que Bing-Microsoft tiene su sede efectiva en Luxemburgo, la sede en España está vinculada y (B), aún no teniendo en cuenta la sede de España, existía un acceso a medios de los Españoles por parte de Microsoft, por lo que sería aplicable la LOPD con independencia del lugar.

A diferencia de lo que yo afirmo, el texto que he encontrado dice que Megaupload no tiene comparación con BING. Observo que llega a esa conclusión equivocándose de Resolución (tomando como base una distinta y más limitada).

Todos nos podemos confundir, por supuesto.

Un error más del texto que he encontrado: llega a afirmar que el cambio de BING se ha tenido en cuenta desde el 31 de agosto de 2010. No es cierto y puede comprobarse: (leer).

Instrumentalización de la LOPD

Wed, 11 Jan 2012 12:34:58 +0200

El concepto de “Guerra de LOPD” lo utilizo para referirme a los ataques a instituciones y empresas en las que la Ley Orgánica de Protección de Datos se instrumentaliza y sirve como excusa relativamente ágil, gratuita y con pretensiones de escarmiento (incluso sancionadoras). Ejemplos de estas disputas de LOPD son las que mantienen consumidores frente a empresas, bancos, redes sociales, partidos políticos, antiguos amigos, etc..

Explicado lo que es una “Guerra de LOPD”, intuyo –mejor dicho, afirmo- que algo de ello hay tras ciertas noticias: “El Tribunal Supremo ordena al Opus Dei borrar los datos de sus ex miembros” o, más en concreto, “El Tribunal Supremo obliga al Opus Dei a borrar los datos de una exmiembro”.

El procedimiento: desde la AEPD hasta el Tribunal Supremo, pasando por la Audiencia Nacional

Opus Dei

La interesada acudió a la Agencia Española de Protección de Datos, ante cuya petición para que se cancelaran esos datos, la institución de la Iglesia católica se negó en ese momento, al considerar esas tres fechas como “hechos históricos, realizados voluntariamente y que no pueden anularse”.

El Tribunal Supremo ha entendido que prevalece el derecho a la intimidad de la reclamante, sin aceptar los argumentos de la Prelatura. En cumplimiento de la sentencia, el Opus Dei ha cursado ya las comunicaciones oportunas informando de la cancelación de esos datos.

Según resulta de la sentencia del TS, el Opus Dei ya había destruido todo documento relativo a los datos personales de la persona solicitante y únicamente mantenía varias anotaciones manuscritas como la fecha de incorporación y la de baja, precisamente por los procedimientos abiertos ante la AEPD a instancias de la solicitante, que impedían la efectiva y total cancelación.

El Opus Dei, durante el procedimiento administrativo y judicial, alegó entre otros motivos jurídicos y canónicos que no procedía la cancelación de estos datos, pues ya habían sido suprimidos, siendo además hechos históricos.

En el caso similar de los Libros Bautismales de la Iglesia Católica, la Justicia había declarado que no procedía acceder a la cancelación solicitada por no tratarse, en ningún caso, de ficheros sujetos a la LOPD. La argumentación jurídica del Opus Dei no fue considerada por el Supremo, quien en pocas líneas (que no puedo compartir) diferenció las situaciones, a pesar de similares por referirse a la organización y Derecho de la Iglesia, y rechazó la petición del Opus Dei de regirse por las normas específicas del Derecho Canónico y del Acuerdo sobre Asuntos Jurídicos entre la Santa Sede y el Estado español de 1979, sobre todo al entender que una mera nota manuscrita en un papel en ningún caso es un “fichero” sujeto a la LOPD, y que el posible tratamiento o conservación de los muy concretos datos obedecía exclusivamente a los procedimientos administrativos iniciados por la interesada.

La Guerra abierta

La “Guerra de LOPD” abierta frente al Opus Dei realmente la ha protagonizado y animado una página web denominada Opuslibros, creada y mantenida en contra de la Prelatura del Opus Dei. Parece ser que desde esa página web, además de orientar a la reclamante, se han difundido consignas para fomentar el ataque, instrumentalizando los derechos que otorga la LOPD y los procedimientos que se tramitan ante la AEPD, como declara alguno de sus participantes.

En la Web Opuslibros, en la que participan escribiendo algunos exmiembros del Opus Dei, puede observarse con todo lujo de detalles la manera en que ciertas personas identificadas (e identificables) comentan los pasos y particularidades internas de esta reclamación ante el Supremo e instan a que estas reclamaciones proliferen. Sin embargo, sorprende que en ocasiones esas mismas personas utilicen “nicks” o pseudónimos para ocultar su identidad.

La reclamación derivada de un derecho de cancelación de datos personales imposible de cumplir, por el sencillo hecho de haberse suprimido los datos antes incluso de haberse solicitado, no parece responder a la normalidad de las cosas. En condiciones normales, ¿alguien llega hasta el Supremo para cancelar unos datos básicos en un papel entregado a una entidad? ¿Es cierto que es sólo por cancelar unas fechas por lo que se monta este despliegue, provocando un mayor tratamiento precisamente de los datos que se pretenden cancelar, incluso por los medios de comunicación social?

Contrapunto

Como punto final, destaco que, contradictoriamente, la página web Opuslibros en que se hace un tratamiento masivo, generalizado y universal de datos personales de nivel alto, por referirlos a datos especialmente protegidos, no parece cumplir con la propia Ley y no realiza declaración legal de ningún tipo (ni de LOPD, ni de LSSI, y ni siquiera ha declarado sus ficheros ante la AEPD ni ha solicitado la autorización de transferencia internacional de datos a Nueva York).

Su última acción consiste, nada más y nada menos, que en publicar supuestos “informes de conciencia” sobre personas que hipotéticamente han pertenecido al Opus Dei, y resulta más que sospechoso que no aclaren cómo han podido obtener legítimamente informes que se sostiene –aunque con muchas dudas- son totalmente confidnciales. No habría que descartar que se trate de informes inventados.

A pesar del éxito que atribuye la Coordinadora y sus colaboradores a la reclamación ante el Supremo de una persona también colaboradora, en ningún sitio de esa Web he visto publicadas las diversas Resoluciones y Requerimientos en las que la Agencia Española de Protección de Datos ordena a Opuslibros cancelar datos personales de su propio fichero.

** Actualización (11.04.2012)

Una de las principales Web que se dedicaban a atacar al Opus Dei haciendo listados de sus miembros (y supuestos miembros), ha sido sancionada con 2000 € por la AEPD.

La nueva Web de Rubalcaba (tampoco) cumple la Ley

Mon, 02 Jan 2012 18:21:35 +0200

En el Blog de Salirdeinternet ya nos referimos críticamente al Partido Popular y al partido político Ciudadans, exponiendo cuales eran los “peros” legales, de sus campañas electorales (el famoso Prostituit y la lista negra de enchufados). Hoy analizamos la nueva Web de Rubalcaba, con la misma intención.

La visita a la Web de Rubalcaba deja claro que en ella podremos “incorporar ideas y propuestas”, observar propuestas de los grupos de militantes y simpatizantes y acceder a una galería de fotos de la candidatura.

¿Quién es la persona (o personas) que recibirá nuestras sugerencias? ¿Quién es el coordinador?

La Web no lo señala. No tendría demasiada importancia si no fuese porque el Artículo 5 de la Ley Orgánica de Protección de Datos, aplicado, exige claramente que se indique “la identidad y dirección del responsable del tratamiento o, en su caso, de su representante”.

Una visita a https://www.nic.es (que siempre recomendamos), nos dice que su titularidad ha sido ocultada (y la persona de contacto administrativo también oculta su dirección).

Por este motivo, una empresa (Panini) recibió una multa de 12.000 Euros.

¿El PSOE (o quien maneje la Web de Rubalcaba) ha notificado a la Agencia de Protección de Datos que recibirá datos personales? ¿Qué uso se le darán a los datos personales?

A primera vista, ni han declarado un fichero ante la AEPD, ni nos informan de la existencia de un fichero o tratamiento de datos de carácter personal, su finalidad de la recogida de éstos y de los destinatarios de la información

¿Sí no soy un simpatizante o un afiliado y envío a través del formulario Web, sugerencias políticas, le meto en un lío a quien maneje la Web de Rubalcaba?

La Ley de Protección de Datos exige que la persona que envíe datos que revelen la ideología y creencias, presten su consentimiento al tratamiento de forma expresa y por escrito. Y¿existe consentimiento cuando el tratamiento no se informa?

Por 0,01 Euros de deuda (inexistente), Telefónica le mantenia en un Registro de Morosos

Mon, 02 Jan 2012 10:15:09 +0200

40.001 € de multa a Telefónica por incluir el nombre de una persona en un registro de morosos, por 0,01 € de deuda

Una persona presentó denuncia contra Telefónica, exponiendo que que habían incorporado sus datos al registro Asnef por una deuda que nunca contrató.

La comprobación de la Agencia Española de Protección de Datos (AEPD), determinó que Telefónica y el registro de morosos Asnef tenían anotadas dos supuestas deudas del cliente. La primera, de 62,08 €, fue sustituida por otra de 0,01 € durante un mes hasta que finalmente se anuló.

La AEPD sancionó inicialmente a Telefónica con 60.101,21 Euros, al entender que había incluido los datos personales del interesado en un Registro de Morosos, sin que procediese su inclusión y su mantenimiento (telefónica ni siquiera aportó el contrato que probase la existencia de la deuda). La infracción imputada a Telefónica de España SAU es la del artículo 4 apartado 3 de la LOPD, a cuyo tenor: Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado.

Telefónica, que no estaba de acuerdo con al Resolución de la AEPD, recurrió ante la Audiencia Nacional, dando la siguiente explicación: por razones puramente comerciales procedió a compensar la deuda de 62,08 € al cliente", pero que por un error puntual la compensación se calculó utilizando los dos primeros decimales y no los cuatro, y por ello quedo un importe de 0,01 € de deuda.

Según Telefónica, no existió alta en el fichero Asnef sino un error material en el cálculo, y no se comunicó la baja en el Asnef, porque solo hacía falta “rectificar el error material que publicaba el fichero Asnef”

La Audiencia Nacional, ha desestimado la posición de Telefónica y ha confirmado la Resolución de 7 de junio de 2010 de la AEPD, dictada en el procedimiento PS 00457/2009, por la que se sanciona a Telefónica (aunque se rebaja la cuantía de la sanción de 60.101,21 a 40.001 €, por aplicación de las cuantías establecidas en la LES.

Borrar datos de un Boletín Oficial

Sat, 24 Dec 2011 17:40:56 +0200

¿Quiere usted conocer quién está incluido en un expediente administrativo de "dependencia"? Eso y más. En base a ciertos Boletines, podría relatarle listas de personas que fallecieron (pues se expresa), esperando el reconocimiento de dependencia. Podría detallar, por ejemplo, expedientes de protección de menores y tutela. ¿Es normal? Creemos que no.

En relación a la publicación de datos personales en los Boletines Oficiales, hace tiempo nos dirigimos al Defensor del Pueblo con el fin de solicitar su intervención en relación a situaciones que entendíamos graves.

Expusimos las siguientes circunstancias:

De un total de 19 Boletines Autonómicos, 15 de ellos no hacían referencia a los derechos de “acceso, cancelación, rectificación y oposición”, regulados en la LOPD.

Actualmente se realizan publicaciones sensibles: ayudas del fondo social de hace casi 20 años...indultos en los que se describe el delito, citaciones de testigos (incluso por abusos), procedimientos de subasta en los que se identifica el delito del que proviene la subasta, incautación de sustancias, hacer necesidades en la vía pública (sic), expedientes disciplinarios..etc

Debería valorarse la posibilidad de crear normativa específica de ámbito estatal y autonómico, al modo en que, ejemplarmente, sí regula la Comunidad de Madrid (realizamos propuestas específicas e indicamos que, desde 2008, la AEPD había anunciado una Instrucción para regular las publicaciones).

Deberían adoptarse medidas de protección –incluso de oficio- en las que se valore el borrado, el bloqueo de los datos y a desindexación de los buscadores Web.

Después de tres meses recibimos la respuesta del Defensor del Pueblo.

El ella se indicaba que debíamos comunicar los hechos ante la Agencia Española de Protección de Datos (AEPD)....

Sin menospreciar a la AEPD, respondimos y comunicamos al Defensor del Pueblo, que la AEPD no era exclusivamente competente para conocer o tramitar todos los asuntos que se habían puesto en conocimiento del Defensor. Por otra parte, dada la naturaleza de algunos anuncios que se habían comunicado al Defensor, si alguien podía hacerle llegar la propuesta a la AEPD era el Defensor, y no un ciudadano ajeno a los datos (que únicamente se servía de la posibilidad de hacérselos llegar al Defensor los expedientes, evitando que alguien pudiese discrepar de la fórmula utilizada...).

Comentamos al Defensor que existen Boletines como el de la Comunidad de Madrid, Cataluña o País Vasco cuya competencia no le corresponde a la AEPD, sino a Agencias autonómicas.

Trasladamos al Defensor la opinión de que, si bien compete a la AEPD la salvaguarda de los datos de carácter personal, es FUNDAMENTAL ENTENDER que dicha salvaguarda NO ES EXCLUSIVA NI SE EXTIENDE A LAS VULNERACIONES QUE SE PRODUZCAN RESPECTO A OTROS DERECHOS FUNDAMENTALES (honor e intimidad), por lo que no se entiende que se recomiende que la AEPD deba valorar esta reclamación, cuando precisamente la reclamación se extiende más allá del objeto competencial de la AEPD.

Instamos al Defensor del Pueblo a promover las actuaciones necesarias para la elaboración de normativa adecuada en el ámbito legislativo, toda vez que el mismo Defensor es consciente de la indefensión existente pese a la normativa actual y que a la AEPD no es competente más que en la materia de protección de datos, pudiendo existir vulneraciones (pej. respecto al honor, que escapan de su objeto) –y que se han expuesto

Expusimos que era el Defensor quien debía requerir a la AEPD una nueva regulación, cuando la AEPD había anunciado la nueva regulación desde 2008.

Manifestamos nuestra extrañeza al Defensor pues el mismo no había seguido la vía que dispone el artículo 13 de su Ley. Y citamos dicho artículo: “Cuando el Defensor del Pueblo reciba quejas referidas al funcionamiento de la Administración de Justicia, deberá dirigirlas al Ministro Fiscal para que este investigue su realidad y adopte las medidas oportunas con arreglo a la Ley, o bien de traslado de las mismas al Consejo General del Poder Judicial, según el tipo de reclamación de que se trate; todo ello sin perjuicio de la referencia que en su informe general a las Cortes Generales pueda hacer al tema.”

¿Cuál fue la respuesta del defensor?

Seguir recomendando que nos dirigiésemos a la AEPD.

Sólo posteriormente, y como nota positiva, en su informe anual el Defensor requirió a la AEPD que le remitiese la Instrucción sobre los Boletines Oficiales.

Induciendo a error a los medios de comunicación

Sat, 24 Dec 2011 17:40:19 +0200

Emitimos el siguiente artículo en corrección de lo que ya son dos supuestos “errores” consecutivos introducidos en importantes medios de comunicación.

Con fecha 23.06.2011 el diario Público dijo: “El boletín accede por primera vez a ocultar determinados datos al buscador.

Con fecha 07.07.2011 el diario El País, publicó: “El BOE, obligado a impedir el rastreo de los buscadores. Así se ha establecido al resolver un recurso”

¿Que tienen en común las dos noticias?: No son ciertas.

Queremos aclarar que la práctica habitual de enviar noticias a los medios de comunicación puede parecer útil, pero no lo es tanto si las noticias acaban siendo inciertas y además exponen a tus clientes a ser identificados.

1.- Respecto a Público:

La noticia expresaba: “El boletín accede por primera vez a ocultar determinados datos al buscador. Una familia consigue que Google y el BOE "la olviden””Hartos, exigieron a Google y al BOE que borraran sus nombres, pero no les hicieron caso. El BOE, que hizo caso omiso de la resolución, acabó por cumplirla”.

La noticia daba a entender que la información del BOE se había borrado y que era la primera vez que ocurría algo semejante. Cuando vímos la noticia nos pusimos en contacto con el responsable de su publicación y la información fue modificada acto seguido. Al periodista se le había inducido a error, dado que se le había presentado, por un tercero, la noticia como una eliminación de datos en vez de una desindexación (de las que se practican desde hace años). Las razones que expusimos al periodista las adjuntamos como Anexo I.

2.- Respecto a la publicación de El País:

La noticia expresa: “El BOE está obligado a usar el robot.txt para que los buscadores no puedan indexar determinados textos legales que afectan a datos personales. Así lo ha establecido la Agencia Española de Protección de Datos (AEPD) al resolver un recurso […] “sostiene que la resolución final de la AEPD es importante porque termina con una práctica del BOE que desde el 2010 decidió no usar robots txt: "El BOE se negaba a usarlo y no ofrecía una alternativa.”

En contra de lo que se dice, la AEPD se ha pronunciado en bastantes ocasiones obligando al desindexado de datos desde 2010, e incluso durante este año sí se han producido desindexaciones de datos por el BOE Adjuntamos prueba de ello como Anexo II.

Desde www.salirdeinternet.com, nos ponemos a vuestra disposición para cualquier duda, aclaración o comentario que pueda surgiros tras la lectura de estas noticias o de esta nota de prensa.

ANEXO I Procedimientos en los que sí se han eliminado datos, y ocultado a los buscadores:

AP/00061/2007 “(….) En un plazo de 6 horas desde la publicación en el DOG se procedió a retirar los ciatos de la página web de la Vicepresidencia y en un plazo de 24 horas se retiraron de la página web del DOG. 2º- El mismo día 2/02/2007 se transmitió telefónicamente las disculpas de la Secretaría General del Bienestar a las principales entidades relacionadas con la problemática de la drogodependencia y otras adicciones.”

E/00377/2008, seguido en sede de la Agencia Española de Protección de Datos, en el que se pone de manifiesto: De acuerdo con la información facilitada a la Agencia, con fecha 30 de mayo de 2008, mediante Decreto de la Presidencia de la Diputación de (..........), se resolvió: “1º. Atender el requerimiento de la Agencia Española de Protección de Datos de fecha de 8 de abril de 2.008 para eliminar los datos de carácter personal (nombre y apellidos) de Don X.X.X. del anuncio publicado en el BOP de la Provincia de (..........) de dd/mm/aaaa, relativo a un anuncio que recogía notificaciones sancionadoras por infracciones de la ordenanza de convivencia ciudadana del Ayuntamiento de (..........). 2º. Atender los recursos de Don X.X.X. exclusivamente en la cancelación de sus datos. 3º. Proceder a tratar manualmente la cadena de texto en el contenido publicado en la página WEB del BOP, sustituyendo ‘Don X.X.X.’, por otros caracteres, en las siguientes páginas y/o ficheros: PDF del Boletín de dd/mm/aaaa en la que aparece la cadena objeto de la reclamación. PDF del anuncio concreto en los que aparece la cadena. Página Web en la que se muestra el texto plano del anuncio (txt).” (….) Por otra parte, si se accede directamente a la página 23 de esta edición (en sus versiones HTML y PDF) se verifica que donde antes aparecían los datos del Sr. X.X.X aparece ahora una cadena de asteriscos, junto al resto de datos relativos a la infracción cometida.

TD220/2004: “Con fecha 03/12/2004 el BOE se dirige nuevamente al Sr. “J.D.C.” comunicándole que “hemos procedido a eliminar el tratamiento automatizado en el buscador de nuestra página web (http:/www.boe.es/g/es/bases datos/indiboe.php), que permitía acceder a la información a que se refería en su escrito. Para ello, hemos sustituido su nombre y apellidos por sus iniciales. Actualmente ya no es posible acceder a través del buscador del BOE, mediante la introducción de su nombre, a los datos a los que hacía mención en su carta.”.

TD/00980/2008: Resolución de la Agencia Española de Protección de Datos que acepta el Derecho de Oposición frente a un Boletín Oficial, por motivos formales.

La Agencia de Protección de Datos de la Comunidad de Madrid tramitó en 2006 un procedimiento de tutela de derechos, dictando el 13 de febrero de 2007 la correspondiente resolución, en la que se afirma que los datos publicados en un Diario Oficial a través de formato electrónico pueden cancelarse cuando ha desaparecido la causa que motivó su publicación. En el supuesto señalado, un ciudadano manifestaba que sus datos personales relativos a nombre y apellidos, número de documento nacional de identidad y dirección, aparecían en los buscadores de Internet, así como en un BOLETÍN OFICIAL DE LA COMUNIDAD DEMADRID, con una reseña alusiva a la prestación económica de renta mínima de inserción social. En consecuencia solicitaba la retirada de Internet del BOLETÍN OFICIAL DE LA COMUNIDAD DE MADRID en el cual aparecía dicha reseña. La denegación del derecho de cancelación de los datos del afectado fue sometida a la tutela de la Agencia, quien resolvió estimando dicha reclamación de tutela, e instando al borrado de los datos personales referidos en el BOLETÍN OFICIAL DE LA COMUNIDAD DE MADRID. La argumentación esgrimida por la Agencia en su resolución estimatoria, se basó, de una parte, en la finalización del propio procedimiento administrativo, mediante una resolución firme, lo que conllevaría la desaparición del motivo que provocó la publicación en el Boletín Oficial correspondiente, con lo cual, finalizado el procedimiento, desaparecía la necesidad de dar publicidad al acto que requirió la publicación para dar continuidad al propio proceso administrativo, y, de otra parte, a que la publicación en formato electrónico no pierde actualidad, y la posibilidad de visualizar los contenidos de Boletines Oficiales de años atrás, a través de Internet, es algo habitual y que da actualidad y permanencia a datos que ya no son actuales, y que no debieran tener permanencia, como es el hecho de una notificación de un procedimiento administrativo finalizado.

ANEXO II Ejemplo de notificación del BOE (en 2011), que acepta la desindexación de datos exigida por esta parte

Desindexación datos del BOE

Procedimientos en los que la AEPD ha solicitado la desindexación de los buscadores (posteriores a 1 de enero de 2010):

Resolución de fecha 30/07/2010.- AP/00051/2009

Resolución de fecha 30/11/2010.- TD/00754/2010

Resolución de fecha 24/03/2010.- AP/00068/2009

Resolución de fecha 24/05/2010.- AP/00098/2009

Procedimientos en los que se ha reclamado al Boletín Oficial el desindexado anteriores a 2010

TD/00509/2008.

TD/00420/2008

TD/00155/2008

TD/00444/2008

Insultos en Facebook

Fri, 02 Dec 2011 18:03:27 +0200

La justicia está actuando con firmeza frente a las suplantaciones de identidad en Facebook y los insultos, pero en ocasiones el perjuicio es de difícil arreglo, dada la dimensión de Internet. Señalamos casos notorios, y supuestos analizados por la Agencia Española de Protección de Datos.

CASOS NOTORIOS

El Ayuntamiento de Barcelona abrió un expediente a un guardia por insultar a los acampados en Facebook. "Lo mío ha sido como estar en una pastelería y no poder comer ni un trocico de pastel... tanto hijo de puta y ni una colleja he podido dar...", rezaba uno de los mensajes en su muro de Facebook.

Un joven fue condenado a 6 meses de prisión y una multa de 750 euros por insultar a un policía en Facebook, .

Un guardia del Palacio de Buckingham fue apartado de su servicio de seguridad debido a publicaciones ofensivas en su página de Facebook. Los medios británicos reportaron que el guardia llamó a Middleton "estúpida vaca creída" y utilizó una obscenidad para describirla en su Facebook, insultos que el Ministerio de defensa declinó confirmar.

La Audiencia Nacional agiliza las inclusiones en los ficheros de morosos

Tue, 15 Nov 2011 12:25:10 +0200

Hay empresas que, para intentar que les paguen deudas, se dirigen a sus clientes y les advierten que si no pagan en un plazo determinado se incluirían sus datos en un fichero de morosos.

Bien ¿qué ocurre si la empresa señala un plazo y, sin esperar a que finalice, te incluye en un fichero de morosos? ¿¿¿La Ley ha previsto algo de esto????

La Audiencia Nacional, acaba de dar la razón a la empresa FINANCIERA EL CORTE INGLES EFC SA (en adelante ECI), que afirma que no hay ninguna norma de protección de datos que obligue a dar un plazo en el requerimiento previo. No darlo o no respetarlo no puede sancionarse.

Analizamos los hechos desde su inicio:

Una persona recibió una notificación de la empresa ECI. En la notificación, la empresa le pedía al ciudadano que pagase una deuda de 184,90 €, en SIETE DÍAS, y le advertía que, si no efectuaba el pago, incluiría sus datos en un fichero de morosos.

*Estas notificaciones (tan comunes) son obligatorias La normativa de protección de datos, indica que será posible la inclusión de datos en los ficheros de morosos siempre que exista un requerimiento previo de pago.

Pues bien, al poco tiempo la persona recibió una notificación en la que se le indicaba que había sido incluido en un fichero de morosos (ASNEF)

La persona denunció a la empresa ECI ante la Agencia Española de Protección de Datos, pues afirmaba que sus datos se habían incluido en fichero de morosos, antes de cumplirse el plazo de SIETE DÍAS que tenía para pagar la deuda, según decía el requerimiento de la empresa ECI.

La Agencia Española de Protección de Datos, impuso una multa a ECI de 60.101,21 €, al considerar que la inclusión en el fichero de moroso sin esperar al cumplimiento del plazo de pago del requerimiento previo, era equivalente a no haberle enviado el requerimiento previo.

De poco le valió a la empresa ECI manifestar ante la AEPD que había realizado un requerimiento y que no respetar el plazo no podría ser sancionable pues “ninguna norma establece que ha de concederse un plazo mínimo para saldar la deuda”. Y es cierto, ni la LOPD, ni la Instrucción 1/1995, ni ahora el Reglamento de desarrollo de la LOPD indican que debe incluirse un plazo en el requerimiento previo.

La AEPD - entendemos que con algún exceso- argumentó que:

Financiera El Corte Inglés EFC SA informó para su inclusión en los ficheros de solvencia patrimonial, los datos personales de la persona denunciante, asociado a una deuda, sin esperar a que trascurriera el plazo fijado para saldar la deuda en el requerimiento previo de pago preceptivo notificado al afectado. Situación simular al de quien no recibe dicho requerimiento. La falta de diligencia observada, configura el elemento de culpabilidad de la infracción administrativa imputable. No es imprescindible que una norma establezca cual debe ser el plazo para pagar una deuda requerida, la ley exigible es ese mismo requerimiento que establece ese plazo de siete dias para pagar. Si no es para cumplirlo, para que se pone ese plazo. La función del requerimiento previo a la anotación en el fichero de morosos no es otra que el deudor tenga conocimiento exacto de la deuda que se le reclama y , antes de la salida de los datos personales al exterior de la relación entre ambos, tenga la oportunidad de acreditar que la deuda no es tal o es inexacta, o de saldarla en un plazo concreto, transcurrido el cual, sin que se acredite aquello o la deuda se salde, serán expuestos en el fichero de solvencia. Si no se fija ese plazo el requerimiento previo que las normas arriba citadas establecen carece de sentido, y si se fija el plazo y no se cumple laz imputada incurre en un comportamiento arbitrario que deja vacio de objetivo el requerimiento en cuanto a la protección de datos personales se refiere.

Así, la AEPD desestimó los argumentos de ECI, y entendió que ECI había cometido una infracción grave “Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo"

La empresa ECI recurrió la resolución de la AEPD ante la Audiencia Nacional, que da la razón a ECI, posibilitando así que las empresas agilicen las inclusiones en ficheros de morosos.

Fuente:

Procedimiento PS/00138/2010 RESOLUCIÓN: R/01953/2010 (AEPD)

Otro artículo recomendado:

¿Cuánto te cobraría Bankinter por darte copia de alguna de tus conversaciones con ellos? 15 €

Crítica jurídica: La Web dirigida a denunciar "enchufados" NO es legal

Sun, 30 Oct 2011 01:57:15 +0200

Me llaman la atención las siguientes noticia “La Coalición Compromís crea una Web para denunciar casos de enchufismo" y "La web para delatar a enchufados recibe 130 denuncias el primer día y pretende poner nombre y apellido a 15.000 enchufados".

Personalmente comparto el objetivo social y político de la Web creada por Compromís (con el nombre “Desenchúfalos”), pero no entiendo válidos los medios que pretende y, hoy por hoy, los considero susceptibres de ser sancionados (como analizaré).

Y es que al igual que condenamos en su día el comportamiento del PP (realizando un artículo muy crítico) o que la Web del PSOE y la de Rubalcaba no cumplían (ni cumplen) aspectos formales de la LOPD, consideramos que la iniciativa de la Web de Compromís no puede aplaudirse jurídicamente.

Solicitar a los ciudadanos que aporten datos de “enchufados” (que bien pueden no serlo), de sus familiares y de los cargos que los nombraron, es grave, máxime cuando no sólo se tiene por objetivo “exigir responsabilidades”, sino, además, publicar los datos en una Web, a modo de lista negra, pudiendo carecer de relevancia pública datos que se recaben, no ser fiables o referirse a personas anónimas.

¿Qué garantías jurídicas han tomado para hacer la Web "Desenchúfalos"?

La Web “Desenchúfalos” no expresa política de privacidad alguna, (y la de Compromís es exigua para este caso), no declara fichero alguno y no exige documentar las informaciones que se le envíen (lo que le podría generar un conflicto grave).

Aplicación de la LOPD

Si bien el RLOPD excluye del ámbito de aplicación de la LOPD a empresarios, y a los ficheros que incorporen datos de contacto, funciones y puestos de las personas que presenten sus servicios para personas jurídicas, y si bien el nombramiento del personal de la administración suele publicarse oficialmente, y podría alegarse la notoriedad de algunos casos de enchufismo y la publicación de los mismos en medios oficiales o prensa, hay que tener en cuenta que:

- Parece poco probable que se excluya la LOPD, cuando se solicita información sobre circunstancias personales de mérito o capacidad, forma de nombramiento y circunstancias familiares.

- La publicación sistemática de nombres y apellidos, asociados a la publicación de infracciones penales o administrativas en forma de listado, está sancionada expresamente en la LOPD.

- Si bien es posible denunciar casos de "enchufe" de forma anónima, también es posible incluyendo tu correo y teléfono, aún cuando la Web NO incluye política de privacidad necesaria para prestar un consentimiento informado.

- Es posible que los "enchufes" hayan sido publicados inicialmente en algún medio de comunicación (la Web lo prevé pero no lo exige). Aún así, las formalidades de la LOPD deben cumplirse, y la Web no lo hace.

- Es posible que los "enchufes" NO hayan sido publicados inicialmente en algún medio de comunicación Parece difícil en ese caso que la Web pueda acreditar la legalidad del tratamiento de los datos, cuando no cuenta con el consentimiento informado del cedente, ni del afectado.

- Cualquier derecho LOPD podría ser ejercitado con más efectividad en esta Web que ante un medio de comunicación (pero la Web lo permite?)

A continuación detallamos las infracciones y sanciones en las que podría incurrir la Web Desenchúfalos:

1.- Una infracción muy grave de la LOPD, por tratar y ceder datos relativos a la comisión de infracciones administrativas fuera de los límites establecidos en el artículo 7.5 de la LOPD (que si se sancionase económicamente podría alcanzar la multa de 300.001 a 600.000 euros).

2.- Infracciones graves de la LOPD, por no recabar el consentimiento de las personas afectadas ni informarlas y la cesión de datos (si no se considerase muy grave). Si se sancionase económicamente una infracción de las señaladas podría alcanzar la multa de 40.001 a 300.000 euros.

3.- Infracciones leves de la LOPD, por no solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos, e incumplir el deber de información al afectado acerca del tratamiento de sus datos de carácter personal. Si se sancionase económicamente una infracción de las señaladas podría alcanzar la multa de 900 a 40.000 euros.

En la práctica .. PP y PSOE conocen ya de algunas sanciones..

Resoluciones curiosas LOPD.- I

Wed, 26 Oct 2011 02:02:38 +0200

LA DGT TARDA 16 MESES EN RECTIFICAR LOS DATOS DE UNA MATRICULA, A PESAR DE EXISTIR MOTIVOS DE SEGURIDAD.
Procedimiento Nº: TD/00493/2011

Una persona obtuvo una Resolución del Secretario de Estado de Seguridad, por la que la matrícula de su vehículo, debido a unos incidentes, fue sustituida por otra diferente. A pesar de la sustitución de la matrícula la persona siguió recibiendo notificaciones de infracciones a cargo de la matrícula anterior. La AEPD estimó la reclamación del solicitante.

PETICIÓN DE ACCESO A DATOS PERSONALES (Y A LOS DE UN VEHÍCULO)
Procedimiento: TD/00387/2011

Una persona se dirigió a una entidad, solicitándole “el acceso a sus datos personales y de un vehículo, del fichero denominado “Videovigilancia”. Cuando la AEPD examinó el procedimiento, declaró que “en cuanto al acceso solicitado relacionado con las imágenes del vehículo, no puede considerarse como derecho de acceso a los datos personales del reclamante reconocidos por la LOPD, por ello, dicha petición resulta ajena a esta Agencia de Protección de Datos”.

*Curiosidades: Ver informe 425/2006 de la AEPD

A GOOGLE ¿MEJOR POR CARTA?
Procedimiento Nº: TD/00402/2011

Un ciudadano solicitó a Google Spain, S.L., la cancelación de sus datos por medio de correo electrónico. Posteriormente el ciudadano se dirigió a la AEPD, con el fin de que estimase sus derechos frente a Google. La AEPD (el 15.03.2011) respondió al ciudadano, solicitándole que aportase el requerimiento efectuado previamente a Google. El ciudadano aportó un documento en el que figuraba que el estado de su solicitud de eliminación de sus datos ejercitado mediante medios electrónicos ante la entidad es “Rechazado”. Asimismo, el ciudadano manifestó que con fecha 12 de abril había solicitado dicha cancelación a Google mediante correo certificado. La APED, entendió que el particular no había subsanado la reclamación e inadmite la Tutela, expresando, de forma significativa “En cuanto al hecho manifestado por la reclamante en relación a que, con fecha 12 de abril de 2010, ha ejercitado el derecho de cancelación ante la entidad mediante correo certificado, hay que señalar que un procedimiento de Tutela de Derechos se instruye como consecuencia de la denegación de un determinado derecho, no siendo posible dicha instrucción si el derecho se ejercita con posterioridad al inicio del citado procedimiento, al desconocer cuál será la actuación de la entidad reclamada.

*Curiosidad: la AEPD dictó resolución con fecha 22-08-2011, tiempo suficiente para que el ciudadano hubiese demostrado cual era el comportamiento de Google, desde su requerimiento de 12.04.2011, o para que la AEPD hubiese comprobado la constancia de los datos en Google.

ACCESO A DATOS DEL HIJO POR PADRE DIVORCIADO.
Procedimiento Nº: TD/00393/2011

Una persona ejerció el derecho de acceso a la historia clínica de su hijo menor de edad frente a un hospital, sin que su solicitud recibiese contestación. El solicitante acudió a la AEPD para que estimase sus pretensiones y aportó la copia de la sentencia de divorcio en la que queda constatado que la patria potestad es compartida entre ambos progenitores y la guarda y custodia del menor es atribuida a la madre. La AEPD sí estimó los derechos del padre y declaró que “ostentando la patria potestad compartida, se encuentra habilitado para solicitar y obtener los datos, debiendo tener especial cuidado de no facilitarle datos de la madre o de terceras personas”.

El BOE Y EL INTERÉS DE TERCEROS
Procedimiento Nº: TD/00470/2011

Un ciudadano solicitó al BOE, la eliminación de sus datos personales. Los mismos estaban en la Web del BOE en dos anuncios: uno sobre extravío de título universitario y otro referente a un listado de admitidos y excluidos a una oposición de ingreso en un cuerpo de seguridad del Estado. El BOE denegó la solicitud, amparándose, en la obligatoriedad de la publicación, la integridad y el principio de concurrencia. Posteriormente la AEPD desestimó la reclamación del ciudadano al considerar que “Desde este análisis de los requisitos legales, no se aprecia motivo legítimo y fundado que justifique el derecho de oposición en este caso, ya que la petición de la reclamante se basa, no en el contenido de las informaciones publicadas, sino en el hecho de que su nombre completo no es muy común.”

*Curiosidades: 1.- La AEPD no examina el derecho de cancelación como en otros casos sí ha hecho cuando no aprecia la oposición. 2.- Sorprende que se mencione el principio de concurrencia o el interés de terceros, cuando son conocidas las desindexaciones (múltiples) del BOE.

DERECHOS ANTE ENCARGADO DEL TRATAMIENTO
Procedimiento Nº: TD/00342/2011

Ejercitado el derecho de acceso ante un Encargado de Tratamiento, y no satisfecho, la AEPD declaró “En ningún momento la entidad reclamada, como encargada del tratamiento acredita en el presente caso, el traslado de la reclamación al responsable del fichero (…). Por tanto, no adoptó las mediadas oportunas para que se atendiera el derecho de acceso solicitado.

¿Cuánto te cobraría Bankinter por darte copia de alguna de tus conversaciones con ellos? 15 €

Wed, 26 Oct 2011 01:58:27 +0200

Una persona solicitó a Bankinter copia de las grabaciones telefónicas mantenidas entre él y Bankinter. La entidad le comunicó que trasladaba su petición al departamento correspondiente para facilitarle la documentación solicitada y, posteriormente, le informó de las llamadas de que las que disponía, los motivos de dichas llamadas, y le solicitó al particular que “indicara cuáles eran de su interés”.

El particular remitió un nuevo correo electrónico a Bankinter indicando que quería acceder a todas las grabaciones, recibiendo como respuesta, un escrito de Bankinter en el que indicaba que trasladaba su petición al departamento correspondiente para facilitarle la documentación solicitada.

Posteriormente el particular, siguiendo indicaciones de Bankinter, acudió a la oficina de su localidad, donde pudo escuchar las grabaciones de las llamadas, pero que no le facilitaron copia de las mismas.

Bankinter, que había “permitido” que el particular escuchase sus llamadas, le remitió un burofax en el que le informaban que “el acceso a aquellas conversaciones que no tengan relación con la reclamación por el intercambio asociado a su préstamo hipotecario, tienen un coste unitario de 15,03 euros, según lo estipulado en su contrato de Banca a Distancia”.

Todo parecía indicar entonces que Bankinter utilizaba el burofax para blindarse legalmente (y económicamente...), y así, Bankinter le solicitó al particular que les confirmase a qué llamadas quería acceder, asumiendo dicho coste.

La contestación del particular no se hizo esperar y mandó un correo electrónico a Bankinter en el que solicitaba el acceso a TODAS las llamadas (copia de las mismas o, en su defecto, transcripción de su contenido), sin asumir ningún tipo de coste.

El particular acudió a la Agencia Española de Protección de Datos para resolver el asunto, que desestimó el derecho del ciudadano, sin que compartamos la posición de la Agencia.

La Agencia entendió que el particular ya había escuchado las llamadas, y que si deseaba obtener una copia o transcripción de las mismas, debería asumir su coste (precio que había reflejado el contrato que unía a Bankinter con el particular), desestimando la reclamación en virtud de lo dispuesto en el art. 28.2 y 3 RLOPD.

Desde nuestro punto de vista:

1.- Si bien el artículo 28 RLOPD, permite que el sistema de consulta puede restringirse por Bankinter, el art. 28.2 obligaría a Bankinter a ofrecer un sistema de consulta gratuito y asegure la comunicación escrita si éste así lo exige”.

2.- Si bien el artículo 28.3 RLOPD, permite que el particular afronte los gastos que genere el acceso, únicamente deberá afrontar los gastos si el procedimiento de acceso implica, a diferencia del sistema que ofrezca Bankinter, un coste desproporcionado (coste que dudamos desproporcionado en el caso de solicitar únicamente copia de las llamadas y no la transcripción).

3.- Como curiosidad, la AEPD, incluyó en la Resolución el siguiente texto: “en principio, el reclamante tendría derecho a que se le facilitasen esas grabaciones, al amparo de la normativa de protección de datos. Sin embargo, dichas grabaciones pueden contener, además de sus datos, información relativa a terceras personas que no le podría ser comunicada, ya que, en caso contrario, podría constituir una cesión de datos sin consentimiento.”

Entendemos que la cesión expuesta en el párrafo anterior (si es que es de datos personales) se acepta gustosamente por Bankinter a cambio de 15,03 euros/llamada.

Fuente: procedimiento Nº: TD/00311/2011

Condenado a que tengan tu teléfono

Wed, 26 Oct 2011 01:54:04 +0200

Una persona se dirigió a la CAM, solicitándole “que las comunicaciones entre las partes solo se realicen a través del correo postal y no vía telefónica”. Según la CAM, respondió al solicitante indicándole que mantenía saldos deudores y que ello justificaba los requerimientos para efectuar el pago y las llamadas telefónicas.

Cuando la persona puso estos hechos en conocimiento de la Agencia Española de Protección de Datos (AEPD), manifestó que la CAM le estaba realizando numerosas llamadas, que le había incluido temporalmente en el ASNEF, y que el cobro de comisiones indebidas por la CAM había motivado que la persona hubiese presentado una reclamación ante el Banco de España.

La CAM alegó que existían saldos deudores y que la cancelación en el ASNEF la realizó de forma cautelar por la reclamación presentada por el particular ante el Banco de España. Además señaló la CAM que el número de teléfono se había aportado por el solicitante para el mantenimiento de la relación contractual, y que no procede que se suprima “al no ser inadecuado o excesivo”.

La AEPD examinó el procedimiento y estableció en su Resolución que “no procede dicha cancelación al ser el número de teléfono uno de los datos necesarios para contactar con la titular”, y que “dichos datos son necesarios al existir una relación comercial”.

La AEPD fundamentó su Resolución en el artículo 33.1 RLOPD que establece: “La cancelación no procederá cuando los datos de carácter personal deban ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado que justificaron el tratamiento de los datos”

Fuente: Expediente Nº: TD/00266/2011

¿Es legal cederle la cuenta de Twitter al PP?

Thu, 06 Oct 2011 03:23:35 +0200

Leo asombrado que la Web “Movimiento para el Cambio” (del Partido Popular), está divulgando la iniciativa “Cédenos tu perfil en Twitter o Facebook durante la convención”

El efecto negativo no se ha hecho esperar y en Twitter se ha bautizado la campaña con el hastag #prostituit. Seleccionando una respuesta original, recojo un tuit de @JuanGomezJurado que dice “Pedidnos trabajar por menos. Pedidnos el voto. Pedid pleitesía. Pero la cuenta de Twitter os la va a ceder vuestra santa madre”

Sin ser el objetivo de este post hacer una crítica política, analizaremos simplemente si la campaña es legal o no.

Ley de Protección de Datos

La Web no aclara con exactitud si la cesión de la cuenta tiene la finalidad de “publicar en tu perfil” o para contactar con tus amistades y enviarles mensajes de contenido político, ocultando al verdadero remitente. La confusión la genera la propia Web, pues en un lugar de la misma indica: “Permítenos enviar twitts a tu nombre para difundir nuestros mensajes”.

Dada la discordancia de la información, creemos que el usuario que ceda su cuenta de Twitter (pej.) no conocería con exactitud las condiciones de cesión, ni el tratamiento que el partido político hará con sus datos (art. 5 LOPD), incluso cuando estos muestren su ideología (art.7 LOPD).

La Web que realiza la campaña "Movimientoparaelcambio" incluye un hipervínculo "política de privacidad", que te redirecciona al aviso legal otra Web "Pp.es". Entendemos que la remisión sería válida si el aviso legal se ajustase a la campaña. Bajo mi punto de vista no es así (y es de lamentar ver como existen correos electrónicos en la Web sin cláusula de privacidad que los ampare).

Si bien la Web declara que no tendrá acceso a nuestras contraseñas, me consolaría más conocer cual es el trato que van a dar a nuestros contactos o si van a tener acceso a los mismos. Y es que otra parte de la Web señala que la herramienta será capaz de “ver a quién sigues, y seguir a nuevas personas”. ¿Incluirán a 100 tuiteros del Pp como amigos nuestros? ¿Pensábamos que iban a ir tan lejos?

¿Está perfectamente informada y consentida la agregación de terceros, que desde entonces tendrán nuesttros datos? (art. 11 LOPD). No creo

Si aceptamos ser los emisarios del partido ¿las amistades que tenemos en Twitter o Facebook deben verse sometidas a la publicidad del partido? ¿Nos siguieron sabiendo que un día incluiríamos publicidad en vez de los comentarios que sí esperaban?

Veremos en qué se traduce finalmente la campaña, pero, suponiendo que realizan todas las actuaciones descritas, entiendo que nuestros seguidores en Twitter podrían alegar que hemos cambiado la finalidad legítima de nuestra cuenta y solicitar el cese de las actuaciones.

Ley de Servicios de la Sociedad de la Información

Si presumimos que los mensajes serán simplemente informativos, no se vulneraría ni aplicaría la LSSI. No obstante, recordamos el procedimiento PS/00147/2008, en el que se sancionó a un partido político por enviar un correo electrónico en el que, además de informar, se promocionaban actividades comerciales del partido.

Cabe señalar que la idea de “utilizar” (lamento la expresión) intermediaros se utiliza bastante por las empresas para enviar sus mensajes comerciales a través de terceros, intentando evitar el riesgo de sanción.

La LSSI dice: “no tendrán la consideración de comunicación comercial los datos que permitan acceder directamente a la actividad de una persona, empresa u organización, tales como el nombre de dominio o la dirección de correo electrónico, ni las comunicaciones relativas a los bienes, los servicios o la imagen que se ofrezca cuando sean elaboradas por un tercero y sin contraprestación económica".

Sanciones Spam-Tosas

Wed, 28 Sep 2011 16:31:03 +0200

A pesar de que existen multas millonarias, a veces resulta imposible disuadir a un empresario para que no envíe SPAM.

Telecinco fue sancionada por la Agencia Española de Protección de Datos (AEPD)con 50.000 € después de probarse que había participado en el envío de 3 MILLONES de SMS publicitarios incorrectos (0,016 € de sanción por cada mensaje).

Telefónica fue sancionada por la AEPD con 50.000 €, aunque había enviado algunos SMS más que Telecinco. Concretamente había enviado más de 46 MILLONES de SMS (0,0010 € de sanción por cada mensaje).

También es difícil de convencer al empresario de que no envíe millones de comunicaciones:

En el Procedimiento Sancionador PS/00205/2010, la AEPD impuso 600 € de sanción por enviar UN email de SPAM.

En el Procedimiento Sancionador PS 00191/2010, la AEPD sancionó al infractor con 30.001 € por enviar de 4 correos electrónicos sin el consentimiento del destinatario.

Aún más complicado resulta explicar al empresario estos criterios de la sanción

En el Procedimiento sancionador PS/00082/2010 se sancionó con 600 € el envío de UN email de SPAM. La cuantía de la multa era exacta a la del procedimiento PS/00205/2010 (en el que también se envió un sólo email de SPAM), pero en un caso se le daba la posibilidad al destinatario de oponerse y en el otro no.

Si usted ha llegado a la conclusión de que por enviar un solo email de SPAM la cuantía de la sanción es de 600 €, es que está en un error.

En el Procedimiento sancionador PS.00607/2009 se sancionó con 1.200 € el envío de UN email de SPAM. La cuantía de la multa era exacta a la del procedimiento PS/00680/2009 (en el que también se envió un sólo email de SPAM), pero en un caso se le daba la posibilidad al destinatario de oponerse y en el otro no.

Notas

* Gestevisión Telecinco fue sancionada en el Procedimiento Sancionador PS/00222/2010. Dicho procedimiento fue resuelto el 29.09.2010, y publicado en la Web de la AEPD con fecha 27.04.2011 con la anotación de estar Recurrido. Suponemos que ante la Jurisdicción Contencioso Administrativa, ya que en la Web de la AEPD no hay rastro del recurso.

** La AEPD sancionó a Telefónica en el Procedimiento Sancionador PS/00168/2010

2.000 € de multa por ofrecer sexo en internet suplantando la identidad de la ex de su pareja

Sat, 24 Sep 2011 12:03:54 +0200

Con fecha 12 de abril de 2010, una persona denunció que alguien había incluido un perfil con su fotografía, su nombre de pila, descripciones relativas a preferencias sexuales y una oferta de contacto sexual en “Madrid y alrededores”, con la frase “Quiero quedar y follar _____ con un chico de 20-40”, en una red social. A raíz de esta publicación, recibió múltiples llamadas de solicitud de contacto sexual, por lo que denunció los hechos.

Realizadas las actuaciones de investigación, la Agencia Española de Protección de Datos averiguo la IP desde la cual se había creado el perfil falso, que la denunciante identificó como el domicilio de la actual pareja de su ex pareja.

Pese a que la multa podría haber alcanzado cantidades de entre 60.101,21 € y 300.506,05 €, la denunciada argumentó que tales cantidades podrían suponer “La muerte civil administrativa, por ser desproporcionadas”, y finalmente la Agencia Española de Protección de Datos sancionó con 2.000€ la suplantación de identidad (argumentando, entre otros motivos, no reincidencia).

La Agencia Española de Protección de Datos entendió sancionable la conducta pues, aunque el perfil únicamente había estado abierto desde el 22 de marzo hasta el 29 de marzo de 2010, “la creación de un perfil mediante los datos personales de la denunciante y la suplantación de la misma en la red social constituye un tratamiento de datos personales, para el que la denunciada no tenía consentimiento”.

La Agencia Española de Protección de Datos resolvió que desde la línea telefónica instalada en el domicilio de la imputada, que es titular de dicha línea, se realizaron diversas conexiones a Internet en el periodo comprendido entre el 22 y el 29 de marzo de 2010, creándose y actualizándose un perfil con los datos de la denunciante, con la apariencia de que la denunciante pretendía establecer contactos sexuales, sin que la imputada acreditase tener consentimiento para ello.

Fuente de los datos publicados: Resolución R/01716/2011 de fecha 27-07-2011, del procedimiento PS/0137/2011, de la Agencia Española de Protección de Datos.

Lecturas recomendadas de nuestro blog:

Puedo grabar a un policía? SÍ.

¿Protección de Datos cambia de criterio con Google?

¿Por qué sigue mintiendo Google?

Grabaciones entre #policías y ciudadanos

Mon, 12 Sep 2011 10:01:39 +0200

Recientemente, la Web de Intereconomía anunció “Los Mossos nos grabarán con cámaras por seguridad”.

A pesar de las declaraciones, desde Salirdeinternet.com afirmamos que para que "la policía" tome imágenes de los ciudadanos y las conserve, existen múltiples inconvenientes (y pueden generar un bloqueo si los ciudadanos toman conciencia).

Es el ciudadano es el que sí tiene muchas posibilidades para grabar policías y la Ley se lo permite.

Policías

La policía deberá tramitar la inscripción de un fichero, ante la Agencia de Protección de Datos, que exigirá la publicación en el Boletín Oficial. El fichero, como veremos, es esencial para que el ciudadano esté perfectamente informado y ejercite sus derechos.

La policía debe* permitir a cualquier ciudadano (interesado) el acceso a los videos de manera gratuita. ¿Qué puede ocurrir en los casos en los que se solicite el acceso por una persona? poco: se le contestará denegándolo* o admitiéndolo. Pero ¿Qué puede ocurrir con 1.000 personas? es inimaginable pensar que la policía conteste todas las solicitudes, pero por Ley debe hacerlo. caso real en el que un ciudadano se dirigió 23 veces a los agentes).

Una vez tomados los videos por la policía, ésta únicamente podrá conservarlos cuando resulte necesario “para la prevención de un peligro real para la seguridad pública o para la represión de infracciones penales” (art. 22 LOPD), conservándolos con especiales medidas de seguridad.

Cuando las grabaciones puedan contener datos sensibles, como los relativos a ideología, o creencias políticas, sólo podrán conservarse cuando exista una investigación concreta. Entendemos que este motivo resulta esencial en nuestro tiempo (manifestaciones #nolesvotes …), que es “muy delicado” como se ha visto en otros supuestos, y que es fundamental a efectos de lo dispuesto en el siguiente párrafo.

En todos los supuestos, la policía debería* atender la solicitud de cancelación de alguien grabado que no participó en hechos controvertidos o no esté incluido en una investigación concreta o, en todo caso, cuando concluya la investigación de la policía, exista una resolución judicial firme o prescriba la responsabilidad de las personas grabadas, o las imágenes no sean necesarias para las averiguaciones que motivaron su recogida.

*Si bien la policía podrá limitar la cancelación o el acceso a los videos cuando existan causas justificadas de defensa del Estado o la seguridad pública, la protección de terceros o las necesidades de las investigaciones, lo cierto es que la Policía deberá contestar al ciudadano. Es muy fácil imaginar que se niega el derecho de cancelación a 1.000 personas, pero .. se les contestaría a todos? por Ley debe hacerse.

Particulares

La realización de fotografías por los ciudadanos a los agentes policiales no constituye infracción de la normativa de protección de datos cuando los agentes estén realizando un ejercicio público de sus funciones

De existir una vulneración, estaría enmarcada en el ámbito del derecho al honor, intimidad y propia imagen, que son cuestiones que no competen a la protección de datos, y que serán objeto de un próximo artículo.

Como ejemplo, en el expediente E/00393/2004, la Agencia Española de Protección de Datos, valoró un caso en el que en una Web se habían incluido dos fotografías de un inspector de policía, sus datos personales y los de su esposa, así como una frase que cuestionaba su proceder profesional, del siguiente modo “EJEMPLO DE EDUCACIÓN Y CIVISMO DE ALGUIEN QUE POR EL PUESTO QUE OCUPA DEBERÍA CONOCER LA EDUCACIÓN…”

La Agencia Española de Protección de Datos entendió que la reproducción en una Web de las fotografías y de los datos del inspector de policía no constituía infracción de la LOPD, al considerar que: “(…) la difusión del nombre y apellidos, cargo, estado civil y fotografía del denunciante obtenida en un lugar público (datos cuya objetividad no ha sido rebatida por el denunciante), estaría amparada en el artículo 20 de la Constitución, siendo aplicable la teoría de la posición preferente del derecho a la libertad de expresión. Asimismo, a la vista del contenido del citado artículo 8 de la Ley Orgánica 1/1982, dicha información no puede considerarse una intromisión legítima en el derecho a la propia imagen dado que la fotografía publicada se refiere a un funcionario público y se ha obtenido en un acto público. No obstante, la AEPD no es órgano competente para resolver la prevalencia de un derecho constitucional, o determinar si se ha vulnerado la mencionada Ley Orgánica 1/1982 de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen, al ser cuestiones que, en su caso, deberían plantearse ante la instancia jurisdiccional competente en la materia.”

Las conclusiones son fundamentales.

Mientras que un ciudadano no podrá ser multado en materia de LOPD, sí podría declararse la infracción por las actuaciones que realice la policía en contra de lo dispuesto en la LOPD (art.46.1), e incluso proponerse acciones disciplinarias (art.46.2), (aún no siendo un caso semejante, recomendamos la lectura de la siguiente Resolución) .

Google.- Novedoso criterio de la AEPD

Wed, 07 Sep 2011 14:03:03 +0200

Nos hemos encontrado en días recientes con una Resolución (TD/00249/2011), en la que la Agencia de Protección de Datos se niega, ahora, a eliminar datos de Google por considerar su relevancia pública.

Al dirigirnos a la AEPD, solicitándoles una explicación a lo que creíamos ya un criterio superado y consolidado, nos hemos encontrado con que, para intentar justificar este nuevo* criterio, la AEPD ha publicado hace apenas unos días otra Resolución (del Procedimiento TD/01435/2009) de hace ya un año y medio. Esta resolución no podía encontrarse hasta la fecha en la Web de la Agencia, sí en cambio las que contenían un criterio opuesto, que, por otra parte, son las más numerosas. (TD/01159/2010, resuelto con fecha 23.02.2011)

Estas dos Resoluciones suponen un cambio de rumbo en la posición de la AEPD respecto a los buscadores Web, y facilitan que Google (entre otros) no elimine los datos de los ciudadanos, amparándose en una nueva excepción (la relevancia pública veraz y no obsoleta), que hasta ahora sólo aplicó la AEPD a los medios de comunicación (en sentido estricto considerados).*

Desde Salirdeinternet.com hemos descubierto, muy a nuestro pesar, una manipulación en las resoluciones de la AEPD publicadas desde hace un año y medio, con el único fin de justificar este criterio.

Antes de analizar el supuesto, queremos señalar que este artículo se redacta desde el respeto a la institución (AEPD), por responsabilidad jurídica hacia el administrado.

1.- Cambio de rumbo en la relación AEPD-Google

Consideramos un grave error las resoluciones puestas de manifiesto. Caen en vacío las resoluciones de la Agencia Española de Protección de Datos anteriores, como la (R/01871/2008, del Procedimiento Nº: TD/01164/2008).

2.- Hemos presentado un recurso frente a la Resolución, indicando:

La Resolución emitida por la AEPD, menciona que este despacho se dirigió frente a cuatro entidades Google Spain, S.L, Yahoo Iberia, S.L., Google Inc. y Yahoo Inc. Sin embargo, la AEPD únicamente ha resuelto frente a las Españolas, por lo que cabe entender estimada la tutela respecto a las entidades de EEUU.

No se pueden tener por reproducidas las alegaciones en nombre de Google en tanto que ni se acreditó la identidad procesal de su pretendida representación (apellidos, cif...), ni se presentaron en plazo.

La AEPD mantiene que esta parte no incluyó las direcciones exactas a eliminar. Este criterio es extraño, teniendo en cuenta que se incluyeron impresiones Web que si le valieron a Yahoo para eliminar los datos, sin pedir subsanación (que en puridad le corresponde -Art. 25.3 del RD 1720/2007-). Tampoco la AEPD la solicitó subsanación

La Resolución afirma que no se han aportado motivos de oposición válidos. Sin embargo cita y discute uno de los aportados, y no el resto, (el perjuicio empresarial, personal y de oportunidades laborales que difícilmente se pueden rebatir). Si los motivos no hubiesen sido válidos, Yahoo (por ejemplo) lo hubiese manifestado, pero no lo hizo, y eliminó los datos. (Ej. TD/01022/2010). Es reseñable que la AEPD no ha considerado los motivos de oposición invocados por esta parte, pero sí ha estimado otros iguales o menores, en distintas resoluciones que, por honestidad, se traen

TD/00814/2007, TD/01854/2009, TD/00966/2010, TD/01038/2010, TD/00017/2009, TD/00299/2010, TD/01055/2010, TD/01589/2008

3.- La Justificación manipulada de la AEPD

Con el objetivo de justificar que el criterio de “relevancia pública”, es un criterio asentado en derecho la AEPD ha infiltrado entre sus Resoluciones del año 2010, una resolución de fecha 17.02.2010, que recoge términos idénticos a la que se recurre.

El problema para la AEPD es que la Resolución infiltrada entre las Resoluciones del año 2010 ha dejado una marca en el PDF que muestra su fecha de creación, que no es otra que el 22.08.2011

Desconocemos el motivo por el cual la Resolución de 17.02.2010 (TD/01435/2009), no ha salido hasta ahora a la luz. Pero al análisis de la misma no la deja en un buen lugar: pues no sólo se ha publicado un año y medio después de dictarse: se aparta de la doctrina anterior, no examina el derecho de cancelación en defecto del de oposición (ej.TD/00119/2010 y TD/00145/2009), y obvia gravemente el silencio administrativo positivo (pues se dictó más de 6 meses después de su petición). En la Web de la AEPD se dice que la Resolución está recurrida, sin embargo tampoco se ve en la Web la resolución al recurso.

Conclusión:

En definitiva, y como decimos, lamentamos este cambio de criterio supuestamente novedoso, el cual, más que a un criterio fundado y consolidado amparado en los fundamentos que han servido de base a Resoluciones anteriores, parece obedecer a una voluntad caprichosa y difícilmente comprensible de la propia AEPD que creíamos ya superada a la luz de las Resoluciones referidas en el presente artículo.

Procedimos a retirar este artículo de la Web Legaltoday, con el fin de no responsabilidar a dicha Web, o a más medios. Lo incluimos en este espacio para responder con sinceridad a quien quiso conocer el contenido y manterner nuestras afirmaciones.

La coincidencia de las publicaciones (22.08.2011) de los procedimientos TD/01435/2009, y TD/00249/2011, invitó (y nos sigue invitando) a esta parte a pensar en la intencionalidad de justificar y consolidar un criterio respecto a los buscadores.

Si bien el Procedimiento TD/01000/2009, pone de manifiesto que este criterio se manejó en la AEPD con anterioridad* ello no invalida que puede afirmarse con certeza que los procedimientos TD/01435/2009, y TD/00249/2011, vienen a consolidar y justificar –de forma anómala en las publicaciones- un criterio que no es en ningún caso el general, ni el mantenido durante el tiempo (ej TD/01159/2010)

Artículo anterior: ¿Por qué sigue mintiendo Google?

¿Por qué sigue mintiendo Google?

Thu, 01 Sep 2011 12:31:35 +0200

Con fecha 01.09.2011, la edición digital del diario El País, publicó una entrevista a PETER FLEISCHER, Director global de privacidad de Google. Desgranamos la entrevista realizada, aportando nuestra crítica.

1.- A la pregunta ¿Cómo se gana Google la confianza de la gente?, Peter Fleischer respondió:

“Tenemos dos principios: ser transparentes con todos los datos que guardamos, explicando qué hacemos, cómo y por qué, y dar al cliente la posibilidad de escoger(…)”

Desde Salirdeinternet.com discutimos la respuesta:

Los principios de Google de “ser transparentes”, y “dar al cliente la posibilidad de escoger”, son brindis al sol que no se sostienen en derecho. Sin caer en tecnicismos, la política de privacidad de Google supone una contradicción permanente con del artículo 5 LOPD (que precisamente regula la información al usuario), o los artículos 16 y 6.4.

Cuando sobre Google pesan graves acusaciones de censura y manipulación, es evidente que ganarse la confianza del usuario es fundamental, como en cualquier negocio.

2.- A la pregunta -En Alemania tuvieron problemas con Google Maps, ¿cómo lo han resuelto?-Peter Fleischer respondió:

“Lo que hacemos en todo el mundo, también en España, es que cualquiera puede ponerse en contacto con nosotros y pedirnos que quitemos algo que resulte ofensivo de las imágenes de StreetView (sistema de gran realismo para ver las calles).(….)”

Sin embargo, desde Salirdeinternet.com planteamos que:

Peter Fleischer debe desconocer profundamente que, en España, las dos únicas personas que han solicitado la retirada de datos de Google Maps no recibieron atención de Google, y tuvieron que dirigirse a la AEPD para que se pronunciase (positivamente). Adjuntamos una Resolución de un procedimiento de Google Maps en la que, inicialmente, Google ni siquiera recogió la comunicación del afectado “No se hizo cargo” y posteriormente Google le negó el derecho.

3.- A la pregunta, ¿Respeta Google las recomendaciones de la Agencia Europea de Protección de Datos?, Peter Fleischer respondió

"Lo intentamos, pero hay muchos debates abiertos dentro de la misma Europa. Son 27 países con diferentes leyes y formas de manejarse.”

Sin embargo, desde Salirdeinternet.com planteamos que:

Es muy difícil averiguar qué significa “lo intentamos”. Casi un centenar de sentencias (resoluciones) de la Agencia Española de Protección de Datos) han pedido a Google retirar datos y Google las está recurriendo, generalmente, ante la Audiencia Nacional, sin eliminar los datos. ¿Qué significa entonces lo intentamos?

4.- A la pregunta -Hay personas que fueron noticia por un delito, pagaron por ello y no quieren que eso aparezca más en Internet. ¿Qué pasa?- Peter respondió

“Esto no es un problema de Google, sino de los medios y los creadores de contenido. Si quieren, puede hacer que una página no aparezca en el buscador, hay herramientas para hacerlo y es muy sencillo. Quien se sienta aludido debería ir a quien lo publicó y decirle "por favor, quita esto", después el periódico le dirá sí o no o "estos son mis archivos y esto sucedió así". Nosotros solo podemos poner en contacto a las dos partes; un buscador es, por definición, neutral, solo somos una herramienta. Si un medio pone su archivo en la Red aparece en los buscadores. Esto abre un debate que va más allá: ¿Dónde termina la privacidad y dónde comienza la historia? Si borramos todo lo que alguien no quiere que salga de sí mismo, terminaremos con la historia (…)”

Desde Salirdeinternet.com, añadimos de contrario.-

La persona que está incluida en un BOE, o en un Boletín Autonómico, en muchas ocasiones debe verse resignada a que sus datos se publiquen oficialmente puesto que obedece a una publicación amparada en la Ley.

¿Tiene el mismo derecho Google que el BOE a publicar los datos? No. Y con más importancia ¿debe el ciudadano resignarse ante Google sabiendo que el BOE difícilmente lo eliminará? No.

La declaración de Peter Feisher choca frontalmente con el derecho de oposición establecido en la LOPD (art.6.4) que obliga a retirar contenidos sin necesidad de acudir al origen.

En Francia Google fue condenada por mostrar, en las sugerencias de búsqueda (es decir, antes que en los resultados), el nombre de un particular asociado a conductas delictivas de su pasado. En España, la AEPD lo ha declarado en multitud de ocasiones.

Peter Feisher defiende la postura de Google como si el buscador fuese un medio de comunicación con las garantías de información establecidas en el artículo 20 de la Constitución Española, obviando que su difusión es desproporcionada. Hoy por hoy, con las sentencias en la mano, Google no es un medio de comunicación con las garantías del artículo 20 CE. Pero si quisiera serlo, tiene un buen trabajo por delante para cumplir las obligaciones, incluso formales, de privacidad.

Y Peter Feisher dice que un buscador es, por definición neutral.

5.- A la pregunta ¿Qué piensa de la salida de Google de China? Peter Fleischer respondió

“Creo que hemos sido consecuentes. Nos pedían que aceptáramos sus reglas de censura y nos negamos. Fuimos valientes y la solución es ofrecer las búsquedas, pero derivándolas a Hong Kong”.

Y desde Salirdeinternet.com:

...Lo celebramos con una viñeta, honesta, que hace referencia a las antiguas relaciones entre Google y China (ver)

Os recomendamos:

¿En qué miente Google? Parte I

Así le va a Salirdeinternet.com

Salirdeinternet.com en los medios

Thu, 01 Sep 2011 12:36:29 +0200

Los medios de comunicación requieren en muchas ocasiones declaraciones de nuestros abogados en temas de privacidad y anonimato en internet. Consulte algunas de las publicaciones que reogen nuestra opinión:

CanariasAhora.- 17.05.2012

La Voz de Lanzarote.- 17.05.2012

Diario de Lanzarote.- 17.05.2012

El Periódico de Lanzarote.- 17.05.2012

El País.- 06.05.2012

Movilonia.- 06.05.2012

FormulaTV.- 06.05.2012

La Información.- 30.04.2012

Reclamacionesconsumidor.com.- 27.04.2012

La Información.- 26.04.2012

La Información.- 20.04.2012

Escritura Pública (revista del Consejo General del Notariado).- 13.04.2012

La Información.- 12.04.2012

XLSemanal.- 08.04.2012

Gizmodo.- 06.04.2012

Terra.- 06.04.2012

La Información.- 04.04.2012

La Información.- 20.03.2012

Faro de Vigo.- 04.03.2012

La Opinión de Coruña.- 04.03.2012

Diario ABC.- 03.03.2012

El País.- 26.02.2012

La Información.- 24.02.2012

La Información.- 23.02.2011

Público.- 15.02.2012

El Periódico.- 05/02/2012

La Opinión de Murcia.- 03.02.2012

Faro de Vigo.- 03.02.2012

Antena 3.- 01.02.2012

TVE.- 29.01.2012

Antena 3.- 25.01.2012

La Información.- 18.01.2012

Público.- 03.01.2012

Personal Computer.- 01.01.2012

Público.- 14.11.2011

Público.- 28.10.2011

Público.- 14.07.2011

Público.- 29.06.2011

Periodista Digital.- 21.06.2011

Diario ABC.- 21.06.2011

Diario ABC.- 20.06.2011

El País.- 02.06.2011

TVE.- 24.05.2011

El País.- 18.05.2011

El País.- 04.04.2011

Madrid.org.- 30.03.2011

El País.- 29.03.2011

El Espectador.- 02.03.2011

Clarín.- 21.01.2011

Público.- 20.01.2011

El País.- 07.01.2011

La Nación.- 07.01.2011

Vanguardia.- 07.01.2011

Internautas.org.- 02.01.2011

Tele5.- 16.12.2010

Tele 5.- 16.12.2010

Ideal de Granada.- 06.12.2010

Diario ABC.- 05.12.2010

Diario Sur.- 12.12.2010

La Verdad.- 07.12.2010

MADRID.ORG.- 22.11.2010

COPE.- 22.11.2010

ETB.- 17.10.2010

Libertad Digital.- 11.09.2010

El Norte de Castilla.- 11.09.2010

Aragón Televisión.- 10.09.2010

Cadena Ser.- 30.08.2010

La Opinión de Murcia.-15.08.2010

Punto Radio.- 11.08.2010

Cuatro.- 04.08.2011

Cadena Ser.- 04.08.2010

Antena3.- 04.08.2010

Mundo Noticias hoy.- 04.06.2010 Cómo salir de internet por 50 euros

Europa Press.- 04.06.2010 Cómo salir de internet por 50 euros

Incumplimientos de la Ley

Mon, 27 Jun 2011 20:21:51 +0200

Una Sentencia de la Audiencia Nacional (10.06.2011), ha confirmado 12.000 € de multa a PANINI, por la recogida de datos personales sin haber proporcionado a los afectados la información del art. 5 de la LOPD y por la elaboración de un fichero sin solicitar sin autorización e inscripción. Vamos a analizar en este artículo (actualizándolo), cuantas normas o instituciones oficiales no cumplen (o podrían no cumplir) lo que le ha costado 12.000 € a PANINI.

?Boletines Oficiales Autonómicos.- En relación a no prestar la información debida, debemos señalar que, salvo error, de un total de 19 Boletines Oficiales Autonómicos, 15 de ellos no hacen referencia a los derechos de “acceso, cancelación, rectificación y oposición”, de los afectados por las publicaciones, previstos en la Ley 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal.

BOE.- En relación con la elaboración de un fichero sin solicitar la autorización e inscripción del mismo, debemos recordar con gravedad que recientemente se hizo pública la Web del BOE en la que se recogen los contenidos que el Boletín Oficial del Estado pretende ocultar a los buscadores como Google. Entendemos que la publicación de esa Web del BOE, es muy sensible. Se ha creando un fichero en el que se incluyen datos de carácter personal, con acceso a terceros y, para más inri, de los propios buscadores. No tenemos constancia de que el BOE haya informado y declarado el fichero (ver la lista de los declarados en este link) a la Agencia Española de Protección de Datos.

Ley 13/2011, de 27 de mayo, de Regulación del Juego No recoge la obligación informar a los usuarios acerca de la identidad y dirección del responsable del tratamiento (en art.15). No recoge la obligación informar a los usuarios acerca de los destinatarios de la información que proporcionan (máxime cuando el texto prevé accesos e intercambios de datos por cuenta de terceros). Confunden los conceptos “normativa de desarrollo” y “complementaria”, respecto a la LOPD. (art 15)

Borrador Final del Real Decreto por el que se regula el funcionamiento de la Comisión de Propiedad Intelectual En la página 32 del Borrador final se expresa la cláusula de Protección de Datos, que: No recoge la obligación informar a los usuarios acerca de la de la finalidad de la recogida de éstos. Por ello es nulo el consentimiento que se obtenga pues establece el artículo 24 del RLOPD: “Será nulo el consentimiento para la comunicación de los datos de carácter personal a un tercero, cuando la información que se facilite al interesado no le permita conocer la finalidad a que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquel a quien se pretenden comunicar. No concede al interesado un medio sencillo y gratuito para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición.

Directiva sobre conservación de datos La Directiva no cumple condiciones de intimidad y la protección de datos en tanto que no se acreditan razones de necesidad, proporcionalidad en las medidas y limitación en la actuación de los estados miembros.

Eliminación de datos societarios en Google

Mon, 06 Jun 2011 20:15:31 +0200

Por Salirdeinternet.com despacho especializado en el anonimato en Internet.

Recientemente nos hicimos eco de una Resolución de la Agencia Española de Protección de Datos (en adelante, AEPD) muy significativa. La Agencia sancionaba a un Colegio Profesional por incluir, en su tablón de anuncios, el nombre, titulación profesional y domicilio de un Colegiado.

Consideramos que la resolución era novedosa pues aplicaba la LOPD a un profesional en relación con su actividad. Así, elaboramos un artículo, disponible en este Link, en el que indicamos “esta resolución aclara o bien abre una brecha importante en relación a qué debe entenderse por datos personales y a su protección”

Hoy en ?Salirdeinternet.com somos conocedores de otra resolución. Con fecha 27/01/2011, la AEPD resolvió un Procedimiento de Tutela de Derechos frente a ABC PERIÓDICO ELECTRÓNICO, S.L.U (para las siguientes direcciones de ABC http://...AAA1....http://...AAA2....), y contra GOOGLE SPAIN, S.L. en las Web: ...AAA1....http://...AAA2....http://...AAA3....http://...AAA4 de Google.

Pues bien, se solicitaba la eliminación de datos por los siguientes motivos: "considero que se trata de un cúmulo de datos personales (nombre, familiares, fecha de nacimiento, sociedades en las que participo, etc.) que atentan gravemente contra mi privacidad"

En la Resolución, la AEPD estima parcialmente la tutela, pues destaca: Con fecha 9 de junio de 2010, la reclamante ejercitó el derecho de cancelación de sus datos personales que aparecen digitalizados por una serie de noticias publicada en el diario ABC manifestando que "considero que se trata de un cúmulo de datos personales (nombre, familiares, fecha de nacimiento, sociedades en las que participo, etc.) que atentan gravemente contra mi privacidad."

"Respecto a ABC (…) no ha quedado acreditado que la entidad contestase a la reclamante atendiendo el derecho solicitado o denegando motivadamente dicho derecho, tal como dispone la normativa de protección de datos. Por ello, procede estimar la presente reclamación de Tutela de Derechos. Asimismo, si bien la publicación de la noticia en prensa se encuentra aparada en el artículo 20 CE, se traslada con esta misma fecha escrito al periódico ABC, trasladando la posibilidad de que acometan las medidas necesarias con el fin de evitar la indexación de los datos de la interesada que aparecen en los documentos publicado en dicho Diario e impedir que sean susceptibles de captación por los motores de búsqueda de internet.

Respecto a Google, se estima la Tutela, pero se establece en relación a http://...AAA3...., (una de las cuatro Web que enlazaba Google): (...) hay que señalar que la citada página web publica información de ejecutivos y administradores de empresas españolas, habiéndose comprobado por parte de esta Agencia que la información sobre la que la reclamante ejercita su derecho de oposición es en calidad de persona jurídica. En consecuencia la citada solicitud no es objeto de la Ley de Protección de Datos de Carácter Personal, puesto que la protección de datos corresponde a personas físicas y no jurídicas, procediendo la desestimación de la citada pretensión."

Conclusiones:

1.-Curiosamente se aceptó la eliminación de datos de ABC aún cuando publicaba datos societarios (según la persona que reclamó la tutela), sin embargo no se aceptó la eliminación de una de las Web que mostraba Google por indicar datos societarios

3.- La AEPD niega la eliminación de datos societarios en Google al considerar que enlaza una Web de origen dedicada a publicar datos societarios. No aceptamos que la AEPD asimile el objeto de Google al de las páginas de origen, máxime cuando el índice de búsquedas de Google muestre en numerosas ocasiones únicamente los datos personales del reclamante y no los societarios.

Sanción de AEPD por publicar Sentencia con los datos de un profesional

Wed, 01 Jun 2011 20:12:02 +0200

La Agencia Española de Protección de Datos (AEPD) ha puesto una multa de 601,1 € al Colegio Oficial de Aparejadores, Arquitectos Técnicos e Ingenieros de Edificación de Cantabria por la publicación de datos personales en su página Web. Pero ¿realmente son datos personales?

Analizando los hechos, resulta que un colegiado denunció ante la AEPD que el Colegio Oficial había publicado en su Web una Sentencia en la que se hacía referencia a su nombre, domicilio y titulación.

La Agencia entendió que se estaban tratando los datos personales del ciudadano sin su consentimiento y declaró la existencia de una infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 44.3.d).

De poco le valió al denunciado argumentar que la publicación de los datos fue temporal y que la publicación se refería a “competencias profesionales, sin connotación personal alguna de la que pudieran derivarse otros elementos de conocimiento, la mera mención del nombre y apellidos y de la titulación profesional no ha comportado al denunciante perjuicio de ningún tipo.”

Lo cierto es que esta resolución o bien aclara o bien abre una brecha importante en relación a qué debe entenderse por datos personales y a su protección:

Si bien la LOPD garantiza y protege a la persona física, en lo que concierne a sus datos de carácter personal, y que tanto los profesionales como los comerciantes individuales quedan bajo el ámbito de aplicación de la citada norma, cuando los datos que se traten sean datos personales de la denunciante en su condición de persona física, pueden realizarse las siguientes matizaciones:

1.- Consta en el artículo 2 del RLOPD:

(…) Este reglamento no será aplicable a los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales. 3. Asimismo, los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros, también se entenderán excluidos del régimen de aplicación de la protección de datos de carácter personal.

2.- Consta reflejado en la Sentencia de la Audiencia Nacional, de fecha 11/03/2011 (recurso contencioso administrativo número 483/2009)

“Por ello, la argumentación que la parte recurrente efectúa en relación con el carácter empresarial de la actividad desarrollada por los profesionales y en particular los Arquitectos y promotores a que se refiere el litigio, carece de virtualidad a los efectos de excluir el tratamiento de sus datos personales del ámbito de aplicación de la LORTAD, pues ello no priva ni altera la naturaleza de tales datos en cuanto conciernen a dichas personas físicas. Para que el planteamiento de la parte resultara determinante de la exclusión sería preciso acreditar que la intervención en el mercado se produce como persona jurídica, haciendo uso de las distintas posibilidades que el ordenamiento establece al efecto (Sociedad, Empresa,...) y que los datos en cuestión vienen referidos a dicha persona jurídica, que no es el caso”

3.-Las menciones que se han hecho sobre el particular son referidas a su actividad profesional, tal como muestra el relato de hechos de la Resolución de la Agencia, que expone:

“l.- Por la representación procesal del Colegio Oficial de Aparejadores y Arquitectos Técnicos de Jaén, interpuso recurso contencioso-administrativo contra la resolución desestimatoria presunta por silencio administrativo respecto del recurso de reposición interpuesto contra la resolución adoptada en virtud de la cual se visa la designación como coordinador de seguridad y salud, para la ejecución de 12 viviendas, a favor del colegiado D... (nombre y apellidos del denunciante), al entender que dicho visado no era ajustado a derecho y entendiendo que es de aplicación la Ley 38/99, denominada Ley de Ordenación de la Edificación en cuya Disposición Adicional cuarta se indica claramente que la titulación académica y profesional que habilita para desempeñar la función de coordinador en materia de "seguridad y salud, en las obras de edificación, tanto en elaboración del proyecto como en la fase de ejecución de obra serán los distintos profesionales, de acuerdo con las competencias y especialidades. En principio por tanto los Ingenieros Técnicos Industriales, tienen competencia para la coordinación en materia de seguridad y salud, pero de acuerdo con la norma indicada, siempre será en función de las propias competencias y especialidades.

Por lo que concluía en su demanda que la construcción de 12 viviendas, cocheras y trasteros, evidentemente tienen el carácter o uso del residencial, de ahí que sostenía que no era válido el visado que el Colegio Oficial de Ingenieros Técnicos Industriales de Jaén, a favor del señor..(nombre y apellidos del denunciante)...

II.- El Procurador de los Tribunales, D..., actuando en nombre y representación del Colegio Oficial de Peritos e Ingenieros Técnicos Industriales de Jaén, en su escrito de contestación a la demanda de fecha 10 de julio pasado, se opuso frontalmente a las pretensiones de la entidad demandante, al entender que el colegiado Sr... (apellidos del denunciante), no ha formulado ningún proyecto de edificación sino sola y exclusivamente ha sido nombrado como coordinador de seguridad y salud para la ejecución de una obra de construcción de 12 viviendas...

4.- Consta en el informe del Gabinete jurídico de la AEPD (2) “Ámbito de aplicación de la legislación de protección de datos. Aplicación a empresarios individuales y “personas de contacto” (arts. 2.2 y 2.3 del Reglamento)”

- Cabrá considerar que la legislación de protección de datos no es aplicable en los supuestos en los que los datos del comerciante sometidos a tratamiento hacen referencia únicamente al mismo en su condición de comerciante, industrial o naviero; es decir, a su actividad empresarial.

- Al propio tiempo, el uso de los datos deberá quedar limitado a las actividades empresariales; es decir, el sujeto respecto del que pretende llevarse a cabo el tratamiento es la empresa constituida por el comerciante industrial o naviero y no el empresario mismo que la hubiese constituido. Si la utilización de dichos datos se produjera en relación con un ámbito distinto quedaría plenamente sometida a las disposiciones de la Ley Orgánica.

PS/00434/2010. Fuente AEPD

35.0000 € de sanción a El Corte Ingles por SPAM

Thu, 19 May 2011 20:09:24 +0200

La historia se remonta a los siguientes hechos: el 15 de octubre de 2009 una persona solicitó a EL CORTE INGLES, S.A. que eliminase sus datos personales de su base de datos, así como que la empresa dejase de enviarle publicidad por correo electrónico.

La empresa hizo caso omiso de las indicaciones (pues continuó remitiendo publicidad por medio de correo electrónico –concretamente 9 correos-), y el destinatario presentó denuncia ante la Agencia Española de Protección de Datos (AEPD).

Una vez comenzado el procedimiento ante la Agencia, el Corte Inglés manifestó que tenían los datos del denunciante por haberse registrado el mismo como usuario de la Web de El Corte Inglés. Además, afirmó la empresa, el propio denunciante, aunque no sea cliente, sí presto su consentimiento para recibir correos comerciales al marcar la casilla de verificación con el texto “Sí, deseo recibir información del grupo de empresa”.

A pesar de las consideraciones del Corte Inglés, la AEPD, entendió que había “quedado acreditado que el denunciante recibió en su dirección electrónica nueve comunicaciones electrónicas con posterioridad a la solicitud de oposición para la utilización de su dirección de correo como destinataria de comunicaciones comerciales electrónicas”

De conformidad con los hechos expuestos, la infracción en la que se incurría por el Corte Inglés (del artículo 21.1 de la LSSI, tipificada como grave en el artículo 38.3 c) de la LSSI), podría haberse sancionado con multa cuyo importe podría ir desde los 30.001 euros a 150.000 euros, si bien finalmente se acordó imponer 35.000 €, valorando la culpabilidad, la intencionalidad, los perjuicios causados y beneficios obtenidos por EL CORTE INGLES, S.A, y teniendo en cuenta que el importe mínimo de 30.001 es aplicable al envío de más de tres comunicaciones.

AEPD frente a los Registros de la Propiedad

Mon, 25 Apr 2011 19:02:41 +0200

La Agencia Española de Protección de Datos declara la existencia de Infracción en Registros de la Propiedad, al considerar que los mismos emitían notas simples, sin observar que las peticiones se hiciesen con motivos legítimos. El hecho es que los solicitantes pedían notas de la propiedad alegando un interés “torticero” o “espurio”, y no comprobando el interés, emitían las notas. Ejemplo de Procedimiento contra uno de los Registros: http://xurl.es/a1i2l Registros inspeccionados cuyos expedientes están publicados en la Web de la AEPD: - REGISTRO DE LA PROPIEDAD DE VILLARROBLEDO - REGISTRO DE LA PROPIEDAD DE PUERTO DE LA CRUZ, - REGISTRO DE LA PROPIEDAD DE PALMA DE MALLORCA 3, - REGISTRO DE LA PROPIEDAD DE SANTA CRUZ DE TENERIFE 1, - REGISTRO DE LA PROPIEDAD DE SANTA CRUZ DE TENERIFE Nº 3, - REGISTRO DE LA PROPIEDAD DE JAÉN 2, - REGISTRO DE LA PROPIEDAD DE BORJA, - REGISTRO DE LA PROPIEDAD DE ROQUETAS DE MAR 3 - REGISTRO DE LA PROPIEDAD DE SANTA COLOMA DE FARNERS - REGISTRO DE LA PROPIEDAD DE ICOD DE LOS VINOS, - REGISTRO DE LA PROPIEDAD DE L´HOSPITALET DE LLOBREGAT 4 - REGISTRO DE LA PROPIEDAD DE LLORET DE MAR 1,

Tuenti y la protección de datos

Thu, 21 Apr 2011 20:02:42 +0200

Recientemente la Web Legaltoday.com entrevistó a un responsable jurídico de la Web TUENTI TECHNOLOGIES, S.L. (TUENTI). La entrevista me dejó sorprendido. No sólo negaban haber tenido problemas de privacidad, sino que decían tener una excelente relación con la Agencia de Protección de Datos.

El texto, accesible en el siguiente enlace, recoge los siguientes contenidos:

El representante de TUENTI dice: Lo primero de todo, quisiera aclarar que Tuenti no ha recibido ninguna llamada de atención de la Agencia Española de Protección de Datos respecto de su política de privacidad. Antes al contrario, tenemos una muy buena relación con ellos y un diálogo permanente desde el inicio de nuestra actividad online (…)

Bien, desde Salirdeinternet.com hemos asesorado a muchos usuarios que haN solicitado la retirada de información en redes sociales (suplantaciones, difamación..etc) y realmente nos ha sorprendido que exista una red social a la que no se le haya advertido.. Hemos hecho un estudio de algunas de las Resoluciones de la Agencia de Protección de Datos en relación a TUENTI:

1.- Resolución TD/00690/2009:

"En el presente caso, ha quedado acreditado que Doña O.O.O. ejercitó el derecho de cancelación de sus datos personales, imágenes y comentarios sobre su persona, contenidos en los ficheros de Tuenti Technologies, S.L. Dado que no obtuvo respuesta a su solicitud, la interesada interpueso ante esta Agencia Española de Protección de Datos, reclamación contra la citada entidad por la denegación del derecho de cancelación solicitado." "El Director de la Agencia Española de Protección de Datos RESUELVE: ESTIMAR la reclamación formulada por Doña O.O.O. e instar a TUENTI TECHNOLOGIES, S.L. para que, en el plazo de los diez días hábiles siguientes a la notificación de la presente resolución, remita a la reclamante certificación en la que haga constar que ha atendido el derecho de cancelación o se deniegue motivadamente, pudiendo incurrir en su defecto en una de las infracciones previstas en el artículo 44 de la LOPD. Las actuaciones realizadas como consecuencia de la presente resolución deberán ser comunicadas a esta Agencia en idéntico plazo."

2.- Resolución E/00411/2009

TUENTI no facilita los datos de una suplantación de identidad ni a la Agencia ni al ciudadano afectado, y se declara el archivo de las actuaciones en virtud del principio de presunción de inocencia

3.- Resolución TD/00369/2010

Se inadmite una solicitud de cancelación de datos en TUENTI al entender que el reclamante no subsanó su solicitud de forma oportuna. Es significativo que la subsanación fue enviada y devuelta por el propio servidor.

4.- Resolución E/00408/2009

Una persona denuncia el 24.02.2009 que en TUENTI existen “varias fotografías con su imagen tomadas en el entorno docente”. Los inspectores de Protección de Datos dicen que con fecha 11.05.2009 no encuentran tales fotografías, y TUENTI dice que no puede colaborar puesto que hasta el 25.07.2009 no conservan “en ningún soporte los datos relativos a las dirección IP asignadas a los equipos desde los que se accede a sus páginas, ni siquiera de aquéllos desde los que se realiza el alta de usuario o desde los que se suben contenidos a la red social”. En enero de 2010, se acuerda el archivo de las actuaciones.

5.- Resolución E/00410/2009

Con fecha 27.02.2009 una persona denuncia que un usuario de TUENTI ha difundido 6 de sus fotografías suyas, a las que añadieron diversos comentarios.

Dice la Resolución:

“Según manifiesta, tras solicitarlo a TUENTI el 23 de febrero, consiguió la retirada de las fotografías, aunque una de ellas volvió a ser difundida por el mismo usuario, ocasionando una nueva solicitud de retirada”. “La denunciante ha aportado a la Agencia una copia de distintas páginas web publicadas, en las que, al menos entre el 5 de enero y el 8 de febrero de 2009, fueron difundidas distintas fotografías en las que aparece una imagen que la denunciante reconoce como propia.

TUENTI TECHNOLOGIES, S.L. ha declarado a la Agencia que en el momento de recibir el requerimiento de la Inspección sólo seguía figurando “colgada” y con carácter “privado” una de las 2 fotografías a las que la denunciante hacía referencia en su solicitud de retirada, habiendo sido borrada el día 11 de mayo de 2009. Según ha manifestado TUENTI TECHNOLOGIES, S.L., esta fotografía, en la que se aprecia la imagen de la denunciante y de otras dos personas, sólo era visible dentro de la red social para los usuarios que ostentaban la condición de “amigos” del usuario “A.A.A.”, habiendo sido comentada por sólo cinco de ellos, pero no habiéndose acreditado el número total de usuarios que tenían esa condición en tal fecha.

Termina la resolución:

En el caso que nos ocupa, a partir de las actuaciones de inspección practicadas no se han hallado elementos probatorios suficientes que permitan establecer de forma fehaciente que las fotografías a las que alude el denunciante hayan sido efectivamente colgadas en la red social, ni tampoco el número de usuarios que habrían podido tener acceso a las mismas.

Conclusión: Existen resoluciones que acreditan que TUENTI elimina las informaciones graves, pero es innegable que, como en toda red social, existen problemas de privacidad entre los usuarios.

Quiero que Internet se olvide de mí

Fri, 07 Jan 2011 18:49:09 +0200

El mundo cibernético ha traído consigo la demanda de derechos que no figuran expresamente en ninguna Constitución. Uno de ellos es el llamado "derecho al olvido", que ampara la capacidad de una persona para borrar de Internet información irrelevante sobre sí misma y preservar de este modo su privacidad. La Comisión Europea ha puesto en marcha un proceso legislativo para reforzar la protección de datos de los ciudadanos y adaptar las viejas normas al entorno virtual, donde los documentos no solo son de alcance global sino también eternos.

Fuente: El Pais