Hace un par de meses, Sigma Data Security Consulting, empresa extremeña consultora en materia de privacidad, liderada por Juan Luís Martínez Carande, tuvo la brillante idea de poner en marcha desde el sector profesional de la privacidad un estudio sobre el cumplimiento de la LOPD por las pymes españolas.
Para ello, Sigma ha contado con la colaboración de distintas empresas y profesionales de la privacidad que desarrollan sus servicios en distintos ámbitos de la geografía española, y entre los que ha tenido la fortuna de encontrase el autor de estas líneas.
El pasado lunes 25, bajo el titular “Las familias podrán acceder a los datos personales incluidos en la matrícula de otros alumnos” se publicó en Levante-emv.comuna noticia relativa a la sorpresa que había causado el que por parte de la Autoridad Catalana de Protección de Datos se emitiera un dictamen por el que se considera conforme a Derecho desde la óptica de la protección de datos de carácter personal el que un señor, cuyo hijo se quedó fuera de la lista de admitidos, pudiera acceder a la información y documentación aportada por aquellos participantes en el proceso de adjudicación de plazas escolares en un determinado centro que sí la habían obtenido.Desde mi punto de vista lo que causa sorpresa es que a estas alturas, después de no sé cuantos años de vigencia del actual sistema de obtención del plaza escolar en centros públicos y concertados, nos estemos planteando esta cuestión.
Que el nivel de cumplimiento de la LOPD por parte de la Administración de Justicia es bastante deficiente es una realidad incuestionable. De hecho, el actual Director de la AEPD así lo ha declarado en alguna entrevista, y tanto la propia AEPD como la AVPD han tomado cartas en el asunto, si bien haciendo hincapié en la carencia de medidas de seguridad en la custodia de documentación en los órganos judiciales y en la anonimización de la resoluciones judiciales que deben ser objeto de publicadas..Incidir en esos temas está muy bien. Pero lo que las instituciones callan es aquello que cualquier profesional del Derecho que se dedique en mayor o menor medida a la dirección jurídica de asuntos judiciales observa a primera vista: la Administración de Justicia incumple de forma generalizada sus obligaciones en materia de protección de datos de carácter personal.Las irregularidades en materia LOPD en las que se incurren en el mundo de la Administración de Justicia son muchas, pero me quiero centrar en una que a mí, particularmente, se me antoja preocupante, por no decir otra cosa: la omisión del ofrecimiento a los justiciables de la información prevista en el artículo 5.1 LOPD.Así, si….
El pasado día ocho de octubre se publicó nº 5731 del Diario Oficial de la Generalitat de Cataluña la Ley 32/2010, de 1 de octubre, de la Autoridad Catalana de Protección de Datos, institución que la propia norma define como de derecho público, con personalidad jurídica propia y plena capacidad de obrar para el cumplimiento de sus fines, con plena autonomía orgánica y funcional, que actúa con objetividad y plena independencia de las administraciones públicas en el ejercicio de sus funciones y que, de acuerdo con el apartado primero de la Disposición Transitoria Primera de la norma citada, se subroga en la posición jurídica de la Agencia Catalana de Protección de Datos en cuanto a los bienes, derechos y obligaciones de cualquier tipo de que fuera titular la Agencia.A rey muerto, rey puesto. Demos, por tanto, la bienvenida a este nuevo organismo y despidamos, agradeciendo los servicios prestados, a la Agencia de Protección de Datos de Cataluña, presidida por Esther Mitjans, y cuyo sucesor/a deberá ahora ser elegido por el Parlamento catalán, lo que constituye una destacable novedad, ya que en la Ley 5/2002, reguladora de la extinta Agencia, dicha potestad correspondía al Gobierno de la Generalitat.
Pero la gran novedad de esta Ley 32/2010 y de la nueva Autoridad Catalana de Protección de Datos no reside en el cambio de denominación o en la forma de elección de su Director/a, o en su contenido general, sino en la circunstancia de que se declara a la ACPD competente sobre determinados ficheros privados (artículo 3)
Si bien el RDLOPD ha acotado la extensión de las personas físicas “protegidas” por la LOPD, lo cierto es que, en mi opinión, el ámbito objetivo de aplicación de la LOPD y su normativa de desarrollo merece una seria reflexión y una nueva regulación, más acorde, a mi juicio, a la realidad.Dejando de lado la discusión sobre si un Real Decreto es el cauce normativo para acotar —y modificar de facto— la aplicación de una Ley Orgánica, y sin entrar a hablar aquí de las personas fallecidas, el artículo 2 establece que no será de aplicación esta normativa1.- A los llamados datos de contacto de las personas físicas que presten sus servicios para personas jurídicas: nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales.2.- A los datos de las personas físicas que tengan la condición de los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros.Sin embargo, constituyendo la nueva regulación del RDLOPD un avance frente a la protección omnímoda de la LOPD, desde mi punto de vista la redacción reglamentaria no es suficiente, ya que no da solución a determinados supuestos que se presentan en la práctica, como pueden ser los siguientes:
