La Agencia de Protección de Datos de la Comunidad de Madrid, APDCM, con motivo de la celebración del Día Europeo de Protección de Datos, ha lanzado el juego on-line “Olvidados” dirigido a jóvenes y adolescentes entre 12 Y 16 años residentes en la Comunidad de Madrid.
El juego pretende acercar los principios esenciales de la protección de datos y los riesgos que para la misma pueden tener las actividades on-line de los jóvenes en un lenguaje muy claro y con una imagen muy cercana a la de los videojuegos a los que acceden habitualmente.
Para fomentar la participación se ofrecen varios premios muy atractivos. . Se puede acceder al mismo desde el portal de la APDCM (www.apdcm.es) o en la dirección www.olvidados.es.
Que el régimen sancionador establecido en la LOPD para el sector privado es el más duro de Europa no lo duda nadie. Son muchos los foros en los que desde hace tiempo se viene solicitando una revisión del mismo, tanto en lo referente a la redefinición de la tipificación de las infracciones, como en cuanto a la cuantificación de las sanciones y a la introducción de criterios objetivos para su moderación. Pero lo cierto es que nadie daba se había atrevido a coger el toro por los cuernos y abrir este melón.Pero la situación ha cambiado, porque, aprovechando la llegada del Proyecto de Ley de Economía Sostenible al Senado, el Grupo Parlamentario Catalán en el Senado de Convergència i Unió, entre otras (hay, por ejemplo, otra muy interesante propuesta de modificación de la LAU por la que se calificaría como arrendamiento para uso distinto de vivienda los arrendamientos de vivienda con opción de compra, de forma que los mismos no se regirían por el Título II de norma, sino por lo que libremente pacten las partes, de forma que el contenido del contrato se adecúe a la finalidad pretendida por las partes que, en el caso del promotor/vendedor, no pasa en muchas ocasiones por tener un inquilino cinco años, sino por vender la vivienda), ha presentado una enmienda de adición por la que se propone añadir al proyecto de referencia una Disposición Final nueva para la modificación del Título VII de la LOPD, es decir, de las infracciones y sanciones contempladas en dicha norma.
Artículo escrito por nuestro colaborador Javier Vázquez Garranzo, jefe de los servicios jurídicos del Instituto Balear de Salud
1.- INTRODUCCIÓN.
Dando todo tipo de facilidades, en cuanto al tono y la extensión, amablemente me pide Alfonso mi parecer respecto al régimen de protección de datos establecido en la Ley Orgánica 2/2010, de 3 marzo, de salud sexual y reproductiva y de la interrupción voluntaria del embarazo, que se publicó en el BOE de 4 marzo 2010, y entró en vigor el día 5 de julio de 2010[1].
La cuestión de la interrupción voluntaria del embarazo es uno de esos asuntos que apenas deja indiferente a nadie. Los juristas, los teólogos, los médicos y profesionales sanitarios, los políticos, la sociedad en general, tiene o quiere tener opinión sobre la materia. Se trata, por tanto, de una cuestión en la que el concepto previo resulta relevante o decisivo para el establecimiento de modelos legales que, en realidad, asumen con mayor o menor corrección técnica las determinaciones del modelo.
Es habitual que en un Ayuntamiento terceras personas ajenas al Consistorio accedan o puedan tener acceso a los datos personales tratados por la institución para prestar un servicio a la corporación, ya sea en su condición de prestadores de servicios en los términos expresados en el artículo 10 de la Ley 30/2007, de 30 de octubre, de Contratos del Sector Público, en relación con el anexo II de dicha norma; o bien en su calidad de concesionarios de la prestación de un servicio público competencia del Ayuntamiento, de acuerdo con lo previsto en el artículo 251 y 253 del mismo texto legal.
La LOPD solamente dedica un precepto a regular estos supuestos, su artículo 12, bajo la denominación acceso a los datos por cuenta de terceros. Dicho canon ha sido desarrollado más profusamente por el RDLOPD, que le dedica los artículos 20 a 22; 26; 82 y 84.5. Y, por su parte, en la Ley 30/2007, de 30 de octubre del Contratos del Sector Público nos encontramos con el apartado segundo del artículo 124:
El contratista deberá respetar el carácter confidencial de aquella información a la que tenga acceso con ocasión de la ejecución del contrato a la que se le hubiese dado el referido carácter en los pliegos o en el contrato, o que por su propia naturaleza deba ser tratada como tal. Este deber se mantendrá durante un plazo de cinco años desde el conocimiento de esa información, salvo que los pliegos o el contrato establezcan un plazo mayor.
En estos preceptos se establecen una serie de cuestiones y obligaciones que el Municipio debe tener en cuenta y solventar a la hora de regular una de estas relaciones con terceros en virtud de la que éstos vayan a tener o puedan tener acceso a datos personales contenidos en los ficheros municipales. Y esta papeleta no se solventa mediante la mera reproducción de los preceptos en el documento en el que se regula la relación contractual, sino que deben desarrollarse debidamente adaptados a la realidad de esa contratación.
De todas las obligaciones que la LOPD y el RDLOPD establecen para cualquier responsable de ficheros, y en particular para un Ayuntamiento, una cuyo correcto cumplimiento es importantísimo es el DEBER DE INFORMACION (derecho a ser informado, si lo miramos desde el punto de vista del interesado) que se recoge en el artículo 5 de la LOPD, cuyo apartado primero –matizado por los siguientes del mismo precepto− determina la información básica que se tiene que ofrecer a toda persona física de quien se recaban datos de carácter personal:
Existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
Carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
Consecuencias de la obtención de los datos o de la negativa a suministrarlos.
Posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
Identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
Y digo que es fundamental su correcto cumplimiento principalmente por tres motivos:
El día 11 de noviembre de 2010 en el programa Mallorca Matí, de la cadena Ona Mallorca, entrevistaron en directo a Alfonso Pacheco, miembro de este blog y en aquel momento integrante de Privacidad Práctica, quien analizó distintos temas de actualidad en relación con la protección de datos de carácter personal.
Así, en el curso de la entrevista se abordó la falta de adaptación de los sectores público y privado a la normativa, pese a que la misma se encuentra vigente desde principios de 1993 con la entrada en vigor de la LORTAD; los supuestos más típicos de infracción y su distinta punición en los ámbitos público y privado; la videovigilancia y, dentro de la actualidad mallorquina, el caso del hospital de Inca
Por si fuera de vuestro interés, os facilitamos acceso a la completa grabación de la entrevista.
Hace un par de meses, Sigma Data Security Consulting, empresa extremeña consultora en materia de privacidad, liderada por Juan Luís Martínez Carande, tuvo la brillante idea de poner en marcha desde el sector profesional de la privacidad un estudio sobre el cumplimiento de la LOPD por las pymes españolas.
Para ello, Sigma ha contado con la colaboración de distintas empresas y profesionales de la privacidad que desarrollan sus servicios en distintos ámbitos de la geografía española, y entre los que ha tenido la fortuna de encontrase el autor de estas líneas.
El pasado lunes 25, bajo el titular “Las familias podrán acceder a los datos personales incluidos en la matrícula de otros alumnos” se publicó en Levante-emv.comuna noticia relativa a la sorpresa que había causado el que por parte de la Autoridad Catalana de Protección de Datos se emitiera un dictamen por el que se considera conforme a Derecho desde la óptica de la protección de datos de carácter personal el que un señor, cuyo hijo se quedó fuera de la lista de admitidos, pudiera acceder a la información y documentación aportada por aquellos participantes en el proceso de adjudicación de plazas escolares en un determinado centro que sí la habían obtenido.Desde mi punto de vista lo que causa sorpresa es que a estas alturas, después de no sé cuantos años de vigencia del actual sistema de obtención del plaza escolar en centros públicos y concertados, nos estemos planteando esta cuestión.
Que el nivel de cumplimiento de la LOPD por parte de la Administración de Justicia es bastante deficiente es una realidad incuestionable. De hecho, el actual Director de la AEPD así lo ha declarado en alguna entrevista, y tanto la propia AEPD como la AVPD han tomado cartas en el asunto, si bien haciendo hincapié en la carencia de medidas de seguridad en la custodia de documentación en los órganos judiciales y en la anonimización de la resoluciones judiciales que deben ser objeto de publicadas..Incidir en esos temas está muy bien. Pero lo que las instituciones callan es aquello que cualquier profesional del Derecho que se dedique en mayor o menor medida a la dirección jurídica de asuntos judiciales observa a primera vista: la Administración de Justicia incumple de forma generalizada sus obligaciones en materia de protección de datos de carácter personal.Las irregularidades en materia LOPD en las que se incurren en el mundo de la Administración de Justicia son muchas, pero me quiero centrar en una que a mí, particularmente, se me antoja preocupante, por no decir otra cosa: la omisión del ofrecimiento a los justiciables de la información prevista en el artículo 5.1 LOPD.Así, si….
El pasado día ocho de octubre se publicó nº 5731 del Diario Oficial de la Generalitat de Cataluña la Ley 32/2010, de 1 de octubre, de la Autoridad Catalana de Protección de Datos, institución que la propia norma define como de derecho público, con personalidad jurídica propia y plena capacidad de obrar para el cumplimiento de sus fines, con plena autonomía orgánica y funcional, que actúa con objetividad y plena independencia de las administraciones públicas en el ejercicio de sus funciones y que, de acuerdo con el apartado primero de la Disposición Transitoria Primera de la norma citada, se subroga en la posición jurídica de la Agencia Catalana de Protección de Datos en cuanto a los bienes, derechos y obligaciones de cualquier tipo de que fuera titular la Agencia.A rey muerto, rey puesto. Demos, por tanto, la bienvenida a este nuevo organismo y despidamos, agradeciendo los servicios prestados, a la Agencia de Protección de Datos de Cataluña, presidida por Esther Mitjans, y cuyo sucesor/a deberá ahora ser elegido por el Parlamento catalán, lo que constituye una destacable novedad, ya que en la Ley 5/2002, reguladora de la extinta Agencia, dicha potestad correspondía al Gobierno de la Generalitat.
Pero la gran novedad de esta Ley 32/2010 y de la nueva Autoridad Catalana de Protección de Datos no reside en el cambio de denominación o en la forma de elección de su Director/a, o en su contenido general, sino en la circunstancia de que se declara a la ACPD competente sobre determinados ficheros privados (artículo 3)
