Los profesionales tenemos que decir mucho de la LOPD.

Miniatura noticia

 Desde PRIVACIDAD LÓGICA creemos fuera de toda duda que hasta la fecha la única voz que en España no se ha tenido en cuenta a la hora de proponer cualquier iniciativa legislativa relacionada con la protección de datos de carácter personal ha sido la de los profesionales de la privacidad.

El profesional de la privacidad es pilar básico no solo para la difusión de la cultura de la privacidad e implementación de la LOPD tanto en el sector público como en el privado, sino para pulsar la verdadera dimensión de esta normativa. El profesional de la privacidad en su quehacer diario tiene que interpretar y adaptar la normativa a las múltiples realidades que se ven en la necesidad de su implementación, habida cuenta de su carácter transversal que tanto afecta a la Administración pública como a cualquier actividad empresarial, comercial o profesional: el consultor en materia de privacidad asesora tanto a un gran Ayuntamiento como a un modesto consistorio; a un negocio de barrio y a una gran superficie; al despacho unipersonal de un abogado, arquitecto o médico y a un centro hospitalario; a una academia de conducir y a un centro educativo; a una tienda tradicional y a un comercio online.

Es el profesional de la privacidad el que conoce dónde “chirría” la normativa vigente al entrar en contacto diario con las múltiples realidades a las que se aplica o en qué aspectos funciona estupendamente. Pero hasta ahora su voz no se ha tenido en cuenta.

Es cierto que hasta hace un par de años no existía dicho colectivo como tal, pero recientes fenómenos asociativos (APEP, DPI-ISMS FORUM) y, sobre todo, el fenómeno globalizador que han supuesto las redes sociales y profesionales, han creado ese sentimiento, esa sensación tangible de colectivo profesional, cuya voz debe ser oída.

Por este motivo desde este blog os lanzamos la siguiente propuesta: creemos que sería muy interesante recoger en un único documento o informe, que se pondría a disposición de todo aquel que mostrara interés en el mismo, el sentir del colectivo profesional sobre nuestra normativa vigente en materia de protección de datos de carácter personal, tanto para lo bueno como para lo malo.

Para ello, proponemos tomar como plataforma este blog, al que os pedimos, si os parece interesante la propuesta, que enviéis vuestras opiniones sobre aquellos aspectos que consideréis oportunos, eso sí, debidamente motivadas. Es decir, no vale hacer trampas y decir “debe volver a modificarse el régimen sancionador” y ya está, sino que las opiniones deben fundamentarse, porque la idea es posteriormente sistematizar esas opiniones, agruparlas por temas y elaborar un informe o documento motivado que, como ya hemos dicho, pueda servir como herramienta útil para todos aquellos operadores implicados en la aplicación de esta normativa: Cortes Generales, Parlamentos autonómicos, entes de control estatal y autonómicos, partidos políticos; Consejo Superior de Cámaras de Comercio; Asociaciones empresariales y profesionales; medios de comunicación..

Nos parece muy interesante, de haber participación suficiente, el que las sugerencias o aportaciones se puedan no solo clasificar por temas, sino incluso por sectores de actividad, por lo que os pedimos que en vuestros escritos detalléis en la medida de lo posible si vuestra aportación es de carácter general o atañe a algún sector o actividad concreto.

Esta iniciativa creemos que puede dar mucho de sí, porque son muchas las cuestiones que todos nos planteamos. Así, a vuela pluma, y pendientes de su argumentación, se nos ocurren las siguientes:

  • ¿Está correctamente delimitado el ámbito objetivo de aplicación de la LOPD?
  • ¿Es satisfactoria la reforma del régimen sancionador de la LOPD o se ha quedado coja? ¿Deberían introducirse grados en las sanciones previstas en la Ley, tal y como sucede en Derecho Penal?
  • ¿Debe quedar al arbitrio de la AEPD la aplicación excepcional de la figura del apercibimiento o, ante la falta de antecedentes, debería aplicarse siempre?
  • ¿Debe delimitarse la vigencia temporal de los antecedentes sancionadores, a modo de lo que ocurre en derecho penal, así como precisar el propio concepto de “antecedente” a efectos de la inaplicabilidad del apercibimiento?
  • ¿Son correctas o mejorables las relaciones entre la AEPD y el sector profesional?
  • ¿Deberían tener carácter vinculante los informes emitidos por la Agencia?
  • ¿Es satisfactoria la información de sus resoluciones que ofrece la AEPD a través de su web?
  • ¿Debería modificarse el régimen sancionador para las AAPP?
  • ¿Debería tenerse en cuenta la envergadura del responsable del fichero para la determinación de sus obligaciones y de las medidas de seguridad?
  • ¿Qué ha pasado con la D. A única, productos de software? Se le ha aplicado derecho al olvido?
  • ¿Debería aplicarse la excepción de los apartados 5 y 6 del art. 81 del RDLOPD a todos los datos previstos en el artículo 7 LOPD de los que tenga conocimiento un responsable del fichero por mor de su condición de empleador y cuyo conocimiento le imponga una norma, y no sólo a los que interpreta la AEPD?
  • ¿Debería delimitarse de forma objetiva todo aquello que atañe a la videovigilancia?
  • ¿Debería impulsarse la Ley de videovigilancia privada (o como se llame)?
  • ¿Debería modificarse el régimen de las copias de respaldo de las grabaciones de sistemas de videovigilancia?
  • ¿Debería unificarse el plazo de conservación máximo de las imágenes, dado que cada ley que trata del tema recoge uno distinto?
  • ¿Debería permitirse la destrucción directa, pasado el plazo máximo de conservación, y no el bloqueo hasta pasados plazos de prescripción, de las grabaciones que no reflejen la comisión de ilícitos perseguibles?

Con independencia de que por nuestra parte se remita a todas esas instituciones antes citadas, el informe estará a disposición de todos, porque será de todos, y de hecho se incorporará al mismo un anexo en el que se incluyan los datos comerciales de todos aquellos profesionales que participemos en su elaboración mediante nuestras aportaciones, salvo que a alguien no le interese figurar, claro está. En caso alguno se indicará en el informe la persona que realiza una determinada aportación. El informe estará disponible en la zona de descargas del blog para que cada uno después pueda hacer del mismo la difusión que considere oportuna, siendo condición indispensable, se presente donde se presente o se utilice donde se utilice, que cualquier uso del mismo incluya ese anexo íntegro de colaboradores.

¿Cómo hacernos llegar vuestras aportaciones? El número de aportaciones por persona es ilimitado, y lo interesante sería añadirlas como comentarios a esta entrada, de forma que todos podamos ir viendo las ideas que se van incorporando. No obstante, si se prefiere el anonimato público, las aportaciones también se pueden remitir vía correo electrónico a la dirección contacto@privacidadpractica.com

¿Durante cuánto tiempo se pueden mandar aportaciones? Si os parece bien, fijamos como plazo hasta el 29 de febrero de 2012.

Señalaros que procederemos a anunciar la idea en los distintos foros de Linkedin/twitter en los que participamos a fin de conseguir la participación máxima posible, porque cuantos más seamos más representativas serán nuestras conclusiones.

¡Animaros y a participar! Para abrir boca le hemos pedido a Javier Sempere, a quien todos conocéis como el Winchester 73 más rápido del Oeste, que rompiera el fuego, y nos ha mandado las reflexiones que acto seguido hacemos constar como primer comentario. ¡¡¡¡Javier, eres un valiente!!!!


15 comentarios

  1. fjavier_sempere
    22 de diciembre de 2011 @ 11:27

    No sería de recibo empezar este comentario sin agradecer a todo el equipo de Privacidad Práctica la oportunidad brindada. Muchas gracias, de verdad.

    Allá vamos…

    Ámbito de aplicación.

    Se ha quedado totalmente obsoleto –ver al respecto los problemas de ley aplicable-. Si se quiere resolver este problema debería estar claramente definido el ámbito de aplicación y no buscar “encaje de bolillos” del tipo “la empresa presta servicios a europeos teniendo que designar un representante” (ver borrador Reglamento filtrado, me parece un poco farragoso), “la instalación de una cookie supone un tratamiento”, o que se ha superado la aplicación en base al “fichero”, ya que ahora partimos del mero tratamiento (con sus efectos positivos y negativos, el “todo se puede dirigir vía LOPD vs no todo puede ser LOPD).

    Asimismo, tampoco parece estar muy bien redactado el apartado 3 del artículo 2 cuando dice que “Se regirán por sus disposiciones específicas, y por lo especialmente previsto, en su caso, por esta…” y realiza una enumeración de supuestos (por ejemplo, ficheros regulados por la legislación de régimen electoral). Si se lee el articulado de la LOPD no aparece ninguna mención a estos ficheros, es decir, que lo de “especialmente previsto, en su caso, por esta Ley” no tiene mucho sentido.

    Siguiendo con el ámbito de aplicación, el Reglamento de la LOPD no puede modificar el citado ámbito de la LOPD. Incluso, su redacción es defectuosa. Así, cuando se refiere a los ficheros de “datos de contacto” se dice que “Este reglamento no será aplicable”; en el caso de los empresarios individuales la mención es “excluidos del régimen de aplicación de la protección de datos de carácter personal”; y por último, con los fallecidos se vuelve a la frase “Este reglamento no será de aplicación”.
    Resumiendo, según la redacción, dos supuestos quedan excluidos del reglamento –pero habría que pensar que no de la LOPD-, y otro supuesto de la aplicación de la protección de datos –ley y reglamento-.

    Ahondando más sobre esta cuestión, tampoco parece muy razonable que el hecho de no aplicar la LOPD a estos supuestos suponga una “barra libre” o “aquí no ha pasado nada”. Pongamos como ejemplo, la aparición de datos de fallecidos en la calle. El hecho de que no puedan ejercitar determinados derechos de la LOPD (obviamente), no supone que el responsable deje de cumplir la obligación de custodia y deber de secreto.

    Definiciones.

    Nunca me ha gustado el término que utiliza la LOPD para referirse al titular de los datos (“afectado”/”interesado”). Me parece que es poco comprensible para el titular de los mismos. En el caso de “interesado” es un término propio del derecho administrativo que puede generar confusión. Me parece más razonable usar términos como “ciudadano”, “cliente” o meramente “titular de los datos”.

    Tampoco es muy acertada la definición que hace el Reglamento de la LOPD de “ficheros públicos” ya que por una parte, a través de esta definición parece que se quiere “tocar” el ámbito competencial de las Agencias autonómicas; por otra parte, dada la pluralidad de entes públicos existentes es imposible que a través de una definición se delimiten todos los ficheros que son de titularidad pública.
    Respecto al consentimiento del interesado, echo en falta que se incluya los tipos de consentimiento que se permiten. Es decir, un “El consentimiento podrá ser expreso o tácito.” Y presunto si es que se admite en algún caso.

    En cuanto a las fuentes accesibles al público, varias cuestiones al respecto:
    – Deberían ser eliminadas ya que la finalidad de “exposición” al público de estos datos de carácter personal es otra. Por ejemplo, me ponen una multa de 6.000 euros, aparezco en el Boletín correspondiente, y además de pagar, tengo que soportar que unas cuantas empresas me llamen ofreciendo sus productos.
    – En caso de permanecer, su denominación debería cambiarse a “datos de uso público”.
    – Habría que analizar si Internet es una fuente accesible al público.

    Curiosamente, algunos de los que ahora están considerados como tal, están en Internet (boletines, medios de comunicación social). A su vez, considerar Internet como fuente accesible al público podría generar el efecto contrario -ya que uno se pensaría que al considerarlo como tal sería una “mina” para captar datos-, generando una mayor concienciación. En la práctica, Internet se está usando como fuente accesible al público (por ejemplo, pensemos cuando un candidato se presenta a una oferta de trabajo y el empresario le busca en la red).

    Principio de calidad.

    Sobre el apartado 2, el uso posterior para fines históricos, estadísticos y científicos, siempre he tenido mis dudas: ¿Qué es un fin histórico? El Reglamento de la LOPD recoge un procedimiento de conservación para fin histórico, pero no existe un procedimiento en sí para el mero tratamiento, o dicho de otra forma, para que el responsable sepa que está ante un fin histórico y pueda realizar el mencionado tratamiento.
    En cuanto al tratamiento científico, aunque en la práctica nunca se me ha planteado el caso, tengo mis dudas en cuanto a su “compatibilidad” con alguna normativa que regula la investigación científica, sobretodo orientada al plano sanitario.
    En cuanto a la cancelación que recoge el apartado 5 habría que conectarlo con el 16.3 que regula el derecho de cancelación. Desde mi punto de vista, la regulación es deficiente ya que el borrado de datos no existe en la práctica. En cuanto a bloquear, muchos ficheros son tablas de Word o Excel donde es imposible realizar el citado bloqueo.

    Derecho de información.

    En primer lugar, la mayor parte de este derecho se deduce de la propia recogida de datos personales. Por ejemplo, se recaban datos para un proceso de selección en una empresa, o presentación de datos personales para obtener una subvención.
    Asimismo, informar sobre los derechos ARCO no sé hasta qué punto es práctico porque salvo el acceso a la historia clínica o a expedientes administrativos (me referiré en ambos casos cuando “toque” el derecho de acceso), no se ejercitan. Dejo a salvo también el derecho de oposición/cancelación en el supuesto de Boletines.

    En cuanto a las cesiones, es difícil saber las mismas en muchos casos, sobretodo en el ámbito de la Administración, por lo que se utiliza la coletilla “sólo se cederán en los casos previsto en la Ley”, que es como no decir nada.
    Creo que sería más adecuado, por ejemplo, informar si se va a dar otro uso diferente y que sea compatible con la recogida de datos.
    Además, la cláusula que se suele utilizar no se entiende por el ciudadano de pie. Si la comparamos con la videovigilancia, ésta es perfectamente comprensible.

    Continuará…

    Responder

  2. Gontzal Gallo
    26 de diciembre de 2011 @ 09:16

    En primer lugar me gustaría felicitar a los componentes de este Blog por su iniciativa, sin duda interesante. Estas son mis humildes aportaciones:

    Ámbito de aplicación:
    Considero que se debe reforzar el concepto de tratamiento y no de fichero. También entiendo que es necesario aclarar el ámbito de aplicación para los servicios “cloud”, así como, buscar fórmulas para que, el eje del ámbito de aplicación no sea la territorialidad, sino la personalidad.

    Régimen sancionador:
    Yo siempre he considerado básico un mismo régimen sancionador para entidades privadas que para entidades públicas. Luego quizás, pudiera existir alguna especifidad entre estos dos tipos de entidades. Desde mi experiencia, percibo que existe un “sentir” que considera que las Administraciones Públicas “pasan de rositas” cuando incumplen la normativa de protección de datos, cosa que no sucede con las entidades privadas. En definitiva o sanciones económicas para todos o para ninguno.

    Difusión de los Órganos de Control:
    Considero que la AEPD, como otras agencias autonómicas (yo conozco más el caso de la AVPD), deben mejorar su presencia en Internet. En definitiva, deben mejorar sus webs (por ejemplo el buscador de la AEPD es muy mejorable).
    También sería muy interesante la obligatoriedad de publicación de todas las resoluciones de los órganos de control, no sólo los de la AEPD, sino también de los autonómicos.

    Mantenimiento del Registro de Ficheros:
    Se ha hablado mucho de que la nueva normativa europea no va a exigir el registro de ficheros. Particularmente, considero interesante esta medida, ya que es un primer paso de cara a “publicitar” los compromisos, de los que tratan datos, respecto a la privacidad. Es más, considero que no sólo se deben registrar los ficheros, sino también otras cuestiones, como por ejemplo las auditorías de seguridad. Considero particularmente interesante que los ciudadanos tengamos la posibilidad de ver quién está revisando “sus políticas de seguridad” y quién no.
    Por otro lado sería conveniente una mayor simplicidad a la hora de registrar: Por ejemplo, en materia de comunicaciones de datos, comunicar únicamente las que exijan el consentimiento del interesado.

    Fuentes accesibles al público:
    Eliminación del censo promocional como fuente accesible al público y estudio de inclusión de otras fuentes: ¿Internet, Redes Sociales?

    Calidad de datos:
    Creación de un período máximo de conservación de los datos.

    Consentimiento e información:
    Eliminación del consentimiento inequívoco: O Tácito o expreso. Estudiar la posibilidad de incluir el consentimiento presunto en determinados casos.

    No creación del derecho al olvido:
    Con los cuatro derechos ARCO son suficientes. ¿Para qué crear un nuevo “O”? Estimo que sería mejor integrarlo en el de cancelación o en el de oposición (aunque realmente, yo considero que el derecho al olvido no es más que una especifidad del derecho de cancelación o el de oposición).

    Mejorar la relación entre el Derecho Administrativo y la LOPD:
    Todos sabemos los problemas de “integración” en la Ley 30/92 y la LOPD (¿publicación de datos personales en Boletines a modo de notificación?). Considero esencial que estas dos normativas encuentren puntos de conexión y no de exclusión. Al hilo de lo que comentaba anteriormente, parecen que las Administraciones Públicas tienen más facilidades a la hora de “escaparse” al cumplimiento de la normativa de protección de datos

    En principio y bajo mi punto de vista, estas son las cuestiones que, desde mi experiencia profesional, considero esenciales aclarar o modificar respecto de la normativa de protección de datos de carácter personal.

    Responder

    • fjavier_sempere
      26 de diciembre de 2011 @ 10:34

      Hola Gonzal, voy a contestar a algunas de tus cuestiones:

      -Sobre el “cloud”, creo que es un encargado de tratamiento. Otra cuestión diferente es que se estén buscando los “tres pies al gato” para no aplicar la LOPD. Me explico: ver al respecto I Desayuno APEP, donde la primera cuestión plateada era si “estábamos ante un encargado”. Dijeron que podía haber alguna excepción pero no cuál, y que recuerde dicha excepción no suponía convertirlo en responsable. Como digo, a mí me sonó a “qué podemos hacer para saltarnos la LOPD”.

      -Sobre el régimen sancionador, toda la razón. Dos sanciones económicas a las AAPP y se acaban muchas “tonterías”.

      -Sobre publicación de resoluciones, la APDCM lo lleva haciendo desde hace bastantes años (por si tienes interés, más que nada).

      -En cuanto al Registro de Ficheros, soy partidario de no suprimirlo. Si bien es cierto que nadie lo consulta (salvo profesionales y Agencias) -pocos ciudadanos-, establece un poco de orden en relación con los ficheros que tenga cada entidad.

      -Sobre la ley 30/92 y Boletines, el problema es que se está aplicando una ley para “papel” en publicaciones electrónicas. Tamb me referiré en su momento sobre el derecho de acceso lopd vs 30/92, pq es exactamente el mismo -al menos en papel-.

      Responder

  3. Mikel García Larragan
    26 de diciembre de 2011 @ 17:57

    En primer lugar me gustaría felicitar a los autores de este blog por esta iniciativa y, en general, por el estupendo blog que tienen, siempre con contenidos interesantes y compartiendo conocimiento.

    En segundo lugar y aunque me da vergüenza (lo digo por el nivel existente, tanto de los autores del blog, como de quienes me preceden en los comentarios), intentaré contribuir con mi opinión personal a algunas de las preguntas que se plantean, en este primer comentario sólo a algunas, y espero poder seguir participando en este debate (pequeña crítica: los comentarios a una entrada no creo que sean el mejor formato para debatir esta iniciativa, porque resulta complicado, al menos para mí, contestar a todos los interesantes comentarios que se hacen, se pierden muchos matices, y es difícil centrar un poco el tema).

    Bueno dicho esto comentar lo siguiente (en este comentario los tres primeros aspectos que trata Gontzal):

    Ámbito de aplicación:
    Excesivamente generalista, intenta abarcar todo en una problemática muy compleja (sé que es muy difícil concretar más y sobre todo que es casi imposible su permanente puesta al día cuando hablamos de una materia que evoluciona a una velocidad vertiginosa, y cada vez más). Como tal, queda sometida a muchas interpretaciones (algunas de ellas de lo más variopintas y cambiantes). Por tanto, no estaría de más un mayor esfuerzo de concreción, e incluso, porque no, la exclusión de determinados tratamiento de su ámbito de aplicación (blogs, algunos aspectos de las redes sociales, etc. – no se puede “poner puertas al campo” -). Actualmente parece que es una normativa que “sirve casi para denunciar todo”.

    Régimen sancionador:
    Yo siempre he entendido que el no imponer sanciones económicas a las AA.PP. tiene toda la lógica, ya que sino terminaríamos pagándolas a “escote” entre todos los contribuyentes, sin ningún efecto disuasorio para que éstas cumplan la Ley. Cosa bien distinta es que se inicien los correspondientes expedientes sancionadores a las personas responsables, aspecto en lo que yo daría “mayor peso” a las autoridades de control, más allá de proponer el que se inicien éstos. En mi experiencia, es impresentable, no sólo ya el grado de cumplimiento que muchas AA.PP. tienen de la normativa, sino incluso el grado de conocimiento que tienen sobre ella.

    Difusión de los Órganos de Control:
    Vaya por delante que creo que realizan una labor encomiable en este sentido. Yo, como Gontzal conozco más el caso de la AVPD, y creo que realizan un esfuerzo muy importante en la divulgación de este tema, pero, sin embargo, como todo, es mejorable (el caso que plantea Gontzal del buscador de la página web de la AEPD es un buen ejemplo de esto), y creo, además, que la propia AEPD, desde el cambio de Director, se ha abandonado un poco (entre otros, en el tema de los informes jurídicos).

    Hasta aquí este comentario, pero me gustaría y espero poder participar más en esta iniciativa (a ver si saco un poco de tiempo).

    Responder

  4. Mikel García Larragan
    27 de diciembre de 2011 @ 09:14

    Continúo con el comentario de ayer, esta vez para dar mi opinión sobre otros de los aspectos aquí tratados.

    Mantenimiento del Registro de Ficheros:
    Considero que hay que mantener la exigencia de notificar los ficheros a las Autoridades de Control y, tal y como dice Gontzal, creo que se debería incluir el registro obligatorio de las auditorías, con el objetivo de establecer, al menos, una exigencia básica para intentar que las organizaciones se tomen el tema de protección de datos como una materia que requiere de una mejora continua.

    Consentimiento:
    No estoy de acuerdo con Gontzal en lo de la eliminación del consentimiento inequívoco. Yo creo que es correcto exigir el consentimiento inequívoco en todos los casos. En lo que si estoy de acuerdo es en incluir el consentimiento presunto para determinados caso.

    Además, creo que para datos de salud debería exigirse el consentimiento expreso y por escrito, y no sólo expreso.

    No creación del derecho al olvido:
    Yo también creo que el derecho al olvido debe articularse formando parte del derecho de cancelación o, en su defecto, del de oposición. Por tanto, no sería necesario articularlo como un derecho independiente de estos dos.

    Responder

  5. fjavier_sempere
    28 de diciembre de 2011 @ 16:37

    Como prometí, continúo:

    Cesiones.

    Desgraciadamente, no todas las cesiones están previstas en una ley ni ésta contempla todos los casos. La lírica jurídica es muy bonita a la hora de decir que sólo una ley puede limitar un derecho fundamental, pero no estaría de más establecer una relación ley-reglamento de desarrollo de la misma en relación con las cesiones.

    El apartado c) del 11.2 alguien me lo tiene que explicar porque casi nunca se aplica.

    En cuanto a las cesiones entre AAPP platea problemas en la práctica respecto, por ejemplo, Universidad pública cesión Universidad Privada para los fines citados no podría realizarse. Si dicha Universidad fuera pública en vez de privada podría realizarse la mencionada cesión.

    El apartado 3.11 cuando dice “nulo el consentimiento….no le permita conocer la finalidad a la que destinarán los datos cuya comunicación se autoriza o el tipo de actividad de aquel a quien se pretenda comunicar” se contradice con el art.12.2 del RD 1720/2007 q dice que para la cesión de sus datos “éste deberá ser informado de forma que conozca inequivcoamente la finalidad a la que se destinarán los datos…y el tipo de actividad desarrollada por el cesionario”. Es decir, en la LOPD “o” y en RD “y”.

    Encargado de tratamiento

    Al menos en las AAPP, los contratos con encargados deberían enviarse a la Autoridad de Control correspondiente para informe preceptivo. Y ahora con el cloud, más todavía. Transcurrido un tiempo adecuado, digamos 10 días sin ser informado el contrato, silencio positivo.

    Derecho de cancelación.
    Tal como está planteado, el borrado no existe (o casi no). La redacción actual suena a un “vamos a bloquear por si acaso pasa algo en el futuro y tienes que responer”. Se debería plantear el borrado.

    Creación, modificación y supresión de ficheros.
    Exigir a las AAPP que para ello deban aprobar una disposición de carácter general es una auntética “burrada”. Hay que cumplir demasiados trámites (publicación en el boletín para alegaciones, informe SGT, informe Agencia, informe Servicios Jurídicios, publicación definitiva). Otro ejemplo que no tiene sentido: los Colegios profesionales, para crear un fichero público siguen una tramitación, para uno privado otra diferente. Pensemos un fichero con el mismo tipo de datos (identificativos) pero uno privado y el otro público. Se debería aplicar el criterio de los ficheros privados para la creación, modificación y supresión de los mismos.

    Autoridades de Control

    Las autonómicas deberían tener todas las mismas competencias. También se debería aumentar el rango de los Directores de Agencias. Además, éstas deberían participar en órganos consultivos, del tipo, “Comisión de Tecnologías” o “Comisión para la implantación de la Administración Electrónica”.

    Sanciones
    Las AAPP deberían ser sancionadas económicamente por sus incumplimientos, como ocurre en otros ámbitos de la actuación administrativa. Con este tema, llegamos a situaciones “kafkianas” como es el caso de los Colegios Profesionales: sus ficheros públicos no reciben sanción; los que son privados, sí. Piensen en la misma infracción, mismo tipo de datos, y si habrá sanción económica dependerá de si el fichero es público o privado.

    Si no se sancionan económicamente, se podría aritcular un procedimiento que a la vez que se declara la infracción se reconoce responsabilidad patrimonial en favor del denunciante. Y en todo caso, en aquellos supuestos más graves.

    Videovigilancia
    Empieza a ser un “verdadero galimatías” la existencia de diversa normativa. ¿No sería más adecuado que estuviese todo en un mismo texto? Debería existir también una Comisión -o como quiera llamarse- a través de la cual se estableciese una relación de espacios o situaciones en los que estuviese prohibido instalar cámaras (estoy pensando en algunas situaciones en los colegios ya que se está poniendo de moda).

    Responder

  6. Héctor Guzmán
    30 de diciembre de 2011 @ 02:19

    Como no podía ser de otra forma, amplío la felicitación al equipo de Privacidad Práctica por lanzar esta iniciativa. Creo que existen muchos puntos sobre los cuales se puede opinar, y dentro del plazo concedido intentaré aportar alguna idea.

    Comenzaré con un tema que por mi trabajo suele salir a relucir de vez en cuando y que de tanto leer y releer la LOPD y su Reglamento me tiene con una idea constante:

    En materia de transferencias internacionales, claramente diferenciadas de las cesiones de datos hacia Estados Miembros de la EU, se echa en falta el ejercicio de una potestad del Director de la AEPD que se infiere de lo dispuesto por el artículo 70.1 del RD 1720/2007, que textualmente establece:

    “1. Cuando la transferencia tenga por destino un Estado respecto del que no se haya declarado por la Comisión Europea o no se haya considerado por el Director de la Agencia Española de Protección de Datos que existe un nivel adecuado de protección, será necesario recabar la autorización del Director de la Agencia Española de Protección de Datos.”

    En primer lugar, indicar que la potestad a que me refiero se infiere del artículo invocado, en la medida en que ésta no se encuentra expresamente prevista en ninguno de los apartados del artículo 12 del Estatuto de la AEPD.

    De dicho numeral se desprende que será necesario recabar la autorización del Director de la AEPD cuando la transferencia tenga por destino un Estado respecto del cual:

    1. La Comisión Europea no hubiere declarado que existe un nivel adecuado de protección, o bien
    2. El Director de la AEPD no hubiere considerado que existe un nivel adecuado de protección.

    En relación con el primer supuesto, de sobra son conocidos los Dictámenes del Grupo de Trabajo del Artículo 29 sobre Protección de Datos que de cuando en cuando emite para dar a conocer a los Estados Miembros sobre su evaluación y decisión en relación con el nivel de protección que la legislación de terceros Estados pueden brindar a los datos personales provenientes de los primeros (http://ec.europa.eu/justice/policies/privacy/workinggroup/wpdocs/index_en.htm#data_transfers).

    En la práctica, la publicación de dichos Dictámenes ha tenido como consecuencia el desarrollo de una “lista” de países para los cuales deja de ser necesario obtener la autorización de la AEPD en caso de ser necesario transferir datos personales desde España hacia aquéllos.

    Así, los Dictámenes de este “Grupo de Trabajo”, cuya naturaleza y funciones no toca sujetar a análisis en este momento, tiene efectos en España de forma tal que elimina para los responsables la necesidad de requerir una autorización que antes de su publicación era necesaria. A todas luces, un efecto directo en el ámbito nacional de los Estados Miembros.

    Frente a este escenario, y tomando en consideración la redacción del artículo 71.1 a que me he referido, ¿cabe esperar que el Director de la AEPD pueda emitir resoluciones que por sí y con efectos para el Reino de España identifiquen países adicionales a los que dictamina el GT29 en esta materia? ¿Se trata de una potestad que a día de hoy no ha sido ejercida por el Director por alguna razón en lo particular o se trata de una redacción que ha quedado vacía de contenido?

    ¿Podemos considerar que en el actual marco nacional y comunitario de regulación de la protección de datos de carácter personal, las autoridades nacionales aún cuentan con margen suficiente de actuación para tomar este tipo de decisiones? ¿O hemos dado a los Dictámenes del GT29 sobre esta cuestión el carácter de “medio único” a través del cual pueden declararse o reconocerse a países terceros como garantes de niveles de protección adecuados para nuestros datos personales?

    Creo que las preguntas son pertinentes sobre la base de la experiencia y características propias de cada Estado Miembro, pues aun sin estadísticas en la mano, pero considerando que España ha sido por excelencia el “puente hacia Latinoamérica”, resulta al menos deseable conocer si a día de hoy la AEPD cuenta con información y experiencia suficientes para emitir, a través de su Director, algún dictamen o resolución que enumere e identifique a terceros Estados (adicionales a los que reconoce el GT29) que pueden ser considerados como garantes de un nivel de protección adecuado que facilite a los responsables españoles sus relaciones diarias con filiales y subsidiarias en dicha región, cuya relación constante y necesaria es conocida por empresas españolas de carácter multinacional e incluso para responsables que sin ostentar este pomposo adjetivo tienen en la mira relaciones hacia Estados que han demostrado ser un interesante sitio de inversión y expansión.

    Por supuesto, Latinoamérica es un ejemplo como cualquier otro, pero creo que el uso del mismo sirve para poner a consideración si esta disposición reglamentaria será alguna vez utilizada o si deberemos seguir esperando a los resultados de los trabajos cotidianos del GT29 sobre esta cuestión.

    Espero tener la oportunidad de aportar alguna reflexión adicional próximamente.

    De nuevo, enhorabuena por esta invitación para dejar constancia de nuestras ideas e inquietudes.

    Saludos grandes,
    Héctor
    @HectorGuzmanMx

    Responder

  7. Luis Salvador Montero
    30 de diciembre de 2011 @ 11:42

    Muy buena tu reflexión, Héctor… (la de los demás también, pero ahora estoy comentando esta 😉 )

    La duda que me queda, es si el Director, cuando autorizase (supuestamente) una transferencia a un Estado del cual el GdTA29 no ha emitido ni siquiera su opinión -o incluso hubiera emitido opinión desfavorable-, podría hacerlo en base a otros criterios que no sean el nivel equiparable de protección del derecho fundamental, como por ejemplo basándose en BCR´s, en contratos con aquellos que tratarán los datos en esos terceros países, u otras garantías similares… ¿?

    Gracias a todos los que estáis participando en la iniciativa, y a los que aún no lo habéis hecho pero seguro que lo haréis, y feliz TODO para TODOS 😉

    @LuisSalvadorMon

    Responder

  8. Antonio Ruiz
    3 de enero de 2012 @ 10:20

    Felicidades por la iniciativa lo primero. Es una idea estupenda y creo que va a ser muy enriquecedora para todos.

    Éstoy de acuerdo con la mayoría de opiniones excepto con la propuesta de la eliminación del registro de ficheros. Es cierto que el ciudadano no va a la web de la AEPD a consultar si una empresa ha registrado debidamente el fichero y creo que, en parte, deberíamos ser nosotros los que llamemos la atención sobre este punto, que tratemos de concienciar también de la necesidad de asegurarnos de que los datos están en un lugar seguro, o al menos registrado. Y también estoy muy de acuerdo con la necesidad de registrar auditorías. Supongo que todos nos encontramos con empresas que registran sus ficheros y no vuelven a querer saber nada mas de LOPD, y esto hay que tratar de evitarlo como sea.

    Particularmente me encuentro con decenas de webs (redes sociales de poca influencia creadas hace dos o tres años, foros y webs totalmente desatendidas) que no actualizan sus contenidos y que no cumplen en modo alguno con el Reglamento que seguramente tengan sus ficheros registrados terminando ahí sus tareas de implantanción.

    Otro aspecto importante es el de las redes sociales de masas que ni cumplen nuestro reglamento ni tienen obligación de hacerlo al tratarse de empresas extranjeras, como puede ser el caso de Facebook cuya política de privacidad es diabólica.

    Y sobre el derecho al olvido creo que debería integrarse en el de cancelación. Causa mucha frustración querer cancelar tus datos y que acabes encontrandote con que tus datos van a seguir en poder de una empresa con la que no quieres seguir teniendo relación alguna. Creo que el derecho al olvido, integrado o como nuevo derecho, es imprescindible desde el mismo nacimiento de la LOPD.

    Gracias a todos por el grandísimo nivel de vuestras intervenciones. Espero seguir disfrutando de vuestras lecciones.

    Responder

  9. manuel
    10 de enero de 2012 @ 18:58

    En primer lugar enhorabuena por vuestro blog y por la iniciativa, ¿quien sabe?, con esto de las nuevas tecnologías cualquiera puede hacer escuchar su voz, ojalá sea así y la iniciativa llegue a buen puerto.

    No es mucho lo que yo puedo aportar, ya quisiera saber tanto de LOPD como para poder hacer crítica constructiva, pero alguna experiencia si que tengo en la Administración Pública, así que ahí van algunas ideas.

    Estoy de acuerdo con aquellos que habéis propuesto sanciones para la Administración Pública, pero creo que con esto no sería suficiente, pues los responsables de los ficheros podrían seguir sin preocuparse por el asunto eternamente (pagan las arcas públicas), así que en casos muy graves, en los que se aprecie dejadez de la administración, debería considerarse la inhabilitación profesional de los cargos directivos responsables de los ficheros. Si ocupan un cargo público deben tener sus responsabilidades correspondientes.

    Debería incluirse Formación obligatoria para los profesionales que realicen cualquier tratamiento de datos (me refiero a los empleados públicos de todos los niveles), algo parecido a lo que se hace con la prevención de riesgos laborales. (si eres albañil tienes que saber que el casco es obligatorio en la obra)

    Y ya puestos podría definirse mejor todo lo relacionado con el Responsable de Seguridad (formación, responsabilidades, capacitación,….)

    Saludos

    Responder

  10. María
    11 de enero de 2012 @ 14:54

    En primer lugar, mi más sincera enhorabuena y felicitación a los autores del blog y de la presente iniciativa.

    Aunque el nivel de las intervenciones esta siendo muy elevado, voy a dar mi humilde visión del asunto, como prometi a varios de los autores del blog 🙂

    – Ámbito de aplicación –> Desde mi punto de vista el ámbito de aplicación objetivo ha quedado obsoleto y no está correctamente delimitado. No ha beneficiado tampoco a la delimitación del ámbito de aplicación lo previsto en el art. 3 del RDLOPD.
    En el día a día de los profesionales de la privacidad se producen muchos supuestos donde no queda claro si es de aplicación la LOPD o no lo es, así como tampoco beneficia la poca regularidad de la AEPD en las resoluciones que emite en este sentido.

    – Régimen Sancionador –> La última modificación del régimen sancionador es satisfactoria al 50%… Satisfactoria en la parte concerniente a la nueva figura del apercibimiento, en cuanto que permite que se analice el caso concreto analizando aspectos como; gravedad de la infracción cometida, predisposición del responsable del fichero en cuanto a la subsanación de la misma, etc… Desde mi punto de vista, la figura del apercibimiento debería beneficiar principalmente a las pequeñas y medianas empresas.

    Se echa en falta no obstante, una mayor graduación de las sanciones, como sucede en el Derecho Penal, de cara a que las sanciones respondan con mayor efectividad a la gravedad de las infracciones cometidas, reincidencias, interés del responsable del fichero por aplicar la norma, etc…

    Igualmente, se echa en falta las posibles sanciones económicas para las Administraciones Públicas, de cara a que pongan mayor interés en la efectiva aplicación de una normativa de la importancia de la protección de datos de carácter personal, pues, en mi experiencia con Administración Pública, el respeto a esta normativa deja mucho que desear.

    – Apercibimiento –> En mi opinión ni una cosa ni la otra… la AEPD ante la aplicación del apercibimiento debería estudiar en profundidad cada caso, gravedad de la infracción, interés en aplicar efectivamente la norma por el responsable del fichero, etc… La falta de antecedentes no debería requisito a tener en cuenta para la aplicación del apercibimiento siempre, pues puede darse el caso de una infracción flagrante de la LOPD y del derecho fundamental que protege, casos que deberían ser sancionados económicamente.

    – Antecedentes régimen sancionador –> En este aspecto, han de delimitarse y desarrollarse los aspectos relativos a los antecedentes en materia de LOPD, preinscripción de los mismos, con la finalidad de aportar mayor seguridad jurídica.

    – Relaciones AEPD y sector profesional –> Son claramente mejorables, en cuanto que los profesionales del sector y la AEPD tienen un fin común; la defensa del derecho fundamental a la protección de datos de carácter personal. Por ello, una mayor colaboración mutua beneficiaria tanto al sector profesional como a la propia AEPD, que podría tener (a través de los ojos de los profesionales) una mayor visión de lo que ocurre en la práctica con la aplicación de la LOPD.

    – Carácter vinculante informes de la AEPD –> Deberían tener carácter vinculante, en cuanto a que si el órgano regulador emite una opinión sobre un aspecto concreto, que pueda ser tenido en cuenta por empresas, usuarios y profesionales. De igual modo, diría que la AEPD no debería cambiar tanto de criterio ante supuestos análogos, sus resoluciones deberían crear jurisprudencia, como en la jurisdicción ordinaria.

    – ¿Es satisfactoria la información de sus resoluciones que ofrece la AEPD a través de su web? –> La web de la AEPD, o mejor dicho, su usabilidad, sobre todo en la parte de informes, resoluciones, etc, es absolutamente lamentable. Depende del día que tenga el buscador encuentras lo que buscas o te desesperas en el camino. Da igual que tengas el número de resolución u otros datos.

    – ¿Debería tenerse en cuenta la envergadura del responsable del fichero para la determinación de sus obligaciones y de las medidas de seguridad? –> Por supuesto que ha de tenerse en cuenta la envergadura y recursos de los responsables de ficheros de cara a la determinación de sus obligaciones y medidas de seguridad, no por el hecho de que sean distintas, pero si habría de tenerse en cuenta que los medios con los que cuenta una pequeña empresa no son los mismos que los que puede contar una gran empresa e institución en cuanto a la implantación de medidas de seguridad. No obstante, creo que el tener en cuenta la envergadura y recursos de los responsables de ficheros no debe disminuir el nivel de seguridad a garantizar en el tratamiento de datos personales.

    – ¿Qué ha pasado con la D. A única, productos de software? Se le ha aplicado derecho al olvido? –> Personalmente he visto, recomendado y redactado licencias de software que trata datos personales en las cuales se incluye claramente el contenido de la Disposición Adicional Única del RD 1720/2007, por lo que, en mi caso, no le he aplicado el derecho al olvido.

    – ¿Debería aplicarse la excepción de los apartados 5 y 6 del art. 81 del RDLOPD a todos los datos previstos en el artículo 7 LOPD de los que tenga conocimiento un responsable del fichero por mor de su condición de empleador y cuyo conocimiento le imponga una norma, y no sólo a los que interpreta la AEPD? –> Si el conocimiento por parte del empleador de los datos sensibles previstos en el art. 7 LOPD lo impone una Ley debería aplicarse la excepción prevista en los apartados 5 y 6 de la LOPD. Entiendo que serían casos análogos y por lo tanto, deberían tener soluciones análogas.

    – Videovigilancia –> Totalmente de acuerdo con la opinión de Francisco Javier Sempere en el tema de la videovigilancia, un único texto, un catalogo de situaciones en las que estaría permitida (o no) la videovigilancia, y unas mismas normas a tener en cuenta.
    Otras cuestiones:

    • Establecimiento de plazos concretos de conservación de datos.
    • Derecho al olvido –> no configuración como derecho independiente, sino una aplicación más del derecho de cancelación ya previsto por la normativa. En su configuración y desarrollo, establecería la obligatoriedad de dirigirme al origen de los datos.
    • Como decía Gonztal, otro aspecto fundamental que debería mejorar son las relaciones entre el Derecho Administrativo (Ley 30/1992) y la LOPD.
    • Registro de Ficheros –> Personalmente no lo suprimiría, me parece un recurso y herramienta útil tanto para los responsables de los ficheros como para los profesionales del sector, independientemente de que el usuario final acceda a dichos datos o no.
    • Más acciones de concienciación y formación, tanto para el usuario final, como para entidades y organizaciones de todo tipo. Mayor difusión de esta normativa.

    Responder

  11. Alfonso Pacheco
    11 de enero de 2012 @ 14:58

    Gracias a todos por estas últimas y muy interesantes aportaciones. Lo vamos sistematizando todo para ir formando el informe.
    Alfonso

    Responder

  12. Héctor Guzmán
    7 de marzo de 2012 @ 14:34

    Si mayores preámbulos ni análisis dogmáticos, dejo caer una pregunta:

    ¿Véis alguna incongruencia entre lo dispuesto por el artículo 147.1 del RLOPD y el artículo 86.2 (segundo párrafo) de la Ley 30/1992?

    Artículo 147. Información pública.
    1. Cuando el Director de la Agencia Española de Protección de Datos acuerde, conforme a lo dispuesto en el artículo 86.1 de la Ley 30/1992, de 26 de noviembre, la apertura de un período de información pública, el plazo para la formulación de alegaciones será de diez días a contar desde la publicación en el Boletín Oficial del Estado del anuncio previsto en dicha Ley.

    Artículo 86. Información pública.
    1. El órgano al que corresponda la resolución del procedimiento, cuando la naturaleza de éste lo requiera, podrá acordar un período de información pública.
    2. A tal efecto, se anunciará en el Boletín Oficial del Estado, de la Comunidad Autónoma, o en el de la Provincia respectiva, a fin de que cualquier persona física o jurídica pueda examinar el procedimiento, o la parte del mismo que se acuerde.
    El anuncio señalará el lugar de exhibición y determinará el plazo para formular alegaciones, que en ningún caso podrá ser inferior a veinte días.

    Ahí lo dejo… pero a día de hoy cuando leo “en ningún caso”, entiendo que eso quiere decir “sin excepción alguna”… ¿o no?

    Saludos,
    Héctor
    @HectorGuzmanMx

    Responder

    • Alfonso Pacheco
      7 de marzo de 2012 @ 18:00

      Hola Héctor.
      Gracias por tu comentario, que es sumamente interesante. Efectivamente, el art. 86 de la Ley 30/1992 establece que la duración mínima del plazo de información pública debe ser de 20 días como mínimo, por lo que el artículo 147 contraviene, como bien dices, lo dispuesto en el precepto mencionado. He buscado en el BOE algún anuncio realizado por la AEPD y he localizado uno de octubre, http://www.boe.es/boe/dias/2011/10/15/pdfs/BOE-B-2011-33113.pdf, relativo a un código tipo promovido por el colegio de farmacéuticos de Sevilla y veo que abre el período por el plazo de diez días. No lo amplía a veinte de forma voluntaria, que sería una solución cuanto menos sencilla y transitoria en tanto se reformara el precepto. No obstante, la Ley de Expropiación Forzosa en su artículo 18 también establece un período de información pública por plazo inferior, 15 días.

      ¿Efectos si alguien lo alegase? Teniendo en cuenta de que es un trámite no obligatorio en el procedimiento de aprobación del código tipo y que, si bien por tiempo inferior, el período de información pública se respeta, desde luego nulidad no. ¿Anulabilidad? Teniendo en cuenta que no causa, a mi juicio, indefensión a los interesados en el procedimiento… pues tampoco. Eso sí, lo suyo sería que se reformar el precepto para adaptarlo a la Ley 30/1992.

      Un abrazo
      Alfonso, en nombre del equipo de Privacidad Práctica

      Responder

Enviar una respuesta

Protección de datos de carácter personal: con el envío del comentario, el usuario admite haber leído y aceptado la información en materia de protección de datos de carácter personal que se incluye en la información legal existente en esta página, al que se accede a través de pestaña bajo ese título, "Información legal" , situada en la parte superior de la página de inicio de este blog, y donde se informa de los titulares del blog, de las finalidades para las que se utilizarán los datos personales comunicados, así como la dirección para el ejercicio de los derechos reconocidos en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Los datos marcados con asterisco, son de obligado cumplimiento para aceptar la publicación del comentario. Si tales datos no fuesen facilitados, el comentario enviado será eliminado sin proceder a su publicación.

*