Calificaciones básicas de datos personales

Fuente de la imagen: mvc archivo propio

Promovido por Beatriz y Antonio, la tarde la pasé en un foro privado de empresarios y empresarias, en la falda de Sierra Blanca, conferenciando durante cuatro intensas horas sobre la protección de datos de carácter personal en mi país a nivel general y el RGPD[1] en específico. Es bueno que el tejido empresarial se conciencie de la importancia de la protección de datos y, en este caso, cumplimiento de la normativa europea de aplicación. Pero esta mañana de miércoles del cuarto mes del año juliano y gregoriano, no voy a escribirte sobre el RGPD[2], sino de algunas calificaciones concretas en materia de “datos personales” que considero básicas y que a estas alturas de la película deberían estar claras en la mente del empresariado de mi país[3]. Empezaré por algo tan familiar como es mi identificación personal. En el texto “El DNI como dato de carácter personal”[4] apuntaba el artículo 1 del Real Decreto 1553/2005[5], que establece en su apartado 1 que el “DNI[6] es un documento personal e intransferible emitido por el Ministerio del Interior que goza de la protección que a los documentos públicos y oficiales otorgan las leyes. Su titular estará obligado a la custodia y conservación del mismo”. El punto 3 dice que dicho “Documento tiene suficiente valor, por sí solo, para acreditar la identidad y los datos personales de su titular que en él se consignen, así como la nacionalidad española del mismo”. Finalmente, el punto 6 nos recuerda que “ningún español podrá ser privado del DNI, ni siquiera temporalmente, salvo en los casos y forma establecidos por las Leyes en los que haya de ser sustituido por otro documento”[7].

Sigo con otros datos cotidianos: mi dirección postal y mi número de teléfono. En “Datos de teléfono y dirección postal”[8], utilizaba el informe 427/2010 de los servicios jurídicos de la Agencia Española de Protección de Datos (AEPD), que se pronunciaron ante la cuestión de, si conforme a lo establecido en la Ley Orgánica 15/1999, el tratamiento limitado a los datos de número de teléfono y dirección postal, sin incorporar los datos de nombre y apellidos del interesado, se encontraba sometido a las normas de protección de datos; es decir, si podría considerarse que un fichero en que se incorporen los datos señalados contiene datos de carácter personal. Según la AEPD, el artículo 3 a) de la Ley Orgánica 15/1999 se limita a indicar que “cualquier información concerniente a personas físicas identificadas o identificables”. Además, el artículo 5.1 o) de dicho texto añade un nuevo concepto: el de persona identificable, considerando como tal “toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social”, añadiendo que “una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados”. Concluyeron que el tratamiento conjunto de una dirección postal con el número telefónico permitirá obtener información sobre la persona, sin que ello conlleve la realización de esfuerzos desproporcionados. 

¿Qué pasa con mi dirección de email? En el texto “El correo electrónico como dato de carácter personal”[9], transcribía parte del informe 261/2012 del gabinete jurídico de la AEPD, que nos recuerda que es un criterio constante de la Agencia el considerar el correo electrónico como dato de carácter personal, encuadrable en la definición genérica y en consecuencia mencionado entre los datos de carácter personal en el art. 2.2 RDLOPD. Se destacan los informes de 6 y 25 de octubre de 2004, afirmando el primero de ellos: “La dirección de correo electrónico se forma por un conjunto de signos o palabras libremente elegidos generalmente por su titular, con la única limitación de que dicha dirección no coincida con la correspondiente a otra persona. Esta combinación podrá tener significado en sí misma o carecer del mismo, pudiendo incluso, en principio, coincidir con el nombre de otra persona distinta de la del titular”. ¿Y con la IP? En “El carácter personal de una dirección IP”[10]  traía a colación el informe jurídico 327/2003 de la AEPD, donde se instruye sobre diversas cuestiones referentes a la consideración como dato de carácter personal de una dirección IP de acuerdo a lo establecido en la Ley Orgánica 15/1999, donde se consideró que la IP es siempre un dato que identifica a un tercero por lo que sería un dato de carácter personal. 

Y para terminar ¿Cómo clasificamos las matrículas de los vehículos? En “Dato de carácter personal de las matrículas de vehículos”[11] hacía mención al informe 425/2006 de la AEPD, donde los servicios jurídicos se pronunciaron sobre el concepto de dato de carácter personal de las matrículas de vehículos. Se solicitó el parecer de la AEPD acerca de “la naturaleza de los datos contenidos en la placa de matrícula de un vehículo y el nivel de protección exigido por la Ley de dichos datos”. En primer lugar, la AEPD analizó si los datos de la placa de matrícula de un vehículo han de ser considerados como datos de carácter persona. En ese sentido, el artículo 2.1 de la Ley Orgánica establece que “La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado”. Por su parte, el artículo 3 a) de dicha Ley añade que se entenderá por datos de carácter personal “cualquier información concerniente a personas físicas identificadas o identificables”. Se concluyó que la matrícula es un dato de carácter personal, al estar incorporado a un fichero. Fuente de la información: normativa e instituciones referenciadas. Fuente de la imagen: mvc archivo propio.

____________________

[1] Reglamento Europeo de Protección de Datos.

[2] Tiempo habrá en este año.

[3] Para ello me aprovecharé de textos que he editado con anterioridad en el sitio Protección de Datos, contenido que también uso en los cursos, conferencias y jornadas en los que colaboro. Sitio visitado el 18/04/2018.

[4] Velasco Carretero, Manuel. El DNI como dato de carácter personal. 2006. Sitio Protección de Datos. Visitado el 18/04/2018.

[5] Real Decreto 1553/2005, de 23 de diciembre, por el que se regula en España la expedición del documento nacional de identidad y sus certificados de firma electrónica.

[6] Documento Nacional de Identidad.

[7]  Por tanto, sobran más palabras. 

[8] Velasco Carretero, Manuel. Datos de teléfono y dirección postal. 2013. Sitio Protección de Datos. Visitado el 18/04/2018.

[9] Velasco Carretero, Manuel. El correo electrónico como dato de carácter personal. 2013. Sitio Protección de Datos. Visitado el 18/04/2018.

[10] Velasco Carretero, Manuel. El carácter personal de una dirección IP. 2009. Sitio Protección de Datos. Visitado el 18/04/2018.

[11] Velasco Carretero, Manuel. Dato de carácter personal de las matrículas de vehículos. 2009. Sitio Protección de Datos. Visitado el 18/04/2018.

Consentimiento inequívoco

Fuente de la imagen: mvc archivo propio

En el sitio Protección de Datos, texto “Sanción a Whatsapp y a Facebook”[1], te comentaba la resolución de la AEPD en el procedimiento sancionador iniciado a las empresas Whatsapp y Facebook[1], declarando la existencia de dos infracciones graves de la Ley Orgánica de Protección de Datos (LOPD), sancionadas cada una con 300.000 euros: una de ellas a Whatsapp por comunicar datos a Facebook sin haber obtenido un consentimiento válido de los usuarios y otra a Facebook por tratar esos datos para sus propios fines sin consentimiento. La cuantía de la sanción es la máxima correspondiente a las infracciones graves declaradas, teniendo en cuenta factores como el volumen de tratamientos efectuados, el volumen de negocio de las infractoras o la vinculación de la actividad de estas con los tratamientos de datos de carácter personal, entre otros. 

El Reglamento General de Protección de Datos (RGPD) que será de aplicación en mi país a partir del 25 de mayo de 2018, establece que el consentimiento debe ser “inequívoco”, es decir, prestado mediante una manifestación del interesado o mediante una clara acción afirmativa. Según la AEPD, a diferencia del Reglamento de Desarrollo de la LOPD, no se admiten formas de consentimiento tácito o por omisión, ya que se basan en la inacción. También se contemplan situaciones en las que el consentimiento, además de inequívoco, ha de ser explícito, ya sea el tratamiento de datos sensibles, la adopción de decisiones automatizadas o las transferencias internacionales. El consentimiento puede ser inequívoco y otorgarse de forma implícita cuando se deduzca de una acción del interesado. 

Los tratamientos iniciados con anterioridad al inicio de la aplicación del RGPD sobre la base del consentimiento seguirán siendo legítimos siempre que ese consentimiento se hubiera prestado del modo en que prevé el propio RGPD, es decir, mediante una manifestación o acción afirmativa. La AEPD recomienda no seguir obteniendo consentimientos por omisión y revisar esos tratamientos para que, a partir de mayo 2018, se hayan adecuado a las previsiones del RGPD. La adaptación puede llevarse a cabo bien obteniendo un consentimiento de los interesados acorde con las disposiciones del RGPD o valorando si los tratamientos afectados pueden apoyarse en otra base legal, como puede ser, entre otras, el interés legítimo del responsable o del cesionario de los datos que prevalezca sobre los derechos del interesado.

___________________

[1] Velasco Carretero, Manuel. Sanción a Whatsapp y a Facebook. Sitio Protección de Datos. 2018. Visitado el 20/03/2018.

[2] Si quieres acceder al documento, clickea AQUÍ. Sitio visitado el 20/03/2018.

Mis derechos para proteger mis datos

Fuente de la infografía: AEPD

Si eres follower del sitio "Protección de Datos", sabes mi interés por este tema. Actualmente estoy colaborando en la integración de la norma europea a un grupo de despachos de mi ámbito territorial de actuación. Me alegra la concienciación de algunas empresas y me entristecen las campañas de los presuntos profesionales, advenedizos y temporeros, que por enésima vez, al abrigo de la necesidad de adaptación normativa, van ofreciendo supuestas implantaciones y adaptaciones fraudulentas a "tutiplén", sin "pajolera" idea de la cuestión, cuando no servicios profesionales camuflados vía cursos de formación y otras estrategias censurables[1], que lo que hacen es desprestigiar la actividad, prostituir una vez más el término "protección de datos" e incrementar temerariamente el riesgo de sanciones ante el flagrante incumplimiento normativo propiciado por esas mal llamadas "consultoras" y sus "palmeros" de turno[2]. En fin. Hoy, día europeo de Protección de Datos, está marcado en mi país por ese nuevo Reglamento General de Protección de Datos, que se aplicará el 25 de mayo. 

Esta normativa, que actualiza y refuerza los derechos de los ciudadanos sobre su información personal, cambia la forma en que las organizaciones gestionan la protección de datos, debiendo adoptar medidas conscientes, diligentes y proactivas. La Agencia Española de Protección de Datos (AEPD) ha publicado una infografía con los nuevos derechos que tendrá el ciudadano a partir del 25 mayo, y que complementan a los tradicionales derechos ARCO (Acceso, Rectificación, Cancelación y Oposición). Uno de ellos es el nuevo derecho a la portabilidad, por el que una persona que haya proporcionado sus datos a un proveedor de servicios podrá solicitar la recuperación y traslado de esos datos a otra plataforma cuando sea técnicamente posible.  También hay que mencionar el llamado derecho de supresión, que sustituye y amplía el actual derecho de cancelación; el derecho a la limitación en el tratamiento de los datos personales, o que cuando se deba pedir consentimiento al ciudadano para tratar sus datos éste deba darlo de forma inequívoca, excluyendo el consentimiento tácito. 

Además, se amplía la información que hay que ofrecer al ciudadano indicando, entre otros puntos, quién recoge los datos, para qué los va a utilizar, durante cuánto tiempo, si los va a ceder a terceros o si se van a tomar decisiones automatizadas o elaborar perfiles, así como sus consecuencias. En un mundo en el que la tecnología tiene un papel protagonista, también otorga a los ciudadanos una mayor protección ante empresas ubicadas fuera de la Unión Europea cuando el tratamiento de los datos personales se derive de una oferta de bienes o servicios destinados a ciudadanos de la Unión o como consecuencia de una monitorización y seguimiento de su comportamiento. Esta novedad supone una garantía adicional a los ciudadanos europeos ya que, en la actualidad, para ofrecer servicios y tratar datos no es necesario mantener una presencia física en un territorio. Fuente de la información y de la imagen: AEPD.

_______________________

[1] LOPD gratis, 2x1...

[2] Medios de comunicación y colegios profesionales afines, asociaciones y otras organizaciones - fundaciones, agrupaciones, redes empresariales... - creadas ad hoc para alimentar sus pretendidas imágenes comerciales, al tiempo que esconden sus verdaderos y obscenos intereses.

¡La nueva LOPD ya está aquí!

Fuente de la imagen: mvc archivo propio

El Consejo de Ministros del Gobierno de España aprobó el viernes pasado el Proyecto de Ley Orgánica de Protección de Datos que adaptará nuestra legislación a las disposiciones del Reglamento UE 2016/679, introduciendo novedades y mejoras en la regulación de este derecho fundamental en mi país. Este Reglamento Europeo que se aplicará a partir del próximo 25 de mayo de 2018, recoge como uno de sus principales objetivos acabar con la fragmentación existente en las distintas normativas de los países comunitarios. Además, persigue la adaptación de las normas de protección de datos a la rápida evolución tecnológica y los fenómenos derivados del desarrollo de la sociedad de la información y la globalización. En el caso de España, donde la protección de datos es un derecho fundamental protegido por el artículo 18.4 de la Constitución, se recogen novedades tanto en el régimen de consentimiento como en los tratamientos y en la introducción de nuevas figuras y procedimientos. Adelanta a los 13 años la edad de consentimiento para el tratamiento de datos en consonancia con la normativa de otros países de nuestro entorno. Asimismo, se tomará en cuenta el tratamiento de los datos correspondientes a personas fallecidas en base a la solicitud de sus herederos, se excluye la figura del consentimiento tácito que se sustituye por una acción afirmativa y expresa por parte del afectado y se recoge manifiestamente el deber de confidencialidad. En caso de una inexactitud en los datos personales obtenidos de forma directa, se excluye la imputabilidad del responsable de su tratamiento si éste ha adoptado todas las medidas razonables para su rectificación o supresión. 

En las cuestiones relacionadas con el tratamiento de datos, incorpora el principio de transparencia en cuanto al derecho de los afectados a ser informados sobre dicho tratamiento y contempla de forma expresa los derechos de acceso, rectificación, supresión, derecho a la limitación del tratamiento, así como a la portabilidad y oposición. Para evitar situaciones discriminatorias, se mantiene la prohibición de almacenar datos de especial protección, como ideología, afiliación sindical, religión, orientación sexual, origen racial o étnico y creencias. En estas categorías, el solo consentimiento del interesado no basta para dar viabilidad al tratamiento. Además, introduce algunos supuestos en los que el legislador contempla como presunción, la prevalencia del interés legítimo del responsable del tratamiento de los datos en cumplimiento de determinados requisitos, como en el caso de los sistemas de información crediticia. Igualmente, regula situaciones en las que se aprecia la existencia de interés público, como los relacionados con la videovigilancia y sistemas de exclusión publicitaria (listas Robinson), la función estadística pública y las denuncias internas en el sector privado. Entre las novedades, destaca la potenciación de la figura del delegado de protección de datos, persona física o jurídica cuya designación ha de ser comunicada a la autoridad competente, que mantendrá relación con la AEPD (Agencia Española de Protección de Datos). Por su parte, la AEPD se configura como autoridad administrativa independiente cuyas relaciones con el Gobierno se realizan a través del Ministerio de Justicia. Se establece la necesaria cooperación y coordinación con las correspondientes autoridades autonómicas de protección de datos. 

En relación con el procedimiento, promueve la existencia de mecanismos de autorregulación tanto en el sector público como en el privado e introduce la obligación de bloqueo que garantiza que los datos queden a disposición de un tribunal, el Ministerio Fiscal u otras autoridades competentes (como la AEPD) para la exigencia de posibles responsabilidades derivadas de su tratamiento, evitando así que se puedan borrar para encubrir el incumplimiento. En el caso de España, la adaptación de nuestra legislación al Reglamento General de Protección de Datos hace necesaria la elaboración de una nueva Ley Orgánica en sustitución de la actual, cuyas normas y desarrollo deberán ser revisadas y adaptadas para evitar contradicciones. Igualmente, la AEPD deberá desarrollar cuestiones concretas que el reglamento comunitario remite a las autoridades nacionales de control y tendrá que revisar sus tratamientos de datos personales para adaptarlos a esas exigencias. Este reglamento atiende a nuevas circunstancias provocadas fundamentalmente por el aumento de los flujos transfronterizos de los datos personales como consecuencia de la actividad del mercado interior, teniendo en cuenta que la rápida evolución tecnológica y la globalización han provocado que esos datos sean un recurso fundamental para la sociedad de la información. Ante esta situación, han aumentado los riesgos inherentes a que las informaciones sobre los individuos se hayan multiplicado de forma exponencial siendo más accesibles y más fáciles de procesar, al tiempo que se ha hecho más difícil el control de su uso y destino (Fuente de la información: Sitio Protección de Datos, texto: “Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal”, y MJ; fuente de la imagen: mvc archivo propio).

Comunidades de Propietarios y LOPD

Fuente de la imagen: pixabay

Desde hace cerca de diez años, en el texto “Error, intencionalidad u olvido”[1], de vez en cuando he referenciado en ese sitio la profesión de administración inmobiliaria, actualmente título propio en Estudios Inmobiliarios por la Universidad de Málaga (España) y que antaño se conocía como Administración de Fincas (ver “Orgullosa de su administrador de fincas”[2]). En “Yo, profesional robot[3]” te comentaba que parecía que esas especialidades no se iban a extinguir a medio plazo, puesto que, como reflexionaba en “Hasta en la sopa”[4], la Ley de la Propiedad Horizontal española (LPH) tiene la virtud de que, siendo una ley escueta, la conoce en mi país casi todo el mundo (le suena a casi toda la ciudadanía), ya que, entre otras razones, las comunidades de propietarios las tenemos por casi todos los rincones del territorio, casi “hasta en la sopa”, la convivencia con los vecinos y vecinas a la orden del día, las zonas comunes el pan nuestro de la mayoría de los “españolistos” y los litigios en el marco de la LPH son peculiares, al convivir en el "rellano" demandante y demandado en muchos casos, por no hablar de la importante influencia de las comunidades de propietarios y sus economías de escala en el Producto Interior Bruto español (PIB).

Te cuento lo anterior, porque desde hace unos meses, cuando edité en el sitio sobre Protección de Datos de Carácter Personal el texto “La LOPD y la Administración de Fincas”[5], tenía anotado en la agenda echar un vistazo a la guía “Protección de datos y administración de fincas”, publicada por la Agencia de Protección de Datos española (si quieres acceder al documento, clickea AQUÍ[6]). Así que en el fin de semana pasado, escuchando a Deacon Blue (ver “Tres décadas de diácono azul”[7]), he estado hojeando el texto, que aborda, por un lado, cuestiones generales de la normativa de protección de datos que se aplican a los administradores de fincas, que actúan por cuenta de las comunidades de propietarios, y, por otro lado, el análisis de supuestos específicos que se plantean con frecuencia ante la Agencia, tanto en forma de consulta como de denuncia: información sobre propietarios con pagos pendientes (publicación en el tablón de avisos de la finca de la identidad de los propietarios deudores o de las cuotas vencidas e impagadas), acceso y obtención de copias de la documentación de la comunidad, requisitos para la instalación de cámaras de videovigilancia o tratamiento de datos de empleados[8] (Fuente de la imagen: pixabay).

______________________

[1] Velasco Carretero, Manuel. Error, intencionalidad u olvido. 2007. Sitio visitado el 01/05/2017.

[2] Velasco Carretero, Manuel. Orgullosa de su administrador de fincas. 2014. Sitio visitado el 01/05/2017.

[3] Velasco Carretero, Manuel. Yo, profesional robot. 2016. Sitio visitado el 01/05/2017.

[4] Velasco Carretero, Manuel. Hasta en la sopa. 2016. Sitio visitado el 01/05/2017.

[5] Velasco Carretero, Manuel. La LOPD y la Administración de Fincas. 2017. Sitio Protección de Datos. Visitado el 01/05/2017.

[6] Sitio visitado el 01/05/2017.

[7] Velasco Carretero, Manuel. Tres décadas de diácono azul. 2017. Sitio visitado el 01/05/2017.

[8] A continuación te dejo un vídeo, alojado en Youtube cortesía de Melián Abogados, con unas pinceladas sobre el cumplimiento de la normativa de protección de datos por parte de las comunidades de propietarios.