Siempre he criticado que las grandes Administraciones Públicas, las que manejan millones de datos personales de nosotros, no se toman en serio esto de la protección de datos de carácter personal; y esto así, al menos mi opinión, porque no son conscientes de lo valioso de la información que tratan y además parece no importarles lo que ocurra con ella.
Y prueba de ello es lo que hoy voy a contar, en primera persona.

Allá por octubre de 2007, como uno más de los varios millones de españoles, solicité una prestación contributiva por desempleo en Murcia.

Tras ser concedida se me entregó un “justificante de demanda de empleo” (DARDE), en el cual figuraba la fecha en la que me había dado de alta en el Servicio Público de Empleo Estatal (SPEE).
Y aquí comenzaron las irregularidades.

Se me informó que debía renovar la tarjeta (DARDE) en las fechas indicadas en ese documento y que podía hacerlo por Internet; para ello, debía acudir a la sección de “Tu oficina SEF en casa” de la dirección web http://www.sefcarm.es.
Una vez allí, sólo tendría que introducir mi número de DNI y como contraseña la fecha en la que me había dado de alta en el SPEE, o sea, la fecha que figuraba en el DARDE.

A cualquier aficionado en seguridad ya le debe llamar la atención que para acceder a un servicio público con cierta trascendencia para el ciudadano, la contraseña sea una fecha y encima impresa en un papel que tienes que llevar de un lado para otro y conservarlo durante muchos meses.
Pues sí, este mecanismo de “autenticación” perdura actualmente, siendo imposible modificar la “contraseña” (fecha de alta). Excuso decir, que aun desconociendo la fecha, ¿cuántas posibles combinaciones puede haber para un ciudadano medio? ¿2000? ¿3000? Pero esto es otra historia…

No había salido aun de mi asombro, cuando accedo al sistema: pongo mi DNI y la fecha correspondiente.

Al entrar se tienen una serie de servicios disponibles, me centraré aquí en el que me interesaba: renovación de la demanda de empleo (o consulta de de la demanda, es lo mismo).
Hacemos click, aparecen todos mis datos personales, incluidos los de formación, cursos, empresas en las que he podido trabajar, carnet de conducir, etc.
Solo me falta darle a “Renovar” y ya está, demanda de empleo renovada.

¿Problema?

Pues no explico el problema, indico lo que enviaba el navegador web justo después de hacer click sobre “Renovación de la demanda”:

GET http://www.sistemanacionalempleo.es/ConsultaDemandaWEB/consultaDemanda.do?idDemanda=D++YYYYYYYY&modo=consultaDatos

Donde he puesto YYYYYYY figuraba mi número de DNI.

No hace falta tener una imaginación ciclópea para probar a poner en el navegador, directamente, esa misma dirección, pero en vez de YYYYYY (mi DNI) poner otro cualquiera, por ejemplo ZZZZZZZ, resultado: aparecen todos los datos personales del titular del DNI ZZZZZZZZ, incluyendo información sensible muy golosa para empresas de seguros, marketing y acreedores.

Inmediatamente hice un programita que dejé funcionando durante varios días probando todas las combinaciones posibles de números de DNIs para hacerme con una base de datos de ciudadanos españoles importante, porque NO sólo figuran los datos de las personas que ahora mismo estén en el paro, sino los de cualquiera que alguna vez lo hayan estado o se hayan inscrito a lo que era el INEM.

Este fallo de seguridad lo reporté a través del formulario de contacto que figuraba en la web del SPEE, sin obtener respuesta alguna a día de hoy.

Por otro lado y con ocasión de un pleito que inicié contra el SPEE, puse de manifiesto en la demanda y en la reclamación previa este fallo de seguridad; además, para que vieran lo sencillo que era, adjunte un CD con una grabación, paso a paso y explicando lo que hacía, para que tanto el juez como el SPEE vieran claro el problema. El resultado en el juicio: el abogado del Estado le dijo a su señoría que los fallos de seguridad existen y que tenemos que convivir con ellos, y que si un hacker quería podía entrar en la NASA y en el FBI, que la inseguridad informática no se puede evitar. El juez por su parte indicó en la Sentencia que “los principios de seguridad e intimidad, en ningún caso, deben prevalecer sobre los de transparencia, veracidad, legalidad y solidaridad“.

Misteriosamente, a pesar de haberse celebrado el juicio, el fallo de seguridad seguía sin resolverse (ya habían transcurrido más de 7 meses).

Esto ya me lo imaginaba, así que casi simultáneamente a la demanda jurisdiccional interpuse denuncia ante la Agencia Española de Protección de Datos por el problema de seguridad, aportando también el mismo CD.

De esta vía destaco algunas de las alegaciones que hizo el SPEE:

“El denunciante logró el acceso a los datos de los demandantes de empleo modificando el código fuente”

“El fallo se pudo llevar a cabo gracias a una reingeniería del sistema, utilizando ciertas capacidades de los navegadores web para observar el código fuente intercambiado entre dicho navegador y el servidor web del Sistema Nacional de Empleo y además modificación del código fuente para suplantar el DNI del usuario por un segundo DNI”.

La Agencia Española de Protección de Datos le pregunta al SPEE, que si a su juicio, “para ver el código fuente de una página web se requieren de extensos conocimientos de programación informática, o si se debió utilizar alguna herramienta especial” (jejeje, la AEPD ironiza).

El SPEE responde que:

“El denunciante usó lo que en el lenguaje informático se denomina un ataque de fuerza bruta, necesario para conocer los números de DNI. Además, el denunciante puede ser un experto en la materia como revela que dispone de una página web: www.samuelparra.com“

Sin embargo, la parte que más me gusta de la Resolución de la AEPD es la siguiente, en el Fundamento de Derecho Tercero:

“En lo que respecta a las alegaciones del SPEE que el acceso se produce por el denunciante, que dispone de una página web sobre protección de datos, es experto y tiene conocimientos amplios en la materia, se debe señalar que lo que esta persona desarrolló es una puesta a prueba del sistema y de sus datos, lo cual debía haber hecho el SPEE previamente a facilitar servicios de consulta… Lo que sí se acredita es que tanto en el CD como a través de los servicios de inspección, incluso con posterioridad a que el SPEE tuviera noticia a través de la reclamación previa y demanda ante el Juzgado, el sistema era accesible, hasta agosto de 2009″.

Finalmente la AEPD termina en declarar que se ha vulnerado gravemente el artículo 9 de la Ley Orgánica de Protección de Datos, es decir, el principio de seguridad. Además se declaran otras infracciones más que si el lector está interesado podrá consultar directamente en la Resolución.

Yo destacaría de este caso lo siguiente:

1: lo que tarda la Administración en reaccionar y reparar: más de un año
2: el poco interés en proteger los datos personales de los ciudadanos porque este fallo de seguridad es de una simplicidad extrema y no lo repararon hasta que se las vieron venir.

El diario El Mundo, en su edición del domingo 7 de marzo ha publicado esta noticia.

La Resolución 02714/2009 por la que se declara la infracción al SPEE aun no está disponible en la página web de la AEPD, pero se puede descargar desde aquí. (ojo, casi 10 megas).

A día de hoy, el problema ya ha sido reparado y se ha modificado la forma de acceso al sistema. Y NO, no dejé ningún programa varios días para obtener toda la información del SPEE, es una advertencia/broma al lector para sensibilizarlo con el problema: no lo hice pero cualquiera podría haberlo hecho.

Una rutinaria inspección del Comisionado para el Mercado de Tabacos en una expendeduría de tabaco y timbre ha desvelado el uso perverso que se ha estado realizando con los datos personales de los interesados que dejan su curriculum con la intención de optar a un puesto de trabajo en dicho establecimiento.

A mediados del año 2008, este Comisionado inició un procedimiento sancionador contra la expendeduría, solicitándose la remisión de una serie de facturas.
Estas facturas eran de un importe muy superior al habitual para un consumo doméstico o personal (en torno a 6000 euros). El Comisionado entonces envió una copia de esta factura a cada uno de los supuestos clientes para que confirmasen si en efecto habían comprado tabaco por esa cantidad.

La sorpresa vino en las respuestas de estos “clientes”. Varios de ellos afirmaron que no habían comprado nada y que la única relación que habían tenido con ese estanco fue la de dejarles su curriculum al ver el clásico cartel de “Se busca dependienta”.

En vista de estos hechos, el Comisionado presenta denuncia ante la Agencia Española de Protección de Datos por entender que se ha vulnerado el derecho a la protección de datos de estas personas.

La Agencia inicia el correspondiente procedimiento sancionador y se le notifica a la denunciada para que alegue lo que estime oportuno.

¿Qué fue lo que alegó la propietaria del establecimiento?, pues cito textualmente:

“En el momento de imprimir las facturas que nos habían sido solicitadas, la persona encargada dio a la tecla equivocada y seleccionó el listado de personas solicitantes de empleo y no el de clientes del estanco. Como el plazo que se nos había concedido no era mucho para la aportación de facturas, no se dispuso de tiempo para revisarlas y se mandaron al Comisionado con los datos equivocados”.

Sin comentarios…

El asunto es que aunque le haya dado a la tecla equivocada o pulsase el botón del ratón que no era, las facturas se emitieron, utilizando los datos personales de solicitantes de empleo, sin su consentimiento obviamente.

El tratamiento de datos sin consentimiento de los afectados o sin otra habilitación amparada por la Ley constituye una vulneración del derecho fundamental a la protección de datos. Este derecho, en palabras del Tribunal Constitucional en su Sentencia 292/2000, de 30 de noviembre (F.J. 7, primer párrafo), “consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el estado o un particular (…)”.

La Agencia finalmente le impone una multa de 60101.21 euros por el tratamiento sin consentimiento de estos datos personales.

Descarga de la Resolución

Las técnicas de las empresas de cobro a morosos son cada vez más agresivas e invasivas. Entre sus prácticas habituales están la de poner en conocimiento de vecinos y familiares la deuda, o como el caso expuesto, enviar faxes a la empresa donde trabajar el deudor para informarle de la existencia de dicha deuda.

Pero ¿por qué es ilegal enviar el fax en esas condiciones? Vamos a explicarlo con la Sentencia de la Audiencia Nacional de 12 de noviembre de 2009 como ejemplo.

Como nota meramente informativa, esta Sentencia trae causa de un recurso presentado por Aslenga S.L. Cobro de impagos (denominada El torero del moroso) contra la Resolución de la Agencia Española de Protección de Datos (AEPD) por la que se le imponía una multa de 12000 euros por vulnerar el artículo 10 de la Ley Orgánica de Protección de Datos (LOPD) en relación al 12.4 LOPD.

Veamos los hechos. El 26 de abril de 2006 la empresa Aslenga S.L. “El torero del moroso” remite varios faxes al número correspondiente a la empresa X, empresa donde trabaja el deudor; estos faxes son retirados por un empleado cualquiera aunque van dirigidos a nombre del deudor y en ellos se le informa de la existencia de una deuda.

Aslenga S.L. suscribió un contrato con Postmobel S.L. para la gestión del cobro de diversas deudas, entre ellas la que se menciona en el fax. Este contrato se enmarca dentro del artículo 12 de la LOPD por lo que no es necesario el consentimiento del deudor para que se faciliten sus datos al cobrador de morosos.

En el cuerpo del fax se puede leer, entre otra información: “ruego se ponga en contacto con nosotros para negociación de la deuda, de la cual ya le informamos telefónicamente“. Esta frase, unido al contexto del documento, y el nombre del remitente (El torero del moroso) llevan a la conclusión a la AEPD y posteriormente a la Audiencia Nacional a entender que permiten establecer la calificación de los interesados como morosos en las obligaciones dinerarias surgidas a consecuencia de alguna operación crediticia o mercantil. Esto es, permite establecer una evaluación de la personalidad de los individuos.

Puestos en situación, lo relevante bien ahora, al afirmar la Audiencia que:

“Teniendo en cuenta que dicho medio de comunicación (fax) no garantiza la confidencialidad de los datos expuestos en los documentos, dado que no puede garantizarse que quien recepciona el fax es el propio interesado, debe considerarse que ASLENGA, SL. ha vulnerado el deber de secreto que exige la LOPD y que la citada infracción cometida por ASLENGA, S.L. debe considerarse como grave…”.

¿Qué deber de secreto exige la LOPD?, el deber de secreto del artículo 10:

“El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.”

El citado artículo 10 pauta de forma individualizada el deber de secreto de quienes tratan datos personales, dentro del título dedicado a los principios de protección de datos. Este deber de secreto pretende que los datos personales no puedan conocerse por terceros, salvo en los supuestos recogidos en otros preceptos de la LOPD, como el Art. 11 (comunicación de datos) o el artículo 12 (acceso a los datos por cuenta de terceros).

La Audiencia concluye en el sentido de entender que ASLENGA, SL. ofrece información relevante en el centro de trabajo de los deudores. Así, no ofrece duda la vulneración del deber de secreto por parte de ASLENGA, SL al haber revelado tales datos a terceros sin el consentimiento de los denunciantes y sin que concurran ninguno de los supuestos previstos en los artículos 11 y 12 de la LOPD.

Desestima por tanto el recurso presentado por Aslenga S.L. y confirma la sanción de 12000 euros.

Por último ¿qué hicieron los deudores para obtener este pronunciamiento de la AEPD sancionando a la empresa acosadora y torera de morosos? Presentar denuncia ante la AEPD.

Es importante denunciar esta clase de prácticas abusivas porque es la única manera de librarnos de ellas.

Descargar Sentencia de la Audiencia Nacional.

Vaya por delante que con este artículo no quiero poner de manifiesto ninguna inscripción incorrecta en el Registro de la Agencia Española de Protección de Datos (AEPD), insisto, no digo que los siguientes ejemplos curiosos estén mal, simplemente me han parecido eso, curiosos, nada más. Que cada uno saque sus conclusiones.

En el Registro de Ficheros de la AEPD, según indica el artículo 26.1 de la Ley Orgánica de Protección de Datos (LOPD), se deben inscribir todos los ficheros (ojo, fichero a efectos de la LOPD) de datos de carácter personal que una persona o entidad privada proceda a su creación.
Esa inscripción debe contener, en todo caso y entre otra información, la identificación del responsable del fichero, la finalidad y ubicación del fichero, el tipo de datos de carácter personal que contiene; también se exige el nombre del fichero.

El registro se puede consultar por Internet.

Curioseando un poco con el buscador de ficheros, he encontrado algunas inscripciones peculiares, que ordeno por categorías:

Nombre del fichero: el nombre del fichero debe contener una mínima referencia al contenido del fichero; es habitual, por ejemplo, que al fichero que contiene los datos de los clientes de una empresa se le llame “Clientes”.
Sin embargo es posible encontrar cosas como estas en los nombre de los ficheros:

•  Nombre del fichero: C:\Usuario\Merche\Export\Facturas  o C:\Usuario\Matilde\Export\Facturas
•  Nombre del fichero: C:\documentsandsetting\usuario\escritorio\  o C:\documentsandsettings\trabajo2\misdocumentos\laboral

También se puede encontrar, como nombre del fichero, eso, el nombre del fichero, con extensión y todo:

• Nombre del fichero: Facturacompra03.xls
• Nombre del fichero: Facturaclienteeneroyfebrero02.xls  No, esa empresa luego no tiene un Facturaclientemarzoyabril02.xls

En vez de ficheros de Excel (xls) también encontramos Bases de Datos Microsoft (mdb)

•   Nombre del fichero: Master.mdb  o Familias.mdb

Se dan incluso circunstancias extrañas, como que bases de datos de “prueba” accedan al Registro de Ficheros de la AEPD

•   Nombre del fichero: Prueba.mdb

En otras ocasiones el nombre del fichero es simplemente desconocido:

•   Nombre del fichero: Desconocido

Dirección del responsable. Es obligatorio indicar la dirección del responsable, sin embargo algunos ficheros tienen una dirección inexistente, o al menos a mí me ha sido imposible ubicarla:

•   Dirección: Calle Los Tontos nº 16, Sangonera la Verde - Murcia   (si alguien conoce esta calle que me lo indique, en Google Maps no aparece)
   

Descripción de las finalidades previstas para el fichero, encontramos la siguiente:

•   Finalidad: Guardar y registrar los correos electrónicos recibidos en la empresa tonto de clientes como de terceros… 
   

Tipo de datos en el fichero. Encontramos una empresa que tiene un fichero cuya finalidad es la de “Dar cumplimiento a las obligaciones en materia de interceptación legal de las comunicaciones“, entre los datos que almacena en ese fichero encontramos:

•   Tipo de datos en el fichero: Origen racial, vida sexual, violencia de género, huella…  ¿Qué clase de interceptación legal de las comunicaciones hace esta empresa?

Si alguno conoce otros ejemplos estaría bien que los mencionara en el apartado de comentarios y los iré incluyendo en el cuerpo del artículo.

Otro día hablamos de los ficheros titularidad de las Administraciones Públicas.

—————————————————–

Ricardo Martín nos advierte también de este otro fichero curioso: “Nombre del fichero: F:\JAMON\AGS\CLIENTES.DBF  ¿Una carpeta con el nombre JAMON? Un poco de por favor, al menos currense los nombres de las carpetas, que “jamon” queda poco profesional.“

La imagen se considera un dato de carácter personal y por tanto, según lo establecido en el artículo 6.1 de la Ley Orgánica de Protección de Datos (LOPD), se debe obtener el consentimiento si queremos realizar un tratamiento sobre una fotografía en la que aparezca una persona cualquiera.

Por otra parte, esta LOPD no se aplica a los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas (artículo 2.2.a), así por ejemplo, no es preciso informar de los derechos que le asisten a un amigo cuando le pedimos su número de teléfono.

En el ámbito de las redes sociales, donde se mueven millones de fotografías todos los días, se cuestiona si la LOPD debería aplicarse a cada uno de los usuarios de esta red social, considerando a cada uno de ellos como un “Responsable del fichero” respecto a la información fotográfica que maneja, comparte.

En teoría, para que un usuario de una red social pudiera colgar la fotografía de grupo de la fiesta del viernes, debería solicitar el consentimiento a cada uno de ellos, no siendo posible deducirse  dicho consentimiento del simple hecho de “posar” para la fotografía. Esta situación colocaría a millones de ciudadanos españoles en deudores en materia de protección de datos, en otras palabras, serían infractores y podrían ser sancionados con multas de entre 60.000 y 300.000 euros.
Sin embargo, podriamos opinar que en estos casos de compartir fotos en una red social se debería aplicar la excepción del artículo 2.2.a LOPD (actividad exclusivamente personal o doméstica), y por tanto estaríamos al margen de la LOPD.

La Agencia Española de Protección de Datos (AEPD) entiende, en su informe jurídico 2008-0615, que para que nos hallemos ante la exclusión prevista en el artículo 2.2.a LOPD, lo relevante es que se trate de una actividad propia de una relación personal o familiar, equiparable a la que podría realizarse sin la utilización de Internet, por lo que no lo serán aquellos supuestos en que la publicación de fotografías se efectúe en una página de libre acceso para cualquier persona o cuando el alto número de personas invitadas a contactar con dicha página resulte indicativo de que dicha actividad se extiende más allá de lo que es propio de dicho ámbito.

Se basa la AEPD para esta interpretación en un Dictamen del Grupo de Trabajo del artículo 29 , Dictamen 5/2009, adoptado el 12 de junio de 2009.

Este Dictamen determina respecto al número de contactos en una red social, que: “Un gran número de contactos puede indicar que no se aplica la excepción doméstica y el usuario podría entonces ser considerado como un responsable del tratamiento de datos“.
En idéntico sentido se pronuncia cuando el perfil del usuario se encuentra “abierto”, sin restricciones de acceso.

Si echamos un vistazo a las principales redes sociales utilizadas en España, como Tuenti o Facebook, podemos encontrar fácilmente usuarios con más de 200 o 300 “amigos”, personas agregadas como tales al perfil de un usuario y por tanto con acceso completo al material fotográfico que publica.
Podemos preguntarnos si una persona puede tener realmente 300 amigos o si de esos 300, el 90% son simples “conocidos de conocidos” o “tipo/a que me mola su foto del perfil y lo agrego”.

De igual forma podemos encontrar usuarios con sus perfiles abiertos.

Pues bien, según esta interpretación de la AEPD y del Grupo del 29, estos usuarios se convierte en “Responsable del tratamiento” a efectos LOPD y por tanto tendrán una serie de obligaciones legales que deberán respetar, a saber:

a) Informar de lo establecido en el artículo 5.1 de la LOPD a cada una de las personas que aparezcan en fotografías publicadas en su perfil.
b) Solicitar el consentimiento a cada una de las personas que aparezcan en las fotografías de su perfil, y estar en disposición de poder probar dicho consentimiento.
c) En determinados casos, declarar un fichero de datos ante el Registro de Ficheros de la Agencia Española de Protección de Datos.

Infringir algunas de estas obligaciones podrían acarrear multas de hasta 300.000 euros.

El pasado viernes era aprobado por el Consejo de Ministros el nuevo texto del Proyecto de Ley de Economía Sostenible que, entre otras muchas cuestiones, propone una serie de reformas legislativas con el fin de erradicar las vulneraciones de propiedad intelectual que cometen determinadas Páginas Web que facilitan enlaces, en la mayor parte de las ocasiones con un claro y evidente ánimo de lucro, a contenidos protegidos por derechos de autor sin la autorización de sus titulares.

Mucho se ha dicho sobre esta reforma y ha tenido un eco mediático considerable. No obstante, desde Derecho en Red hemos constatado la existencia de informaciones incorrectas, afirmaciones demagógicas y planteamientos desproporcionados que sustraen a los ciudadanos de un análisis distanciado y completo de las implicaciones jurídicas de la reforma planteada.

Desde Derecho en Red no creemos que esta reforma sea la más apropiada. Entendemos que es necesario enjuiciar todas las infracciones de propiedad intelectual que se comentan “online” u “offline” y, en particular, a todos aquellos prestadores de servicios que se lucran facilitando enlaces a descargas, directas o a través de redes P2P, a contenidos protegidos. Pero tal enjuiciamiento debe hacerse desde las garantías y vías de protección que contempla la normativa de propiedad intelectual vigente.

El ordenamiento vigente ya contempla la posibilidad de plantear acciones de cesación contra los titulares de servicios de la Sociedad de la Información. Los titulares de derechos de autor pueden solicitar de los órganos judiciales las acciones de cesación que les permite la Ley (el artículo 138 de la Ley de Propiedad Intelectual dice expresamente que pueden solicitarse dichas medidas “aunque los actos de dichos intermediarios no constituyan en sí mismos una infracción”), que actualmente son tomadas en el plazo medio de 2 meses. Dicho plazo, muy lejos del utilizado para la resolución definitiva del procedimiento judicial, permite garantizar de forma efectiva los derechos de propiedad intelectual sin la necesidad de plantear una reforma tan importante como es la que se incluye este Proyecto de Ley.

En este orden de cosas, si el Ejecutivo considera que en el marco jurídico actual no existen medios suficientes para la protección de los derechos de los autores o titulares de derechos, debe abrir una reflexión, en sede de la propia Ley de Propiedad Intelectual, y proponer, en su caso, una reforma de los medios de protección ya contemplados en esa norma, sin necesidad de:

1. Elevar los derechos de propiedad intelectual, derechos privados y de naturaleza patrimonial, a un estatus equiparable a intereses dignos de protección reforzada, como el orden público, la seguridad pública, defensa nacional, la salud o la infancia, y los derechos fundamentales.
2. Atribuir a un órgano de naturaleza administrativa la tutela, protección y defensa de estos intereses privados, que podrá intervenir en toda prestación de servicios de la sociedad de la información que potencialmente pueda causar una lesión de derechos de propiedad intelectual, con la indefinición e inseguridad jurídica que ello supone.
3. Establecer un mecanismo procesal, supuestamente de control judicial ante el conflicto con derechos fundamentales como la libertad de expresión o el derecho a la información, sumario e impreciso.

El artículo completo, así como una sección específica de “FAQs” o preguntas más frecuentes está accesible en:  http://derechoenred.com/blog/?p=208

Para los que no conozcan el problema voy a realizar un brevísimo resumen de la situación actual y la anterior, y concluiré con una opinión personal del asunto. Este artículo no pretende abordar los requisitos legales para la instalación de un sistema de videovigilancia.

En primer lugar debemos tener algunas cosas claras: el tratamiento de las imágenes que graban las cámaras de seguridad se debe realizar respetando la normativa sobre protección de datos (Ley Orgánica de Protección de Datos - LOPD), y esto es así porque la imagen personal se considera un dato de carácter personal.

Esta LOPD establece en su artículo 6 que el tratamiento de los datos personales deberá contar con el consentimiento del afectado; añade a continuación que dicho consentimiento no será preciso entre otras cosas si una Ley así lo establece, lo cual debemos completarlo con el artículo 10 del Real Decreto 1720/2007. Ejemplo: publicación de las notas de los exámenes en las universidades.

Por tanto, en principio, para que el bar de la esquina pudiera grabarnos con su cámara de vigilancia debería contar con nuestro consentimiento, que debe ser en todo caso previo (entre otras cosas).

Lógicamente esto llevaría al absurdo de tener que pedir el consentimiento a cada ciudadano que accede a un local o establecimiento; por ello, la Agencia Española de Protección de Datos (AEPD) ha venido entendiendo que existe una Ley que habilita al tratamiento de las imágenes y que por tanto no es necesario solicitar el consentimiento, esta ley es la Ley 23/1992 de Seguridad Privada.

Textualmente, la AEPD ha venido afirmando en sus procedimientos sancionadores, en relación al artículo 6.1 y 6.2 de la LOPD que:

“El mencionado artículo debe de conectarse con lo dispuesto en la Ley 23/1992, de 30 de julio, de Seguridad Privada (en adelante LSP), que establece en su artículo 1.1: “Esta Ley tiene por objeto la prestación por personas, físicas o jurídicas privadas, de servicios de vigilancia y seguridad de personas o de bienes, que tendrán la consideración de actividades complementarias y subordinadas respecto a las de seguridad pública.

Asimismo, añade el artículo 1.2 que:” A los efectos de esta Ley, únicamente pueden realizar actividades de seguridad privada y prestar servicios de esta naturaleza las empresas de seguridad y el personal de seguridad privada, que estará integrado por los vigilantes de seguridad, los vigilantes de explosivos, los jefes de seguridad, los directores de seguridad, los escoltas privados, los guardas particulares del campo, los guardas de caza, los guardapescas marítimos y los detectives privados.

El artículo 5.1 e) de la LSP dispone que: “Con sujeción a lo dispuesto en la presente Ley y en las normas reglamentarias que la desarrollan, las empresas de seguridad únicamente podrán prestar o desarrollar los siguientes servicios y actividades (…) Instalación y mantenimiento de aparatos, dispositivos y sistemas de seguridad”. Esta previsión se reitera en el artículo 1 del Reglamento de Seguridad Privada, aprobado por Real Decreto 2364/1994, de 9 de diciembre. De este modo, la Ley habilitaría que los sujetos previstos en su ámbito de aplicación puedan instalar dispositivos de seguridad, entre los que podrían encontrarse las cámaras, siempre con la finalidad descrita en el citado artículo 1.1.

En consecuencia, siempre que se haya dado cumplimiento a los requisitos formales establecidos en los artículos precedentes (inscripción en el Registro de la empresa y comunicación del contrato al Ministerios del Interior), las empresas de seguridad reconocidas podrán instalar dispositivos de seguridad, entre los que se encontrarían los que tratasen imágenes con fines de videovigilancia, existiendo así una habilitación legal para el tratamiento de los datos resultantes de dicha instalación. En conclusión, es necesario que por parte de quien desean instalar dichas cámaras, se cumplan con todos los requisitos antes expuestos.”

Esta situación tranquilizadora se ha visto trastocada por la entrada en vigor de la reforma de esta LSP operada por la Ley 25/2009 de 22 de diciembre (conocida como Ley Omnibus) que ha venido a crear una disposición adicional sexta que establece:

“DISPOSICIÓN ADICIONAL SEXTA. Exclusión de las empresas relacionadas con equipos técnicos de seguridad.

Los prestadores de servicios o las filiales de las empresas de seguridad privada que vendan, entreguen, instalen o mantengan equipos técnicos de seguridad, siempre que no incluyan la prestación de servicios de conexión con centrales de alarma, quedan excluidos de la legislación de seguridad privada siempre y cuando no se dediquen a ninguno de los otros fines definidos en el artículo 5, sin perjuicio de otras legislaciones específicas que pudieran resultarles de aplicación.”

Esto quiere decir que desde el 27 de diciembre de 2009 es posible la instalación de cámaras de vigilancia que no estén conectadas a centrales de alarma sin sujeción a la legislación sobre seguridad privada, es decir, sin que se aplique la LSP.
Esta es una modificación legislativa para adaptar nuestra legislación en esta materia a lo estipulado por la Directiva 2006/123/CE en lo cual no entraré.

Llegados a este punto podemos cuestionarnos: si puedo instalar una cámara, y por mi condición no estoy sometido a la LSP ¿qué Ley me exime de solicitar el consentimiento a las personas que grabo?.

La respuesta parece no ser unitaria.

Por un lado tenemos la postura de Alfonso Pacheco y Santiago Bermell que ya la dejaron patente en un excelente artículo (y el primero en abordar el asunto) publicado en junio de 2009. 
Ellos entienden que con la entrada en vigor de la normativa que se avecinaba, “significa la desaparición de la cobertura legal designada por la propia AEPD para legitimar ese tratamiento. Esto supone un grave problema, porque entonces la única vía abierta para esa legitimación pasará a ser la de contar con el consentimiento individual de cada sujeto cuya imagen pueda ser captada por las cámaras de videovigilancia”.

Por otro lado tenemos la postura de Eric Gracia, quien en un artículo publicado en Derecho.com  entiende que se “suaviza la legitimación necesaria para poder captar imágenes mediante sistemas de videovigilancia” ya que “a partir de ahora cualquier sistema de videovigilancia, independientemente de quien lo haya instalado y siempre que no esté conectado a una central de alarmas, contará con la legitimación legal para la captación de imágenes que otorga la Ley de Seguridad Privada, no siendo necesaria la obtención del consentimiento de las personas afectadas”.

Como se puede observar son dos posiciones totalmente opuestas.

Yo personalmente me decanto por la primera: una pérdida de la legitimación para el tratamiento. Si estamos diciendo que determinados prestadores de servicios de seguridad privada, o incluso particulares, a la hora de instalar este tipo de cámaras se excluyen de la legislación sobre seguridad privada no podemos entenderla de aplicación a efectos LOPD, es una contradicción.

Y ello además de que siempre he defendido, desde que se empezó a utilizar la LSP como ley habilitante, que jurídicamente no era posible por el propio ámbito de aplicación de esta Ley…

Por tanto, en mi opinión, nos encontramos en la actualidad con miles de cámaras (no todas) que están funcionando y captando nuestra imagen sin cobertura legal y sin nuestro consentimiento, sin duda una chapuza más de nuestro legislador que ya veremos cómo la resuelve la AEPD.

La denuncia masiva se presentó en octubre de 2008 pero los efectos se empiezan a ver ahora… pero vayamos por partes.

La denuncia es presentada ante la Secretaría de Estado de las Telecomunicaciones por la Asociación Videográfica Española Independiente (AVEI). En ella, se menciona que dicha Asociación ha tenido conocimiento de que determinadas páginas webs de descargas, tanto streaming como P2P, además de vulnerar los derechos de autor están vulnerando el artículo 10.1 de la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI) y la normativa sobre protección de datos personales.

Pero ¿qué dice ese artículo 10.1 de la LSSI?, pues que en la página web debe constar, entre otra información y la que interesa ahora:

• Nombre o denominación social del responsable de la web.
• Su residencia o domicilio o, en su defecto, la dirección de uno de sus establecimientos permanentes en España.
• Su dirección de correo electrónico y cualquier otro dato que permita establecer con él una comunicación directa y efectiva.

Por tanto, como mínimo debe aparecer el nombre, la dirección, el correo electrónico y algún otro dato que permita una comunicación directa con el responsable.

¿Y qué pasa si no pongo alguno de esos datos? Te enfrentas a una multa de hasta 150000 euros.

Como es de suponer, la mayoría de blogs, foros, y páginas relacionadas con películas o series de televisión no respetan este artículo, sencillamente porque normalmente los responsables no saben que tienen que incluir esta información o aun sabiéndolo prefieren seguir en el anonimato.
Y es precisamente esta falta de diligencia lo que están aprovechando algunas asociaciones y sociedades de defensa de los derechos de autor para combatirlas e intentar derribarlas a base de sanciones.

AVEI ha denunciado a algo más de 100 páginas, de forma indiscriminada como se puede ver en la denuncia (página 1, página 2, página 3). Como se observa, AVEI se limita a decir que una serie de páginas webs no cumplen con el artículo 10.1 de la LSSI, pero no da ningún detalle. Es más, si os fijáis en la página 1, donde AVEI dice que aporta un DVD-Rom con pruebas, se puede leer escrito a bolígrafo por los propios instructores “no adjuntan nada”.

Los procedimientos sancionadores se están empezando a notificar ahora, y yo al menos tengo constancia de algunas multas superiores a los 30000 euros lo que ha ocasionado el cierre de alguna web.

Sin duda este mecanismo se está mostrando más efectivo que una demanda penal…

Pero cambiemos ahora los papeles, ¿qué hay de las páginas webs de los asociados de AVEI? ellos también van a estar vinculados a la LSSI. Un listado de los asociados podemos verlo aquí .

He hecho un pequeño análisis de sus páginas webs, y el resultado es fulminante: sólo 1 de ellos respeta el artículo 10.1 de la LSSI y NINGUNO respeta el 10.1 de la LSSI y la LOPD simultáneamente, es decir, ninguno de los asociados de AVEI (al menos los que figuran en su web) respeta la normativa denunciada por ella misma.

El siguiente cuadro muestra los detalles (click para verlo en grande).

Nada impide por tanto que cualquiera de nosotros presentemos una denuncia similar, con un listado de las páginas webs de estas sociedades diciendo a la Secretaria de Estado de las Telecomunicaciones que no respetan la LSSI.

NOTA: me abstengo: a) de publicar el listado de las páginas webs denunciadas, por respeto a sus autores, pero repito que muchas de ellas son simples blogs sin enlace alguno a películas o cualquier otro material audiovisual. b) de mencionar las páginas webs que han cerrado tras la imposición de la multa.

Con la finalidad de incentivar la utilización del DNI electrónico (DNIe) el Ministerio de Industria, Turismo y Comercio, inició una campaña a principio de octubre para distribuir entre los ciudadanos algo más de 500.000 lectores de DNie.
Para la ejecución material de esta tarea, al menos dos empresas se adjudicaron concurso público correspondiente.

Vaya por delante que si el lector entiende por “gratuito” todo aquello que no requiere una contraprestación exclusivamente económica puede dejar de leer. Yo entiendo por gratuito todo aquello que no me exige ningún tipo de contraprestación, sea económica o de cualquier otra clase.

El mecanismo para obtener uno de esos lectores era muy sencillo: tan sólo había que rellenar un  formulario  con nuestro nombre (sin apellidos), email y domicilio, este último dato necesario para poder hacer las distribuciones de unidades por zonas geográficas.

Al enviar este formulario recibimos un correo electrónico de confirmación, 1 de octubre (ver correo uno)

Nueve días después se recibe un correo electrónico con las condiciones de la Campaña (ver correo dos). Aquí de momento no se especifica dónde se recogerán los lectores, aunque ya avisa que será en alguna entidad financiera.

El 27 de octubre se recibe un correo electrónico disculpando el retraso en la entrega, pero que tranquilos que habrá para todos (ver correo tres).

El 3 de noviembre finalmente se informa por correo electrónico de dónde recoger el lector: en las sucursales de Ibercaja (ver correo cuatro). Pero sin embargo vemos dos cambios importantes en las “Condiciones” que se recibieron inicialmente, las del día 9 de octubre:

• 1º: entre la documentación que se adjunta con el lector, aparece una documentación nueva: “Un folleto informativo de los servicios de Banca Electrónica Segura de Ibercaja (IBERCAJA DIRECTO) que permiten utilizar el DNIe”.
• 2º: aparece una nueva condición: “Confirmación de entrega: IBERCAJA exigirá la cumplimentación y firma de un formulario de entrega para acreditar el reparto de los lectores“.

Pues bien, al ciudadano que se presente en dichas oficinas se le pedirá mostrar el DNI + correo electrónico + teléfono móvil; con esos datos le entregarán ESTA HOJA que deberá firmar si quiere llevarse el DNIe.
Si leemos el contenido de la hoja nos daremos cuenta que su finalidad NO es la de “acreditar el reparto de los lectores” sino la de obtener un gran número de consentimientos para que puedan utilizar nuestros datos con fines promocionales y publicitarios, por parte de Ibercaja y de cualquier tercero al que le cederán nuestros datos; publicidad por vía ordinaria, y electrónica (SMS, email…).

En el clausulado no existe la posibilidad de no consentir; la solución que en Ibercaja te darán será que firmes el documento y luego envies una carta para revocar el consentimiento.

La solución intermedia que yo propuse: tachar las cláusulas abusivas y escribir, a mano, que no consiento a ningún tratamiento de tus datos. A mí me funcionó y me dejaron llevarme el lector.
Veamos que dice la legislación sobre el tratamiento de datos personales en estos casos:

Artículo 6.1 de la Ley Orgánica de Protección de Datos:

“El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.”

Y por “consentimiento“, la misma Ley Orgánica entiende:

“Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen”.

Por su parte, el artículo 15 del Real Decreto 1720/2007 que desarrolla la Ley Orgánica de Protección de Datos indica:

“Solicitud del consentimiento en el marco de una relación contractual para fines no relacionados directamente con la misma.
Si el responsable del tratamiento solicitase el consentimiento del afectado durante el proceso de formación de un contrato para finalidades que no guarden relación directa con el mantenimiento, desarrollo o control de la relación contractual, deberá permitir al afectado que manifieste expresamente su negativa al tratamiento o comunicación de datos.
En particular, se entenderá cumplido tal deber cuando se permita al afectado la marcación de una casilla claramente visible y que no se encuentre ya marcada en el documento que se le entregue para la celebración del contrato o se establezca un procedimiento equivalente que le permita manifestar su negativa al tratamiento.”

En este caso no podría entenderse válidamente prestado el consentimiento, primero porque faltaría el elemento de “libre” de la LOPD ya que no tengo opción de consentir o no, y segundo, tal y como está presentado el documento, en el que no se me permite negarme a los tratamientos especificados, vulneraría también el artículo 15 del citado Real Decreto.

En mi opinión, creo que Ibercaja ha querido aprovechar los miles de ciudadanos que nos acercaremos por sus oficinas a recoger el lector para obtener miles de datos personales con sus respectivos consentimientos y así tener la opción de enviarles publicidad de todo tipo.

Mi consejo es claro: si ya has firmado ese documento, revocar el consentimiento por escrito ante la propia Ibercaja y si aun no lo has hecho puedes tachar esas cláusulas e indicar a mano que no consientes a ninguno de esos tratamientos.
Aun así, en mi opinión, los consentimientos obtenidos de esta forma serían nulos.

Por último cabe preguntarse si el Ministerio correspondiente está al tanto de estas prácticas abusivas…

Deduzco que Ibercaja no es la única entidad financiera encargada de distribuir los lectores, al menos sí en 9 Comunidades Autónomas. Si algún lector ha tenido que recoger su lector en otra entidad y ha experimentado algo similar se agradecería que lo comentara.

Establece el Tribunal Supremo en Sentencia de 6 de octubre de 2009 que: “quien denuncia hechos que considera constitutivos de infracción de la legislación de protección de datos carece de legitimación activa para impugnar en vía jurisdiccional lo que resuelva la Agencia”. Con este pronunciamiento tenemos ya tres en el mismo sentido (Sentencias de 6 de noviembre de 2007 y 10 de diciembre de 2008) por lo que ya podemos hablar técnicamente de jurisprudencia en lo que se refiere a este asunto.

La Sentencia resuelve un recurso de casación planteado por una empresa denunciada en 2003 por posible vulneración de la Ley Orgánica de Protección de Datos. En un primer momento, la Agencia Española de Protección de Datos (AEPD) entendió que no existían motivos suficientes para imponer sanción alguna a la empresa denunciada. Pero sin embargo los denunciantes recurrieron a la Audiencia Nacional y consiguieron un pronunciamiento favorable a sus pretensiones, en el que la Audiencia Nacional ordenaba a la AEPD un nuevo pronunciamiento valorando la culpabilidad de la empresa denunciada.

El Tribunal Supremo sin embargo entiende que el denunciante, en el procedimiento sacionador sobre protección de datos, carece de legitimación activa para promover recurso jurisdiccional alguno (en este caso el recurso que planteó ante la Audiencia Nacional).

La razón es que el denunciante carece de la condición de interesado en el procedimiento sancionador; ni la Ley Orgánica de Protección de Datos ni su Reglamento de desarrollo le reconocen tal condición.
El denunciante, incluso cuando se considere víctima de la infracción denunciada no tiene un derecho subjetivo ni un interés legítimo a que el denunciado sea sancionado. El poder punitivo pertenece únicamente a la Administración que tiene encomendada la correspondiente potestad sancionadora y por tanto sólo dicha Administración tiene un interés tutelado por el ordenamiento jurídico en que el infractor sea sancionado.

Es más, aduce el Tribunal Supremo que:

“aceptar la legitimación activa del denunciante no sólo conduciría a sostener que ostenta un interés que el ordenamiento jurídico no le reconoce ni protege, sino  que llevaría también a transformar a los tribunales contencioso-administrativos en una especie de órganos de apelación en materia sancionadora. Esto último supondría dar por bueno que pueden imponer las sanciones administrativas que no impuso la Administración, lo que chocaría con el llamado “carácter revisor” de la jurisdicción contencioso-administrativo. En otras palabras, los tribunales contencioso-administrativos pueden y deben controlar la legalidad de los actos administrativos en materia sancionadora; pero no pueden sustituirse a la Administración en el ejercicio de las potestades sancionadoras que la ley encomienda a aquélla.”

Eso sí, por último, el Tribunal matiza que el denunciante de una infracción de la legislación de protección de datos carece de legitimación activa para impugnar la resolución de la AEPD en lo que concierne al resultado sancionador mismo (imposición de una sanción, cuantía de la misma, etc.); pero, llegado el caso, puede tener legitimación activa con respecto a aspectos de la resolución distintos del específicamente sancionador siempre que, por supuesto, pueda mostrar algún genuino interés digno de tutela.

La Sentencia del Supremo mencionada se puede descargar desde aquí.