Diversas notas y comentarios en varios medios de comunicación están dando a entender que una posible vía para recuperar nuestros datos alojados en Megaupload es acudir a la Agencia Española de Protección de Datos; en este sentido considero necesario aclarar que dicha Agencia no podrá ayudarnos en el caso de Megaupload por varios motivos.

Examinemos los motivos por los que debemos concluir que nuestra autoridad en materia de protección de datos de carácter personal (la Agencia Española de Protección de Datos (AEPD)), que recordemos NO es una autoridad judicial, no podrá hacer nada frente a nuestras solicitudes en relación a Megaupload en materia de su competencia: la protección de los datos de carácter personal.

En primer lugar respondamos tres preguntas claves:

¿Cuál es la nacionalidad de la empresa que gestionaba Megaupload? Megaupload era explotada por “Megaupload Limited” (entre otras sociedades) registrada y ubicada en Hong Kong y no en California como podría parecer en un primer momento.

¿Tenía sedes en España o en algún país de la Unión Europea o del Espacio Económico Europeo? NO.

Según Megaupload Limited, al hacer uso de su servicio Megaupload ¿por qué legislación me rijo? En las propias condiciones del servicio de Megaupload (que ya no están accesibles) se informaba al usuario (en inglés) que cualquier posible relación con ellos así como cualquier controversia se va a rejir por las leyes del Estado de California (EEUU).

Con esto tenemos suficiente; ahora examinemos los motivos por los que la AEPD no va a poder ayudarnos en el caso de Megaupload:

a) Comencemos por el más evidente: la AEPD no puede decirle nada a una empresa que está operando en Hong Kong y que se rije por las leyes de California. Esto es así porque nuestras leyes no se aplican en todos los paises del mundo así sin más(lógicamente).
Nuestra Ley Orgánica de Protección de Datos (LOPD) nos dice en el artículo 2.1.c que se aplicará esta LOPD cuando la empresa que trata nuestros datos no esté establecida en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito.

Es decir, si una empresa no está en la Unión Europea pero utiliza medios situados en España para tratar los datos personales, entonces sí que se le aplica nuestra LOPD aunque la empresa esté en Hong Kong. Sin entrar en lo que significa “medios situados en España”, decir que una institución europea, la conocida como Grupo de Trabajo del artículo 29, en varios de sus documentos ha indicado que se entiende que una empresa utiliza medios situados en España para tratar datos cuando utiliza cookies en los ordenadores de sus “clientes” con el objetivo de tratar datos personales. Y esta es precisamente la excusa que en algunos medios se ha utilizado para afirmar que como Megaupload utilizaba cookies (presumiblemente, porque la página web ya no existe), pues entonces se aplica la LOPD española. El problema es que no cualquier cookie que una página web nos instale en nuestro navegador determina directamente la aplicación de la LOPD a la empresa que gestione esa página web (ojo, siempre según esos documentos del Grupo de Trabajo del artículo 29), se requiere además que esa cookie esté diseñada para tratar nuestros datos personales y normalmente por “tratar” debemos entender “obtener”. Así por ejemplo, una cookie que sea utilizada para recordar en el navegador la marcación o no de una casilla no entraría en este caso.
Es por ello que sería necesario auditar qué hacían las cookies de Megaupload, lo cual ya es imposible. Al ser imposible determinar siquiera si Megaupload utilizaba cookies, no podremos aplicar esta excepción de “medios situados en España”, por lo que la LOPD no puede ser de aplicación.

b) Megaupload Limited no tiene establecimientos permanentes ni en España ni en Europa. Esto es relevante porque se ha intentado hacer ver, de forma errónea, una similitud entre el caso de Megaupload y el caso del buscador Bing (gestionado por Microsoft en Luxemburgo).
En una reciente resolución de la AEPD se ha estimado una tutela de derechos frente al buscador Bing dirigida a Microsoft Iberica S.L. y no a Microsoft Luxemburgo. Las diferencias con el caso de Megaupload son esenciales, en primer lugar porque Luxemburgo es miembro de la Unión Europea y por tanto entra dentro de la aplicación de la Directiva Europea sobre protección de datos, pero lo determinante es que el propio buscador (la propia Microsoft) en sus condiciones de uso te da a elegir entre que te acojas a la legislación/jurisdicción de Luxemburgo o a la legislación/jurisdicción de tu país, dice así:

“Todas las demandas, incluidas las relacionadas con las leyes de protección del consumidor, la legislación relativa a la competencia desleal y en caso de responsabilidad extracontractual, se resolverán en virtud de las leyes de Luxemburgo o del país en el que usted resida. Con respecto a la jurisdicción, usted puede elegir el tribunal responsable en Luxemburgo o en el país en el que resida para resolver los conflictos derivados de este contrato o relativos a él.”

Por tanto, y teniendo en cuenta que Microsoft tiene un establecimiento permanente en España, no hay lugar a dudas de que si el ciudadano español así lo desea, puede ejercer sus derechos de protección de datos en España. Pero ojo, esta política de Microsoft lleva vigente desde el 31 de agosto de 2010.

c) Se ha indicado también que los usuarios españoles dirijan sus solicitudes en materia de protección de datos frente a las autoridades de EEUU; creo que no es necesario explicar que invocar una ley española de protección de datos ante una autoridad policial o judicial en Estados Unidos está fuera de lugar. Por supuesto, no esperéis que os respondan desde EEU y podéis ahorraros el tiempo de acudir a nuestra AEPD para quejaros por el hecho de que el FBI o los tribunales de Estados Unidos no han atendido vuestra solicitud relativa a la protección de datos; si de hecho recientemente el Tribunal Supremo ha determinado que la AEPD no tiene competencia para actuar frente a órganos judiciales españoles, imaginaros frente a órganos de países fuera de la Unión Europea.

d) Pero es que además, aunque fuera de aplicación nuestra LOPD, los casos en los que podría aplicarse serían muy muy reducidos. Recordemos que esta ley se aplica en relación a “datos de carácter personal” y no a cualquier dato o información. Si hemos subido unos apuntes de clase, una película o una canción, todo eso no son datos de carácter personal y tampoco se va a aplicar la LOPD. Pero aunque fuesen datos de carácter personal, habría que ver cómo se demuestra que efectivamente están en los servidores ahora en poder del FBI y bajo unas leyes penales en Estados Unidos.

Llegados a este punto donde queda claro que por un motivo u otro no podremos aplicar la LOPD o la tutela de la AEPD frente a Megaupload, podemos preguntarnos ¿qué podemos hacer para recuperar esos ficheros que subí a Megaupload?

Antes de responder, pregunto yo ¿alguien se había leído las condiciones de uso de Megaupload? Es que da la sensación de que parece que las condiciones de uso de un servicio están de adorno y no, esas condiciones de uso suelen tener información importante en casos de problemas.
Veamos lo que decían las condiciones de uso de Megaupload en el apartado de “datos alojados en Megaupload por los usuarios”:

“El cliente es el único responsable y tiene la responsabilidad sobre lo que almacena en Megaupload. Megaupload anima al cliente a archivar regular y frecuentemente sus datos. El cliente tiene toda la responsabilidad por los datos que almacene y será el único responsable por la pérdida o por no poder recuperar sus datos.”

Y luego añade en el apartado “Sin garantías”:

“El uso que hagas del Servicio es bajo tu propia responsabilidad. El servicio de Megaupload es ofrecido “como es” y “con su disponibilidad”. [...] Megaupload no puede garantizar la duración del Servicio o que no sea interrumpido. [...] Megaupload se reserva el derecho de interrumpir el servicio en cualquier momento sin previo aviso. Si no estás de acuerdo con nuestras condiciones o con nuestro Servicio o con cualquier otra de nuestras reglas, tu única opción es dejar de utilizar nuestro Servicio”.

Y termina indicando lo que comentaba al principio, que cualquier controversia será resuelta por los tribunales de Santa Clara (California).

En definitiva, que Megaupload no se hacía responsable de nada que alojaras con ellos y que podían dar el servicio por terminado en cualquier momento, sin previo aviso. Esas eran sus reglas del juego y se jugaba en el Estado de California, si no te gustaba tu única opción era no jugar.

Por último añadir que en relación a la noticia sobre que la AEPD ha pedido a la Comisión Federal de Comercio en Estados Unidos información sobre lo que sucederá con los datos almacenados en Megaupload es simplemente eso, una consulta realizada por nuestra AEPD que bajo mi punto de vista tiene como finalidad la de ofrecer una falsa sensación de tranquilidad o control sobre este asunto, que realmente no tiene.

Tras dejar mi terminal en reparación en un distribuidor de Vodafone, me hacen entrega de otro de sustitución; nada más encenderlo veo la fotografía de una chica y un chico, además de diversos iconos en el escritorio, entre ellos el WhatsApp… se lo enseño a la chica de Vodafone y entonces se excusa, pero no porque me estén entregando un terminal con datos de otro cliente, sino para decirme que “el teléfono sólo ha pasado por manos de esa chica anteriormente, está prácticamente nuevo”…

Me imagino que lo que voy a narrar le habrá pasado a muchas personas y lamentablemente será algo habitual, pero dada la temática de este blog es inevitable que cuente esta historia, máxime cuando pone de manifiesto algo que los que nos dedicamos a esto de la Privacidad percibimos todos los días: no hay conciencia social respecto a la protección de datos personales y a la privacidad.

El viernes pasado dejé en un distribuidor de Vodafone mi terminal en reparación; Vodafone tiene un servicio por el que te entregan un terminal mientras reparan el tuyo, en mi caso me dieron un HTC Wild Fire.
El terminal tienes que devolverlo en el mismo estado en el que te lo dan, de forma que el procedimiento habitual es arrancarlo con la tarjeta SIM del cliente que se lo lleva para demostrarle que funciona correctamente.

Tras introducir el PIN se carga el escritorio, con una foto de fondo donde aparecen dos rostros en grande, el de una chica y un chico. También hay 2 iconos, el del WhatsApp y el del Google Calendar.

Se lo enseño a la chica de Vodafone, y directamente se excusa: “ah sí, pero el teléfono está nuevo, solo ha pasado por manos de esa chica hace unos días, está prácticamente nuevo…“.
Es decir, a la del Vodafone lo que le preocupaba era hacerme ver que el terminal que me estaba dando era nuevecito, le daba igual si venía “personalizado” con los datos de otro cliente…

Ya en casa, y con la intención (la única intención) de ver qué datos de esa chica había en el teléfono para poder documentar este artículo, me encontré con lo siguiente:

1- Historial de conversaciones en el WhatsApp, con unas 20 personas distintas. De nuevo, y para poder documentar este artículo, accedo a algunas de esas conversaciones y sin prestar mucha atención se deduce claramente algunos datos de esa chica:

- Qué y dónde estudia.
- Dónde va normalmente a descansar mientras estudia.
- Fotografía del coche de su padre que le gustaría conducir.
- Hábitos de consumo.
- Con quién suele salir y dónde.
- etc…

2- Fotografías variadas.

3- Eventos en Google Calendar, de los que cabe destacar:

- Días inicio menstruación.
- Visita al ginecólogo.
- etc…

4- Correo electrónico de la chica en @gmail.com y número de teléfono

5- Agenda de contactos (nombre, teléfono y en algunos casos correo electrónico)

Esto viene a demostrar que como otras muchas cosas en la vida, de la privacidad e intimidad solo nos acordamos cuando nos la invaden, esto es, adoptamos una posición reaccionaria frente al evento “privacidad” en vez de adoptar una posición preventiva.

En mi opinión lo anterior es consecuencia de una nula educación y concienciación en esta materia; la sociedad está ya acostumbrada a utilizar la tecnología, pero sin entender realmente ni cómo funciona ni cuáles son las consecuencias de su utilización (y ni les incomoda no saberlo); esa niña de 13 o 14 años que sabe utilizar perfectamente Tuenti para subir fotos es muy probable que no haya recibido una sola clase didáctica sobre privacidad e intimidad, con ejemplos sencillos y simpáticos, sin asustarla; de adolescente con 16 años tendrá ya su smartphone, donde compartirá otros muchos datos, y nadie le habrá explicado todavía qué pasa con sus datos personales ni dónde están realmente. A los 21 años enviará cadenas de correos electrónicos a 1000 destinatarios sin utilizar Copia Oculta porque seguramente ignorará que esa opción la han podido llegar a inventar, y tendrá su perfil abierto en 4 redes sociales distintas, porque así vienen por defecto. A los 24 años esa chica estará atendiendo al público en una distribuidora de Vodafone o estará introduciendo sus datos en un terminal de sustitución sin preocuparse luego de borrarlos…

Determinadas instituciones públicas se ponen al servicio de empresas privadas que, mediante la aplicación torticera de Leyes y para proteger intereses privados, pretenden provocar la quiebra de ciudadanos que simplemente ejercen el más elemental derecho a la libertad de expresión.

La Asociación Videográfica Española Independiente (en adelante AVEI) adoptó la decisión en 2008 de denunciar a un gran listado de páginas webs (blogs, foros, portales…), personales y profesionales porque, según ellos, no estaban respetando el artículo 10 de la LSSI; esto lo comenté aquí.

En concreto, la denuncia se presenta porque, según ese artículo 10, cualquiera de nosotros que tengamos un blog, foro o página web personal en la que estemos prestando un servicio de la sociedad de la información (por ejemplo tengamos un banner por el que ingresemos 1 euro al mes) estamos obligados a indicar en la web nuestro nombre completo, número de DNI, domicilio, email y poner a disposición de los usuarios una vía de contacto directo (un teléfono, formulario de contacto, etc).

Si no ponemos estos datos nos enfrentamos a una multa de hasta 150000 euros.

Como decía, AVEI presentó una denuncia donde simplemente aportaba un listado enorme de páginas webs que incumplían ese precepto, con un denominador común en todas ellas: eran webs donde se habla o hablaba de películas o series de televisión (y no solo me estoy refiriendo a páginas de descargas o enlaces, también blogs personales de esa temática donde no hay ni un enlace a contenido).

Resultaba evidente que lo que perseguía AVEI era una mera sanción que provocase la destrucción civil del titular de la web, pues como es de esperar, los que no se dedican profesionalmente a la explotación de webs ignoran que tienen ciertas obligaciones formales; y además de la sanción, consigue identificar, con nombre y apellidos, a los titulares de las páginas webs que a ella le interesan, todo ello sin invertir un euro, pues la investigación correría a cargo de la Administración Pública (la Secretaría de Estado de las Telecomunicaciones en este caso).

Esa denuncia prosperó y ha provocado la iniciación de decenas de expedientes sancionadores contra los más variados sujetos, provocando en la mayoría de los casos una sanción económica importante.

A dia de hoy (3 años despues de presentarse la denuncia) todavía se están produciendo sanciones derivadas de esa denuncia. ¿Tanto tarda un procedimiento sancionador de estas características?
En realidad no, lo que pasa es que la Secretaría de Estado de las Telecomunicaciones tiene un personal muy limitado y en absoluto se podía prever  que de un día para otro se recibieran el equivalente a unas 200 denuncias, por eso, todavía hoy, siguen trabajando sobre esa denuncia presentada en 2008. En otras palabras, el personal de esta Secretaría de Estado está trabajando esencialmente para AVEI, identificando y sancionando a los que AVEI indicó en ese listado y lógicamente están desbordados.

Es más, como transcurre tanto tiempo, algunas de las páginas que fueron denunciadas en su día, hoy ya no existen como tal, y solo son un dominio en “parking” lo cual no obsta a que se identifique y sancione al titular de ese dominio web.

Para que os hagáis una idea, esta Secretaría de Estado debe requerir datos a organismos públicos, empresas privadas, Cuerpos y Fuerzas de Seguridad del Estado, etc, para conseguir identificar a un chaval de 20 años que tiene un blog personal que habla sobre las series que más le gustan, todo ello porque ese chaval no ha puesto su DNI y domicilio en su web, y eso le costará una multa de hasta 150000 euros.

Si habéis seguido leyendo hasta aquí quizá os estéis preguntando qué tiene esto que ver con la Agencia Española de Protección de Datos (AEPD)…

Veamos; AVEI, no contenta con el dolor que estaba sembrando gracias a su cooperador necesario (la Secretaría de Estado de Telecomunicaciones), pretendió repetir la jugada con la AEPD. Presentó otra denuncia masiva ante la AEPD, alegando cosas como que esas páginas no respetaban el artículo 5.1 de la LOPD (deber de información y de identificar el titular de la web) y que además no quedan protegidos los datos de los menores de edad pues no se establecen mecanismos para evitar que sean captados.

Pero la AEPD no está para tonterías y le deja la cosas bien claras a AVEI, en una resolución que todavía no ha sido publicada:

Y continua:

Termina indicando:

Por supuesto, la AEPD archiva las denuncias presentadas y no inicia procedimiento sancionador.

En mi opinión es así como debería haber actuado también la Secretaría de Estado de Telecomunicaciones, mecanismos jurídicos tenían para no entrar en el juego de AVEI, pero decidió hacerlo con todas las consecuencias.

Jazz Telecom S.A.U (en adelante Jazztel) ha acudido en los últimos 3 años hasta en 36 ocasiones para solicitar al Director de la Agencia Española de Protección de Datos autorización para realizar una transferencia internacional de datos.

¿Qué es una transferencia internacional de datos? Según la definición legal (definición según el Real Decreto 1720/2007), sería una transmisión de datos personales fuera del territorio del Espacio Económico Europeo, bien como una cesión, bien como la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español (un encargado del tratamiento fuera de ese espacio europeo).
En definitiva, una transferencia internacional de datos es como una cesión de datos que hacemos a un país fuera del Espacio Económico Europeo o cuando tenemos un encargado del tratamiento fuera de ese mismo espacio.

Dejando de lado el hecho de que a pesar de lo que diga ese Real Decreto 1720/2007, una transferencia internacional de datos, en puridad (como así lo establece la Ley Orgánica de Protección de Datos (LOPD), es cualquier transferencia que sea haga fuera de nuestro país, con independencia de que el país receptor o cesionario esté o no dentro del Espacio Económico Europeo, lo relevante es precisamente que si la transferencia es a un país fuera de ese Espacio se va a requierir una autorización del Director de la Agencia Española de Protección de Datos (a no ser que el país cesionario tenga un nivel de protección de datos similar al nuestro).

Y aquí es donde empiezan las curiosidades, concretamente las autorizaciones que ha pedido Jazztel entre 2009 y 2011.

Veamos el siguiente gráfico:

Este gráfico muestra el porcentaje correspondiente de transferencias internacionales de datos realizadas por las cinco principales operadoras entre 2009 y lo que llevamos de 2011.

De las cinco operadoras principales en nuestro país, casi el 50% de las transferencias internacionales de datos se las lleva Jazztel; lo cual resulta curioso pues en relación a número de clientes o volumen de información es superado ampliamente tanto por Movistar (que engloba la parte de telefonía fija y móvil en este gráfico) así como por Vodafone. En definitiva, el número de transferencias realizadas por Jazztel supera a las realizadas por Vodafone, France Telecom (Orange) y ONO juntas y casi triplica a las realizas por Movistar (que no olvidemos engloba telefonía fija y móvil).

¿Dónde transfiere datos Jazztel?

Pues en total, en estos 3 años, como mínimo a 36 empresas distintas, ubicadas en Marruecos, Perú, Paraguay, Colombia, Chile y Guatemala.

¿Para qué transfiere esos datos?

Esencialmente para diversas actividades de “call center”: atención telefónica al cliente, llamadas comerciales, y poco más.

¿Qué datos transfiere a esas 36 empresas?

Jazztel transfiere no solo el nombre completo, dirección y lógicamente teléfono, sino también los datos bancarios.

Llegados a este punto ¿debe el cliente de Jazztel preocuparse? que cada uno saque sus propias conclusiones, pero parece evidente que el hecho de que circulen por al menos 36 empresas distintas en 6 países distintos los datos bancarios de miles de clientes no parece muy tranquilizador.

El límite mínimo en razón de la cuantía para poder acudir en casación ante el Tribunal Supremo en la jurisdicción contencioso-administrativa se ha elevado hasta más de 600.000 euros, lo que en la práctica supone dejar fuera de este recurso cualquier sanción en materia de protección de datos de carácter personal.

El 31 de octubre de 2011 entró en vigor la reforma de la Ley 29/1998 de 13 de julio, reguladora de la Jurisdicción Contencioso-Administrativa, operada a través de la Ley 37/2011, de 10 de octubre, de medidas de agilización procesal. Esta Ley de medidas ha modificado el artículo 86.2.b de la citada Ley reguladora de la jurisdicción concentioso-administrativo.

Este artículo 86 estipula que las sentencias dictadas en única instancia por la Sala de lo Contencioso-Administrativo de la Audiencia Nacional y por las Salas de lo Contencioso-Administrativo de los Tribunales Superiores de Justicia serán susceptibles de recurso de casación ante la Sala de lo Contencioso-Administrativo del Tribunal Supremo, pero luego continua añadiendo una serie de excepciones en las que NO cabe dicho recurso.

Una de esas excepciones es la contemplada en el apartado 2.b que es precisamente la que viene a reformar la Ley de medidas de agilización procesal.

La redacción vigente hasta el 31 de octubre de 2011 decía que NO procederá recurso de casación en las sentencias recaidas cualquiera que fuere la materia, en asuntos cuya cuantía no exceda de 150.000 euros, excepto cuando se trate del procedimiento especial para la defensa de los derechos fundamentales, en cuyo caso procederá el recurso cualquiera que sea la cuantía del asunto litigioso.

Esto es, se imponía ese límite mínimo en más de 150.000 euros para acudir en casación ante el Tribunal Supremo.

Pero ahora, con la reforma, ese límite se extiende hasta los 600.000 euros.

Pues bien, teniendo en cuenta que la sanción máxima que se puede alcanzar en una única infracción en materia de protección de datos es precisamente esa cifra de 600.000 euros, tenemos el resultado de que aunque se impusiera esa multa de 600.000 euros (cosa inaudita) tampoco tendrían acceso al recurso de casación pues “no se excede de 600.000 euros”.

Tampoco sería posible acudir aunque nos impusieran 10 multas de 300.000 euros cada una, pues estas cuantías no son acumulables a estos efectos.

Se priva así en nuestro ordenamiento de una “segunda opinión” jurisdiccional de peso, pues aunque si bien no debe entenderse este recurso excepcional de casación como una segunda instancia, lo cierto es que muchas de las sentencias del Tribunal Supremo dictadas en esta materia han arrojado luz sobre algunos puntos oscuros.

El periodo de preinscripción finaliza el 23 de septiembre de 2011 y existe un número de plazas limitadas; ya os adelanto que en la edición pasada se agotaron las plazas a los pocos días; se el curso te interesa preinscríbete hoy mismo. Puedes encontrar todos los detalles, así como el mecanismo para formalizar la preinscripción en este enlace no obstante me gustaría destacar los siguientes puntos de este Curso de Especialista Universitario:

• Metodología: online a través de Internet. Hacer este tipo de cursos online permite superar las barreras espaciales que supone para muchos interesados. El acceso a los materiales y el contacto directo con todos los profesores se garantiza gracias a una plataforma específicamente diseñada para este tipo de cursos: tutorías personalizadas, foros de debate, chats, videoconferencias, en resumen, todas las posibilidades tecnológicas.
• Duración / Créditos ECTS: este curso equivale a 30 créditos ECTS, desarrollándose entre el 10 de octubre de 2011 al 12 de julio de 2012.
• Dirección: la dirección del curso corre a cargo de Julián Valero Torrijos, profesor titular de la Universidad de Murcia y experto de reconocido prestigio. El hecho de que Julián Valero se encuentre al frente de este curso, respaldado con las exitosas seis ediciones anteriores del Curso de Protección de Datos de Carácter Personal más el de la primera edición del curso de Especialista, es ya garantía de la calidad y exhaustividad.
• Programa: entre otras materias, se abordará la protección de datos y la privacidad en el ámbito sanitario, prospección comercial y marketing, solvencia patrimonial y crédito, telecomunicaciones e Internet y auditoría informática.
• Profesorado: un total de 16 profesores impartirán las distintas disciplinas.

Este curso lleva ya 8 años funcionando, los dos últimos como curso especialista y cada vez la cola de espera es mayor; eso creo que es prueba suficiente de que el Curso Especialista funciona y es muy demandado en el sector.

Toda la información y preinscripción aquí.

Para que una empresa pueda incluirte en un fichero de morosos es obligatorio que ANTES de hacerlo te requiera fehacientemente el pago de la deuda correspondiente; en caso contrario no solo la inclusión es ilegal, sino que si lo denuncias la empresa podrá ser sancionada con multa de hasta 300.000 euros.

Cada 3 días recibo un correo electrónico de diferentes personas pero con una duda común: inclusión en un fichero de morosos sin que o bien exista deuda o sin haberles requerido el pago de la misma.
Pues bien, publico este artículo con la intención de poder remitir directamente a esas personas aquí y de paso explico claramente el asunto porque veo que es complicado encontrar esta información en la red.

El escenario típico y sobre el que voy a ceñirme es muy simple: la empresa X (normalmente X será una operadora de telecomunicaciones o una entidad financiera) te incluye en un fichero de morosos (normalmente ASNEF) por el impago de un recibo; a los efectos que nos interesa únicamente importa si ese impago (en adelante deuda) te ha sido requerido para que lo saldes, en otras palabras, si te han notificado que tienes una deuda con la entidad y que procedas a pagarla. Dejamos pues cuestiones relativas a si la deuda es correcta, existente o inexistente, solo importa en este punto si te han requerido el pago de la deuda o no.

El artículo de la Ley Orgánica de Protección de Datos (LOPD) a tener en cuenta inicialmente es el 29.2 que dice todo esto:

Y por otro lado tenemos la Instrucción 1/1995, de 1 de marzo, de la Agencia Española de Protección de Datos, relativa a la prestación de servicios de información sobre solvencia patrimonial y crédito.
Esta Instrucción 1/1995 es la que nos va a indicar los requisitos necesarios para que la inclusión de un deudor en un fichero de morosos sea conforme al ordenamiento, y dice algo muy importante en su artículo primero:

El contenido de esta Instrucción del año 1995 cristalizó en el desarrollo reglamentario de la LOPD, esto es, en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Así, el artículo 38 de ese Real Decreto viene a decir prácticamente lo mismo que la mencionada Instrucción 1/1995 en lo que a nosotros nos importa: que para que se pueda proceder a incluir a alguien en un fichero de morosos es requisito imprescindible el requerimiento previo de la deuda. Obvio decir que a quien hay que reclamar la deuda es al sujeto que le corresponda el cumplimiento de la obligación por la que nace la deuda…

Me imagino que para los que normalmente están al día en el pago de sus recibos les parecerá evidente este requisito previo, pero en la práctica lo cierto es que no se suele hacer, lo que convierte la inclusión en el fichero de morosos en una inclusión ilegal, con unas consecuencias muy claras como veremos.

Lo dicho, hay que requerir previamente la deuda, pero tan importante como requerir previamente la deuda es que la entidad que lo haga esté en disposición de poder probar que lo requirió y aquí es donde está el punto débil que debemos conocer. ¿Vale cualquier forma para reclamar la deuda? NO. La entidad deberá asegurarse que podrá probar, llegado el caso, que os ha requerido la deuda y aquí vienen algunos ejemplos de lo que no valdrá para probarlo:

• Envío de carta ordinaria
• Impresiones de pantalla de la entidad donde se diga que se requirió la deuda.
• Llamada telefónica.
• Envío de fax.

¿Y qué es lo que vale?, pues lo ha dejado muy claro la Audiencia Nacional en su sentencia de 19 de septiembre de 2007:

¿Qué podemos hacer si no nos han requerido la deuda ANTES de incluirnos en el fichero de morosos?
Hay que denunciarlo ante la Agencia Española de Protección de Datos, y no solo por la más que segura sanción que se llevará la entidad negligente, que podrá oscilar entre los 40001 y 300000 euros, sino porque además tendremos una Resolución donde se indicará que esa inclusión fue contraria a la ley y que podremos utilizar para intentar conseguir una indemnización si se derivó algún daño.

Por último añadir que como es sabido las inclusiones realizadas por las operadoras de telecomunicaciones no suelen ser tenidas en cuenta por las entidades financieras.

Ejemplo de lo anterior lo tenemos en una reciente resolución de la AEPD por la que sanciona a Bancaja con 60101 euros por no poder probar que requirió previamente.

La cadena de supermercados Lidl ha sido sancionada con 6000 euros porque uno de los monitores de videovigilancia era visible por los propios clientes, lo que supone, a juicio de la Agencia Española de Protección de Datos, una vulneración de la Ley Orgánica de Protección de Datos.

Un cliente denunció la instalación del sistema de videovigilancia del supermercado Lidl de su localidad por diversos motivos, destacando entre ellos que los monitores que se encuentran en el pasillo de entrada a la zona de compra se visualizan las imágenes que graba alguna cámara del establecimiento.

Tras las comprobaciones oportunas se inicia un procedimiento sancionador por entenderse vulnerado el artículo 4.1 y 4.2 de la Ley Orgánica de Protección de Datos; este artículo indica:

¿Cómo se relaciona ese artículo con el hecho antes descrito? Veamos cómo lo hace la Agencia Española de Protección de Datos (AEPD).

En primer lugar, como siempre que se trata de cuestiones relativas a la videovigilancia, la AEPD hace una introducción para justificar la intromisión de la LOPD en el ámbito del tratamiento de la imagen personal, para terminar diciendo que la imagen de una persona es un dato de carácter personal y por tanto se encuentra protegido por el manto de la LOPD.
Tras concluir esto, la Agencia afirma que dado que se están monstrando datos de carácter personal (la imagen de los clientes que capta las cámaras de seguridad) en monitores ubicados en el pasillo de entrada a la zona de compra, se está produciendo un tratamiento de datos personales y por tanto hay que ver si se ajusta a la LOPD y es entonces cuando invoca el citado artículo 4.1 de la LOPD en relación al 4.2.

Alega entonces la AEPD que el tratamiento del dato ha de ser “pertinente” al fin perseguido y la finalidad ha de estar “determinada”, y difícilmente (asegura la AEPD) se puede defender, que el irregular tratamiento dado por LIDL a las imágenes captadas por las cámaras de videovigilancia instaladas, haya respetado el principio de proporcionalidad con el funcionamiento del monitor situado a la entrada del supermercado.
En este supuesto, continua la AEPD, se ha probado que las imágenes captadas por las cámaras que integraban el sistema de videovigilancia podían ser visionadas en tiempo real por cualquier persona que accediera al establecimiento a través del monitor colocado en la entrada del local al que estaban conectadas las citadas cámaras, siendo visionadas también por cualquier persona que se acercara al lugar en que estaba emplazado dicho dispositivo.

Concluye la AEPD en que como el referido monitor permitía que las imágenes recogidas se visualizaran en tiempo real, este tratamiento ha supuesto una vulneración del principio de proporcionalidad previsto en el artículo 4.1 de la LOPD, habida cuenta que la exposición de las imágenes captadas en la forma descrita en modo alguno puede considerarse como proporcionado y necesario, para la finalidad de seguridad y vigilancia pretendida, ni responde, tampoco, a una intervención mínima en lo que respecta a los derechos a la intimidad y a la protección de datos de carácter personal de los afectados por dicho tratamiento.

En definitiva, que como los clientes pueden ver las imágenes en tiempo real captadas por las cámaras de seguridad, se están utilizando de forma desproporcionada los datos personales (la imagen de la gente que entra en el supermercado) y se vulnera por tanto el artículo 4.1 para terminar imponiendo una multa de 6000 euros.

Cumplir con la LOPD se va a hacer cada día más complicado (para algunos), porque lo cierto es que mientras la AEPD defendía el gravísimo atentado contra nuestro derecho a la protección de datos que estaba cometiendo Lidl, seguramente en esos momentos a alguno de nosotros lo estaban dando de alta en alguna operadora de telefonía móvil sin su consentimiento, o incluyéndonos en algún fichero de morosos sin que llegase a existir una deuda, o alguna gran compañia estaba enviando millones de datos a algún país para que haga vaya usted a saber qué con ellos…

La resolución completa se puede leer aquí

Aunque el evento comenzaba a las 9 de la mañana de ese día 19 de mayo, lo cierto es que no pocos pudimos disfrutar de eso que se tuvo a bien llamar “Privacy loft”, un encuentro distendido durante la tarde-noche-madrugada del día anterior en los mismos salones del hotel donde se celebraría el Congreso, y en el que pudimos poner cara a nuevos conocidos de la Red y reencontrarnos con amigos y compañeros que comparten las mismas inquietudes profesionales e intelectuales entorno a la privacidad.

A pesar de que algunos alargaron ese Privacy loft hasta casi empalmar con el inicio de las conferencias, se vivió un lleno total en la sala, como se puede comprobar en estas imágenes: ANTES y  DESPUÉS.

Y es que cerca de 170 personas asistieron a esta jornada, que se inició con una presentación por parte de Belén Cardona (Presidenta de APEP) y una conferencia inaugural del todavía a día de hoy Director de la Agencia Española de Protección de Datos, Artemí Rallo.
Poco después, Rosa Barceló, asesora del Supervisor Europeo de Protección de Datos, nos fulminó con su vivacidad y energía en una exposición en la que nos plasmó lo que se avecina en los próximos meses o incluso años desde Bruselas en relación a la privacidad.

Disfrutamos de 3 pausas que se realizaron durante el día; la Organación no sólo acertó en forzar periodos breves para las intervenciones, sino que lo volvió a hacer estableciendo 3 pausas, una para el café, otra para el almuerzo/comida y otra despúes para el cafe. Estas pausas eran bien aprovechadas por los asistentes para establecer sinergias, nuevos contactos, intercambio de pareceres con los ponentes, y en algunos casos para cerrar acuerdos comerciales o profesionales.
Fueron muchos los ponentes durante todas las sesiones (podéis ver un detalle de la agenda prevista aquí, con intervenciones de todos los directores/as de las Autoridades de Control autonómicas, profesionales de reconocido prestigio y otros cargos públicos. No es mi intención realizar un resumen completo de la jornada, así que sólo añadiré que quien estuvo allí tiene algo para recordar y quien no pudo asistir estoy convencido que tendrá ocasión de hacerlo en el más que previsible segundo Congreso Nacional de Privacidad.

Para aquellos que puedan sospechar falta de objetividad en mis palabras por mi condición de miembro de la junta directiva de la APEP, debo decir que mi participación en la organización del Congreso fue muy limitada, siendo realmente los artífices: Marcos Judel, Pepe Helguero, Cecilia Álvarez, Cristina Bausá, Juan José Talens, Belén Cardona, Carme Sánchez, Eduard Chaveli y Blanca Granados.

Mucho he tratado ya el tema del spam (1, 2, 3) no obstante hasta ahora no se había producido un hecho como el de la Resolución 01003/2010 de la Agencia Española de Protección de Datos (AEPD), donde se está denunciando a un menor por la remisión de comunicaciones comerciales por vía electrónica no solicitadas (en concreto 2 correos electrónicos con ofertas comerciales).

Aunque bueno, como siempre en el caso de realizar actividades ilícitas por Internet donde el único indicio viene a ser una dirección IP, saber con certeza quién ha sido el autor material de dicho ilícito es complicado sin otras pruebas adicionales; en este caso, al igual que en otros muchos, tras la denuncia por spam la AEPD solicita al operador de telefonía (Telefónica en este caso) que indique quién tenía asignada tal IP en tal momento, identificando por tanto al titular de una línea telefónica.

Al igual que en otros muchos casos, la AEPD cuestiona al titular de esa línea sobre los hechos denunciados, y éste viene a decir que ha sido su hijo menor de edad (menor de 18 años), quien a su vez es el titular del dominio web desde el que se realizó el envío de la comunicación comercial. Queda por tanto acreditada la responsabilidad del menor.
No obstante, como ya se ha indicado en otras ocasiones, al proceso administrativo sancionador le son de aplicación, con matices, los principios del orden penal, y en este caso, se invoca el principio de culpabilidad.

En efecto parece necesario diferenciar entre responsabilidad y culpabilidad; la primera acontece cuando materialmente el sujeto realiza los actos necesarios para la consumación del ilícito, que en el presente caso es la del envío de correos electrónicos sin la observancia de lo dispuesto tanto en la LSSI como en la LOPD, sin embargo la culpabilidad consiste en la capacidad de entendimiento y la posibilidad de actuar de otro modo, así, se puede ser responsable de una infracción y a su vez no ser culpable, atendiendo al elemento volitivo del dolo o la culpa.
De esta forma, la STS de 22 de febrero de 1992 señala que

La culpabilidad, afirma esa misma sentencia, requiere la existencia de dolo o culpa en el sancionado, lo que da lugar a la imputabilidad que exige que la acción del inculpado sea querida por este conociendo la trascendencia y alcance de la misma y, cuando falta el dolo o la culpa, cuando se excluye la imputabilidad, entonces “el principio de buena fe impide sancionar una conducta aun no siendo ajustada a la normativa vigente”.

Por último, afirma la AEPD que:

Por tanto, aun acreditada la infracción, se procede al archivo de las actuaciones sin sancionar por los motivos antes expuestos.
Tenemos así por tanto una nueva forma de enviar spam y que no pase nada (junto a la que ya comenté aquí respecto a utilizar Wifis públicas).