Las técnicas de las empresas de cobro a morosos son cada vez más agresivas e invasivas. Entre sus prácticas habituales están la de poner en conocimiento de vecinos y familiares la deuda, o como el caso expuesto, enviar faxes a la empresa donde trabajar el deudor para informarle de la existencia de dicha deuda.

Pero ¿por qué es ilegal enviar el fax en esas condiciones? Vamos a explicarlo con la Sentencia de la Audiencia Nacional de 12 de noviembre de 2009 como ejemplo.

Como nota meramente informativa, esta Sentencia trae causa de un recurso presentado por Aslenga S.L. Cobro de impagos (denominada El torero del moroso) contra la Resolución de la Agencia Española de Protección de Datos (AEPD) por la que se le imponía una multa de 12000 euros por vulnerar el artículo 10 de la Ley Orgánica de Protección de Datos (LOPD) en relación al 12.4 LOPD.

Veamos los hechos. El 26 de abril de 2006 la empresa Aslenga S.L. “El torero del moroso” remite varios faxes al número correspondiente a la empresa X, empresa donde trabaja el deudor; estos faxes son retirados por un empleado cualquiera aunque van dirigidos a nombre del deudor y en ellos se le informa de la existencia de una deuda.

Aslenga S.L. suscribió un contrato con Postmobel S.L. para la gestión del cobro de diversas deudas, entre ellas la que se menciona en el fax. Este contrato se enmarca dentro del artículo 12 de la LOPD por lo que no es necesario el consentimiento del deudor para que se faciliten sus datos al cobrador de morosos.

En el cuerpo del fax se puede leer, entre otra información: “ruego se ponga en contacto con nosotros para negociación de la deuda, de la cual ya le informamos telefónicamente“. Esta frase, unido al contexto del documento, y el nombre del remitente (El torero del moroso) llevan a la conclusión a la AEPD y posteriormente a la Audiencia Nacional a entender que permiten establecer la calificación de los interesados como morosos en las obligaciones dinerarias surgidas a consecuencia de alguna operación crediticia o mercantil. Esto es, permite establecer una evaluación de la personalidad de los individuos.

Puestos en situación, lo relevante bien ahora, al afirmar la Audiencia que:

“Teniendo en cuenta que dicho medio de comunicación (fax) no garantiza la confidencialidad de los datos expuestos en los documentos, dado que no puede garantizarse que quien recepciona el fax es el propio interesado, debe considerarse que ASLENGA, SL. ha vulnerado el deber de secreto que exige la LOPD y que la citada infracción cometida por ASLENGA, S.L. debe considerarse como grave…”.

¿Qué deber de secreto exige la LOPD?, el deber de secreto del artículo 10:

“El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.”

El citado artículo 10 pauta de forma individualizada el deber de secreto de quienes tratan datos personales, dentro del título dedicado a los principios de protección de datos. Este deber de secreto pretende que los datos personales no puedan conocerse por terceros, salvo en los supuestos recogidos en otros preceptos de la LOPD, como el Art. 11 (comunicación de datos) o el artículo 12 (acceso a los datos por cuenta de terceros).

La Audiencia concluye en el sentido de entender que ASLENGA, SL. ofrece información relevante en el centro de trabajo de los deudores. Así, no ofrece duda la vulneración del deber de secreto por parte de ASLENGA, SL al haber revelado tales datos a terceros sin el consentimiento de los denunciantes y sin que concurran ninguno de los supuestos previstos en los artículos 11 y 12 de la LOPD.

Desestima por tanto el recurso presentado por Aslenga S.L. y confirma la sanción de 12000 euros.

Por último ¿qué hicieron los deudores para obtener este pronunciamiento de la AEPD sancionando a la empresa acosadora y torera de morosos? Presentar denuncia ante la AEPD.

Es importante denunciar esta clase de prácticas abusivas porque es la única manera de librarnos de ellas.

Descargar Sentencia de la Audiencia Nacional.

Vaya por delante que con este artículo no quiero poner de manifiesto ninguna inscripción incorrecta en el Registro de la Agencia Española de Protección de Datos (AEPD), insisto, no digo que los siguientes ejemplos curiosos estén mal, simplemente me han parecido eso, curiosos, nada más. Que cada uno saque sus conclusiones.

En el Registro de Ficheros de la AEPD, según indica el artículo 26.1 de la Ley Orgánica de Protección de Datos (LOPD), se deben inscribir todos los ficheros (ojo, fichero a efectos de la LOPD) de datos de carácter personal que una persona o entidad privada proceda a su creación.
Esa inscripción debe contener, en todo caso y entre otra información, la identificación del responsable del fichero, la finalidad y ubicación del fichero, el tipo de datos de carácter personal que contiene; también se exige el nombre del fichero.

El registro se puede consultar por Internet.

Curioseando un poco con el buscador de ficheros, he encontrado algunas inscripciones peculiares, que ordeno por categorías:

Nombre del fichero: el nombre del fichero debe contener una mínima referencia al contenido del fichero; es habitual, por ejemplo, que al fichero que contiene los datos de los clientes de una empresa se le llame “Clientes”.
Sin embargo es posible encontrar cosas como estas en los nombre de los ficheros:

•  Nombre del fichero: C:\Usuario\Merche\Export\Facturas  o C:\Usuario\Matilde\Export\Facturas
•  Nombre del fichero: C:\documentsandsetting\usuario\escritorio\  o C:\documentsandsettings\trabajo2\misdocumentos\laboral

También se puede encontrar, como nombre del fichero, eso, el nombre del fichero, con extensión y todo:

• Nombre del fichero: Facturacompra03.xls
• Nombre del fichero: Facturaclienteeneroyfebrero02.xls  No, esa empresa luego no tiene un Facturaclientemarzoyabril02.xls

En vez de ficheros de Excel (xls) también encontramos Bases de Datos Microsoft (mdb)

•   Nombre del fichero: Master.mdb  o Familias.mdb

Se dan incluso circunstancias extrañas, como que bases de datos de “prueba” accedan al Registro de Ficheros de la AEPD

•   Nombre del fichero: Prueba.mdb

En otras ocasiones el nombre del fichero es simplemente desconocido:

•   Nombre del fichero: Desconocido

Dirección del responsable. Es obligatorio indicar la dirección del responsable, sin embargo algunos ficheros tienen una dirección inexistente, o al menos a mí me ha sido imposible ubicarla:

•   Dirección: Calle Los Tontos nº 16, Sangonera la Verde - Murcia   (si alguien conoce esta calle que me lo indique, en Google Maps no aparece)
   

Descripción de las finalidades previstas para el fichero, encontramos la siguiente:

•   Finalidad: Guardar y registrar los correos electrónicos recibidos en la empresa tonto de clientes como de terceros… 
   

Tipo de datos en el fichero. Encontramos una empresa que tiene un fichero cuya finalidad es la de “Dar cumplimiento a las obligaciones en materia de interceptación legal de las comunicaciones“, entre los datos que almacena en ese fichero encontramos:

•   Tipo de datos en el fichero: Origen racial, vida sexual, violencia de género, huella…  ¿Qué clase de interceptación legal de las comunicaciones hace esta empresa?

Si alguno conoce otros ejemplos estaría bien que los mencionara en el apartado de comentarios y los iré incluyendo en el cuerpo del artículo.

Otro día hablamos de los ficheros titularidad de las Administraciones Públicas.

La imagen se considera un dato de carácter personal y por tanto, según lo establecido en el artículo 6.1 de la Ley Orgánica de Protección de Datos (LOPD), se debe obtener el consentimiento si queremos realizar un tratamiento sobre una fotografía en la que aparezca una persona cualquiera.

Por otra parte, esta LOPD no se aplica a los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas (artículo 2.2.a), así por ejemplo, no es preciso informar de los derechos que le asisten a un amigo cuando le pedimos su número de teléfono.

En el ámbito de las redes sociales, donde se mueven millones de fotografías todos los días, se cuestiona si la LOPD debería aplicarse a cada uno de los usuarios de esta red social, considerando a cada uno de ellos como un “Responsable del fichero” respecto a la información fotográfica que maneja, comparte.

En teoría, para que un usuario de una red social pudiera colgar la fotografía de grupo de la fiesta del viernes, debería solicitar el consentimiento a cada uno de ellos, no siendo posible deducirse  dicho consentimiento del simple hecho de “posar” para la fotografía. Esta situación colocaría a millones de ciudadanos españoles en deudores en materia de protección de datos, en otras palabras, serían infractores y podrían ser sancionados con multas de entre 60.000 y 300.000 euros.
Sin embargo, podriamos opinar que en estos casos de compartir fotos en una red social se debería aplicar la excepción del artículo 2.2.a LOPD (actividad exclusivamente personal o doméstica), y por tanto estaríamos al margen de la LOPD.

La Agencia Española de Protección de Datos (AEPD) entiende, en su informe jurídico 2008-0615, que para que nos hallemos ante la exclusión prevista en el artículo 2.2.a LOPD, lo relevante es que se trate de una actividad propia de una relación personal o familiar, equiparable a la que podría realizarse sin la utilización de Internet, por lo que no lo serán aquellos supuestos en que la publicación de fotografías se efectúe en una página de libre acceso para cualquier persona o cuando el alto número de personas invitadas a contactar con dicha página resulte indicativo de que dicha actividad se extiende más allá de lo que es propio de dicho ámbito.

Se basa la AEPD para esta interpretación en un Dictamen del Grupo de Trabajo del artículo 29 , Dictamen 5/2009, adoptado el 12 de junio de 2009.

Este Dictamen determina respecto al número de contactos en una red social, que: “Un gran número de contactos puede indicar que no se aplica la excepción doméstica y el usuario podría entonces ser considerado como un responsable del tratamiento de datos“.
En idéntico sentido se pronuncia cuando el perfil del usuario se encuentra “abierto”, sin restricciones de acceso.

Si echamos un vistazo a las principales redes sociales utilizadas en España, como Tuenti o Facebook, podemos encontrar fácilmente usuarios con más de 200 o 300 “amigos”, personas agregadas como tales al perfil de un usuario y por tanto con acceso completo al material fotográfico que publica.
Podemos preguntarnos si una persona puede tener realmente 300 amigos o si de esos 300, el 90% son simples “conocidos de conocidos” o “tipo/a que me mola su foto del perfil y lo agrego”.

De igual forma podemos encontrar usuarios con sus perfiles abiertos.

Pues bien, según esta interpretación de la AEPD y del Grupo del 29, estos usuarios se convierte en “Responsable del tratamiento” a efectos LOPD y por tanto tendrán una serie de obligaciones legales que deberán respetar, a saber:

a) Informar de lo establecido en el artículo 5.1 de la LOPD a cada una de las personas que aparezcan en fotografías publicadas en su perfil.
b) Solicitar el consentimiento a cada una de las personas que aparezcan en las fotografías de su perfil, y estar en disposición de poder probar dicho consentimiento.
c) En determinados casos, declarar un fichero de datos ante el Registro de Ficheros de la Agencia Española de Protección de Datos.

Infringir algunas de estas obligaciones podrían acarrear multas de hasta 300.000 euros.

El pasado viernes era aprobado por el Consejo de Ministros el nuevo texto del Proyecto de Ley de Economía Sostenible que, entre otras muchas cuestiones, propone una serie de reformas legislativas con el fin de erradicar las vulneraciones de propiedad intelectual que cometen determinadas Páginas Web que facilitan enlaces, en la mayor parte de las ocasiones con un claro y evidente ánimo de lucro, a contenidos protegidos por derechos de autor sin la autorización de sus titulares.

Mucho se ha dicho sobre esta reforma y ha tenido un eco mediático considerable. No obstante, desde Derecho en Red hemos constatado la existencia de informaciones incorrectas, afirmaciones demagógicas y planteamientos desproporcionados que sustraen a los ciudadanos de un análisis distanciado y completo de las implicaciones jurídicas de la reforma planteada.

Desde Derecho en Red no creemos que esta reforma sea la más apropiada. Entendemos que es necesario enjuiciar todas las infracciones de propiedad intelectual que se comentan “online” u “offline” y, en particular, a todos aquellos prestadores de servicios que se lucran facilitando enlaces a descargas, directas o a través de redes P2P, a contenidos protegidos. Pero tal enjuiciamiento debe hacerse desde las garantías y vías de protección que contempla la normativa de propiedad intelectual vigente.

El ordenamiento vigente ya contempla la posibilidad de plantear acciones de cesación contra los titulares de servicios de la Sociedad de la Información. Los titulares de derechos de autor pueden solicitar de los órganos judiciales las acciones de cesación que les permite la Ley (el artículo 138 de la Ley de Propiedad Intelectual dice expresamente que pueden solicitarse dichas medidas “aunque los actos de dichos intermediarios no constituyan en sí mismos una infracción”), que actualmente son tomadas en el plazo medio de 2 meses. Dicho plazo, muy lejos del utilizado para la resolución definitiva del procedimiento judicial, permite garantizar de forma efectiva los derechos de propiedad intelectual sin la necesidad de plantear una reforma tan importante como es la que se incluye este Proyecto de Ley.

En este orden de cosas, si el Ejecutivo considera que en el marco jurídico actual no existen medios suficientes para la protección de los derechos de los autores o titulares de derechos, debe abrir una reflexión, en sede de la propia Ley de Propiedad Intelectual, y proponer, en su caso, una reforma de los medios de protección ya contemplados en esa norma, sin necesidad de:

1. Elevar los derechos de propiedad intelectual, derechos privados y de naturaleza patrimonial, a un estatus equiparable a intereses dignos de protección reforzada, como el orden público, la seguridad pública, defensa nacional, la salud o la infancia, y los derechos fundamentales.
2. Atribuir a un órgano de naturaleza administrativa la tutela, protección y defensa de estos intereses privados, que podrá intervenir en toda prestación de servicios de la sociedad de la información que potencialmente pueda causar una lesión de derechos de propiedad intelectual, con la indefinición e inseguridad jurídica que ello supone.
3. Establecer un mecanismo procesal, supuestamente de control judicial ante el conflicto con derechos fundamentales como la libertad de expresión o el derecho a la información, sumario e impreciso.

El artículo completo, así como una sección específica de “FAQs” o preguntas más frecuentes está accesible en:  http://derechoenred.com/blog/?p=208

Para los que no conozcan el problema voy a realizar un brevísimo resumen de la situación actual y la anterior, y concluiré con una opinión personal del asunto. Este artículo no pretende abordar los requisitos legales para la instalación de un sistema de videovigilancia.

En primer lugar debemos tener algunas cosas claras: el tratamiento de las imágenes que graban las cámaras de seguridad se debe realizar respetando la normativa sobre protección de datos (Ley Orgánica de Protección de Datos - LOPD), y esto es así porque la imagen personal se considera un dato de carácter personal.

Esta LOPD establece en su artículo 6 que el tratamiento de los datos personales deberá contar con el consentimiento del afectado; añade a continuación que dicho consentimiento no será preciso entre otras cosas si una Ley así lo establece, lo cual debemos completarlo con el artículo 10 del Real Decreto 1720/2007. Ejemplo: publicación de las notas de los exámenes en las universidades.

Por tanto, en principio, para que el bar de la esquina pudiera grabarnos con su cámara de vigilancia debería contar con nuestro consentimiento, que debe ser en todo caso previo (entre otras cosas).

Lógicamente esto llevaría al absurdo de tener que pedir el consentimiento a cada ciudadano que accede a un local o establecimiento; por ello, la Agencia Española de Protección de Datos (AEPD) ha venido entendiendo que existe una Ley que habilita al tratamiento de las imágenes y que por tanto no es necesario solicitar el consentimiento, esta ley es la Ley 23/1992 de Seguridad Privada.

Textualmente, la AEPD ha venido afirmando en sus procedimientos sancionadores, en relación al artículo 6.1 y 6.2 de la LOPD que:

“El mencionado artículo debe de conectarse con lo dispuesto en la Ley 23/1992, de 30 de julio, de Seguridad Privada (en adelante LSP), que establece en su artículo 1.1: “Esta Ley tiene por objeto la prestación por personas, físicas o jurídicas privadas, de servicios de vigilancia y seguridad de personas o de bienes, que tendrán la consideración de actividades complementarias y subordinadas respecto a las de seguridad pública.

Asimismo, añade el artículo 1.2 que:” A los efectos de esta Ley, únicamente pueden realizar actividades de seguridad privada y prestar servicios de esta naturaleza las empresas de seguridad y el personal de seguridad privada, que estará integrado por los vigilantes de seguridad, los vigilantes de explosivos, los jefes de seguridad, los directores de seguridad, los escoltas privados, los guardas particulares del campo, los guardas de caza, los guardapescas marítimos y los detectives privados.

El artículo 5.1 e) de la LSP dispone que: “Con sujeción a lo dispuesto en la presente Ley y en las normas reglamentarias que la desarrollan, las empresas de seguridad únicamente podrán prestar o desarrollar los siguientes servicios y actividades (…) Instalación y mantenimiento de aparatos, dispositivos y sistemas de seguridad”. Esta previsión se reitera en el artículo 1 del Reglamento de Seguridad Privada, aprobado por Real Decreto 2364/1994, de 9 de diciembre. De este modo, la Ley habilitaría que los sujetos previstos en su ámbito de aplicación puedan instalar dispositivos de seguridad, entre los que podrían encontrarse las cámaras, siempre con la finalidad descrita en el citado artículo 1.1.

En consecuencia, siempre que se haya dado cumplimiento a los requisitos formales establecidos en los artículos precedentes (inscripción en el Registro de la empresa y comunicación del contrato al Ministerios del Interior), las empresas de seguridad reconocidas podrán instalar dispositivos de seguridad, entre los que se encontrarían los que tratasen imágenes con fines de videovigilancia, existiendo así una habilitación legal para el tratamiento de los datos resultantes de dicha instalación. En conclusión, es necesario que por parte de quien desean instalar dichas cámaras, se cumplan con todos los requisitos antes expuestos.”

Esta situación tranquilizadora se ha visto trastocada por la entrada en vigor de la reforma de esta LSP operada por la Ley 25/2009 de 22 de diciembre (conocida como Ley Omnibus) que ha venido a crear una disposición adicional sexta que establece:

“DISPOSICIÓN ADICIONAL SEXTA. Exclusión de las empresas relacionadas con equipos técnicos de seguridad.

Los prestadores de servicios o las filiales de las empresas de seguridad privada que vendan, entreguen, instalen o mantengan equipos técnicos de seguridad, siempre que no incluyan la prestación de servicios de conexión con centrales de alarma, quedan excluidos de la legislación de seguridad privada siempre y cuando no se dediquen a ninguno de los otros fines definidos en el artículo 5, sin perjuicio de otras legislaciones específicas que pudieran resultarles de aplicación.”

Esto quiere decir que desde el 27 de diciembre de 2009 es posible la instalación de cámaras de vigilancia que no estén conectadas a centrales de alarma sin sujeción a la legislación sobre seguridad privada, es decir, sin que se aplique la LSP.
Esta es una modificación legislativa para adaptar nuestra legislación en esta materia a lo estipulado por la Directiva 2006/123/CE en lo cual no entraré.

Llegados a este punto podemos cuestionarnos: si puedo instalar una cámara, y por mi condición no estoy sometido a la LSP ¿qué Ley me exime de solicitar el consentimiento a las personas que grabo?.

La respuesta parece no ser unitaria.

Por un lado tenemos la postura de Alfonso Pacheco y Santiago Bermell que ya la dejaron patente en un excelente artículo (y el primero en abordar el asunto) publicado en junio de 2009. 
Ellos entienden que con la entrada en vigor de la normativa que se avecinaba, “significa la desaparición de la cobertura legal designada por la propia AEPD para legitimar ese tratamiento. Esto supone un grave problema, porque entonces la única vía abierta para esa legitimación pasará a ser la de contar con el consentimiento individual de cada sujeto cuya imagen pueda ser captada por las cámaras de videovigilancia”.

Por otro lado tenemos la postura de Eric Gracia, quien en un artículo publicado en Derecho.com  entiende que se “suaviza la legitimación necesaria para poder captar imágenes mediante sistemas de videovigilancia” ya que “a partir de ahora cualquier sistema de videovigilancia, independientemente de quien lo haya instalado y siempre que no esté conectado a una central de alarmas, contará con la legitimación legal para la captación de imágenes que otorga la Ley de Seguridad Privada, no siendo necesaria la obtención del consentimiento de las personas afectadas”.

Como se puede observar son dos posiciones totalmente opuestas.

Yo personalmente me decanto por la primera: una pérdida de la legitimación para el tratamiento. Si estamos diciendo que determinados prestadores de servicios de seguridad privada, o incluso particulares, a la hora de instalar este tipo de cámaras se excluyen de la legislación sobre seguridad privada no podemos entenderla de aplicación a efectos LOPD, es una contradicción.

Y ello además de que siempre he defendido, desde que se empezó a utilizar la LSP como ley habilitante, que jurídicamente no era posible por el propio ámbito de aplicación de esta Ley…

Por tanto, en mi opinión, nos encontramos en la actualidad con miles de cámaras (no todas) que están funcionando y captando nuestra imagen sin cobertura legal y sin nuestro consentimiento, sin duda una chapuza más de nuestro legislador que ya veremos cómo la resuelve la AEPD.

La denuncia masiva se presentó en octubre de 2008 pero los efectos se empiezan a ver ahora… pero vayamos por partes.

La denuncia es presentada ante la Secretaría de Estado de las Telecomunicaciones por la Asociación Videográfica Española Independiente (AVEI). En ella, se menciona que dicha Asociación ha tenido conocimiento de que determinadas páginas webs de descargas, tanto streaming como P2P, además de vulnerar los derechos de autor están vulnerando el artículo 10.1 de la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI) y la normativa sobre protección de datos personales.

Pero ¿qué dice ese artículo 10.1 de la LSSI?, pues que en la página web debe constar, entre otra información y la que interesa ahora:

• Nombre o denominación social del responsable de la web.
• Su residencia o domicilio o, en su defecto, la dirección de uno de sus establecimientos permanentes en España.
• Su dirección de correo electrónico y cualquier otro dato que permita establecer con él una comunicación directa y efectiva.

Por tanto, como mínimo debe aparecer el nombre, la dirección, el correo electrónico y algún otro dato que permita una comunicación directa con el responsable.

¿Y qué pasa si no pongo alguno de esos datos? Te enfrentas a una multa de hasta 150000 euros.

Como es de suponer, la mayoría de blogs, foros, y páginas relacionadas con películas o series de televisión no respetan este artículo, sencillamente porque normalmente los responsables no saben que tienen que incluir esta información o aun sabiéndolo prefieren seguir en el anonimato.
Y es precisamente esta falta de diligencia lo que están aprovechando algunas asociaciones y sociedades de defensa de los derechos de autor para combatirlas e intentar derribarlas a base de sanciones.

AVEI ha denunciado a algo más de 100 páginas, de forma indiscriminada como se puede ver en la denuncia (página 1, página 2, página 3). Como se observa, AVEI se limita a decir que una serie de páginas webs no cumplen con el artículo 10.1 de la LSSI, pero no da ningún detalle. Es más, si os fijáis en la página 1, donde AVEI dice que aporta un DVD-Rom con pruebas, se puede leer escrito a bolígrafo por los propios instructores “no adjuntan nada”.

Los procedimientos sancionadores se están empezando a notificar ahora, y yo al menos tengo constancia de algunas multas superiores a los 30000 euros lo que ha ocasionado el cierre de alguna web.

Sin duda este mecanismo se está mostrando más efectivo que una demanda penal…

Pero cambiemos ahora los papeles, ¿qué hay de las páginas webs de los asociados de AVEI? ellos también van a estar vinculados a la LSSI. Un listado de los asociados podemos verlo aquí .

He hecho un pequeño análisis de sus páginas webs, y el resultado es fulminante: sólo 1 de ellos respeta el artículo 10.1 de la LSSI y NINGUNO respeta el 10.1 de la LSSI y la LOPD simultáneamente, es decir, ninguno de los asociados de AVEI (al menos los que figuran en su web) respeta la normativa denunciada por ella misma.

El siguiente cuadro muestra los detalles (click para verlo en grande).

Nada impide por tanto que cualquiera de nosotros presentemos una denuncia similar, con un listado de las páginas webs de estas sociedades diciendo a la Secretaria de Estado de las Telecomunicaciones que no respetan la LSSI.

NOTA: me abstengo: a) de publicar el listado de las páginas webs denunciadas, por respeto a sus autores, pero repito que muchas de ellas son simples blogs sin enlace alguno a películas o cualquier otro material audiovisual. b) de mencionar las páginas webs que han cerrado tras la imposición de la multa.

Con la finalidad de incentivar la utilización del DNI electrónico (DNIe) el Ministerio de Industria, Turismo y Comercio, inició una campaña a principio de octubre para distribuir entre los ciudadanos algo más de 500.000 lectores de DNie.
Para la ejecución material de esta tarea, al menos dos empresas se adjudicaron concurso público correspondiente.

Vaya por delante que si el lector entiende por “gratuito” todo aquello que no requiere una contraprestación exclusivamente económica puede dejar de leer. Yo entiendo por gratuito todo aquello que no me exige ningún tipo de contraprestación, sea económica o de cualquier otra clase.

El mecanismo para obtener uno de esos lectores era muy sencillo: tan sólo había que rellenar un  formulario  con nuestro nombre (sin apellidos), email y domicilio, este último dato necesario para poder hacer las distribuciones de unidades por zonas geográficas.

Al enviar este formulario recibimos un correo electrónico de confirmación, 1 de octubre (ver correo uno)

Nueve días después se recibe un correo electrónico con las condiciones de la Campaña (ver correo dos). Aquí de momento no se especifica dónde se recogerán los lectores, aunque ya avisa que será en alguna entidad financiera.

El 27 de octubre se recibe un correo electrónico disculpando el retraso en la entrega, pero que tranquilos que habrá para todos (ver correo tres).

El 3 de noviembre finalmente se informa por correo electrónico de dónde recoger el lector: en las sucursales de Ibercaja (ver correo cuatro). Pero sin embargo vemos dos cambios importantes en las “Condiciones” que se recibieron inicialmente, las del día 9 de octubre:

• 1º: entre la documentación que se adjunta con el lector, aparece una documentación nueva: “Un folleto informativo de los servicios de Banca Electrónica Segura de Ibercaja (IBERCAJA DIRECTO) que permiten utilizar el DNIe”.
• 2º: aparece una nueva condición: “Confirmación de entrega: IBERCAJA exigirá la cumplimentación y firma de un formulario de entrega para acreditar el reparto de los lectores“.

Pues bien, al ciudadano que se presente en dichas oficinas se le pedirá mostrar el DNI + correo electrónico + teléfono móvil; con esos datos le entregarán ESTA HOJA que deberá firmar si quiere llevarse el DNIe.
Si leemos el contenido de la hoja nos daremos cuenta que su finalidad NO es la de “acreditar el reparto de los lectores” sino la de obtener un gran número de consentimientos para que puedan utilizar nuestros datos con fines promocionales y publicitarios, por parte de Ibercaja y de cualquier tercero al que le cederán nuestros datos; publicidad por vía ordinaria, y electrónica (SMS, email…).

En el clausulado no existe la posibilidad de no consentir; la solución que en Ibercaja te darán será que firmes el documento y luego envies una carta para revocar el consentimiento.

La solución intermedia que yo propuse: tachar las cláusulas abusivas y escribir, a mano, que no consiento a ningún tratamiento de tus datos. A mí me funcionó y me dejaron llevarme el lector.
Veamos que dice la legislación sobre el tratamiento de datos personales en estos casos:

Artículo 6.1 de la Ley Orgánica de Protección de Datos:

“El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.”

Y por “consentimiento“, la misma Ley Orgánica entiende:

“Toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen”.

Por su parte, el artículo 15 del Real Decreto 1720/2007 que desarrolla la Ley Orgánica de Protección de Datos indica:

“Solicitud del consentimiento en el marco de una relación contractual para fines no relacionados directamente con la misma.
Si el responsable del tratamiento solicitase el consentimiento del afectado durante el proceso de formación de un contrato para finalidades que no guarden relación directa con el mantenimiento, desarrollo o control de la relación contractual, deberá permitir al afectado que manifieste expresamente su negativa al tratamiento o comunicación de datos.
En particular, se entenderá cumplido tal deber cuando se permita al afectado la marcación de una casilla claramente visible y que no se encuentre ya marcada en el documento que se le entregue para la celebración del contrato o se establezca un procedimiento equivalente que le permita manifestar su negativa al tratamiento.”

En este caso no podría entenderse válidamente prestado el consentimiento, primero porque faltaría el elemento de “libre” de la LOPD ya que no tengo opción de consentir o no, y segundo, tal y como está presentado el documento, en el que no se me permite negarme a los tratamientos especificados, vulneraría también el artículo 15 del citado Real Decreto.

En mi opinión, creo que Ibercaja ha querido aprovechar los miles de ciudadanos que nos acercaremos por sus oficinas a recoger el lector para obtener miles de datos personales con sus respectivos consentimientos y así tener la opción de enviarles publicidad de todo tipo.

Mi consejo es claro: si ya has firmado ese documento, revocar el consentimiento por escrito ante la propia Ibercaja y si aun no lo has hecho puedes tachar esas cláusulas e indicar a mano que no consientes a ninguno de esos tratamientos.
Aun así, en mi opinión, los consentimientos obtenidos de esta forma serían nulos.

Por último cabe preguntarse si el Ministerio correspondiente está al tanto de estas prácticas abusivas…

Deduzco que Ibercaja no es la única entidad financiera encargada de distribuir los lectores, al menos sí en 9 Comunidades Autónomas. Si algún lector ha tenido que recoger su lector en otra entidad y ha experimentado algo similar se agradecería que lo comentara.

Establece el Tribunal Supremo en Sentencia de 6 de octubre de 2009 que: “quien denuncia hechos que considera constitutivos de infracción de la legislación de protección de datos carece de legitimación activa para impugnar en vía jurisdiccional lo que resuelva la Agencia”. Con este pronunciamiento tenemos ya tres en el mismo sentido (Sentencias de 6 de noviembre de 2007 y 10 de diciembre de 2008) por lo que ya podemos hablar técnicamente de jurisprudencia en lo que se refiere a este asunto.

La Sentencia resuelve un recurso de casación planteado por una empresa denunciada en 2003 por posible vulneración de la Ley Orgánica de Protección de Datos. En un primer momento, la Agencia Española de Protección de Datos (AEPD) entendió que no existían motivos suficientes para imponer sanción alguna a la empresa denunciada. Pero sin embargo los denunciantes recurrieron a la Audiencia Nacional y consiguieron un pronunciamiento favorable a sus pretensiones, en el que la Audiencia Nacional ordenaba a la AEPD un nuevo pronunciamiento valorando la culpabilidad de la empresa denunciada.

El Tribunal Supremo sin embargo entiende que el denunciante, en el procedimiento sacionador sobre protección de datos, carece de legitimación activa para promover recurso jurisdiccional alguno (en este caso el recurso que planteó ante la Audiencia Nacional).

La razón es que el denunciante carece de la condición de interesado en el procedimiento sancionador; ni la Ley Orgánica de Protección de Datos ni su Reglamento de desarrollo le reconocen tal condición.
El denunciante, incluso cuando se considere víctima de la infracción denunciada no tiene un derecho subjetivo ni un interés legítimo a que el denunciado sea sancionado. El poder punitivo pertenece únicamente a la Administración que tiene encomendada la correspondiente potestad sancionadora y por tanto sólo dicha Administración tiene un interés tutelado por el ordenamiento jurídico en que el infractor sea sancionado.

Es más, aduce el Tribunal Supremo que:

“aceptar la legitimación activa del denunciante no sólo conduciría a sostener que ostenta un interés que el ordenamiento jurídico no le reconoce ni protege, sino  que llevaría también a transformar a los tribunales contencioso-administrativos en una especie de órganos de apelación en materia sancionadora. Esto último supondría dar por bueno que pueden imponer las sanciones administrativas que no impuso la Administración, lo que chocaría con el llamado “carácter revisor” de la jurisdicción contencioso-administrativo. En otras palabras, los tribunales contencioso-administrativos pueden y deben controlar la legalidad de los actos administrativos en materia sancionadora; pero no pueden sustituirse a la Administración en el ejercicio de las potestades sancionadoras que la ley encomienda a aquélla.”

Eso sí, por último, el Tribunal matiza que el denunciante de una infracción de la legislación de protección de datos carece de legitimación activa para impugnar la resolución de la AEPD en lo que concierne al resultado sancionador mismo (imposición de una sanción, cuantía de la misma, etc.); pero, llegado el caso, puede tener legitimación activa con respecto a aspectos de la resolución distintos del específicamente sancionador siempre que, por supuesto, pueda mostrar algún genuino interés digno de tutela.

La Sentencia del Supremo mencionada se puede descargar desde aquí.

La Ley Orgánica de Protección de Protección de Datos obliga a solicitar autorización del Director de la Agencia Española de Protección de Datos a todas aquellas empresas que quieran transferir datos personales desde España a cualquier país que no haya sido declarado como “puerto seguro”, esto es, que no tenga un nivel de protección de datos personales equiparable al nuestro.  Este es el caso de países sudamericanos o incluso de Estados Unidos.

Por tanto, para que la empresa de telecomunicaciones pueda facilitar el acceso de los datos personales de sus clientes o potenciales a clientes a empresas ubicadas en puertos no seguros, deberá instar el correspondiente procedimiento de autorización de transferencia internacional de datos personales, para que a la luz de los datos facilitados, el tratamiento y el país de destino, las garantías que se van a utilizar, etc, el Director de la AEPD autorice o no dicha transferencia.

Pues bien, estas autorizaciones nos sirven para obtener una prueba real de lo que ya todos sabemos: que las empresas de telecomunicaciones facilitan nuestros datos a diversos países de Sudamérica para que, por ejemplo, realicen las llamadas publicitarias, gestionen nuestras incidencias o averías con el operador, hagan de atención al cliente, etc.

El listado que se muestra a continuación es un resumen de algunas de las transferencias autorizadas, con indicación resumida de la finalidad de la transferencia y del país de destino. Si el lector quiere conocer qué datos exactamente se han transferido a esos países, puedes descargarse el documento de autorización de cada transferencia (en ocasiones se transfiere incluso la numeración de la cuenta bancaria, tarjetas de crédito…). No es un listado exhaustivo, existen muchas más transferencias que afectan a las mismas empresas.

Comenzamos con una Guía Legal para bloggers y podcasters, donde indicamos los principales puntos que deben conocerse desde un punto de vista legal y los riesgos asociados a estas actividades. Asimismo, hemos comenzado por abordar los aspectos relativos a la propiedad intelectual, incluyendo una Ley de Propiedad Intelectual española comentada, así como sobre protección de datos de carácter personal, que entre todos iremos completando y ampliando.

Paralelamente, se han creado dos listas de correo para las áreas anteriores, propiedad-intelectual-der@googlegroups.com y proteccion-de-datos-der@googlegroups.com, con la idea de fomentar el debate entre cualquier persona interesada.

Nuestro propósito es acercar determinadas cuestiones jurídicas a la sociedad, ofrecer respuestas a dichos conceptos y facilitar su comprensión, todo ello para mejorar el desarrollo de la Sociedad de la Información entre todos. Somos conscientes de que hay muchos puntos de vista implicados, cuestiones controvertidas, dudas y lagunas, por lo que no podemos hacer esto solos. Sirva esto, por tanto, de invitación a todo jurista o especialista en estas materias para que se una a esta iniciativa y contribuya a este espacio, así que quien esté interesado puede dirigirse a nosotros a través de la dirección info@derechoenred.com y participar en las listas de correo.

Confiamos sea de tu interés.