Peter Hustinx, supervisor de la Protección de Datos de la UE ha mostrado recientemente su preocupación respecto a los planes que la UE tiene para combatir la piratería por Internet. Según se ha sabido tras la filtración de unos documentos, el ejecutivo europeo se encuentra en negociaciones secretas con Estados Unidos y otros países como Canadá, México, Australia, Nueva Zelanda, Corea del Sur, Singapur, Jordán, Marruecos y los Emiratos Árabes Unidos en lo que se llama Acuerdo Comercial contra la Falsificación de la Propiedad Intelectual o ACTA.
Este documento abre la puerta a la aplicación en toda la Unión de la ‘Ley de los tres avisos’ francesa por la que se permite restringir el acceso a Internet a los usuarios que hayan sido acusados de piratear archivos tras dos avisos previos.
Hustinx, supervisor de la Protección de Datos de la UE lamenta que no haya sido consultado por la Comisión Europea sobre el contenido del acuerdo y denuncia el hecho de que el ACTA involucraría el intercambio de los datos personales de los ciudadanos europeos entre autoridades y organizaciones internacionales sin antes haber creado herramientas para salvaguardar la privacidad de esa información. Así el supervisor argumenta que “aunque la propiedad intelectual es importante para la sociedad, y merece ser protegida, nunca se le debe dar mayor valor que los derechos fundamentales de los individuos en lo que se refiere a la privacidad y protección de sus datos”.
Fuente: www.elmundo.es
El Tribunal Constitucional alemán declaró este martes anticonstitucional y nula la ley de almacenamiento de datos de telecomunicaciones para la persecución de delitos, crímenes y la prevención de acciones terroristas. El mas alto tribunal alemán dio así la razón a los más de 35.000 denunciantes de dicha ley, casi todos personas privadas, en el mayor recurso presentado en la historia del Constitucional contra una decisión del legislativo.
La ley, en vigor desde 2008, contempla el almacenamiento durante seis meses de todos los datos de conexión de las comunicaciones telefónicas, de correos electrónicos y de navegación por Internet, así como los de localización espacial de los usuarios de teléfonos móviles.
Los jueces del tribunal con sede en Karlsruhe, en el oeste del país, sentenciaron que la ley viola flagrantemente el derecho al secreto de las telecomunicaciones, así como el principio de proporcionalidad.
Igualmente consideraron en su sentencia que la seguridad en el almacenamiento de dichos datos es insuficiente, que no se concreta el uso final de dichos datos y que la ley no es suficientemente transparente. Los magistrados determinaron además que los datos almacenados hasta ahora debían ser eliminados “inmediatamente”.
Contra la citada ley habían presentado denuncias tres grupos de ciudadanos, el mayor de ellos, al que se habían sumado unas 34.900 personas, ha sido representado por el abogado berlinés Meinhard Starostik. Los otros dos grupos están representados por el político liberal Burkhard Hirsch, mientras el abogado verde Volker Beck defendía los intereses de mas de 40 diputados de su partido en el Bundestag.
Fuente: www.20minutos.es
En vista de las recientes noticias sobre las comparecencias ante la Subcomisión de Propiedad Intelectual del Congreso de representantes del sector tecnológico, de los consumidores, expertos en Internet o en protección de datos, solicitando el fin del “canon digital” y la limitación del papel de las entidades de gestión de derechos de autor, y ante la proliferación de comentarios y encuestas en la Web en que se pregunta, por ejemplo, si hay que eliminar “el impuesto del canon” o si éste debería gravar “sólo originales y no soportes físicos”, es preciso aclarar, en aras del interés de los ciudadanos, esta cierta confusión en el planteamiento de qué es el “canon digital” o compensación equitativa por copia privada, como llama a esta figura el artículo 25 de la Ley de Propiedad Intelectual.
Aún falta tiempo para que desaparezca la necesidad del usuario de hacer copias para su uso privado. Hasta entonces, los usuarios seguirán haciendo copias privadas de los contenidos adquiridos para reproducirlos en dispositivos cuyo empleo es más cómodo (por tamaño, características técnicas, etc.) pero que no tienen modo de albergarlos y reproducirlos si no es mediante una copia (por limitaciones del hardware básicamente).
El trabajo ajeno no es gratuito: el esfuerzo creativo del artista y la labor de quienes ponen esa creación a nuestra disposición han de recibir su justa contraprestación, que se traduce en una compensación en caso de adquirirse la obra por medios distintos de los fijados por el autor (en la mayoría de casos la compraventa de copias originales). Por otro lado, las obras sujetas a licencias de contenido abierto y/o libre también requieren una compensación, si no económica, sí de divulgación de la obra bajo su nombre y con otros requisitos.
No obstante, esta compensación ha de ser definida apropiadamente y teniendo en cuenta los estrictos fines para los que fue ideada la figura, su esencia. El sistema de la compensación equitativa por copia privada, generalizado en Europa, existe en España desde 1987; el problema nace de la actual redacción del artículo 25 de la Ley de Propiedad Intelectual y la orden ministerial que lo desarrolló en junio de 2008 y ahora prorrogada (Orden PRE/1743/2008, de 18 de junio). Su regulación actual desvirtúa el concepto que se trata de proteger, la compensación económica al autor por su esfuerzo creativo y el incentivo a la creación, para convertirlo en una suerte de “permiso de copias privadas”, y que grava con precios exagerados e injustificados determinados dispositivos: por ejemplo, la impresora de 70 ó más copias por minuto, para la que se prevé una compensación de 227,00 euros por unidad. Ese tipo de dispositivos no se adquiere para hacer una simple copia privada.
Estado y usuarios no han de esperar al “fin de la copia” para que se configure una legislación sobre Propiedad Intelectual apropiada para todos los ciudadanos (y no sólo “beneficiosa para unos”). Ya existen en nuestro ordenamiento jurídico instrumentos adecuados para proteger de manera óptima los derechos de propiedad intelectual en nuestro sistema jurídico; lo absolutamente injustificado e inconstitucional es crear una ley o modificar las existentes para favorecer un derecho privado por encima de los de la mayoría, como haría la Disposición Final Primera de la Ley de Economía Sostenible, de aprobarse ésta en la actual redacción de su anteproyecto.
María Teresa Nevado
Áudea Seguridad de la Información
www.audea.com
Las redes sociales se han configurado como un reto poliédrico para los juristas ya que, por sus especiales características, estas plataformas implican el contacto con ciertos bienes jurídicos protegidos y, por tanto, con diferentes facetas del Derecho tales como los derechos vinculados directamente con la privacidad.
El Informe de la Fundación Pfizer sobre la “Juventud y las Redes Sociales en Internet”, de septiembre del pasado año revela que un 92% de los jóvenes españoles entre 11 y 20 años está registrado en alguna red social, considerando como tal, a título enunciativo, plataformas como Youtube.com, Messenger o Tuenti. Dicho porcentaje indica que casi la totalidad de los jóvenes españoles utiliza herramientas para comunicarse en Internet y, por ello, han adquirido el calificativo de “nativos digitales” ya que se identifican con una generación que ha crecido con la presencia constante de Internet en sus vidas. Este fenómeno no alcanza sólo a jóvenes ya que en redes sociales como la española Tuenti, la media de edad de sus usuarios se sitúa en 24 años y, a día de hoy, alcanza una cifra de miembros registrados superior a 6 millones sólo para el territorio español.
Podemos explicar este fenómeno porque las redes sociales se han configurado como un nuevo entorno de relación social que permite al usuario mantenerse en contacto con su círculo de amigos a través de mensajes privados, actualizaciones de su “estado” o mediante la publicación y comentario de fotografías.
A efectos de estudio y, debido a su nacionalidad española, es de especial interés el estudio de la red social Tuenti ya que está sometida, no sólo a la regulación local sino también a la Europea y a la autorregulación en determinados aspectos no contemplados por la normativa parlamentaria.
Tuenti está alojada en la URL www.tuenti.com y pertenece a la sociedad española Tuenti Technologies, S.L., domiciliada en Madrid. Por sus especiales características, puede considerarse una red proteccionista en cuanto al derecho a la privacidad en sus diferentes vertientes; derecho al honor, a la propia imagen, a la intimidad y el derecho “sui generis” a la protección de los datos de carácter personal. Dicha protección se extiende a todos los usuarios independientemente de su edad. Hay dos pilares que configuran a ésta como una plataforma social cuyo principal interés es salvaguardar la privacidad de sus usuarios:
? Modelo por invitación: a diferencia de los servicios abiertos, Tuenti es una plataforma que ha sacrificado su crecimiento en número de usuarios a cambio de conseguir un sistema de crecimiento sostenible. El sistema de invitación implica que sólo pueden entrar en Tuenti personas que han sido invitadas por miembros de dicha plataforma. Cada miembro cuenta con un número limitado de invitaciones que sólo envía a su círculo de confianza y eso hace que la media de “amigos” de los usuarios sea sólo de 30 personas y, por lo tanto, que el nivel de privacidad sea mayor ya que la exposición se hace sólo a personas de un círculo cerrado, semejante al que existe en la vida off-line.
? No indexación: ninguno de los datos ni contenidos existentes en Tuenti se indexa en motores de búsqueda. Esto quiere decir que, al introducir nombre en las cajas de búsqueda de motores como Google, no aparecerá ningún dato de usuarios de Tuenti, ni fotos asociadas a nombres ni su círculo de amigos. En ese sentido, Tuenti es una plataforma hermética, lo que permite el control de los datos personales.
Adicionalmente, los menores son un colectivo especialmente protegido en esta plataforma por su especial indefensión e indemnidad. El acceso a Tuenti está prohibido a menores de 14 años, ya que hemos considerado que, si los 14 años ha sido la edad utilizada en Derecho Civil históricamente para realizar actos jurídicos de manera independiente, puede ser considerada como una edad mínima para acceder a los servicios de comunicación en línea. Asimismo, el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos considera dicha edad apropiada para que los menores puedan acceder a dichos servicios un nivel adecuado de discernimiento.
La mayoría de redes sociales, usadas teniendo en cuenta la importancia de la privacidad y efectuando un uso responsable, son beneficiosas para la fomentar la comunicación entre individuos. En el ámbito de la privacidad, existen las políticas de privacidad y condiciones de uso que pretenden regular y explicar el uso de estas plataformas a sus usuarios. En el caso de cualquier red sometida a legislación nacional, como es el caso de Tuenti, estas políticas están redactadas de forma alineada con la Ley Orgánica de Protección de Datos del 1.999 y su consecuente Reglamento de desarrollo, a los efectos de que se cumplan fundamentalmente los siguientes objetivos:
? Informar de manera detallada del uso que la red social que va a hacer de los datos de los usuarios;
? Informar de que es un servicio no permitido a menores de 14 y alertando de que el incumplimiento de este punto puede generar una baja del perfil infractor a instancia de la red social;
? Explicar de una forma muy clara de los procesos para ejercitar los derechos de acceso, rectificación, cancelación u oposición;
? Detallar cómo funciona la activación de los diferentes niveles de privacidad por el usuario que, en el caso de menores entre 14 y 18 años, será el máximo;
? Información sobre usos comerciales, “cookies” y datos societarios de interés.
De una forma más particular, las condiciones de uso abundan en todas aquellas conductas que no son admitidas en la red social, bien porque atentan contra la legislación vigente o bien porque se consideran no apropiadas para este entorno. A efectos de que el usuario conozca estas condiciones y política de privacidad, debe dedicar el tiempo que sea necesario, en el momento de registro para su lectura y comprensión total. Para los menores entre 14 y 18 años se han habilitado también unas condiciones resumidas y de fácil comprensión con el objeto de dar cumplimiento al artículo 13.3 del mencionado Reglamento de Desarrollo de la LOPD que exige que el lenguaje ofrecido en la información a menores se entendible.
Con carácter adicional, la red social cuenta con las herramientas necesarias para poder configurar la privacidad conforme a usos y preferencias personales. En el caso de Tuenti, se establecen tres categorías; “sólo amigos”, “amigos de amigos” y “todo Tuenti”. El nivel de privacidad seleccionado determinará para cada usuario el universo de personas a quién se mostrará (comentarios, datos personales, fotografías, etc). Al ser cada vez más conocidas las implicaciones de que tiene el derecho a la privacidad, son cada vez más los usuarios que optan por el mayor grado de protección.
Otro de los bienes protegidos y con mayores implicaciones jurídicas son las fotografías. Los usuarios publican al día una enorme cantidad de fotografías propias y de otros usuarios. La posibilidad de publicar fotos de terceros, incluso cuando los usuarios son amigos, es una funcionalidad que genera no pocos debates jurídicos sobre el derecho a la imagen y a la intimidad. La idea de la red social consiste en tener grupos reducidos de “amigos”, activar el grado máximo de privacidad y compartir entre ese círculo las fotografías en las que todos participan, teniendo la posibilidad. En las condiciones de uso de Tuenti se informa de que los usuarios no están autorizados a subir fotografías sin haber obtenido el oportuno consentimiento de las personas que en ellas pudieran aparecer. Adicionalmente, los usuarios disponen mecanismos técnicos para quitar una “etiqueta” (marca en una fotografía que vincula a un usuario con la misma) el borrado de una foto o incluso su denuncia. No obstante, las fotografías siguen siendo una fuente de consultas inagotable ya que las personas que en su día posaron para fotografías quieren ejercitar la revocación de ese consentimiento. En ocasiones, es difícil de ejecutar dicho ejercicio ya que en las fotografías colectivas no sólo es el demandando quien tiene protección de sus derechos sino también el resto de personas que participan de ese retrato. Para procurar soluciones, recurrimos a la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar, y a la propia imagen en combinación con la legislación sobre protección de datos desde el entendimiento de que una fotografía es un datos personal. Una combinación de la normativa y el contexto en que se producen las incidencias nos permite aplicar un criterio favorable a los afectados, recordando también que la red social no puede ser más que un canal de comunicación y no un factor decisor en disputas entre usuarios.
Como conclusión, podemos deducir que el éxito en la protección de la privacidad dentro de una red social es la combinación de la responsabilidad y conciencia del usuario que debe usar las herramientas que la plataforma pone a su disposición para preservar este bien jurídico y conocer las implicaciones de la exposición de su intimidad. Esto no es suficiente y es por ello que se requiere que la red social cuente con unas condiciones de uso y política de privacidad ajustadas a la normativa española así como un equipo de soporte a los usuarios que atiendan de inmediato sus necesidades y que esté respaldado por un equipo jurídico que analice cada cuestión conflictiva para poder dar, en cada caso, la respuesta más ajustada posible a Derecho y a la evolución digital a la que asistimos.
Datos sobre TUENTI:
Tuenti tiene más de 6 millones de usuarios registrados. Los usuarios suben al día más de 2 millones y medio de fotografías. El 98% de los usuarios tiene activado algún grado de privacidad en su “perfil” y el 75% no permite la descarga de sus fotos ni siquiera a sus amigos. Ha sido la primera red social en suscribir un acuerdo con la Agencia Española de Protección de Datos para preservar la privacidad de los menores y ha suscrito los Principios de Redes Sociales más Seguras en el seno de la Comisión Europea el pasado 12 de junio.
Fuente: Natalia Martos Díaz. Directora Jurídica y de Privacidad.Tuenti Technologies, S.L.
En estos días se ha iniciado una campaña de concienciación para jóvenes sobre el alcance e importancia de la privacidad de las redes sociales. En esta iniciativa la Agencia de Protección de Datos de la Comunidad de Madrid cuenta con la colaboración de Tuenti y YouTube, quienes con motivo de la Semana Europea de la Privacidad, difunden dos vídeos relacionados con la importancia que tiene proteger la privacidad en Internet.
Para la APDCM las redes sociales han de ser medios de comunicación con amigos, pero no vías para invitar a auténticos desconocidos a que conozcan tus intimidades, así como aquella información que originalmente no se la contarías a cualquiera.
En este sentido se recomienda leer con detenimiento las políticas de privacidad de las redes sociales, pues muchas no cumplen con la legislación de nuestro país y, en muchos casos, la información personal puedes ser indexada a través de buscadores.
No obstante, es bueno saber que no es necesario introducir todos los datos que nos piden inicialmente para proceder al alta.
En este sentido, tanto desde la APDCM como desde Áudea animamos a que aquellos usuarios que consideren vulnerados sus derechos denuncien los hechos comunicándoselo a los administradores de la red social bloqueando, a su vez, a la persona que nos atente. Así mismo también pueden ejercer su derecho de cancelación ante la Agencia de Protección de Datos.
Por tanto, un punto de partida, quizás el más importante, es la concienciación de los ciudadanos usuarios de redes sociales e internet de que han de hacer un uso responsable de las mismas en aras de proteger si privacidad.
Departamento de Comunicación
Áudea Seguridad de la Información
www.audea.com
En contradicción con la máxima empresarial que reza “vale más pedir perdón que pedir permiso” (en clara referencia a que los perjuicios derivados de una actividad ilícita suelen ser inferiores a los beneficios obtenidos), inauguramos esta sección del blog para concienciar a las empresas de que, en protección de datos, esta máxima no tiene fundamento, ni siquiera cuando la infracción se comete por accidente o imprudencia.
Principio de Calidad de los Datos
El artículo 4 de la LOPD, referente al Principio de Calidad de los Datos, prohíbe, entre otras cosas, tratar datos obsoletos o inexactos.
Algo que tradicionalmente se hubiese salvado con una disculpa más o menos formal, y quizá una pequeña compensación económica, puede convertirse en una sanción de 60.000 euros, como la que recayó sobre Bankinter en el Procedimiento Sancionador PS/00173/2009.
Un error administrativo al modificar un código de cuenta corriente sobre el que operaba una tarjeta de crédito, hizo creer al personal de Bankinter que D. R.R.R. adeudaba la cantidad de 183,02 euros, por lo que le incluyeron en un fichero de morosos sin exigir una deuda cierta, vencida y exigible.
“En el presente caso, ha quedado acreditado que Bankinter instó el alta de los datos relativos al denunciante en el fichero Asnef-Equifax y Badexcug-Experian sin haber acreditado que la deuda que se requiere de pago al denunciante es cierta, vencida y exigible de forma indubitada. El impago se produce por una tramitación defectuosa del cambio –comunicado por el afectado- de ccc de domiciliación de pagos de la tarjeta. La responsabilidad es solo de la entidad bancaria. En consecuencia, los datos sobre impagados asociados al afectado por la empresa de recobro primero y por los ficheros de insolvencia patrimonial después no son exactos y puestos al día.
Siendo esto así, Bankinter hizo uso de unos datos inexactos. Estos hechos son contrarios al principio de calidad de datos y, por tanto, contravienen lo dispuesto en el artículo 4.3 de la LOPD.”
La consecuencia de tratar datos inexactos es un incumplimiento del “cajón de sastre” del régimen sancionador de la LOPD, que es el artículo 44.3d):
“La infracción del artículo 4.3 de la LOPD se halla tipificada como grave en el artículo 44.3.d) de dicha norma, que considera como tal (grave), ‘Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave.’”
En otras palabras, cualquier cosa que no esté sancionada expresamente como leve o muy grave, es grave… y en consecuencia…
“El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad Bankinter SA, por una infracción del artículo 4.3 de la LOPD, tipificada como grave en el artículo 44.3.d) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euros y veintiún céntimos) de conformidad con lo establecido en el artículo 45.2 y 4 de la citada Ley Orgánica.”
COMENTARIO: Evidentemente, no es agradable que a uno le incluyan en un fichero de morosos, y menos aún cuando es falso, pero lo cierto es que no hay forma de prevenir errores o accidentes en caso de tratamientos masivos de información, y resulta excesivo que un error suponga una sanción de 60.000 euros.
José Carlos Moratilla
Áudea Seguridad de la Información
www.audea.com
La Agencia Española de Protección de Datos (AGPD) ha impuesto una sanción de 6000€ a una entidad que publicó información personal de un ex empleado en un blog de Internet.
Tras recibir la correspondiente denuncia firmada por el ex empleado, la AGPD inició una inspección y posteriormente acordó iniciar un procedimiento sancionador a la entidad por infracción de los artículos 6.1 y 10 de la LOPD, que regulan el consentimiento y el deber de secreto, respectivamente.
En el artículo 6 de la LOPD se establece que “el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.”
Al respecto hay que señalar que aunque había existido una relación laboral previa entre la empresa y el ex empleado, se entiende que la finalidad con la que se han utilizado los datos de éste último por la empresa es más amplia que la que subyace del vínculo laboral. Por ello, debería contarse con el consentimiento inequívoco del desempleado para la utilización de sus datos en el blog y para todos aquellos usos que fuesen más allá del mantenimiento de la relación laboral.
La empresa señaló que carecía de datos del denunciante ya que estos se encontraban en poder de su encargado de tratamiento, a lo que la Agencia ha respondido que es la empresa contratante la que recaba los datos del trabajador y a la que corresponde por tanto cumplir con el deber de información y la inscripción del correspondiente fichero, aunque los documentos propios de la gestión laboral “no pasasen por sus manos”.
Por otra parte, el artículo 10 de la LOPD determina que “el responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”.
De las actuaciones de la entidad denunciada se ha podido acreditar que fue vulnerado el deber de secreto con la publicación en un blog de Internet de datos personales de su desempleado, sin contar con el previo consentimiento de éste.
Por último, hay que señalar que el contenido de la información publicada en el blog proporcionaba. un perfil negativo en lo que al ámbito laboral se refiere, siendo calificada esta infracción como grave
Departamento de Comunicación
Áudea Seguridad de la Información
www.audea.com
Hay quien estos días da, literalmente, saltos de alegría ante la noticia de la aparición de las listas Robinson, como si fuesen algo nuevo. Y no es así. Las listas Robinson existen desde hace unos 12 años, pero ni tenían la publicidad necesaria ni se aplicaban como el nuevo experimento de la AEPD. Es decir, antes las listas Robinson eran de aplicación únicamente para el correo postal (hace 12 años en España ni siquiera se conocía el término “spam”) y al apuntarse, el ciudadano de a pie sólo evitaba que le enviasen publicidad aquellas empresas con las que no mantuviera una relación comercial.
Con la salida de las nuevas listas Robinson, la cosa cambia sensiblemente. Aparte de la evidente publicidad que se les ha dado, estas listas abarcarán cualquier tipo de comunicación que una empresa pueda realizar a un particular. Y ya no sólo nos referimos a las empresas desconocidas por el posible objetivo, sino que se extiende a aquellas con las que mantiene una relación comercial.
Pero claro, el nuevo sistema plantea no pocos interrogantes, aparte de causar un claro menoscabo a las empresas que se dedican al marketing directo. Pero vayamos por partes. Vamos a imaginar un caso concreto.
Imaginemos que yo soy un ciudadano que para darme de alta en una página web he de dar ciertos datos, y en esta página se me informa de manera correcta sobre posibles comunicaciones de mis datos. No me opongo y acepto. La empresa de la página web, que se dedica entre otras cosas al marketing directo, vende mis datos a otra empresa que me remite publicidad. Sin embargo, mañana me apunto a la nueva lista Robinson, expresando mi deseo de no recibir más publicidad. Pero ya dí mi consentimiento previamente, así que…
¿Qué prevalece entonces? ¿El consentimiento que la persona ha dado para recibir comunicaciones publicitarias o el hecho de que esté incluida en una lista Robinson? Ante la duda, me imagino que las empresas (por aquello de qué dirá la AEPD) optarán por no realizar acción alguna, no sin un sentimiento de incertidumbre acerca de “lo que pudo ser y no fue”, o como mínimo, tendrán que consultar la lista de marras, que es gratuita para ciudadanos y para un determinado número de consultas.
A partir de ahí las empresas tienen que pagar para saber a quién pueden enviar publicidad o no, a riesgo de cometer una infracción y ser susceptibles de una multa. Así que o pago o no envío publicidad. Esta situación en la práctica puede llevar al cierre inexorable de no pocas empresas.
Imaginen que una empresa se dedica a recopilar datos de fuentes accesibles al público (o a recoger los datos a través de una página web, con su consentimiento informado y todo), para después vender esos datos, práctica legal y contemplada como tal en la Ley. Bien, pues ahora para asegurarse de no incurrir en una infracción tiene dos posibilidades: a) cotejar (pagando, claro) los datos recabados con la lista Robinson, lo cual incrementará el precio (que no el valor) del fichero o b) reducir el precio del fichero porque el comprador deberá cotejarlo él (pagando, claro) con la lista Robinson.
Visto así, parece que se haga una defensa a ultranza de las empresas por encima de los derechos a la privacidad que se nos reconocen desde la Constitución. Sin embargo, nada más lejos de la realidad. Hay que reconocer, no obstante, que estos ataques a cualquier iniciativa de publicidad por parte de una empresa pueden resultar contraproducentes. Si no hago publicidad, no doy a conocer mis productos. Si no doy a conocer mis productos, nadie los compra. Y si nadie compra mis productos, tendré que echar el cierre. Y trabajadores a la calle.
Lo ideal, sin duda, sería encontrar un punto de equilibrio, aunque por desgracia hoy en día eso es inviable. Entre otras cosas porque las empresas más grandes siguen con su política de abuso de los datos, lo que perjudica a los particulares y a las empresas más pequeñas, que se ven su situación menoscabada por las prácticas de unos cuantos. Y los particulares, hastiados lógicamente de tanto abuso, se apuntan en masa a la lista Robinson para evitar ser molestados en cualquier momento del día o de la noche. Y ya que estamos nos libramos de cualquier publicidad, venga de donde venga. La pregunta ahora es si dará algún resultado positivo o será un fiasco más como tantos otros.
Rafael Eguilior
Áudea Seguridad de la Información
www.audea.com
Los sistemas de información e instalaciones de tratamientos que contengan los datos calificados de nivel medio y/o alto, se someterán a una Auditoría al menos de forma bienal, que verifique el cumplimiento de los procedimientos e instrucciones vigentes en materia de seguridad de datos. La realización de la Auditoría será también obligatoria en el caso de cambios en los sistemas de información que pueden afectar a las medidas ya implantadas, iniciando en ese caso el cómputo de dos años.
Dicha auditoría, que puede ser realizada de forma interna o externa, deberá finalizar en la emisión de un Informe, dictaminando la adecuación de las medidas y controles implantados a la Ley y su desarrollo reglamentario, y en su caso identificando las deficiencias y proponiendo las medidas correctoras o complementarias necesarias, incluyendo los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas.
Los informes de auditoría serán analizados por el Responsable de Seguridad, que elevará las conclusiones al Responsable del Fichero para que adopte las medidas correctoras adecuadas y en todo caso, el informe quedará a disposición de la Agencia Española de Protección de Datos, o en su caso de las autoridades de control de las Comunidades Autónomas.
Es recomendable que el Responsable de Seguridad preparare un Programa de Auditoría de Seguridad, donde se especifique expresamente:
Una vez terminado el programa de la Auditoria, el Responsable de Seguridad, deberá remitir una copia a la Dirección de la empresa, con objeto de ponerlo en su conocimiento y obtener su aprobación.
El equipo auditor, con la colaboración del Responsable de Seguridad, así como otros responsables involucrados, revisará la documentación necesaria para llevar a cabo la auditoría.
Entre otros documentos se revisarán los siguientes:
Tras la revisión de la documentación aplicable, los auditores prepararán una lista de comprobación en la que relacionen los aspectos a verificar durante la auditoría.
La Auditoría se llevará a cabo durante las fechas previstas en el calendario de trabajo propuesto, y las verificaciones a efectuar durante la misma serán en general.
Una vez finalizada la Auditoría, los auditores se reunirán con el / los responsables con el objeto de exponer las desviaciones detectadas y proponer las medidas correctoras para su resolución. Finalmente se emitirá un informe por parte del Auditor
El auditor, firmará el informe emitido y lo remitirá a la Dirección de la Empresa, así como al Responsable de Seguridad, el cual procederá a distribuirlo entre las áreas implicadas de la empresa para su revisión y análisis, archivando el original del mismo para realizar el seguimiento de las incidencias derivadas.
Departamento de Comunicación
La mejor forma de evitar sanciones es mediante la correcta observancia y cumplimiento de la LOPD, así como con la completa cooperación con los inspectores de la AEPD si ésta considerase que la empresa en cuestión es susceptible de ser investigada.
Si pese a haberse cumplido en la medida de lo posible las anteriores premisas la Agencia considerase la empresa como infractora de alguno de los preceptos de la ley, y como consecuencia impusiera una sanción, deberá interponerse un recurso de reposición ante el órgano que dictó la resolución, en este caso la AEPD. Si de dicho recurso se desprende una resolución desestimatoria por parte de la Agencia, se cierra la vía administrativa.
En caso de que se dé la desestimación del recurso, contra dicha resolución que como se ha dicho cierra la vía administrativa, se podrá interponer en el plazo de dos meses a contar desde el día siguiente a la notificación de la misma, recurso contencioso-administrativo, según lo previsto en el artículo 46.1 de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, ante la sala correspondiente de la Audiencia Nacional. Dicho recurso se realizará con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta del referido texto legal.
Si la Audiencia Nacional desestimase el recurso interpuesto, ratificando así la sanción interpuesta por la AEPD, siempre queda recurso ante el Tribunal Supremo, siendo éste el último escalón ante el que se puede acudir, de tal forma que si el Tribunal Supremo confirma la sentencia de la Audiencia, la sanción deviene firme.
Departamento de Comunicación
