Iurismatica - Derecho TICs

La página web de la Agencia Española de Protección de Datos publica un Documento de Trabajo (1/08) sobre la protección de datos personales de los niños (directrices generales y el caso especial de los colegios) realizado por el Grupo de Trabajo del artículo 29 de la Directiva 95/46/CE. El informe pretende ser un instrumento que permita el conocimiento de la protección de datos por parte de los menores, así como una herramienta para que profesores, padres y autoridades comenten la importancia de dicha protección y consigan equilibrar la protección de la intimidad de los niños y su seguridad. Del documento (que como siempre no puedo más que recomendar su lectura) haré referencia a lo comentado por el G29 en relación a temas que suelen plantear más controversias: Circuitos Cerrados de Televisión, Páginas Web escolares, la publicación de fotos en las páginas y la utilización de videoteléfonos, sobre estos temas el G29 establece que:

- CCTV (Circuito cerrado de televisión): En este caso la ubicación de las cámaras deberá ser siempre pertinente, adecuada y no excesiva. EL Grupo entiende que en ningún caso se podrán instalar cámaras en las aulas (puesto que además en este caso puede interferir incluso en la libertad de enseñanza), zonas de ocio, gimnasio y vestuarios puesto que puede interferir en el derecho a la intimidad. Además los niños, el resto de la población del colegio y los representantes deberán estar informados de la existencia de la vigilancia, del responsable del tratamiento y de sus objetivos. La información a los niños deberá ser en todo caso adecuada a su nivel de entendimiento.

- Sitios web de los colegios: El G29 recomienda la puesta en marcha de mecanismos de acceso restringido con vistas a proteger la información personal que se pueda proporcionar a través de dichos portales.

- Fotos de los niños: En este punto (y algo que siempre hemos recomendado en los colegios) el G29 hace especial hincapié en que los responsables del colegio hagan una evaluación del tipo de foto a publicar, la pertinencia de su publicación y su objetivo. Los niños y sus representantes deberán ser conscientes de su publicación y deberá obtenerse el consentimiento previo del representante (o del niño si ya es maduro).

- Videoteléfonos en los colegios: En este caso, el G29 establece que los colegios deben establecer las precauciones para el uso de MMS, grabación de audio y vídeo cuando se trata de datos personales relativos a terceros sin el consentimiento de los interesados. En este caso, si bien el G29 recomienda a los colegios a advertir a los estudiantes de que la circulación no limitada de grabaciones de vídeo, audio y fotografías puede causar infracciones graves del derecho a la intimidad de los interesados y la protección de datos personales, en mi modesta opinión (y como padre de familia) recomendaría la misma prohibición que la realizada a las CCTV de prohibir cualquiera de estos dispositivos dentro tanto de las aulas, como de las zonas de ocio (es decir, prácticamente dentro del recinto escolar) por las mismas razones que las establecidas a dichos sistemas.

Creo que una de las noticias de la semana ha sido: “Una empresa de gas envía una factura a nombre de Antonio Gilipollas Caraculo“. Por supuesto que la considero noticia de la semana por parecerme curiosa, no quiero decir con ello que haya habido noticias muchos más importantes, que seguro que las ha habido. Dejando de lado las posibles denuncias, demandas demás que el afectado haya podido emprender contra la empresa por la vulneración de su honor, imagen y demás, me pregunto si la empresa podría haber incurrido en alguna infracción de la normativa de protección de datos de carácter personal. A primera vista puedo pensar que vulnera el principio de calidad de los datos, este principio recogido en la Ley en su artículo 3.3 establece que:

3. Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado.

Está claro que en la base de datos de la empresa los datos que figuran del afectado no son exactos, más bien son claramente inexactos, por no decir ofensivos. Además de la infracción del principio de calidad se puede considerar que ha habido una infracción de la seguridad de los datos:

Artículo 9. Seguridad de los datos
1. El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

¿Y cuál sería la consecuencia de lo anterior?: Se podría considerar una infracción grave:

d) Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave.

Con lo que se podría sancionar con una multa que oscilaría entre los 60.000 a 300.000 Euros.
¿He estirado demasiado la normativa?

Al estilo de los Estados Unidos, la Comisión Europea propuso ayer la creación de un registro de pasajeros aéreos que entren y salgan de la Unión Europea. Según esta propuesta las compañías aéreas deberán entregar un total de 19 datos que se conservarán hasta un máximo de 13 años para realizar análisis de riesgos y poder identificar a sospechosos de atentados terroristas. Como se recoge en la noticia (y a falta de conocer de primera mano cómo va a ser dicho registro y de qué forma se va a posicionar tanto el Grupo del artículo 29, las Agencias Estatales de Protección de Datos o el propio tribunal de Justicia de la Unión Europa) el registro tratará:

Entre los datos que tendrán que entregar las compañías aéreas se encuentran el nombre, número de teléfono y dirección de correo electrónico, número de tarjeta de crédito o itinerario del pasajero. El vicepresidente de la Comisión enfatizó en que en ningún caso se guardarán “datos sensibles como la religión, la raza o las preferencias alimentarias”. A diferencia de lo que ocurre en Estados Unidos, donde no se recoge esta información, el registro europeo incluirá datos sobre menores no acompañados “para luchar contra el tráfico internacional y el abuso de niños”.

Además entre las propuestas para la lucha antiterrorista, no podía faltar el riesgo que últimamente genera Internet:

Dentro del paquete antiterrorista, el Ejecutivo comunitario propuso también que todos los Estados miembros sancionen penalmente las incitaciones para cometer actos terroristas y el reclutamiento y el entrenamiento para terrorismo, incluyendo los casos en que estas actuaciones se lleven a cabo a través de Internet, por ejemplo mediante la difusión de instrucciones para fabricar una bomba en una página web.

Frattini destacó que Naciones Unidas ya ha expresado su preocupación por el uso que hace el terrorismo de Internet para reclutar miembros y dijo que hay “millares” de páginas web usadas por terroristas. En los casos en que se detecten este tipo de actuaciones delictivas, los jueces o las autoridades administrativas podrán ordenar la desconexión de este tipo de páginas.

Como en el caso del acuerdo PNR estaremos al tanto de dicho registro y su legalidad.

Esta pregunta recorre muchísimas veces por la cabeza del cualquier usuario de Internet, o incluso de cualquier ciudadano, que aún no acercándose diariamente a la red de redes, ha visto alguna vez sus datos publicados en Internet. Y bien ¿qué nos queda por hacer en estos casos? La respuesta parece sencilla, pero después de leer sendas resoluciones de la Agencia Española de Protección de datos como notas informativas de la misma Agencia sobre el asunto, la respuesta no es tan sencilla.

Primeramente debes preguntarte a tí mismo si eres un personaje que goza de la condición de personaje público, o seas objeto de un hecho noticiable de relevancia pública. En este caso, la Agencia considera que (siempre que se trate de información veraz) prevalece el derecho a la información sobre el derecho a la protección de datos. Así lo recoge en una resolución donde la Agencia archiva una denuncia por la difusión de los datos sobre las retribuciones salariales de un ex-cargo público a través de la página web y el boletín informativo de un partido político.

Si no es tu caso, y tu datos personales han aparecido en un foro de Internet, la misma Agencia Española de Protección de datos entiende que en otra resolución que el ciudadano que no esté obligado a someterse a la disciplina del ejercicio de estas libertades (por no resultar sus datos personales de interés público ni contribuir, en consecuencia su conocimiento a forjar una opinión pública) debe gozar de mecanismos reactivos amparados en Derecho, como el de cancelación de datos personales, que impidan el mantenimiento universal en la red de su información personal.

Si eres un ciudadano “normal” y tus datos aparecen en un foro, web, etc. debe dirigirse a la empresa o entidad que los maneja y ejercer el derecho de cancelación u oposición al tratamiento de los datos personales.

Ahí queda eso.

Cada cierto tiempo aparecen estudios sobre el coste que tiene el SPAM: coste en materia de recursos para las empresas que implementan sistemas anti-SPAM, coste en tiempo perdido de los trabajadores, coste en productividad, coste en gestión de las tecnologías de la información, etc. A estos costes los ISPs y operadoras deberán sumar los costes de almacenaje que el SPAM va a generar al cumplir escrupulosamente con la Ley de Conservación de Datos relativos a las comunicaciones electrónicas. No debemos olvidar que tras la obligación de conservar el origen, destino, fecha, hora y lugar (entre otras) de las comunicaciones, dentro de las comunicaciones se engloba el SPAM ¿tiene algún sentido? ¿merece la pena guardar semejante cantidad de información sobre comunicaciones de SPAM? Por ahora el SPAM no es un delito (pero mejor no demos ideas al legislador), con lo cuál no debería entrar dentro de la obligación de conservación, pero de todas formas todas esa información de las comunicaciones deberán ser almacenadas. ¿Y quién pagará todo esto? Creo que la respuesta es sencilla, los de siempre, los usuarios y consumidores. Está claro que esa remisión de la normativa a la implantación de las obligaciones a costa del operador se verá trasladado a los sufridos usuarios y consumidores.

En serio, ¿alguien se ha planteado que realmente se hace necesario almacenar todos los datos relativos al SPAM?