La obligación de bloqueo de datos: dificultades conceptuales sobre su aplicación

Al integrar en nuestro sistema de Compliance el cumplimento de las obligaciones del RGPD y la LOPDGDD ¿cómo debemos interpretar la obligación de bloqueo que preceptúa el artículo 32 de la LOPDGDD? “El responsable del tratamiento estará obligado a bloquear los datos cuando proceda a su rectificación o supresión”. Más allá de las cuestiones relativas a como ejecutar materialmente el denominado “bloqueo” en nuestro sistema de información, otra de las cuestiones prácticas claves es bajo qué circunstancias y durante cuánto tiempo debemos bloquear dichos datos.

Las posibles responsabilidades

Cabe destacar ciertos detalles de la redacción del artículo 32.2 cuando se refiere a restringir el tratamiento y únicamente permitirlo para su puesta a disposición a las autoridades: “para la exigencia de posibles responsabilidades derivadas del tratamiento y solo por el plazo de prescripción de las mismas”. La redacción puede ser problemática, en el sentido de que entendemos como “posibles responsabilidades”, ¿se trata de responsabilidades que ya han nacido a consecuencia de un determinado hecho y que, ya sea porque nuestra entidad lo ha detectado o porque se ha iniciado el correspondiente proceso judicial o administrativo, corresponde bloquear los datos personales vinculados al mismo?, o ¿se refiere a cualquier potencial responsabilidad, ocurra o no el hecho generador de la misma, sobre la que pueda responder la entidad?

Responsabilidades derivadas del tratamiento

Otro elemento de incertidumbre en la redacción del artículo 32, en concreto su apartado 2, es la relativa a que debemos entender por “responsabilidades derivadas del tratamiento y solo por el plazo de prescripción de las mismas.”

Aunque ello puede parecer a priori una forma de restricción que evite una hipertrofia del abanico de responsabilidades legales que pueden motivar el bloqueo de datos, dicha restricción nos obliga a llevar a cabo un segundo análisis causalista, no exento de complejidad e incertidumbre, sobre qué acciones dentro de la definición de tratamiento de datos personales, pueden ser susceptibles de producir responsabilidades de algún tipo y, una vez determinadas, establecer el plazo de bloqueo conforme su período de prescripción.

Distintos escenarios de prescripción de responsabilidades derivadas del tratamiento

Obviamente las responsabilidades derivadas del tratamiento quizás más evidentes serían las correspondientes al régimen sancionador de la LOPDGDD y sus correspondientes plazos de prescripción, siendo 3 años el más alto, para infracciones muy graves, tal como establece el artículo 72.1.

No obstante, ¿debemos detener el análisis en la prescripción de las sanciones de la LOPDGDD? Podemos encontrar en otros cuerpos legislativos, supuestos de hecho en los que, un tratamiento vulnerando alguna de las disposiciones del RGPD, puede generar una serie de consecuencias que den lugar a responsabilidad civil o incluso penal.

Si analizamos, por ejemplo, el marco del Real Decreto Legislativo 1/2007 por el que se aprueba el texto refundido de la Ley General para la Defensa de los consumidores y Usuarios y otras leyes complementarias (TRLGCU), una posible falta de conformidad en el producto recibido por un consumidor podría ser fruto de que el empresario llevó a cabo un tratamiento sin establecer medidas para garantizar el principio de exactitud del RGPD. Dicha falta negligente de exactitud, podría ser relativa a medidas corporales del cliente que se requieren para la personalización del producto o la confusión de direcciones de envío distintas, enviando productos a los destinatarios incorrectos, ¿estaríamos también en ese caso ante una responsabilidad derivada del tratamiento? Recordamos que las acciones por faltas de conformidad de los consumidores y usuarios prescriben a los 2 años, artículo 123.1 TRLGCU, y por ello, ¿deberíamos bloquear todos los datos de nuestros clientes, en condición de consumidores y usuarios, durante 2 años?

Continuando con el análisis, si nos fijamos en el marco penal, tenemos delitos como los de descubrimiento y revelación de secretos del artículo 197 y siguientes del Código Penal, que pueden ser cometidos por persona jurídica y versan muy directamente sobre datos de carácter personal, especialmente sobre la esfera de la confidencialidad, así como otros delitos como los daños informáticos del artículo 264 y siguientes que, aunque no se refieren expresamente a los datos de carácter personal, tampoco excluyen los mismos y se centran en aspectos relativos a la disponibilidad e integridad de los datos. ¿Encajarían entonces en la definición de “responsabilidades derivadas del tratamiento”?

Si la respuesta fuera afirmativa, sería necesario relacionar el plazo de prescripción de los delitos para la determinación de dicho período de bloqueo. Sin pretender entrar en una discusión doctrinal sobre la prescripción, dichos plazos podrían llegar a situarse en los 15 años, en interpretación conjunta del artículo 131 y 33.7 del Código Penal, junto a la doctrina del Tribunal Supremo sobre la valoración de la pena en abstracto del delito para la determinación del plazo de prescripción (STS 4264/2017 y Acuerdo del Pleno no jurisdiccional de la Sala 2 del TS de 16 diciembre de 2008 “la pena de la que hay que partir para la prescripción es la abstracta señalada al delito por el legislador y no la concreta resultante de aplicar la reglas sobre el grado de ejecución participación y circunstancias”). ¿Estaríamos entonces ante la obligación de que cualquier persona jurídica, por razón de sus “responsabilidades derivadas del tratamiento”, debería adoptar un sistema de bloqueo de datos personales de 15 años en cumplimiento del artículo 32.2 de la LOPDGDD y los eventuales plazos de prescripción penal aplicables?

Obligación de bloqueo y compatibilidad con el RGPD

La incertidumbre sobre la determinación del período de bloqueo, especialmente si tenemos en consideración los plazos de prescripción por responsabilidad penal, obligan a plantear la siguiente cuestión: ¿en qué medida una obligación de conservar o quizás, mejor dicho, una obligación de no destruir los datos de hasta 15 años, una vez se ha agotada la finalidad que motivó el inicial tratamiento, puede ser compatible con el principio de limitación del plazo de conservación del RGPD?

En conclusión, sería deseable mayores precisiones del legislador, teniendo en cuenta que tanto el incumplimiento de la obligación de bloqueo como la infracción de principios del artículo 5 del RGPD se tipifican en la LOPDGDD como sanciones muy graves, produciendo un escenario de riesgo complejo según como gestionemos la limitación del plazo de conservación junto con la obligación de bloqueo. Finalmente, cabe reflexionar sobre hasta qué punto el legislador nacional puede delimitar, modificar o matizar el alcance de un principio del Reglamento europeo e incluso generar incluso un concepto jurídico no previsto por este si tenemos en cuenta los conocidos principios de primacía y efecto directo.

Jordi Morera Torres

Equipo Govertis

Fuente de la imagen: https://pixabay.com/illustrations/security-secure-locked-technology-2168233/ Free for commercial use, No attribution required

El Esquema Nacional de Seguridad, la DA 1ª de la LOPD-GDD y su aplicabilidad a las empresas privadas.

El Esquema Nacional de Seguridad (en adelante, también, ENS) está regulado en el Real Decreto 3/2010 de 8 de enero (link). Como se indica en su exposición de motivos, su objeto es “el establecimiento de los principios y requisitos de una política de seguridad en la utilización de medios electrónicos que permita la adecuada protección de la información” y persigue “fundamentar la confianza en que los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control, y sin que la información pueda llegar al conocimiento de personas no autorizadas”.

Como es generalmente conocido, el ENS tiene que ser aplicado por las Administraciones públicas para “asegurar el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, informaciones y servicios utilizados en medios electrónicos que gestionen en el ejercicio de sus competencias”.

No obstante lo anterior, muchas personas desconocen que la Ley contempla que la aplicabilidad del ENS se extienda, en un supuesto determinado, a empresas puramente privadas y que nada tienen que ver con la Administración pública.

El origen de este supuesto, como analizaremos más adelante, lo hemos de localizar en el último párrafo de la Disposición Adicional 1ª de la Ley Orgánica, 3/2018 de 5 de diciembre, de Protección de Datos y Garantía de los Derechos Digitales (en adelante, LOPD-GDD). Dicha Ley Orgánica establece en su artículo 1.a) que su objeto es “adaptar el ordenamiento jurídico español al Reglamento (UE) 2016/679”, es decir, al Reglamento General de Protección de Datos (en adelante, RGPD).

Pues bien, el RGPD dispone en su art. 5.2 el “principio de la responsabilidad proactiva”, que, de una manera muy resumida, viene a establecer que el responsable del tratamiento debe cumplir y ser capaz de demostrar que los datos personales son tratados de acuerdo con los principios de “licitud, lealtad y transparencia”; “limitación de la finalidad”; “minimización de datos”; “exactitud”; “limitación del plazo de conservación” y de “integridad y confidencialidad”. Precisamente ese último principio de “integridad y confidencialidad” es el que establece que se ha de garantizar una seguridad adecuada de los datos personales, para protegerlos “contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental”.

Por su parte, el artículo 32 del RGPD, dice que “teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo […]”.

Es decir, para la generalidad de los responsables del tratamiento las medidas de seguridad a implantar para proteger los datos personales no se recogen en una lista taxativa que es aplicable por igual a todo el mundo. Con este artículo 32, en mayo del año 2018, se introduce un concepto desconocido en campo de la protección de datos española: la autoevaluación por el responsable de las medidas de seguridad que son necesarias para proteger los datos personales que son objeto de tratamiento directamente por él o, en su caso, por encargados de tratamiento que tratan datos por cuenta suya.

Sin embargo, unos meses más tarde de la entrada en vigor de la LOPD-GDD, en diciembre del 2018, el Legislador español decidió que esta obligación de auto-imposición de las medidas de seguridad no sería de aplicación a las categorías de responsables y/o encargados citados en el art. 77 de la LOPD-GDD[1], que, cómo se puede comprobar en el pie de página, integran la totalidad de la Administración Pública española. Y es aquí es donde entra en juego la mencionada Disposición Adicional Primera que dice así:

“Medidas de seguridad en el ámbito del sector público:

1. El Esquema Nacional de Seguridad incluirá las medidas que deban implantarse en caso de tratamiento de datos personales para evitar su pérdida, alteración o acceso no autorizado, adaptando los criterios de determinación del riesgo en el tratamiento de los datos a lo establecido en el artículo 32 del Reglamento (UE) 2016/679.
2. Los responsables enumerados en el artículo 77.1 de esta ley orgánica deberán aplicar a los tratamientos de datos personales las medidas de seguridad que correspondan de las previstas en el Esquema Nacional de Seguridad, así como impulsar un grado de implementación de medidas equivalentes en las empresas o fundaciones vinculadas a los mismos sujetas al Derecho privado.

En los casos en los que un tercero preste un servicio en régimen de concesión, encomienda de gestión o contrato, las medidas de seguridad se corresponderán con las de la Administración pública de origen y se ajustarán al Esquema Nacional de Seguridad.”

Por tanto, la distintas entidades enumeradas en el art. 77, para proteger la integridad, confidencialidad y disponibilidad de los datos personales que traten, ya sea en calidad de responsable o encargado del tratamiento, han de (1) categorizar de acuerdo con el Anexo I del ENS (en categoría básica, media o alta) los sistemas de información utilizados para el tratamiento y (2), de acuerdo con el Anexo II, implementar aquellas medidas de seguridad (organizativas, operacionales y de protección) que sean acordes a la categoría otorgada al sistema.

Es decir, la DA 1ª despoja a las distintas administraciones públicas de la capacidad de decisión sobre las medidas de seguridad a implementar para proteger la integridad y la confidencialidad de los datos personales y les obliga a cumplir[2] con el muy exigente marco del Esquema Nacional de Seguridad.

APLICABILIDAD DEL ENS A LAS EMPRESAS PRIVADAS

Por otro lado, es importante reseñar que el párrafo final de la DA 1ª contiene un matiz que hace que la aplicabilidad del ENS sea, al menos potencialmente, universal.

“En los casos en los que un tercero preste un servicio en régimen de concesión, encomienda de gestión o contrato, las medidas de seguridad se corresponderán con las de la Administración pública de origen y se ajustarán al Esquema Nacional de Seguridad.”

Este párrafo se traduce en que toda entidad que preste o quiera prestar servicios a una Administración Pública ha de cumplir también con las medidas de seguridad que, en virtud del ENS, sean de aplicación a dicha administración de referencia.

Como consecuencia de dicho precepto, cada vez es más común, que las empresas privadas que se presentan a licitaciones del sector público encuentren reflejados en los pliegos la exigencia inexcusable de que cumplan con el Esquema Nacional de Seguridad y que hayan superado un proceso de certificación por una entidad debidamente acreditada.

Enrique Molina Jordano

Equipo Govertis

Art. 77 LOPD-GDD: a) Los órganos constitucionales o con relevancia constitucional y las instituciones de las comunidades autónomas análogas a los mismos. b) Los órganos jurisdiccionales. c) La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local. d) Los organismos públicos y entidades de Derecho público vinculadas o dependientes de las Administraciones Públicas. e) Las autoridades administrativas independientes. f) El Banco de España. g) Las corporaciones de Derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público. h) Las fundaciones del sector público. i) Las Universidades Públicas. j) Los consorcios. k) Los grupos parlamentarios de las Cortes Generales y las Asambleas Legislativas autonómicas, así como los grupos políticos de las Corporaciones Locales.

[2] Se ha de remarcar que esa obligación de cumplimiento del ENS ya estaba vigente desde el 2010. Sin embargo, en la fecha de publicación del presente artículo, sólo un porcentaje ínfimo de los sistemas de información de categoría media o alta dependientes de la Administración han sido debidamente certificados conforme al RD 3/2010.

Las imágenes de videovigilancia como prueba judicial fuera del plazo de conservación

Como ya vimos en publicaciones anteriores, la Agencia Española de Protección de Datos (AEPD) ha venido aclarando todo lo relativo a los dispositivos de vídeo y sistemas videovigilancia mediante una serie de resoluciones, instrucciones y guías

Particularmente, en cuanto a la legitimación temporal del tratamiento de las imágenes de esas fuentes.

A modo de prolegómenos, comentar que el Reglamento General de Protección de Datos (RGPD), en su considerando 39, anuncia la necesidad de “garantizar que se limite a un mínimo estricto” el plazo de conservación de los datos personales, los cuales a su vez deben ser “adecuados, pertinentes y limitados a lo necesario para los fines para los que sean tratados”.

El artículo 22.3 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), concreta –en cuanto a los tratamientos con fines de videovigilancia– que “los datos serán suprimidos en el plazo máximo de un mes desde su captación”. 

Se trata del mismo plazo que ya estableció la Instrucción 1/2006 de la AEPD, cuando todavía se llamaba “plazo de cancelación”. En 2019, en su Guía sobre el uso de videocámaras para seguridad y otras finalidades, la AEPD ha precisado que el plazo de un mes indicado en dicha Instrucción es, efectivamente, de supresión.

Ahora bien, si durante el tratamiento legítimo (dentro del mes desde su captación) se observa que las imágenes pueden “acreditar la comisión de actos que atenten contra la integridad de personas, bienes o instalaciones”, existe el deber de comunicar la existencia de la grabación “en un plazo máximo de 72 horas” y su entrega a las autoridades (art. 22.3 LOPDGDD). Consecuentemente, las imágenes pasarían a ser tratadas ya en el marco del respectivo procedimiento judicial, investigación policial o procedimiento administrativo sancionador (nueva lógica de conservación que es igualmente aplicable cuando se incoe un expediente disciplinario en el ejercicio de la potestad sancionadora de los empresarios ante incumplimientos laborales de los trabajadores).

Pero, ¿qué pasaría si unos hechos –que en principio merecerían reproche penal, administrativo o laboral– se descubren revisando imágenes guardadas más de lo debido? Es decir, superando el plazo mensual para ello, habiendo incumplido la LOPDGDD por no destruir los archivos. ¿Podrían servir como prueba en juicio? 

Por una parte, en virtud del artículo 11.1 de la Ley Orgánica de Poder Judicial, “no surtirán efecto las pruebas obtenidas, directa o indirectamente, violentando los derechos o libertades fundamentales”. Siendo la protección de datos un derecho fundamental ex art. 18.4 de la Constitución Española, “cuando alguna de las partes, o incluso el tribunal de oficio, considere que en la obtención u origen de alguna prueba admitida se han vulnerado derechos fundamentales habrá de alegarlo de inmediato…”, dispone el art. 287 de la Ley de Enjuiciamiento Civil.

Desde la doctrina jurídica, el magistrado Suárez-Quiñones en su artículo «Las videograbaciones como prueba en el proceso penal» [en: Boletín del Ministerio de Justicia (estudios doctrinales), 2006, número 2024, pág. 13] expone que las grabaciones de cámaras de seguridad tienen un “plazo de validez” como prueba y recuerda: “las imágenes y sonidos obtenidos por cualquiera de las maneras previstas, serán destruidos en el plazo de un mes desde su captación”. Plazo que, por cierto, en caso de tratamientos que surgen de investigaciones profesionales, sería de tres años, según el art. 49.4 de la Ley 5/2014, de 4 de abril, de Seguridad Privada.

Por otra parte, en nuestros juzgados y tribunales el planteamiento en cuestión no resulta del todo pacífico.

En la jurisdicción social encontramos posturas más flexibles a este tipo de actos del empresario, en vez de declarar su nulidad (como se hace por motivo de violar el derecho fundamental a la protección de datos en la Sentencia del Tribunal Constitucional 29/2013). Así, la justificación viene por el lado de incidir en una supuesta separación entre la actividad probatoria y la calificación que deba darse a circunstancias como la sanción de un trabajador. Nótese la Sentencia del Tribunal Superior de Justicia de Cataluña 7109/2000 que sostiene lo siguiente: “la calificación del despido debe vincularse al móvil que lo determina, o a la violación de derechos y libertades del art.  55.5 ET, y no a la ilegalidad de alguna de las pruebas aportadas al proceso, ello puede, no obstante, determinar la improcedencia [no la nulidad] del despido”.

En el ámbito de lo penal, a falta de mayor jurisprudencia en este sentido, llama la atención la Sentencia del Tribunal Supremo 4281/2019, cuyo fundamento jurídico tercero redunda en un intento de separar la valoración de unas imágenes de videovigilancia entre “el ámbito de la propia legislación reguladora de protección de datos, es decir, en el tratamiento que al efecto puede llevar la Agencia de protección de datos” y la “incidencia en el proceso penal”. Se apunta pues a que no valdría alegar la mera vulneración, sino que cabe establecer un grado concreto de invasión de un derecho constitucional (como el de la propia imagen o el de la protección de datos) a partir del cual alcanzamos la nulidad de la prueba.   

La citada sentencia, ponderando la seguridad pública, con el interés social de la persecución y prueba del delito, sugiere que existe una diferencia entre el alcance de las “correcciones administrativas” que pueda imponer la AEPD y lo que sería la validez de las imágenes en sede judicial para convertirse en prueba documental. Los requisitos que apunta el alto tribunal para discernir dicha diferencia se limitarían únicamente a “no vulnerar derechos fundamentales como el de la intimidad o la dignidad de la persona al captarlas” y no “hacerlo en espacios, lugares o locales libres y públicos, y dentro de ellos nunca en espacios considerados privados (como los aseos, vestuarios) sin autorización judicial”. Aparentemente, desde este planteamiento aislado –aunque de momento no contrastable con otros casos de jurisprudencia mayor–, se concibe dentro orden penal la asunción puntual de una suerte de ligas de derechos fundamentales en la que la protección de datos jugaría en segunda división. 

En cualquier caso, independientemente del fin para el que se realiza la disposición, el mero hecho de no haber suprimido los archivos cuando así tocaba ya constituye una infracción muy grave de la normativa de protección de datos.

De hecho, la posibilidad de reclamar ante la Agencia –con la certeza sobre el sentido del pronunciamiento y sanción– sirve, si no como desincentivo a valerse en juicio de este tipo de imágenes para quien las guarde, como un instrumento en manos de la parte afectada para su defensa o negociaciones. 

Andreu Yakúbuv-Trembach

Equipo Govertis

Rastreo de usuarios por internet y medidas para minimizarlo

Cuando visitamos páginas webs por medio de ordenadores, móviles, tabletas u otros dispositivos, nuestra privacidad se ve amenazada por distintas prácticas que, mediante el envío de identificadores únicos, permiten distinguir al usuario y sus hábitos de navegación.  

A través de diversos rastreadores, las organizaciones, los prestadores de servicios y las páginas webs, entre otros, obtienen información y datos que posteriormente podrán ser utilizados con fines de publicidad, analíticos, estadísticos, para ofrecer servicios concretos, crear perfiles, o como base para el desarrollo de mejoras o nuevos productos y servicios. De esta forma, logran un conocimiento exhaustivo de cada usuario.  

Para poder recopilar dicha información se utilizan distintas tecnologías que impactan de forma directa sobre la privacidad de los usuarios en cuestión. Las más conocidas por todos son las cookies, pero no son el único método, hay muchos otros: almacenamiento local, logs de servidores, identificadores únicos de publicidad, huella digital, etc.  

Teniendo en cuenta lo anterior, ¿Cómo podemos reducir este seguimiento de actividad en la navegación en internet y proteger nuestro anonimato?  

Para dar respuesta a esta cuestión, recientemente la Agencia Española de Protección de Datos (AEPD) ha publicado en su página web una serie de recomendaciones que resumiremos a continuación y que pueden ser consultadas en la página web de la AEPD de forma completa.  

Recomendaciones para usuarios sin conocimientos avanzados: 

• Navegadores, aplicaciones y redes sociales: 

• • Se recomienda elegirlos, instalarlos o utilizarlos teniendo en cuenta las garantías de privacidad que ofrecen, atendiendo a los últimos análisis que se publiquen sobre ellos. Evitando el acceso a aquellos servicios que no ofrecen garantías adecuadas.  
  • Revisar y configurar las opciones de personalización, perfiles y publicidad que brindan.  
  • Evitar instalar aplicaciones que no sean necesarias. 
  • Evitar, en lo posible, iniciar sesión en el navegador, o al menos, evitar que la sesión se mantenga abierta de forma indefinida.  

• • Configurar el navegador para no sincronizar datos de navegación con los del usuario de sesión. 

• Protección avanzada anti-rastreo: 

• • Mantener las aplicaciones y navegadores actualizados con el fin de disfrutar de las últimas tecnologías anti-rastreo.  
  • En caso de que el navegador disponga de protección avanzada (anti rastreo/seguimiento) se recomienda activar o mantener activada esta configuración eligiendo el nivel más elevado.  

• • Si el navegador no dispone de protección avanzada anti-rastreo/seguimiento, se pueden instalar extensiones que realicen esta función, siempre que ofrezcan garantías adecuadas.  

• Respecto a las cookies: 

• • Se aconseja configurar el navegador para bloquear las cookies de terceros, como mínimo para cuando se navegue en modo privado.  
  • Configurar el navegador para que al cerrar la página web las cookies se borren de forma automática. 

• • Borrar las cookies manualmente cada cierto tiempo.  

• Para poder navegar por sitios que exigen mayor acceso a tus datos puedes seguir las siguientes opciones: 

• • Contar con dos navegadores distintos para que, si las configuraciones restrictivas te impiden acceder a algunos servicios, puedas hacerlo con el otro navegador que otorga mayores permisos.  
  • Añadir una excepción en la configuración del navegador que estés utilizando, pero estarás exponiendo información personal con los sitios incluidos en la excepción. 
• Configura tu dispositivo:  
  • Cambia las opciones de tu dispositivo de forma que no se utilice el identificador de publicidad para crear perfiles o mostrar anuncios personalizados basados en la localización o el perfil.  
  • Si el dispositivo lo permite, también puedes cambiar el identificador de publicidad cada cierto tiempo desde las opciones de configuración de privacidad. 

Recomendaciones para usuarios con conocimientos avanzados: 

• Configurar en la red doméstica un bloqueador de consultas DNS.  
• Navegar a través de una VPN (red privada virtual) o la red TOR. 
• Instalar máquinas virtuales en tu sistema, incluyendo únicamente un navegador de Internet y navegar en las sesiones virtuales. 
• Utilizar sistemas operativos diseñados para preservar la privacidad y el anonimato.  

 Referencia:  https://www.aepd.es/sites/default/files/2020-09/nota-tecnica-evitar-seguimiento.pdf

Carolina Pena

Equipo Govertis

Competencia desleal y protección de datos

La Ley 3/1991, de 10 de enero, de Competencia Desleal tiene como objeto la protección de la competencia, persiguiendo el interés de todos los que participan en el mercado y prohíbe los actos de competencia desleal, incluida la publicidad ilícita en los términos de la Ley General de Publicidad. Algunas de estas conductas se relacionan con ilícitos penales recogidos en el Capítulo XI – De los delitos relativos a la propiedad intelectual e industrial, al mercado y a los consumidores de nuestro Código Penal y otras, como veremos, tienen conexión con la normativa en materia de protección de datos. 

La norma, siguiendo un criterio restrictivo, considera que existe competencia desleal cuando se cumplan las dos condiciones siguientes: que el acto se «realice en el mercado» (es decir, que se trate de un acto dotado de trascendencia externa) y que se lleve a cabo con «fines concurrenciales» (es decir, que el acto tenga por finalidad «promover o asegurar la difusión en el mercado de las prestaciones propias o de un tercero»). No se requiere ninguna condición ulterior; y, concretamente -según se encarga de precisar el artículo 3- no es necesario que los sujetos -agente y paciente- del acto sean empresarios (la Ley también resulta aplicable a otros sectores del mercado: artesanía, agricultura, profesiones liberales, etc.), ni se exige tampoco que entre ellos medie una relación de competencia.  

Por su parte, el Capítulo II de la ley tipifica las conductas que se reputan desleales, comenzando con una cláusula general que considera desleal «todo comportamiento que resulte objetivamente contrario a las exigencias de la buena fe». Así, en las relaciones con consumidores y usuarios se entiende contrario a las exigencias de la buena fe el comportamiento de un empresario o profesional que no cumpla la diligencia profesional, entendida ésta como el nivel de competencia y cuidados especiales que cabe esperar de un empresario según las prácticas honestas del mercado, que distorsione o pueda distorsionar de manera significativa el comportamiento económico del consumidor medio o del miembro medio del grupo destinatario de la práctica, si se trata de una práctica comercial dirigida a un grupo concreto de consumidores.  

Más allá de la cláusula general, la norma establece una generosa tipificación de los actos concretos de competencia desleal. En concreto, el artículo 8 regula las prácticas engañosas y considera las mismas aquellos comportamientos susceptibles de mermar de manera significativa, mediante acoso, coacción, incluido el uso de la fuerza, o influencia indebida (entendida como la utilización de una posición de poder en relación con el destinatario de la práctica para ejercer presión, incluso sin usar fuerza física ni amenazar con su uso), la libertad de elección o conducta del destinatario en relación al bien o servicio que afecte o pueda afectar a su comportamiento económico. 

En lo que en materia de protección de datos interesa, debemos hacer referencia a la Disposición adicional decimosexta de la LOPDGDD, que regula lo que considera, a los efectos previstos en el mencionado artículo 8, las prácticas agresivas en materia de protección de datos y enumera las mismas.  

Dos de las prácticas desleales están relacionadas directamente con las autoridades de control en materia de protección de datos en nuestro país, tanto de la autoridad nacional -la Agencia Española de Protección de Datos-, como de las autonómicas -el Consejo de Transparencia y Protección de Datos, la Autoridad Catalana de Protección de Datos y la Agencia Vasca de Protección de Datos-. Estas conductas son las siguientes: 

• Actuar con intención de suplantar la identidad de la Agencia Española de Protección de Datos o de una autoridad autonómica de protección de datos en la realización de cualquier comunicación a los responsables y encargados de los tratamientos o a los interesados. 
• Generar la apariencia de que se está actuando en nombre, por cuenta o en colaboración con la Agencia Española de Protección de Datos o una autoridad autonómica de protección de datos en la realización de cualquier comunicación a los responsables y encargados de los tratamientos en que la remitente ofrezca sus productos o servicios. 

Respecto de estas prácticas, la AEPD en su campaña ‘LOPD a coste cero’1 aclaró que el empleo por los ofertantes de servicios relacionados con la protección de datos de signos institucionales (por ejemplo, el logotipo de la AEPD o de entidades de certificación acreditadas) para hacer creer que cuentan con el aval de organismos públicos supondría una práctica agresiva considerada como desleal. 

Otras conductas estarían vinculadas más concretamente al tráfico mercantil, a saber: 

• Realizar prácticas comerciales en las que se coarte el poder de decisión de los destinatarios mediante la referencia a la posible imposición de sanciones por incumplimiento de la normativa de protección de datos personales. 

• Ofrecer cualquier tipo de documento por el que se pretenda crear una apariencia de cumplimiento de las disposiciones de protección de datos de forma complementaria a la realización de acciones formativas sin haber llevado a cabo las actuaciones necesarias para verificar que dicho cumplimiento se produce efectivamente. 
• Asumir, sin designación expresa del responsable o el encargado del tratamiento, la función de delegado de protección de datos y comunicarse en tal condición con la Agencia Española de Protección de Datos o las autoridades autonómicas de protección de datos. 

La AEPD en la arriba mencionada campaña ‘LOPD a coste cero’ indicó que en caso de que los ofertantes publiciten servicios a un coste notoriamente inferior a los precios de mercado, se podría estar cometiendo competencia desleal. 

Por su parte, el artículo 12 de la Ley de Competencia Desleal define como conducta desleal la explotación de la reputación ajena, considerando como tal «el aprovechamiento indebido, en beneficio propio o ajeno, de las ventajas de la reputación industrial, comercial o profesional adquirida por otro en el mercado».  

Vamos a encontrar conductas que pueden considerarse como explotación de la reputación ajena que también pueden infringir la normativa de protección de datos: este será el caso, por ejemplo, cuando nos encontremos ante la publicación de la imagen de una persona con fines publicitarios sin su consentimiento. Esta conducta podría encuadrarse en un acto desleal de explotación de la reputación ajena, pero también podría suponer una infracción de la normativa de protección de datos, al carecer este tratamiento de datos de una causa de licitud legítima; además en los tratamientos relativos a la imagen es de especial importancia tener en consideración lo que indica la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen.  

Estas situaciones podrán ser más relevantes cuando se trata de personajes públicos, pero podrán constituir una infracción en materia de protección de datos cuando se trate de una persona anónima. 

Finalmente, el artículo 29.2 de la Ley 3/1991 regula una modalidad de prácticas agresivas por acoso, considerando desleal «realizar propuestas no deseadas y reiteradas por teléfono, fax, correo electrónico u otros medios de comunicación a distancia, salvo en las circunstancias y en la medida en que esté justificado legalmente para hacer cumplir una obligación contractual». 

La propia norma indica que el empresario debe, en estas comunicaciones, permitir al consumidor dejar constancia de su oposición a seguir recibiendo propuestas comerciales de dicho empresario o profesional. Y añade que «Este supuesto se entenderá sin perjuicio de lo establecido en la normativa vigente sobre protección de datos personales, servicios de la sociedad de la información, telecomunicaciones y contratación a distancia con los consumidores o usuarios, incluida la contratación a distancia de servicios financieros». 

Como sabemos, la normativa de protección de datos exige la existencia para este tratamiento de datos de los consumidores de una causa de licitud de las establecidas en el artículo 6 RGPD, debiendo tenerse en cuenta igualmente lo establecido en los artículos 21 y 22 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico. Un ejemplo típico que podemos encontrar al respecto es el de aquellas empresas que adquieren bases de datos de clientes, sin comprobar si los datos se recabaron de forma lícita y si existe una causa de licitud para la cesión de estos datos, además de la obligación que en este caso existiría de cumplir con el artículo 14 RGPD. 

Verónica Gutiérrez  

Equipo Govertis 

Publicidad en el RGPD

COMUNICACIONES ELECTRÓNICAS  

Nos referimos, fundamentalmente, a los correos electrónicos o emails, aunque también entran en esta categoría el fax, los whatsapp, los SMS y MMS y otros medios similares.

Cuando las comunicaciones se llevan a cabo por medios electrónicos, hay que atenerse a lo establecido en el art. 21 de la Ley 34/2002, de 11 de julio, de Servicios de la sociedad de la información y de comercio electrónico   

De dicho artículo se sacan dos conclusiones:  

1. se prohíbe expresamente enviar correos electrónicos sin tener el consentimiento del destinatario (ya sea una persona física o una empresa).   
2. Sólo existe una excepción al respecto, podremos enviar emails comerciales, aun no teniendo el consentimiento del destinatario, si ya hemos mantenido una relación contractual previa con el mismo y siempre que se trate de productos o servicios similares a los que inicialmente fueron objeto de contratación. No existen más excepciones. Podríamos considerar entonces, que la base legal en este supuesto sería la contenida en el art. 6.1.b del RGPD: el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales  

 
En cualquier caso, tendremos que facilitar al destinatario la posibilidad de oponerse al envío de publicidad incluyendo una dirección de correo electrónico en cada una de las comunicaciones comerciales que realizamos.  

COMUNICACIONES NO ELECTRÓNICAS  

En otro caso, es decir, cuando las comunicaciones se realicen por medios no electrónicos será preciso que el tratamiento se ampare en las dos siguientes bases legales:  

1. bien en la prestación de un consentimiento   
2. bien que sea de aplicación el artículo 6.1 f) del Reglamento, según el cual podrá tener lugar el tratamiento, en el ámbito del sector privado, si el mismo “es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño   

• Consentimiento 
  • El consentimiento debe ser expreso. No puede ser tácito y debe ser diferenciado del resto de finalidades para las que el Responsable va a utilizar los datos de carácter personal 

• Intereses legítimos perseguidos por el responsable del tratamiento o por un tercero   

Así, el considerando 47 recuerda que el interés legítimo de un responsable, de un cesionario o de un tercero, “puede constituir una base jurídica para el tratamiento, siempre que no prevalezcan los intereses o los derechos y libertades del interesado, teniendo en cuenta las expectativas razonables de los interesados basadas en su relación con el responsable”, añadiendo posteriormente que “en cualquier caso, la existencia de un interés legítimo requeriría una evaluación meticulosa, inclusive si un interesado puede prever de forma razonable, en el momento y en el contexto de la recogida de datos personales, que pueda producirse el tratamiento con tal fin. En particular, los intereses y los derechos fundamentales del interesado podrían prevalecer sobre los intereses del responsable del tratamiento cuando se proceda al tratamiento de los datos personales en circunstancias en las que el interesado no espere razonablemente que se realice un tratamiento ulterior”.   

Dicha ponderación debe tener en cuenta:  

• que se trate de un producto o servicio similar al previamente contratado por el cliente, no extendiéndose a otros.   

Habrá que determinar exhaustivamente el concepto de “similitud entre servicios o productos”, ya que hay situaciones en las que no queda claro y tendremos que esperar más aclaraciones de la AEPD.  

• que debe realizarse siempre que el interesado mantuviera una relación con la entidad, sin afectar a aquéllos en que el cliente hubiese cesado en esa relación.   

Cuando se trata de una prestación de servicios de tracto sucesivo, con plazo de tiempo determinado, está claro que existe un plazo determinado en el cual podemos considerar cuando una persona es cliente o no de la entidad  

En los casos donde no es un servicio lo que se presta, sino que se trata de la compra de un producto; podríamos considerar que sigue existiendo relación comercial mientras dure la garantía del producto.  

Sin embargo, existen otros casos, como la prestación de servicios instantáneos o la compra de un producto perecedero, que no disponga de garantías legales suficientemente amplias, donde determinar si se trata de un cliente activo o de un excliente no es tan sencillo. En estos supuestos, recomendamos obtener el consentimiento del interesado para poder utilizar sus datos con fines publicitarios  

• que la mercadotecnia o el envío de comunicaciones no puede partir de la elaboración de perfiles exhaustivos del interesado mediante la combinación de diferentes fuentes de información para las que no ha dado su consentimiento.   

En estos casos, al combinar la finalidad publicitaria con la del perfilado del interesado, requiere del estudio de varias connotaciones y posibilidades que se verán más adelante en este informe.  

Por otro lado, se deduce que la elaboración de perfiles exhaustivos sólo es posible mediante tratamientos tecnológicos avanzados, por lo que no debería ser posible, en tratamientos manuales  

Además, el Reglamento General De Protección de Datos enumera algunos supuestos que pueden ser tomados en consideración para determinar la aplicabilidad de dicha regla.   

Así, se señala que “El tratamiento de datos personales con fines de mercadotecnia directa puede considerarse realizado por interés legítimo”.  

Por otro lado, si las normas reguladoras de la privacidad en las comunicaciones electrónicas, que establecen un régimen especialmente estricto a la hora de obtener el consentimiento del interesado exceptúan de dicho consentimiento el supuesto referido a comunicaciones relativas a “productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente”, cabe deducir que esta regla sería aplicable por analogía a los supuestos en que dichos requisitos son menos exigibles; es decir, a las acciones realizadas a través de otros canales de comunicación.  

Para la licitud del tratamiento basado en el interés legítimo, también es necesario que se cumpla con el resto de los requisitos establecidos en la normativa de protección de datos, entre los que interesa destacar los siguientes:   

1. Cumplimiento del deber de información previsto en los artículos 13 y 14 del RGPD. En cada comunicación comercial se informará de dichos extremos. 
2. Asimismo, deberá tenerse en cuenta la regulación de los sistemas de exclusión publicitaria contenida en el artículo 23 de la citada Ley Orgánica 3/2018; es decir, deben consultarse los sistemas de exclusión publicitaria a menos que el afectado hubiera prestado, conforme a lo dispuesto en esta ley orgánica, su consentimiento para recibir la comunicación a quien pretenda realizarla.   
3. Debe garantizarse el ejercicio del derecho de oposición conforme a lo previsto en los apartados 2 y 3 del artículo 21 del RGPD; es decir, el interesado puede oponerse al tratamiento de sus datos personales que tenga por objeto la mercadotecnia directa (incluida la elaboración de perfiles en la medida en que esté relacionada con la citada mercadotecnia). Se debe facilitar un medio sencillo y gratuito para el ejercicio del derecho de oposición al tratamiento de datos con fines de mercadotecnia sin que afecte a otros tratamientos. En estos casos, el responsable podrá conservar los datos identificativos del afectado necesarios con el fin de impedir tratamientos futuros para fines de mercadotecnia directa.  

Elías Vallejo

Equipo Govertis

La relación laboral como base de legitimación para el envío de la nómina al correo electrónico personal del trabajador

Hoy me gustaría hablar de una cuestión que, ciertamente, es algo recurrente en las empresas y, a la vez, es un tema que se ha debatido y comentado hasta la saciedad, con diferentes puntos de vista: Es el relativo al envío de la nómina de un trabajador, en formato electrónico, a la dirección de email personal de éste. Para algunos, un auténtico drama. Seguro que habrá personas que, a pesar de que utilicen Facebook hasta para informar a sus contactos de “cuántos lunares tienen en el cuerpo”, se sentirán tremendamente ofendidos y entenderán sus derechos lesionados porque su empleador, en 2020, ha decidido transmitirles que les enviará la nómina por correo electrónico, a su dirección personal (evidentemente, siempre que el trabajador disponga de ella, que tampoco se quiere dejar a nadie atrás). Bueno, al final, los datos personales, como piensa mucha gente, sólo se pueden utilizar cuando demos nuestro consentimiento al responsable que los utilice ¿no?.

El problema es que, en la mayoría de los artículos, opiniones e, incluso, resoluciones judiciales de los más Altos Tribunales que existen actualmente sobre esta cuestión se defiende una posición con la que no estoy demasiado de acuerdo y a la que no acabo de cogerle el sentido. La AEPD también reconoce más de lo mismo, pero, sinceramente, me da la impresión que venimos demasiado viciados de la lógica de la legislación anterior en algunos casos, y también que se ha tomado algún ejemplo mediático como norma general que debe ser contornada en cada caso. Por ello, me gustaría hacer una reflexión en las próximas líneas, no muy larga porque, poco a poco, se aprecian cada día más las opiniones que “van al grano”.

Consultadas todas las instancias que anteceden a los Tribunales que tienen “la última palabra”, parece interesante dirigirnos directamente al análisis de una sentencia que ha tenido bastante popularidad, ya que el tema es, en sí, “demasiado” popular, y que ha supuesto la casación de doctrina. Me refiero a la STS 4086/2015, dictada por la Sala de lo Social de nuestro Tribunal Supremo, en la que desestimaba el recurso que había sido interpuesto por la reclamada, la empresa UNISONO SOLUCIONES DE NEGOCIO, S.A., que había sido previamente denunciada por disponer de alguna cláusula abusiva en sus contratos de trabajo, en concreto, la relacionada con la imposición de poder utilizar los medios de comunicación personales de los trabajadores (teléfono y correo electrónico) para efectos de comunicaciones laborales.

La mencionada sentencia termina con el fallo del Alto Tribunal argumentando que la entidad reclamada no tiene derecho a utilizar, en este caso, los medios de contacto privados y personales de los trabajadores sin el consentimiento válido de los mismos, siempre que la entidad pretenda hacerlo a través del consentimiento de tales trabajadores mostrado en la cláusula que recientemente habían incorporado a sus contratos de trabajo y que, literalmente, reconocía lo siguiente: “Ambas partes convienen expresamente que cualquier tipo de comunicación relativa a este contrato, a la relación laboral o al puesto de trabajo, podrá ser enviada al trabajador vía SMS o vía correo electrónico, mediante mensaje de texto o documento adjunto al mismo, sin menoscabo del cumplimiento por parte de la empresa de los requisitos formales exigidos por la normativa laboral vigente, y según los datos facilitados por el trabajador a efectos de contacto. Cualquier cambio o incidencia con respecto a los mismos, deberá ser comunicada a la empresa de forma fehaciente y a la mayor brevedad posible”. Este fallo ha sido tomado en consideración por todos los actores, casi por unanimidad, como la imposibilidad de solicitar al trabajador sus contactos para mantener una adecuada relación laboral, salvo que éste último ofreciese su consentimiento, el cual además debería de ser válido. Pero, personalmente, yo no llegaría a esa conclusión tan rápido. Sobre todo, porque la sentencia deja muy claro, en su primer fundamento de derecho, cuál es su objeto, confirmando que la cuestión que se debate en las actuaciones se reduce a determinar la validez de una cláusula/tipo que la empresa demandada incluía en sus contratos de trabajo, lo cuál podría provenir igualmente de un consentimiento inválido (como se defendía, de hecho, en la argumentación jurídica), o cualquier otra lesión que pudiera producir la referida cláusula.

Una vez expuesto el resultado, y definido el objeto de la mencionada sentencia, creo que es, cuanto menos, prudente, no abanderar la imposibilidad de utilizar estos datos personales en las relaciones laborales (como decíamos que se ha hecho hasta la fecha), sino que deberemos ir razonando según la regla del “caso a caso”.

Entrando más en materia sobre la sentencia objeto de estudio, considero interesante la estructuración de la respuesta que desarrollan los jueces, lo cual planifica u organiza el argumento de cada situación a razonar. En efecto, en el primer fundamento de derecho se muestra, en su apartado cuarto, que la decisión final atenderá a una estructura en la que se analice, por un lado, la exposición a la normativa de protección de datos, así como la doctrina constitucional interpretativa de dicha normativa para, por otro lado, razonar acerca de la vigencia de los derechos fundamentales en el ámbito laboral y concluir con la aplicación al caso concreto de la anterior exposición.

Por supuesto, existen diferentes argumentos que no admiten discusión, y que permiten llegar a conclusiones como que “los derechos fundamentales no pueden ser transgredidos en el ámbito profesional” o que “el consentimiento prestado en el ámbito profesional, en donde podría existir una relación de superioridad entre empleador y trabajador, no sería válido por no ser voluntario o libre, al no ser que se ofrezcan más opciones”, situaciones que están meridianamente claras. Pero, en lo que realmente creo que está la clave de la cuestión para “acertar” en cada caso, y en donde los jueces del Tribunal Supremo ofrecen una justificación poco desarrollada, a mi juicio, es en conocer si dichos mecanismos son o no son necesarios para la relación laboral.

Para dilucidar esta cuestión, el Alto Tribunal establece la necesidad insalvable del consentimiento por considerar que dicha información no es necesaria para el desarrollo del puesto de trabajo, ya que el mismo se ha venido desarrollando sin necesidad de tales datos, por lo que habría que considerar que dicha información es, técnicamente, innecesaria, terminando su exposición sobre este particular sin mayor abundamiento. Y mi pregunta es, ¿algo que se defina como necesario debe de serlo cada día? Es decir, ¿es posible que algo sea necesario, aunque sólo se utilice en algún momento de la relación laboral? Con un ejemplo banal igual se entiende mejor; ¿Es necesario, además de obligatorio, disponer de un extintor en una oficina? Quizás llevemos 10 años trabajando en esa oficina y nunca los hayamos utilizado porque nunca se haya producido un fuego, pero en el caso de que se produjese, además de ser obligatorio por ley, ¿se podría considerar necesario? Yo creo que sí, por lo que la escasa argumentación de la citada sentencia, en este ámbito, me parece más una forma de eliminar una excepción que la ley anterior sobre protección de datos incorporaba por alguna razón, quizá la misma que hace que, actualmente, siga existiendo la posibilidad de tratar datos personales para gestionar una relación contractual o, en este caso, laboral. De cualquier forma, parece que el Tribunal Supremo deja un espacio por si se consiguiese justificar la necesidad de utilizar esos datos para la gestión adecuada de la relación laboral, la causa de licitud descansaría, actualmente, en el artículo 6.1, b) RGPD.

A donde quiero llegar con esta reflexión es que, en ciertas ocasiones, me parece ciertamente incoherente defender a ultranza unos derechos que, sí, en ocasiones es cierto que se vulneran y merecen la persecución oportuna, pero que, en muchas otras, se intentan criminalizar actuaciones que la mayoría de las personas darían por buenas por entender que nada se ha lesionado en su esfera digna de protección. Esto se ve bien cuando se desciende a la práctica y nos preguntamos cosas como:

• ¿Es entendible que un empleador no pueda contactar en el teléfono personal de un empleado, por ejemplo, porque tiene una urgencia con la organización del personal y necesita alertar al mismo de un cambio de horario urgente? Evidentemente hablo de locales pequeños, autónomos o similares que quizás, en muchos casos, no tienen posibilidad de comprar teléfonos de empresa para sus trabajadores.

• ¿Es entendible que un empleador no pueda comunicarse con sus trabajadores, sin su previo consentimiento, a través de teléfono personal o email personal (siempre que no existan medios profesionales), cuando en el proceso de reclutamiento, para convocar a esas personas a unas entrevistas es muy posible que haya necesitado contactarles a través de dichos medios? Seguro que habrá personas que denuncien un caso, pero no el otro.

Podríamos plantearnos diversas cuestiones adicionales, y algunas carecerían de lógica si se pretende aplicar una legislación sobre la privacidad de las personas de una forma adaptada al caso concreto. Esto me hace pensar que, quizás, la interpretación que se defiende hasta ahora, de forma general, deba de ser contornada para presumir que existen situaciones, como la expuesta, en las que el uso de información por parte de un empleador, con quien existe una relación de confianza y quien necesita comunicarse con un trabajador para gestionar la relación laboral puedan ser conformes a la legislación sobre protección de datos personales sin necesidad de consentimiento por parte del trabajador, por entender precisamente que son necesarias para la gestión adecuada de la relación. En este sentido, basta recordar que, en la situación analizada sobre el envío de nóminas al correo electrónico personal del trabajador, es obligación del empleador poner a disposición del trabajador sus recibos de salarios, los cuales, conforme se ha podido entender en los últimos años, pueden ofrecerse en formato electrónico, conforme estipula la STS 5602/2016, que supuso un cambio de corriente jurisprudencial debido al flagrante avance de las tecnologías. Quizás el camino de esta última sentencia mencionada, que demuestra flexibilidad y atención a las circunstancias actuales, es el que deba ir siguiendo la jurisprudencia en el caso que nos ocupa.

Viendo lo visto, creo firmemente que las leyes de protección de datos personales han sido desarrolladas con un objetivo, ofreciendo una solución a un problema social, y tienen una razón de ser. La principal, es garantizar este derecho, que nuestros datos personales sean tratados con respeto, como debería ser. Pero, desde mi humilde opinión, no han sido desarrolladas para obstaculizar nuestras relaciones. Los datos personales son necesarios para que funcionemos como sociedad, se pueden y deben tratar, con el debido respeto, pero se pueden tratar, y en ese equilibrio debemos seguir trabajando.

David Barrientos

Equipo Govertis

Transferencias internacionales de datos – Anulación del acuerdo de “Privacy Shield”

El Reglamento(UE) 2016/679 General de Protección de Datos (en adelante RGPD), indica en su artículo 44:

“Solo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, a reserva de las demás disposiciones del presente Reglamento, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional.

Todas las disposiciones del presente capítulo se aplicarán a fin de asegurar que el nivel de protección de las personas físicas garantizado por el presente Reglamento no se vea menoscabado.

Y a continuación en los artículos 45 RGPD y siguientes, desarrolla el artículo 44 RGPD indicando diferentes condiciones mediante las que se pueden realizara transferencias internacionales de datos: (i)transferencias basadas en decisión de adecuación de la Comisión Europea, (ii) transferencias internacionales mediante garantías adecuadas, (iii) Normas corporativas vinculantes, etc. o algunas excepciones a la regla general del artículo 44 RGPD que se recogen en el artículo 49 RGPD

Imagen de Sumanley xulx en Pixabay

En el caso de las empresas de Estados Unidos y con el fin de garantizar que las transferencias y tratamientos de datos cumplían con las garantías adecuadas a la normativa sobre protección de Datos, y con este fin se aprobó en Julio de 2016 un acuerdo marco entre Estados Unidos y la Unión Europea. La comisión Europea adoptó la decisión de adecuación sobre este acuerdo “EU-US Privacy Shield” que obligaba a las empresas que se adscribieran al mismo a cumplir con determinadas obligaciones con el fin de garantizar la privacidad y las obligaciones y medidas de seguridad necesarias para garantizar un nivel de protección adecuado a los tratamientos de datos personales.

En la práctica, las empresas adscritas a este acuerdo de “Privacy Shield” eran empresas que aplicaban medidas de seguridad suficientes a los tratamientos de datos personales de acuerdo con la normativa de protección de datos y por lo tanto, aunque se encontrasen fuera del Espacio Económico Europeo, garantizaban los principios del RGPD .

Pero con la sentencia de 16 de Julio de 2020 Dictada por el Tribunal de Justicia de la Unión Europea en el Asunto C-311/18, este Tribunal ha anulado la decisión de adecuación del acuerdo de Privacy Shield, por entender (resumidamente) que: 

1. los derechos de los que el titular de los datos dispone no son los mismos en EEUU que en Europa.
2. La existencia de normativa interna en EEUU en relación al acceso y utilización de información por parte de las autoridades estadounidenses a los datos transferidos a empresas de EEUU y que establece límites a la protección de datos que no están regulados de forma equivalente
3. la facultad de EEUU de limitar el derecho a la protección de datos mediante programas de vigilancia a las empresas estadounidenses. Facultad que impone limitaciones a la protección de datos que el tribunal considera en ocasiones desproporcionadas 
4. considerar que los mecanismos de tutela del derecho a la protección de datos que prevé “Privacy Shield” no garantizan un nivel de protección suficiente 

De forma que las transferencias internacionales a empresas u organizaciones de Estados Unidos, solamente se podrán realizar mediante alguna de las otras garantías que indica el RGPD y por lo que todos aquéllos responsables del tratamiento que venían trabajando con empresas de Estados Unidos y que vayan a seguir trabajando con estas, se ven obligados a revisar la garantía adecuada mediante la que realizar transferencias internacionales.

Equipo Govertis

¿Cuándo se permite el tratamiento de los datos de una persona fallecida?

¿Qué sucede con los datos de las personas fallecidas y su privacidad ?

Actualmente la regulación sobre esta materia la encontramos en el Reglamento 2016/679/UE, de 27 de abril (en adelante RGPD) y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales(en adelante, LOPDGDD), ambas normas disponen regulaciones complementarias sobre los datos de las personas fallecidas.

El RGPD por un lado establece ya en el Considerando 27 que a los datos de las personas fallecidas no se les aplica el mismo, incluso en los casos de datos con fines de archivo o de investigación histórica, si bien, deja abierta la posibilidad de que los Estados miembros establezcan normas relativas al tratamiento de los datos personales de estas.

Esta puerta abierta ha sido aprovechada por el legislador español para incluir en la LOPDGDD la regulación de los datos referidos a las personas fallecidas, pues, excluyendo del ámbito de aplicación de la ley su tratamiento, se permite que las personas vinculadas al fallecido por razones familiares o de hecho o sus herederos puedan solicitar el acceso a los mismos, así como su rectificación o supresión, en su caso con sujeción a las instrucciones del fallecido.

Al igual que regula el RGPD, el artículo 2.2 de la LOPDGDD dispone lo siguiente; que no será de aplicación la norma para el tratamiento de datos personales de personas fallecidas, salvo lo dispuesto en el artículo 3 de la misma.;

1. Las personas vinculadas al fallecido por razones familiares o de hecho así como sus herederos podrán dirigirse al responsable o encargado del tratamiento al objeto de solicitar el acceso a los datos personales de aquella y, en su caso, su rectificación o supresión.
   Como excepción, las personas a las que se refiere el párrafo anterior no podrán acceder a los datos del causante, ni solicitar su rectificación o supresión, cuando la persona fallecida lo hubiese prohibido expresamente o así lo establezca una ley. Dicha prohibición no afectará al derecho de los herederos a acceder a los datos de carácter patrimonial del causante.
2. Las personas o instituciones a las que el fallecido hubiese designado expresamente para ello podrán también solicitar, con arreglo a las instrucciones recibidas, el acceso a los datos personales de este y, en su caso su rectificación o supresión.
   Mediante real decreto se establecerán los requisitos y condiciones para acreditar la validez y vigencia de estos mandatos e instrucciones y, en su caso, el registro de los mismos.
3. En caso de fallecimiento de menores, estas facultades podrán ejercerse también por sus representantes legales o, en el marco de sus competencias, por el Ministerio Fiscal, que podrá actuar de oficio o a instancia de cualquier persona física o jurídica interesada.
   En caso de fallecimiento de personas con discapacidad, estas facultades también podrán ejercerse, además de por quienes señala el párrafo anterior, por quienes hubiesen sido designados para el ejercicio de funciones de apoyo, si tales facultades se entendieran comprendidas en las medidas de apoyo prestadas por el designado”

Este artículo señala que las personas vinculadas al fallecido por razones familiares o, de hecho, así como sus herederos podrán dirigirse al responsable o encargado del tratamiento al objeto de solicitar el acceso a los datos personales de aquella y, en su caso, su rectificación o supresión. Pero con una excepción; las personas a las que se refiere el párrafo anterior no podrán acceder a los datos del causante, ni solicitar su rectificación o supresión, cuando la persona fallecida lo hubiese prohibido expresamente o así lo establezca una ley. No obstante, dicha prohibición no afectará al derecho de los herederos a acceder a los datos de carácter patrimonial del causante.

Además, hay que tener en cuenta que las personas o instituciones a las que el fallecido hubiese designado expresamente para ello podrán también solicitar, con arreglo a las instrucciones recibidas, el acceso a los datos personales de este y, en su caso su rectificación o supresión.
Para los casos de fallecimiento de menores, estas facultades podrán ejercerse también por sus representantes legales o, en el marco de sus competencias, por el Ministerio Fiscal, que podrá actuar de oficio o a instancia de cualquier persona física o jurídica interesada. Y lo dispuesto para el fallecimiento de personas con discapacidad, estas facultades podrán ejercerse, además de por quienes señala en el caso de los menores, por quienes hubiesen sido designados para el ejercicio de funciones de apoyo, si tales facultades se entendieran comprendidas en las medidas de apoyo prestadas por el designado.

Por su parte, el titulo X de la LOPDGDD regula una serie de derechos digitales a los ciudadanos predicables al entorno de Internet, uno de estos derechos es el Testamento digital regulado en la LOPDGDD. Sobre el Testamento Digital la LOPDGDD establece la regulación del acceso a contenidos gestionados por prestadores de servicios de la sociedad de la información sobre personas fallecidas. Este acceso se rige teniendo en cuenta las siguientes pautas:

• Las personas vinculadas al fallecido por razones familiares o de hecho, así como sus herederos podrán dirigirse a los prestadores de servicios de la sociedad de la información al objeto de acceder a dichos contenidos e impartirles las instrucciones que estimen oportunas sobre su utilización, destino o supresión. Como excepción, las personas mencionadas no podrán acceder a los contenidos del causante, ni solicitar su modificación o eliminación, cuando la persona fallecida lo hubiese prohibido expresamente o así lo establezca una ley. Dicha prohibición no afectará al derecho de los herederos a acceder a los contenidos que pudiesen formar parte del caudal relicto.
• El albacea testamentario, así como aquella persona o institución a la que el fallecido hubiese designado expresamente para ello también podrá solicitar, con arreglo a las instrucciones recibidas, el acceso a los contenidos con vistas a dar cumplimiento a tales instrucciones.
• En caso de personas fallecidas menores de edad, estas facultades podrán ejercerse también por sus representantes legales o, en el marco de sus competencias, por el Ministerio Fiscal, que podrá actuar de oficio o a instancia de cualquier persona física o jurídica interesada.
• En caso de fallecimiento de personas con discapacidad, estas facultades podrán ejercerse también, además de por quienes señala la letra anterior, por quienes hubiesen sido designados para el ejercicio de funciones de apoyo si tales facultades se entendieran comprendidas en las medidas de apoyo prestadas por el designado.

Aquellas personas legitimadas podrán decidir acerca del mantenimiento o eliminación de los perfiles personales de personas fallecidas en redes sociales o servicios equivalentes, exceptuando aquel caso en que el fallecido hubiera decidido acerca de esta circunstancia, en cuyo caso se estará a sus instrucciones. El responsable del servicio al que se le comunique la solicitud de eliminación del perfil deberá proceder sin dilación a la misma.

Podemos concluir, que lo recogido por la LOPDGDD abre la posibilidad de ejercer determinados derechos relativos a la protección de datos en nombre del difunto, atendiendo a determinadas normas.

Equipo Govertis

Cesión de datos del Padrón municipal al Juzgado de Paz

A lo largo del presente artículo se plantea la consulta sobre si resulta conforme a la normativa en materia de protección de datos, facilitar datos de carácter personal contenidos en el Padrón municipal de habitantes a solicitud de otras Administraciones Públicas, más en concreto al Juzgado de Paz del municipio.

De acuerdo con el Informe 0169/2009 de la Agencia Española de Protección de Datos (AEPD) las comunicaciones de datos de carácter personal objeto de la consulta implican un supuesto de cesión de datos de carácter personal entre organismos públicos, regulado, anteriormente, el artículo 21 de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (AHORA: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos; y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales).

Dicho precepto se vio afectado por la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, indicando la redacción resultante de la anulación parcial del mismo que “los datos de carácter personal recogidos o elaborados por las Administraciones Públicas para el desempeño de sus atribuciones no serán comunicados a otras Administraciones Públicas para el ejercicio de competencias diferentes o de competencias que versen sobre materias distintas, salvo cuando la comunicación tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos”. Es por ello que, la presente cesión sólo será posible cuando cedente y cesionario desempeñen unas mismas competencias o exista una norma con rango de Ley habilitante para la cesión.

En otro orden de cosas, debemos analizar, en primer lugar, la finalidad prevista en la propia normativa de régimen local atendiendo a los usos del Padrón que, tal y como dispone el artículo 16.1 de la Ley reguladora de las Bases del Régimen Local, es la de servir de registro administrativo donde consten los datos referidos a los vecinos del Municipio, constituyendo prueba de la residencia en el Municipio y el domicilio habitual.

De ello la AEPD considera que, el uso que la corporación haga de los datos contenidos en el padrón, incluidas las autorizaciones para poder acceder a su consulta, deberá circunscribirse a las funciones relacionadas estrictamente con las indicadas por la Ley. Cualquier otra utilización de los datos para un fin distinto supondrá una cesión o comunicación de los mismos que, tras lo establecido en la citada Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, deberá contar con el consentimiento del afectado o encontrar cobertura en alguna de las excepciones contenidas en el artículo 6.1 del Reglamento General de Protección de Datos, entre las que debe reseñarse, a los efectos del presente informe, la posibilidad de que exista una norma con rango de Ley habilitadora de la cesión.

Asimismo, la misma Agencia ha establecido que la expresión «datos del Padrón municipal» que se emplea en el artículo 16.3 de la LBRL se refiere únicamente a los datos que en sentido propio sirven para atender a la finalidad a que se destina el Padrón municipal: la determinación del domicilio o residencia habitual de los ciudadanos, la atribución de la condición de vecino, la determinación de la población del municipio y la acreditación de la residencia y domicilio. Por ello, cualquier comunicación o cesión de los datos del Padrón deberá fundarse en la necesidad por la Administración cesionaria, en el ejercicio de sus competencias, de conocer el dato del domicilio de la persona afectada, dado que del artículo 4.2 de la Ley se deriva la imposibilidad del tratamiento de los datos para fines diferentes de los que motivaron su recogida, salvo que así lo consienta el afectado o la Ley lo prescriba. Por ello, en la petición de datos padronales será necesario acreditar la relevancia en determinar la residencia o el domicilio del interesado, coincidiendo con las finalidades legalmente establecidas y que se han señalado con anterioridad. En resumen, este análisis supone que, si la solicitud de cesión de datos realizada por una Administración Pública no corresponde con las finalidades atribuidas al Padrón de Habitantes, se deberá determinar la denegación de la petición.

Ahora bien, ¿qué ocurre si el Juzgado de Paz solicita una copia del Padrón municipal de habitantes, a efectos de llevar a cabo las citaciones que desde el Juzgado se realizan? Para este caso concreto debemos acudir al Informe 0399/2010 de la AEPD.

En el presente supuesto se analiza la solicitud de copia del Padrón, con objeto de realizar por parte del Juzgado de Paz la práctica de citaciones, debiendo acudirse, por tanto, a lo previsto respecto de los actos de comunicación judicial en la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil.

El artículo 155 de dicha norma dispone en cuanto a la comunicación con las partes que:

“1. Cuando las partes no actúen representadas por procurador o se trate del primer emplazamiento o citación al demandado, los actos de comunicación se harán por remisión al domicilio de los litigantes. En la cédula de emplazamiento o citación se hará constar el derecho a solicitar asistencia jurídica gratuita y el plazo para solicitarla.

2. El domicilio del demandante será el que haya hecho constar en la demanda o en la petición o solicitud con que se inicie el proceso. Asimismo, el demandante designará, como domicilio del demandado, a efectos del primer emplazamiento o citación de éste, uno o varios de los lugares a que se refiere el apartado siguiente de este artículo. Si el demandante designare varios lugares como domicilios, indicará el orden por el que, a su entender, puede efectuarse con éxito la comunicación.

Asimismo, el demandante deberá indicar cuantos datos conozca del demandado y que puedan ser de utilidad para la localización de éste, como números de teléfono, de fax o similares.

El demandado, una vez comparecido, podrá designar, para sucesivas comunicaciones, un domicilio distinto.”

Respecto a las averiguaciones del tribunal sobre el domicilio, el artículo 156 de la citada Ley establece lo siguiente:

“1. En los casos en que el demandante manifestare que le es imposible designar un domicilio o residencia del demandado, a efectos de su personación, se utilizarán por el Secretario judicial los medios oportunos para averiguar esas circunstancias, pudiendo dirigirse, en su caso, a los Registros, organismos, Colegios profesionales, entidades y empresas a que se refiere el apartado 3 del artículo 155. Al recibir estas comunicaciones, los Registros y organismos públicos procederán conforme a las disposiciones que regulen su actividad.

2. En ningún caso se considerará imposible la designación de domicilio a efectos de actos de comunicación si dicho domicilio constara en archivos o registros públicos, a los que pudiere tenerse acceso.”

Obligación ésta a la que también da cobertura lo previsto en el artículo 17 de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial, según el cual “Todas las personas y entidades públicas y privadas están obligadas a prestar, en la forma que la Ley establezca, la colaboración requerida por los Jueces y Tribunales en el curso del proceso y en la ejecución de lo resuelto, con las excepciones que establezcan la Constitución y las Leyes, y sin perjuicio del resarcimiento de los gastos y del abono de las remuneraciones debidas que procedan conforme a la Ley.”

En este sentido, podemos considerar que ni la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil, ni la Ley 7/1985, de 2 de abril, Reguladora de las Bases del Régimen Local, autorizan la cesión masiva de los datos personales contenidos en el padrón municipal, excepto en los supuestos en que la cesión sea “necesaria” para el ejercicio de sus respectivas competencias, en tanto que la necesidad, en este caso, se circunscribe a los datos del domicilio de las partes o personas que deban intervenir en un concreto proceso cuando dicho domicilio se desconozca.

De este modo, las previsiones a que se ha venido haciendo referencia son acordes con el principio de minimización previsto en el artículo 5.1.c) del RGPD: Los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»).

De acuerdo con lo señalado por la AEPD, la cesión del dato del domicilio de los vecinos al Juzgado de Paz con la finalidad de comunicarse con ellos solamente resulta ajustada en el marco de un determinado proceso cuando se trate de vecinos que sean parte en el mismo o terceros que deban intervenir en él. En consecuencia, la entrega de los datos del domicilio de la generalidad de los vecinos de un municipio o de datos contenidos en el Padrón distintos del domicilio, incumple los criterios de adecuación, pertinencia y ponderación en relación con la finalidad pretendida.

En definitiva, no procede la entrega de una copia del Padrón municipal al Juzgado de Paz, por resultar contraria al principio de minimización previsto en el RGPD, sin perjuicio de que en cumplimiento de los preceptos antes señalados deba comunicarse a aquél, cuando así lo requiera en el curso de un proceso, con la finalidad de comunicarse con alguna persona que sea parte o deba intervenir en el mismo, el dato relativo a su domicilio.

Equipo Govertis