Consentimiento

Publicación de calificaciones universitarias y la nueva LOPD

31 mayo, 2019 | GDPR Legal | , , , , , , , , ,

Una problemática recurrente en el ámbito universitario es la relativa publicación de las notas de los alumnos. Tradicionalmente, las calificaciones se “colgaban” en el tablón de anuncios de la Universidad, y todo aquel que pasara por allí, ya fuera alumno, progenitor “curioso” o ciudadano anónimo, tenía acceso a las mismas.

Traducido a la normativa de protección de datos, esta publicación supone una comunicación de datos de carácter personal, que debe basarse en una causa de licitud, esto es, uno de los motivos que contempla la Ley para que dicho tratamiento de datos sea válido.

Calificaciones universitarias con la antigua LOPD

Con la antigua LOPD (Ley Orgánica 15/99, de Protección de Datos), la regla general de licitud era el consentimiento del afectado, salvo excepciones, como que una norma con rango de ley contemplara ese tratamiento concreto. Antes de la entrada en vigor de la Ley Orgánica 4/2007, de 12 de abril de Universidades, esa publicación de notas en los tablones era ilegal, salvo que se hubiera recabado previamente el consentimiento de los estudiantes.

La DA 2ª  de la citada Ley Orgánica 4/2007 sí contempló la excepción, y amparó la publicación de las calificaciones de los alumnos sin consentimiento del interesado.

Calificaciones universitarias con el nuevo RGPD

Esta situación no ha cambiado con la entrada en vigor del Reglamento General de Protección de Datos (RGPD) y la nueva Ley Orgánica 3/2018, de Protección de Datos Personales y Garantías de Derechos Digitales (LOPD-GDD), que incluye entre sus bases de legitimación para tratar los datos el interés público basado en una norma con rango de ley, como es este caso.

Pero no basta, de acuerdo con el RGPD y la LOPD-GDD, que la publicación sea lícita (PRINCIPIO DE LICITUD DEL TRATAMIENTO), sino que también debe cumplir con el resto de principios generales de la norma, como el de TRANSPARENCIA, MINIMIZACIÓN DE DATOS o LIMITACIÓN DEL PLAZO DE CONSERVACIÓN, entre otros. Esto implica que la publicación debe hacerse de modo que suponga la menor injerencia en los derechos y libertades de los interesados, lo que excluye la posibilidad de un conocimiento generalizado de las calificaciones, como en el caso de que se publicara, por ejemplo, en Internet. Por todo esto se recomienda:

  • Publicación calificaciones en Intranet o aula virtual en la que estuviera limitado el acceso a los profesores y compañeros del grupo, habiendo informado previamente a los alumnos en la matriculación.
  • Si de esta forma no fue posible, publicación en tablones de anuncios del centro, siempre que no se encuentren en las zonas comunes de los centros, se garantice que el acceso a los mismos queda restringido a dichas personas y se adopten las medidas necesarias para evitar su público conocimiento por quienes carecen de interés en el mismo.
  • En cuanto a los datos a publicar:
  • Plazo de conservación de la publicación: calificaciones provisionales mientras transcurre el plazo para presentar reclamaciones, y las calificaciones definitivas durante el tiempo imprescindible que garantice su conocimiento por todos los interesados. 

 

Documentación relacionada:

Informe AEPD 2019-0030

https://www.aepd.es/media/informes/2019-0030-publicacion-calificaciones.pdf

Orientación para la aplicación provisional de la DA 7ª de la LOPDGDD

https://www.aepd.es/media/docs/orientaciones-da7.pdf

KEEP READING

Uso de fotografías en RRSS

24 mayo, 2019 | GDPR Legal | , , , , ,

El uso y compartición de fotografías en las redes sociales es uno de los aspectos que caracterizan dichas comunidades, bien sea para un uso profesional (Linkedin, Xing) o más personal (Facebook, Twitter, Instagram).

Desde el punto de vista jurídico, el hecho de compartir fotografías en redes sociales tiene diversas implicaciones y puede estar sujeto a diferentes normas que regulan desde la propiedad de la fotografía hasta los aspectos relativos a su contenido, con especial atención al contenido cuando en la fotografía aparecen personas físicas.

Propiedad de la imagen en Redes Sociales

Respecto a la propiedad de la imagen, hay que tener en cuenta las disposiciones del Real Decreto legislativo 1/1996 por el que se aprueba el texto refundido de la Ley de Propiedad Intelectual (en adelante LPI). Esta ley reconoce una serie de derechos morales y de explotación a los autores de las fotografías, diferenciando en caso de que se consideren obras artísticas, literarias o científicas; o meras fotografías.

Para utilizar en RRSS fotografías de terceros, será necesario ser titular de los derechos necesarios para el uso que se quiere realizar (como por ejemplo un uso comercial o publicitario) y en su caso abonar al titular de los derechos la compensación pactada.

Contenido de la imagen en Redes Sociales

En cuando al contenido, además de que los objetos que aparezcan en la fotografía puedan estar protegidos por la LPI, también podrían estar protegidos por otras normas como la Ley 17/2001 de Marcas, o la Ley 20/2003 de Protección del Diseño Industrial.

Si en el contenido de la fotografía aparecen personas físicas, entran en juego dos marcos normativos de gran relevancia:

  1. Por un lado: el Reglamento (UE) 2016/679 General de Protección de Datos (en adelante, RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los.derechos digitales. (en adelante, LOPDGDD).
  2. Por otro lado, la Ley Orgánica 1/1982, de 5 de mayo, sobre protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen (en adelante LO 1/1982).

La imagen como Dato Personal

La imagen está considerada como un dato personal de acuerdo a la definición de dato personal proporcionada por el art 4 del RGPD, y como tal, cualquier tratamiento que se realice de imágenes de personas identificadas o identificables ha de cumplir con los requisitos, obligaciones y principios del RGPD y su tratamiento deberá estar legitimado por una de las bases de legitimación del art 6 del RGPD.

Respecto a la LO 1/1982, hay que tener en cuenta que el art 7 de esta Ley considera una intromisión ilegítima en la intimidad de las personas “la captación, reproducción o publicación por fotografía, filme, o cualquier otro procedimiento, de la imagen de una persona en lugares o momentos de su vida privada o fuera de ellos”, salvo en los siguientes casos:

  • Que se trate de personas que ejerzan un cargo público o una profesión de notoriedad o proyección pública y la imagen se capte durante un acto público o en lugares abiertos al público.
  • La utilización de la caricatura de dichas personas, de acuerdo con el uso social.
  • La información gráfica sobre un suceso o acaecimiento público cuando la imagen de una persona determinada aparezca como meramente accesoria.

Por lo que, conforme a esta Ley, para poder captar, reproducir o publicar la fotografía de una persona es necesario que dicho uso esté expresamente autorizado por ley, o que el titular de los derechos hubiera consentido expresamente. (art 2.2 Ley 1/1982).

En conclusión, para utilizar una fotografía en redes sociales, hay que ostentar los derechos de propiedad intelectual, y si aparecen personas físicas identificadas o identificables obtener la cesión de su imagen y cumplir con las obligaciones en materia de protección de datos.

KEEP READING

Más allá del consentimiento, hay legitimación

11 mayo, 2018 | GDPR Legal | , ,

El Reglamento General de Protección de Datos, en adelante RGPD, establece un sistema de legitimación compuesto por seis bases jurídicas, de modo que el tratamiento de datos ya no se basa en el consentimiento del interesado y excepciones al mismo, sino que ha de basarse en uno de los seis supuestos que el RGPD establece. Dichas bases de legitimación no son intercambiables ni hay ninguna jerarquía entre ellas.

Además, la base jurídica de legitimación del tratamiento se incorpora al contenido obligatorio del deber de información (artículo 13.1c) RGPD), por lo que el Responsable del tratamiento deberá facilitar dicha información al interesado, en el momento en que se obtengan los datos personales.

Analizaremos a continuación los diferentes supuestos que conforman el sistema de legitimación diseñado por el RGPD, diferentes al consentimiento del interesado:

  • Legitimación para la ejecución de un contrato: el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de éste de medidas precontractuales.
  • Legitimación derivada del cumplimiento de una obligación legal: deberá incluirse la referencia a la concreta norma que establece esta obligación al Responsable del tratamiento.
  • Legitimaciónpara el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
  • Legitimación para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero; el interés legítimo podrá constituir la base jurídica para el tratamiento “siempre que no prevalezcan los intereses o los derechos y libertades del interesado, teniendo en cuenta las expectativas razonables de los interesados basadas en su relación con el responsable” (Considerando 47 del RGPD). En cualquier caso, el interés legítimo siempre requerirá de una “evaluación meticulosa” (Considerando 47 del RGPD), que incluya la determinación, necesidad y justificación del interés legítimo, así como todo un análisis de la ponderación de dicho interés y los derechos y libertades del interesado y las medidas adoptadas para garantizar el equilibrio de los intereses en juego.
  • Legitimación para proteger intereses vitales del interesado o de otra persona física; se trata de un supuesto excepcional derivado de las propias circunstancias que harían posible esta causa de legitimación.

En conclusión, recordar la importancia de la correcta determinación de la base jurídica que legitime el tratamiento de datos, ya que, además de formar parte del contenido del deber de información junto a la finalidad del tratamiento, en aplicación del Principio de responsabilidad proactiva, el Responsable deberá poder demostrar la adecuación de la base jurídica utilizada a las exigencias del RGPD.

El equipo de profesionales de Govertis

 

KEEP READING

¿Cómo se concibe el consentimiento para tratar datos personales, según el Reglamento Europeo?

23 marzo, 2018 | GDPR Legal | , , , , ,

En España, el consentimiento en la legislación en protección de datos de carácter personal se ha concebido como la premisa básica para legitimar un tratamiento o cesión de datos.

Sin embargo, a partir de ahora, con el Reglamento General de Protección de Datos de la Unión Europea, el consentimiento se ha concebido como una causa o fundamento más para legitimar un tratamiento de datos personales y está estrechamente ligado al principio de finalidad, puesto que la norma pone énfasis en que el consentimiento esté asociado para los fines específicos del tratamiento. Esto es, se ha recoger de forma clara, sencilla y concisa las finalidades de los datos, para que el interesado pueda manifestar el consentimiento respecto de cada una de éstas.

KEEP READING