Contacto

Para consultas jurídicas "david @ 451.legal"

martes, 22 de enero de 2008

Google y varias cuestiones de protección de datos

A estas alturas todo el mundo sabe de la aprobación y publicación en el BOE del Reglamento de Protección de Datos. Mejores y más sesudos comentarios podrán encontrar en breve por otros sitios sobre esa norma, por lo que me remito a ellos.

Una única cuestión quiero aportar para el debate sobre el Real Decreto 1720/2007:

"Artículo 2.2: Este reglamento no será aplicable a los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales."

En comparación con su correspondiente en la Ley Orgánica:

Artículo 2.1 "La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado."

Siendo datos de caracter personal: "cualquier información concerniente a personas físicas identificadas o identificables." (LOPD, art. 3.a)

Por lo tanto es lógico pensar que los datos de personas jurídicas (empresas, asociaciones, etc.) no están protegidos por esta norma, precisamente porque no se puede establecer que las personas jurídicas tengan derecho a la intimidad en los términos del artículo 18 de la Constitución.

Sin embargo, al sacar del ámbito de aplicación de la norma, del Reglamento, los ficheros de datos que contienen información personal de los trabajadores de esa empresa, como el nombre, el puesto de trabajo, el email, etc. aunque sean referidos a su puesto de trabajo, en mi opinión va más allá de lo permitido por la LOPD, originándose un conflicto de jerarquía normativa, o al menos una situación jurídica curiosa.

En el peor de los casos ese fichero con los datos de todos los trabajadores de una empresa estará sometido a la LOPD (ley orgánica porque desarrolla derechos fundamentales) pero no estará sometido a lo que dispone el Reglamento, así no habrá obligación de someterlo a medidas de seguridad, etc.

Y en el mejor de los casos ese artículo se declarará nulo y fuera del ordenamiento. Además es curioso que su inclusión ahí se produce despues del Informe del Consejo de Estado.

Si lo que se quería conseguir es que los datos de las personas que representan a una persona jurídica pudiesen utilizarse sin obstáculo, la via de las excepciones a tratamientos concretos es más adecuada que sacarlos del ámbito de aplicación de la norma, y más cuando contraviene el ámbito de aplicación de la LOPD, pero dejar esos datos completamente desprotegidos me parece, una chapuza.

Otra noticia relacionada con el ámbito de aplicación de la LOPD.

Se publica en algunos medios que Google deberá dejar de tratar los datos de una persona, según una resolución de 20 de noviembre de 2007 (PDF) y que figura como recurrida.

El caso es el de un señor que fué sancionado adminsitrativamente y la sanción apareció en el Boletín Oficial de la Provincia correspondiente.

Los Boletines Oficiales son "fuentes accesibles al público" que se definen como, artículo 3.j LOPD:

"aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de una contraprestación. Tienen la consideración de fuentes de acceso público, exclusivamente, el censo promocional, los repertorios telefónicos en los términos previstos por su normativa específica y las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo. Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines oficiales y los medios de comunicación."

Pues bien cualquiera puede utilizar estas fuentes para tratar datos, lo que no excluye que uno pueda oponerse al tratamiento de sus datos, según se establece en el artículo 6.4 LOPD:

"4. En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los datos de carácter personal, y siempre que una ley no disponga lo contrario, éste podrá oponerse a su tratamiento cuando existan motivos fundados y legítimos relativos a una concreta situación personal. En tal supuesto, el responsable del fichero excluirá del tratamiento los datos relativos al afectado."

El señor reclamó a Google su oposición al tratamiento que realiza del Boletín Oficial de la Provincia para que no vuelva a aparecer su nombre en el buscador relacionado con aquella infracción.

Google dijo que la información debía bloquearla el Boletín Oficial y la Agencia da la razón al ciudadano español y obliga a Google a que establezca medidas para evitar que esa búsqueda vuelva a producirse.

Sin embargo, la Agencia pasa por alto un pequeño detalle relacionado con el ámbito de aplicación de la norma (Art. 2 LOPD)

Se regirá por la presente Ley Orgánica todo tratamiento de datos de carácter personal:

  1. Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento.

  2. Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional público.

  3. Cuando el responsable del tratamiento no este establecido en territorio de la Unión Europea y utilice en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito.

Google tiene un establecimiento permanente en España, pero no este tratamiento concreto no se realiza desde aquí ni en el marco de las actividades del mismo.

Desconozco si en Irlanda u otro país de la UE es dónde se realiza el tratamiento de los datos del buscador, pero si es en el domicilio de Google en Estados Unidos, no me explico como es posible que la Agencia tenga competencias en esta materia cuando la ley es muy clara.

Yo no digo que esta sea la mejor opción, porque se deberían proteger los datos de los ciudadanos con independencia de dónde se realice el tratamiento, pero lo cierto es que lo que dice la ley es eso, y la Agencia no tiene competencias en virtud del artículo 2 de la LOPD para decirle nada a Google.

15 comentarios:

  1. A lo segundo, estoy contigo. La Agencia tiene estas cosas, en fin.

    Lo primero también me ha llamado la atención. Lo cierto es que este Reglamento tiene muchas chapuzas, y se está pretendiendo cambiar el régimen de protección de datos con esta norma, que choca en varios puntos con la LOPD, en vez de modificarse dicha ley.

    ResponderEliminar
  2. Hola, David:

    Comparto tu postura respecto al artículo 2.2., que rompe de modo muy claro con lo que establece la LOPD.

    ¿Con un Real Decreto ESTABLECER EXCEPCIONES DIFERENTES a las que ya dispone la Ley Orgánica? Vamos, hombre, esto es de traca.

    Como esta hay unas cuantas, como dice Javier, y se han pasado por el mismísimo forro el Dictamen del Consejo de Estado, que a veces parece estar dando incluso lecciones elementales de Derecho a los redactores del Real Decreto.

    Triste día el de su aprobación, y más triste la visión y comprensión de la LOPD del equipo que lo ha redactado.

    Saludos

    ResponderEliminar
  3. Respecto a lo del artículo 2.2 me ha alegrado leer el artículo ya que el sábado cuando apareció publicado el Reglamento en el BOE fue lo primero que me vino a la cabeza al leerlo por primera vez. No tiene ni pies ni cabeza.
    Respecto a lo de Google, también estoy de acuerdo contigo, máxime cuando ha habido procedimientos idénticos de la propia AEPD en los que ha dictaminado todo lo contrario: o sea, que el Boletín Oficial es fuente accesible al público y que no podía hacer nada por el tema de Google.

    ResponderEliminar
  4. Buenas a todos,

    No estoy del todo de acuerdo en en lo relativo a que la AGPD nada tiene que decir a Google o a las redes sociales como FaceBook mencionadas en el artículo de El País, tema que da para otro buen debate.

    En este sentido os recomiendo la lectura de este informe del Grupo del Art. 29:

    http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2002/wp56_es.pdf

    Informe que por cierto ha dado pie a una resolución de la CNIL en Francia en la que se manifiesta que las empresas americanas con operaciones en Europa están sometidas a la legislación de protección de datos:

    http://www.reverselogisticstrends.com/shownews.php?id=5097

    Pensad también en el reciente documento de la AGPD en relación a la retención de logs por los buscadores:

    https://www.agpd.es/upload/Canal_Documentacion/Recomendaciones/declaracion_aepd_buscadores.pdf

    En lo relativo a la modificación del art. 2.2 LOPD...puff. ¿Realmente el nuevo Reglamento esta modificando la ley orgánica o lo que se dispone ahora es parte de la interpretación que debe hacerse? No existen sentencias de la Audiencia Nacional acerca de si aplica o no el derecho a la privacidad a los datos personales de los empleados, pero sí que existen algunas resoluciones de la AGPD que así lo declaran. Habría que ver si la Audiencia Nacional o el Tribunal Constitucional están de acuerdo con la interpretación que hace la AGPD ((creo que lo comento David en el post sobre blogs protesta):

    https://www.agpd.es/upload%2FCanal_Documentacion%2FResoluciones%2FE%2F2005%2FE-00542-2004%20Resoluci%F3n%20de%20fecha%2024-08-2005%20%28Art%EDculo%201%20LOPD%29.pdf

    Particularmente creo que la AGPD se equivoca, y no me extrañaría que haya alguna resolución en la que se diga lo contrario. Me pregunto que sentido tienen entonces los ficheros de clientes (en su parte de datos de contacto de empleados de personas jurídicas) y proveedores (sean estos personas físicas, profesionales, o jurídicas).

    Un saludo

    ResponderEliminar
  5. Alguien también ha comentado esta noticia:

    http://blog.s21sec.com/2008/01/de-fuentes-accesibles-al-pblico-y.html

    ResponderEliminar
  6. Hola:

    Muchas gracias por tan valiosos comentarios.

    Creo que todos percibimos que han pretendido hacer una ley mediante un reglamento y que el experimento les ha salido mal. El Dictamen del Consejo de Estado es escandaloso, y como digo el 2.2 no estaba en el informe.

    Conozco la interpretación de los datos de los representantes de la empresa, pero era más lógico regular eso por vía de excepción a la comunicación de datos, que no excluirlos del ámbito de aplicación del Reglamento, cuando si entran dentro del ámbito de aplicación de la LOPD. Entonces, ¿esos datos no se protegen con las medidas de seguridad del reglamento pero tampoco se puede hacer un uso contrario a la LOPD, como por ejemplo su comunicación a terceros?

    Convendremos todos en que esos datos quedan en una extraña situación jurídica, como mínimo.

    Es muy extraño y a casi todos nos ha llamado la atención, incluso gente con la que he hablado personalmente.

    El problema es que si ya las resoluciones de la Agencia son contradictorias en muchas ocasiones, esa inseguridad se ha trasladado incluso a una norma, a la que a poco que haya gente con ganas de dar guerra y visto el importe de las sanciones, de la que dudo tenga una larga vida si intervienen los jueces en su constitucionalidad (Pº de jerarquia noramtiva, legalidad, etc.) Muchos requiebros jurídicos tiene que hacer esta norma para que subsista tal y como está.

    Un saludo y muchas gracias.

    ResponderEliminar
  7. Buenas a todos. Ante todo gracias David.

    Estoy bastante de acuerdo con lo escrito por deincógnito en cuanto al 2.2 (además, creo que desde que el Reglamento Penitenciario fue bendecido en su día por el TC la jerarquía normativa murió en España).

    Cambiando un poco de artículo, existe uno que me llamó la atención sobremanera y que no es sino el nuevo principio de duración máxima de las actuaciones previas (art. 122.4) y con el que en la AGPD se ha autoimpuesto unas obligaciones que a día de hoy NO PUEDEN CUMPLIR; conclusión:

    ¿Aumento de plantilla funcionarial en la AGPD?
    ¿Cascada de resoluciones de archivo por caducidad?

    En cualquier caso creo que se han acabado esas vergonzantes expedientes E/xxx/200X en los que se realizaba una actuación inspectora y duraban 12 ó 14 meses.

    Mi convicción personal es que se han visto "obligados" a incluir una limitación por diferentes Stns. de la AN dando diferentes tirones de oreja a la AGPD por la excesiva duración de dichas diligencias.

    Otra cosa que no está mal del Reglamento: Loado sea el artículo 6 y su unificación del cómputo de plazos.

    Bueno, un placer, hay muchas cosas que me gustaría comentar pero sería muy largo.

    Saludos a todos.

    ResponderEliminar
  8. Me parece a mi que por parte de los organismos que publican el BOE se está intentando descargar la responsabilidad sobre Google, cuando a veces tiene la culpa... y otras como esta no.

    http://www.securityartwork.es/2008/01/23/google-lo-sabe-todo-y-no-olvida/

    ResponderEliminar
  9. Personalmente, creo que el Reglamento no puede modificar la Ley pero sí dar un criterio de interpretación. Pienso que con el art. 2.2 han intentado seguir la línea marcada en el art 1 de la LOPD en la que se establece como objeto de la misma "garantizar y proteger, en lo concerniente al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar".

    ResponderEliminar
  10. Buenas,

    esto del artículo 2.2 no tiene ningún sentido. Basta con que entre nuestros clientes o proveedores tengamos datos de empleados de profesionales como abogados, notarios, ... para que tengamos que aplicar el reglamento a ese fichero.

    Saludos.

    ResponderEliminar
  11. No sé a qué se debe, si a mi ignorancia sobre cuestiones jurídicas o a que simplemente estoy dormido, pero no soy capaz de comentar los aspectos legales de la decisión contra Google.

    Lo que si me sorprende es que nadie (si no lo he visto, perdón, porque sí que estoy dormido) es la cuestión técnica.

    Que el señor afectado denuncie a Google, hasta donde yo sé (lo leí en una bitácora de la que no recuerdo el nombre) porque el anterior caso que denunció a la Diputación Provincial por su Boletín se resolvió en contra.

    Pero me parece que tanto la petición como la propia petición como la resolución de la Agencia son una chapuza. En el fondo, porque no entienden cómo funciona internet.

    No soy informático, pero los buscadores funcionan no porque haya personas que se dediquen a recolectar y clasificar información, sino precisamente porque hay programas que realizan esas tareas de manera automatizada. Estos programas, llamados también robots, tienen una serie de convenciones para la exclusión de información (como se explica aquí).

    Para evitar que ningún buscador extraiga información de una dirección de internet, la solución es tan sencilla como poner en el directorio raíz un archivo de texto llamado robots.txt con el siguiente texto:

    User-agent: *
    Disallow: /

    La explicación está tomada de http://www.robotstxt.org/robotstxt.html.) Si sólo se quiere bloquear un directorio o un fichero, sólo habría que ponerlo después de "Disallow: /" (sin espacio entre la barra y la primera letra).

    Otra manera de evitar el indexado es poner en la página correspondiente la cabecera que se muestra aquí (no se puede copiar en el comentario porque el programa lo entiende como una etiqueta incorrecta).

    Entiendo que si un buscador no respeta estas indicaciones se plantearía que pueda ser sancionado por no respetar la protección de datos.

    De este modo, el señor afectado conseguiría realmente que su información desaparezca de todos los buscadores, y quién es responsable de que la información no se difunda en buscadores asuma su responsabilidad.

    (Perdón por la penosa explicación, pero ahora mismo no doy para más.)

    ResponderEliminar
  12. No quiero ni comentar lo del Reglamento porque coincido con quien afirma que es una auténtica chapuza asi es que con eso se dice todo.
    Sin embargo, lo de Google si quisiera comentarlo. La solución de los robots no es solución por 3 razones fundamentales: una, porque regular y periodicamente buscan, con lo cual aunque se elimine en una, aparecerá en la siguiente; dos, porque lo que ha de eliminar no es una página (la del BOP o BOE) sino un dato personal concreto publicado dentro de ella, lo cual no es lo mismo y; tres, porque Google aunque sea el buscador más usado, no es el único buscador de modo que esta solución no soluciona el problema porque bastará buscar al señor en cuestión con otro buscador para encontrarle. Con ello además se esta obligando al afectado a denunciar ante la AEPD no sólo a Google sino a todos y cada uno de los buscadores que hay en el mundo, lo que a su vez plantea el problema de la territorialidad que habéis comentado. La solución correcta, y es por la que han optado las Agencias autonómicas en idénticos casos, es obligar al BOP a quitar el dato del señor, o mejor dicho, a poner en su versión digital un código que excluya que los buscadores puedan pescar el dato. Y ello, al margen de que sean una fuente accesible al público que además estas tienen unas limitaciones temporales véase art. 28.3 LOPD), transcurridas las mismas pierden tal carácter. A lo que ha de atenderse, como han hecho las Agencias autonómicas como indico, es al principio de finalidad (art. 4 LOPD), de modo que como la publicación en el BOP tenía una finalidad de notificación al interesado, una vez cumplida tal función, no tiene ningún sentido que el dato permanezca ahí sine díe, razón por la cual, procede su cancelación. Recuerdese el art. 4.5 LOPD que obliga a cancelar los datos "cuando hayan dejado de ser necesarios o pertinentes para la finalidad...". O sea, que en esto, como en tantas cosas más, la AEPD se luce.

    ResponderEliminar
  13. Otra de las muchas chapuzas el Reglamento. ¿Os habéis fijado en lo que dice el art. 22? El primer apartado dice lo mismo que la LOPD, que los datos, una vez terminado el encargo del tratamiento "deberán ser destruidos o devueltos al responsable del tratamientoo al encargado...". El apartado 2 de este mismo artículo dice "el encargado del tratamiento conservará, debidamente bloqueados, los datos...". ¿En qué quedamos? Los destruye o devuelve o los conserva? Porque no cabe destruir y conservar a la vez y no cabe devolución y destrucción porque si los ha devuelto, ¿qué va a destruir? En fin, y es que además esto contradice flagrantemente la LOPD (art. 12.3)que obliga a devolver o destruir, pero en ningún caso habla de conservar. ¿Hay quien lo entienda? ¿Cabe más chapuza que ésta? Sin comentarios

    ResponderEliminar
  14. Buenos días,

    Entiendo que el encargado de tratamiento como regla general debe devolver o destruir los datos y excepcionalmente puede conservar los datos bloqueados si se produce la siguiente condición que se puedan derivar “responsabilidades de su relación con el responsable de tratamiento” es decir que puede guardarlos como prueba ante posibles responsabilidades lo que implicaría su destrucción una vez que estas responsabilidades no se puedan reclamar.

    En cuanto a las chapuzas del Reglamento en
    el informe 0320/2008 se aclara que el art. 97 del RDLOPD no se aplica a los ficheros no automatizados.

    En el propio art 97 aparece “el numero de documentos o soportes” como uno de los campos que deben aparecer en el registro y entre las consultas que se plantean en la 2ª Jornada de la AEPD para ficheros no automatizados encontramos la siguiente respuesta “en un registro de entrada y salida deberá inventariarse cada documento como unidad diferenciada”

    No comprendo como es posible que se apruebe un reglamento en el que se dejan las cosas tan poco claras.

    Muchas gracias

    ResponderEliminar