A pesar de no haber asistido este año a la 2ª Jornada organizada por la AEPD, desde hace poco están disponibles en su web las presentaciones usadas por los ponentes y que considero interesantes para conocer, entre otras materias:
- Videovigilancia y protección de datos (PDF)
- Consultas relevantes realizadas en 2008 (PDF)
- Principales casos de 2008 (PDF)
- Desarrollos internacionales (PDF)
- Consultas de los asistentes (PDF)
A continuación os dejo, como ya hiciera el pasado año, con las consultas que fueron planteadas por los asistentes y resueltas por Jesús Rubí, adjunto al Dtor. de la AEPD y un profundo conocedor en todo lo relacionado con la protección de datos de carácter personal.
A) Concepto de dato personal
¿Qué criterio tiene la AEPD sobre la consideración como dato de carácter personal de los teléfonos móviles o las direcciones IP? Las empresas que tienen páginas web y monitorizan las visitas tratando las IP’s de sus usuarios: ¿cómo recaban legalmente estos datos?, ¿basta un aviso legal en una página secundaria de la web?
La AEPD considerará la IP o el número de teléfono móvil como dato personal cuando pueda asociarse a una persona identificada o identificable (ver Dictamen 4/2007, de 20 de junio, del GT 29 -PDF).
En la mayor parte de las ocasiones la legitimación para tratar las direcciones IP se basará, bien en el consentimiento informado (por ejemplo, usuarios registrados en la página web), bien en la relación jurídica en sentido amplio entre el titular de la web y el usuario de sus servicios (por ejemplo, usuarios no registrados de un buscador en Internet). En ambos casos el aviso legal puede no estar en la página principal siempre que sea identificable, fácilmente accesible y comprensible.
B) Tratamiento y cesión de datos
¿Qué tipo de contrato o cláusula debería regular la relación contractual entre una Empresa de Trabajo Temporal (ETT) y una empresa usuaria de sus servicios en relación a la LPOD?
La comunicación por la ETT de los datos da las personas vinculadas a ella al tercero usuario de sus servicios constituye una cesión que está legitimada por las relaciones jurídicas que la ETT mantiene con unos y otro.
El tratamiento de los datos por parte de la tercera empresa, usuaria de los servicios de la ETT, se encuentra, también, legitimada por ser necesaria para el mantenimiento o cumplimiento de dicha relación jurídica. Por tanto, no es necesario un contrato de prestación de servicios con la ETT como encargado del tratamiento.
C) Encargado del tratamiento
En el caso de que contractualmente el responsable del fichero no informe al encargado del tratamiento de los tipos de datos que va a tratar ni de las medidas de seguridad, ¿se exime al encargado del tratamiento de las responsabilidades por desconocer estos datos, o debe solicitar al responsable del fichero esa información hasta que la obtenga?
La implantación de las medidas de seguridad exigibles es una obligación tanto del responsable del fichero como del encargado del tratamiento. El responsable del fichero tiene una obligación específica de diligencia en orden a estipular en el contrato de prestación de servicios las medidas de seguridad que debe implantar el encargado del tratamiento. Por ello el encargado debe solicitar al responsable la indicación de las medidas. Si, pese a ello, no las estipula y el encargado del tratamiento puede conocer la tipología de datos objeto de la prestación de servicios deberá implantar las medidas de seguridad exigibles, sin perjuicio de la responsabilidad de quien lo contrató y no las indicó. Si el conocimiento de toda la tipología de datos objeto de la prestación de servicios fuera desproporcionado y el responsable no responde a sus requerimientos podría limitar o excluir la responsabilidad remitiendo al responsable una comunicación sobre el nivel de medidas de seguridad que va a implantar con la información de que dispone.
D) Publicidad
Los clientes han cancelado todos los contratos con la entidad pero no han manifestado su negativa a recibir comunicaciones comerciales. ¿Se les puede realizar una llamada con contenido comercial?
Las llamadas a través de una operadora, si están asociadas a datos personales, deben contar con el consentimiento del receptor. Además, antes de realizarlas deberán consultarse los ficheros de exclusión que puedan existir (”listas Robinson”, art. 49 LOPD). Conforme al artículo 69.2 del RD 424/2005, tampoco se podrán realizar este tipo de llamadas, incluso si no están asociadas a datos de personas físicas (llamadas aleatorias) o afectan a personas jurídicas, respecto de aquellas que no figuran en guías telefónicas o que, figurando, aparezcan marcadas con el signo “U”, que significa que no quieren recibir publicidad. Al margen de estos casos, si no se tratan datos personales protegidos por la LOPD, pueden realizarse las llamadas pero los ciudadanos tienen la posibilidad de oponerse a ellas. Sin embargo, si se realizan, no podrán sancionarse al no existir un tipo de infracción específico para la vulneración de las garantías recogidas en el artículo 69.2 del RSU.
¿El artículo 49 del RLOPD obliga al responsable del fichero a identificar de forma concreta cuáles son los ficheros comunes de exclusión, o bastaría con señalar que tales ficheros constan inscritos en la AEPD y que pueden consultarlos?
El responsable del fichero ante el que el afectado manifiesta su negativa u oposición a que sus datos se traten con fines de publicidad deberá informar sobre los ficheros comunes de exclusión con indicación del responsable, su domicilio y la finalidad del tratamiento. No cabe, por tanto, la mera remisión al RGPD ya que dichos responsables pueden conocer la existencia de ficheros de exclusión aunque no estén inscritos en el RGPD.
E) Transferencia internacional
Tengo una página web con una base de datos de usuarios y “hosting web” en EEUU ¿cómo regularizo la situación si la tercera empresa no está adherida a Acuerdo de Puerto Seguro? ¿Debo declarar una transferencia internacional? ¿Debo pedir el consentimiento a los afectados?
El alojamiento en EEUU constituye una transferencia internacional de datos a un encargado del tratamiento en dicho país. El consentimiento informado de los afectados exime de la obligación de solicitar a la AEPD una autorización de transferencia internacional de datos. Si no se ha obtenido el consentimiento es preciso que el responsable titular de la página web solicite autorización para la transferencia internacional, que puede obtenerse suscribiendo las cláusulas contractuales tipo previstas en la Decisión de la Comisión Europea, 2002/16/CE de 27 de Diciembre de 2001 (PDF).
F) Medidas de seguridad
La herramienta de trabajo de los medios de comunicación es la información ¿Qué medidas de seguridad han de implantar los medios de comunicación audiovisuales para cumplir la LOPD?
El nivel de seguridad (básico, medio o alto) depende de la naturaleza de los datos que se traten. Los medios de comunicación (audiovisuales o no) tratan con frecuencia informaciones relacionadas con la ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual de las personas, en cuyo caso sería exigible implantar, además de las medidas de seguridad de nivel básico y medio, las de nivel alto.
Apreciado Miguel Angel , encuentro que por fin la Agencia Española de Proteccion de Datos empieza a controlar lo que realmente esta pasando con la Videovigilancia , ya que la mayoria de los establecimeintos incumplen las normas. Es necesario ver si las inspecciones seran llevadas a cabo y la sancion ejecutada .
Estimado Compañero, soy un abogado de Valencia y solo quería darte la enhorabuena por tu interesante Web/blog. Un abrazo.
Hola Miguel Angel . desearia formularte la siguiente pregunta.
Si es obligatorio que la instalacion de videocamaras de vigilancia se efectue por empresas de seguridad . Por que las empresas de informatica siguen ofreciendo el servicio de instalacion de videcmaras ya sean ip o analogicas?
Gracias