Coordinadora Relaciones Institucionales y Universidades

Portal Universia, S.A

Las tecnologías de la información y del conocimiento han causado un gran impacto en nuestra sociedad provocando el fenómeno conocido como Sociedad de la Información. Se caracteriza, como todos sabemos, por la aplicación en nuestras relaciones habituales: profesionales, financieras, lúdicas, de comunicación, etc.... de las aplicaciones informáticas.

Concretamente, y centrándonos en el ámbito de internet, observamos que éste instrumento supone una herramienta o aplicación de gran valor en nuestro día teniendo en cuenta las ventajas que aporta, que a grandes rasgos podemos resumir en:

• información amplia, en todos los ámbitos posibles, rápida y fácilmente asequible
• servicios virtuales que han producido un cambio en nuestro comportamiento social habitual. Por ejemplo: e-commerce, e-bank, e-work, etc.
• herramientas útiles que han ayudado enormemente al individuo a realizar actividades de forma mucho más ágil y rápida (ej: correo electrónico), o bien actividades que anteriormente no se podían realizar (ej: chat, traductores automáticos, etc, .)

Junto a estas ventajas que hemos resumido brevemente y cuyas consecuencias sociológicas no viene al caso comentar en este foro, debemos considerar la consecución de una serie de riesgos o amenazas de mayor o menor gravedad y que pueden llegar a provocar la comisión de algún ilícito.

Estos ilícitos se producen fundamentalmente debido a la vulnerabilidad que ante esta nueva realidad presentan los derechos fundamentales y libertades públicas de los ciudadanos, así como de otros derechos o instituciones jurídicas que también son importantes.

Hoy estamos aquí con el fin de comentar en qué modo se afecta el derecho de intimidad desde el uso y disfrute de las nuevas tecnologías, y en lo que a esta ponencia corresponde, respecto al ámbito del uso de la World Wide Web.

Cuando hablamos de intimidad en este ámbito, y sin perjuicio de la definición sobre este concepto que se ha dado en el ámbito jurídico, nos referimos fundamentalmente al tratamiento de datos personales.

Cuando hablamos de datos personales ¿qué debemos entender?

El dato de carácter personal se refiere a cualquier tipo de información concerniente a personas físicas identificadas o identificables.

De este concepto se deriva la necesaria concurrencia de dos elementos: la información y la persona a la que concierne dicha información.

Con esta definición podemos observar que el concepto de dato de carácter personal es extremadamente amplio:

Cualquier dato por el cual se pueda identificar a una persona será considerado como información susceptible de protección especial.

Es decir, desde el nombre y apellidos, domicilio de una persona, número identificación, etc.... siempre que de esa información sea deducible la persona a la que se refiere.

En el caso de que se produzca un proceso de disociación tal y como refleja el art. 3 f) de la LPD, proceso consistente en hacer imposible la identificación de la persona a quien se refiere la información, se estaría garantizando una mayor protección de la intimidad.

Por tanto, en aquellas informaciones o datos de los que no se deduce la identificación de la persona a la que pertenecen (por ejemplo, en ocasiones las direcciones de correo electrónico ) no se deben considerar como datos de carácter personal en el sentido de objetos tutelables en función de proteger el derecho de intimidad.

También, debemos destacar una serie de información sobre las personas físicas a la que la ley da un carácter especial con el fin de darles una mayor protección.

Se trata de los datos que el legislador ha considerado que deben estar legalmente protegidos son aquellos relativos a: ideología, religión, creencias, origen racial, salud y vida sexual.

Los datos personales a los que nos estamos refiriendo, dentro del ámbito de internet se recogen en los ficheros.

Por fichero se entiende todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. (art. 3 b))

El fichero puede ser de titularidad pública o privada.

Titularidad pública:

provienen de cualquier organismo de dcho. Público. La administración tiene derecho a recabar datos de carácter personal de los ciudadanos en defensa del interés público.

Para evitar cualquier abuso en el ejercicio de este derecho por parte de la Administración pública, y siempre con el fin de proteger la intimidad personal el art. 20 LPD establece que los ficheros de las Administraciones Públicas sólo podrán hacerse por medio de una disposición general publicada en el BOE o Diario Oficial correspondiente.

En este afán por evitar cualquier abuso de derecho por parte de las instituciones públicas el legislador ha establecido también la forma de supresión y modificación de los mismos del mismo modo (publicación disposición general en BOE)

Y, de igual modo, en caso de que estos ficheros sean realizados y tratados por las Fuerzas y Cuerpos de Seguridad del Estado con el objetivo de ofrecer una mejor defensa de la colectividad, el legislador (art. 22) establece un control judicial que impondrá las medidas de cautela necesarias para evitar que el se produzca un abuso y una lesión del derecho a la intimidad personal en aras de defender ese bien colectivo.

Los ficheros de propiedad privada son los que crean una persona física o jurídica con el fin de realizar una actividad concreta.

Para garantizar el buen uso de este derecho, el legislador exige que estos ficheros se hagan con el cumplimiento de todas las garantías y se notifique previamente a la APD en la forma en que más adelante vamos a indicar.

Junto al concepto de fichero, debemos tener en cuenta de forma muy cercana el de tratamiento.

El tratamiento de los datos consiste en las operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación así como las cesiones de datos que resulten de las comunicaciones, consultas, interconexiones y transferencias.

La respuesta clave para esta cuestión es que existe esa posibilidad cuando existe una autorización legal que expresamente lo permite o, cuando hay un consentimiento de la parte interesada.

Para que este consentimiento sea válido es necesario que sea inequívoco y que responda a una información suficiente por parte de la persona que lo emite.

Un "fallo" que podemos encontrar en la LPD es que no exige el consentimiento expreso, sino que también admite el consentimiento tácito o presunto. Excepción: cuando se trate de datos especialmente protegidos en que este consentimiento debe ser expreso.

Sin embargo, en el art. 6.1 el legislador exige que el consentimiento sea "inequívoco" ¿qué debe entenderse por tal? La doctrina no se pone de acuerdo aunque la opinión mayoritaria parece aprobar el otorgamiento implícito. Sin embargo, en este aspecto se observa un aspecto claramente vulnerable respecto de la afección a la intimidad en estos casos debido fundamentalmente a la dificultad de obtener medios de prueba difíciles de mostrar.

El consentimiento otorgado es, en todo caso, revocable por parte del titular del derecho.

En cuanto al derecho de información a la hora de otorgar consentimiento, esa información se fundamenta en que el interesado conozca en qué ámbito está prestando el consentimiento y, sobretodo, con qué finalidad o finalidades. Es el derecho de información a que se refiere el art. 5 LPD.

En este sentido, los datos que se requieran para estas finalidades deberán ser adecuados, pertinentes y no excesivos a ellas.

Cuando la finalidad para la que se tomaron y trataron los datos en un fichero desaparece, éstos datos deberán ser cancelados.

También debe haber una información detallada en caso de que esos datos personales vayan a ser cedidos a terceras personas distinta a la que está recabándolos inicialmente. (METER PANTALLAZO DE CESIÓN)

Excepciones a la obligación de consentimiento:

- los datos se recogen por AA.PP. cumpliendo sus propias funciones

- los datos se refieren a partes de un contrato/precontrato y son absolutamente necesarios para su mantenimiento o cumplimiento

- los datos deban tratarse para salvar un interés vital del interesado

- constan en fuentes de acceso público y sean necesarios para satisfacer un interés legítimo del responsable del fichero, respetando los derechos y libert.

Dentro del tratamiento de datos obtenidos a través de una página web para, por ejemplo, crear direcciones de correo electrónico debemos distinguir entre dos tipos de tratamiento:

• Tratamiento visible
• Tratamiento invisible

Consiste en la captación de datos on line mediante el empleo de formularios que alimentan de forma automática una base de datos con el fin, generalmente, de dar algún servicio desde el portal de internet al titular de esos datos: correo electrónico, servicios de mensajería corta, etc.

Es un proceso al que estamos claramente habituados

(poner en power point una imagen del formulario de recogida de datos)

Para que este tratamiento sea legítimo es necesario que el usuario, a la hora de dar su consentimiento, está suficientemente informado sobre los fines de este tratamiento así como el modo en que sus datos van a ser tratados.(normalmente aparece un vínculo a Pca. De privacidad o Aviso Legal )

También deben estar informados en caso en que teniendo su dirección de correo electrónico se prevea enviar mensajes comerciales o promocionales siendo la posición ideal que el usuario pueda aceptar o denegar la recepción de esta información a la hora de dar sus datos. (RELACIONAR CON ENVÍOS DE MENSAJES PUBLICITARIOS - ART. LSSI AL RESPECTO)

De todos es conocido que las técnicas de funcionamiento de internet generan una serie de archivos informáticos o software especiales que alojándose en nuestros ordenadores pueden dar información sobre el usuario concreto.

Estas herramientas se tratan de las famosas "cookies" o archivos en "log". Se instalan en nuestro ordenador pudiendo ofrecer datos sobre las preferencias e intereses de un usuario determinado.

En relación a esta práctica y con el fin de proteger la intimidad y el anonimato del internauta ya se ha pronunciado la UE en una recomendación de 17 de mayo del 2001 en la que aconseja:

"Mencionar con claridad la existencia de procedimientos automáticos de recogida de datos antes de usar dichos métodos"

Por tanto, y a pesar de que expresamente no se ha establecido ninguna exigencia al respecto en la LPD, se considera necesario de cara a un consentimiento claramente informado para el tratamiento de datos que el usuario esté informado también del uso de estos métodos de tratamiento invisible, su finalidad, responsables, plazo de validez y demás datos necesarios con el fin de que el interesado dé su consentimiento o, por el contrario, se oponga a esta "invasión" de su intimidad.

En esta relación participan los siguientes elementos subjetivos:

• el interesado que es el titular del derecho de intimidad recogido en los datos objeto de tratamiento y que se pretende tutelar a través de la LPD.
• el responsable del tratamiento que es toda persona física o jurídica que decide sobre la finalidad, contenido y uso del tratamiento.

• El encargado es toda persona física o jurídica que presta sus servicios al responsable del tratamiento.

Estos sujetos, fundamentalmente el responsable del tratamiento y el interesado tienen una serie de deberes y derechos con el fin de que esta relación jurídica se realice sin que se realice ninguna vulneración a los derechos de las personas y, más concretamente, al derecho de intimidad.

• Responsable del tratamiento:
• Deber de adoptar medidas de seguridad (estas medidas vienen detalladas en el RD 994/1999

Prevé tres niveles: básico, medio y alto en relación a la naturaleza de la información tutelada.

• Deber de secreto = deber de secreto profesional
• Deber de información sobre el tratamiento al interesado de los datos, inmediatamente si se obtienen de forma directa o posteriormente si se obtienen a través de terceros. (Art. 5.1. y 4)
• Deber de respecto a la calidad de los datos de forma que sean pertinentes, dirigidos al fin para el que fueron recabados, actualizados, accesibles al interesado y recogidos de forma legítima.
• Deber de informar sobre cesión de datos a terceros indicando la finalidad de la cesión, naturaleza de datos, y nombre y dirección de cesionario. Este deber no está sancionado expresamente por legislador lo que ha sido claramente criticado por la doctrina.
• Usuario interesado
• Derecho a no soportar valoraciones automáticas. (art. 13). Nos referimos a que el interesado no puede verse sometido a decisiones con efectos jurídicos que se basen únicamente en un tratamiento de datos destinados a evaluar aspectos de su personalidad.
• Derecho de consulta al Registro General de Protección de Datos con el fin de conocer los tratamientos de datos existentes, su finalidad y los responsables. Público y Gratuito
• Derecho de acceso. Es el derecho de solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, origen de los datos así como comunicaciones realizadas o a realizar de los mismos. (sólo cada 12 meses excepto interés legítimo)
• Dos apuntes:a) si se solicita en un plazo menor alegando interés legítimo que no es tal, el responsable puede solicitar indemnización por gastos de esa reclamación b) en caso de responsable público, puede mantener el secreto si necesario por razones orden público y social.
• Derecho de rectificación (16). echo del interesado en exigir al responsable del tratamiento que cumpla con el principio de veracidad o calidad de los datos cuando estos sean erróneos o incompletos, justificándolo. Plazo para solucionarlo: 10 días.
• Derecho de cancelación (art. 16). Derecho del interesado a que se excluyan del tratamiento sus datos de carácter personal. Es la resolución de la relación jurídica.

La cancelación no supone la supresión de los datos del fichero, sino que se produce un bloqueo de dichos datos para posibles controles y fiscalizaciones posteriores por parte de las administraciones públicas (corroborar aquí con la LSSI)

En este sentido es importante ver que la LSSI ha hecho hincapié sobre esta obligación al disponer que los proveedores de servicios de internet deben retener los datos de navegación de los usuarios durante el plazo máximo de 1 año.

No obstante, esta disposición es polémica en la medida en que se produce un conflicto de intereses entre la intromisión en la esfera íntima del individuo (rastrear el uso privado que hace en el ámbito de las telecomunicaciones) y los intereses colectivos antes enunciados. Por eso se solicita que se aplique en el más estricto respecto al principio de proporcionalidad.

• Derecho a indemnización (art. 19) es el derecho que tienen los interesados cd. Su derecho se ha visto lesionado o afectado por el responsable o encargado del tratamiento. En realidad estamos ante un caso de responsabilidad extracontractual art. 1902 Cc.

Para la tutela de estos derechos la LOPD prevé un instrumento eficaz: reclamación a la APD quien debe dar una resolución sobre la tutela del derecho infringido supuestamente en un plazo de 6 meses.

Contra estas resoluciones cabe recurso contencioso administrativo.

La LPD prevé la creación de un organismo cuya función será velar por la tutela de los datos personales al amparo del cumplimiento de esta ley. De esta forma, se prevé la creación de la Agencia de Protección de Datos.

Se trata de una Autoridad Administrativa independiente compuesta por un:

• órgano unipersonal que es el Director de la APD

El Director es nombrado entre los miembros del Consejo Consultivo por un periodo de 4 años. Tiene total independencia en el ejercicio de su cargo aunque deberá oir siempre al Consejo Consultivo en las propuestas que le realice.

• el Consejo Consultivo.
• el Registro General de Protección de Datos en el que se inscribirán los ficheros que recojan datos personales, sea cual sea su titularidad.
• Área de Inspección de Datos, con competencias en la investigación del cumplimiento de la ley y potestad sancionadora
• Secretaría general, gestión económica y administrativa, así como labor informativa al ciudadano a través del Área de Atención al Ciudadano.

Las funciones de la APD son (37):

• velar por el cumplimiento de la legislación sobre prot. Datos y controlar su aplicación
• emitir las autorizaciones previstas en la ley
• dictar instrucciones para adecuar los tratamientos a la ley
• atender las reclamaciones de interesados afectados
• proporcionar información a las personas en función de su derecho de acceso
• requerir a responsables y encargados de tratamientos la adopción de medidas adecuadas a ley, y cancelación o cesación de tratamientos o ficheros que no cumplan la ley
• potestad sancionadora
• informar de las disposiciones grales, realizadas al amparo de esta ley
• recabar información y ayuda a responsables de ficheros si la estima necesaria
• velar por la publicidad de la existencia de ficheros (publicará una lista periódica)
• memoria anual a Mº Justicia
• Autorización a transferencia internacional de datos personales

• debe exponerse a la hora de inscribir el fichero en el Registro Gral. De Protección de Datos, la existencia de transferencias internacionales
• estas transferencias sólo podrán realizarse a países que proporcionen un nivel de protección equiparable al de la LOPD. Se consideran países seguros los E.m. de la UE, los integrados en el Espacio Económico Europeo y otros Estados sobre los que la Comisión haya declarado que cumplen un nivel adecuado de protección.

• En realidad, el problema se da cuando la transferencia de datos se realiza con países terceros. En estos casos, sólo será posible la transferencia cuando se garantice un nivel de protección adecuado y equiparable a la LOPD. Para reforzar esta garantía se exige la autorización previa del Director de la APD que sólo la otorgará si se reúnen las garantías adecuadas.

Estas garantías se entiende que se dan si el responsable del fichero aporta un contrato escrito, entre transmitente y destinatario en el que consten las garantías necesarias de respeto a los derechos y libertades fundamentales de los afectados.

EXCEPCIONES

No obstante, en caso de que el afectado de su consentimiento inequívoco e informado a la transferencia prevista, no será necesaria otro tipo de medida.

También se prevé excepciones en caso de que sea necesario para la ejecución de un contrato entre afectado y responsable del fichero, cuando sea necesaria para celebrar un contrato en interés del afectado, o cuando se trate de transferencias dinerarias.

En caso de que sea necesaria para salvaguardar un interés público importante o defensa de un derecho en un proceso judicial.

También cuando sea necesaria para salvaguardar un interés vital del interesado (art. 26 Directiva 95/46)

En todo caso, siempre debe informarse al titular de los datos de la existencia de esta transferencia internacional.

 

ENVIO DE MENSAJES PUBLICITARIOS

Esta práctica es muy habitual en el ámbito de internet: conseguir datos personales de potenciales consumidores para poder enviarles mensajes comerciales, publicitarios o promocionales.

La LOPD lo regula en su art. 30 deja claro que las personas que realizan este tipo de actividad comercial sólo podría llevarla a cabo cuando los datos personales de los destinatarios los habían recogido de fuentes accesibles al público (guías telefónicas, censo, etc..) o en el caso de haber sido facilitado por los propios interesados u obtenidos con su consentimiento.

De esta manera, el legislador pretendía limitar el uso del conocido SPAM o correo comercial no deseado del que tanto se ha abusado.

Sin embargo, vemos como esta restricción ha ido a más desde la entrada en vigor de la Ley de Servicios de la Sociedad de la Información que en su art. 21 y 22, prevé que queda prohibido el envío de publicidad por medios electrónicos cuando previamente no hubieran sido solicitadas o expresamente autorizadas por los usuarios de las mismas.

LSSI. Ley 34/2002, de 11 de julio

(por el ppio. Especialidad, en caso de conflicto ver si la empresa que realiza el acto lo hace cumpliendo con la función de prestar un servicio a través de las nuevas tecnologías. Si fuera así, la LSSI)

Como se ve, es necesario pues el consentimiento expreso del destinatario. Este consentimiento además es revocable en cualquier momento por lo que se debe facilitar al usuario los medios necesarios para poder ejercer este derecho.

No obstante, y posterior a esta LSSI se ha publicado una directiva que va a sembrar cierta inseguridad en este aspecto en tanto que viene a establecer que se podría realizar el envío de esta publicidad personalizada a aquellos usuarios que hubieran facilitado su dirección electrónica en el curso de una relación comercial previa con el remitente de la publicidad..... siempre y cuando se le informe en cada envío de la posibilidad de oponerse a continuar recibiendo esa publicidad.

Como vemos, hay una mayor flexibilidad por parte de la Directiva lo cual puede provocar cierta inseguridad jurídica ya que habrá actuaciones que mientras no son lícitas por la legislación del país, si lo son para la UE. Sería necesario adaptar la ley lo antes posible para evitar esta situación.

Poner ejemplo de lo que hicimos con quefuede

Los responsables de los ficheros y los encargados de los tratamientos, ya sean de carácter público o privado.

En este último se aplicará el régimen sancionador disciplinario de las Administraciones Públicas.

El incumplimiento de la normativa prevista y que hemos repasado implica la realización de una serie de infracciones que según su alcance social y afección a los derechos de los interesados se clasifican en infracciones leves, graves o muy graves.

Ejemplos:

• leves: No atender, por motivos formales, la solicitud del interesado de rectificación o cancelación de los datos personales objeto de tratamiento cuando legalmente proceda. (prescriben en 1 año)
• Graves: Proceder a la creación de ficheros de titularidad privada o iniciar la recogida de datos de carácter personal para los mismos con finalidades distintas de las que constituyen el objeto legítimo de la empresa o entidad (prescriben en 2 años)
• Muy graves: b) La comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas. (prescriben en 3 años)

Las sanciones que la LPD prevé para estas infracciones pueden ser desde el pago de una cantidad de 600 € para las más leves a los 600.000 € para las más graves.

Algunos datos estadísticos sobre el cumplimiento de la normativa: (VER www APD, intentar sacar más:

• Un 27% de las tiendas virtuales no cumplen con el deber de informar al usuario tal como exige el art. 5.1. LOPD
• Un 36% de los responsables de ficheros no se encuentran inscritos en el Registro de la APD
• Un 54% dde las webs utiliza un canal poco seguro para la transmisión de datos personales.

Estos resultados se arrojaron de un estudio de la APD en el sector de comercio electrónico.

dra. María Teresa Fernández Sánchez       

Coordinadora Relaciones Institucionales y Universidades      

Portal Universia, S.A