Pablo F Burgueño

Las Sentencias no son fuentes accesibles al público

Las Sentencias son públicas. Entonces… ¿Puedo mencionar en mi blog el nombre de un Juez, si estoy analizando una de las sentencia que dictó?

Las sentencias judiciales son públicas, pero no están consideradas como fuentes accesibles al público, según la actual redacción del artículo 3 de la Ley Orgánica 15/1999 y del 7 de su Reglamento de Desarrollo. Por lo tanto, no puede obtenerse (ni publicarse) ningún dato de carácter personal recogido en ellas.

Caso Práctico:

El pasado 15 de julio escribí un artículo titulado Nuevo posit: Jueces de Nuevas Tecnologías, referente a la sentencia que condena a Julio Alonso al pago de una indemnización a la SGAE por no censurar algunos comentarios que sus lectores habían dejado en su blog.

Si os fijáis, en lugar de poner el nombre de los Magistrados, sustituí éstos por unas XXXXXXX. ¿Por qué?

En el post, mencionaba y enlazaba la Sentencia condenatoria del Juicio Ordinario 743/07 y otra sentencia más, la de 26 Feb. 2007 de la Audiencia Provincial de Madrid. Ambas citas están recogidas en la imagen que ilustra esta entrada, recuadradas en verde, precedidas por lo que pudo haber sido el nombre y apellidos del Magistrado Juez de cada una de ellas (recuadrados en rojo). Siguiendo dichos enlaces se puede llegar fácilmente a averiguar quiénes fueron los ponentes en cada uno de los juicios. Por lo tanto, a pesar de no estar escrito el nombre, la mención indirecta podría interpretarse como dato de carácter personal, según el artículo 5.f del Reglamento de desarrollo de la Ley 15/99, ya que se puede identificar a una persona sin más esfuerzo que el que supone hacer un click:

f) Datos de carácter personal: Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.

Debido a que el caso me estaba produciendo alguna que otra duda existencial, elevé una consulta a la Agencia Española de Protección de Datos. Estas fueron sus respuestas:

• Una sentencia no es una fuente accesible al público.
• No pueden obtenerse ni publicarse datos que se hallen en una sentencia.
• En un artículo periodístico sobre una determinada Sentencia, no se puede nombrar al Juez ni a ninguna de las partes intervinientes. No obstante, puede que, en algún caso, quepa alegar el Derecho a la Información para noticias de actualidad.
• Poner un enlace al lugar donde se encuentra el nombre del Magistrado Juez es una práctica correcta.

Por lo tanto, yo ahora podría deciros que “un Juez” ha dictado una sentencia, podría deciros qué sentencia es, enlazarla, mostrárosla o, incluso, darosla y señalaros el nombre del Juez, ¡pero no puedo escribirlo en mi blog!

Debate: ¿El Derecho de Protección de Datos supera al Principio de Publicidad de las Sentencias?

En mi opinión, hay determinados sujetos y colectivos, actores en juicio, sobre quienes el Derecho de Protección de Datos debe prevalecer siempre, como, por ejemplo, los menores de edad, las víctimas de abusos sexuales, las personas que hayan sufrido malos tratos…

En cuanto a los abogados y procuradores considero que siempre deberían quedar protegidos por el Derecho de Protección de Datos, a pesar del Principio de Publicidad.

En cambio, en el caso de Jueces y Magistrados, no veo el motivo o la razón por la cual sus nombres deban quedar ocultos. Estas personas o Instituciones públicas imparten justicia en nombre del Pueblo. En muchos casos llegan incluso a determinar o instaurar criterios jurídicos de interpretación legislativa. Sus nombres aparece como referencia en bases de datos de jurisprudencia, mementos, libros de derecho, anuarios… ¿Tiene sentido mantener este límite sobre la publicación de sus nombres en medios de comunicación? En mi opinión, no lo tiene.

Pero, si bien considero que las Sentencias deberían incluirse en el elenco de fuentes accesibles al público (al menos, para finalidad informativa y en referencia a los Magistardos y Jueces), la realidad es que no lo están, y habrá que actuar en consecuencia.

Aquí os dejo el artículo 7 del REAL DECRETO 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, para que consultéis qué fuentes están actualmente consideradas como accesibles al público:

Artículo 7. Fuentes accesibles al público.

1. A efectos del artículo 3, párrafo j) de la Ley Orgánica 15/1999, se entenderá que sólo tendrán el carácter de fuentes accesibles al público:

a) El censo promocional, regulado conforme a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre.

b) Las guías de servicios de comunicaciones electrónicas, en los términos previstos por su normativa específica.

c) Las listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección profesional e indicación de su pertenencia al grupo. La dirección profesional podrá incluir los datos del domicilio postal completo, número telefónico, número de fax y dirección electrónica. En el caso de Colegios profesionales, podrán indicarse como datos de pertenencia al grupo los de número de colegiado, fecha de incorporación y situación de ejercicio profesional.

d) Los diarios y boletines oficiales.

e) Los medios de comunicación social.

2. En todo caso, para que los supuestos enumerados en el apartado anterior puedan ser considerados fuentes accesibles al público, será preciso que su consulta pueda ser realizada por cualquier persona, no impedida por una norma limitativa, o sin más exigencia que, en su caso, el abono de una contraprestación.

Nota: En el caso del Nuevo posit: Jueces de Nuevas Tecnologías, podría haber alegado el Principio de calidad informativa y el de publicidad, entre otros. Pero quise dejarlo así para dar pie a esta explicación que, seguro, a muchos les abrirá los ojos sobre lo irracional que puede llegar a ser la normativa actual de protección de datos.

Carta de Servicios de la AEPD

La Agencia Española de Protección de Datos (AEPD) pone a disposición de los ciudadanos su Carta de Servicios, un documento previsto en el Real Decreto 951/2005 (por el que se establece el marco general para la mejora de la calidad en la Administración General del Estado), que constituye el instrumento a través del cual la Agencia informa a los ciudadanos y usuarios sobre los servicios que tiene encomendados, sobre los derechos que les asisten en relación con aquellos y sobre los compromisos de calidad en su prestación.

A través de 16 capítulos redactados en lenguaje claro, conciso y cercano a los ciudadanos, la Agencia transmite cuáles son sus funciones y objetivos, la normativa por la que se rige y la forma en la que se relaciona con los ciudadanos en cada una de las fases de sus procesos. En particular, destaca el apartado VIII sobre Niveles y Compromisos de calidad ofrecidos. En dicho apartado, la Agencia se compromete a:

• Mantener su página web actualizada con una periodicidad de entre 15 días y un mes
• Llamar al ciudadano si la consulta que plantea éste por teléfono no pudo ser respondida en el acto
• Reducir los tiempos de espera en consultas presenciales para que nunca superen los 30 minutos
• Dar contestación a las consultas recibidas en papel en un plazo máximo de 20 días
• Dar contestación a las consultas recibidas por e-mail en un plazo inferior a 10 días
• Informar en el plazo de 20 días sobre la disponibilidad de sus publicaciones, que serán siempre gratuitas para los ciudadanos
• Contestar a las quejas y sugerencias en el plazo de 20 días

De esta forma, la Agencia se suma a la lista de órganos, organismos y entidades de la Administración General del Estado que han decidido perfeccionar un “compromiso con la excelencia” (como nos gusta decir a los politólogos) tendente a mejorar la relación Administración-Ciudadano, tal y como dispone el Capítulo III del RD 951/05. En definitiva, la AEPD da un paso más hacia el administrado convirtiendo al contribuyente en un verdadero “cliente” de servicios mejorados y de calidad. Desde aquí, mis felicitaciones (y agradecimientos) a la Agencia.

Huella dactilar de alumnos de un colegio

La cuestión planteada en este caso es si se puede establecer un sistema de control para gestionar las ausencias y retrasos de los alumnos, basado en la obtención de la huella dactilar de éstos.

Respuesta para no juristas: No se puede porque es un dato excesivo para la finalidad pretendida

Respuesta para juristas:

La AEPD va a tener en cuenta dos argumentos para determinar si el dato biométrico es excesivo

A.- Artículo 4.1 de la Ley Orgánica, “Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido”.

B.- Documento de Trabajo sobre biometría, de fecha 1 agosto de 2003, del Grupo de trabajo creado por el artículo 29 de la Directiva 95/46/CE: La obtención de la huella dactilar como medio para identificar a los alumnos en el centro resulta excesivo y desproporcionado, para dicha finalidad.

Por tanto, a juicio de la AEPD, el tratamiento de la información biométrica de huella dactilar resulta excesivo y desproporcionado para el fin que motiva dicho tratamiento, teniendo en cuenta que se efectuaría un tratamiento de datos de menores de edad para controlar el acceso de los alumnos al centro escolar.

Fuente: Informe 368/2006

Responsabilidad sobre las historias clínicas en clínica privada

El Informe Jurídico 106/2008 de la Agencia Española de Protección de Datos resuelve una de las cuestiones básicas sobre responsabilidad de los médicos frente a las historias clínicas de sus pacientes: ¿Quién es el responsable de los datos clínicos? ¿El médico/facultativo o la clínica?

La AEPD deduce a partir de los artículos 14, 17.1 y 17.5 de la Ley 41/2002 que la relación que vincula al Centro Sanitario con sus facultativos implica una determinada relación de dependencia de éstos con el Centro (de tipo laboral, mercantil o análoga), siendo los pacientes del Centro y no de cada uno de los facultativos, por lo que corresponde al Centro Médico el tratamiento y custodia de las historias clínicas de los pacientes, con el cumplimiento de las obligaciones impuestas por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, además de las previstas en la ya citada Ley 41/2002.

En consecuencia, la custodia de las historias clínicas estará bajo la responsabilidad de la dirección del centro sanitario y no del profesional facultativo.

Formas de obtener el consentimiento mediante web

Recomendaciones para no juristas: Mantén una política de privacidad en tu web, no permitas que el usuario introduzca datos sin haber sido informado previamente de todos los extremos que indica la Ley 15/1999 y recuerda que ante una inspección la carga de la prueba es tuya. (Aviso: con seguir estas recomendaciones no basta. Consulta a un abogado de protección de datos especializado en Nuevas Tecnologías)

Respuesta para juristas:

El artículo 6.1 de la Ley Orgánica 15/1999 dispone que “El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”. Este consentimiento deberá ser, conforme a lo dispuesto en el artículo 3 h) “libre, inequívoco, específico e informado”, debiendo en consecuencia aparecer vinculado a las finalidades determinadas, específicas y legítimas que justifican el tratamiento de los datos

La manifestación de los requisitos legalmente exigidos al consentimiento del afectado se realiza en la práctica a través de la información al afectado, en el momento de la recogida de sus datos de carácter personal, de los extremos esenciales relacionados con el tratamiento, recabando a tal efecto su consentimiento en relación con los aspectos específica e inequívocamente hechos constar en la mencionada información. El consentimiento podrá obtenerse de forma expresa o tácita.

El deber de información al afectado aparece regulado en la Ley Orgánica 15/1999 por su artículo 5, cuyo apartado 1, aplicable al supuesto de recogida de datos del propio afectado, como sucedería en el caso descrito en la consulta, establece que los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:

1. De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.
2. Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
3. De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
4. De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
5. De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

En el supuesto de que la recogida de datos se realice a través de una página web, las obligaciones a las que acabo de referirme, suelen cumplirse mediante formularios y cláusulas a los que se accede a través de enlaces como pueden ser “aviso legal” o “política de protección”. También es importante incluir algún tipo de “link” de este tipo en relación con los derechos de los interesados de rectificación, cancelación, acceso y oposición.

En cuanto al consentimiento informado, este habrá de recabarse de tal forma que resulte imposible la introducción de dato alguno sin que previamente el afectado haya conocido la advertencia que contenga las menciones a las que me he referido antes.

Por último indicar a efectos ilustrativos que el Real Decreto 1720/2007 establece en su artículo 14 la fórmula de los 30 días para recabar el consentimiento tácito inequívoco, con las limitaciones legales expresas que ello conlleva.

Además el citado texto legal viene a establecer en el artículo 12.3 que “Corresponderá al responsable del tratamiento la prueba de la existencia del consentimiento del afectado por cualquier medio de prueba admisible en derecho”; por tanto cualquiera que sea la forma en la que se recabe el consentimiento, deberá el responsable de disponer de las pruebas que acredite que dispone del consentimiento del afectado para tratar sus datos.

Fuente: Informe Jurídico 93/2008 de la AEPD

¿Debe incluirse en una Historia Clínica el dato de si una persona llevaba puesto el cinturón de seguridad?

Respuesta para no juristas: Sólo debe incluirse si resulta relevante para facilitar la asistencia sanitaria de la paciente o aporta información veraz y actualizada acerca de su estado de salud. En caso contrario, es un dato excesivo y debe eliminarse.

Respuesta para juristas:

El artículo 18.1 de la Ley 41/2002 se limita a regular el derecho de acceso a la historia: “El paciente tiene el derecho de acceso a la documentación de la historia clínica”.

El hecho de que la Ley 41/2002 no regule los derechos de rectificación y cancelación no implica, sin embargo que el paciente no pueda ejercitar tales derechos al amparo de lo dispuesto en la Ley Orgánica 15/1999, siendo sus preceptos de directa aplicación.
La estimación de la rectificación o cancelación solicitada quedará condicionada al cumplimiento de dos requisitos esenciales:

1. la acreditación de la procedencia de la rectificación o cancelación
2. que el supuesto no se encuentre recogido en alguno de los que implican su denegación, como el del 32.1 referente a la conservación de datos “durante los plazos previstos en las disposiciones” aplicables.

En el presente supuesto, el artículo 17.1 de la Ley 41/2002 dispone que “Los centros sanitarios tienen la obligación de conservar la documentación para la debida asistencia al paciente durante el tiempo adecuado a cada caso y, como mínimo, cinco años contados desde la fecha del alta de cada proceso asistencial”.

Ello podría conducir a la desestimación de la solicitud de rectificación solicitada. Sin embargo, el artículo 4.1 de la Ley Orgánica 15/1999 dispone que “Los datos de carácter personal sólo se podrán recoger para su tratamiento (…) cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido”.

Y añade el párrafo tercero del artículo 8.6 del Reglamento que “Una vez cumplido el período al que se refieren los párrafos anteriores, los datos sólo podrán ser conservados previa disociación de los mismos, sin perjuicio de la obligación de bloqueo prevista en la Ley Orgánica 15/1999, de 13 de diciembre, y en el presente Reglamento”.

Por este motivo, debe analizarse si el tratamiento del dato referido a si la paciente llevaba o no cinturón de seguridad resulta adecuado a la finalidad que justifica el tratamiento de los datos contenidos en la historia clínica.

El Grupo del artículo 29 de la Directiva 95/46/CE, en su Documento de trabajo WP131 indica que “La “exhaustividad” de un expediente médico es prácticamente imposible, y tampoco es deseable: solamente debería introducirse en un HME la información relevante”, aclarando que “según los principios de pertinencia y proporcionalidad de la recopilación de datos, toda compilación de datos debe limitarse a aquellos datos que sean adecuados, pertinentes y no excesivos con relación a los fines para los que se recaben y para los que se traten posteriormente” (artículo 6, apartado 1, letra c), de la Directiva).

El artículo 15 de la Ley 41/2002 señala que “la historia clínica incorporará la información que se considere trascendental para el conocimiento veraz y actualizado del estado de salud del paciente”.

El artículo 10.1 d) del Decreto 101/2005, aplicable a la consultante señala que la hoja de anamnesis y exploración física “es el documento donde se refleja la información obtenida de la entrevista inicial realizada al paciente. En la anamnesis se ha de consignar siempre el motivo del ingreso, los antecedentes familiares y los personales a que se refiere el artículo 9.2.d) que puedan tener relación con la asistencia que se presta, la enfermedad actual y los datos de la exploración física”. No obstante, el artículo 9.2 d) del decreto fue anulado por la Sentencia de la Sala de lo Contencioso-Administrativo de Valladolid del Tribunal Superior de Justicia de Castilla y León, de 29 de mayo de 2007. Por tanto, el dato al que se refiere la consulta, no se incluye necesariamente en el contenido de la hoja de anamnesis, por lo que su inclusión en la historia clínica podría exceder el juicio de proporcionalidad exigido por el artículo 4.1 de la Ley Orgánica 15/1999, en conexión con dichas normas.

En consecuencia, debería procederse a la cancelación del contenido de la historia clínica del dato referido a si la paciente llevaba puesto el cinturón de seguridad si dicho dato no resulta relevante para facilitar su asistencia sanitaria ni aporta información veraz y actualizada acerca de su estado de salud.

Fuente: Informe 0173/2008 de la AEPD

Microcámaras de espionaje en restaurantes de lujo

Esta semana la revista Época publica un artículo de investigación sobre videovigilancia con cámaras espía en restaurantes de lujo, como Zalacaín (Madrid), Gizeko Wellington (Madrid) o Pitarra (Barcelona), entre otros.

Para realizar la investigación, unos periodistas se acercaron a varios restaurantes de Madrid, Barcelona y Bilbao y, haciéndose pasar por responsables de protocolo de una empresa, registraron las salas y preguntaron a los responsables de estos restaurantes por ciertos artilugios y detalles sospechosos en la ornamentación de los locales. Así, los reporteros fueron descubriendo multitud de cámaras y micrófonos en los lugares más insospechados, ayudados por los ingenuos responsables de los locales que no dudaron ni un momento en señalar las ubicaciones concretas de estos dispositivos. El artículo no tiene desperdicio.

A partir de este punto, haré una serie de comentarios y valoraciones jurídicas basadas únicamente en los datos que se aportan en el artículo periodístico. Por lo tanto, no constituyen en ningún caso asesoramiento legal.

Desde un punto de vista penal: Si consideramos que los responsables de dichos restaurantes colocaron las cámaras con la intención de descubrir secretos o vulnerar la intimidad de otros sin su consentimiento, su conducta se encontraría tipificada como delito en el artículo 197.1 del Código Penal:

197.1 CP: El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales o intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses.

En este caso, si procediese, el juez de lo penal valoraría la existencia de una acción típica, antijurídica y culpable. Estos cuatro elementos (acción, típica, antijurídica y culpable) son las características o condiciones básicos de cualquier delito. Si concurren, podremos decir que nos encontramos frente a una conducta aparentemente delictiva y el juez tendría, entonces, que valorar el resto de circunstancias y atender al caso concreto.

En cuanto a la Protección de Datos de carácter personal: Nos encontramos frente a una serie de vulneraciones notables de la Ley Orgánica de Protección de Datos, su Reglamento de desarrollo y otras disposiciones específicas sobre videovigilancia como la Instrucción 1/2006 de la Agencia Española de Proteccion de Datos. En particular, las siguientes:

• Información en la Recogida de datos: Antes de obtener las imágenes o el audio por medio de cámaras y dispositivos de videovigilancia, hay que informar a cada una de las personas que vayan a ser grabadas sobre:
  • La existencia de un fichero o tratamiento de datos de carácter personal
  • La finalidad de la recogida de éstos
  • Los destinatarios de la información.
  • El carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.
  • Las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
  • La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
  • La identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
• Modo correcto de informar: Puesto que informar a todas y cada una de las personas puede resultar imposible, la Instrucción 1/2006 plantea un modo alternativo e igualmente válido:
  
  • Colocar al menos un distintivo informativo ubicado en lugar suficientemente visible.
  • Y tener a disposición de los interesados impresos en los que se detalle la información prevista en el artículo 5.1 de la Ley Orgánica 15/1999, que son los puntos que detallé en el apartado anterior.
• Consentimiento del afectado: En este caso, informando del modo correcto obtendremos el consentimiento inequívoco del afectado.
• Calidad de los datos (artículo 4 LOPD): Los datos han de ser adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido. Además, se prohibe la recogida de datos por medios fraudulentos, desleales o ilícitos.
• Conservación de grabaciones: En principio, las grabaciones han de ser canceladas (suprimidas) antes de 1 mes. Esta obligación obedece al principio de calidad de los datos.
• Comunicación de datos (artículo 11): En el artículo no se especifica quién tiene acceso a las grabaciones, pero, en cualquier caso, éstas sólo deberían haber sido comunicadas a un tercero para el cumplimiento de fines directamente relacionados con las funciones de vigilancia, con el previo consentimiento del interesado. La simple visualización de imágenes sería una comunicación de datos
• Deber de secreto: Este, paralelo al 197.1 del CP, aborda la necesidad que el responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal estén obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

Por cierto, tras realizar varias búsquedas en el Registro General de la AEPD, no he encontrado nada referente a ficheros de videovigilancia de los restaurantes por lo que parece que también se ha incumplido la obligación de inscripción previa de ficheros de datos de carácter personal. Seguiré buscando…

Selección de noticias sobre Protección de Datos 2008

Como la Agencia de Protección de datos aún no tiene feed al que suscribirse, a pesar de haber renovado su web recientemente, os he recopilado aquí las principales novedades de lo que llevamos de año, en protección de datos:

Noticias:

• “La AEPD dirige nueve recomendaciones a los poderes públicos sobre ámbitos como Internet, la Administración de Justicia y los medios de comunicación”. (link a noticia)
  
• El director de la AEPD propone el desarrollo de una norma con rango de ley que permita un equilibrio entre la protección de derechos de autor y el derecho a la protección de datos (link a noticia).
• Los buscadores de Internet no deberán conservar los datos personales más de seis meses (link a noticia comentada).
• Publicado en el BOE el Reglamento de Protección de Datos (link a noticia comentada)
  

Documentación:

• MEMORIA 2007 de la Agencia Española de Protección de Datos (link a documento comentado)
  
• Guía de Recomendaciones destinada a padres y niños para navegar de manera segura por Internet (link a documento)
• Barómetro de febrero de 2008 (link a documento comentado).

Informes:

• Límites del acceso a datos de salud de pacientes de centros sanitarios de interrupción voluntaria del embarazo, por parte de las Administraciones Públicas en la inspección sanitaria (link)
• Novedades del Reglamento Empresarios individuales (link)
• Medidas de seguridad en los ficheros de nóminas y demás especialidades (link a informe 1, link a infoeme 2)
• Formas de obtener el consentimiento mediante web. Consentimientos tácitos (link)
• Responsabilidad sobre las historias clínicas en clínica privada (link)
• Videocámaras en comunidades de propietarios (link)

Resoluciones:

• Este apartado lo comentaremos otro día porque, para variar, la página de la Agencia ha dejado de funcionar y no puedo acceder a los links (resoluciones 2008).

Memoria 2007 de la AEPD

La Agencia Española de Protección de Datos acaba de publicar la Memoria 2007. Aquí os dejo algunos datos impactantes:

• Importe total de las sanciones impuestas en 2007: 19,6 millones de euros.
• Comunidad Autónoma con más sanciones: Madrid, con el 63,1% del total.
• Crecimiento del número de procedimientos sancionadores resuletos: +32% respecto al año anterior.
• Recursos contra la AEPD ante la Audiencia Nacional desestimados: 116 de 158.
• Incremento de denuncias ciudadanas: 7% (con un total de 1.624)
• Sectores más afectados: Publicidad, Servicios de Internet, Comunicaciones electrónicas comerciales, Prospección comercial, Telecos y Entidades financieras.
• La solicitud de tutelas de derecho aumentaron en un 54% respecto a 2006.
• Se han incrementado en más de un 400% las investigaciones y denuncias sobre videovigilancia.

Cumplir con la normativa de protección de datos es una tarea compleja y requiere de amplios conociemientos tecnico-jurídicos en la materia o estar asesorado por un buen abogado de protección de datos. Quizá por este motivo, la aplicación del artículo 45,5 de la LOPD (que es el que permite rebajar las sanciones) ha sido mayor en 2007, llegando a minorar el 38% de las sanciones impuestas por la Agencia. Por medio del 45.5, la AEPD puede aplicar sanciones de un grado inferior, con lo que una multa por infracción muy grave (entre 300.506,05 y 602.614,12 euros) pasaría al tramo inferior (entre 60.101,21 y 300.506,05 euros); y una grave podría ser sancionada con tan solo 6.000 euros ó 600 euros.

Propiedad Intelectual vs Protección de Datos. Las obras fotograficas

La semana pasada, durante las jornadas sobre Imágenes y Propiedad Intelectual, mi amigo César Iglesias, abogado especializado en las mismas materias que yo, me alentó ha estudiar una cuestión bastante curiosa: ¿En qué forma está sujeto al derecho de cancelación de los datos de carácter personal un fotógrafo respecto de sus obras?

Pues bien, supongamos que Mario, fotógrafo profesional, guarda un book de fotos que ha tomado a una serie de modelos. Las obras fotográficas están sucedidas en el cuaderno por el nombre y teléfono de cada una de ellas, constituyendo este book, a todas luces, un fichero de datos de carácter personal.

Mónica, una de las modelos que fue fotografiada, desea que su imagen sea suprimida del book y destruida posteriormente; y así se lo comunica a Mario, quien se niega rotundamente a destruir la fotografía o alterar en modo alguno su cuaderno. Así las cosas, Mónica consulta con su abogado.

En este caso, nos encontramos con dos derechos enfrentados y habrá que ponderar cada uno de ellos así como conocer perfectamente y estar familiarizado con ambas normativas. Por un lado nos encontramos con el derecho del autor sobre su obra, reconocido en la Ley de Propiedad Intelectual (y, en particular, en los artículos 1, 2, 4, 10.h, 14 y 17). Por otro, con el de cancelación de los datos de carácter personal reconocido en el artículo 16.1 LOPD y el 23 del reglamento.

Aunque recientemente, la Sentencia del TUE de 29 de enero de 2008 (Caso Promusicae - Telefónica) resolvió sobre un caso similar de confrontación de estos dos derechos, considero que en el caso que estamos estudiando sí pueden encontrarse ambos derechos por medio de una reinterpretación -extensiva- del artículo 3b del reglamento.

Artículo 3b - Cancelación: Procedimiento en virtud del cual el responsable cesa en el uso de los datos. La cancelación implicará el bloqueo de los datos, consistente en la identificación y reserva de los mismos con el fin de impedir su tratamiento excepto para su puesta a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades. Transcurrido ese plazo deberá procederse a la supresión de los datos.

Si bien es cierto que el artículo no está pensado para supuesto como el de Mario y Mónica, sí podemos considerar que el espíritu (doble) de la norma es el siguiente:

• El legislador ha querido dar preferencia a la aplicación del derecho de protección de datos, determinando que en todo caso los datos han de ser finalmente suprimidos tras concluir el periodo de bloqueo.
• Dicho bloqueo de los datos de carácter personal tiene lugar cuando del tratamiento de los datos hubieran nacido responsabilidades. Es decir, cuando la destrucción de los datos pudiera vulnerar derechos de terceros surgidos del tratamiento, se adoptará siempre la medida del bloqueo.

En el caso de obras fotográficas, la recogida de datos se produce en el momento de la captura de la imagen, siendo todo el proceso posterior a éste, parte del tratamiento (revelado, reproducción, visionado, venta, exposición, etc.). Precisamente, del tratamiento del dato surge el derecho de propiedad intelectual del autor sobre su obra.

Ante una solicitud como la de Mónica, de cancelación de un dato de carácter personal en forma de imagen (artículo 5.f RLOPD), se debe aplicar, al amparo del 3.b del RLOPD, la figura del bloqueo hasta que deje de existir el conflicto de derechos. En ese momento, si pudiese seguir aplicándose el 3.b por existir un derecho de protección de datos, la fotografía tendría que ser destruida. Este momento llegará cuando cese alguno de ellos; veamos cuál desaparece primero:

• Derecho de propiedad intelectual:
  • Derecho patrimoniales: Toda la vida del autor y 70 años más después de su muerte (según el cómputo general del artículo 26 de la Ley de Propiedad Intelectual. Atención a las especialidades del 27). Del 128 ni hablo.
  • Derechos morales: Algunos se extinguen con la muerte del autor pero otros perduran para siempre, unidos al corpus mysticum de la obra (ver diapositiva 48)
• Derecho de protección de datos: Toda la vida de la persona física (ámbito objetivo de aplicación de la LOPD y su reglamento). La normativa de protección de datos no es aplicable a las personas fallecidas, por lo que su derecho se extingue.

Por tanto, mientras el Derecho de Propiedad Intelectual puede llegar a durar eternamente, el de protección de datos desaparece con el fallecimiento de su titular.

La solución: El fotógrafo profesional, Mario, deberá bloquear la fotografía hasta que desaparezca el conflicto de derechos. Este momento llegará con el fallecimiento de Mónica. Durante ese tiempo la fotografía deberá permanecer inaccesible. De esta forma se respeta el derecho de la titular de los datos y no se dañan -en exceso- los del autor. Se ha producido lo que se denomina “ponderación de derechos”.

Tras la muerte de Mónica, cabría considerar por parte de sus herederos si el desbloqueo de los datos vulnera el derecho fundamental al honor del 18 de la Constitución. Pero esa ya es harina de otro costal.

Nota: El caso es inventado y la de la foto NO es Mónica.