Si es legal, es legal. Campaña de FACUA

www.sieslegaleslegal.org

Es la original campaña de FACUA, en contra de la criminalización de los usuarios de Internet.

Apúntate para apoyar esta campaña

APEP presenta ACP. APEP Certificación de privacidad

Presentada la primera certificación en privacidad y protección de datos de ámbito nacional.

La conocida como ACP (APEP Certified Privacy) se convierte en la primera certificación en materia de protección de datos de carácter personal y privacidad existente en nuestro país.

Toda la información disponible se puede encontrar en: http://www.apep.es/acp

SICARM 2010

Los Retos Jurídicos de la Protección de los Datos Personales Días 19, 20 y 21 de mayo de 2010

 

Un año más, SICARM 2010 vuelve a acoger estas jornadas en la décima celebración de la feria. A lo largo de los tres días de duración se ofrece un foro a especialistas, investigadores y personal para que contrasten sus experiencias y formulen propuestas de protección al público asistente.

La protección de los datos de carácter personal se encuentra actualmente ante un desafío de enorme relevancia en la sociedad de la información y las comunicaciones, fundamentalmente como consecuencia de la generalización del uso de Internet en todos los ámbitos que ha tenido lugar en los últimos años, de manera que es necesario llevar a cabo relevantes adaptaciones en el enfoque jurídico en que tradicionalmente se ha basado la garantía de este derecho.

 Más información

INTECO – Guías redes sociales

INTECO ha presentado 12 guías para la la configuración de la privacidad y seguridad de las redes sociales.

El Observatorio de la Seguridad de la Información de INTECO, como parte de un proyecto conjunto con la Universidad Politécnica de Madrid (UPM), publica una serie de 12 guías con el objetivo de servir de ayuda a los usuarios a la hora de configurar la privacidad y mantener la seguridad de sus perfiles en las principales redes sociales.

El análisis se estructura conforme a los tres momentos clave en los que es posible identificar riesgos para la seguridad y privacidad en este tipo de plataformas abiertas:

1. Alta como usuario.
2. Participación en la red social.
3. Baja del servicio.

La información utilizada para la elaboración de estas guías ha sido directamente obtenida en los sitios web de cada una de las redes sociales analizadas.  Tienen como finalidad ser una ayuda para los usuarios de estos servicios, sin pretender, en ningún caso, sustituir la información y soporte ofrecidos por parte de las propias plataformas.

Página de descarga en INTECO

Informe AEPD: la videovigilancia tras la ley omnibus

La Agencia Española de Protección de Datos ha publicado en su portal el informe 0650/2009, donde analiza la situación de la videovigilancia, tras la entrada en vigor de las leyes:

• Ley 17/2009 sobre el libre acceso a las actividades de servicios y su ejercicio (esta norma es las incorporación a nuestro ordenamiento jurídico de la Directiva 2006/123/CE del Parlamento Europeo y del Consejo, de 12 de diciembre de 2006, relativa a los servicios en el mercado interior,
• Ley 25/2009 de modificación de diversas leyes para su adaptación a la Ley sobre el libre acceso a las actividades de servicios y su ejercicio.

A  continuación un pequeño resumen del mencionado informe:

La consulta plantea, si la entrada en vigor de la Ley 25/2009, de 27 de diciembre, de modificación de diversas leyes para su adaptación a la Ley sobre el libre acceso a las actividades de servicios, modifica el criterio hasta ahora mantenido por la Agencia Española de Protección de Datos, en relación con el tratamiento de las imágenes a través de sistemas de videovigilancia por razones de seguridad.

La postura de la Agencia en esta materia se fundamenta en la Instrucción 1/2006, de 8 de noviembre de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.

Esta Instrucción, entre otros requisitos, establece la necesidad de legitimación para que el tratamiento de los datos de carácter personal sea lícito.

Este precepto supone por tanto que o se obtiene el consentimiento de cada uno de los que transiten por los lugares en lo que se encuentren instaladas las cámaras o se cumplen los requisitos que la legislación en a materia establecen para que el tratamiento sea legítimo.

Dado que resulta prácticamente imposible obtener el consentimiento, entendemos que para que sea legítimo el tratamiento éste deberá habilitarse en una Ley.

La modificación operada en la Ley de Seguridad Privada por la Ley 25/2009, …, afecta de manera significativa a la legitimación para el tratamiento de las imágenes por razones de seguridad.

Al dar una nueva redacción el artículo 5.1 e) de la ley de Seguridad Privada, que es el que sostiene la fundamentación para adecuar a la Ley Orgánica 15/1999 el tratamiento de las imágenes, resulta necesario ajustar la legitimación a los nuevos criterios fijados en la Ley 25/2009.

… el artículo 14 de la Ley 25/2009 donde señala que “La Ley 23/1992, de 30 de julio, de Seguridad Privada, queda modificada en los siguientes términos:

Uno. Se modifica la letra e) del artículo 5.1, que queda redactada como sigue:«e) Instalación y mantenimiento de aparatos, dispositivos y sistemas de seguridad, de conformidad con lo dispuesto en la Disposición adicional sexta».

Dos. Se añade una Disposición adicional sexta, con la siguiente redacción: «Disposición adicional sexta. Exclusión de las empresas relacionadas con equipos técnicos de seguridad.

Los prestadores de servicios o las filiales de las empresas de seguridad privada que vendan, entreguen, instalen o mantengan equipos técnicos de seguridad, siempre que no incluyan la prestación de servicios de conexión con centrales de alarma, quedan excluidos de la legislación de seguridad privada siempre y cuando no se dediquen a ninguno de los otros fines definidos en el artículo 5,….”

Por tanto, la reforma legal permite a cualquier empresa o particular realizar las actividades que se han descrito, sin necesidad de cumplir los requisitos de autorización del Ministerio del Interior, …

…, la mencionada disposición determina que cualquier particular o empresa cuya actividad no sea la propia de una empresa de seguridad privada podrá; “vender, entregar, instalar y mantener equipos técnicos de seguridad” sin necesidad de cumplir las exigencias previstas en la Ley de Seguridad Privada para tales empresas. De este modo, dado que la Ley permite la instalación y mantenimiento de dichos equipos por empresas distintas a las de seguridad privada, legitima a quienes adquieran de estos dispositivos para tratar los datos personales derivados de la captación de las imágenes, sin necesidad de acudir a empresas de seguridad privada, siendo dicho tratamiento conforme a lo previsto en la Ley Orgánica de Protección de Datos de Carácter Personal y a las finalidades previstas en la Ley de Seguridad Privada.

Así, al permitir la Ley a cualquier prestador de servicios, vender, instalar o mantener, dispositivos de seguridad sin necesidad de cumplir con ninguno de los requisitos exigidos hasta la fecha…

Por tanto dicho tratamiento de datos, resulta conforme con el artículo 10. 2 a) del Reglamento de desarrollo de la Ley Orgánica 15/1999, aprobado por Real Decreto 1720/2007, “…Lo autorice una norma con rango de ley o una norma de derecho comunitario y, en particular, cuando concurra uno de los supuestos siguientes:

-El tratamiento o la cesión tengan por objeto la satisfacción de un interés legítimo del responsable del tratamiento o del cesionario amparado por dichas normas, siempre que no prevalezca el interés o los derechos y libertades fundamentales de los interesados…”

En definitiva podemos concluir que la Ley 25/2009, de 27 de diciembre, ha venido a modificar el criterio hasta la fecha establecido en lo que se refiere a la legitimación del tratamiento de imágenes a través de cámaras y videocámaras por razones de seguridad.

Al margen de la modificación operada en la Ley de Seguridad Privada y por tanto en la fundamentación de la legitimación para el tratamiento de las imágenes por razones de seguridad, el resto de requisitos exigidos tanto en la Ley Orgánica 15/1999, como en la Instrucción 1/2006 siguen vigentes como son, entre otros:

· los relativos a que las imágenes que se capten sean las necesarias y no excesivas para la finalidad perseguida;

· no se permite grabar la vía pública;

· el deber de informar a los interesados, tanto a través de la colocación de carteles informativos como mediante la puesta a disposición de aquéllos de impresos en que se detalle la información;

· la notificación de la existencia de los ficheros a la Agencia Española de Protección de Datos; o

· la implantación de medidas de seguridad.

Podemos extraer las siguientes conclusiones;

Primera; la Ley permite la instalación y mantenimiento de sistemas de seguridad, por cualquier prestador de servicios, por lo que se legitima el tratamiento de las imágenes derivados de estos dispositivos, sin necesidad de obtener el consentimiento de los interesados,

Segunda; Para la instalación y mantenimiento de los dispositivos de seguridad… que podrá instalarlos y mantenerlos cualquier prestador de servicios.

Tercera; Sólo será necesario que se cumplan los requisitos exigidos tanto en la Ley de Seguridad Privada como en su Reglamento…, cuando el dispositivo de seguridad esté conectado a una central de alarmas.

Cuarto; Resulta necesario seguir cumpliendo con todos los requisitos previstos en la Ley Orgánica 15/1999 y su normativa de desarrollo.

Modificación del RDLOPD

En el BOE de hoy, día 29-01-2010 se ha publicado el RD 3/2010 por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. Así lo he publicado en la entrada anterior a ésta.

Lo que no aparecía tan claro es la modificación del RD 1720/2007, reglamento de desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal, en concreto en su artículo 81.5, apartado b.

Redacción original

5. En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual bastará la implantación de las medidas de seguridad de nivel básico cuando:

a) Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros.

b) Se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad.

Redacción dada por el RD 3/2010 en la disposición adicional 4ª:

Disposición adicional cuarta. Modificación del Reglamento de desarrollo de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, aprobado por el Real Decreto 1720/2007, de 21 de diciembre.

Se modifica la letra b) del apartado 5 del artículo 81 del Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal aprobado por Real Decreto 1720/2007, de 21 de diciembre, que pasa a tener la siguiente redacción:

«b) Se trate de ficheros o tratamientos en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad.»

Se ha eliminado “no automatizados”.

E-administración: esquema nacional de seguridad e interoperabilidad

En el Boletín Oficial del Estado de hoy, 29-01-2010, se han publicado dos Reales decretos

Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. PDF

Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica. PDF

 

Aunque ambas normas esta dirigidas a la Administración Electrónica, pueden servir de guía u orientación en el ámbito privado.

28 de enero, día europeo de la protección de datos

 

Con motivo de este día, la Agencia Española de Protección de Datos ha creado un apartado específico en su Portal

La comisión europea, así como las agencias vasca y madrileña también ha creado diverso materiales específicos.

La “videovigilancia” no nos quita ojo

Artículo publicado en “El Mundo”, edición impresa de Baleares, del día 23 de enero de 2010

El pasado 27 de diciembre entró en vigor la Ley 25/2009, de 22 de diciembre, la llamada Ley Omnibus, por la que se ha adaptado parcialmente al ordenamiento jurídico español la Directiva 2006/123/CE del Parlamento Europeo y del Consejo, cuyo objetivo es facilitar el libre acceso a las actividades de servicios y su ejercicio.

Una de las muchas leyes reformadas para su adaptación a la normativa europea ha sido la Ley 23/1992, de 30 de julio, de Seguridad Privada, con importantes consecuencias en materia de protección de datos de carácter personal en relación con el imparable y creciente fenómeno de la videovigilancia. Las imágenes y voces que se captan por medio de las cámaras de videovigilancia son datos de carácter personal, siendo necesario para su tratamiento contar con el consentimiento de todas aquellas personas cuya imagen y/o voz son captadas, o bien disponer de una norma con rango de Ley que legitime ese tratamiento. La obtención del consentimiento individualizado resulta utópica, así que no queda más remedio que acudir a la vía de la legitimación a través de norma con rango legal. Y esa norma la Agencia Española de Protección de Datos ―AEPD―, determinó que era la citada Ley 23/1992 de Seguridad Privada, por entender que en la misma existía una reserva y obligatoriedad de que este tipo de instalaciones fueren realizadas por empresas de seguridad. De hecho, son numerosas las sanciones económicas impuestas por la AEPD por la realización de estas instalaciones por empresas no reconocidas como tales. Y el sancionado, cabe resaltar, es el beneficiario de la instalación, no la instaladora.

Con la modificación de la Ley de Seguridad Privada a través de la Ley Ómnibus todo cambia, porque excluye del ámbito de la legislación de seguridad privada la venta, entrega, instalación o mantenimiento de equipos técnicos de seguridad ¡entre los que se encuentran las cámaras de videovigilancia! siempre que no incluyan la prestación de servicios de conexión a centrales de alarma, de forma que dichos servicios podrán ser realizados por cualquier prestador de servicios. Es decir, que Ley Ómnibus se carga de un plumazo la cobertura legal designada por la AEPD para legitimar el tratamiento de imágenes de personas con fines de videovigilancia, lo que hacía prioritario y urgente llenar este vacío.

Ante esta situación, la AEPD ha reaccionado bastante rápido y ha publicado en su página web (www.agpd.es) una nota informativa por la que anuncia que se podrá acudir a cualquier prestador de servicios para contratar este tipo de instalaciones sin necesidad de preocuparse de la legitimación para el tratamiento de las imágenes y voces captadas, por cuanto liberalizada la prestación se entiende intrínseca a la misma la legitimación. Corrección de forma aparte (mejor hubiera sido un informe jurídico), la solución adoptada por la AEPD es la más práctica y rápida, subsanando con celeridad el vació jurídico creado y dotando de nuevo de seguridad jurídica al sector demandante de estos servicios, sin perjuicio de que deban seguir cumpliéndose las restantes exigencias dispuestas en la LOPD, su reglamento e Instrucción 1/2006.

Lo que no se ha dicho es que, en nuestra opinión, esta reforma puede afectar seriamente a todos aquellos procedimientos y resoluciones sancionadoras de la AEPD en curso motivados por no haber sido realizada la instalación de videovigilancia por empresa de seguridad privada. Uno de los principios básicos del derecho sancionador es el de aplicación retroactiva de la norma más favorable, y en este caso, desaparecida la obligación de realización de la instalación a través de una empresa de seguridad privada y la liberalización de su prestación, consideramos que desaparece la falta de legitimación que motiva la sanción y, por lo tanto, su fundamento. Y teniendo en cuenta que el régimen sancionador económico previsto en la LOPD es muy severo, sin duda esta reforma provocará a nuestro entender un buen número de peticiones en dicho sentido.

Alfonso Pacheco Cifuentes / Santiago Bermell Girona

Consultores jurídicos en protección de datos de carácter personal

Miembros de la Asociación Profesional Española de Privacidad, APEP

En defensa de los derechos fundamentales en Internet

MANIFIESTO
En defensa de los derechos fundamentales en Internet

Ante la inclusión en el Anteproyecto de Ley de Economía sostenible de modificaciones legislativas que afectan al libre ejercicio de las libertades de expresión, información y el derecho de acceso a la cultura a través de Internet, los periodistas, bloggers, usuarios, profesionales y creadores de internet manifestamos nuestra firme oposición al proyecto, y declaramos que...

1.- Los derechos de autor no pueden situarse por encima de los derechos fundamentales de los ciudadanos, como el derecho a la privacidad, a la seguridad, a la presunción de inocencia, a la tutela judicial efectiva y a la libertad de expresión.

2.- La suspensión de derechos fundamentales es y debe seguir siendo competencia exclusiva del poder judicial. Ni un cierre sin sentencia. Este anteproyecto, en contra de lo establecido en el artículo 20.5 de la Constitución, pone en manos de un órgano no judicial -un organismo dependiente del ministerio de Cultura-, la potestad de impedir a los ciudadanos españoles el acceso a cualquier página web.

3.- La nueva legislación creará inseguridad jurídica en todo el sector tecnológico español, perjudicando uno de los pocos campos de desarrollo y futuro de nuestra economía, entorpeciendo la creación de empresas, introduciendo trabas a la libre competencia y ralentizando su proyección internacional.

4.- La nueva legislación propuesta amenaza a los nuevos creadores y entorpece la creación cultural. Con Internet y los sucesivos avances tecnológicos se ha democratizado extraordinariamente la creación y emisión de contenidos de todo tipo, que ya no provienen prevalentemente de las industrias culturales tradicionales, sino de multitud de fuentes diferentes.

5.- Los autores, como todos los trabajadores, tienen derecho a vivir de su trabajo con nuevas ideas creativas, modelos de negocio y actividades asociadas a sus creaciones. Intentar sostener con cambios legislativos a una industria obsoleta que no sabe adaptarse a este nuevo entorno no es ni justo ni realista. Si su modelo de negocio se basaba en el control de las copias de las obras y en Internet no es posible sin vulnerar derechos fundamentales, deberían buscar otro modelo.

6.- Consideramos que las industrias culturales necesitan para sobrevivir alternativas modernas, eficaces, creíbles y asequibles y que se adecuen a los nuevos usos sociales, en lugar de limitaciones tan desproporcionadas como ineficaces para el fin que dicen perseguir.

7.- Internet debe funcionar de forma libre y sin interferencias políticas auspiciadas por sectores que pretenden perpetuar obsoletos modelos de negocio e imposibilitar que el saber humano siga siendo libre.

8.- Exigimos que el Gobierno garantice por ley la neutralidad de la Red en España, ante cualquier presión que pueda producirse, como marco para el desarrollo de una economía sostenible y realista de cara al futuro.

9.- Proponemos una verdadera reforma del derecho de propiedad intelectual orientada a su fin: devolver a la sociedad el conocimiento, promover el dominio público y limitar los abusos de las entidades gestoras.

10.- En democracia las leyes y sus modificaciones deben aprobarse tras el oportuno debate público y habiendo consultado previamente a todas las partes implicadas. No es de recibo que se realicen cambios legislativos que afectan a derechos fundamentales en una ley no orgánica y que versa sobre otra materia.

 

Este texto se publica multitud de sitios web. Si estás de acuerdo, publícalo también en tu blog.