Paloma Llaneza

Papa Noel, ese señor vestido por Coca Cola, ha decidido mantener la intriga hasta el último momento y dejarnos bajo el arbolito el Reglamento de la LOPD.

Como aún no lo he visto publicado en el BOE, os transcribo la nota del Consejo de Ministros del viernes pasado. Para que no digáis que no tenéis lectura para ese aburridísimo día 25 que os espera.

Por cierto, que aunque soy de las no convencidas por estas fiestas, que no se diga que no hago lo posible para que sean empalagosas hasta la nausea ¡Feliz Navidad!

Aquí va la nota del Consejo de Ministros:

“El Consejo de Ministros ha aprobado un Real Decreto por el que se aprueba el Reglamento que desarrolla la Ley Orgánica de Protección de Datos de carácter personal y se fija su entrada en vigor tres meses después de su publicación en el Boletín Oficial del Estado.

Innovaciones más destacables

La norma incluye expresamente en su ámbito de aplicación a los ficheros y tratamientos de datos no automatizados (en papel) y fija criterios específicos sobre medidas de seguridad de los mismos.

Igualmente, regula todo un procedimiento para garantizar que cualquier persona, antes de consentir que sus datos sean recogidos y tratados, pueda tener un pleno conocimiento de la utilización que estos datos vayan a tener.

Aunque la norma no es de aplicación a personas fallecidas, para evitar situaciones dolorosas a sus allegados se prevé que éstos puedan comunicar al responsable del fichero el fallecimiento y solicitar la cancelación de los datos.

Para mejor garantizar el derecho de las personas a controlar la exactitud y utilización de sus datos personales, se exige de manera expresa al responsable de esos ficheros de datos que conceda al interesado un medio sencillo y gratuito para permitir a aquéllas ejercitar su derecho de acceso, rectificación, cancelación y oposición. En la misma línea, se prohíbe exigir al interesado el envío de cartas certificadas o semejantes, o la utilización de medios de telecomunicaciones que impliquen el pago de una tarifa adicional.

Incremento de medidas de seguridad

Se incrementa la protección ofrecida a los datos de carácter personal en varios aspectos:

* Pasan de un nivel básico de seguridad al nivel medio los ficheros de las Entidades Gestoras y Servicios Comunes de la Seguridad Social que tengan relación con sus competencias y las mutuas de accidentes de trabajo y de enfermedades profesionales de la Seguridad Social. También pasan al nivel medio de seguridad los ficheros que contengan datos de carácter personal sobre características o personalidad de los ciudadanos que permitan deducir su comportamiento.
* Igualmente, desde un nivel básico pasan al nivel medio los ficheros de los que son responsables los operadores de servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas sobre datos de tráfico y de localización. Además, se exige a estos operadores establecer un registro de acceso a tales datos para determinar quien ha intentado acceder a esos datos, fecha y hora en que se ha intentado este acceso y si ha sido autorizado o denegado.
* Desde el nivel básico de seguridad pasan a un nivel alto todos los datos derivados de la violencia de género.
* Sobre éstos y los restantes datos personales incluidos en el nivel alto de seguridad se incorpora la obligación de cifrar estos datos si se encuentran almacenados en dispositivos portátiles.

Para facilitar a los obligados a cumplir las medidas de seguridad, se exige que los productos de software destinados al tratamiento de datos personales incluyan en su descripción el nivel de seguridad, ya sea básico, medio o alto, que permiten alcanzar de acuerdo con el Reglamento.

Por otra parte, se establecen ciertas especialidades para facilitar la implantación de medidas de seguridad, que incidirán sobre todo en el ámbito de las PYMES. Por ejemplo, bastará con aplicar las medidas de seguridad de nivel básico, en lugar de las de nivel alto, respecto a datos especialmente protegidos cuando sólo se utilicen para el pago de cuotas a las entidades de las que los titulares de los datos sean miembros. Lo mismo se permite respecto a los datos referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez, cuando tengan por única finalidad cumplir una obligación legal. Esto es particularmente aplicable a los datos relativos a la afiliación sindical o respecto a la salud en los ficheros de nóminas.

Medidas de seguridad específicas para ficheros y tratamientos no informatizados (papel)

El Reglamento concede una atención especial a estos dispositivos de almacenamiento y custodia de documentos, con el fin de que se garantice la confidencialidad e integridad de los datos que contienen.

* Se exigirá la aplicación de unos criterios de archivo que garanticen la correcta conservación de los documentos y el ejercicio del derecho de oposición al tratamiento, rectificación y cancelación de los datos.
* Los armarios, archivadores y demás elementos de almacenamiento, deberán disponer de mecanismos adecuados de cierre (llave) que impidan el acceso a la documentación por personas no autorizadas. Mientras esa documentación no esté archivada, la persona que esté a su cargo deberá custodiarla, impidiendo que acceda a ella quien no esté autorizado.
* Cuando estos ficheros contengan datos incluidos en un nivel de seguridad alto (ideología, afiliación sindical, religión, creencias, origen racial, salud, vida sexual, datos recabados por la policía sin consentimiento de los afectados o actos derivados de violencia de género), deberán estar en áreas cerradas con el dispositivo de seguridad pertinente (puertas con llave), pero, si por las características de los locales, no puede cumplirse esta medida, se permite aplicar otra alternativa que impida a las personas que no están autorizadas el acceso a esta documentación.

Régimen transitorio de aplicación

Para el cumplimiento de las nuevas medidas de seguridad se establece un régimen transitorio de implantación de las mismas a los ficheros y tratamientos actualmente existentes. En este caso, para los ficheros en soportes no automatizados se fijan plazos de un año, dieciocho meses y dos años para los niveles básico, medio y alto, respectivamente.

En cuanto a los ficheros automatizados, en un año deberán implantarse las medidas de seguridad de nivel medio para aquellos que en la actualidad están clasificados como de nivel básico; en el plazo de un año para implantar las medidas de seguridad de nivel medio y de dieciocho meses para implantar las medidas de nivel alto los ficheros con datos sobre violencia de género y los datos referentes a tráfico y localización en comunicaciones electrónicas disponibles al público, que actualmente están en el nivel básico.

Todos los ficheros, ya sean automatizados o no, que sean creados con posterioridad a la entrada en vigor del presente Reglamento tendrán que cumplir las medidas previstas, sin que exista ningún plazo transitorio de adaptación.

Tratamiento de datos de menores de edad

* Como regla general, se prohíbe pedir o tratar datos de menores de catorce años sin el consentimiento de sus padres Si son mayores de esa edad, no se exige dicho consentimiento, salvo que sean actos que los menores de dieciocho años no puedan realizar sin permiso paterno.
* Si, además, se pretende recoger datos con información relativa a los miembros del grupo familiar o sus características, será necesario que los titulares de los mismos den su consentimiento.
* Además, los menores de edad deberán ser informados con un lenguaje claro, que les sea fácilmente comprensible y se tendrá que garantizar que se ha comprobado la edad del menor y la autenticidad del consentimiento prestado.

Ficheros sobre solvencia patrimonial y crédito

Se introducen importantes novedades en el tratamiento de estos datos.

Para la inclusión de estos datos, además de la existencia previa de una deuda cierta, vencida y exigible que haya resultado impagada, es necesario que no se haya entablado una reclamación de tipo judicial, arbitral o administrativa sobre la misma. Además, es precisa la notificación de la inclusión, impuesta por la Ley Orgánica de Protección de Datos, de forma que no se incluyan aquellas deudas respecto de las que no conste la recepción de dicha notificación.

* En cuanto que la deuda haya sido pagada, deberán ser cancelados de manera inmediata los datos relativos a ella. También se prohíbe mantener en los ficheros al respecto el denominado “saldo cero”.
* Se establece la responsabilidad del acreedor, o persona que actúe por su cuenta, si aporta datos inexactos para su inclusión en el fichero.
* Se regula de forma detallada el deber de información al deudor. En primer lugar, deberá ser advertido de su posible inclusión en el fichero en el momento de suscribir un contrato del que pueda derivarse una deuda futura. En caso de impago, deberá informarse al deudor, tanto con carácter previo a la inclusión del dato en el fichero, como en los treinta días siguientes a la inclusión.

Regulación de actividades de publicidad y prospección comercial

* La entidad que contrate con una empresa la realización de una campaña publicitaria estará obligada a asegurarse de que ésta ha recabado los datos cumpliendo con todo lo establecido en la Ley.
* Será obligatorio el consentimiento del afectado para que los responsables de distintos ficheros puedan cruzar sus datos para promocionar o comercializar productos o servicios.
* Se regulan las denominadas “listas de exclusión” o “listas Robinson” para que cualquier afectado, que obligatoriamente debe ser informado de su existencia, pueda comunicar al responsable de un fichero que no desea recibir publicidad. Estas listas serán de obligada consulta previa por parte de quienes realicen actividades de publicidad o prospección comercial.

Ante la creciente externalización de estos servicios de obtención de datos, se regulan de manera detallada las relaciones entre el responsable del tratamiento y el encargado del mismo. Así, el responsable del fichero que encargue esa contratación tendrá que vigilar que el encargado al que va a contratar reúne las garantías para cumplir el régimen de protección de los datos, en especial en cuanto a su conservación y seguridad.

Como regla general, para que el encargado del tratamiento contratado pueda a su vez subcontratar algunos de los servicios, debe estar autorizado por el responsable del fichero o tratamiento. Se exigen determinados requisitos de actuación por parte del subcontratista, a fin de que el responsable del fichero nunca pierda el conocimiento y control acerca de los tratamientos realizados, en última instancia, en su nombre y su cuenta.

Tarjeta sanitaria

Para facilitar la asistencia sanitaria por el Sistema Nacional de Salud y facilitar la utilización de la tarjeta sanitaria individual, expresamente se aclara que no es necesario el consentimiento del interesado para la comunicación de datos sobre la salud, incluso a través de medios electrónicos, entre los distintos centros, cuando se realice para la atención sanitaria de las personas.

Transferencias internacionales de datos

* Se establece un régimen sistemático de las mismas, con la posibilidad de que el Director de la Agencia Española de Protección de Datos declara la existencia de un nivel adecuado de protección en un Estado respecto del que no exista la Decisión adecuada por parte de la Unión Europea.
* También se aclaran los supuestos en se podrán aportar garantías que permitan la autorización de una transferencia por parte del Director, incluyendo en este apartado las denominadas “binding corporate rules”, o códigos internos de los grupos multinacionales de empresas, cuyo incumplimiento pudiera ser denunciado ante la Agencia.
* Se introduce la opción de suspensión o revocación de una determinada transferencia que hubiera sido previamente autorizada por parte del Director de la Agencia Española de Protección de Datos cuando se hubiera dado incumplimiento o falta de garantías.
* Teniendo en cuenta las sensibilidades que se pudieran dar en la transferencia internacional de datos, sobre todo cuando pueda implicar la deslocalización de servicios prestados en territorio español, se incluirá un procedimiento de autorización de un trámite de información pública, donde se podrán aportar alegaciones sobre la legalidad de estas actuaciones.

Sobre la potestad sancionadora de la Agencia Española de Protección de Datos, no se modifican las infracciones, sanciones o cuantía de las multas, pero sí se introduce un límite temporal de doce meses a la duración de la incoación de un expediente sancionador. Transcurrido ese plazo sin un procedimiento sancionador, estas actuaciones previas se entenderá como caducadas.

Esto redundará, sin duda, en beneficio de los ciudadanos, ya que podrán conocer en un periodo de tiempo razonable si su conducta es o no merecedora de sanción.

Por otra parte, la tramitación de este proyecto se ha caracterizado por la continua colaboración entre en el Ministerio de Justicia y la Agencia Española de Protección de Datos, así como la más absoluta transparencia, llegando a ser comunicado a más de sesenta entidades y asociaciones representativas de derechos e intereses afectados y recibiendo observaciones al respecto de cuarenta de ellas.

Asimismo, se han tenido en cuenta los comentarios y observaciones de las Autoridades Autonómicas de protección de datos que existen en la actualidad (Madrid, Cataluña y País Vasco). Igualmente se han estudiado las cuestiones referentes a la Ley Orgánica de Protección de Datos que durante sus casi ocho años de vigencia han sido planteadas por distintas instancias y Órganos Constitucionales, como las Cámaras Parlamentarias, el Defensor del Pueblo u organismos similares de las Comunidades Autónomas.”

Entre las dos mil cosas a las que me dedico se cuenta la de dirigir la revista jurídica on-line NJBOSCH.

Estamos con eso del nuevo año poniéndola más mona y, ahora que está tan de moda, haciéndola más 2.0.

El espíritu de la revista siempre ha sido el de hacer una publicación de abogados para abogados, con un acercamiento práctico y crítico a los problemas legales. Como a veces lo conseguimos y otras no tanto nos gustaría contar con más colaboradores que no le tengan repeluco a este entorno.

Así que nos preguntábamos si alguno de los que os paseais por aquí os apetecería mandarnos colaboraciones legales o paralegales. Ahora andamos buscando colaboradores que se atrevan con la reforma del Código Penal en materia de tráfico así como con alguien que quiera escribir sobre la nueva (y tardía) regulación sobre los bienes tangibles.

Podéis dirigiros a info_arroba_palomallaneza.com.

¿Os animáis?

Hace un año, aprovechando la costumbre de encerrarme los puentes y fiestas de guardar, me renové (la opción de morirme no la contemplé, la verdad).

No sé si he sido fiel a mis postulados, y seguro que no le he podido dedicar el tiempo que hubiera querido, pero este blog me ha traído amigos 2.0 a los que tengo que agradecer que siempre vuelvan.

Muchas gracias a todos.

… ni la conozco. Al recibir tanta muestra de apoyo me siento cual Lina Morgan bajando a trompicones las escaleras esas que hay en toda revista de variedades: “agredeciidaa, emociooonaaada, solamente puedo deciiiir ¡Gracias por venir!”.

Dicho esto tocan las disculpas: como viajo más que le baúl de la Piquer y, cuando no estoy viajando estoy sacando el trabajo que me he dejado sin hacer, no os he podido contestar en un plazo razonable. Intento ahora poner remedio.

Franchu, los contenidos son responsabilidad de la web en casos como foros, comentarios mientras no sea capaz de identificar al autor de manera directa o al menos de tener datos que permitan su identificación (ley de prensa). En el caso de servicios de hosting o housing o en casos como el de YouTube (a este se le aplica la normativa estadounidense -DMA-) hay que identificarse como dice la LSSI y establecer un mecanismo de comunicación para que puedan avisarte de un contenido ilegal. Te recomiendo que los retires de manera cautelar y que en las condiciones de uso les digas a los usuarios del servicio que te reservas ese derecho sin que haya derecho a indemnización alguna, no vaya a ser que te demande al que le retiras el video.

JF, las fuentes de acceso público son las que contemplan la LOPD, esto es, guías telefónicas y guías profesionales. Internet no es más que un medio, pero cuidado con el “harvesting” de direcciones de correo.

Manoleytor, no entiendo muy bien tu pregunta. Te refieres a cuando prescriben las faltas cometidas en protección de datos? ¿Si por el paso del tiempo se puede legalizar un fichero? Si tienes un fichero que incumple lo tienes incumpliendo mientras lo mantengas y duren sus efectos. Si me preguntas sobre el borrado o cancelación de datos hay varios plazos (4,6, hasta 15 años) dependiendo de los datos de los que se traten. En cuanto a lo del consentimiento que dices, va a ser que no.

Jesús Láiz, es muy interesante tu pregunta. Son medios altamente intrusivos que generan problemas. En el caso de publicidad por sms haciendo uso del geoposicionamiento, te recomiendo que consultes la Ley General del Telecomunicaciones de 2003 que se refiere a la cuestión. El spam a través de Bluetooth explota la vulnerabilidad del terminal y, en lo que yo se, está sin regular. Es como ver la publi que hay en el centro comercial pero poniendo tú el soporte. Me lo miraré a ver que se me ocurre.

César, según la sentencia de sharemule.com no desde una perspectiva penal, pero no excluye una demanda civil. Además esta sentencia puede ser revocada….

Pedro, pues bien escrito por un profesional…

Muchas gracias, Javi. En cuanto a tu primera pregunta, el rechazo sigue en la Ley de Comercio Minorista y no parece que vaya a cambiar por el momento. Es complicado porque es caro mantener una traza que permita demostrar que compró quien es el titular de la tarjeta. En cuanto a la segunda pregunta, ya han creado una fiscalía especial. Lo de los Juzgados por el momento no tiene pinta.

Xavi, muchas gracias a ti. Los problemas de multijurisdicción de internet son ciertos y apasionantes, pero la Directiva de Comercio Electrónico y la LSSI ya solventaron el problema (más o menos…), se aplica la ley de residencia del prestador. Si tu vives en España aunque tu servidor esté en Guinea se aplica la Ley española.

Alex, gracias a ti también. Me temo que os están aplicando la ley de prensa, pero habría que ver la querella. Te paso mi email.

Morales, gracias muchas. Como no soy como Umbral (Q.E.P.D), no te voy a recomendar mis libros que me parece feo. Te paso una web de manuales jurídicos. Los temas de la LSSI están en “Administrativo”. En cuanto a las trazas de auditoría (aceptos y cosas similares) depende de la BD que uses. Hay muchas que técnicamente no te permiten cumplir con la Ley porque no te dan las opciones que necesitas.

Óscar, primero necesitas registrarlo en la APD, en donde te obligan y publica un domicilio postal. Te recomiendo una dirección postal porque para ejercer los derechos hay que dejar constancia de la fecha en que te llega a ti la comunicación al remitente y a ti. Eso no se consigue hoy en día con un mail.

Fernando, lo hago a “puñeta” y con aplicaciones de moderación que retienen el comentario pendiente de aprobación. ¡Tampoco tengo tantos!

Juan Paterna, Gracias de nuevo. Me remito a morales.

Verónica, mil gracias. No conozco a e-listas, pero si los datos que hay en tu base son de españoles, tienes que plantearte cumplir en España. Lo de los comentarios es una buena pregunta: es un dato que se pide para poder localizar al usuario en caso de demanda por su contenido. No debería de usarse con otra finalidad.

Gracias, Alejandro. Google indexará lo que esté publicado, con lo que tenemos que ver si es se ha hecho en medios de comunicación o webs donde se cuelgue la lista de participantes, y si tu participación se da como noticia, como condición para participar… Que aparezca todo junto e indexado ¿podría considerarse un tratamiento nuevo? Es una cuestión muy interesante que imagino tendrá en consideración la APD ahora que está estudiando al buscador.

Netambulo, a la primera que sí, y a la segunda que también, aunque si eres usuario no es delito pero sí ilícito civil. La nueva ley está en tramitación parlamentaria. Aquí está el último borrador.

Por cierto, muchas gracias por tu comentario en la bitácora: yo también lo pasé estupendamente. Tener unos asistentes tan “por la labor” no es nada habitual. Es fácil “venirse arriba” así.

Elena, a mi también me costó, no te creas…. Si el servicio es on-line habrá un contrato de prestación de servicios en el que tendrás que tener en consideración muchas cosas (aparte del precio) Es difícil ser más precisa, ya que no se a que te refieres como “inscripción” ¿Tienes newsletter, das información previa suscripción? Hay algunas pistas en las demás respuestas sobre algunas cuestiones de protección de datos que podrían afectarte. La página de la agencia es muy buena y se puede encontrar mucho información.

Silvia, hay dos derechos, el del autor y el del traductor sobre la traducción que no anulan los del autor. Si no, el traductor del Código DaVinci ¡se habría forrao!.

Nela, hay mecanismos muy lentos para proteger tu derecho a la propiedad intelectual del texto. Procura dejar claro que no consientes el “reciclaje” ni la copia e intenta fijar un código de tiempo para que no digan que la que has copiado eres tú. Y luego, paciencia y a darnos trabajo a los abogados.

Josune, si no dices nada en el contrato el diseño es de quien lo hace y puede limitarte las modificaciones. Asegura en contrato que es un desarrollo a la medida, y que el derecho de explotación y modificación te lo reservas en exclusiva

Raúl Andrés, cuando quieras nos hacemos un debate.

Juan David, no es el primer intento de rediseñar la copia privada incluso de excluirla por completo. La cuestión de la copia privada y el canon, es que éste ha de pagar por la realización de copias privadas no por el almacenamiento de descargas que, sin ser delito, todos sabemos que legales no son. El canon no está para compensar la “piratería”, vamos.

Roberto Santana, ya he dicho lo que opino del canon. Podría ser mas clara pero no quiero que me cierren el blog. Muchas veces los políticos no se dejan asesorar por los técnicos legales que tienen, y la calidad de los textos se resiente …. mucho.

Ricardo, de nuevo, muchas gracias. No, no conozco al Profesor García Amigo ¿Se dedica a esto de los “pirrinchis”?

Miquel, FelipB, gracias a vosotros, de verdad que no sabéis lo agradable que me resultó. Cuando la gente no está por la labor es imposible decir nada digno. Poder hablar con el auditorio, aunque sea arriesgado, es siempre un lujo.

Marién, las penas son reales muchas de ellas en su tramo más grave, un poco sacadas de contexto y con su gracia, eso sí. Te puedo asegura que no es el único caso, sale más barato dar una paliza que robar el GPS de un coche si rompes el cristal. Así estamos. A lo del canon, coincido contigo en su “perversidad”: subvenciona el “pirateo” pero no nos vale para pagar los derechos de la música descargada. A lo mejor si permitiera el pago del canon el de los derechos, la gente tendría menos problemas a la hora de pagarlo.

Alejandro Bouzas, mira arriba.

Daniel M, la ley os obliga a perseguir a los padres para que los datos estén actualizados. Por cierto ¡vaya padres!!! En fin, que en cuanto a lo del foro si no quieres tener a los adolescentes chateando o a los pederastas “pescando”, modera.

Seguro que me dejo algo o a alguien. Muchas gracias de nuevo por vuestra calidez y por el estupendo rato que me hicisteis pasar.

Hasta la próxima.

Nota: Aquí y aquí se ven las preguntas, que como escribo en dos nanoblogs me lío.

El pasado 29 de noviembre AENOR editó la Norma UNE-ISO/IEC 27001:2007 “Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos”.

Que lo sepáis.