Abanlex Abogados

Descargue el letrero de videovigilancia pulsando sobre la imagen

¿Resulta preciso colocar en una zona videovigilada, de sólo reproducción en tiempo real, un cartel informativo sobre el tratamiento de datos personales con fines de videovigilancia a través de sistemas de cámaras o videocámaras?

La respuesta es que colocar dicho cartel es necesario puesto que, aunque no se graben, con la mera captación se tratan datos de carácter personal, siendo aplicable la Ley Orgánica de Protección de Datos en lo referente al derecho de información, así como la Instrucción 1/2006, de 8 de Noviembre de la Agencia Española de Protección de Datos.

La imagen de una persona identificada o identificable constituye un dato personal cuyo tratamiento está sujeto a la normativa de protección de datos, regulado en concreto por la instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de videovigilancia a través de sistemas de cámaras o videocámaras.

Dicha Instrucción resulta de aplicación para los casos de captación de imágenes con independencia de que éstas se graben o no.

El derecho de información es uno de los elementos esenciales de la cadena de Protección de Datos que se encuentra recogida en el artículo 5.1 de la Ley Orgánica de Protección de Datos. En materia de videovigilancia, dadas sus especiales características, la información debe facilitarse según dispone el artículo 3 de la Instrucción de 1/2006 , conforme al cual “Los responsables que cuenten con sistemas de videovigilancia deberán cumplir con el deber de información en el artículo 5 de la Ley Orgánica de Protección de Datos 15/19999, de 13 de diciembre”.

Así pues, el tratamiento de las imágenes por el responsable del tratamiento obliga a cumplir con el deber de informar a los afectados en los términos establecidos en el citado artículo, siendo necesario:

• Colocar en las zonas videovigiladas un distintivo informativo, ubicado en un lugar suficientemente visible, tanto abiertos como cerrados.
• Tener a disposición de los interesados impresos en los que se detalla la información requerida en el artículo 5 de la Ley Orgánica de Protección de Datos.

Por medio de dicho cartel e impresos los afectados deben ser informados:

1. De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad recogida en ellos, y de los destinatarios de la información.
2. Del carácter obligatorio o facultativo de la respuesta a las preguntas que les sean planteadas, y de las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
3. De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición, junto con la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Por tanto, para el caso de uso de sistemas de videovigilancia en tiempo real, deberá contarse con el derecho de información que se encuentra en el artículo 5 de la Ley Orgánica de Protección de Datos, la utilización de impresos estandarizados en las zonas de videovigilancia, y con un distintivo o cartel informativo.

Hacía más de diez meses que habitaba en esta desdichada isla y parecía que cualquier posibilidad de salvación de esta condición me hubiera sido totalmente negada. Además, estaba convencido de que ningún ser humano había puesto un pie en este lugar. Ya me había asegurado perfectamente la habitación y ahora tenía grandes deseos de explorar la isla más a fondo para ver qué cosas podía encontrar que aún no conocía. Daniel Defoe, “Robinson Crusoe” (1719)

Imagen cedida por Martin BOULANGER

¿Cómo sería un mundo sin marketing? Quizás nos sintiésemos solitarios en una isla sin estímulos publicitarios, pero sin embargo hay cierto tipo de prácticas que son comúnmente rechazadas, especialmente las que se transmiten por medio de vías que consideramos privadas, las que llegan a nuestro correo o teléfono sin nuestro consentimiento y en ocasiones nos impiden “ver qué cosas podía encontrar que aún no conocía”.

Es notoria la insistencia de algunas compañías a la hora de presentar sus ofertas. En especial, las llamadas para ofrecer nuevas promociones son unos de los generadores de ruido más relevantes en la actualidad, celebrando las compañías de marketing que dispongamos de un terminal ligado a nuestra persona de forma permanente o un teléfono siempre activado en el hogar. La publicidad directa no solicitada es una de las prácticas comerciales intrusivas más relevantes y la recepción de llamadas publicitarias es “una de las preocupaciones que más afectan a los ciudadanos” según la Memoria de 2008 de la Agencia Española de Protección de Datos (AEPD).

No se trata de un fenómeno nuevo. Podemos encontrar las primeras referencias sobre correos publicitarios recibidos por vía postal sin autorización (también llamados junk mails) en 1954 tras muchos años de aplicación posiblemente a partir del desarrollo comercial de la máquina de escribir. El primer correo electrónico que podría denominarse spam fue enviado a todos los usuarios de ARPANET en la Costa Oeste en el año 1978 publicitando una reunión para la venta de un equipo informático. Este acto de comunicación fue definido por sus destinatarios como un abuso del directorio (base de datos con los e-mails de los usuarios), competencia desleal o uso ilegítimo de la red, teniendo en cuenta que ésta formaba parte de una Agencia del Departamento de Defensa de los Estados Unidos.

Desde entonces, el mero hecho de disponer de un buzón en el domicilio, un teléfono fijo o móvil, una dirección de e-mail o un número de fax nos sitúa como sujetos pasivos del marketing directo pudiendo ser receptores de innumerables mensajes, llamadas y panfletos. Esta situación ha sido en cierta parte paliada a través del artículo 18.4 de la Constitución limitando “el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos” así como la normativa sobre defensa de los consumidores con base en el artículo 51 de la Constitución.

…

[Ésta es la primera parte del artículo LA LISTA ROBINSON escrito por Jesús Martín para la revista Lex Nova. Para leer el artículo completo descárguelo gratis en PDF o acceda a la web de la revista (páginas 30 y 31)]

Imagen cedida por Irum Shahid

Uno de los problemas con los que se encuentran algunas comunidades de propietarios es el impago por parte de algunos vecinos de las contribuciones establecidas.
Actuar en estos casos resulta sencillo si se aplica la normativa adecuada, que en este caso sería la vigente Ley 8/1999, de 6 de abril, de Reforma de la Ley 49/1960, de 21 de julio, sobre Propiedad Horizontal (LPH), reguladora del cumplimiento de las normas en las comunidades de vecinos. Sin embargo, con respecto a la protección de datos de carácter personal, ¿es posible publicar los nombres de los vecinos deudores en el tablón de anuncios del portal?

En la Resolución 00878/2008 de la Agencia Española de Protección de Datos se resuelve la cuestión sobre la posibilidad de publicar datos de carácter personal de un vecino deudor en el tablón de anuncios hallado en zonas comunes de la Comunidad de propietarios.

En dicho procedimiento se imputa a la Comunidad una infracción del artículo 10 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), relativo al deber de secreto del responsable del fichero y de quienes intervienen en cualquier fase de tratamiento de los datos de caracter personal. En este sentido establece la resolución que el deber de secreto tiene como finalidad evitar que, por parte de quienes están en contacto con los datos personales, se realicen filtraciones no consentidas por los titulares de los mismos.

En el caso de esta Comunidad de vecinos queda acreditado que puso a disposición de todos los vecinos un listado de los morosos, incluyéndolo en la convocatoria de la Junta General.

La Agencia Española de Protección de Datos no considera infracción en este supuesto el hecho de comunicar a cada propietario la mencionada convocatoria de la junta, sino el hecho de publicarla en el tablón de anuncios de la Comunidad a la que tiene acceso cualquier tercero que acceda a la finca.

En virtud de la aplicación de los artículos 11.2 a) de la Ley sobre Propiedad Horizontal y 9.1.h) de la LOPD, sólo puede ser publicada la lista de los vecinos morosos en el tablón cuando no haya podido ser notificada a alguno de los propietarios en su domicilio a efecto de notificaciones. El único objetivo que debe perseguirse al poner la lista en el tablón es informar a los propietarios deudores que se hallan en tal situación, y no poner en conocimiento de terceros tal hecho.

En definitiva, la resolución establece que es posible la publicación de los datos personales de los vecinos deudores de la comunidad en dos supuestos:

1. En la convocatoria de la Junta de vecinos (artículo 16.2 LPH)
2. En la publicación del acta aprobado en Junta (artículo 19.3 LPH)

Sin embargo, para no incurrir en una infracción de la normativa de protección de datos, antes de llegar a la publicación en el tablón de anuncios, se ha de seguir el siguiente procedimiento:

• Notificar al afectado en su domicilio conocido la convocatoria de la Junta o el Acta donde se contiene su condición de deudor.
• En su defecto, se notificará en el inmueble del que es propietario en la comunidad de que se trate.
• En caso de total imposibilidad para notificar personalmente, se procederá a publicar la convocatoria de Junta o el Acta en el tablón de anuncios del edificio o lugar visible.

En el caso estudiado, la Agencia Española de Protección de Datos considera que la Comunidad de propietarios ha incumplido el deber de secreto establecido en el artículo 10 de la LOPD y le impone una sanción de 601 Euros.

Ahora bien, ¿quién debe hacer el pago de tal cantidad?, ¿el comunero denunciante también deberá aportar la proporción de la cuantía que le corresponde? Parece claro que la sanción se impone a la Comunidad en su conjunto, sin perjuicio de que,el comunero afectado pueda plantear una reclamación por daños y perjuicios ante la jurisdicción ordinaria como se establece en el artículo 19 de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal.

El Informe 0511/2009 del gabinete jurídico de la AEPD  da respuesta a una consulta presentada por un colectivo de asesores fiscales y laborales, que plantea qué nivel de seguridad es exigible a los ficheros titularidad de sus miembros, relativos a la gestión de recursos humanos de empresas clientes de los mismos o a la realización de actividades de asesoría fiscal de clientes que sean personas físicas.

En la resolución citada se establecen distintos niveles de seguridad aplicables, según el dato personal con el que estemos tratando.

Así, el Estatuto de los Trabajadores ha atribuido facultades específicas a la empresa que posibilitan el control del desarrollo de la prestación laboral. El ejercicio de estas facultades comporta en muchas ocasiones tratamientos de datos personales.

Datos de salud

En relación con la gestión de recursos humanos y, más concretamente, los datos de salud de los empleados, desde el 1 de julio de 2008 es aplicable el artículo 81.6 del Reglamento de desarrollo de la Ley Orgánica que dispone claramente que serán exigibles las medidas de seguridad de nivel básico en aquellos ficheros que contengan uno o varios de los siguientes datos:

- La mera indicación del grado o porcentaje de minusvalía del afectado o de los miembros de su unidad familiar a los efectos previstos para el cálculo de las retenciones en la legislación reguladora del Impuesto sobre la Renta de las Personas Físicas.

- La indicación del datos “apto” o “no apto” de un trabajador a los efectos previstos en la Ley de Prevención de Riesgos Laborales.

- Los datos relacionados con las obligaciones impuestas al empresario por la legislación vigente en materia de seguridad social que se limiten a señalar únicamente la existencia o no de enfermedad común, enfermedad profesional o accidente laboral o no laboral, así como la incapacidad laboral del trabajador.

Por el contrario, deben implantarse las medidas de seguridad de nivel alto a los ficheros que contuvieran datos relacionados con los resultados de las acciones de vigilancia de la salud distintos del meramente referido a la aptitud del trabajador o incorporasen los datos relacionados con la concreta enfermedad o accidente padecido por el trabajador, al vulnerarse en mayor medida la intimidad de los datos del trabajador afectado.

Antes de recabar este tipo de datos es necesario analizar la proporcionalidad del tratamiento y la legitimación para el mismo.

Datos de afiliación sindical

En otro orden de cosas, la Constitución Española reconoce el derecho a la libertad sindical, y la legislación de desarrollo establece un conjunto de derechos, competencias y funciones para los representantes de los trabajadores cuya satisfacción requiere del tratamiento de datos personales y del establecimiento de ciertos flujos de datos habitualmente mediante comunicaciones de éstos desde la empresa.

La cesión de datos más común a las organizaciones sindicales es la relativa al cobro de la cuota sindical en el pago de la nómina. Puesto que se trata de una solicitud que debe realizar el propio trabajador deben darse los requisitos que establece el art. 7.2 LOPD: “Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado”.

Por lo que respecta al tratamiento en los ficheros de las empresas del dato de afiliación sindical de los trabajadores, la Agencia se ha referido al tratamiento en la nómina de la condición de afiliado a un sindicato del trabajador con la finalidad de proceder a la detracción de la cuota sindical, llegando a la conclusión que no se aplica en este supuesto el nivel de seguridad alto de protección de estos datos, en virtud de la aplicación del artículo 81.5 a) del Reglamento de desarrollo de la Ley Orgánica 15/1999.

Aportación a la Iglesia Católica

En esta resolución la AEPD se centra, en relación con el desarrollo de las actividades de asesoría fiscal, en la elección del contribuyente de marcar la casilla correspondiente a la aportación a la Iglesia Católica.

En este sentido la AEPD se ha pronunciado afirmando que “la revelación del ánimo de colaborar en el sostenimiento de la Iglesia Católica no revela necesariamente las creencias del contribuyente”. En consecuencia, al no tener dicho dato el carácter de especialmente protegido, su tratamiento no exigirá por sí mismo la implantación de las medidas de seguridad de nivel alto previstas en el Reglamento de desarrollo de la Ley Orgánica 15/1999.

Dato de discapacidad en la nómina

En relación con el tratamiento del dato de discapacidad dentro de la actividad de asesoramiento fiscal, la AEPD ha analizado la cuestión en diversas ocasiones.

Las entidades  que desarrollen actividades de asesoría fiscal o laboral tendrán la condición de responsables del tratamiento en relación con los datos necesarios para la confección de la declaración del impuesto de sus clientes que tengan la condición de personas físicas, no siendo la misma en ningún caso un mero encargado del tratamiento de aquéllos.

Se entiende que las asesorías recogen los datos de salud del afectado a fin de que éste dé cumplimiento a su obligación de declarar el impuesto sobre la renta de las personas físicas.

Siempre que los datos sean los meramente referidos a la discapacidad del afectado, operará la especialidad prevista en el artículo 81.6 del reglamento: “Podrán implantarse las medidas de seguridad de nivel básico en los ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos“.

Contribución a partidos políticos u organizaciones sindicales

Por lo que se refiere al tratamiento de los datos referidos a la contribución del cliente de los colegiados a partidos políticos u organizaciones sindicales, en el caso de una asesoría fiscal o laboral, el tratamiento de los datos personales del contribuyente en este supuesto no se lleva a cabo con la finalidad de efectuar una transferencia dineraria al partido o sindicato, sino con el objeto de especificar la deducción que corresponde como consecuencia de dichas aportaciones.

Siempre que dicha información se conserve en soporte papel sería posible implantar sobre el fichero las medidas de nivel básico, en virtud del artículo 81.5 b) del reglamento establece que “En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual bastará la implantación de las medidas de seguridad de nivel básico cuando (…) se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad”.

Conclusiones

Afirma la Resolución, como conclusión del Informe, que a los ficheros relacionados con la función de asesoría fiscal de los clientes, se aplicarán  las medidas de seguridad de nivel básico siempre que el tratamiento de los datos de salud se limite al de discapacidad y los datos relacionados con las aportaciones a partidos políticos y sindicatos sean únicamente conservados en soporte no automatizado.

El tratamiento de datos sin consentimiento previo del afectado en aquellos supuestos no exceptuados legalmente, puede ser motivo de infracción grave de acuerdo con lo dispuesto en el artículo 44.3.c) de la Ley Orgánica 15/1999.

Relacionados:

• Infracciones/Sanciones
• Servicios Abanlex

Lo último en seguridad del internauta en España ya está aquí: “I secure Internet”. La campaña que ayuda a concienciar e informar a los cibernautas sobre cómo proteger su privacidad navegando por la red suma una nueva colaboración entre INTECO y ABANLEX.

Abanlex se une a las acciones de promoción de una navegación segura por Internet para todos. Luchar contra el mal uso de la red ya tiene un defensor de altísimo nivel: “I secure Internet”. El objetivo fundamental de la campaña de INTECO en la cual colabora Abanlex es conseguir que el mayor número de usuarios de Internet en España sepan cómo proteger su privacidad en la red mediante acciones activas y pasivas para combatir los virus, la violación a la intimidad y privacidad en redes sociales y demás entornos socio-profesionales, el abuso, el mal uso y el robo de datos personales en transacciones online de todo tipo, el fraude cibernético, la avalancha de spam, una realidad presente cada vez más en el desarrollo normal de una ciberjornada.

“I secure Internet” quiere convertirse en la punta de lanza del esfuerzo común de comunicar y enseñar a todos los cibernautas que entre todos podemos hacer que la red en España se convierta en un entorno viable tanto a nivel personal, profesional y social como económico.

Más: Abogados de Internet Protección de Datos