Abanlex Abogados

Imagen cedida por Artem Chernyshevych

El pasado jueves 4 de febrero tuvo lugar en el Salón de Actos del Ilustre Colegio de Abogados de Madrid la jornada informativa “La Ley e Internet”, organizada por iniciativa del periodista D. Fernando Jauregui. En la misma, especialistas en materia de derecho de las telecomunicaciones, representantes de grupos parlamentarios, responsables de redes sociales, medios de comunicación digitales, abogados y otros profesionales se reunieron para debatir sobre la normativa vigente que regula las relaciones entre usuarios en Internet y proponer varios cambios legislativos y prácticos.

Miembros del gobierno y representantes del poder judicial español comenzaron debatiendo acerca de la importancia de concienciar a los usuarios sobre el correcto uso de Internet, tutelar e informar a los menores sobre sus riegos y peligros, e hicieron una mención especial a la nueva amenaza que supone para el derecho a la intimidad, la llegada del denominado “periodista ciudadano”. En mesas de 5 ó 6 ponentes fueron alternándose las opiniones de D. Javier Rojo, Presidente del Senado; D. Antonio Hernández-Gil, Decano del ICAM; D. Juan Carlos Campo, Secretario de Estado de Justicia; Artemi Rallo, Director de la AEPD; Paloma Llaneza, abogada especialista en nuevas tecnologías; Natalia Martos Díaz, Directora Jurídica de Tuenti; Javier Martínez Bavière, responsable del departamento legal de Google; Ernesto Estevez, de Cadena SER; Manuel Angel Menéndez, de Diariocrítico; Icaro Moyano, de Tuenti; y el abogado Javier de la Cueva, entre otros.

Durante la jornada se analizaron algunos delitos on line y se manifestó la necesidad de una regulación más eficaz y específica, así como de unos organismos más eficaces con más y mejores medios para propiciar la persecución de conductas delictivas. Asimismo, se habló largo y tendido sobre el anteproyecto de Ley de Economía Sostenible, más conocida como “Ley Sinde”, a la que en general se criticó duramente por la falta de concreción en su redacción, gran cantidad de vacíos legales y la poca efectividad que los especialistas prevén que vaya a tener su aplicación como consecuencia de los órganos a los que la propia ley atribuye la competencia para aplicar sus preceptos. Hubo una voz casi unánime a la hora de solicitar al Gobierno que abandonara este anteproyecto.

Como acto de clausura del seminario, el Excelentísimo Señor Cándido Conde-Pumpido, Fiscal General del Estado, agradeció las aportaciones realizadas durante la jornada a todos los invitados, haciendo hincapié en la importancia de escuchar a los expertos y a la opinión popular para la elaboración y mejora de las leyes. Insistió por último en la importancia del respeto a la Constitución, a los derechos en ella recogidos, a la libertad para todas las personas en todos los ámbitos, a la justicia y al desarrollo moral y cultural de la sociedad, y animó a todos a trabajar juntos para plasmar estas ideas en propuestas y prácticas que ayuden a mejorar el entorno de Internet y a presentarlo como un medio seguro, libre y universal para que, como dijo en la inauguración del acto su anfitrión D. Fernando Jauregui, entre todos podamos “hacer legalmente normal lo que es normal en la red”.

El Informe 0511/2009 del gabinete jurídico de la AEPD  da respuesta a una consulta presentada por un colectivo de asesores fiscales y laborales, que plantea qué nivel de seguridad es exigible a los ficheros titularidad de sus miembros, relativos a la gestión de recursos humanos de empresas clientes de los mismos o a la realización de actividades de asesoría fiscal de clientes que sean personas físicas.

En la resolución citada se establecen distintos niveles de seguridad aplicables, según el dato personal con el que estemos tratando.

Así, el Estatuto de los Trabajadores ha atribuido facultades específicas a la empresa que posibilitan el control del desarrollo de la prestación laboral. El ejercicio de estas facultades comporta en muchas ocasiones tratamientos de datos personales.

Datos de salud

En relación con la gestión de recursos humanos y, más concretamente, los datos de salud de los empleados, desde el 1 de julio de 2008 es aplicable el artículo 81.6 del Reglamento de desarrollo de la Ley Orgánica que dispone claramente que serán exigibles las medidas de seguridad de nivel básico en aquellos ficheros que contengan uno o varios de los siguientes datos:

- La mera indicación del grado o porcentaje de minusvalía del afectado o de los miembros de su unidad familiar a los efectos previstos para el cálculo de las retenciones en la legislación reguladora del Impuesto sobre la Renta de las Personas Físicas.

- La indicación del datos “apto” o “no apto” de un trabajador a los efectos previstos en la Ley de Prevención de Riesgos Laborales.

- Los datos relacionados con las obligaciones impuestas al empresario por la legislación vigente en materia de seguridad social que se limiten a señalar únicamente la existencia o no de enfermedad común, enfermedad profesional o accidente laboral o no laboral, así como la incapacidad laboral del trabajador.

Por el contrario, deben implantarse las medidas de seguridad de nivel alto a los ficheros que contuvieran datos relacionados con los resultados de las acciones de vigilancia de la salud distintos del meramente referido a la aptitud del trabajador o incorporasen los datos relacionados con la concreta enfermedad o accidente padecido por el trabajador, al vulnerarse en mayor medida la intimidad de los datos del trabajador afectado.

Antes de recabar este tipo de datos es necesario analizar la proporcionalidad del tratamiento y la legitimación para el mismo.

Datos de afiliación sindical

En otro orden de cosas, la Constitución Española reconoce el derecho a la libertad sindical, y la legislación de desarrollo establece un conjunto de derechos, competencias y funciones para los representantes de los trabajadores cuya satisfacción requiere del tratamiento de datos personales y del establecimiento de ciertos flujos de datos habitualmente mediante comunicaciones de éstos desde la empresa.

La cesión de datos más común a las organizaciones sindicales es la relativa al cobro de la cuota sindical en el pago de la nómina. Puesto que se trata de una solicitud que debe realizar el propio trabajador deben darse los requisitos que establece el art. 7.2 LOPD: “Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado”.

Por lo que respecta al tratamiento en los ficheros de las empresas del dato de afiliación sindical de los trabajadores, la Agencia se ha referido al tratamiento en la nómina de la condición de afiliado a un sindicato del trabajador con la finalidad de proceder a la detracción de la cuota sindical, llegando a la conclusión que no se aplica en este supuesto el nivel de seguridad alto de protección de estos datos, en virtud de la aplicación del artículo 81.5 a) del Reglamento de desarrollo de la Ley Orgánica 15/1999.

Aportación a la Iglesia Católica

En esta resolución la AEPD se centra, en relación con el desarrollo de las actividades de asesoría fiscal, en la elección del contribuyente de marcar la casilla correspondiente a la aportación a la Iglesia Católica.

En este sentido la AEPD se ha pronunciado afirmando que “la revelación del ánimo de colaborar en el sostenimiento de la Iglesia Católica no revela necesariamente las creencias del contribuyente”. En consecuencia, al no tener dicho dato el carácter de especialmente protegido, su tratamiento no exigirá por sí mismo la implantación de las medidas de seguridad de nivel alto previstas en el Reglamento de desarrollo de la Ley Orgánica 15/1999.

Dato de discapacidad en la nómina

En relación con el tratamiento del dato de discapacidad dentro de la actividad de asesoramiento fiscal, la AEPD ha analizado la cuestión en diversas ocasiones.

Las entidades  que desarrollen actividades de asesoría fiscal o laboral tendrán la condición de responsables del tratamiento en relación con los datos necesarios para la confección de la declaración del impuesto de sus clientes que tengan la condición de personas físicas, no siendo la misma en ningún caso un mero encargado del tratamiento de aquéllos.

Se entiende que las asesorías recogen los datos de salud del afectado a fin de que éste dé cumplimiento a su obligación de declarar el impuesto sobre la renta de las personas físicas.

Siempre que los datos sean los meramente referidos a la discapacidad del afectado, operará la especialidad prevista en el artículo 81.6 del reglamento: “Podrán implantarse las medidas de seguridad de nivel básico en los ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos“.

Contribución a partidos políticos u organizaciones sindicales

Por lo que se refiere al tratamiento de los datos referidos a la contribución del cliente de los colegiados a partidos políticos u organizaciones sindicales, en el caso de una asesoría fiscal o laboral, el tratamiento de los datos personales del contribuyente en este supuesto no se lleva a cabo con la finalidad de efectuar una transferencia dineraria al partido o sindicato, sino con el objeto de especificar la deducción que corresponde como consecuencia de dichas aportaciones.

Siempre que dicha información se conserve en soporte papel sería posible implantar sobre el fichero las medidas de nivel básico, en virtud del artículo 81.5 b) del reglamento establece que “En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual bastará la implantación de las medidas de seguridad de nivel básico cuando (…) se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad”.

Conclusiones

Afirma la Resolución, como conclusión del Informe, que a los ficheros relacionados con la función de asesoría fiscal de los clientes, se aplicarán  las medidas de seguridad de nivel básico siempre que el tratamiento de los datos de salud se limite al de discapacidad y los datos relacionados con las aportaciones a partidos políticos y sindicatos sean únicamente conservados en soporte no automatizado.

El tratamiento de datos sin consentimiento previo del afectado en aquellos supuestos no exceptuados legalmente, puede ser motivo de infracción grave de acuerdo con lo dispuesto en el artículo 44.3.c) de la Ley Orgánica 15/1999.

Relacionados:

• Infracciones/Sanciones
• Servicios Abanlex

El pasado 22 de mayo se promulgó el Real Decreto 899/2009 por el que se aprueba la carta de derechos del usuario de los servicios de comunicaciones electrónicas cuya entrada en vigor se estableció para el 30 de agosto. Según el Consejo de Ministros, sitúa a España “a la vanguardia de los países europeos en este aspecto” y sus disposiciones contribuyen “a la libre competencia, la dinamización del mercado, la capacidad de elección por parte de los usuarios y los procesos de cambio de operador“. Este texto supone la transposición al derecho interno de parte de la Directiva 2002/22/CE del Parlamento Europeo y del Consejo de 7 de marzo de 2002 que fijaba como fecha límite para que entrara en vigor el 25 de julio de 2003, por lo que llega casi con seis años de retraso, con independencia de la aprobación del Reglamento sobre las condiciones para la prestación de servicios de comunicaciones electrónicas, el servicio universal y la protección de los usuarios en 2005.

El Real Decreto supone un desarrollo del artículo 38 de la Ley General de Telecomunicaciones y contempla los derechos de los usuarios finales que los operadores están obligados a respetar, además de los establecidos en la Ley General para la Defensa de los Consumidores y Usuarios. Si bien la Comisión del Mercado de las Telecomunicaciones presenta en su página web un resumen de éstos, es conveniente poner de manifiesto una serie de comentarios que derivan del estudio del texto legal.

En el Reglamento se exige a los operadores ofrecer una conexión a la red telefónica que posibilite el acceso a internet y al resto de prestaciones incluidas en el servicio universal “con independencia de su localización geográfica, a un precio asequible y con una calidad determinada“, garantizando al usuario la conexión a la red telefónica y el acceso a la prestación del servicio telefónico disponible al público “siempre que sus solicitudes se consideren razonables.” Además,  “La conexión deberá ofrecer la posibilidad de establecer comunicaciones de datos a velocidad suficiente para acceder de forma funcional a Internet“. Sin duda se pretende paliar con conceptos indeterminados los resultados que dejaron a España en un discreto undécimo lugar del Broadcast Performance Index publicado por la Comisión Europea el 29 de septiembre de 2008, entre otros estudios en la misma línea.

En relación a la extinción de los contratos entre operador y abonado, se establece que el usuario deberá avisar con una antelación mínima de dos días hábiles al momento de surtir efectos y el operador “se abstendrá de facturar y cobrar cualquier cantidad que se haya podido devengar, por causa no imputable al usuario final, con posterioridad al plazo de dos días en que debió surtir efectos la baja“. También se contemplan ciertas indemnizaciones por la interrupción temporal del servicio telefónico o de internet, la suspensión temporal del servicio previo aviso cuando se retrase total o parcialmente el pago durante más de un mes, respetando las llamadas entrantes y salientes de urgencia y la interrupción definitiva del servicio si el impago es superior a tres meses.

Otro punto que llama la atención se engloba en el Capítulo VII del Título II con la rúbrica “Derecho a una atención eficaz por el operador“. Se obliga al operador a admitir la vía telefónica a través de un número gratuito para la presentación de cualquier reclamación y “a comunicar el número de referencia de las reclamaciones, quejas, peticiones o gestiones” para que el usuario tenga constancia de este tipo de actos que conllevan incidencia contractual, todo ello a través de un departamento o servicio especializado de atención al cliente. En este sentido y si el contacto ha sido telefónico, ”el operador está obligado a informar al consumidor de su derecho a solicitar un documento que acredite la presentación y contenido de la reclamación, incidencia o gestión mediante cualquier soporte que permita tal acreditación“, es decir, principalmente un envío postal o un correo electrónico. Debemos recordar que la mayoría de este tipo de llamadas son grabadas por los operadores tras su aviso al usuario, por lo que no debería suponer un gran problema el cumplimiento de esta obligación y la comprobación posterior del contenido.

En el propio Real Decreto se establecen ciertas obligaciones para los usuarios, tales como cumplir con la contraprestación económica pactada en el contrato con el operador cuando haya recibido la prestación, responsabilizarse de la correcta configuración de equipos y aparatos, del “mantenimiento de elementos de la red más allá del punto de terminación de la red” y se obliga al abonado al uso de equipos y aparatos autorizados “cuya conformidad haya sido evaluada según la normativa vigente sobre evaluación de la conformidad de aparatos de telecomunicaciones“.

No obstante, no se contempla en el propio texto legal un régimen sancionador para los operadores que incumplan con sus disposiciones, tampoco en la Directiva, por lo que habrá que estar a lo dispuesto en el Título VIII de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones (LGT) en materia de inspección y sanción, o en lo aplicable, al Título VII de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI) entre otras normas, dejando en manos de los órganos competentes en materia de consumo de las Comunidades Autónomas junto con la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información la competencia para la mediación o resolución de controversias, siendo el plazo máximo para su resolución y notificación de seis meses. La obligación de contactar con dicho organismo recae en el centro de atención al cliente del operador que ha recibido la reclamación y el procedimiento, ámbito de aplicación y requisitos será objeto de regulación mediante una orden del Ministerio de Industria, Turismo y Comercio.

Sin duda se trata de una norma que, tras su entrada en vigor, necesitará una monitorización constante de su correcto cumplimiento para que pueda demostrar su eficacia que a priori ofrece unas expectativas muy pobres. No obstante, sin la voluntad de los operadores para respetar la legalidad vigente, las Administraciones Públicas se encuentran con un gran obstáculo en el camino para hacer cumplir normas como ésta y otras relacionadas con la defensa de los usuarios y consumidores, complejo ámbito normativo en el que existe una gran maraña de disposiciones legales. El coste total en términos de indemnizaciones, sanciones y repercusión social del incumplimiento es menor que el que tendrían que asumir si deciden cumplir con estas disposiciones, por lo que previsiblemente la relación actual usuario-operador se mantenga intacta, al menos a corto plazo y mientras sigan las condiciones actuales.

Según informa Europa Press, el Juzgado de lo Penal número 2 de Logroño ha impuesto una pena de prisión de un año y multa de 2.160 euros, además del pago de costas, a una vecina de Rincón de Soto (La Rioja) por un delito de descubrimiento de secretos (arts. 197-201 Código Penal).

La procesada accedió sin permiso en abril de 2006 a dos cuentas de correo electrónico cuyas contraseñas conocía y cambió, leyendo los mensajes y archivos adjuntos de carácter personal que se incluían en éstas. Además, el día 20 de junio de 2006, envió un correo electrónico desde una de las cuentas “con imágenes obscenas y groseras” al suegro de la titular de dicha cuenta con la intención de “causar desavenencias y humillaciones en su entorno familiar” con el conocimiento de la “merma en los derechos esenciales de su personalidad” según la sentencia. Un caso similar se produjo hace poco menos de un mes cuando, tras una investigación policial, se detuvo en Pamplona a un hombre acusado de “acceder a una cuenta de correo electrónico ajena y enviar imágenes vejatorias”. La primera sentencia en este sentido se produjo en 2004 se resolvió con un acuerdo entre las partes.

Los hechos se produjeron en el transcurso de una crisis familiar y la procesada accedió a las cuentas desde los ordenadores de la empresa de su padre, ubicados en la localidad de Rincón de Soto (La Rioja), conociendo previamente el contenido de carácter personal de estas cuentas. Hasta febrero de 2007, hizo uso de las dos cuentas de correo electrónico teniendo acceso a los mensajes y archivos existentes además de los recibidos en todo el periodo.

En la sentencia se incluye suspender la ejecución de la pena privativa de libertad siempre que la procesada pague la multa, las costas y no cometa ningún delito durante dos años. El tipo penal contempla una pena de prisión de uno a cuatro años que se impondrá en su mitad superior cuando se realice con ánimo de lucro, por lo que la pena impuesta en este fallo es la mínima aceptada por el Código Penal, si bien se podría considerar que atiende al resultado de los hechos probados.

Hay que recordar que si “se realizan por las personas encargadas o responsables de los ficheros, soportes informáticos, electrónicos o telemáticos, archivos o registros, se impondrá la pena de prisión de tres a cinco años, y si se difunden, ceden o revelan los datos reservados, se impondrá la pena en su mitad superior” según indica el artículo 197.4 del Código Penal, además de otras especialidades si se produce en el entorno laboral o por un funcionario. La persecución de este delito debe ser, con carácter general, a instancia de parte y el perdón del ofendido extingue la acción penal o la pena impuesta sin perjuicio del posible indulto.

Imagen: tuexperto (flickr)

Abanlex Abogados ha colaborado con la Agencia Española de Protección de Datos y el Instituto Nacional de Tecnologías de la Comunicación (INTECO) en la elaboración del Estudio sobre la privacidad de los datos personales y la seguridad de la información en las redes sociales online.

El objetivo general del estudio es la elaboración de un análisis del estado de la seguridad en redes sociales y plataformas análogas, con especial atención a los usuarios menores e incapaces, mediante una evaluación y diagnóstico de carácter jurídico, tecnológico, sociológico y de seguridad de los contenidos, los agentes participantes, así como de la privacidad y la protección de datos de los usuarios que se relacionan a través de estos sitios web.

Este objetivo general se desglosa operativamente en los siguientes objetivos específicos:

• Análisis jurídico de las redes sociales para determinar las obligaciones y responsabilidades legales de los prestadores de servicios en España.
• Estudio de derecho comparado de estos portales de encuentro en el ámbito de la Unión Europea y EE.UU. con especial atención a la penetración de las redes sociales en estos países, así como a las iniciativas legislativas y proyectos existentes.
• Análisis de los diferentes agentes que intervienen en las web colaborativas (ISP, agencias de publicidad, agencias de contenidos, etc.) respecto a la legitimidad y responsabilidad de cada uno en el funcionamiento de las mismas.
• Análisis tecnológico y sociológico de las redes sociales donde se describa el funcionamiento de estas nuevas formas de interacción social: flujos de información y herramientas disponibles para publicar información o comunicarse con otros usuarios.
• Análisis de la privacidad y protección de datos de los usuarios y de las personas que se relacionan a través de las redes sociales.
• Análisis de seguridad: evaluación específica de los riesgos que pueden llegar a alcanzar este tipo de portales sociales de encuentro para menores y personas sin capacidad de obrar.
• Análisis del caso especial de menores y personas legalmente incapaces respecto a la protección de los derechos de carácter personal y de protección del honor, la intimidad y la propia imagen. Delimitación de las amenazas y riesgos en el uso de este tipo de redes colaborativas.
• Medidas para buscar un equilibrio entre las posibilidades de estas herramientas, su legitimación y la privacidad y protección de datos de los usuarios y de los titulares de los datos.

Con la consecución de estos objetivos, se pretende facilitar información y recomendaciones de actuación respecto a la situación jurídica, tecnológica y de seguridad en la que se encuentran este tipo de plataformas.

Para la realización de este estudio se ha contado con la participación de representantes de  las propias empresas prestadoras de los servicios de redes sociales, o bien de su asesoramiento jurídico, así como profesionales pertenecientes a entidades y autoridades dedicadas a la protección y salvaguarda de los derechos de los usuarios o relacionados con el derecho tecnológico. La coordinación del estudio corrió a cargo de  INTECO, con la colaboracion de Abanlex y la supervisión de la Agencia Española de Protección de Datos.

• Descarga gratis el Estudio sobre la privacidad de los datos personales y la seguridad de la información en las redes sociales online
• Área de Abanlex Abogados especializada en redes sociales
• Área de Abanlex Abogados especializada en protección de datos