LÍMITES AL DERECHO AL OLVIDO ( I )

El derecho al olvido, entendido como un derecho instrumental al derecho a la protección de datos y muy ligado al derecho al honor, la intimidad personal y la propia imagen, forma parte de los derechos de la personalidad pero, como estos, no es un derecho absoluto; y así está quedando patente a medida que se genera jurisprudencia al respecto. Los Jueces y Tribunales se encargan de delimitar el alcance del derecho al olvido cuando éste entra en conflicto con otros derechos.

En su sentencia STS 2675/2017 de 6 de julio de 2017, el Tribunal Supremo dirime esta cuestión ponderando la colisión del derecho al honor y la propia imagen, y el derecho al olvido, con el derecho a la libertad de información.

El recurso de casación fue interpuesto por un hombre absuelto de asesinato ante la demanda de tutela de derecho al honor y a la propia imagen formulada a un periódico, que publicó un artículo (que recogía la información del juicio y la absolución del acusado) en el que no se mencionaba su nombre y ni sus apellidos, acompañado de una fotografía del mismo tomada durante el juicio (artículo que el periódico mantenía en su hemeroteca digital aunque el demandante había sido absuelto).

La parte recurrente solicitaba a la editora del medio a indemnizar el daño moral y a retirar los archivos de medios informáticos, no sólo de la hemeroteca del periódico, sino también la supresión y prohibición de la indexación de la noticia por los motores de búsqueda, en ejercicio del derecho al olvido.

La sentencia desestima el recurso de casación atendiendo a la inexistencia de vulneración ilegítima del derecho al honor y a la propia imagen, determinando la prevalencia del derecho a la información sobre los derechos de la personalidad del afectado, dado que la información divulgada era veraz, se refería a asuntos de interés general o relevancia pública, y no se sobrepasaba el fin informativo, al no habérsele dado un matiz injurioso, denigrante o desproporcionado.

Así mismo, la sentencia remarca la improcedencia de invocar el derecho al olvido digital. En primer lugar, porque su concreción en buscadores no corresponde al medio de comunicación, si no a los titulares de los buscadores de Internet; y porque, además, la noticia original omite el nombre y apellidos del demandante, mostrando únicamente una fotografía tomada durante el acto del juicio, por lo que no es posible la indexación que realizan los motores de búsqueda, cuyos resultados se obtienen con la introducción, principalmente, de estos datos personales: nombre y apellidos.

Si bien es cierto que la imagen de una persona es un dato personal, el demandante no alega que existan medios técnicos que permitan utilizar la imagen como término de búsqueda en un motor de búsqueda de Internet, que permita realizar un perfil de la persona incluyendo informaciones obsoletas y/o gravemente perjudiciales para su reputación o vida privada. Además, añade la sentencia, tampoco concurre el requisito de la desaparición del interés público exigido por la jurisprudencia, dado que el tiempo transcurrido (la demanda se presentó apenas dos años después del juicio) no convertía en desproporcionado el tratamiento respecto a la imagen del demandante que ilustra la noticia.

El derecho al olvido, reitera el Tribunal, no ampara la alteración del contenido de la información original lícitamente publicada (en concreto, el borrado del nombre, apellidos o cualquier otro dato personal que constara en la misma). Tampoco ampara la supresión de la posibilidad de búsqueda específica de la noticia en su integridad del propio buscador interno de la hemeroteca digital. Incluso si en la información aparecen datos personales cuya utilización en un motor de búsqueda permite el acceso a ella tiempo después (de modo que permitiera que el tratamiento de los datos personales pudiera vincularlos a la información perjudicial para el afectado) no estaría justificada la supresión de dichos datos personales del código fuente, y sólo estaría justificada la prohibición de indexarlos para permitir las búsquedas por los motores generalistas, no así por el motor de búsqueda interno de la hemeroteca digital. La pretensión del recurrente carece de fundamento cuando la información publicada no contenía datos personales tan relevantes, como su nombre y su apellido del concernido por la información que permitieran realizar esa búsqueda en Internet.

Así pues, además de concurrir los requisitos que conocíamos hasta ahora para el ejercicio del derecho al olvido, parece que será determinante la tipología concreta del dato que pretenda eliminarse en relación a los criterios o elementos de búsqueda en los buscadores existentes, siempre en ponderación con el resto de derechos implicados y el principio de la proporcionalidad en el tratamiento de los datos.

El RGPD UE/679/2016 reconoce el derecho al olvido en su artículo 17 (Derecho de supresión) estableciendo las causas por las que el interesado puede solicitar el ejercicio del mismo ante el responsable del tratamiento.

TRES LETRAS QUE DAN MUCHO JUEGO…

… aunque es la central la que marca la diferencia.

A menudo manejamos -quizá más de lo que sería deseable- anglicismos en nuestro día a día cotidiano, tanto a nivel profesional como personal.

Es el caso de los cargos profesionales de tres letras; en todos, coinciden en la primera (C)  y en la tercera (O), porque todos son “chief”, y todos son “officer”. Pero lo que marca la diferencia es la letra que anda de por medio.

Podemos “jugar” en la posición central con la  E,   con la  F,   con la  M,   con la  O,   con la  I,   con la  T   y   con la  C

Estamos hablando de:

** CEO (Chief Executive Officer). Consejero delegado o Director ejecutivo

** CFO (Chief Financial Officer). Director Financiero

** CMO (Chief Marketing Officer). Dirige las actividades de Marketing

** COO (Chief Operating Officer). Director de Operaciones

** CIO (Chief Information Officer). Responsable de los sistemas de tecnologías de la información de la empresa a nivel de procesos (planificación)

** CTO (Chief Technology Officer). Responsable técnico de los sistemas de información (ejecución)

** CCO (Chief Communications Officer). Responsable de la reputación corporativa, del Branding y de la relación con los medios

EL DERECHO A LA PORTABILIDAD DE LOS DATOS EN EL NUEVO REGLAMENTO (RGPD 2016/679)

¿Qué implica el ejercicio del Derecho a la Portabilidad de los Datos?

Dentro del marco de protección previsto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal (LOPD), los artículos 15 a 18 recogen los derechos de Acceso, Rectificación, Cancelación y Oposición que el titular puede ejercer ante el Responsable del Tratamiento, para garantizar su derecho fundamental a la autodeterminación informativa respecto a su información personal (Art. 18 de la Constitución Española). El Real Decreto 1720/2007, que aprueba el Reglamento de desarrollo de la LOPD, establece el procedimiento, requerimientos y alcance para su ejercicio.

Con la entrada en vigor del nuevo Reglamento General de Protección de Datos (RGPD 2016/679) encontramos varias novedades en lo referente a los derechos reconocidos al titular. Se definen nuevos derechos como el Derecho a la supresión o Derecho al olvido -del que se ha oído hablar a colación del caso Costeja- o el derecho a la limitación del tratamiento.

En esta ocasión vamos a profundizar en el Derecho a la Portabilidad de Datos.

El artículo 20 del RGPD 2016/679 define este nuevo derecho de la siguiente forma:

El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado.”

En otras palabras, permite a los interesados solicitar a un Responsable del Tratamiento sus datos personales en un formato digital, con el objetivo de disponer de ellos y facilitar su transmisión a otro Responsable del Tratamiento, complementando así el derecho de acceso.

La referencia que hasta el momento se tenía del Derecho a la Portabilidad era en el ámbito de las Telecomunicaciones. La Ley 9/2014, General de Telecomunicaciones (LGTel) establece que el acceso se facilita para todo tipo de comunicaciones electrónicas, para todas aquellas que se realicen mediante cualquier modalidad de los servicios de telefonía y transmisión de datos, incluyendo comunicaciones de vídeo, audio, intercambio de mensajes o ficheros. Pero en lo referente a la portabilidad, el supuesto de hecho es la conservación del número de abonado (Art. 21 LGTel), solicitando la portabilidad del número de teléfono de una compañía telefónica a otra. En el caso de la Privacidad, el RGPD establece que la totalidad de los datos personales podrán ser transferidos en base al Derecho a la Portabilidad, sea cual sea su sector.

El acuerdo adoptado el 13 de diciembre de 2016 por el Grupo de Trabajo del Art. 29 de la Directiva Europea UE/95/46 (GT29), establece las Directrices sobre el derecho a la portabilidad de los datos

(http://www.agpd.es/portalwebAGPD/internacional/textosynormas/textos_union_europea/textos_articulo_29/common/es_es_wp242_en_40852_PORTABILIDAD.PDF).

Para ello, nos indica diferentes ejemplos de la casuística para su ejercicio. El derecho a la portabilidad puede darse, p.e (“… cuando una persona tiene interés en recuperar su actual lista de reproducción de un servicio de transmisión de música para saber cuántas veces ha escuchado unos temas concretos con el fin de decidir que música adquirir en otra plataforma).

En el ámbito de la Protección de Datos, el Derecho a la Portabilidad puede configurarse desde los siguientes puntos de análisis:

A.- Objeto del derecho: El interesado podrá solicitar aquellos datos que hayan sido proporcionados por él mismo de forma activa y consciente. A modo de ejemplo, pueden solicitarse todos aquellos datos que el Responsable del Tratamiento haya requerido para el registro de usuarios en cualquier cuenta, o incluso aquellos datos que se generan a partir de las actividades de los usuarios en virtud del uso de un dispositivo o servicio (p.e: Historial de búsquedas).

 B.- Procedimiento para el ejercicio: Para que el interesado pueda solicitar la transmisión de sus datos a otro Responsable del Tratamiento, deberán darse los siguientes requisitos:

1º Que los datos sean tratados de forma automatizada por el Responsable del Tratamiento de origen.

2º Que los datos se hayan suministrado por la persona interesada.

3º Que el tratamiento sea legitimado en base al consentimiento del titular, o bien en base a la ejecución de un contrato entre titular y Responsable del Tratamiento.

C.- Actuaciones del Responsable del Tratamiento de origen: Deberá entregar los datos solicitados, “…junto con todos aquellos metadatos como sea posible con el mejor nivel de granularidad”, a través de medios electrónicos, dotando la comunicación de los mecanismos de protección y seguridad necesarios para garantizar la integridad, confidencialidad y disponibilidad de la información objeto de transmisión.

Exención de responsabilidad: Una vez los datos han sido transmitidos, el Responsable del Tratamiento de origen, que responde al ejercicio de la portabilidad, no será responsable del tratamiento llevado a cabo, posteriormente, por el interesado o por el Responsable del Tratamiento de destino o terceros indicados por el interesado.

D.- Plazos para el ejercicio y respuesta: El plazo para dar respuesta a un ejercicio del derecho a la portabilidad es de un mes a contar desde la recepción de la solicitud, o bien de tres meses en casos de extrema complejidad sobre el volumen de los datos a transmitir o del sistema utilizado para una correcta aplicación de las medidas de seguridad que correspondan.

En última instancia, el objetivo de este derecho es facilitar la forma de transmisión de los datos del titular de un Responsable del Tratamiento a otro, siempre en base a la legitimación para la transmisión y la especial observancia de las adecuadas medidas de seguridad.

En el ámbito de las telecomunicaciones este derecho ha perseguido, claramente, el ampliar el poder de elección de operador por el titular dentro del mercado a partir de la facilidad de copiar y/o transmitir los datos de una operadora a otra dentro de los entornos digitales. Ha sido un elemento clave para el fomento de la competencia y la mejora de los servicios.

En el caso de la protección de datos veremos cómo, en las inminentes reformas legislativas que se avecinan, se acabará configurando el ejercicio de este derecho.

AEPD: DOS NUEVOS PLANES SECTORIALES DE OFICIO

La Agencia Española de Protección de Datos (AEPD) ha acordado el inicio de dos planes sectoriales de oficio:

  • El sector de las entidades financieras
  • El de las contrataciones realizadas de forma telefónica y a través de internet

Como ya se sabe, las inspecciones de oficio realizadas por la AEPD no tienen carácter sancionador sino preventivo; analizan el cumplimiento de la normativa de protección de datos en sectores o áreas específicas para obtener una visión integral y conjunta que permita detectar deficiencias y realizar las recomendaciones correspondientes de manera transversal con la idea de elevar el nivel de protección de los ciudadanos analizando para ello cómo tratan sus datos las organizaciones.

Unas 2660 denuncias (un tercio del total de las casi 8.000 que se presentan anualmente) corresponden al sector de los servicios financieros. Y un 40% de los españoles realiza compras online de forma habitual; de ahí la elección de estas dos actividades de negocio para el inicio de los dos nuevos planes sectoriales de oficio.

Uno de los objetivos de estos dos planes será el de recomendar la adopción de medidas que aporten las suficientes garantías a los consumidores en cuanto a la protección de sus datos personales, y evaluar cómo se están adaptando las empresas que operan en estos sectores a los requisitos legales establecidos en el nuevo Reglamento General de Protección de Datos, que será aplicable el 25 de mayo de 2018.

(Fuente: AEPD)

DESIGNACIÓN DEL DELEGADO DE PROTECCIÓN DE DATOS (DPD)

Designación obligatoria

El artículo 37 de la Normativa General de Protección de Datos ( NGPD) exige que se designe un DPD en tres casos específicos :

a) cuando el tratamiento lo lleva a cabo una autoridad u organismo públicos

b) cuando las actividades principales del responsable o el encargado del tratamiento consisten en operaciones de tratamiento que requieren el seguimiento regular y sistemático de los interesados a gran escala

c) cuando las actividades principales del responsable o el encargado del tratamiento consisten en el tratamiento a gran escala de categorías especiales de datos o datos personales relacionados con condenas y delitos penales

 Aunque no exista la obligación, el GP29 recomienda, como buena práctica, que:

  • Las organizaciones privadas que llevan a cabo tareas o ejercen autoridad pública designen un DPD,

y que

  • La actividad de dicho DPD cubra también todas las operaciones de tratamiento llevadas a cabo, incluidas las que no están relacionadas con el desempeño de una tarea pública o el ejercicio de una función pública (p. ej. la gestión de una base de datos de empleados).

Fuente: Directrices sobre los delegados de la protección de datos (DPD)

GRUPO DE TRABAJO DEL ARTÍCULO 29 SOBRE PROTECCIÓN DE DATOS  (GP29)

Este Grupo de Trabajo se creó de conformidad con el artículo 29 de la Directiva 95/46/CE. Se trata de un órgano consultivo independiente de la UE en materia de protección de datos y privacidad. Sus funciones se describen en el artículo 30 de la Directiva 95/46/CE y el artículo 15 de la Directiva 2002/58/CE.

APROBADO EL VIEJO-NUEVO CANON POR COPIA PRIVADA

El pasado 3 de Julio se aprobó el Real Decreto Ley 12/2017 referido al sistema de compensación equitativa que perciben los autores en compensación por la copia privada de sus obras.

Este Real Decreto Ley modifica el canon que era financiado a cargo de los Presupuestos Generales del Estado (que fue anulado por el Tribunal Supremo el pasado año) por un canon a satisfacer por los fabricantes y distribuidores de equipos y soportes de reproducción (tal y como se venía haciendo hasta 2011).

Este nuevo Real Decreto Ley ha introducido varias excepciones que salvarían los motivos que lo invalidaron en 2010, entre las que se encuentran las Administraciones Públicas -que no estarán obligadas a su pago- y las personas físicas y jurídicas, consumidores finales, y que utilicen los equipos o soportes con finalidades estrictamente profesionales, que tendrán derecho a su reembolso.

El importe del canon a pagar por cada equipo o soporte se establecerá mediante Real Decreto que se aprobará durante el próximo año y que, desde el 1 de agosto y hasta su entrada en vigor, viene establecido por el régimen transitorio introducido por el Real Decreto Ley y que desglosa los importes a abonar para los diferentes soportes o equipos, entre los que destacan:

  1. Impresoras multifunción: 5,25 euros.
  2. Grabadora DVD, 1,86 euros
  3. CD’s: 0,08 euros.
  4. CD’s regrabables: 0,10 euros.
  5. Memorias USB: 0,24 euros.
  6. Discos externos que reproduzcan contenidos: 6,45 euros.
  7. Discos integrados en un equipo que reproduzcan contenidos: 5,45 euros.*

* Se exceptúan aquellas videoconsolas que únicamente permitan jugar sin reproducir contenidos.

  1. Tablets: 3,15 euros.
  2. Smartphones: 1,10 euros.

Las entidades de gestión crearán un organismo que se dedicará al cobro y reembolso del canon, y a la que los fabricantes deberán enviar, de forma trimestral, una relación de los productos a los que se les aplica el canon. Este organismo también se encargará de firmar los certificados de excepciones para profesionales y personas autorizadas para la reproducción, y de aprobar las solicitudes de reembolso posterior. En la factura emitida al consumidor final deberá reflejarse el canon desglosado o se entenderá como no abonado, y por tanto, no susceptible de ser reembolsado.

Por el momento no se ven afectados los servicios de Streaming, pero el texto deja abierta la puerta a un futuro gravamen a plataformas como Netflix, Spotify o Amazon Prime, en su modificación del art. 31.2 LPI, eliminando la referencia al soporte que contenga la obra, y que queda redactado del siguiente modo:

«Que la reproducción se realice a partir de una fuente lícita y que no se vulneren las condiciones de acceso a la obra o prestación.»

DESDE EL GOBIERNO SE INSTA A LOS TITULARES DE PÁGINAS WEB A CUMPLIR CON LA LSSICE…

El Ministerio de Energía, Turismo y Agenda Digital, en el ejercicio de sus competencias, ha iniciado una campaña de envío de correos electrónicos a titulares de páginas web bajo el dominio “.es”, con el fin de que éstos las revisen y adecuen a la normativa aplicable, en particular a la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico, y, en caso de que las páginas web contengan actividades de comercio electrónico, (e-commerce), a la normativa en materia de Consumidores y Usuarios.

En las comunicaciones, el Ministerio no establece un plazo determinado para la adecuación de las páginas web a la legislación aplicable, pero podrá supervisar su cumplimiento pasado un tiempo razonable.

Es necesario recordar que el incumplimiento de las obligaciones de información derivadas de la LSSICE, puede llevar a infracciones susceptibles de ser sancionadas con hasta 300.000 euros de multa -para el caso de infracciones graves- así como incurrir en infracciones derivadas de otras normativas de aplicación como la LOPD, la normativa en materia de consumidores y usuarios u otras normativas sectoriales.

Es por ello que desde Logic Data Consulting queremos recordarles de la importancia de mantener al día los diferentes Avisos Legales (entre ellos la Política de Privacidad y de cookies) y, particularmente, mantener actualizadas las Condiciones de Uso y Contratación de las páginas web que dispongan de comercio electrónico, adaptándolas a las posibles modificaciones normativas.

Pueden obtener más información en  www.lssi.es

Noticias relacionadas en el blog de LDC:

https://www.logicdataconsulting.com/obligaciones-legales-de-los-sitios-web-1/