lunes, 21 de octubre de 2013

TRATAMIENTO DE DATOS PERSONALES, LEGISLACIÓN ESPAÑOLA. CONSULTA FORMULADA A LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS.




TRATAMIENTO DE DATOS PERSONALES, LEGISLACIÓN ESPAÑOLA. CONSULTA FORMULADA A  LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS.

La consulta plantea si, de conformidad con lo previsto en la Ley
Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter
personal, la red social deportiva a que se refiere la consulta está autorizada a
publicar material audiovisual en que aparecen menores. Indica que la mecánica
consiste en que los participantes suban su material a canales privados de
Youtube que después se enlaza a través de la red social. La red social a que la
consulta se refiere tiene a estos efectos un perfil en Facebook. Consulta,
asimismo, en caso de que surgiesen problemas tras enlazar el material que
previamente estará subido en Youtube en quien derivaría la responsabilidad. [1]

En este sentido el Grupo de trabajo del artículo 29, órgano consultivo
independiente de la UE sobre protección de los datos y la vida privada, creado
en virtud de lo previsto en el citado artículo de la Directiva 95/46/CE
relativa a
la protección de las personas físicas en lo que respecta al tratamiento de datos
personales y a la libre circulación de estos datos, en
su Dictamen 5/2009
relativo a las redes sociales en línea, adoptada el 12 de junio de 2009, al
determinar a quien se atribuye la condición de responsable del fichero o
tratamiento de datos señala que los proveedores de servicios de redes sociales
son responsables del tratamiento de datos en virtud de la Directiva relativa a la
protección de datos. Proporcionan los medios que permiten tratar los datos de
los usuarios, así como todos los servicios «básicos» vinculados a la gestión de
los usuarios (por ejemplo, el registro y la supresión de cuentas).”
De este modo, en su calidad de responsables del fichero o tratamiento
estarán sujetos a todas aquellas obligaciones y deberes impuestos por la Ley
Orgánica 15/1999 y su normativa de desarrollo, que no se encuentran
limitadas a la notificación de la creación del fichero para su inscripción en el
Registro General de Protección de datos, así como a las responsabilidades que
conforme a dicha Ley sean exigibles.
Como señala el aludido Dictamen 5/2009 los usuarios deben
proporcionar datos personales para generar su descripción o perfil. De este
modo el proveedor de un servicio de redes sociales lleva a cabo un tratamiento
de datos personales definido en el artículo 5.1.t del Reglamento de desarrollo
de la Ley Orgánica 15/1999 como “
cualquier operación o procedimiento
técnico, sea o no automatizado, que permita la recogida, grabación,
conservación, elaboración, modificación, consulta, utilización, modificación,
cancelación, bloqueo o supresión, así como las cesiones de datos que resulten
de comunicaciones, consultas, interconexiones y transferencias.”
El tratamiento de datos de carácter personal debe encontrarse fundado
en alguna de las causas legitimadoras previstas en el artículo 6 de la Ley
Orgánica 15/1999, disponiendo a este respecto su número primero que “El
tratamiento de los datos de carácter personal requerirá el consentimiento
inequívoco del afectado, salvo que la ley disponga otra cosa.”
En lo que al presente supuesto se refiere la legitimación para el tratamiento de datos
personales solamente puede encontrarse en el consentimiento de los
interesados.
Dicho
consentimiento debe reunir las características señaladas en
el artículo 3.h de la misma Ley que lo define como
“manifestación de voluntad,
libre, inequívoca, específica e informada, mediante la que el interesado
consienta el tratamiento de datos personales que le conciernen”.
Esta Agencia ha venido describiendo en sus informes dichas
características de manera que se entiende por consentimiento libre aquel que
ha sido obtenido sin la intervención de vicio alguno del consentimiento en los
términos regulados por el Código Civil.
El consentimiento específico viene referido a una determinada
operación de tratamiento y para una finalidad determinada, explícita y legítima
del responsable del tratamiento, tal y como impone el artículo 4.1 de la Ley
Orgánica 15/1999.
Para que pueda hablarse de consentimiento inequívoco se exige la
realización de una acción u omisión que implique la existencia del
consentimiento.
En cuanto al requisito de la información, supone que el afectado conozca
con anterioridad al tratamiento la existencia del mismo y las finalidades para las
que el mismo se produce. A este respecto será preciso, que se facilite al
interesado la información a que hace referencia el artículo 5.1 de la Ley
Orgánica 15/1999
según el cual
Los interesados a los que se soliciten datos
personales deberán ser previamente informados de modo expreso, preciso e
inequívoco:
a.
De la existencia de un fichero o tratamiento de datos de carácter
personal, de la finalidad de la recogida de éstos y de los destinatarios de la
información.
b.
Del carácter obligatorio o facultativo de su respuesta a las preguntas que
les sean planteadas.
c.
De las consecuencias de la obtención de los datos o de la negativa a
suministrarlos.
d.
De la posibilidad de ejercitar los derechos de acceso, rectificación,
cancelación y oposición.[2]
De la identidad y dirección del responsable del tratamiento o, en su
caso, de su representante.”
Por consiguiente, los proveedores de servicios de redes sociales deben
informar a los usuarios de su identidad y proporcionarles información clara y
completa sobre las finalidades y las distintas maneras en que van a tratar los
datos personales.
El Reglamento de desarrollo de la Ley Orgánica 15/1999, aprobado por
Real Decreto 1720/2007, de 21 de diciembre, precisa en el segundo inciso de
su artículo 12.1 que
“La solicitud del consentimiento deberá ir referida a un
tratamiento o serie de tratamientos concretos, con delimitación de la finalidad
para los que se recaba, así como de las restantes condiciones que concurran
en el tratamiento o serie de tratamientos.”
Y añade en el número segundo que
“Cuando se solicite el consentimiento del afectado para la cesión de sus datos,
éste deberá ser informado de forma que conozca inequívocamente la finalidad
a la que se destinarán los datos respecto de cuya comunicación se solicita el
consentimiento y el tipo de actividad desarrollada por el cesionario. En caso
contrario, el consentimiento será nulo.”
Señala igualmente en este sentido el dictamen 5/2009 respecto de la
información a facilitar que “
Los proveedores de SRS deberían informar a los
usuarios de su identidad y de los distintos fines para los que tratan los datos
personales, de conformidad con las disposiciones del artículo 10 de la Directiva
relativa a la protección de datos, a saber, entre otras cosas:
- la utilización de los datos con fines de comercialización directa;
- la posible distribución de datos a categorías específicas de terceros;
- una reseña de los perfiles: su creación y sus principales fuentes de datos;
- la utilización de datos sensibles.”
En lo que respecta a la prueba de la obtención del consentimiento el
Reglamento de desarrollo de la Ley Orgánica 15/1999, dispone en su artículo
12.3 que
“corresponderá al responsable del tratamiento la prueba de la
existencia del consentimiento del afectado por cualquier medio de prueba
admisible en derecho.”
Por consiguiente, rige el principio de libertad de forma para acreditar la
obtención del consentimiento, ello sin perjuicio de lo previsto en el artículo 7 de
la Ley Orgánica 15/1999 que exige que el consentimiento sea expreso para el
tratamiento y cesión de datos que hagan referencia al origen racial, a la salud y
a la vida sexual y que sea, además de expreso, por escrito cuando se trate de
datos que revelen la ideología, afiliación sindical, religión y creencias, con la
salvedad de lo previsto para su tratamiento en el segundo inciso del artículo
7.2.
Rige igualmente, tras la Sentencia de
15 de julio de 2010, de la Sala
Tercera del Tribunal Supremo, el principio de libertad de forma para acreditar el
cumplimiento del deber de información.
En los supuestos de recogida de datos online esta Agencia ha considerado
suficiente la existencia de una política de privacidad fácilmente accesible por el
usuario como acreditación del cumplimiento del deber de información,
igualmente ha considerado que puede servir como prueba de la prestación del
consentimiento la
acreditación de que el programa impide introducir los datos
sin antes haber aceptado dicha política de privacidad.
Por consiguiente, las finalidades declaradas en dicha política de
privacidad vinculan al responsable del tratamiento, (en el presente supuesto el
proveedor del servicio de red social) que no podrá modificar sus términos sin
obtener un nuevo consentimiento informado. Dispone así el artículo 4.2 de la
Ley Orgánica
Los datos de carácter personal sólo se podrán recoger para su
tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados,
pertinentes y no excesivos en relación con el ámbito y las finalidades
determinadas, explícitas y legítimas para las que se hayan obtenido.”
Asimismo, los datos a recabar deberán ser adecuados, pertinentes y no
excesivos en relación con las finalidades perseguidas que deberán constar en
la política de privacidad, dichas finalidades deberán ser además de
determinadas y explícitas, legítimas tal y como dispone el número primero del
artículo 4 según el cual “
Los datos de carácter personal sólo se podrán
recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando
sean adecuados, pertinentes y no excesivos en relación con el ámbito y las
finalidades determinadas, explícitas y legítimas para las que se hayan
obtenido.[3]



En lo que respecta a la publicación de contenidos en la propia red
social o a través del enlace que se realiza a material previamente subido a
servicios como Youtube que, de lo señalado en la consulta parece
desprenderse que se efectúa exclusivamente por los propios usuarios,
debe tenerse en cuenta lo siguiente:
En primer lugar, si las imágenes que constan en videos o fotografías
permiten la identificación de las personas que en ellas aparecen tendrán la
consideración de datos personales encontrándose amparadas por lo previsto
en la Ley Orgánica 15/1999.
Debe, asimismo, examinarse si, aún siendo la imagen un dato personal,
en los términos vistos, la toma y difusión de imágenes realizada por
particulares puede quedar excluida de la aplicación de la normativa de
protección de datos. Establece a este respecto la Ley Orgánica 15/1999 en su
artículo 2 que “
El régimen de protección de los datos de carácter personal que
se establece en la presente Ley Orgánica no será de aplicación: a) A los
ficheros mantenidos por personas físicas en el ejercicio de actividades
exclusivamente personales o domésticas.”
En cuanto a la determinación de que se entiende por actividades
personales o domésticas dispone el Reglamento de desarrollo de la LOPD en
su artículo 4 que
Sólo se considerarán relacionados con actividades
personales o domésticas los tratamientos relativos a las actividades que se
inscriben en el marco de la vida privada o familiar de los particulares.”
Esta es también la interpretación del término “personal” contenida en la
Sentencia de la Audiencia Nacional de 15 de junio de 2006 al señalar que
“(...)
Será personal cuando los datos tratados afecten a la esfera más íntima de la
persona, a sus relaciones familiares y de amistad y que la finalidad del
tratamiento no sea otra que surtir efectos en esos ámbitos. “[4]


Debe añadirse que la limitación en el acceso a las imágenes puede no ser
el único indicador de que estamos ante un uso familiar o doméstico, así el
Grupo de trabajo del artículo 29 en el aludido Dictamen 5/2009 destaca que habitualmente, el acceso a los datos (datos de perfil, archivos subidos a la red,
textos...) aportados por un usuario viene limitado a los contactos por él mismo
elegidos. Sin embargo, en algunos casos los usuarios pueden llegar a tener un
gran número de personas de contacto, y de hecho puede darse el caso de que
no conozca a algunos de ellos. Señala el Dictamen que un alto número de
contactos puede ser una indicación para que no se aplique la exclusión a la
normativa de protección de datos a que se viene haciendo referencia y se
considere al usuario responsable de un fichero, debiendo asumir algunas de las
responsabilidades de éstos.
De este modo la Ley Orgánica 15/1999 resultará aplicable en aquellos
supuestos en que se supere dicho ámbito personal, como el supuesto en que
las imágenes se publiquen en Internet en una página de libre acceso para
cualquier persona o cuando el alto número de personas invitadas a contactar
con dicha página resulte indicativo de que dicha actividad se extiende más allá
de lo que es propio de dicho ámbito. En estos casos, nos hallamos ante una

cesión de datos sujeta al régimen establecido por la Ley Orgánica 15/1999, que
exige el consentimiento del interesado y en caso de que este sea menor de 14
años el de sus padres o tutores.
Cabe así recordar la Sentencia de 2 de enero de 2013 de la Audiencia
Nacional, confirmatoria de una Resolución de esta Agencia declarando una
infracción por vulneración del principio de consentimiento (recogido en el
artículo 6 de la Ley Orgánica 15/1999), por la difusión efectuada por un
usuario de Facebook de un vídeo en su muro, libremente accesible a cualquier
usuario de dicha red social, en que éste aparece conversando con un grupo
de escolares menores de edad (de entre 7 y 8 años) que miran a la cámara y
cuyo rostro resulta identificable sin que dicho usuario de la red social hubiera
obtenido para dicha difusión el consentimiento de sus padres o tutores.
Debe así tenerse en cuenta que en el Dictamen 5/2009 se señala que
“El Grupo de Trabajo recomienda que:
- los proveedores de SRS adviertan adecuadamente a los usuarios sobre los
riesgos de ataque a su intimidad y a la de otros cuando ponen información en
línea en los SRS;
- los SRS recuerden a sus usuarios que poner en línea información relativa a
otras personas puede perjudicar su derecho a la intimidad y a la protección de
datos;
- los SRS aconsejen a sus usuarios que no pongan en línea fotografías o
información relativa a otras personas sin el consentimiento de éstas.”[5]


No obstante, aunque en una red social sean los propios usuarios
quienes hacen públicos datos personales y a ellos a quien se imputaría, en su
caso, la responsabilidad por una actuación vulneradora de lo previsto en la
Ley Orgánica 15/1999 con motivo de la publicación de datos personales, debe
recordarse que el proveedor de la red social se encuentra obligado a adoptar
las pertinentes medidas de seguridad tal y como establece el artículo 9.1 de la
Ley Orgánica 15/1999 según el cual “
El responsable del fichero, y, en su caso,
el encargado del tratamiento deberán adoptar las medidas de índole técnica y
organizativas necesarias que garanticen la seguridad de los datos de carácter
personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado,
habida cuenta del estado de la tecnología, la naturaleza de los datos
almacenados y los riesgos a que están expuestos, ya provengan de la acción
humana o del medio físico o natural.

Debe igualmente recordarse en materia de responsabilidad que, además
de la protección otorgada por la Ley Orgánica 15/1999, la publicación de vídeos
o fotografías de terceros sin su consentimiento puede infringir su
derecho al
honor, a la intimidad o a la propia imagen, derechos cuya protección se rige por
lo dispuesto en
la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del
derecho al honor, a la intimidad personal y familiar y a la propia imagen.[6]

Entre los derechos de los interesados, y correlativa obligación de hacer
efectivos los mismos por parte del proveedor de la red social, se encuentran los
derechos de acceso, rectificación, cancelación y oposición regulados en los
artículos 15 y siguientes de la Ley Orgánica 15/1999 y en los artículo 23 a 36
de su Reglamento de desarrollo[7]


Debe señalarse que la cancelación de los datos no supone su
eliminación automática, sino su bloqueo tal y como dispone el artículo 16.3 de
la Ley Orgánica 15/1999 al establecer que
“La cancelación dará lugar al
bloqueo de los datos, conservándose únicamente a disposición de las
Administraciones públicas, Jueces y Tribunales, para la atención de las
posibles responsabilidades nacidas del tratamiento, durante el plazo de
prescripción de éstas. Cumplido el citado plazo deberá procederse a la
supresión.”
El aludido Reglamento de desarrollo de la Ley Orgánica 15/1999, define
en su artículo 5.1. b) la cancelación como “
Procedimiento en virtud del cual el
responsable cesa en el uso de los datos. La cancelación implicará el bloqueo
de los datos, consistente en la identificación y reserva de los mismos con el fin
de impedir su tratamiento excepto para su puesta a disposición de las
Administraciones públicas, Jueces y Tribunales, para la atención de las
posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de
prescripción de dichas responsabilidades. Transcurrido ese plazo deberá
procederse a la supresión de los datos.”
En cuanto al modo de llevar a cabo el bloqueo, se señalaba en informe
de esta Agencia de 5 de junio de 2007 que “
deberá efectuarse de forma tal que
no sea posible el acceso a los datos por parte del personal que tuviera
habitualmente tal acceso, por ejemplo, el personal que preste sus servicios en
el centro consultante, limitándose el acceso a una persona con la máxima
responsabilidad y en virtud de la existencia de un requerimiento judicial o
administrativo a tal efecto. De este modo, pese a permanecer el tratamiento de
los datos, el acceso a los mismos quedaría enteramente restringido a las
personas a las que se ha hecho referencia.”[8]

Por último, tomando en consideración que la red social deportiva a que
la consulta se refiere va a permitir su uso por menores, debe
recordarse que
esta
Agencia ha publicado unas recomendaciones para la protección de datos
de los menores, en las que se señalaba que deben extremarse las
precauciones en Internet y, en particular, se indicaba que “no es aconsejable
publicar fotos que identifiquen a un niño, por ejemplo situándole en el contexto
de un colegio y/o actividad determinados.”


[1] Agencia Española de Protección de Datos. Gabinete Jurídico. Informe 0197/2013
[2] Agencia Española de Protección de Datos. Gabinete Jurídico. Informe 0197/2013
[3] Agencia Española de Protección de Datos. Gabinete Jurídico. Informe 0197/2013
[4]  Agencia Española de Protección de Datos. Gabinete Jurídico. Informe 0197/2013
[5]   Agencia Española de Protección de Datos. Gabinete Jurídico. Informe 0197/2013
[6]   Agencia Española de Protección de Datos. Gabinete Jurídico. Informe 0197/2013
[7]   Agencia Española de Protección de Datos. Gabinete Jurídico. Informe 0197/2013
[8]   Agencia Española de Protección de Datos. Gabinete Jurídico. Informe 0197/2013
[9]   Agencia Española de Protección de Datos. Gabinete Jurídico. Informe 0197/2013

No hay comentarios: