Reclamación de indemnización por daños y perjuicios contra la Administración Pública por vulneración del derecho a la protección de datos

Tengo encima de mi mesa una resolución de la Autoridad Catalana de Protección de Datos que declara culpable a una Administración Pública de haber cometido una infracción muy grave al publicar en su web datos de salud de un empleado y no eliminar la publicación pese a las reiteradas solicitudes de éste. Como es lógico, el ciudadano afectado por esta vulneración de su derecho quiere reclamar una indemnización por los daños y perjuicios sufridos, pero ¿cuál es el problema de este tipo de reclamaciones? El de siempre: cuantificar económicamente el daño causado.

Así que, para poder evaluar qué cantidad aproximada puede reclamarse ante una situación como la que se encuentra mi cliente me he puesto a buscar sentencias dictadas en casos similares y me he llevado desagradables sorpresas. Concretamente dos sentencias me han dejado boquiabierta.

La primera es la Sentencia del Tribunal Superior de Justicia de la Comunidad Valenciana (Sala de lo Contencioso) núm. 1498/2009, de 16 de octubre de 2009.

El actor reclama la cantidad de 140.000 euros por unas declaraciones sobre su salud realizadas por la Administración Pública para la que trabajaba (parte demandada) y que fueron publicadas en medios de comunicación de tirada nacional. En ellas se hablaba de su sordera y de su grado de discapacidad.

Seguir leyendo

Cambios en las Políticas de Privacidad de las páginas web

La entrada en vigor del Reglamento Europeo de Protección de Datos va a suponer a las empresas realizar muchos cambios en cuanto al tratamiento de los datos personales de sus clientes.

Uno de los cambios más llamativos o más visuales es el que van a sufrir las Políticas de Privacidad de las páginas web ya que, el Reglamento Europeo de Protección de Datos exige que el deber de información hacía el titular de los datos sea mucho más completo. De forma que, las empresas deberán cambiar sus cláusulas de protección de datos en los formularios de recogida de datos personales, las políticas de privacidad web, así como, como cualquier otro documento o medio donde se recojan datos personales.

¿Qué información deberá añadirse en las Políticas de Privacidad web?

Hasta la fecha, la Ley Orgánica de Protección Datos de Carácter Personal establecía que en el momento de recoger los datos personales de una persona física se le debía informar de los siguientes extremos (artículo 5):

a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

b) Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

e) De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Seguir leyendo

Datos personales de una persona fallecida

Hasta la fecha, la normativa española de protección de datos personales no establecía quién podía y qué se podía hacer en relación a los datos personales de una persona fallecida. Nos teníamos que remitir al derecho común. Bueno, mejor dicho “tenemos que” acudir al derecho común ya que, a fecha, es la normativa que por ahora está en vigor.

No obstante, la nueva Ley Orgánica de Protección de Datos, actualmente en anteproyecto de ley, sí que recoge quién y cómo se pueden gestionar los datos personales de una persona fallecida.

Así, en su artículo 3 se establece:

1. Los herederos de una persona fallecida que acrediten debidamente tal condición podrán dirigirse al responsable o encargado del tratamiento al objeto de solicitar el acceso a los datos personales de aquella, y, en su caso, su rectificación o supresión.

Como excepción, los herederos no podrán acceder a los datos del causante, ni solicitar su rectificación o supresión, cuando la persona fallecida lo hubiese prohibido expresamente o así lo establezca una ley.

2. El albacea testamentario así como aquella persona o institución a la que el fallecido hubiese conferido un mandato expreso para ello también podrá solicitar, con arreglo a las instrucciones recibidas, el acceso a los datos personales de éste y, en su caso su rectificación o supresión.

Mediante real decreto se establecerán los requisitos y condiciones para acreditar la validez y vigencia de estos mandatos e instrucciones y, en su caso, el registro de los mismos.

3. En caso de fallecimiento de menores o personas con discapacidad para las que se hubiesen establecido medidas de apoyo, estas facultades podrán ejercerse, en el marco de sus competencias, por el Ministerio Fiscal.

Seguir leyendo

La necesidad de regular y proteger los proyectos Big Data

Recientemente, la Agencia Española de Protección de Datos y la Asociación Española para el Fomento de la Seguridad de la Información, ISMS Forum Spain, han publicado un código de buenas prácticas en protección de datos en proyectos Big Data y es que, preocupa mucho el mal uso que pueda hacerse del gran volumen de datos personales que se manejan y las graves consecuencias que ello pueda acarrear.

Así, la mencionada guía define el término Big Data como:

El conjunto de tecnologías, algoritmos y sistemas empleados para recolectar datos a una escala y variedad no alcanzada hasta ahora y a la extracción de información de valor mediante sistemas analíticos avanzados soportados por computación en paralelo.

El uso de Big Data, como cualquier otra tecnología a nuestro alcance, tiene sus ventajas y sus inconvenientes o riesgos. Como parte positiva podemos destacar que gracias al almacenamiento masivo de datos hay sectores que pueden predecir futuras necesidades y así prepararse para poder cubrirlas, pensemos por ejemplo en el sector sanitario. Gracias al Big Data han podido predecirse necesidades hospitalarias, epidemias de enfermedades, etc. preparándose así para lo que estaba por venir.

Por otro lado, las empresas pueden saber qué productos son los que más necesitan sus clientes o son los más demandados y cómo ofrecérselo y a qué precio. Algo que beneficia muchísimo a las empresas.

Seguir leyendo

Nueva normativa igual a nuevas medidas de seguridad

Desde que a finales de 2007 entrase en vigor el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprobó el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, las empresas han tenido relativamente “fácil” cumplir con la normativa relativa a la protección de datos.

Y es que, dicho Reglamento (aún vigente) establece cuáles son las medidas de seguridad exactas que los responsables de los ficheros (las empresas) deben cumplir en función del tipo de dato personal que tratan, estructurándose o dividiéndose en datos de nivel básico, medio y alto.

Ahora bien, la reciente entrada en vigor del Reglamento Europeo de Protección de Datos, de aplicación directa para todos los Estados miembros y de obligado cumplimiento a partir del 25 de mayo de 2018, cambia totalmente esta situación.

Seguir leyendo

Evaluación de impacto relativa a la protección de datos. Nueva obligación.

A finales de octubre de 2014, os hablaba en un artículo sobre la privacidad desde el diseño y los planes de evaluación de impacto en materia de protección de datos y, os contaba, que pese a recomendarse por la Agencia Española de Protección de Datos llevar a cabo este tipo de planes ante proyectos que pudieran poner en riesgo la intimidad y privacidad del usuario, en España no era obligatorio, aunque si recomendable.

Pues bien, con la entrada en vigor del nuevo Reglamento Europeo de Protección de Datos, de aplicación directa para todos los Estados miembros de la Unión Europea y de obligado cumplimiento a partir del 25 de mayo de 2018, realizar planes de evaluación de impacto en materia de protección de datos pasa a ser obligatorio para algunos tratamientos de datos personales.

La Evaluación de impacto relativa a la protección de datos.

Los planes de Evaluación de impacto relativos a la protección de datos tienen como finalidad proteger la intimidad y privacidad del usuario. Así, cuando tenemos entre las manos un proyecto de negocio que tratará datos de personas físicas que, podrían correr riesgo por el tipo de dato del que se trate o que por la naturaleza del proyecto podría ponerse en riesgo la intimidad y privacidad del usuario y/o cliente, será necesario y obligatorio realizar una Evaluación de impacto relativo a la protección de datos.

Seguir leyendo

Ambito de aplicación del nuevo Reglamento Europeo de Protección de Datos

La entrada en vigor del nuevo Reglamento Europeo de Protección de Datos, el pasado 25 de mayo de 2016, aunque no aplicable hasta dentro de dos años, esto es, hasta el 25 de mayo de 2018, supone un cambio drástico respecto a la actual normativa del derecho a la protección de datos personales de las personas físicas.

Así, uno de los cambios más significativos o que, sin duda, más darán que hablar, es el ámbito territorial de aplicación del nuevo Reglamento Europeo de Protección de datos y es que, será aplicable para el tratamiento de datos personales de todos los ciudadanos europeos (personas físicas), con independencia de que el tratamiento se lleve a cabo por una empresa que se encuentre ubicada en la Unión Europea o fuera de ésta (ya sea, porque ofrece al ciudadano europeo sus bienes o servicios o porque hace un seguimiento de su conducta). Es decir, las empresas, estén o no físicamente dentro de la Unión Europea, que ofrezcan sus bienes y servicios en Europa, aunque estos sean gratuitos  y/o controlen el comportamiento de las personas físicas residentes en Europa, deberán cumplir con la nueva normativa.

Además, el Reglamento Europeo de Protección de Datos, también será de aplicación directa para todas las empresas que se encuentren dentro de la Unión Europea, traten o no datos personales de ciudadanos europeos.

Seguir leyendo

Derecho a la portabilidad de los datos personales

Una de las novedades más llamativas o, por lo menos, una de las más relevantes del nuevo Reglamento Europeo de Protección de Datos (aplicable de forma directa para toda la Unión Europea a partir del 25 de mayo de 2018) es el llamado derecho a la portabilidad de los datos.

¿En que consiste el derecho a la portabilidad de los datos?

El derecho a la portabilidad de los datos consiste en reconocer a cualquier ciudadano europeo el derecho (y, a partir del 25 de mayo de 2018, así podrá ejercerlo) a que cualquier empresa que trate sus datos personales de forma automatizada (informáticamente hablando) se los entregue o los transmita a cualquier otra empresa (por él designada) en un formato organizado, legible y mecanizado.

En definitiva, se trata del derecho a que los datos personales de un ciudadano europeo, recogidos en archivos automatizados, puedan serle entregados a él o traspasados, si así éste lo solicita, a otra empresa de forma fácil y ágil y directa entre las dos empresas.

Dicho derecho debe aplicarse cuando el interesado haya facilitado los datos personales dando su consentimiento o cuando el tratamiento sea necesario para la ejecución de un contrato.

Seguir leyendo

¿Puedo entrar en la cuenta de Facebook de mis hijos menores de edad?

Los menores de edad tienen reconocido el derecho a la intimidad y privacidad como un derecho fundamental y, además, a partir de los 15 años pueden decidir de forma autónoma (como si de un mayor de edad se tratase) sobre el tratamiento de sus datos personales, es decir, la normativa sobre Protección de Datos les otorga capacidad suficiente para decidir sobre sus datos, en definitiva, sobre su privacidad.

Esto que a priori, no parece ningún problema, puede entrar en colisión con el derecho de los padres a proteger a sus hijos menores de edad.

Prueba de ello, es que en principio los padres no pueden vulnerar el derecho a la intimidad y privacidad de sus hijos menores de edad, pero ¿qué ocurre si hay indicios de que los menores puedan estar siendo víctimas de un delito? ¿puede el padre vulnerar el derecho a la intimidad de su hijo para protegerle?

Esto es lo que ha resuelto el Tribunal Supremo en una reciente sentencia que ha traído cola y para la que hay opiniones dispares.

En el caso resuelto por el Tribunal Supremo, una menor de quince años, estaba siendo acosada sexualmente por un hombre mayor de edad. La hermana de la menor lo intuye porque le parece ver como su hermana pequeña tiene en pantalla a un hombre desnudo, se lo comenta a su madre y esta, utilizando el usuario y contraseña de su hija menor de edad, entra en su perfil de Facebook donde comprueba el acoso que está sufriendo su hija.

Seguir leyendo

¿Puedo utilizar empresas de EEUU para almacenar datos personales?

¿Qué está pasando con las transferencias internacionales de datos a EEUU?

En estos últimos meses, muchos habréis leído u escuchado que ya no podemos almacenar datos personales en programas, servidores…que estén alojados en EEUU (el caso más típico y sobre el que he recibido más consultas es Dropbox).

Esto no es así del todo, paso a explicarme:

Hasta la fecha, para poder almacenar datos personales de nuestros clientes, trabajadores, usuarios, etc. en servidores, empresas, programas…debíamos asegurarnos de que dichos datos personales se quedaban en Europa para cumplir con la ley de protección de datos ya que, la normativa de protección de datos proviene de una Directiva Europea que vincula a todos los Estados miembros, más o menos, en la misma medida (dependiendo de cómo cada Estado haya implantado los requisitos legales mínimos de la Directiva Europea. En el caso de España, actualmente, es de las normativas más restrictivas).

No obstante y pese a lo dicho, cabía la posibilidad de que se almacenasen datos personales fuera de Europa, por ejemplo, en EEUU, siempre y cuando, la empresa donde su fuesen a almacenar estuviese adherida al “Safe Harbor” o “protocolo de puerto seguro”.

Seguir leyendo