Reclamación de indemnización por daños y perjuicios contra la Administración Pública por vulneración del derecho a la protección de datos

Tengo encima de mi mesa una resolución de la Autoridad Catalana de Protección de Datos que declara culpable a una Administración Pública de haber cometido una infracción muy grave al publicar en su web datos de salud de un empleado y no eliminar la publicación pese a las reiteradas solicitudes de éste. Como es lógico, el ciudadano afectado por esta vulneración de su derecho quiere reclamar una indemnización por los daños y perjuicios sufridos, pero ¿cuál es el problema de este tipo de reclamaciones? El de siempre: cuantificar económicamente el daño causado.

Así que, para poder evaluar qué cantidad aproximada puede reclamarse ante una situación como la que se encuentra mi cliente me he puesto a buscar sentencias dictadas en casos similares y me he llevado desagradables sorpresas. Concretamente dos sentencias me han dejado boquiabierta.

La primera es la Sentencia del Tribunal Superior de Justicia de la Comunidad Valenciana (Sala de lo Contencioso) núm. 1498/2009, de 16 de octubre de 2009.

El actor reclama la cantidad de 140.000 euros por unas declaraciones sobre su salud realizadas por la Administración Pública para la que trabajaba (parte demandada) y que fueron publicadas en medios de comunicación de tirada nacional. En ellas se hablaba de su sordera y de su grado de discapacidad.

Seguir leyendo

¿Puedo utilizar empresas de EEUU para almacenar datos personales?

¿Qué está pasando con las transferencias internacionales de datos a EEUU?

En estos últimos meses, muchos habréis leído u escuchado que ya no podemos almacenar datos personales en programas, servidores…que estén alojados en EEUU (el caso más típico y sobre el que he recibido más consultas es Dropbox).

Esto no es así del todo, paso a explicarme:

Hasta la fecha, para poder almacenar datos personales de nuestros clientes, trabajadores, usuarios, etc. en servidores, empresas, programas…debíamos asegurarnos de que dichos datos personales se quedaban en Europa para cumplir con la ley de protección de datos ya que, la normativa de protección de datos proviene de una Directiva Europea que vincula a todos los Estados miembros, más o menos, en la misma medida (dependiendo de cómo cada Estado haya implantado los requisitos legales mínimos de la Directiva Europea. En el caso de España, actualmente, es de las normativas más restrictivas).

No obstante y pese a lo dicho, cabía la posibilidad de que se almacenasen datos personales fuera de Europa, por ejemplo, en EEUU, siempre y cuando, la empresa donde su fuesen a almacenar estuviese adherida al “Safe Harbor” o “protocolo de puerto seguro”.

Seguir leyendo

¿Cuándo puedo enviar correos comerciales?

Una de las situaciones más comunes que me encuentro a la hora de adaptar empresas a la normativa de protección de datos, es que éstas suelen tener como práctica habitual enviar correos comerciales, sobre sus productos y servicios, a otras empresas o personas físicas que consideran que pueden llegar a ser clientes potenciales y, la pregunta es ¿pueden hacerlo?

¿Las empresas pueden enviar correos comerciales a otras empresas y/o personas físicas?

La respuesta es no, salvo que, los correos comerciales se envíen a empresas o personas físicas que ya son clientes, aunque estos no hayan consentido expresamente el uso de sus datos para el envío de correos comerciales.

Así lo establece el artículo 21 de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI):

Artículo 21 Prohibición de comunicaciones comerciales realizadas a través de correo electrónico o medios de comunicación electrónica equivalentes

1. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.

2. Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.

En todo caso, el prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.

Cuando las comunicaciones hubieran sido remitidas por correo electrónico, dicho medio deberá consistir necesariamente en la inclusión de una dirección de correo electrónico u otra dirección electrónica válida donde pueda ejercitarse este derecho, quedando prohibido el envío de comunicaciones que no incluyan dicha dirección.

Seguir leyendo

Responsabilidad de los titulares de las páginas web de enlaces

Por todos es sabido que las últimas reformas normativas sobre la Ley de Propiedad Intelectual y el Código Penal están dirigidas, entre otras cosas, a acabar con las páginas web de enlaces y, de ese modo, intentar acabar con la piratería en internet.

Por ello, estamos presenciando últimamente como las principales páginas web de enlaces de nuestro país, ante estos cambios normativos, están retirando los enlaces a las obras (películas, series, música…).

¿Por qué se ha cambiado la normativa?

La respuesta es evidente, con la anterior regulación, las páginas web de enlaces no cometían delito de propiedad intelectual alguno y, por tanto, sus titulares no podían ser acusados, ni condenados y, respecto a la vía civil, tampoco se conseguía ni sancionar, ni poder cerrar las páginas web de enlaces, que es lo que se pretende ahora con la reforma.

Seguir leyendo

¿Qué es el documento de seguridad de la LOPD? Contenido y Modelo

El Documento de Seguridad es el documento que deben tener todas las empresas/profesionales que deben cumplir con la LOPD.

Las empresas que deben cumplir con la LOPD son todas aquellas que recojan datos personales de personas físicas (trabajadores, clientes, cámaras de videovigilancia…). Y, en este sentido, el Documento de Seguridad debe recoger las medidas de seguridad de la empresa respecto de los datos personales que trata.

¿Es obligatorio tener un documento de seguridad?

Siempre que recojamos y tratemos datos personales de personas físicas, estaremos obligados a cumplir con la LOPD y, en ese caso, estaremos obligados a disponer de un documento de seguridad.

Por tanto, una de las obligaciones básicas para cumplir con la normativa de protección de datos es disponer de un documento de seguridad. En definitiva, sí es obligatorio disponer de un documento de seguridad.

Seguir leyendo

¿Debe mi empresa cumplir con la LOPD?

Desde el momento en que una empresa tiene trabajadores o recoge datos personales (nombre, apellidos, teléfono, dirección, etc.) de sus clientes, la respuesta es sí, la empresa debe cumplir con la LOPD.

Por tanto, cualquier empresa deberá cumplir con la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), salvo que, se trate de una empresa sin trabajadores, sin cámaras de videovigilancia y cuyos clientes únicamente sean personas jurídicas (profesionales autónomos u otras empresas). Es decir,  empresas que solo recojan y traten datos de autónomos o empresas. Situación ésta, cuanto menos, poco habitual.

¿Qué implica cumplir con la LOPD?

Para cumplir con la normativa de protección de datos (LOPD) deben cumplirse una serie de requisitos:

Seguir leyendo

Contrato de tratamiento de datos personales (artículo 12 LOPD)

En principio y cuando de proteger los datos personales de los ciudadanos se trata, nuestra normativa es muy exigente y establece que, cuando vamos a comunicar datos personales de los que somos responsables (trabajadores, clientes, alumnos, pacientes…) a terceras personas o empresas es necesario que, previamente, hayamos obtenido el consentimiento expreso del titular de los datos, para llevar a cabo esa cesión de datos personales.

No obstante, existen excepciones a esta regla que permiten facilitar datos personales a terceros sin tener que obtener el consentimiento del titular de los datos. Así, podremos facilitar datos personales a terceros sin tener que pedir el consentimiento del afectado, siempre y cuando, esa comunicación de datos sea necesaria para que ese tercero pueda prestarnos un servicio.

En este sentido el artículo 12.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), establece:

No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.

Seguir leyendo

La Privacidad desde el Diseño y las Evaluaciones de Impacto en la Protección de Datos

Privacidad desde el diseñoEl uso de las nuevas tecnologías es parte ya de nuestra vida diaria y fruto de ello, cada día nacen nuevos productos y servicios ofrecidos a través de medios tecnológicos (por ejemplo, aplicaciones móviles). El problema de dichos productos y servicios es que son creados con una finalidad concreta y con un objetivo económico claro y pocas veces, mientras se diseña y crea el producto o servicio, se piensa en cómo, una vez terminado, va a afectar dicho proyecto a la privacidad del usuario que lo utilice, es decir, cómo se va a proteger la intimidad del usuario que utilice el producto.

Y es aquí, cuando nace el término o el concepto “la privacidad desde el diseño“, la idea de que el diseño del producto o servicio que vamos a crear debe tener en cuenta, desde un principio, la protección de la privacidad del usuario. En caso contrario, nos encontramos que una vez terminado el proyecto no somos capaces de encajar su diseño (ya terminado) con el cumplimiento de la normativa de protección de datos.

Para evaluar si nuestro producto o servicio cumple con “la privacidad desde el diseño” podemos utilizar varias herramientas, una de ellas son las Evaluaciones de Impacto en la Privacidad o en la Protección de Datos.

Seguir leyendo

Cesión de datos personales

Cesión de datos personales¿Qué es la cesión de datos personales?

Cuando una  administración, empresa o autónomo que trata datos personales (clientes, trabajadores, etc) los comunica a terceros ajenos, hablamos de cesión de datos personales. Por ejemplo, estamos ante una cesión de datos personales, cuando una empresa comunica a otra los datos personales de sus clientes o trabajadores.

La definición de lo que es una cesión de datos personales la encontramos regulada en el artículo 3 i) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, que establece que la cesión de datos personales o comunicación de datos es: Toda revelación de datos realizada a una persona distinta del interesado.

Requisitos para poder realizar una cesión de datos:

Para poder llevar a cabo una cesión de datos personales o comunicación  de datos, de conformidad con la normativa, es necesario:

Obtener el consentimiento del titular de los datos. El afectado por la cesión de los datos, debe ser informado y consentir expresamente la comunicación de los datos, para ello es necesario que sepa a quién se van a ceder y con qué finalidad. en este sentido, el artículo 6 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal regula la obtención y características del consentimiento del titular de los datos.

Seguir leyendo

Listas de morosos y protección de datos personales

¿Qué son las listas de morosos?

Las listas de morosos o ficheros de morosidad, son los registros donde se incluyen las personas o empresas que tienen deudas económicas. Estos ficheros son ofrecidos por empresas que prestan un servicio de información sobre la solvencia patrimonial y el crédito de las personas y empresas.

Las listas de morosos más conocidas, actualmente, son las del RAI y Asnef-Equifax.

¿Quién puede colocar a alguien en la lista de morosos?

El acreedor de la deuda podrá ceder los datos personales del deudor a las empresas que gestionan las listas de morosos para que los introduzcan, siempre y cuando:

  • Haya informado al deudor, en el momento de celebrar el contrato o previo requerimiento, que en caso de no producirse el pago en el término previsto para ello, los datos relativos al impago podrán ser comunicados a ficheros de morosidad.
  • Exista una deuda cierta, vencida y exigible.
  • No hayan transcurrido más de seis años desde que se originó la deuda o se realizó el último intento de cobro.
  • Exista un requerimiento previo de reclamación del acreedor al deudor.

Seguir leyendo