NO CON MI EMAIL – A cuenta del uso del mail y teléfono particular en el ámbito laboral.

/0 Comentarios/en /por

En los últimos días hemos sabido (a través de un medio que hay que aplaudir y pedir que sea más habitual, como son las notas judiciales publicadas en la web del Consejo General del Poder Judicial), que el Tribunal Supremo se ha pronunciado en el sentido de que una empresa no puede obligar al trabajador a facilitar el teléfono móvil y el correo electrónico en el contrato de trabajo.

 Tsunami? Galerna? Marejada? Algo de oleaje? Como siempre, el tamaño de las olas…, depende de los detalles. No han de

No con mi email.

«No con mi email.» (imagen de dominio público)

servir estas primeras líneas para quitar importancia a tan relevante pronunciamiento, sino antes de bien para contextualizar su contenido, no sólo en base al caso concreto, sino también en base a los claros y oscuros de las interpretaciones que realiza.

 Por ponernos en situación, la sentencia desestima el recurso de casación de la empresa en proceso de conflicto colectivo promovido por el sindicato CCOO, con relación al siguiente supuesto de hecho: cuando una persona se incorporaba a una determinada empresa, había de firmar un contrato en el que se había añadido la siguiente cláusula: «Ambas partes convienen expresamente que cualquier tipo de comunicación relativa a este contrato, a la relación laboral o al puesto de trabajo, podrá ser enviada al trabajador vía SMS o vía correo electrónico, mediante mensaje de texto o documento adjunto al mismo, según los datos facilitados por el trabajador a efectos de contacto. Cualquier cambio o incidencia con respecto a los mismos, deberá ser comunicada a la empresa de forma fehaciente y a la mayor brevedad posible».

Al Supremo no le encaja, desde un punto de vista estrictamente jurídico, que la aportación de datos privados de contacto haya de ser obligatoria para lograr la incorporación. Y ello por cuanto aunque en tal contrato se reviste de voluntaria la susodicha entrega de datos, en la práctica y al formar parte del contrato de trabajo la cláusula que lo recoge, se convierte la entrega en obligatoria al hilo de la necesidad de firmar tal contrato para lograr la incorporación.

Realiza una aportación el Alto Tribunal que sin tener un carácter estrictamente jurídico, sí que resulta de gran interés práctico, cuando indica que la aportación de datos como el correo electrónico o el teléfono móvil personal “pudiera resultar deseable, dado los actuales tiempos de progresiva pujanza telemática en todos los ámbitos”. Haciendo por tanto gala de un gran pragmatismo y de un conocimiento de la realidad (por obvia no menos ajena a veces del sentir y la reflexión de los tribunales), que encuentra su reverso jurídico en la posibilidad de que cualquier compañía obtenga los datos indicados para los fines antedichos siempre que los obtenga previa la voluntad no condicionada y en tal sentido del trabajador. Es decir, obligar al trabajador no es correcto, proponer y convencer al trabajar sí es correcto.

Quizá resulte algo decepcionante que el fundamento para tal posición sea el manido de que el trabajador es la parte más débil del contrato y que al ser incluida la cláusula por la empresa en el momento de acceso a un bien escaso como es el empleo puede entenderse que su consentimiento sobre la aportación de los datos no es por completo libre y voluntario. Con la consecuencia de que tal cláusula es nula por atentar contra un derecho fundamental y “debe excluirse de los contratos de trabajo”.

Igual habría sido mejor aun que, huyendo del cierto paternalismo que entraña esa consideración del trabajador como “parte débil”, se hubiera ido hacia un posicionamiento constructivo, que todavía no es habitual pero debe serlo, y que exige compromiso, implicación y responsabilidad tanto para empleador como para empleado.

En concreto, se trataría de poner en práctica en este caso, de manera sencilla y completamente ajustada a la literalidad de su regulación, los principios de información y consentimiento que vertebran (junto a otros) la Normativa sobre Protección de Datos de Carácter Personal.

Es decir, partimos de que el Tribunal Supremo considera que los datos cuya incorporación al contrato se cuestionan no están exentos del consentimiento del trabajador, porque no lo están en la excepción general del art. 6.2 de la Ley de Protección de Datos al no ser «necesarios para el mantenimiento o cumplimiento» del contrato de trabajo, ya que la relación laboral ha podido hasta recientes fechas desarrollarse sin tales instrumentos (no vamos a entra en esto último, pero al hilo de su lectura no puedo evitar que me parezca oír de fondo aquello de “times are changing”…).

Pero quizá la verdadera innovación habría estado en exigir a la empresa contratante que llevara a cabo una clara diferenciación de aquellos datos sobre cuyo tratamiento sólo se requiere informar al nuevo trabajador, y aquellos datos (como podían ser los que motivan el litigio) cuyo tratamiento requiere también consentimiento. Esta aproximación también requiere del trabajador un compromiso de dotarse de la capacidad para entender la diferenciación, apreciar su oportunidad y por tanto ser responsable respecto a sus consecuencias una vez asumidas.

Es cierto en todo caso que el Supremo acierta de pleno, en mi opinión al tildar de inaplicable al supuesto la excepción del artículo 2.2 del Reglamento de Protección de Datos (ocurrencia quizá surgida de un “nada perdemos”, más de que un convencimiento de la validez del argumento).

En definitiva y como conclusión, hay que agradecer al Tribunal Supremo que se pronuncie en el sentido que lo hace (y que tal pronunciamiento se difunda como se ha hecho), para evitar la conducta del “todo, para todo y si no, nada”. Ello no evita que se eche de menos en basamento jurídico para la desestimación del recurso aquellos argumentos relativos a la diferenciación entre los datos cuyo tratamiento requiere cumplir sólo con el principio de información, y los que requieren también el cumplimiento del principio de consentimiento, y la necesidad de que las empresas huyan de fórmulas absolutas y se comprometan con aquellas que dejan clara tal diferenciación.

 

Francisco Javier Carbayo

Abogado

Asociado Senior y Gerente de Compliane en ECIX

javier.carbayo@ecixgroup.com

@fjcarbayo

es.linkedin.com/in/franciscojaviercarbayo/

Privacidad en la nube pública: la ISO/IEC 27018.

/1 Comentario/en /por
Privacidad en la nube: la ISO/IEC 27018

Privacidad en la nube: la ISO/IEC 27018

La protección de datos personales en la nube viene siendo objeto de atención por los abogados en España desde hace años, siendo buena muestra de ello que el Consejo General de la Abogacía Española (CGAE) y la Agencia Española de Protección de Datos (AEPD) publicasen, en 2012, un informe sobre la utilización del Cloud Computing por los despachos de abogados y el derecho a la protección de datos de carácter personal. Desde entonces se han producido algunas novedades importantes a nivel internacional en relación con la nube pública, entre las que cabe destacar la publicación de la ISO/IEC 27018:2014 Information technology – Security techniques – Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors.

Dada su relevancia, a continuación se incluyen algunas preguntas y respuestas sobre la ISO/IEC 27018, que es el primer estándar internacional sobre privacidad en los servicios de nube pública.

  1. ¿Qué es la ISO/IEC 27018?

La norma ISO/IEC 27018 es el primer estándar internacional, promovido por la industria, sobre privacidad en los servicios de nube pública. Publicada en 2014 por la Organización Internacional de Estandarización (en inglés International Organization for Standardization, ISO), es el resultado de un análisis a nivel internacional de varias leyes de protección de datos personales así como de las guías y otros documentos publicados por diferentes autoridades de protección de datos personales, especialmente de la Unión Europea. Por lo tanto, al considerar la protección de datos personales en los servicios de nube pública, la ISO/IEC 27018 es un alto estándar a seguir. Además, es un instrumento que, en caso de que sea necesario, podrá adecuarse fácilmente en el futuro ya que es también un ejemplo de autorregulación que presta atención a cuestiones clave en materia de protección de datos personales.

  1. Con respecto al tratamiento de datos personales, ¿en qué casos se aplica la ISO/IEC 27018?

Desde el punto de vista del tratamiento de datos personales, la ISO/IEC 27018 atiende al esquema en el que el cliente de los servicios de nube pública es responsable del tratamiento y el prestador de servicios de nube pública es encargado del tratamiento. Es así que, cuando el prestador de servicios de nube pública trata datos personales, la ISO/IEC 27018 puede servir como referente a ambas partes, responsable y encargado del tratamiento, para desarrollar el contrato u otro instrumento jurídico necesario conforme a la normativa aplicable sobre protección de datos personales.

De entre los diferentes modelos de despliegue de la nube (privada, pública, comunitaria e híbrida), la ISO/IEC 27018 se refiere a la nube pública, dando así respuesta a las cuestiones que se plantean en relación con la misma desde el punto de vista del cumplimiento en materia de protección de datos personales.

  1. ¿Cuáles son los controles clave?

Entre los controles que prevé, en su anexo, la ISO/IEC 27018 se encuentra uno que refuerza, en su caso, la prohibición prevista en muchas leyes nacionales de que el encargado del tratamiento pueda tratar los datos personales al margen de las instrucciones dadas por el responsable del tratamiento. Se trata, en particular, del control relativo a que el prestador de servicios de nube, como encargado del tratamiento, no pueda tratar los datos personales a los que tenga acceso con fines de publicidad, salvo que haya obtenido la autorización necesaria para ello. Otros controles relevantes se refieren, en particular, a la transparencia y responsabilidad (“accountability”) en el tratamiento de los datos personales por el encargado, incluso relativos a la transferencia internacional de datos.

  1. ¿A quién está dirigida la ISO/IEC 27018?

Quien tiene que adoptar la ISO/IEC 27018 es el prestador de servicios de nube pública. No obstante, se trata de un instrumento adecuado para los clientes de servicios de nube pública, e incluso consultores o auditores jurídicos, ya que les puede servir como guía para revisar y, en su caso, pedir información al prestador de servicios de nube sobre las características de sus servicios y las medidas adoptadas, en su caso, en materia de protección de datos personales. Además, puede ser también una guía para las autoridades de protección de datos personales y otras autoridades reguladoras con competencias en materia de protección de datos personales.

  1. ¿Hay prestadores de servicios de nube que ya han adoptado la ISO/IEC 27018?

Sí, ya hay prestadores de servicios de nube que han adoptado la ISO/IEC 27018. Al respecto, cabe mencionar que el primero fue Microsoft, seguido por Dropbox. Además, sería deseable que otros prestadores de servicios de nube también adoptasen esta norma internacional ya que en la práctica puede facilitar el cumplimiento en materia de protección de datos personales y, además, permite generar confianza en dichos servicios.

Por último, cabe señalar que además de la privacidad con la ISO/IEC 27018, en breve podría publicarse también la ISO/IEC 27017 sobre seguridad en los servicios de nube, basada en la ISO/IEC 27002. Por tanto, habrá que estar atentos a los avances sobre privacidad y seguridad que pueden producirse en relación con los servicios de nube.

Miguel Recio

Abogado y Máster en Protección de Datos, Transparencia y Acceso a la Información

Web: http://www.globaldpc.com

Linkedin: https://es.linkedin.com/pub/miguel-recio/5/105/968

Twitter: @MRecioCloud

 

¿Frena la privacidad el desarrollo del Internet de las cosas (IoT) y del Big Data?

/2 Comentarios/en /por

Frase conocida y recurrente en boca de lobbies y otros actores que nos intentan convencer de las maldades para la innovación y el desarrollo tecnológico de unas estrictas legislaciones de privacidad que son gravosas para las empresas, al aumentar sus gastos y burocracia de una manera desmesurada. Desde estas líneas trataremos de demostrar que esta afirmación no es tal, y que en nuestra modesta opinión, tecnología y privacidad deben ir de la mano puesto que no puede entenderse a una sin la otra.

El punto de partida lo tenemos en dos nuevos actores derivados del desarrollo tecnológico, a saber el denominado Internet de las cosas IoT (Internet of Things) y el Big Data. Podemos definir al primero como multitud de objetos de uso diario conectados a Internet (pulseras, relojes, smartphones, frigoríficos, televisores, vehículos…), de manera que en un futuro existirán más dispositivos conectados que personas. Su característica principal radica en el diseño de una estructura de red interconectada que permite que estos dispositivos físicos se comuniquen entre si con la capacidad de transmitir, compilar y analizar datos.

Por su parte el Big Data podría definirse como sistemas o herramientas que manejan ingentes cantidades de datos en un volumen y tiempo superior al del software habitual, permitiendo su almacenamiento, búsqueda, visualización, compartición, segmentación o análisis. En la misma línea está la definición dada por McKinsey Global Institute (MGI), que lo entiende como “conjuntos de datos cuyo tamaño va más allá de la capacidad de captura, almacenado, gestión y análisis de las herramientas de base de datos”. Su característica principal radicaría en las denominadas 3v: volumen de datos tratados, velocidad de transformación y variedad de datos tratados aunque algunas fuentes las elevan a las 5v añadiendo a las anteriores el valor del sistema que procesa de una manera eficiente y con poco coste y la veracidad de los datos.

Llegados a este punto toca poner de manifiesto las innumerables ventajas y beneficios que para la humanidad pueden traer estas tecnologías. Así por poner algunos ejemplos, los vehículos conectados pueden detectar que un gran número de ellos se dirigen a un mismo punto y por ello, plantear vías alternativas que eviten el temido atasco. Los dispositivos ponibles o wearables pueden controlar determinadas variables del paciente (ritmo cardiaco, nivel de sustancias en sangre…) con lo que pueden acortar la estancia en hospitales o incluso, facilitar información en tiempo real del desarrollo de síntomas de enfermedad o prevenirlas (cáncer, infarto…), y a nivel doméstico podríamos despreocuparnos de la compra en el supermercado ya que el frigorífico conectado detectaría la escasez de un determinado alimento, daría orden de compra y realizaría el pago por tarjeta al supermercado o, el dispositivo de geolocalización del smartphone al detectar la cercanía del domicilio podría ordenar al sistema de calefacción o refrigeración su encendido.

Desde la perspectiva del Big Data, con los contadores inteligentes además del confort para el cliente y el ahorro de costes de personal, se podrían predecir picos de consumo eléctrico evitando así los molestos cortes de luz. O analizando datos de diversas fuentes en su conjunto se podrían predecir aumentos en la demanda de un determinado producto o servicio o, antes de su lanzamiento, si va a tener aceptación por el consumidor o no, o simplemente dirigirte publicidad personalizada que se sepa que será de su interés.

Visto así todo son ventajas para la humanidad, pero mira por donde aparece el experto en la materia y nos introduce un concepto que algunas legislaciones ya han adoptado denominado protección de datos de carácter personal o privacidad. Es entonces cuando se empieza a ver a esta figura como un lastre, un freno y una amenaza para este progreso, cuando la verdad es que sin ella, nunca desarrollarán todo su potencial.

El desarrollo de estas tecnologías tiene una gran amenaza, a saber que los potenciales consumidores recelen de las mismas y bien, no utilicen todo el potencial que estas permiten o bien, planteen continuas reclamaciones o denuncias que las paralicen. En nuestra opinión existen dos grandes pilares donde descansa la confianza en estas tecnologías: la seguridad y los tratamientos respetuosos y leales con la privacidad.

Sobre el primer pilar poco comentaremos porque es pacífico que la seguridad o ciberseguridad es fundamental para estas tecnologías y dispositivos puesto que afectan a su núcleo vital que es la confianza del usuario en las mismas. Raro es el día que no desayunamos con un robo-hackeo-ataque-ciberataque de contraseñas, información o datos de usuarios, fotografías íntimas, tarjetas de crédito y datos bancarios como el reciente robo de información y posterior publicación de datos de usuarios de la web de contactos para casados Ashley Madison. Incluso, a veces, esos ataques no van dirigidos contra datos personales sino contra secretos industriales o gubernamentales o incluso, por motivaciones políticas  o religiosas como el ciberataque a Sony Pictures o los protagonizados por el Estado Islámico. A veces inclusive por el simple regocijo “intelectual” del hacker que vulnera todas las barreras que encuentra. Sólo invirtiendo en seguridad-ciberseguridad, implantando protocolos, sistemas y herramientas actualizadas y acordes con el estado actual de la ciencia y la tecnología en ese momento y estableciendo revisiones y auditorías periódicas, es decir, implementando un verdadero y eficaz sistema de security-cybersecurity by design podremos paliar y mitigar, que no eliminar por completo esos riesgos, puesto que todo dispositivo o sistema conectado puede ser hackeado (ante un riesgo de colisión con otro vehículo, un vehículo inteligente lo puede ser).

El segundo pilar también incide en el núcleo vital de estas tecnologías, a saber, la confianza del usuario. Si el usuario percibe que no existe un verdadero tratamiento leal y acorde con su privacidad recelará de estas tecnologías y no las usará o las usará menos de lo esperado y deseable. Y es que en este bloque también acostumbramos a desayunar diariamente con noticias como que una marca de smartTV puede grabar tus conversaciones a través de la función de reconocimiento de voz y cederlas a terceros según una cláusula contractual y luego no sólo descubrimos que su competidor directo también lo hace, sino que también esa cláusula se encuentra contemplada para los smartphones, o que una compañía preinstala en fabrica adware en sus ordenadores que permite la monitorización y robo de datos o, causando gran alarma al tratarse de menores de edad, muñecas que cuentan con micro y Wifi, por lo que graban las conversaciones y las almacenan en la nube.

Sólo con verdaderas políticas de empresa basadas en el respeto a la privacidad desde el momento de la obtención del dato y durante todo su ciclo vital hasta su destrucción, lo que se viene a denominar “privacy by design” (privacidad desde el diseño) se generará confianza suficiente en los usuarios para el uso generalizado de todo su potencial. Los responsables y encargados de tratamiento o según otra definición, los controladores y procesadores de datos NO deben entender que los datos son de su propiedad sino que son meros administradores o gestores de los mismos.

Como bien recoge la Declaración de México D. F.: “Hacia la implantación de garantías para la protección de datos en los tratamientos de Big Data”  del Observatorio Iberoamericano de Protección de Datos, los principios que deben inspirar estos tratamientos deben ser los siguientes: ”“principio de inocuidad”, por el que los usos del Big Data bajo ninguna circunstancia deben perjudicar ni a los individuos, ni a la humanidad” y que, en todo caso, las excepciones a este principio deben ser establecidas por los legisladores desde una perspectiva restrictiva y garantista, el “principio de objeción”, por el que las personas puedan oponerse, de manera previa o a posteriori, a que su datos sean tratados, incluso de forma anonimizada, y sin que ello les impida usar las tecnologías, el “principio de seguridad”, las actividades de Big Data deben estar especialmente protegidas, a fin de evitar incidentes accidentales o malintencionados que pongan en riesgo a la información, el “principio de respeto al libre desarrollo de la personalidad”, deben prohibirse usos del Big Data que impliquen la modificación de comportamientos y el determinismo del dato, el “principio de responsabilidad”, por el que en todo momento debe poder atribuirse una determinada actividad de Big Data a una persona física o jurídica y, en su caso, exigirle responsabilidades, y el “principio de transparencia”, por el que deben articularse mecanismos que permitan que las personas afectadas sean conocedoras del uso que se hace de sus datos”.

Por poner algunos ejemplos finales, estos podrían ser algunos parámetros a tener en cuenta:

  • Gratuidad del servicio: si el servicio es gratuito, siempre cumpliendo con los deberes de información, consentimiento y calidad de los datos se podría ofrecer gratis a cambio de cierta información personal, o incluso graduarse el costo del producto o servicio en función de la información personal aportada en cada caso.
  • Expectativa de privacidad: no depende de la gratuidad u onerosidad del servicio puesto que no se tiene la misma a la hora de darse de alta en una red social que a la hora de crear una cuenta de correo electrónico.
  • El poder de elección del usuario: se puede optar por un smartphone u otro, por un servidor de correo electrónico u otro, pero por ejemplo, ante un sistema de mensajería instantánea de uso generalizado o el ingreso en una red social con implantación la única alternativa posible es mantenerte “desconectado y al margen”.
  • El poder de decisión del usuario: al adquirir un equipo o darse de alta en un servicio, el usuario debe ser capaz de configurar o eliminar todo aquello que desee y que sea accesorio al bien o servicio no siendo esencial para el mismo. Un ejemplo de buena práctica es la noticia que el próximo Android permitirá al usuario delimitar los permisos que concede a las APPS instaladas, aunque aún se echa de menos la posibilidad de desinstalación de aquellas que no sean necesarias para el buen funcionamiento del sistema operativo que vienen de fábrica.
  • Por el mero hecho de disociar datos no se soluciona el problema puesto que la anonimización total cada vez es más complicada y cruzando datos disociados de diversas fuentes podría llegarse a identificar al afectado.  Una buena praxis de privacy by design incluiría medidas para estos tratamientos de datos anonimizados.
  • Los representantes de las diferentes autoridades de control de protección de datos y los expertos cada vez acuden más como buena práctica a los denominados “tratamientos éticos” que implican que independientemente manejar datos personales o anonimizados, se deberían plantear unas preguntas previas tales como: qué datos necesito realmente, si los usos previstos son los necesarios y adecuados, etc., evitando así que al encontrarse el dato anonimizado no exista ningún tipo de control al no estar sometidos a día de hoy a regulación.

Quizás más de un lector piense que hace falta un tercer pilar, el de la concienciación y formación en privacidad de los usuarios, y desde luego tienen razón, aunque eso lo dejamos para un próximo post.

 

Francisco Ramón González-Calero Manzanares
Abogado experto en privacidad y seguridad de la información.
Certified Data Privacy Professional por ISMS Forum Spain.
Linkedin:https://www.linkedin.com/in/francisco-ram%C3%B3n-g-85799b44/
Twitter: @FGonzalezCalero

 

El derecho de rectificación y mi identidad en un entorno digital.

/0 Comentarios/en /por

Identidad digital

Identidad digital

Al igual que la imagen ilustrativa de este post, el lector puede tener una idea equivocada (o no) de lo que va a leer a continuación dependiendo de si es un abogado especializado en protección de datos o un profesional del periodismo, por ejemplo.

Efectivamente, mi intención con este post es que el lector reflexione un momento sobre la gestión de nuestra identidad digital y sus efectos en la sociedad.

Empezaré por una breve exposición de las diferencias entre el llamado derecho de rectificación de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y el derecho contemplado en la Ley Orgánica 2/1984, de 26 de marzo, reguladora del derecho de rectificación.

Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Artículo 16 Derecho de rectificación y cancelación
Serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la presente Ley y, en particular, cuando tales datos resulten inexactos o incompletos.
Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
Artículo 31 Derechos de rectificación y cancelación
El derecho de rectificación es el derecho del afectado a que se modifiquen los datos que resulten ser inexactos o incompletos.

El derecho de rectificación regulado por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, faculta a las personas físicas (y no las jurídicas) modificar los datos inexactos o incompletos que están siendo tratados por un responsable de fichero. Esta facultad que tiene el titular de los datos es uno de los instrumentos que pone a disposición nuestro ordenamiento jurídico con el fin de garantizar la autodeterminación informativa.

Sentencia 292/2000, de 30 de noviembre de 2000 del Tribunal Constitucional (FJ 7º).
(…)Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el Estado o un particular. (…)

Por otro lado, el derecho de rectificación regulado en la Ley Orgánica 2/1984, se debe contextualizar en un momento en que no se estaba pensando en un entorno digital sino en un entorno analógico donde unas pocas corporaciones controlaban los medios de comunicación. En tal sentido este derecho concede tanto a personas  físicas como jurídicas (a diferencia de la LOPD) la posibilidad de aportar una nueva visión de los hechos divulgados por un medio de comunicación social. El derecho de rectificación de información permite al afectado aportar más información a la previamente difundida por el medio de comunicación al considerar que es inexacta y perjudicial a su persona.

Ley Orgánica 2/1984, de 26 de marzo, reguladora del derecho de rectificación.
Artículo primero. Toda persona, natural o jurídica, tiene derecho a rectificar la información difundida, por cualquier medio de comunicación social, de hechos que le aludan, que considere inexactos y cuya divulgación pueda causarle perjuicio.

En base a la sentencia del Tribunal Constitucional 99/2011 de 20 de junio,  el ejercicio del derecho de rectificación de la información publicada en un medio de comunicación, a diferencia del derecho de protección de datos, garantiza por un lado que se proteja el derecho al honor de la persona afectada y por otro que el derecho de información pueda salir reforzado al permitir ampliar el contenido  de la noticia al “contrastar versiones contrapuestas”.

Sentencia 99/2011 de 20 de junio de 2011 del Tribunal Constitucional (FJ 4º).
“La rectificación queda conformada, ante todo, como un derecho de la persona aludida a ejercer su propia tutela, un derecho reaccional de tutela del honor, o de bienes personalísimos asociados a la dignidad, al reconocimiento social o a la autoestima frente a informaciones que incidan en la forma en que una persona es presentada o expuesta ante la opinión pública. (…) Pero junto a ese carácter, la rectificación opera como un complemento de la información que se ofrece a la opinión pública, mediante la aportación de una «contraversión» sobre hechos en los que el sujeto ha sido implicado por la noticia difundida por un medio de comunicación. La relevancia pública del espacio informativo en el que queda comprometida la formación de la opinión, justifica la acogida de versiones que permitan el contraste de informaciones en ese mismo espacio mediante la aportación de datos por quien se ve implicado en alusiones que considera inciertas y lesivas de su reputación. Por ello, si bien el derecho de rectificación constituye un derecho autónomo de tutela del propio patrimonio moral, a la vez opera como instrumento de contraste informativo que supone «un complemento de la garantía de libre formación de la opinión (…)

En un entorno digital, que no pudo ser contemplado por los legisladores en 1984, los derechos de acceso, oposición, cancelación y rectificación contemplados en la normativa  de protección de datos están ocupando un lugar importante donde el llamado “derecho al olvido” ha surgido como una herramienta de protección ante las posibles vulneraciones a nuestra privacidad por parte de cualquier tercero.

Por otro lado el artículo segundo de la Ley Orgánica 2/1984 establece un plazo de siete días naturales posteriores a la publicación o difusión de la información para poder ejercer dicho derecho de rectificación ante el director del medio de comunicación. En un entorno como Internet donde la difusión se mantiene en el tiempo de forma indefinida, dichos siete días naturales deberían computarse desde el momento en que desapareciera la información de cualquier medio digital.

Esta comparativa nos lleva a una reflexión. En base a la sentencia del Tribunal Constitucional 99/2011, el ejercicio del derecho de rectificación de la Ley Orgánica 2/1984 permitiría ampliar la información aportada por los medios de comunicación digitales respetando el honor y dignidad del afectado sin limitar de una manera desproporcionada el derecho a la libertad de información contemplado en el artículo 20 de la CE así como poder garantizar la protección de otros derechos como el disponer de un patrimonio histórico y cultural.

Por otro lado el derecho a la autodeterminación informativa es un derecho fundamental reconocido de forma expresa en la sentencia del Tribunal Constitucional 292/2000 donde una persona física puede disponer de la información que terceros traten sobre una mismo. En tal caso si la información apareciera en medios digitales se debería valorar el interés público de la noticia así como la relevancia pública de la persona afectada para  proceder por parte del responsable del fichero a la cancelación de la información de carácter personal. En tal caso se protegería la privacidad de la persona afectada modificando el contenido de la noticia de tal manera que limitaría el ejercicio de la libertad de información y la libre formación de una opinión pública presente y futura sobre dicho asunto.

Por tanto, ¿qué consideraríamos que sería mejor para garantizar la dignidad de una persona en la era digital, la ocultación de su vinculación a unos hechos veraces o la posibilidad de dar su propia versión de los mismos definiendo mejor su propia identidad ante terceros?.

 

Eduardo López-Román

Abogado especializado en Derecho Digital

Socio fundador de ENATIC

Twitter: @EduLawyer

Asiste al VII Foro de la Privacidad del Data Privacy Institute

/0 Comentarios/en /por

VII Foro de la Privacidad

VII Foro de la Privacidad

El próximo 22 de septiembre, ISMS y Data Privacy Institute celebran la Séptima Edición del Foro de la Privacidad en el Auditorio Principal de CaixaForum Madrid (Paseo del Prado, 36).

Nos complace anunciar que, fruto de las excelentes relaciones con asociaciones hermanas, los asociados de ENATIC que deseen asistir podrán inscribirse en el enlace de inscripción indicando el código de invitación que recibiréis por comunicación individual de la Comisión de Comunicación de ENATIC.

La protección de datos como elemento dinamizador de la economía digital, la transformación digital del negocio de la privacidad, o las métricas de cumplimiento de privacidad y evaluación de riesgos; el estado actual del nuevo Reglamento Europeo de Protección de Datos; las implicaciones del nuevo Reglamento para las grandes compañías, y la actualización del Convenio 108 y estándares del Consejo de Europa, serán algunos de los temas que se tratarán en esta ocasión.

Os facilitamos el enlace del evento en el que podréis encontrar la información publicada, el programa actualizado y las intervenciones de referencia en la materia y los demás detalles logísticos.

Estamos seguros de que un año más va a ser un evento referente en la materia por lo que os animamos a asistir.

¡Nos vemos el 22 de septiembre!