Entradas

La legitimación para el tratamiento de datos personales en el nuevo RGPD

/0 Comentarios/en /por

Con la entrada en vigor el próximo 25 de mayo del nuevo Reglamento Europeo de protección de datos personales (RGPD o GDPR), deberá revisarse que todos los tratamientos de datos personales en curso se adecuan al mismo, en sus múltiples facetas o nuevas obligaciones para los responsables o encargados del tratamiento.

El RGPD tiene como novedad significativa que va a ser de aplicación directa en todos los estados miembros de la UE y presenta numerosas novedades con respecto a la actual legislación, la Ley 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD) y su Reglamento de desarrollo, entre las cuales debemos analizar lo relativo a la legitimación para el tratamiento de los datos personales.

Encontramos los parámetros esenciales exigidos para la licitud del tratamiento en el art. 6, las condiciones para que consentimiento sea válido, art. 7 y una extensión especial para determinar las condiciones necesarias para la validez del consentimiento del niño, con relación a los servicios de la sociedad de la información en el art. 8.

El artículo 6 del RGPD nos indica los requisitos para que un tratamiento de datos personales pueda ser considerado lícito:

El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones: a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos; b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales; c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento; d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física; e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento; f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño. Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.

He resaltado los dos aspectos que, en mi opinión, van a ser más controvertidos en cuanto a su aplicación.

Las condiciones para el consentimiento. El consentimiento tácito.

Las características del consentimiento exigidas por el art. 7 se exponen a continuación:

  • El responsable deberá poder demostrar el consentimiento del interesado (art. 7.1).

  • Debe ser revocable fácilmente (art. 7.3).

  • El consentimiento debe recaer sobre todos los fines para los que vayan a tratarse los datos (Considerando 32).

  • El consentimiento debe ser informado, en un lenguaje claro y sencillo, como mínimo de la identidad del responsable del tratamiento y los fines del tratamiento a los cuales están destinados los datos personales y deberán evitarse cláusulas abusivas.

  • El consentimiento deberá ser consciente y libre (considerando 42).

Además, el Reglamento establece otros requisitos para que pueda considerarse que la manifestación de voluntad sea válida:

  • Consentimiento “explícito”, habilitador para el tratamiento de categorías especiales de datos personales (art. 9) o ser objeto de decisiones individuales automatizadas (art. 22).

  • Consentimiento “inequívoco”. En este sentido, para considerar que el consentimiento es inequívoco, debe existir una declaración de los interesados o una acción positiva que indique la conformidad del interesado (art. 4.11).

En el Considerando 32 del Reglamento se considera como acción positiva el hecho de marcar una casilla de un sitio web en internet, así como la realización de una conducta que indique claramente, en este contexto, que el interesado acepta la propuesta de tratamiento de sus datos personales.

Así pues, la conducta de un interesado puede llevar a comportar la prestación de un consentimiento inequívoco para el tratamiento de sus datos personales, pudiendo ser considerada esta conducta como una acción positiva a que hace referencia el art. 4.11.

En este sentido, la Audiencia Nacional ha validado diferentes conductas de interesados como acciones que validan el consentimiento en diferentes y variadas situaciones, por ejemplo, por uso del servicio de telefonía, por el abono de varias facturas del servicio, por los actos posteriores a un arrendamiento de vehículo, etc.

El simple consentimiento tácito que contemplaba el Reglamento de desarrollo de la LOPD, en su artículo 14, consistente en que, si el interesado nada oponía en 30 días desde su comunicación, deberá considerarse no válido. La Agencia Española de Protección de Datos ha manifestado su criterio de que el Reglamento deroga este artículo, puesto que no existe acción específica por parte del interesado, es decir, el Reglamento no admite la “inacción”, como causa de considerar otorgado el consentimiento para el tratamiento de los datos personales.

La habilitación del tratamiento para la satisfacción de intereses legítimos.

En el art. 6.1.f se establecen los intereses legítimos que deben considerarse y que pueden ser de los responsables o de terceros, haciendo especial referencia siempre a que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.1

En este sentido se plantea un conflicto entre lo que pueda representar intereses legítimos, no solo de los responsables, sino también de terceros versus los derechos y libertades fundamentales del interesado.

La Sentencia del Tribunal de Justicia de la UE de febrero de 2012, resolvió que la mera invocación de un interés legítimo no puede considerarse suficiente para legitimar el tratamiento de datos personales sin el consentimiento del afectado. En sus fundamentos, el propio Tribunal argumenta la necesidad de realizarse, en cada caso concreto, una ponderación entre el interés legítimo de quien va a tratar los datos y los derechos fundamentales de los interesados, para determinar cuál debe prevalecer.

La Audiencia Nacional ha considerado procedente, entre otros, un interés legítimo en diferentes supuestos en que la publicación de algunos datos se ha considerado amparada por la libertad de información, la existencia de un interés legítimo en el envío de correo electrónico a miembros de un colectivo profesional por parte de un candidato a elecciones en dicho colegio y la actividad de un motor de búsqueda en la actividad desarrollada.

También la Agencia Española de Protección de Datos ha considerado diferente casuística como legitimadora para tratar los datos, atendiendo en cada caso al contexto y la finalidad, ponderando los intereses en conflicto en cada caso.

En resumen, el nuevo Reglamento viene a clarificar y delimitar con más profundidad los requisitos exigibles para que un tratamiento de datos personales pueda tener legitimidad, lo que debe llevar a los responsables a la revisión de si es posible continuar con el tratamiento de los datos de que dispone o debe recabar algún tipo de consentimiento, teniendo en cuenta el Considerando 171 que permite la continuidad en el tratamiento, si el consentimiento obtenido se ajusta a las condiciones del presente Reglamento. En cualquier caso, deberán ser objeto de revisión los protocolos de los tratamientos para adecuarlos a los requisitos del nuevo Reglamento.

Pere Rius Alonso
Abogado
Asociado ENATIC
TICJURIS ADVOCATS, SLP
Vic
www.ticjuris.com
https://www.linkedin.com/in/pere-rius-alonso-6b6ba516/
@rius_pere

1 De acuerdo con el art, 8.1, se considera niño al menor de 16 años, aunque los estados pueden regular una edad inferior, siempre que no sea inferior a 13 años. En España, el actual Reglamento de desarrollo de la LOPD considera la edad de 14 años para que el menor pueda dar su consentimiento.
Uso de Whatsapp entre abbogados y clientes - LOPD

¿El uso de whatsapp entre abogados y clientes se puede considerar adecuado a la LOPD?

/0 Comentarios/en /por

Recientemente, whatsapp ha actualizado su política de privacidad, introduciendo en la misma el aviso de que los principales datos de identificación del usuario van a ser compartidos por las empresas del grupo Facebook y añadiendo los usos que pueden hacer de los datos personales del usuario.

El usuario recibe una notificación que debe aceptar o rechazar dentro de un plazo, invitándole a que, si no acepta la política, puede dejar de usar la app.

Ello nos mueve a reflexionar si el uso masivo que se está realizando en la actualidad de esta herramienta se adecua a la normativa sobre protección de los derechos a la privacidad existente en nuestro país, especialmente desde el punto de vista de su uso profesional entre los abogados y sus clientes.

Whatsapp como responsable del tratamiento de datos personales

Mediante el uso de whatsapp entre abogado y cliente se está produciendo un tratamiento de datos personales. Whatsapp es un servicio de mensajería con el cual los usuarios pueden intercambiar mensajes de texto y archivos de tipo imagen, vídeo y audio. Whatsapp, para su funcionamiento, utiliza la conexión a Internet del usuario y en el momento en que se instala en un terminal, la plataforma accede a todos los teléfonos de contacto almacenados en este terminal, tanto si estos tienen instalado o no Whatsapp. Es decir, la app lee los números de teléfono de la agenda del usuario para comprobar quienes están registrados en Whatsapp. Los contactos que también dispongan de whatsapp aparecen en la lista de favoritos y en la pantalla de chats de la App.

La Ley Orgànica 15/1999, de 13 de diciembre, debe aplicarse a cualquier tratamiento de datos de carácter personal que se realice en territorio español, así como cuando el responsable del tratamiento no está establecido en territorio de la UE pero utiliza, para tratar los datos personales, medios situados en territorio español.

Sin perjuicio de que en el funcionamiento de este tipo de Apps puede existir diferentes grados de responsabilidad, en el caso que nos ocupa el responsable del tratamiento será la empresa responsable de la explotación comercial de la misma. Esta empresa decide qué tipo de tratamiento realizan de los datos de los usuarios que desean utilizar su app y establecen las condiciones de uso de su app en su página web (“Terms of service”). Así pues, Whatsapp es responsable del tratamiento de datos de los usuarios, a los efectos del art. 3.d) de la LOPD.

Por lo que concierne a nuestro análisis, destaca en sus condiciones de uso publicadas que el usuario que se instala la app se obliga a someterse, en caso de cualquier conflicto legal, a la jurisdicción de California y, de existir desacuerdo entre el usuario y Whatsapp, la normativa aplicable no sería la española, resultando, además, que el acuerdo entre el usuario y la empresa se determina a exclusivamente en dichas clausulas y en la política de privacidad de la misma web. Ello conlleva la exclusión por parte de la empresa de cualquier otra normativa y, en este caso, la europea, en su relación con los usuarios de la app.

El tratamiento de datos entre abogado y cliente por medio de Whatsapp

Un abogado realiza un tratamiento de datos personales con sus clientes que, sin duda, no puede considerarse meramente doméstico (art. 2.a LOPD) para que pudiera estar excluido de la aplicación de la LOPD. El abogado es responsable de determinados ficheros de datos (art. 3.b LOPD) en los que puede tratar información personal de sus clientes. En este sentido el abogado tiene la responsabilidad directa del tratamiento de los datos de sus clientes, que incluye elegir el canal de comunicación más adecuado con los mismos.

Teniendo en cuenta que un dato personal es cualquier información relativa a personas físicas identificadas o identificables (art. 3.a LOPD), la información personal que se trata, cuando se utilizan las apps de mensajería instantánea, deberá ser protegida por la LOPD, puesto que tal como indica el Considerando 24 de la Directiva 2002/58/CE, “los equipos terminales de las redes de comunicaciones electrónicas, así como toda la información almacenada en estos equipos, forman parte de la esfera privada de los usuarios”

Con el uso de las apps de este tipo se produce una comunicación entre dos personas físicas (usuario y contacto), de forma que no solo se tratan los datos del usuario, sino también los de sus contactos. Por otro lado, además de la información personal que pueda figurar en los mensajes de texto, también se tratan archivos adjuntos, como por ejemplo fotografías.

Aun cuando Whatsapp indica en sus condiciones que no recopila nombres, emails, direcciones u otros datos de contacto más allá de los números de teléfono móvil de la lista de contactos, debe tenerse en cuenta que la foto de perfil, el estado del usuario y la fecha y hora de la última conexión, es información personal accesible a cualquier usuario de la plataforma.

Por todo lo que se ha indicado, deberá concluirse que el uso de una app de mensajería instantánea como Whatsapp, en el marco de la relación abogado-cliente puede generar un tratamiento de datos personales del propio abogado, de sus clientes, en el caso que estos se encuentren en la lista de los contactos del teléfono que utiliza el abogado y, hasta, de terceras personas, de las cuales pueda darse información en un mensaje transmitido o en un archivo que se adjunta al mensaje, como podría ser una fotografía, que han de quedar protegidos por la normativa de protección de datos.

En este sentido cabe destacar que Whatsapp, ha mejorado sus medidas de seguridad, mediante la reciente encriptación del contenido de los mensajes intercambiados.

El consentimiento del usuario para el tratamiento de los datos.

Cualquier tratamiento de datos personales ha de disponer del consentimiento previo del titular de los datos (art. 3.e LOPD), a menos que este no sea exigible (art. 6 LOPD). Este consentimiento o la habilitación legal, si procede, es la base jurídica que permite a una app y a los diferentes responsables que intervienen, tratar datos personales del usuario de la app.

En el caso de la app que analizamos, se incluyen las condiciones de su uso en su página web, las cuales pueden ser modificadas de forma unilateral y no dejan margen de opción al usuario, más allá de aceptar o bien no utilizar la app.

En la reciente actualización se informa al usuario que Whatsapp podrá compartir los datos del usuario con las empresas del grupo Facebook, lo que, inicialmente es opción del usuario, aceptar esta comunicación de datos.

Sin poder entrar en más consideraciones relativas a la seguridad de los datos objeto de tratamiento, por mor del espacio de este artículo, habrá que concluir que, sin duda, el abogado tiene la responsabilidad que le otorga la LOPD, como responsable del tratamiento de los datos de sus clientes, que incluye la elección de los canales de comunicación más adecuados para cumplir con las exigencias legales de protección.

Atendiendo a las consideraciones efectuadas y además, a que en el contexto de la relación entre abogado y clientes puede ser frecuente el tratamiento de datos sensibles (art. 7 LOPD), no resultaría recomendable, en mi opinión, el uso de Whatsapp, en la relación entre abogado y cliente.

Pere Rius Alonso
Abogado
Socio Director de TICJURIS ADVOCATS, S.L.P.
Asociado a ENATIC
www.ticjuris.com

Intrusismo informático y privacidad

La nueva regulación penal de los delitos relativos a la intromisión en la intimidad y descubrimiento y revelación de secretos.

/1 Comentario/en /por

La reciente reforma del Código Penal ha introducido importantes modificaciones en el tratamiento penal de los delitos relativos a la Intromisión en la Intimidad y Descubrimiento y Revelación de secretos, descritos en el Capítulo I del Título X.

Las distintas modalidades delictivas que se contemplan con la nueva regulación de este delito son:

  • 197.1: violación del secreto de la correspondencia, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales, escuchas ilegales y captación de imágenes o de cualquier otra señal de comunicación, castigado con penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses.
  • 197.2: sustracción, utilización o modificación de datos de carácter personal, registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier archivo o registro público, castigado con penas similares al anterior.
  • 197.3: difusión, revelación o cesión a terceros de datos, hechos o imágenes captadas ilegalmente, a los que se refieren los números anteriores. En este caso estamos ante un agravamiento de la pena que supondrá penas de prisión ligeramente superiores (de dos a cinco años). También serán castigadas las personas que, aún sin haber tomado parte en el descubrimiento, realicen la conducta de difusión descrita, teniendo conocimiento de su origen ilícito.
  • 197.4, 5 y 6: Agravamiento de las penas de los hechos descritos en los apartados 1 y 2, cuando se cometan por encargados o responsables de ficheros o soportes o se realicen sin autorización de la víctima, o se trate de datos sensibles o que afecten a una persona con discapacidad. También si estos hechos se realizan con fines lucrativos.
  • 197.7: Difusión de imágenes o grabaciones audiovisuales de una persona, aun con su anuencia, obtenidas en un domicilio o cualquier otro lugar fuera del alcance de la mirada de terceros, cuando la divulgación menoscabe gravemente la intimidad personal de esa persona. Pena de prisión de tres meses a un año o multa de seis a doce meses, agravada en función de condición de la persona afectada.
  • 197 bis.1: Intrusión, accesión o facilitación a otro el acceso a un sistema de información o mantenerse en el mismo. Pena de prisión de seis meses a dos años.
  • 197 bis.2: Interceptación de transmisiones no públicas de datos informáticos, mediante la utilización de artificios o instrumentos técnicos. Pena de prisión de tres meses a dos años o multa de tres a doce meses.
  • 197 ter: Producción, distribución o adquisición para su uso, con la finalidad de facilitar la comisión de los delitos de los apartados 1 y 2 del art. 197 o el art. 197 bis, de un programa informático o contraseñas que permitan acceder a un sistema de información.
  • 199: revelación de secretos ajenos, conocidos por razón de su oficio o relaciones laborales, así como la divulgación realizada por el profesional. Penas de prisión de uno a tres años y multa de seis a doce meses, agravándose para el supuesto del profesional, con pena de uno a cuatro años, multa de doce a veinticuatro meses e inhabilitación especial para dicha profesión por tiempo de dos a seis años.
  • 200: descubrimiento, revelación o cesión de datos reservados de personas jurídicas.

Los apartados 1 y 2 del artículo 197, no han supuesto variación con respecto a la redacción anterior a la reforma y vienen a describir conductas de forma amplia, realizadas con la finalidad de vulnerar la intimidad de otro.

Así, las conductas descritas pueden resumirse, concurriendo la falta de consentimiento, en:

  • Apoderarse de papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales.
  • Interceptación de las telecomunicaciones o utilización de artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación.
  • Obtención, utilización o modificación, en perjuicio de tercero, de datos reservados de carácter personal o familiar de otro, registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o cualquier otro archivo público o privado.

Como es de ver, la redacción vigente, sin modificación de la anterior, en estos apartados ya pretende ser exhaustiva, conociendo ya las posibilidades que las nuevas tecnologías había introducido y que podían contribuir a facilitar los actos contra la intimidad de las personas.

La nueva regulación introducida ha venido a prevenir nuevas conductas que estas nuevas tecnologías de la información y la comunicación han posibilitado, con el objeto de solucionar los problemas de falta de tipicidad de algunas de ellas.

Se introducen pues, nuevos supuestos, como los referidos a la difusión de imágenes o grabaciones audiovisuales de otra persona, obtenidas aún con su consentimiento, pero habiéndose obtenido dichas imágenes en un ámbito privado y siendo que su difusión puede lesionar gravemente la intimidad de esta persona.

Con esta reforma se otorga una mejor tutela al derecho a la intimidad, puesto que la redacción anterior no cubría los supuestos de la existencia de un consentimiento inicial, lo que aparecía insuficiente ante las posibilidades actuales que las nuevas tecnologías ofrecen para atacar los aspectos de la intimidad personal.

Se refuerza asimismo, con la norma del art. 197 bis, la tipificación del denominado intrusismo informático, realizando la descripción de la conducta típica consistente en introducirse, sin autorización, en un sistema informático o el que utilice artificios o instrumentos técnicos para interceptar transmisiones no públicas de datos informáticos.

En este sentido cabe concluir que el mero acceso al sistema de otro, sin autorización de este, comporta la conducta delictiva. Ello permite que, tanto los particulares como las empresas, dispongan de una mejor protección penal para conductas que, hasta el momento, debían analizarse en función de la finalidad de la conducta y en relación a lo previsto en el número 1 de este artículo.

En este sentido, el nuevo art. 197 ter previene el castigo para los actos de producción o difusión de instrumentos que faciliten la comisión de los delitos descritos, tanto en los números 1 y 2 de este artículo, como en el nuevo del art. 197 bis., así como el agravamiento  de las penas, si los hechos se hubieran cometido en el seno de un grupo u organización criminal.

Finalmente cabe resaltar que cuando sea responsable de los delitos descritos una persona jurídica, conforme a lo establecido en el art. 31 bis del Código Penal, se le impondrá a ésta una pena de multa de seis meses a dos años, pudiendo, además, imponerse las penas de disolución de la persona jurídica o su intervención judicial, de acuerdo con las reglas del art. 66 bis.

Este último supuesto lleva a concluir la necesidad de que las personas jurídicas, cuya actividad pueda tener relación con las actividades informáticas o la protección de datos, medidas de seguridad, etc., deberían disponer de modelos o planes de organización que contengan medidas idóneas de vigilancia y control para prevenir delitos de esta naturaleza o para reducir de forma significativa el riesgo de su comisión, lo que podría alegarse como exención de responsabilidad, en caso de imputación, de acuerdo con las reglas previstas en el art. 31 bis.2 del CP en su nueva redacción.

 

Pere Rius Alonso
Abogado
TICJURIS ADVOCATS, S.L.P.
www.ticjuris.com