LOPD y videos en Youtube


En la Resolución nº 1082/2013 de la Agencia Española de Protección de Datos (Procedimiento Sancionador nº 733/2012), se impone a la ASOCIACIÓN PROJUSTICIA PARA DAMNIFICADOS POR DECISIONES JUDICIALES una multa de 1.000 euros por infracción del artículo 6 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD).

Según este artículo:

1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.

2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado.

La Asociación sancionada publicó en internet (en youtube) datos personales y vídeos de dos menores de 14 años y su madre, grabados con cámara oculta.

Entendió la AEPD que los datos e imágenes se recogieron y trataron sin consentimiento de sus titulares (los progenitores, en este caso) y que en ningún caso podía entenderse que tuviera características de información periodística. Lo dice exactamente en estos términos la Agencia:

Por tanto, no apreciándose ni habiéndose tampoco alegado por PROJUSTICIA circunstancias de entidad que justifiquen la supremacía de un interés público en la difusión de las imágenes de los menores, debe darse prevalencia a la protección de la propia imagen de los menores entendida aquí como dato personal, cuyo interés prevalente debe protegerse como ha señalado el Tribunal Constitucional tanto en la citada STC 158/2009, como en la 72/2007, que también se ha encargado de recordar que, conforme a lo dispuesto en el art. 3.2 de la citada Ley Orgánica 1/1982, así como en el art. 4 de la Ley Orgánica 1/1996, de 15 de enero, de protección jurídica del menor, la publicación de imágenes de menores requiere el consentimiento de sus representantes legales, previa información al Ministerio Fiscal.

En definitiva, el hecho de que la grabación de las imágenes de los menores se haya efectuado en un lugar público no exime de tener que cumplir los requisitos expuestos para su recogida, difusión y mantenimiento en la página web de PROJUSTICIA.

En todo caso, resultó claro en este procedimiento sancionador, que la entidad multada nunca demostró contar con el consentimiento de los titulares de los datos, ni de sus padres, para el tratamiento de la información.

Captacion matriculas en gasolineras



En el Informe de la Agencia Española de Protección de Datos nº 297 del año 2012, se dio respuesta a una seria de cuestiones sobre la instalación –en estaciones de servicios- de sistemas de captación de matrículas de coches y su posterior tratamiento para identificar a los propietarios de vehículos que se marchan de la gasolinera sin pagar el combustible suministrado.

Se dejaba claro, que este tratamiento de datos debía considerarse como totalmente diferenciado del fichero de videovigilancia, destinado a seguridad y vigilancia de las instalaciones.

Se trata por tanto la cuestión discutida, de un sistema específico y diferenciado de grabación de matrículas de coche para identificar casos de impago.

Lo primero que recuerda la AEPD en su informe es que las matrículas han de considerarse datos de carácter personal, ya que por medio de las mismas se puede llegar a identificar al propietario de un vehículo sin que ello implique un esfuerzo o duración desproporcionados. Alegando un interés legítimo, se puede solicitar a Tráfico una nota simple sobre un vehículo, que nos permitiría conocer los datos personales de su propietario.

Continua indicando la AEPD, que la estación de servicios ha de dar de alta un fichero específico ante el registro de dicha Agencia, distinto del de videovigilancia, para poder proceder a tratar esa información.

Asimismo, establece que para saber si el sistema de captación de imágenes se ajusta o no a la normativa de protección de datos de carácter personales, habrá que llevar a cabo un juicio de proporcionalidad, de tal modo que si se llega a la conclusión de que otra medida menos restrictiva pudiera evitar la sustracción de combustible, hará que emplearla. Por ejemplo: establecer mecanismos que impidan echar combustible sin abono previo del mismo. Solo en caso de que no existan otros medios, se podrá recurrir a la instalación del sistema de tratamiento de matrículas. De modo que habrá que estar a cada caso concreto.

Estas son algunas de las consideraciones que hace la AEPD sobre el tema.

En definitiva, si eres titular de una estación de servicios y te decides a instalar este tipo de sistemas de vigilancia, consúltalo antes y procede a analizar su viabilidad y su adecuación a la Ley, pues de lo contrario, te podrían encontrar con una sanción o con la imposibilidad de usar las pruebas recabadas ante un usuario que sustrae combustible.

O lo que es peor: con ambas cosas.

Inscripcion de ficheros y LOPD



El artículo 26 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), establece la obligación de inscribir los ficheros de datos que manejes en tu empresa o profesión ante el Registro de la Agencia Española de Protección de Datos.

Concretamente, nos dice la norma que:

1. Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos.

3. Deberán comunicarse a la Agencia de Protección de Datos los cambios que se produzcan en la finalidad del fichero automatizado, en su responsable y en la dirección de su ubicación.

Es decir, que los ficheros de datos han de ser notificados a la Agencia y además se deben mantener actualizados ante la misma.

Tres son las preguntas que me formulan los clientes con mucha frecuencia en relación con este tema:

1ª. ¿Esto quiere decir que le tengo que comunicar a la AEPD todos los datos de todos mis clientes, mis trabajadores, contactos, etc…?

La respuesta es NO. Lo que le comunicas, por medio de un formulario oficial, es qué tipo de datos tienes y para qué los usas. Ejemplo: tengo los nombres, apellidos, DNI, nº de SS, etc… de mis trabajadores y los uso para poder gestionar la relación laboral con los mismos.

2ª. ¿Qué tipo de cambios le tengo que notificar a la AEPD en relación con estos ficheros?

Nos lo dice el párrafo 3º del artículo 26 antes trascrito y lo aclara la propia AEPD en resumen de su Primera Sesión Anual Abierta de 22 de abril de 2008 (preguntas frecuentas), en los siguientes términos:

Tienen que notificarse las modificaciones que afecten a:

– Cambio de denominación social, forma societaria o de personalidad jurídica.

– Modificación del nivel de seguridad aplicable. En todo caso, concordancia entre el nivel aplica

do, el exigido por el RDLOPD y el notificado.

– El fichero de nómina se puede notificar con datos de salud (grado de discapacidad –IRPF) y nivel de seguridad básico. OJO! en todo caso, se mantiene la obligación  de aplicar todas las garantías exigidas para tratar datos especialmente protegidos.

– Cualquier modificación del contenido de la inscripción. Ej. Sistema de tratamiento, automatizado con documentación en papel, notificar sistema mixto

3ª. ¿Tengo que notificar la cancelación de los ficheros? ¿En que supuestos?

Sí, tienes que notificarla. En el mismo documento que indico, la AEPD explica en qué supuestos:

– Si ha quedado excluido totalmente de la aplicación de la LOPD.

– Si cesa la actividad del responsable. Ficheros bloqueados se pueden suprimir.

– Si desaparece la competencia o el objeto que ocasionó la creación del fichero.