INVALIDEZ ACUERDO PUERTO SEGURO

Acuerdo de Puerto Seguro

Con mucha frecuencia, empresas y profesionales recurren en la actualidad al uso de sistemas de almacenamiento de datos en la llamada “nube” de internet, para llevar a cabo copias de seguridad on line, entre otros muchos ejemplos.

En estos casos, se plantea muchas veces la situación de estar transfiriendo datos personales a terceros países, ya que los servidores físicos de esas “nubes” se encuentran fuera de España.

Un supuesto muy utilizado y conocido es DROPBOX, que cuenta con servidores en Estados Unidos.

Las transferencias internacionales de datos se regulan expresamente en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de carácter personal. La norma general es que no están permitidas, salvo que se hagan a países que garanticen un nivel de protección equiparable al de la propia normativa española o estén autorizadas por la Agencia Española de Protección de Datos (artículo 33 LOPD).

No obstante, el artículo 34 LOPD, establece ciertas excepciones, de manera que –por ejemplo- para las transferencias de datos a terceros países cuando la empresa prestadora del servicio se había adherido al acuerdo de PUERTO SEGURO, no era necesario ningún requisito especial (autorización del Director de la Agencia).

Empresas como DROPBOX, están adheridas a dicho acuerdo, por el que se venía entendiendo que proporcionaba un nivel de seguridad suficiente y equiparable al de nuestro país.

Pero esta situación ha cambiado recientemente, a consecuencia de la Sentencia del Tribunal de Justicia de la Unión Europea, publicada el pasado 6 de octubre, y que anula la Decisión de la Comisión 2000/520/CE, que estableció el nivel adecuado de protección de las garantías para las transferencias internacionales de datos a EEUU ofrecidas por el acuerdo de Puerto Seguro.

La consecuencia práctica es que ya no se puede entender que la transferencia internacional de datos que hacemos –por ejemplo nuevamente- mediante DROPBOX sea 100% lícita sin más garantías adicionales.

¿Quiere esto decir que no podemos seguir usando DROPBOX y sistemas asimilados?

Rotundamente, no.

Pero habrá que analizar en cada caso, para empezar, las excepciones del artículo 34 LOPD, por si pudiera darse alguna de ellas.

Ningún problema de plantea, por otra parte, cuando la transferencia se realiza a países miembros de la Unión Europea (artículo 34-k LOPD) o cuando el afectado haya prestado su consentimiento inequívoco para llevarla a cabo (artículo 34-e LOPD).

Insisto, por tanto, en la importancia de llevar a cabo una revisión y análisis en cada caso, para comprobar si la transferencia se está haciendo de forma correcta y si es necesario o no algún cambio o replanteamiento del sistema.

Cesion de imagenes a Seguro

Cesion imagenes a aseguradora

Resulta muy interesante –por ser un supuesto que puede ocurrir en las instalaciones de cualquier empresa o negocio- el contenido del Informe Jurídico de la Agencia Española de Protección de Datos nº 20 del año 2014.

El informe da respuesta a la siguiente consulta: ¿Es conforme a la LOPD, la cesión de imágenes captadas por sistemas de videovigilancia a una empresa aseguradora, con objeto de acreditar un accidente?

Dicho de otro modo: si alguien sufre un siniestro en nuestro local o instalaciones, y el hecho se ha recogido por las cámaras de videovigilancia: ¿se puede entregar esa grabación a la compañía de seguros contratada que cubre el riesgo, con objeto de demostrar lo realmente sucedido?

La respuesta es sí.

Así lo razona la AEPD:

1º. La imagen es un dato de carácter personal y por tanto, está protegida por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

2º. La comunicación de un dato personal a persona distinta del titular, se considera por dicha norma como una cesión de datos (artículo 3.i LOPD).

3º. Toda cesión de datos se debe regir por lo dispuesto en el artículo 11 LOPD, que exige consentimiento previo, expreso e informado del interesado.

4º. No obstante, el artículo 11.2 hace algunas excepciones, entre ellas (apartado a) el hecho de que la cesión esté prevista en alguna Ley.

5º. En este punto, tenemos que el artículo 16 de la Ley 50/1980, de 8 de octubre, de Contrato de Seguro, dispone lo siguiente:

“El tomador del seguro o el asegurado o el beneficiario deberán comunicar al asegurador el acaecimiento del siniestro dentro del plazo máximo de siete días de haberlo conocido, salvo que se haya fijado en la póliza un plazo más amplio. En caso de incumplimiento, el asegurador podrá reclamar los daños y perjuicios causados por la falta de declaración.

(…) El tomador del seguro o el asegurado deberá, además, dar al asegurador toda clase de informaciones sobre las circunstancias y consecuencias del siniestro. En caso de violación de este deber, la pérdida del derecho a la indemnización sólo se producirá en el supuesto de que hubiese concurrido dolo o culpa grave.”

6º. Y precisamente por esto último, concluye la AEPD que la cesión de imágenes a la aseguradora es lícita, argumentando que:

“…si la cesión de las imágenes en las que se constata el accidente sufrido en las instalaciones del consultante, se efectúa a la compañía de seguros con la que el mismo tiene contratado el correspondiente seguro, dicha cesión de datos se encontraría amparada por lo previsto en el artículo 11.2.a de la Ley Orgánica 15/1999, al existir una norma con rango de Ley, la citada Ley de Contrato de seguro, de la que se deriva la obligación del asegurado de facilitar al asegurador toda la información relacionada con las circunstancias del siniestro.”

Fuentes accesibles al público

Listados de colegiados como fuentes accesibles al público

En el Informe jurídico nº 62/2009 de la Agencia Española de Protección de Datos, se da respuesta al siguiente interrogante:

¿Puede un Colegio Profesional de Abogados facilitar a un colegiado adscrito a dicho Colegio, copia de la lista de colegiados ejercientes que prestan servicios de justicia gratuita, con indicación del domicilio profesional?

La respuesta final es que sí.

No obstante, merece la pena leer el informe completo, para ver cómo evoluciona el razonamiento de la Agencia hasta alcanzar ese parecer.

Yo destacaría las siguientes notas del Informe:

1ª. Comencemos por recordar que el artículo 11.1 LOPD sólo permite la cesión de datos personales a un tercero –OJO- para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.

He ahí el principio general.

El apartado 2º del precepto, ya prevé excepciones, supuestos en los que el consentimiento previo no sería necesario (y que no sea preciso el consentimiento no significa que no tenga que seguir cumpliéndose siempre el otro requisito, esto es: que la cesión se haga para cumplir fines propios del cedente y cesionario, detalle que suele olvidarse incluso por los propios Juzgados…).

2ª. Dos de las excepciones al consentimiento antes citado serían éstas:

a) Cuando la cesión está autorizada en una ley.

b) Cuando se trate de datos recogidos de fuentes accesibles al público.

3ª. Así, lo primero que se pregunta la AEPD en el informe de referencia, es si los listados de abogados adscritos a los servicios de justicia gratuita, son o no una fuente accesible al público. La respuesta es negativa, y se expresa en los siguientes términos (muy claros, por cierto):

Sin embargo, los datos a que alude la consulta, relativos a la lista de adscripción voluntaria de los colegiados a los servicios de asistencia letrada y de defensa y representación gratuitas, regulados por la Ley 1/1996, de 10 de enero, de Asistencia Jurídica Gratuita, y cuya organización atribuye el artículo 22 de esta norma a los Consejos Generales de la Abogacía Española y de los Colegios de Procuradores de los Tribunales de España y sus respectivos Colegios, a través de sus Juntas de Gobierno, no serían incluibles en el supuesto examinado de fuente accesible al público.

La AEPD nos recuerda que los supuestos de fuente accesible al público –en lo que a profesionales colegiados respecta- serían sólo los referidos en el artículo 3.j) LOPD: listas de personas pertenecientes a grupos de profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo.

4ª. No es, por tanto, por vía de la excepción del artículo 11.2.b) por la que la AEPD considera que los listados de adscritos a justicia gratuita, pueden ser cedidos a otros letrados, sino por vía de la excepción del párrafo a) del mismo precepto. Es decir: por imperativo legal.

5ª. Una norma con rango de Ley (Ley 1/1996, de 10 de enero, de asistencia jurídica gratuita, y en particular su artículo 24) ampararía esta cesión –sin necesidad de consentimiento previo de los titulares de los datos-, y por tanto sería ajustada a derecho.