Safe Harbor: invalidado el acuerdo que permitía transferir datos personales entre Europa y EE.UU

Por Alonso Hurtado Bueno y Daniel A. López Carballo

En el día de ayer se hizo pública la Sentencia del Tribunal de Justicia de la Unión Europea relativa al asunto C-362/14 (conocido como el “Caso Schrems vs Facebook”), mediante la cual se reconoce la habilitación a las Agencias Nacionales de Protección de Datos para bloquear las transferencias internacionales de datos de ciudadanos europeos a Estados Unidos en el marco del denominado “Safe Harbor”.

El artículo 25 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, establece como requisito para realizar una Transferencia Internacional de Datos que el país destinatario de los datos garantice un nivel adecuado de protección. En este sentido, según recoge la Directiva, “el carácter adecuado del nivel de protección que ofrece un país tercero se evaluará atendiendo a todas las circunstancias que concurran en una transferencia o en una categoría de transferencias de datos; en particular, se tomará en consideración la naturaleza de los datos, la finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de Derecho, generales o sectoriales, vigentes en el país tercero de que se trate, así como las normas profesionales y las medidas de seguridad en vigor en dichos países”.

En relación con este nivel adecuado de protección de datos, debe recordarse que, Estados Unidos carece de una norma específica en materia de protección de datos que garantice los principios consagrados en la citada Directiva Europea, tal y como si ocurre en otros países no miembros del Espacio Económico Europeo como Suiza, Canadá, Suiza, Argentina, Andorra, Israel, Uruguay o Nueva Zelanda, entre otros.

En este punto, hasta hoy se consideraba que las entidades norte americanas adheridas a los principios del Safe Harbor, de conformidad con la Decisión 2000/520/CE de la Comisión de 26 de julio de 2000, ofrecían garantías adecuadas en materia de protección de datos. Para adherirse al Safe Harbor, las empresas debían certificar ante el Departamento de Comercio de Estados Unidos que cumplían con los estándares de protección de datos exigidos por la Unión Europea, debiendo renovar este certificado anualmente.

Así las cosas, el Tribunal de Justicia de la Unión Europea entiende que el sistema “únicamente es aplicable a las entidades estadounidenses que se han adherido a él, de modo que las autoridades públicas estadounidenses no están sometidas a dicho régimen”. Adicionalmente, se considera que las exigencias de seguridad nacional, interés público y de observancia de la normativa propia de Estados Unidos (entre otras la Patriot Act) prevalecen sobre el propio Safe Harbor, viéndose las empresas adheridas “obligadas a dejar de aplicar, sin limitación, las reglas de protección previstas por este régimen cuando entren en conflicto con las citadas exigencias”.

En este sentido, el Tribunal de Justicia entiende que las autoridades públicas estadounidenses podrían acceder a los datos personales trasferidos desde los Estados miembros de la Unión Europea, pudiendo tratarlos para de manera incompatible con las finalidades del tratamiento originario, careciendo las personas afectadas de instrumentos jurídicos que les posibilitaran ejercitar sus derechos de acceso, rectificación y cancelación, entre otros aspectos.

Este hecho provoca una lesión evidente, a juicio del Tribunal, del contenido del derecho fundamental respecto de la vida privada de las personas, y por tanto de la protección de sus datos personales, vulnerándose, igualmente, el derecho fundamental a la tutela judicial efectiva, en tanto no se prevén acciones jurídicas específicas para garantizar este derecho erga omnes. En este aspecto, en el Anexo IV de la Decisión 2000/520 se establece que “si la legislación estadounidense establece una obligación en contrario, las entidades deben cumplirla, dentro o fuera del ámbito de los principios de puerto seguro”.

A mayor abundamiento, el Tribunal de Justicia de la Unión Europea entiende que la citada Decisión 2000/520/CE privaba a las Autoridades Nacionales de Control de sus facultades, considerando que “la Comisión carecía de competencia para restringir de ese modo las facultades de las Autoridades Nacionales de Control”.

En este sentido, tanto nuestra Ley Orgánica 15/1999 (LOPD), como la Directiva 95/46 inciden en la prohibición de transferencias de datos que tengan como destino un país que no proporcione un nivel de protección adecuado a dichas leyes.

Tras la importante Sentencia del Tribunal de Justicia de la Unión Europea, las empresas adheridas al Safe Harbor deberán proceder a regularizar sus procesos de transferencia internacional de datos, de cara a poder seguir tratando los datos personales, garantizando un nivel adecuado de protección para las personas, observando las exigencias establecidas en la normativa europea de protección de datos.

En este sentido, nuestra normativa nacional establece que para poder llevar a cabo transferencias internacionales de datos personales a Estados sin nivel adecuado de protección, es necesario, contar con:

  • La autorización del Director de la Agencia Española de Protección de Datos, siguiendo para ello el proceso de solicitud habilitado al efecto o;
  • Poder acogerse a las excepciones expresamente previstas en el artículo 34 LOPD, entre las que cabe destacar: que el afectado haya dado su consentimiento inequívoco a la transferencia prevista, que la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado, y que la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.

No obstante, debe tenerse en consideración que el consentimiento prestado por parte de los titulares de los datos debe ser debidamente informado, inequívoco, basado en el principio de plena transparencia y calidad de los datos y obtenido por un medio acreditable en Derecho, lo que bien podría introducir una complejidad adicional a la hora de lograr su adecuada acreditación ante las Autoridades competentes en materia de protección de datos.

De esta forma, es importante resaltar que la importancia de esta sentencia no radica única y exclusivamente en cómo afecta a las entidades establecidas en Estados Unidos que prestan servicios o realizan intercambios y tratamientos de datos provenientes de la Unión Europea, sino que también afecta tanto a aquellas entidades nacionales que mantienen en la actualidad contratos con proveedores cuyos servicios impliquen el acceso, tratamiento o almacenamiento de datos personales (ej.: servicios de Hosting, aplicaciones en Cloud, etc), como a los propios flujos internacionales de datos que se realicen entre empresas del mismo grupo (ej.: entidades cuya matriz, o alguno de sus servicios corporativos, se encuentren ubicados en Estados Unidos).

Este aspecto pone de manifiesto la necesidad de que las empresas deben seguir avanzando en la implantación de sistemas de cumplimiento innovadores que posibiliten conciliar su actividad empresarial de la forma más eficaz posible, con la adopción de mecanismos y procedimientos que aseguren la confidencialidad, integridad y seguridad de los datos, respetando el derecho de las personas sobre su información personal y garantizando el cumplimiento normativo.

El TJUE abre la puerta a que los sistemas de videovigilancia privados capten la vía pública

camaras_eu

Por Francisco R. González-Calero Manzanares

Esto es así a raíz de la reciente Sentencia de 11 de diciembre de 2014 recaída sobre el asunto C‑212/13 Sr. Ryneš vs Agencia Checa de protección de datos que había declarado que el Sr. Ryneš había cometido varias infracciones de la normativa de protección de datos.

El supuesto encausado trae base de la instalación y utilización de una cámara fija situada bajo los aleros del tejado de la vivienda familiar. Dicha cámara no se podía girar y captaba imágenes de “la propia vivienda, de la vía pública y de la entrada a la vivienda situada enfrente”. Las imágenes se guardaban en un disco duro que al agotar su capacidad de almacenaje sobrescribía sobre las grabaciones más antiguas, no disponía de monitor por lo que no existían imágenes en tiempo real y solamente el Sr. Ryneš conocía las claves de acceso a sistema. Se constata por el órgano judicial que la única razón y justificación de la instalación era “para proteger los bienes, la salud y la vida de él mismo y de su familia. En efecto, tanto el demandante como su familia habían sufrido reiteradas agresiones durante varios años por parte de un desconocido que nunca había sido identificado. Además, las ventanas de la vivienda familiar habían sido destrozadas varias veces entre 2005 y 2007”. Tras sufrir una nueva agresión con el sistema ya instalado, se utilizan las imágenes para identificar a los agresores que habían lanzado contra la ventana un proyectil lanzado con un tirachinas, se entregan a la policía y se aportan al proceso penal, lo que llevó a uno de los sospechosos a reclamar el examen de la legalidad de ese sistema de videovigilancia entrando en juego la Agencia Checa de protección de datos que entendió que se habían cometido infracciones contra la normativa de protección de datos.

Con el asunto judicializado se plantea al TJUE cuestión prejudicial sobre la aplicación o no aplicación de la denominada “excepción doméstica” regulada en el artículo 3.2 de la Directiva 95/46, cuyo tenor literal reza: “«La utilización de un sistema de cámara de vídeo instalado en una vivienda familiar con el fin de proteger los bienes, la salud y la vida de los propietarios de la vivienda, ¿puede calificarse de tratamiento de datos personales “efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas” a efectos del artículo 3, apartado 2, de la Directiva 95/46 […], aunque tal sistema de videovigilancia cubra también el espacio público?»”.

El TJUE entiende que esta excepción debe ser interpretada en sentido estricto entendiendo que “no se limita a prever que sus disposiciones no se aplicarán al tratamiento de datos personales en el ejercicio de actividades personales o domésticas, sino que exige que se trate del ejercicio de actividades «exclusivamente» personales o domésticas”. Al grabar en parte la vía pública, esta actividad no puede ser considerada una actividad personal o doméstica, lo que le lleva a declarar que: “El artículo 3, apartado 2, segundo guión, de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, debe interpretarse en el sentido de que la utilización de un sistema de cámara de vídeo, que da lugar a la obtención de imágenes de personas que luego se almacenan en un dispositivo de grabación continuada, como un disco duro, sistema de videovigilancia instalado por una persona física en su vivienda familiar con el fin de proteger los bienes, la salud y la vida de los propietarios de la vivienda y cuya vigilancia cubre también el espacio público, no constituye un tratamiento de datos efectuado en el ejercicio de actividades exclusivamente personales o domésticas a efectos de la citada disposición de la Directiva”.

Hasta aquí nada sorprendente, si no fuera por lo establecido en el punto 34 de la Sentencia, que sin ser objeto de la cuestión prejudicial y no ser necesario analizar, el TJUE sin profundizar en el tema, establece que: “Al mismo tiempo, la aplicación de las disposiciones de dicha Directiva permite, en su caso, tener en cuenta, con arreglo en particular a los artículos 7, letra f), 11, apartado 2, y 13, apartado 1, letras d) y g), los intereses legítimos del responsable del tratamiento de los datos, intereses que consisten concretamente, como en el litigio principal, en proteger los bienes, la salud y la vida de dicho responsable y los de su familia”. Es decir, el TJUE entiende que justificaría el tratamiento el interés legítimo regulado en el artículo 7 f) “es necesario para la satisfacción del interés legítimo perseguido por el responsable del tratamiento o por el tercero o terceros a los que se comuniquen los datos, siempre que no prevalezca el interés o los derechos y libertades fundamentales del interesado que requieran protección con arreglo al apartado 1 del artículo 1 de la presente Directiva”, que no sería necesario facilitar información cuando los datos no han sido recabados del propio interesado de acuerdo con el artículo 11.2: “Las disposiciones del apartado 1 no se aplicarán, en particular para el tratamiento con fines estadísticos o de investigación histórica o científica, cuando la información al interesado resulte imposible o exija esfuerzos desproporcionados o el registro o la comunicación a un tercero estén expresamente prescritos por ley. En tales casos, los Estados miembros establecerán las garantías apropiadas” y que los EEMM pueden establecer limitaciones y excepciones los principios, deberes y derechos de calidad de los datos, información al interesado, ejercicio de derechos y publicidad de los tratamientos de acuerdo con el artículo 13, letras d) “la prevención, la investigación, la detección y la represión de infracciones penales o de las infracciones de la deontología en las profesiones reglamentadas” y g) “la protección del interesado o de los derechos y libertades de otras personas”.

Realizar tales afirmaciones en un asunto en el que ha quedado constatado que la cámara graba imágenes de: “la propia vivienda, de la vía pública y de la entrada a la vivienda situada enfrente” resulta cuanto menos, desconcertante. No obstante la prudencia obliga a ser cauto y entender que será necesario analizar caso por caso, ya que al no ser necesario y fundamental para resolver el fondo de la cuestión prejudicial, el TJUE ha realizado esta afirmaciones sin profundidad y estudio detallado puesto que sobre estos aspectos no se le plantea cuestión prejudicial. De haber tenido que conocer a fondo estas cuestiones, seguramente hubiera dado pautas para la ponderación de derechos, por lo que lo expresado en este punto de la sentencia no debería ser sacado de contexto.

Además en el derecho español ya tendríamos el asunto resuelto. Partiendo de lo establecido en la Ley Orgánica 4/1997 mediante la cual sólo pueden instalar cámaras fijas o móviles en lugares públicos las Fuerzas y Cuerpos de Seguridad, previa solicitud y autorización de la Comisión de Garantías de Videovigilancia dependiente de cada Delegación de Gobierno (tras la entrada en vigor de la Ley 5/2014 de seguridad privada también pueden solicitar autorización las empresas de seguridad privada), no debemos olvidar que la Agencia Española de Protección de Datos sobre la regla general de instalación de cámaras en lugares públicos sólo por Fuerzas y Cuerpos de Seguridad, viene admitiendo con criterio restrictivo la instalación por particulares y empresas de cámaras grabando la vía pública en supuestos debidamente justificados, mediante la aplicación del artículo 4.3 de la INSTRUCCIÓN 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras: “Las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos salvo que resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas. En todo caso deberá evitarse cualquier tratamiento de datos innecesario para la finalidad perseguida”.

Ello nos obliga a realizar una labor previa de reflexión tendente a justificar su necesidad, idoneidad y proporcionalidad, tomando en consideración elementos como la especial vulnerabilidad del bien (bajo o local comercial planta calle), las agresiones previas o la limitación de la medida invasiva (grabación únicamente del momento de la entrada o salida y acera aledaña y no calzada y acera de enfrente, etc), o la necesidad de pixelar determinados ángulos o no adquirirla con zoom. Únicamente con esa labor previa podremos evitar la interposición de una sanción administrativa y la posible nulidad procesal de la prueba al aportar las grabaciones.

Sentencia completa:

http://curia.europa.eu/juris/document/document.jsf?text=&docid=160561&pageIndex=0&doclang=ES&mode=lst&dir=&occ=first&part=1&cid=49702

Fuente de la imagen: Antena 3.

Artículo publicado por el autor originariamente en el Blog de ENATIC.

Videovigilância: Restaurantes das “áreas de serviço” das autoestradas (Acórdão Tribunal Central Administrativo Sul, de 6 Nov. 2014)

camaras_portugal

Por João Ferreira Pinto

A Autoridade de Controlo portuguesa, a Comissão Nacional de Proteção de Dados (CNPD), viu confirmada pelo Tribunal, em 4 de dezembro de 2014 (Proc. 11195/14), a sua deliberação de não autorizar a recolha de imagens nos restaurantes das “áreas de serviço” das Autoestradas, no que diz respeito a:

  1. Zonas de refeições (cafetaria, self-service, sala de refeições, balcão e zona de mesas);
  2. Escritório;
  3. POS (Point-of-Sales);
  4. Acessos a sanitários (destinados a clientes e trabalhadores);
  5. Interior da copa das cozinhas;
  6. Corredor técnico;
  7. Entrada de serviço;
  8. Entrada da unidade;
  9. Loja;
  10. Via pública e zonas limítrofes.

Para efeitos de proteção das instalações contra vandalismo e roubo, a CNPD concedeu autorização parcial, para instalar câmaras de videovigilância apenas nos acessos às salas de refeições e na zona do cofre/depósito valores monetários nos escritórios.

No entendimento da CNPD, confirmado pelo Tribunal de recurso, o juízo de conformidade da extensão do tratamento de dados pessoais decorrentes da videovigilância nos restaurantes em causa, deve obedecer ao Princípio da proporcionalidade nos termos do art.º 5.º, n.º 1, al. c) da Lei n.º 67/98, de 26 de Outubro, Lei de Proteção de Dados Pessoais (LPDP).

O conteúdo tridimensional deste Princípio traduz-se na adequação, necessidade (ou proibição do excesso) e razoabilidade (ou proporcionalidade em sentido restrito).

A adequação proíbe a adoção de condutas administrativas inaptas para a prossecução do fim que concretamente visam atingir. A necessidade proíbe a adoção de condutas administrativas que não sejam indispensáveis para a prossecução do fim que concretamente visam atingir. E a razoabilidade proíbe que os custos da atuação administrativa sejam manifestamente superiores aos benefícios que se esperam da sua utilização.

Nas circunstâncias do caso concreto, impõe-se uma ponderação entre as medidas de segurança (videovigilância para segurança de pessoas e instalações do empregador) e a liberdade dos direitos fundamentais de clientes e trabalhadores.

Por um lado, considera a CNPD que uma finalidade genérica, preventiva ou de segurança, não constitui motivo suficiente para o empregador efetuar um controlo lícito de pessoas (clientes e trabalhadores) e bens, através da captação de imagens por videovigilância nos restaurantes. É necessário ocorrer uma situação de risco razoável para a segurança ou um perigo concreto.

Por outro lado, no que diz respeito aos direitos fundamentais, estão em causa no caso concreto, os direitos de personalidade, desde logo, o direito à imagem e reserva sobre a intimidade da vida privada e familiar dos utentes dos estabelecimentos, nas zonas de descanso e descontração (cfr. art.º 26.º da Constituição da República Portuguesa). Bem como o direito à imagem, privacidade e autodeterminação informativa dos trabalhadores (cfr. artigos 26.º, n.º 1 e 35.º, n.º 2 da Constituição da República Portuguesa). A videovigilância no interior dos locais de trabalho, com captação permanente das zonas de acesso restrito a trabalhadores, constitui um controlo do tempo e do desempenho dos trabalhadores proibido pelo Código do Trabalho (cfr. art.º 20.º).

Pelo que considera a CNPD, a videovigilância na zona da copa e nas zonas de refeições dos restaurantes das áreas de serviço, como inadequada, desnecessária e desproporcional.

O texto do Acórdão pode ser consultado através do link: http://www.dgsi.pt/jtca.nsf/170589492546a7fb802575c3004c6d7d/ec2d097c17a7033480257d8e004e55c3?OpenDocument

Comentarios a la SAN que resuelve como lícita la inspección del móvil de un alumno por parte del director de un centro escolar

movil_colePor José Luis Colom Planas

Introducción

La Sentencia de la Audiencia Nacional, objeto de este estudio, presenta una serie de peculiaridades que la hacen muy atractiva desde un punto de vista jurídico:

  • En primer lugar resuelve la legitimación del “tratamiento” de los datos personales en el Smartphone del alumno, por parte del director del colegio, basándose en la anulación del artículo 10.b del RD 1720/2007. En consecuencia resulta de aplicación directa el artículo 7.f de la Directiva 95/46/CE.
  • Se trata también de un caso de colisión entre derechos fundamentales de las personas, que exige discernir cuál de ellos debe prevalecer. Si bien la SAN no entra directamente en éstas valoraciones, yo sí que lo haré aquí.

Resumen de los antecedentes de hecho

Como resumen de lo acaecido en el colegio diré que a partir de la denuncia de una alumna de la misma clase que alegaba que el compañero le mostraba, sirviéndose de un Smartphone, vídeos “de mayores” que la importunaban, el director del centro junto a un informático de plantilla exigieron al alumno el pin y accedieron a los vídeos e histórico de navegación, inspección que corroboró las afirmaciones de la niña.

Pese a ser mi área de especialización, considero muy pobre valorar esta Sentencia exclusivamente en relación a la protección de datos personales. Como he manifestado en la introducción debería de valorarse también como una colisión de derechos fundamentales. Pasemos a analizar ambos planteamientos:

Valoración basada en la legislación en materia de protección de datos

La justificación de la Sala de lo Contencioso-Administrativo (Sección primera) de la Audiencia Nacional, se basa en el artículo 10 “Supuestos que legitiman el tratamiento o cesión de datos” del RD 1720/2007, de 21 de diciembre, que es el reglamento de aplicación de la LOPD.

El tribunal recuerda la divergencias de traducción o interpretación en el proceso de transposición de la Directiva europea 95/46/CE sobre el artículo 10.2.b del RD 1720/2007. Como consecuencia de la STJUE de 24 de noviembre de 2011, en España la STS de la sala 3ª de 8 de febrero de 2012 lo anuló por no ser conforme al artículo 7.f de la Directiva europea. Desde entonces, el referido artículo de la Directiva pasa a tener aplicación directa al ordenamiento jurídico español.

Para aquellos que no estén al corriente del efecto de tal anulación, a partir de ese momento ya no es posible afirmar que para que el tratamiento de datos personales sea lícito es necesario, cuando no conste el consentimiento del titular (ni concurran otros supuestos de excepción previstos en los artículos 6.2 y 11.2 de la LO 15/1999), que los datos consten en fuentes accesibles al público.

Dicho artículo 7.f de la Directiva establece dos únicos requisitos acumulativos para legitimar un tratamiento:

  • La necesidad de satisfacer un interés legítimo. En éste caso se satisface un interés legítimo como lo es el de preservar a una menor, y quién sabe si a los demás compañeros, de los efectos de una agresión moral.
  • Que no prevalezcan derechos y libertades fundamentales del interesado. Para analizar la prevalencia de derechos cabría decir que el ataque a la moral pública mediante pornografía, especialmente si tiene como destinatario a la infancia, cobra una intensidad superior según STC de 15 de octubre de 1982.

Valoración basada en la colisión de derechos fundamentales

Otra forma de estudiar este procedimiento es basándose en el conflicto de derechos fundamentales. Sabemos que los derechos no son absolutos y tienen límites que al colisionar deben ponderarse eludiendo reglas generales. Se evaluará cada caso en función de sus circunstancias concretas.

Los derechos en conflicto son por un lado el derecho a la protección de datos y a la intimidad personal, y por otro el derecho a la educación y a la integridad moral. Todos derechos fundamentales recogidos en la Parte Dogmática de la Constitución o de creación jurisprudencial. Deberemos discernir cuales deben prevalecer.

Si los analizamos con detalle:

  • El derecho a la protección de datos es el que garantiza a un individuo el control y la libre disposición de sus datos personales.
  • El derecho a la intimidad es el que protege todos aquellos aspectos concernientes a la vida privada de un individuo, los cuales tiene derecho a que no trasciendan a terceros.
  • El derecho a la educación Es el que garantiza el pleno desarrollo de la personalidad humana en el respeto a los principios democráticos de convivencia y a los derechos y libertades fundamentales.
  • El derecho a la integridad moral junto al derecho a la integridad física, son consecuencia del derecho a la vida plena, como se deduce del artículo 15 de la CE.

A la luz de amplia jurisprudencia constitucional y de variada doctrina sobre el carácter no ilimitado del derecho a la intimidad y el derecho a la protección de datos en su colisión con otros derechos fundamentales un criterio, que ha aplicado varias veces el TS para comprobar si una medida restrictiva de un derecho fundamental supera el juicio de proporcionalidad, es constatar que cumpla los tres siguientes requisitos o condiciones:

  • Juicio de idoneidad: Si tal medida es susceptible de conseguir el objetivo propuesto.
  • Juicio de necesidad: Si, además, es necesaria en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia.
  • Juicio de proporcionalidad en sentido estricto: Y, finalmente, si la misma es ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto.

Aplicando el juicio de proporcionalidad al caso que nos ocupa, obtenemos:

  • La medida fue idónea ya que su visualización sirvió para comprobar el contenido inadecuado de las imágenes y evidenciar que efectivamente fueron visionadas.
  • La medida fue necesaria, ya que no existía otra posibilidad más moderada para evidenciar los hechos. Recordemos que se hizo en presencia de un técnico informático que, si bien no era un perito, de forma dirigida solo buscó el material concreto objeto del conflicto. Está claro que no sirve como prueba pericial porque no se hizo en presencia de un secretario judicial o notario que certificara la preservación de la cadena de custodia, pero pensemos que se trataba de un menor en el centro educativo y a mi juicio los acontecimientos nunca deberían haber llegado tan lejos.
  • La medida fue proporcional en sentido estricto ya que si bien el acceso a datos personales puso en evidencia una faceta concreta del niño, hemos de recordar que la función del centro educativo es educar, es decir, corregir conductas inapropiadas a la edad, a la vez que preservar los valores y la afectación moral de los compañeros menores de edad. Quizá, dado que no existía el apremio de la urgencia, se hubiera podido retener el móvil al alumno y avisado a los padres para inspeccionarlo en su presencia contando con su consentimiento expreso (recordemos el artículo 13.1 del RD 1720/2007 tratándose de un menor), aunque vista a posteriori la actuación de éstos, podría presumirse que se negaran a su visionado.

Conclusiones

Mediante ambos planteamientos vemos que se llega a la misma legitimación de las actuaciones. En consecuencia, podemos concluir que la sentencia de la AN está bien fundada.

Ya que en esencia se trata de un conflicto entre derechos fundamentales sería posible, una vez agotada la vía judicial previa, solicitar sea admitido a trámite un hipotético recurso de amparo ante el TC.

No es aventurado afirmar sin embargo que según lo analizado aquí, basado en mi personalísima opinión, aún en el supuesto de que efectivamente fuera admitido a trámite el recurso ante el alto tribunal el fallo de la sentencia sería, con toda probabilidad, acorde al de la AN y, en consecuencia, se desestimaría el amparo.

Bibliografía consultada

Audiencia Nacional. Sala de lo Contencioso-Administrativo. Sección Primera. “Sentencia del recurso 481/2012”. 26 de septiembre de 2013.

SAN a 26 de septiembre de 2013

Acceso al correo electrónico del trabajador: ¿legal o ilegal?

correo_corporativo

Por Francisco R. González-Calero Manzanares

El Titular de este artículo puede parecer “rocambolesco”, pero define a la perfección la situación creada tras la reciente Sentencia 2844/2014 de la Sala de lo Penal de Tribunal Supremo de 16 de junio de 2014, que ha venido a alterar el estado de las cosas en lo que respecta a técnicas de monitorización y acceso al correo electrónico profesional del empleado, creando dos líneas jurisprudenciales diferentes a la hora de valorar la licitud de una prueba, lo que obligará con toda seguridad a rediseñar los protocolos, manuales, documentos y procedimientos internos relativos a la seguridad de la información y protección de datos.

Hasta ese momento, la reiterada jurisprudencia de la Sala de lo Social del Tribunal Supremo y del propio Tribunal Constitucional venían amparando estas prácticas en base a lo dispuesto en el artículo 20.3 del Real Decreto Legislativo 1/1995, de 24 de marzo, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores: “el empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso”, siempre que o bien se hubiera advertido previamente de tal circunstancia y se hubieran fijado las reglas del juego, o se hubiera prohibido total o parcialmente el uso personal de estos medios profesionales. En un primer momento, el Tribunal Supremo en su Sentencia de 26 de septiembre de 2007 ante el supuesto planteado de si la empresa puede acceder al correo electrónico del trabajador estableció que “en síntesis prevé la posibilidad de que el empresario pueda acceder al control del ordenador, del correo electrónico y los accesos a Internet de los trabajadores, siempre que la empresa de buena fe haya establecido previamente las reglas de uso de esos medios con aplicación de prohibiciones absolutas o parciales e informado de que va existir un control y de los medios que han de aplicarse en orden a comprobar la corrección de los usos”. Posteriormente, el Tribunal Supremo da un paso más en su sentencia de 6 de octubre de 2011 en la que estableció que “si la empresa prohíbe totalmente el uso de estas tecnologías con fines particulares, ya sea dentro o fuera del horario laboral, no se puede entender que el Derecho Fundamental a la Intimidad o al Secreto de las comunicaciones opera en el uso de estos equipos”.

Es más, como hemos indicado anteriormente, el propio Tribunal Constitucional en las Sentencias STC 241/2012 y 170/2013 viene a respaldar estas tesis al entender en la primera, que ante el acceso a un programa de Chat instalado por las propias trabajadoras en un equipo multiusuario y sin clave de acceso, no cabe alegar expectativa en privacidad, máxime cuando previamente la empresa había prohibido la instalación de  este tipo de programas y en la segunda sentencia, al ratificar el despido disciplinario de un trabajador de una empresa del sector químico, que estaba pasando información a la competencia mediante el correo electrónico profesional y, en base a ello, se le despidió disciplinariamente. El TC entiende que como el Convenio Colectivo de las empresas del sector químico establece que los medios informáticos son medios profesionales, debe entenderse prohibido el uso personal de los mismos.

Llegados a este punto y retomando la Sentencia de la Sala de lo Penal, nos encontramos que sin necesidad de resolver sobre este asunto por existir suficiente material probatorio para condenar en este proceso, ante los argumentos dados por la Sentencia recurrida de la Audiencia Provincial “…el ordenador registrado era una herramienta propiedad de la empresa y facilitada por la empresa a don AAA exclusivamente para desarrollar su trabajo, por lo que entendemos que incluso en aquel supuesto en que pudiera utilizar el ordenador para emitir algún tipo de mensaje de carácter personal, entendemos que al utilizar precisamente un ordenador ajeno, de la empresa, y destinado exclusivamente para el trabajo a la empresa, estaba asumiendo -cediendo- la falta de confidencialidad -secreto- de las comunicaciones que pudiera tener el señor AAA utilizando tal terminal informático“, el Tribunal Supremo decide a través de un Obiter Dicta establecer su doctrina en esta materia.

Partiendo de las sentencias de la Sala de lo Social del Tribunal Supremo y del Tribunal Constitucional analizadas anteriormente, entiende que estas argumentaciones deben quedar delimitadas en el ámbito exclusivo de la jurisdicción social y no así en la penal, disponiendo que “a nuestro juicio, el texto constitucional es claro y tajante cuando afirma categóricamente que:-se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial-”.

Continua afirmando el Tribunal Supremo que: “no contempla, por tanto, ninguna posibilidad ni supuesto, ni acerca de la titularidad de la herramienta comunicativa (ordenador, teléfono, etc. propiedad de tercero ajeno al comunicante), ni del carácter del tiempo en el que se utiliza (jornada laboral) ni, tan siquiera, de la naturaleza del cauce empleado (“correo corporativo”), para excepcionar la necesaria e imprescindible reserva jurisdiccional en la autorización de la injerencia”. Y que tampoco una renuncia tácita a ese derecho puede convalidar la ausencia de intervención judicial.

Con todo ello, la propia Sentencia fija claramente el panorama actual en el que nos encontramos. En el caso de los correos electrónicos sin abrir por el destinatario, rige la protección constitucional que otorga el artículo 18.3 de la Carta Magna al secreto de las comunicaciones, y para los que ya han sido abiertos por el destinatario y otros aspectos susceptibles de control como los datos del tráfico, historial de navegación Web o acceso al disco duro, rige la protección del artículo 18.1 del derecho a la intimidad y 18.4 a la protección de datos personales, por lo que su control e intervención vendría amparada si se cumplen los requisitos fijados por las Sentencias del Supremo y Constitucional analizadas con anterioridad.

No obstante, aunque el Tribunal Supremo fija su doctrina para la válida aportación como prueba a un proceso penal de un correo electrónico, que fue abierto antes de que lo hiciera el destinatario del mismo, a la vista de la doctrina creada se puede entender que no solamente afecta a los correos electrónicos, sino a cualquier sistema de mensajería instantánea y Chat que permita establecer una comunicación entre dos o más personas.

Como bien señala Javier Aparicio Salom en su artículo publicado en el Diario Expansión el 4 de septiembre de 2014, “… a pesar de la claridad de esta sentencia, el tema sigue sin resolverse definitivamente. En efecto, no es posible ignorar la corriente doctrinal elaborada por el Tribunal Constitucional (Sentencia 142/2012 FJ 3) que, siguiendo la Sentencia del Tribunal Europeo de Derechos Humanos de 3-04-07, Caso Copland vs. Reino Unido, extiende el concepto de medios de comunicación y, por tanto, el ámbito de protección del 18.3 CE, no solo a los mensajes en curso y no abiertos, sino a todos los mensajes y a los datos de tráfico”, lo que lleva al autor a plantearse que puede ser constitutivo de delito la investigación sin autorización judicial de mensajes y de los datos de su envío o recepción, así como los relativos a las llamadas en base a la mencionada Sentencia “… concepto de secreto de la comunicación cubre no sólo el contenido de la comunicación, sino también otros aspectos de la misma, como la identidad subjetiva de los interlocutores, por lo que queda afectado por este derecho tanto la entrega de los listados de llamadas telefónicas por las compañías telefónicas como también el acceso al registro de llamadas entrantes y salientes grabadas en un teléfono móvil”.

Es más, a nuestro entender la falta e intervención judicial podría conllevar el incurrir en un delito de descubrimiento y revelación de secretos regulado en el artículo 197.1 del Código Penal cuyo tipo penal es el siguiente: “el que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales o intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación…”, en concordancia con el artículo 199.1 que lo especializa en relación con el oficio o relaciones laborales. Todo ello a tenor con lo dispuesto en reiteradas Sentencias del Tribunal Constitucional, entre otras la 142/2012, al entender sobre contenido del derecho al secreto de las comunicaciones del artículo 18.3 que “… consagra la interdicción de la interceptación o del conocimiento antijurídico de las comunicaciones ajenas, por lo que dicho derecho puede resultar vulnerado tanto por la interceptación en sentido estricto –aprehensión física del soporte del mensaje, con conocimiento o no del mismo, o captación del proceso de comunicación – como por el simple conocimiento antijurídico de lo comunicado –apertura de la correspondencia ajena guardada por su destinatario o de un mensaje emitido por correo electrónico o a través de telefonía móvil, por ejemplo –“.

A la vista de lo anterior, independientemente del uso que se le quiera dar a ese correo electrónico (amonestación, despido disciplinario, querella criminal o denuncia), con esta doctrina nos encontramos ante la disyuntiva de leer o no leer un correo electrónico con anterioridad a que lo haga su destinatario y sus posibles implicaciones legales. No cabe duda que esta línea jurisprudencial obliga a replantearnos muchos protocolos como por ejemplo, qué hacer con la cuenta de correo electrónico de un antiguo empleado a la que pueden seguir entrando correos electrónicos. Quizá por precaución lo lógico sería que automáticamente y durante un periodo lógico de tiempo saltara un mensaje de error en el que se facilitaran otras vías y personas de contacto con la entidad, aunque como acabamos de señalar esto es sólo un ejemplo de la casuística que en esta materia se va llegar a producir.

Publicado originariamente por el autor en El Derecho.

Suprema acoge acción de protección por publicación de morosidad respecto de facturas impugnadas

cortesuprema_chilePor Romina Garrido Iglesias

Es un hecho en Chile que la ley 19.628 no es y no contempla un mecanismo idóneo para la defensa de las personas ante un tratamiento de datos ilegal. Un caso a tener en cuenta es aquel contra la empresa de telefonía Claro, resuelto favorablemente para la afectada, mediante el ejercicio de las acciones de protección interpuestas por vulneración de garantía constitucional del 19 N° 4  y a la  ley 19.628.

El asunto es que la empresa publicó “erróneamente” en el Boletín Comercial obligaciones pendientes por servicios, que aparentemente no fueron contratados por la recurrida. En el caso,  también se investiga una supuesta falsificación de firma para la contratación de los servicios. La publicación de dicha información en “Equifax” vulnera lo dispuesto en los artículos 6 y 9 de la Ley N° 19.628 en cuanto a que se exige que los datos que se publiquen sean ciertos, veracidad que no concurre en la especie porque se habría falsificado supuestamente la firma para  la contratación de un plan de  suministro de servicios de telefonía móvil. En la Fiscalía se encuentra la denuncia que discute la veracidad de los títulos, lo que aún no está resuelto.

Por eso la Corte considera que se da por  establecido que se ha obrado con infracción a lo dispuesto por el artículo 6 de la Ley N° 19.628, existe duda de la veracidad del título y por tanto no procede la publicación de la morosidad. De esta forma se acoge el recurso de protección y la empresa Claro  deberá requerir a Equifax Chile S.A. que elimine de sus registros y publicaciones la morosidad informada.

El recurso o acción de protección se ha transformado en la herramienta idónea para estos casos: es rápida y se obtiene lo que se quiere: ser eliminado de los registros, pese a que la ley 19.628 contempla una acción civil que la doctrina ha llamado “Habeas data legal” para ser ejercida en tribunales, con el fin de obtener: información sobre los datos relativos a su titular, su procedencia y destinatario, el propósito del almacenamiento y la individualización de las personas u organismos a los cuales sus datos son transmitidos regularmente. Eso por una parte y por otra, si los datos personales son erróneos, inexactos, equívocos o incompletos, y así se acredite, tendrá derecho a que se modifiquen. Sin perjuicio de las excepciones legales, podrá, además, exigir que se eliminen, en caso de que su almacenamiento carezca de fundamento legal o cuando estuvieren caducos. La ley contempla una indemnización, a la cual está obligada toda persona natural o jurídica privada o el organismo público responsable del banco de datos  por el daño patrimonial y moral que causare por el tratamiento indebido de los datos, sin perjuicio de proceder a eliminar, modificar o bloquear los datos.

Para un estándar de protección de derechos adecuado, el primer paso es el establecimiento de una legislación general de protección de datos personales que, al menos, contemple una autoridad independiente de supervisión y un procedimiento que asegure el respecto  y el cumplimiento de la normativa. En simple, una acción eficaz en tribunales, lo que no ocurre con la acción de protección de datos en la ley Chilena. Desconocimiento? Ineficacia probada?

Chile entonces está “a menos un paso” para lograr ese estándar. Al menos los tribunales dan cabida a esa protección a través de la Constitución Política.

Supervisión de las comunicaciones electrónicas en el ámbito laboral

tc_mailPor Diego Pérez Gutiérrez

El pasado siete de octubre de 2013 el Tribunal Constitucional Español dictó una sentencia que exime a los empresarios de realizar cualquier tipo de advertencia previa sobre la vigilancia del correo electrónico que facilitan a sus empleados, y por tanto puede intervenir en las comunicaciones que se producen en el mismo cuando existen sospechas de una actuación irregular o desleal que puede ser verificada con la lectura de sus mails, enviados con los medios informáticos proporcionados por la compañía.

Recordemos que anteriormente, los tribunales habían garantizado a los trabajadores que, previamente y a través de una circular, tenían que ser advertidos del control al que podían estar sometidos.

La Sentencia se pronuncia sobre dicha advertencia previa, y considera que el trabajador no podía tener “una expectativa fundada y razonable de confidencialidad respecto al conocimiento de las comunicaciones mantenidas por el trabajador a través de la cuenta de correo proporcionada por la empresa”.

A continuación, transcribo parte de la sentencia para proceder a un posterior análisis:

“Atendidas las circunstancias del supuesto, frente a la alegación del recurrente, tampoco apreciamos que el acceso por la empresa al contenido de los correos electrónicos objeto de la controversia haya resultado excesivo o desproporcionado para la satisfacción de los indicados objetivos e intereses empresariales. Al respecto, a la luz de nuestra doctrina sobre el carácter no ilimitado del derecho a la intimidad en su colisión con otros intereses constitucionalmente relevantes, debemos recordar que ― para comprobar si una medida restrictiva de un derecho fundamental supera el juicio de proporcionalidad, es necesario constatar si cumple los tres siguientes requisitos o condiciones: si tal medida es susceptible de conseguir el objetivo propuesto (juicio de idoneidad); si, además, es necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia (juicio de necesidad); y, finalmente, si la misma es ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto)‖ (STC 96/2012, de 7 de mayo, FJ 10; o SSTC 14/2003, de 28 de enero, FJ 9; 89/2006, de 27 de marzo, FJ 3).

Aplicando similar razonamiento al seguido en nuestra STC 186/2000, de 10 de julio, FJ 7, relativa a la instalación de un circuito cerrado de televisión en el lugar de trabajo, con igual conclusión a la allí alcanzada, ha de afirmarse aquí que el acceso por la empresa a los correos electrónicos del trabajador reunía las exigencias requeridas por el juicio de proporcionalidad. Se trataba en primer lugar de una medida justificada, puesto que, conforme consta en la sentencia de instancia, su práctica se fundó en la existencia de sospechas de un comportamiento irregular del trabajador. En segundo término, la medida era idónea para la finalidad pretendida por la empresa, consistente en verificar si el trabajador cometía efectivamente la irregularidad sospechada: la revelación a terceros de datos empresariales de reserva obligada; al objeto de adoptar las medidas disciplinarias correspondientes. En tercer lugar, la medida podía considerarse necesaria, dado que, como instrumento de transmisión de dicha información confidencial, el contenido o texto de los correos electrónicos serviría de prueba de la citada irregularidad ante la eventual impugnación judicial de la sanción empresarial; no era pues suficiente a tal fin el mero acceso a otros elementos de la comunicación como la identificación del remitente o destinatario, que por sí solos no permitían acreditar el ilícito indicado. Finalmente, la medida podía entenderse como ponderada y equilibrada; al margen de las garantías con que se realizó el control empresarial a través de la intervención de perito informático y notario, ha de partirse de que la controversia a dirimir en este recurso se ciñe a los correos electrónicos aportados por la empresa como prueba en el proceso de despido que fueron valorados en su decisión por la resolución judicial impugnada: en concreto, los relativos a datos sobre la cosecha de 2007 y 2008. No consta en las actuaciones que el contenido de estos mensajes refleje aspectos específicos de la vida personal y familiar del trabajador, sino únicamente información relativa a la actividad empresarial, cuya remisión a terceros, conforme a la sentencia recurrida, implicaba una transgresión de la buena fe contractual. De ahí que, atendida la naturaleza de la infracción investigada y su relevancia para la entidad, no pueda apreciarse que la acción empresarial de fiscalización haya resultado desmedida respecto a la afectación sufrida por la privacidad del trabajador. En consecuencia y como ya se ha indicado, una vez ponderados los derechos y bienes en conflicto en los términos vistos, este Tribunal considera que la conducta empresarial de fiscalización ha sido conforme a las exigencias del principio de proporcionalidad”.

Siempre que se dicta una sentencia de esta tipología, surgen multitud de opiniones y análisis, por lo que intentaremos adoptar los dos puntos de vista más extendidos entre los juristas y profesionales en general.

Una parte de esta multitud, entre la que se encuentran sindicatos y trabajadores considera que esta sentencia pone límites a la libertad de los empleados independientemente de su cargo en relación a su derecho a mantener en secreto e intimidad de sus comunicaciones. Argumentan que se otorga una facultad al empleador para ejercer una labor de control dentro del ejercicio de dirección de su empresa y sus empleados, lo que consideran una medida represiva y de control.

La otra parte formada fundamentalmente por empresarios y asociaciones empresariales, exponen que la sentencia del Tribunal Constitucional no acota la libertad de los trabajadores en relación a su derecho a mantener en secreto sus comunicaciones por email, ni otorga de manera absoluta al empresario en su labor de control porque en el caso concreto hay que tener presente que el correo electrónico utilizado por el trabajador era el facilitado por la empresa, por lo que se trataba del correo de empresa no de su correo personal. Dicho correo de empresa se utilizó de manera desleal por el trabajador, concretamente para revelar datos confidenciales de la empresa a la competencia.

Según defienden, el Tribunal Constitucional aplica un criterio de proporcionalidad en este caso por el daño infringido por el trabajador al empresario.

Las posteriores decisiones del Tribunal tratarán de resolver el problema sobre la determinación de los límites del control empresarial sobre un ámbito el uso del ordenador en la compañía  que, aunque vinculado al trabajo, puede afectar a la intimidad del empleado.

Obligación de transparencia en los sistemas de videovigilancia y otros mecanismos de control empresarial

ghlaboralPor Francisco R. González-Calero Manzanares

Esto es lo que cabe afirmar tras otro golpe de tuerca a través de sentencia a estos sistemas. Recientemente hemos conocido la noticia que el Tribunal Supremo declaraba nulo un despido a una cajera de un supermercado que fue grabada por una de las cámaras instaladas en el mismo, en las que se apreciaba que no cobraba todos los artículos que un cliente llevaba consigo.

El supermercado tenía instaladas cámaras para controlar los lineales y una de ellas se encontraba situada sobre la línea de cajas, siendo esta última la que grabó los hechos. El supermercado había notificado que las mismas estaban destinadas a la prevención de hurtos o daños por parte de los clientes, pero nunca había notificado a los trabajadores y a sus representantes sindicales la posibilidad de utilizarlas para el control laboral, y en su caso, la imposición de sanciones disciplinarias. Tampoco se había informado, además de este uso de las imágenes, del tiempo que se mantendrían las mismas y de los propósitos de los visionados. El fallo del TS concluye que la ilegalidad de la conducta empresarial no desaparece por el hecho de que la existencia de las cámaras fuera apreciable a simple vista.

La sentencia, aun conteniendo un voto particular no es sorprendente, puesto que aplica la doctrina del Tribunal Constitucional que, ya a principios del año pasado en su Sentencia 29/2013 estudió el caso de un trabajador de una universidad que tras firmar en las hojas destinadas a controlar la hora de entrada, abandonaba las instalaciones. La universidad utilizó las imágenes de las cámaras de la entrada, para justificar despido disciplinario pero el TC entendió que no se había informado de esa finalidad a los trabajadores ya que las cámaras se instalaron para finalidades de seguridad y no de control horario o de presencia. Por ello no dio por bueno el despido disciplinario ya que entendió que “no basta que existan distintivos anunciando la instalación de cámaras ni que se hubiera notificado a la Agencia de Protección de Datos sino que era necesaria además la información previa y expresa, precisa, clara e inequívoca a los trabajadores de la finalidad de control de la actividad laboral a la que esa captación podía ser dirigida”, entendiéndose con ello que no es suficiente con el cumplimiento de las obligaciones en materia de protección de datos de carácter personal reguladas en la Ley Orgánica 15/1999, su reglamento de desarrollo RD 1720/2007 y la Instrucción 1/2006 de la Agencia Española de Protección de Datos sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámara.

Ello no puede entenderse como una limitación al poder de dirección y control por parte del empresario, calificado por el Tribunal Constitucional en numerosas sentencias como “imprescindible para la buena marcha de la organización productiva (organización que refleja otros derechos reconocidos constitucionalmente en los arts. 33 y 38 CE) y reconocido expresamente en el Art. 20 LET, atribuye al empresario, entre otras facultades, la de adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento del trabajador de sus obligaciones laborales. Mas esa facultad ha de producirse en todo caso, como es lógico, dentro del debido respecto a la dignidad del trabajador, como expresamente nos lo recuerda igualmente la normativa laboral [arts. 4.2 c) y 20.3 LET].”, sino que se establece la obligación de ser transparente e informar previamente al inicio del tratamiento conforme al artículo 5 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal.

En lo que respecta a otros sistemas de control empresarial, como puede ser la monitorización de equipos, el acceso al correo electrónico profesional o al historial de navegación en Internet, la solución ha sido idéntica. El Tribunal Supremo en la Sentencia de 26 de septiembre de 2007 ante el supuesto planteado de si la empresa puede acceder al correo electrónico del trabajador indicó que “en síntesis prevé la posibilidad de que el empresario pueda acceder al control del ordenador, del correo electrónico y los accesos a Internet de los trabajadores, siempre que la empresa de buena fe haya establecido previamente las reglas de uso de esos medios con aplicación de prohibiciones absolutas o parciales e informado de que va existir un control y de los medios que han de aplicarse en orden a comprobar la corrección de los usos”. Es decir, para que el acceso o control sea legítimo y legal,  o prohíbes total o parcialmente el uso personal o informas del grado y tipo de monitorización. Posteriormente el Tribunal Supremo da un paso mas en su sentencia de 6 de octubre de 2011 en la que establece que “si la empresa prohíbe totalmente el uso de estas tecnologías con fines particulares, ya sea dentro o fuera del horario laboral, no se puede entender que el Derecho Fundamental a la Intimidad o al Secreto de las comunicaciones opera en el uso de estos equipos”.

La doctrina del Supremo se vio respaldada el año pasado por la Sentencia del TC 170/2013 de 7 de octubre que daba por bueno un despido disciplinario de un trabajador de una empresa química que, por correo electrónico, estaba pasando información a la competencia. La empresa accedió al correo electrónico del trabajador y en base a ello lo despidió disciplinariamente. El TC lo ratifica en base a que el convenio colectivo de las empresas del sector químico establece que los medios informáticos son medios profesionales y en base a ello debe entenderse la prohibición de uso personal de esos medios informáticos.

En lo que respecta a la instalación de dispositivos de geolocalización en vehículos del empleador sin informar previamente a los interesados, la Agencia Española de Protección de Datos tanto en el procedimiento sancionador AP/00032/2013 contra la Dirección General de la Guardia Civil, como en el procedimiento sancionador AP/00040/2012 contra el Ayuntamiento de Dos Hermanas (Policía Local), entiende que se ha infringido lo dispuesto en el artículo 5.1 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal al no haber informado previamente a los agentes que utilizan estos vehículos de la instalación de estos dispositivos.

Y si ademas de control laboral las camaras son usadas con la finalidad de seguridad, ten presente que desde el 5 de junio muchos sistemas de videovigilancia dejarán de ser legales en España.

Sentencia sobre derecho al olvido ¿algo ha cambiado?

sentencia_ue

Por Francisco R. González-Calero Manzanares

Y esto es así porque la STJUE de 13 de mayo de 2014 en el asunto C-131/12 Costeja y AEPD vs Google INC y Google Spain SL interpreta y utiliza los instrumentos legales establecidos en la Directiva 95/46CE del parlamento europeo y del consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, para reconocer un derecho denominado “al olvido”, que no es otra cosa que la conjunción del principio de calidad de los datos y el ejercicio del derecho de oposición al tratamiento de datos, ambos regulados en la mencionada Directiva.

Lo que ha quedado claro es que ya no se depende de la aprobación del futuro Reglamento de Protección de Datos para poder ejercitar este “derecho al olvido” o tras las enmiendas aprobadas por el Parlamento Europeo, a “ser borrado”, aunque siempre que se delimite su alcance, objeto y contenido aportará seguridad jurídica.

Y esto es así porque el TJUE da la razón a la Agencia Española de Protección de Datos a la hora de interpretar el ejercicio del derecho de oposición y zanja una polémica entre esta y Google a la hora de interpretar la legislación española ya que hasta el momento, Google se ha dedicado sistemáticamente a recurrir ante la Audiencia Nacional las decisiones de la AEPD, provocando que en este momento estén pendientes de resolución más de 200 asuntos, lo que ayudará a delimitar aún más el alcance, el contenido y las consecuencias de esta sentencia y de este derecho. También se espera que la sentencia se analice en el Plenario del Grupo de Trabajo del artículo 29 del 3-4 de junio, y que de ahí salga una Opinión u otro tipo de documento que fije el criterio común de las autoridades nacionales de control.

Centrándonos en el asunto que nos ocupa, Google INC siempre ha entendido que no le era de aplicación la normativa española y europea de protección de datos al ser de su propiedad las arañas que rastrean continuamente la red, estar domiciliada en EEUU y no tener establecimiento permanente en España, ya que Google Spain SL sólo se dedica a comercializar los productos y servicios de Google INC. Tampoco entendía que con sus motores de búsqueda se produjeran tratamientos de datos personales en los términos establecidos en la legislación española y europea y, que en todo caso se debería acudir a la fuente para que o bien elimine el contenido o bien instale un dispositivo norobot.txt que evite la indexación del contenido por parte de sus arañas.

Estos alegatos no han sido tomados en cuenta por el TJUE, que da dictaminado que sí le es aplicable la legislación española y europea al tener una filial en España “destinada a garantizar la promoción y la venta de espacios publicitarios propuestos por el mencionado motor y cuya actividad se dirige a los habitantes de este Estado miembro” y también entiende que se realiza un tratamiento de datos porque “la actividad de un motor de búsqueda, que consiste en hallar información publicada o puesta en Internet por terceros, indexarla de manera automática, almacenarla temporalmente y, por último, ponerla a disposición de los internautas según un orden de preferencia determinado” y en lo que respecta al derecho de oposición y el derecho de rectificación, supresión y bloqueo de datos inexactos o incompletos que trata de garantizar el principio de calidad de los datos (artículos 12 b y 14 a de la Directiva 95/46CE) el Tribunal de Justicia dispone que:

.– De cumplirse los requisitos para el ejercicio de estos derechos, “el gestor de un motor de búsqueda está obligado a eliminar de la lista de resultados obtenida tras una búsqueda efectuada a partir del nombre de una persona vínculos a páginas web, publicadas por terceros y que contienen información relativa a esta persona, también en el supuesto de que este nombre o esta información no se borren previa o simultáneamente de estas páginas web, y, en su caso, aunque la publicación en dichas páginas sea en sí misma lícita”.

2º.- Al examinar los requisitos de estas derechos se tiene que analizar en concreto “si el interesado tiene derecho a que la información en cuestión relativa a su persona ya no esté, en la situación actual, vinculada a su nombre por una lista de resultados obtenida tras una búsqueda efectuada a partir de su nombre, sin que la apreciación de la existencia de tal derecho presuponga que la inclusión de la información en cuestión en la lista de resultados cause un perjuicio al interesado. Puesto que éste puede, habida cuenta de los derechos que le reconocen los artículos 7 y 8 de la Carta, solicitar que la información de que se trate ya no se ponga a disposición del público en general mediante su inclusión en tal lista de resultados, estos derechos prevalecen, en principio, no sólo sobre el interés económico del gestor del motor de búsqueda, sino también sobre el interés de dicho público en acceder a la mencionada información en una búsqueda que verse sobre el nombre de esa persona. Sin embargo, tal no sería el caso si resultara, por razones concretas, como el papel desempeñado por el interesado en la vida pública, que la injerencia en sus derechos fundamentales está justificada por el interés preponderante de dicho público en tener, a raíz de esta inclusión, acceso a la información de que se trate”.

Llegados a este punto, podemos realizar las siguientes valoraciones:

  • Que se pueda bajo determinadas condiciones exigir a un buscador que nos elimine de su lista de resultados no impide que de pueda reclamar también a la fuente la eliminación del contenido (salvo que exista una obligación legal que obligue a ello o que se demuestre un interés legítimo en el tratamiento) o para los casos en los que no proceda la eliminación del contenido (como puede ser una publicación obligatoria en boletín oficial) a que se instale un mecanismo que impida su indexación por buscadores como se ha venido haciendo hasta la fecha.
  • Siempre será mejor acudir a la fuente para que elimine o evite la indexación, ya que los buscadores se actualizan periódicamente, y antes o después desaparecerá de la lista de resultados. Si nos dirigimos sólo al buscador corremos el riesgo de no poder localizar qué sitios web se están haciendo eco de ese contenido. No aparecerá en una lista de resultados pero cualquier internauta que acceda a ese sitio web tendrá acceso al contenido.
  • Estas valoraciones no tratan de restar valor a la sentencia analizada, ya que soluciona uno de los mayores problemas de la red ante amenazas y riesgos para la privacidad, a saber, la universalidad de la red y la falta de normativas sobre protección de datos en numerosos Estados. La retirada de los índices de búsqueda puede ser la única alternativa posible si el propietario de un sitio web o su servidor está domiciliado en alguno de estos países.
  • Los criterios para eliminar el resultado de búsqueda deben ser casi automáticos y la única verificación que deberían realizar los motores de búsqueda es la de comprobar la identidad del reclamante, al tratarse de derechos personalísimos. Por el contrario los editores de contenidos si tendrán que entrar a valorar si procede o no el ejercicio de esos derechos. Eso es lo que parece desprenderse de la siguiente afirmación contenida en el fallo “también en el supuesto de que este nombre o esta información no se borren previa o simultáneamente de estas páginas web, y, en su caso, aunque la publicación en dichas páginas sea en sí misma lícita”.
  • El ejercicio de estos derechos no suponen ningún acto de censura en la red o atentado contra derecho de terceros que aparecen en ese contenido, puesto que se habla de eliminación de resultados de búsqueda “por persona” o instalación de mecanismos que impidan la indexación “de esa persona” por motores de búsqueda, no de la retirada en si de los contenidos que cuando procedan por ser delictivos, ofensivos, inexactos o se carezca de interés legítimo para su tratamiento, deberán utilizarse los cauces y herramientas legales destinados para ello.

Publicado originariamente por el autor en El Derecho.

Tribunal Europeo declara derecho al olvido en buscadores de Internet

sentencia_olvidoPor Cynthia Téllez Gutiérrez

Un ciudadano español exigió que Google España y Google Inc. eliminaran e impidieran que cierta información suya apareciera en los resultados del buscador, el Tribunal de Justicia de la Unión Europea  fue consultado si un buscador realiza tratamiento de datos personales en su operación de indexación  automática de información y por tanto le es aplicable la figura de responsable de tratamiento de datos personales y exigible las obligaciones de atender los derechos comprendidos en la protección de datos personales tal como el derecho al olvido.

LOS HECHOS

Un ciudadano español exigió a un diario, a Google España y Google Inc. que retiraran u obstaculizarán el acceso a la información que aparecía cuando se realizaba la búsqueda del nombre de esta persona, la información en cuestión era respecto a un embargo contra una propiedad por motivo de deudas.

La Agencia Española le da la razón respecto a los buscadores más no contra el Diario dada que la información era parte de una notificación pública. En este punto a Google España y Google Inc interpusieron recursos contra dicha resolución ante la Audiencia Nacional, quien a su vez suspende el procedimiento para plantear al Tribunal de Justicia cuestiones prejudiciales tales como aplicabilidad de la legislación comunitaria y europea a estas empresas y la dilucidación si están ante un proceso de tratamiento de datos personales frente a la actividad realizas por ambas empresas.

LA RESPUESTA DEL TRIBUNAL DE JUSTICIA

La indexación de información que realizan los buscadores es una forma de tratamiento de datos personales. El Tribunal declara que en la exploración de internet, los procesos automatizados y sistemáticos, recolectan, extraen, registran, comunican, facilitan acceso a información entre las cuales existen datos personales, actividades que son consideradas tratamiento de datos personales  según la Directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Esta concepción de tratamiento incluye a los supuestos en que la información ya haya sido publicada en otro medio y la indexación de la información por el motor de búsqueda se realice sin modificación.

Por tanto un buscador como Google es considerado un responsable de tratamiento. Para el Tribunal “el gestor del motor de búsqueda es quien determina los fines y los medios de esta actividad y, así, del tratamiento de datos personales que efectúa él mismo en el marco de ésta y, por consiguiente, debe considerarse «responsable» de dicho tratamiento en virtud del mencionado artículo 2, letra d) (Directiva 95/46).”

Solo se le considerará responsable del tratamiento que efectúa el mismo y en marco de sus operaciones.

Dado que la información mostrada en los resultados de un buscador pone en relieve información de una persona y pueden afectar de manera significativa la vida privada y la protección de datos personales de dicha persona y por tanto buscadores como Google están obligados a la protección de estos derechos.

El ámbito de aplicación territorial debe ser extenso a fin de evitar la exclusión de protección.  Procede la aplicabilidad de la legislación nacional española y comunitaria a Google Inc, el Tribunal declara que “la actividad de promoción y venta de espacios publicitarios, de la que Google Spain es responsable para España, constituye la parte esencial de la actividad comercial del grupo Google y puede considerarse que está estrechamente vinculada a Google Search.”, al  ejercer una actividad estable se le considera como un establecimiento y por tanto  un responsable situado en territorio de un Estado miembro, no se exige que la actividad de tratamiento sea llevado a cabo directamente por la filial sino es suficiente que se realice «en el marco de las actividades» de éste.

Eliminación de información en buscadores. El gestor de un motor de búsqueda está obligado a eliminar de la lista de resultados obtenida tras una búsqueda efectuada a partir del nombre de una persona vínculos a páginas web, publicadas por terceros y que contienen información relativa a esta persona, también en el supuesto de que este nombre o esta información no se borren previa o simultáneamente de estas páginas web, y, en su caso, aunque la publicación en dichas páginas sea en sí misma lícita. Esto en mérito de previa ponderación de derechos de privacidad y de acceso de la información de la persona sobre la que concierne la información y de los internautas respectivamente.

DERECHO AL OLVIDO

Recordemos por un lado que la información evaluada responde a una de dato sensible, respecto a deudas y embargos y que el hecho ocurrió hace 16 años atrás, por otro lado el Tribunal evalúa un posible perjuicio sobre el interés económico del gestor del motor de búsqueda, sino también sobre el interés de dicho público en acceder a la mencionada información en una búsqueda que verse sobre el nombre de esa persona.

Pero dado que no se dan los supuestos de perjuicios ni al buscados ni a los internautas  dado que dicha información no forma parte del interés público para que los internautas tengan acceso a este, para el Tribunal se  prepondera “el papel desempeñado por el interesado (el ciudadano español) en la vida pública, que la injerencia en sus derechos fundamentales está justificada por el interés preponderante de dicho público en tener, a raíz de esta inclusión, acceso a la información de que se trate”.

La relevancia de la sentencia se da sobre dos puntos fundamentales, uno la aplicabilidad de la legislación nacional y comunitaria aun en empresas extranjeras si están realizan actividades en territorio comunitario, por otro lado ponderación del interés público y de la privacidad respecto a una información personal, que si esta ya no forma parte del interés público entonces procede la información sea olvidada en el tiempo, el derecho al olvido.

Publicado por la autora en Privacy Peru.