Este recurso está estructurado alrededor de un enfoque conceptual que pretende conseguir que los estudiantes lleguen a ser ciudadanos y ciudadanas activas, conscientes y responsables.

La ciudadanía es el concepto central del curso y el material que contiene este recurso está ligado con dos conceptos claves de la misma, en particular: los conceptos de “Derechos y Responsabilidades” y la “Legislación”. Al abordar los conceptos de “Derechos y Responsabilidades” y “Legislación” desde la perspectiva de la privacidad y la protección de datos, se espera conseguir que el alumnado adquiera una nueva visión del concepto de ciudadanía activa.

El material está destinado a la comunidad educativa, para su utilización por el profesorado en programas para la sensibilización y la reflexión acerca del valor de la privacidad y la importancia de la protección de datos personales. Su utilización se orienta hacia aquellas materias o asignaturas en las que se considere adecuado introducir estos conceptos, así como en las sesiones de tutoría y de orientación escolar.

• El profesorado no tiene necesariamente por qué aplicar este recurso en su totalidad, de principio a fin, con sus alumnos y alumnas.
• El programa trata aspectos relacionados con los conceptos de Derechos y Responsabilidades y con la Legislación.
• La intención es que el profesorado seleccione elementos de este recurso, junto con otros recursos educativos, durante los cursos de la Educación Básica, Primaria y Secundaria, en los que se imparten las asignaturas de Educación ético-cívica, Educación para la Ciudadanía y los Derechos Humanos, Tecnologías o Informática, entre otras.

No obstante, desde la AVPD se anima a que se dé a este recurso un uso intercurricular, ya que se puede adaptar para ser utilizado en otras asignaturas de cursos de secundaria y bachillerato, indistintamente.

Descargar (PDF, 4 MB)

• Registrarse, entrar y darse de baja

En el Procedimiento Nº PS/00136/2011 vemos como la empresa denunciada comenzó por no atender el derecho de acceso que le solicitó una persona física, por lo que ésta solicitó una Tutela de Derechos ante la AEPD. A tal solicitud se dio igualmente la callada por respuesta, lo que desembocó en el procedimiento sancionador enlazado, al que el denunciado tampoco hizo alegación alguna.

Finalmente el Director de la AEPD resolvió:

PRIMERO: IMPONER a la entidad XXX, por una infracción del artículo 16 de la LOPD, tipificada como grave en el artículo 44.3.e) de dicha norma, una multa de 6.000 euros (seis mil euros) de conformidad con lo establecido en el artículo 45 en sus apartados 2, 4 y 5 de la citada ley orgánica.

Y tampoco es que sirva responder cualquier cosa, pero en este caso ya vimos que al denunciado le salió caro el silencio.

La Guía de protección de datos de carácter personal para los centros de enseñanza se ofrece tanto en versión legible en el navegador como en descarga PDF.

Enlaces:

• Para leer la Guía en su navegador
• Descargar la guía en formato PDF

La cuestión es: ¿cuál es el grado de responsabilidad legal de tal figura?

La definición del término corresponde al artículo 2.11 del Reglamento de desarrollo de la LOPD:

Responsable de seguridad: persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables.

La descripción se extiende y aclara sus límites en el artículo 16:

El responsable del fichero designará uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el documento de seguridad.

En ningún caso esta designación supone una delegación de la responsabilidad que corresponde al responsable del fichero de acuerdo con este Reglamento.

Entre sus funciones destacan analizar los informes de auditoría y elevar al responsable del fichero las recomendaciones y medidas correctoras oportunas, mantener el control de los registros de acceso, revisión de los registros de incidencias, y actualización del documento de seguridad

En resumen: el responsable del seguridad no es responsable a efectos de la imposición del régimen sancionador previsto en la LOPD, recayendo tal responsabilidad sobre el responsable del fichero y el encargado del tratamiento.

• Nivel de seguridad. Decisión previa e imprescindible en función del tipo de datos a tratar, que además genera las Medidas de seguridad a implantar.
• Inscripción de ficheros. Serie de artículos que explican el uso del sistema NOTA para inscribir ficheros en el Registro general de Protección de Datos (RGPD).
• Documento de seguridad. Serie de artículos sobre partes y diferentes aspectos del documento de seguridad, incluyendo un Guía y un Modelo.
• Contratos con terceros.
• Política privacidad empleados. Más información sobre trabajadores.
• Aviso legal.
• Derechos ARCO.
• Videovigilancia.
• Auditoría.

La Agencia Española de Protección de Datos (AEPD) ha editado una serie de guías y manuales enfocados a resolver dudas en diferentes aspectos. Aquí están recopilados:  Los manuales de la AEPD.

Finalmente, debido a que es probablemente el motivo más frecuente de sanción, conviene repasar bien todo lo relativo al Consentimiento.

Y si resulta demasiado complejo, aquí la solución.

Hasta la entrada en vigor de la Ley 25/2009, la legitimación para el tratamiento por particulares y empresas de imágenes captadas a través de dispositivos de videovigilancia sólo era posible en caso de que dichos sistemas hubieran sido contratados con empresas de seguridad privada, debidamente acreditadas ante el Ministerio del Interior, al que además debía notificarse el contrato que se hubiese celebrado.

La conocida como Ley Ómnibus suprimió para la mayor parte de los casos estas exigencias, al liberalizar la comercialización, entrega, instalación y mantenimiento de estos dispositivos, es decir, que cualquier particular o empresa cuya actividad no sea la propia de una empresa de seguridad privada podrá vender, entregar, instalar y mantener equipos técnicos de seguridad sin necesidad de cumplir las exigencias previstas en la Ley de Seguridad Privada para tales empresas, legitimando de este modo a quienes adquieran de estos dispositivos para tratar los datos personales derivados de la captación de las imágenes en espacios privados sin necesidad de acudir a empresas de seguridad privada, siendo dicho tratamiento conforme a lo previsto en la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD).

Sin embargo, el tratamiento de las imágenes deberá cumplir los restantes requisitos exigibles en materia de protección de datos, recogidos en la LOPD y en la Instrucción 1/2006 de la AEPD, como son, entre otros, los relativos a que las imágenes que se capten sean las necesarias y no excesivas para la finalidad perseguida; el deber de informar a los interesados, tanto a través de la colocación de carteles informativos como mediante la puesta a disposición de aquéllos de impresos en que se detalle la información; la notificación de la existencia de los ficheros a la AEPD; o la implantación de medidas de seguridad.

Así, en el procedimiento citado, se constató que en una urbanización había sido instalada una cámara de videovigilancia conectada a Internet, teniendo cualquier persona acceso a la misma en todo momento y desde cualquier lugar del mundo sin que existiera ningún tipo de control de acceso previo.

La comunidad alegó que “tal incumplimiento se ha debido únicamente al desconocimiento de la debida técnica informática en la instalación de las videocámaras”. Es decir, que cual aprendices de brujo, se lo montaron por su cuenta y ese fue el resultado:

Tratándose de una cesión de datos, el artículo 11.1 de la LOPD dispone que:

“Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”.

No obstante, será posible la cesión sin contar con el consentimiento del interesado en lo supuestos en que la misma se encuentre amparada por alguna de las excepciones establecidas en el número segundo del artículo 11 que, a los efectos que aquí interesan, queda limitada a la prevista en la letra c)

“Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.”

Y ya que la única norma que podría invocarse como legitimadora del tratamiento de los datos sin contar con el consentimiento de los propios asociados son los Estatutos de la asociación, será necesario acudir a estos para verificar si en algunos de sus artículos recoge esa posibilidad de publicar las sanciones impuestas a sus miembros.

Eso sí, como advertencia es importante señalar que esta legitimación se referirá exclusivamente al ámbito interno del colectivo, que es el único en el que los estatutos de la asociación tienen influencia, por lo que si se publican en una web deberá ser en una zona privada a la que se deba acceder a través de algún sistema de autentificación entregado a cada asociado, quedando fuera del alcance tanto de personas no asociadas como de los buscadores de internet.

El asunto se inicia, como tantos otros, tras una denuncia por recibir un correo comercial no solicitado (spam) que además se enviaba a varios cientos de destinatarios con todas las direcciones al descubierto. La entidad denunciada presenta alegaciones en las que señala que:

En el siglo XXI se utilizan las herramientas de trabajo más eficaces para transmitir y recibir información y me parece de muy mal gusto que alguien de nuestro sector se atreva a denunciar, aunque investigando la actividad del demandante no cabe esperar otra cosa.

En nuestra entidad se reciben cada día más de 150 correos y aseguro que en un 90%de los casos es información tremendamente útil, ya que las noticias varían a una velocidad vertiginosa y como se ha dicho desde tiempo inmemorial “la información es poder”.

No admito culpa alguna, ya que mi obligación es transmitir a empresas de nuestro sector las novedades de nuestra entidad.

Espero que se entienda mi posición y que no prospere este procedimiento y sino fuera así­, que nos perjudique en sanción muy leve aunque lo justo sería nula, ya que dadas las circunstancias actuales, lo más importante es mantener la actividad, los puestos de trabajo y esperar que estos malos tiempos finalicen.

Obviamente ninguno de estos argumentos tiene la más mínima entidad jurídica y la AEPD ni siquiera se toma la molestia de rebatirlos, sino que se limita a exponer la legislación actual y real (LOPD y LSSI) y no las opiniones personales de un señor sobre lo que es legal o no.

Y así, finalmente, el Director de la AEPD RESUELVE:

PRIMERO: IMPONER a la entidad FUNDACIÓN PRIVADA XXX,

• Por la infracción del artículo 21 de la LSSI, tipificada como leve en el artículo38.4 d) de la LSSI, una multa 600 € (seiscientos euros), de conformidad con lo establecido en el artículo 39 de la citada LSSI.
• Por la infracción del artículo 10 de la LOPD, tipificada como leve en el artículo44 de dicha norma, una multa de 1.500 € (mil quinientos euros) de conformidad con lo establecido en el artículo 45 de la citada Ley Orgánica.

La conclusión final es que resulta muy aconsejable tomarse en serio las notificaciones de la AEPD y acudir a un servicio profesional que garantice una correcta defensa jurídica, y no sentarse con el “calentón” tras haber recibido una notificación oficial a responder con argumentos de barra de bar.

La recomendación viene a cuento de que han comenzado a publicarse los resultados de una serie de procedimientos sancionadores iniciados por la Agencia Española de Protección de Datos (AEPD) tras terminar su estudio “Informe de cumplimiento de la LOPD en Hospitales”, realizado con información recopilada a través de cuestionarios que se enviaban a los hospitales.

En la Nota de Prensa publicada en la presentación del informe ya se advertía: “Se ha dado traslado a la Subdirección de Inspección de la AEPD de los más de 40 centros que no han atendido el requerimiento, dado que podrían haber incurrido en una infracción de la LOPD”.

Para solicitar el relleno del cuestionario se hizo una primera petición, y a quienes no respondían en plazo una segunda en la que ya se advertía las posibles consecuencias de la no respuesta. De los 40 casos en los que tampoco así se consiguió respuesta y han sido inspeccionados, tenemos dos ya publicados:

• Procedimiento AP/00090/2010. Ya que la infracción es cometida por un ente público se declara infringido lo dispuesto en el artículo 37.1.a) de la LOPD, tipificada como leve en el artículo 44.2.b) de dicha norma, sin sanción económica.
• Procedimiento Nº PS/00660/2010. Al tratarse de un centro privado, por una infracción del artículo 37.1 de la LOPD, tipificada como leve en el artículo 44.2.b de dicha norma, una multa de 3000 €.

Dejar sin respuesta requerimientos oficiales de la AEPD puede suponer un disgusto serio vía recaudación ejecutiva, por lo que cualquier comunicación recibida desde la Agencia debe ser tratada con la máxima agilidad.

Además hay que señalar que bien pueden considerarse afortunados de que la AEPD haya tipificado el asunto como leve en función del artículo 44.2.b (que se refiere a no inscribir ficheros en el Registro), ya que podría perfectamente haberlo hecho por el 44.3.i (no proporcionar documentos a la AEPD) y entonces hubiera sido falta grave y mínimo 40.000€ de sanción.

Ahora veremos un procedimiento de la Agencia Española de Protección de Datos en el que las alegaciones de la Comunidad denunciada se basan en que la publicidad mencionada fue acordada por mayoría de los vecinos.

La denunciante indicó a la AEPD que se expuso en el tablón, según fotografía que aporta, la indicación de una deuda de 571,75 € y su nombre y apellidos junto a su piso y puerta.

La Comunidad alegó que reunidos los vecinos e informados todos los asistentes sobre la exposición trimestral del estado de las cuotas mensuales en el cuadro de la comunidad, votaron favorablemente todos los asistentes, menos uno que votó en contra. La Comunidad detalla o interpreta que ello implica la exposición en el tablón de anuncios de las personas que no pagan. De ello, la Comunidad infiere que la denunciante prestó su consentimiento para la difusión en tablón de sus datos como deudora, al no haber impugnado dicho acuerdo.

Sin embargo es evidente que ninguna votación, por muy mayoritaria que sea, puede saltarse la LOPD y por tanto la AEPD no acepta tal alegación.

Finalmente, en el Procedimiento Nº: A/00012/2011, ya que la comunicación fue retirada a los pocos días, se trataría de una falta leve y la Comunidad no había sido sancionada con anterioridad, el Director de la AEPD decide aplicar el nuevo apartado 6 al artículo 45 de la LOPD y cerrar el procedimiento sin sanción económica, sustituida por apercibimiento por infracción del artículo 10 de la LOPD.