El Palo Parlante, tu coche contestante y la que nos espera.

Holi Holiiii.

Me apetece ponerme muy friki esta vez, lo siento, pero ni quiero, ni puedo evitarlo. Estaba haciendo unas cositas y me he encontrado con un documento del WG del artículo 29 que ha llamado poderosamente mi atención, cosa que, si visitas este pobre blog, suele pasar (tengo algún que otro post comentando documentos de este Grupete de coleguis XDDD). Vamos al lío, que me lío...

Documento: Dictamen 03/2017 sobre el tratamiento de los datos personales en el contexto de los sistemas de transporte inteligentes (STI) cooperativos. Como siempre, os lo linkeo si pulsáis aquí. 

• ¿De qué va el cirio este? 

Pues muy sencillo: de coches/camiones/motos/sidecars...en definitiva: "Vehículos" que hablan con: señales, palos misteriosos... Qué pasote,¿no? Y...¿cuál es la finalidad de estas charlas? Pues, según el propio documento: "lograr mejores predicciones sobre las situaciones del tráfico y mejorar la prevención de accidentes". Sí amig@s, el asunto se pone serio: Los coches hablan; ya no sólo se conducen solos...¡ES QUE ENCIMA HABLAN CON PALOS DEL CAMINO! 

Tranquilos, piltrafillas, de momento los casos que dice el documento que se han identificado están relacionados en su mayoría con funcionalidades informativas (como advertencias de obras, condiciones meteorológicas, etc.). Iba a decir que no os preocupárais en España, ya que obras ya pocas y no somos país de condiciones meteorológicas especiales, pero...mejor me callo tras los últimos acontecimientos. 

Bueno, pues el tema es que se nos empiezan a plantear situaciones un poco complicadas, porque se juntan aspectos éticos (en los últimos tiempos, prácticamente todo kiski se ha planteado casos extremos rollo "y si el coche autónomo tiene que elegir entre atropellar al profe de tributario que no sabe decir "coxis" o al misterioso y desconocido M. Rajoy... ¿qué hace?") y transmisiones de datos que nos son desconocidas al común de los mortales. 

• ¿Qué tiene que ver esto con la Protección de Datos, Iuris?

Pues muy sencillo: que ese coche pertenece a una persona, que dentro del coche también van personas y que el coche, al igual que el vecino del quinto, habla de esas personas. Y esto es así aunque se seudonimicen los datos, que es el caso que se trata aquí. 

Aclaración: La seudonimización viene recogida en el RGPD de la siguiente forma: "tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable". Para que entiendas esta parrafada, te hablo en cristiano: Ese apodo tan amoroso que usa tu amorsito para llamarte y que solo conocéis vosotros, rollo: "Currupipi". Es imposible saber que Currupipi eres tú a no ser que nos den alguna pista, como que tu amorsito se llama "x". A grosso modo, esa es la idea (a lo cutre, lo sé, no dejes de leer el post por esta memez).

Tal y como comentaba, los datos seudonimizados caen bajo la aplicación de la normativa de protección de datos, y por eso el WG mete baza aquí; . si los datos fueran anónimos, el WG pasaría del tema porque no caería dentro de la aplicación del RGPD. 

 

 

• Entonces... ¿qué pasa aquí?

 Pues que el WG no tenía otra cosa que hacer y se ha puesto a analizar todo esto: el coche que habla, el palo que le responde y la fundamentación a nivel jurídico que puede "soportar" esto tan raruno (sí: para tratar datos, hace falta tener un "soporte jurídico", y los tenemos en el RGPD, concretamente en su artículo 6. No quiero pararme en esto para no aburrir al personal; simplemente, os dejo una pinceladita del documento para general rayada: "la capacidad de identificación de los datos de localización es bien conocida: bastan unos pocos puntos espaciales para singularizar a una persona en una población con un elevado grado de precisión, teniendo en cuenta los patrones más habituales de movilidad de las personas". 

Para que me entiendas: identificarte a ti con los datos de localización que manda tu coche al palo parlante, es MUUUUY SENCILLITO. E imagínate lo que se puede sacar de ahí si mereces ir a comiseriden por saltarte una línea continua... (información que caería dentro de las llamadas "categorías especiales de datos" que recoge el art.11 RGPD, y que tienen un régimen de tratamiento un poco diferente).

 Así, el WG da un toquecito para que se mejoren algunos aspectos que inciden en la privacidad de la gente o creando problemas cuando buscábamos soluciones. Por ejemplo:

 

- Los STI cooperativos, por su propia naturaleza, desvelarán información que no estábamos acostumbrados a revelar: por dónde conducimos y de qué modo.  Para algunos, esto es horroroso, especialmente para esos Fernandos Alonsos de Pacotilla: Tu seguro estará encantado de conocer que vas como un fitipaldi: clavadita que te va a caer.

 

- Posibilidad de predicciones inexactas sobre las condiciones del entorno (por ejemplo, creando un atasco en lugar de reducir la carga de tráfico) o  por una interpretación no neutral de los datos del entorno (por ejemplo, induciendo a los usuarios a visitar zonas específicas debido a los intereses económicos de uno de los particulares). Cuanto menos, esto es curioso. 

Y aporta algunas ideas para mejorar estas cosas QUE YA ESTÁN AQUÍ Y AMENAZAN CON QUEDARSE.

 

Como el propósito del post era hablar de palos parlantes y coches, lo dejo aquí; pero os invito a que le echéis un ojo al tema, porque es de lo más curioso. 

Hasta lueguen!!!

 

 

El DNI bajo la piel: El Informe 0292/2010 de la AEPD sobre Microchips.

¡Hola de nuevo!

Antes de empezar el post quiero agradeceros el apoyo y los votos que recibí con la nominación del blog para los premios de Internet que se celebraron hace unos días. Aunque esta vez no pudo ser, tengo que reconocer que estoy muy muy agradecida por todas y cada una de las muestras de cariño que recibí, tanto en clicks como en tweets o mensajes. Sé que es una frase hecha pero quiero que sepáis que, para mí, que un blog que habla de privacidad y protección de datos sin corsés técnicos llegue a ser finalista de unos premios de ese calibre ya es más que una hazaña. Muchas gracias por todo lo que he recibido en estos días y enhorabuena a los premiados; la gala fue muy entretenida y considero un lujo haber podido "colarme". ;-)

Y ahora, al lío. 

Una semana más, traigo a este humilde blog un Informe de la AEPD que me parece de los más futuristas. Los que hayáis pasado alguna vez por aquí, conocéis ya de sobra mi más que evidente interés por todo lo que toque la relación entre biometría y privacidad, así que no os sorprenderá que elija este informe para seguir con esa interesante senda. El informe que he elegido es del año 2010, y lo tenéis en este link. Vamos a ver qué nos dice:

Corría el año 2010 cuando se le plantea una especial consulta a la AEPD relacionada con la "comercialización y utilización de microchips intradérmicos mediante los que se podría incorporar información referente a sus portadores, haciéndose referencia en la consulta a datos relacionados con la identificación del interesado, su número de tarjeta de crédito, localización o información

médica". Es decir: tenemos a un sujeto que quiere vender o usar una serie de aparatitos que, insertados en la piel de una persona, llevaran dentro determinada información del portador, como su tarjeta de crédito, su localización o información médica. El tema es que los microchips no servirían sólo como "maleta" de la información que contienen, sino que además, servirían como "soporte" para que un tercero pudiera leerlos. Como veis, todo un jardín florido primaveral. ¿No es llamativo lo del número de tarjeta de crédito?

La AEPD parte de la base de que tenemos delante un estupendo tratamiento de datos y que, por ello, dicho tratamiento deberá ampararse en alguna de las causas de legitimación que contiene la propia LOPD y, dentro de ellas, la AEPD ve que las más probables de encajar en esto de los microchips serían:

- El consentimiento del interesado.

- La existencia a su vez de una relación jurídica entre el interesado y el responsable; pero esta última parece que la considera un poco remota. 

Además, tal y como estaba reflejado en la consulta, la intención parece ser tratar datos de salud también, por lo que las causas de legitimación quedan limitadas también, al hilo de lo dispuesto en el art. 7.3 de la LOPD.

Visto todo esto, la AEPD se decanta además por el uso de la fórmula del consentimiento para amparar el tratamiento de datos que implicaría la lectura del microchip por un tercero. Es decir, tenemos dos situaciones que, en principio, deberían "encajarse" con el consentimiento del portador del microchip:

1) La propia implantación del microchip.

2) La lectura de los datos que contiene el microchip. 

Y, encima, para rizar más el rizo, los tratamientos realizados sobre datos de salud exigen un consentimiento especial: el expreso. 

No pasa por alto el informe de la AEPD el hecho de que el microchip esté pensado para tratar también datos de localización del portador (parece ser que en la consulta se indicó que esta idea tenía como fin la localización de enfermos de Alzheimer). Contando con que en este supuesto reflejado la base que habíamos cogido (el consentimiento) se antoja más complicada, la AEPD indica que además sería necesario cifrar la información del microchip o de la señal que emita. 

Recopilamos de nuevo: 

Doble Consentimiento (expreso si se tratan datos de salud y doble porque por una parte tenemos la propia implantación y por otro la lectura) 

+  

Medidas para evitar que terceros "no consentidos" accedan a la información del chismito. 

Esto me recuerda a un post que escribí hace tiempo sobre la información que envían algunos dispositivos son que nos demos cuenta. Si te quieres emparanoiar un poco, pincha aquí y podrás leerlo. ;-) 

Pues bien, si no teníamos pocos problemas, la AEPD recuerda que la implantación del microchip podría meterse en otro jardín más: el del derecho a la dignidad de la persona y a su integridad física. Tremendo combo, señores.

En definitiva, y para no extenderme más, me quedo con esta reflexión que hace la AEPD y que me parece la guinda del pastel: 

"En consecuencia, para que fuera conforme a derecho la actuación planteada debería analizarse caso por caso la necesidad de que la misma se llevase   a  cabo  en  relación  con   la  finalidad  perseguida, siendo  además necesario,   incluso   en   ese   caso,   el   consentimiento   del   interesado   y   la implantación   de   medidas   de   seguridad   que   impidiesen   el   acceso   a la información contenida en el chip por terceros distintos de aquéllos respecto de los que se ha otorgado el consentimiento".

Y hasta aquí llega el post de hoy; que tengáis una feliz y florida semana. 

¡Hasta la próxima, queridos amig@s!

Resolución Friki-Curiosa de la AEPD: Tarjetas Contactless.

Hola de nuevo!

Esta entrada se merece su entrada triunfal y a hombros en la sección de "Resoluciones Curiosas de la AEPD". Alguna vez he comentado que la web de la AEPD es imprescindible para cualquier profesional que se dedique a esto de la protección de datos; a mí personalmente muchas resoluciones (siento decir que muchas de ellas sancionadoras), me han orientado a la hora de afrontar determinadas situaciones cuyo encuadre a efectos de la LOPD puede presentar dificultades. De vez en cuando procuro entrar a consultar alguna resolución o informe para estar un poco actualizada y aprender.

Pues bien, en uno de esos ratos de consulta, me he encontrado con una resolución que me parece digna de comentar aunque sea un poco por encima (ya sabéis que este blog no pretende ser un referente técnico). Son 40 hojas de resolución en las que casi cada página te deja flipando con todo lo que la AEPD hace para estudiar el caso y la entidad sancionada intenta evadir la multa y explicar su "modus operandi". La resolución es esta. Voy a intentar resumirla para explicar un poco de qué va y por qué me parece una resolución de lo más friki!

1) ¿De qué va la resolución? ¿Cómo surge?

 El caso es el siguiente: El denunciante acude a la AEPD porque considera que los datos que contiene su tarjeta "contactless" pueden ser accedidos fácilmente y a distancia (Si no sabes que es una tarjeta de este tipo, pincha aquí; enlazo con la web de la OCU para que la explicación no se te haga tediosa). Este misterioso denunciante aporta una captura de pantalla de una posible demostración del acceso a determinados datos del titular de la tarjeta y un documento llamado “Consulta relativa a la posible responsabilidad legal en el uso de chips RFID en tarjetas de pago bancarias”. Ya en este punto, la denuncia es muy curiosa, ¿no creeis?

2) ¿Qué hace la AEPD?

Ponerse "manos a la obra": Solicita a la entidad bancaria en cuestión que expida una tarjeta de este tipo a nombre de un usuario ficticio y que realice los procedimientos que haría con un cliente normal (alta en su base de datos, asignación de crédito...). La verdad es que recibir una llamada de la AEPD pidiéndote algo así ya es para temblar cuanto menos. 

La AEPD empieza a hacer sus pruebitas para ver cómo funciona la tarjeta, y solicita a la entidad más información. En uno de estos documentos aportados la propia entidad reconoce que en un informe del año 2012 se contemplaba la “posibilidad de lectura en claro de los datos del Nombre del Titular de la tarjeta” (vaya, parece que nuestro misterioso denunciante no iba muy desencaminado). Debido a esto, se hicieron algunos cambios a partir de 2014 con el fin de que se evitara este problema. 

Tras todo este proceso, la AEPD inicia procedimiento sancionador basado en el art.9 de la LOPD).

3) ¿Qué alega la entidad sancionada? 

Son varias cosas las que presenta como alegaciones: desde que las pruebas practicadas por la AEPD no son exactas ya que no se han usado los protocolos y aplicaciones que se usan normalmente para la expedición y gestión de las tarjetas hasta indicar que la entidad sancionada no es responsable de la seguridad de la tarjeta (estableciendo, textualmente que "El titular del instrumento es convenientemente advertido, en el contrato que suscribe, que adquiere la condición de responsable de la conservación y uso correcto de a tarjeta, por lo que debe ser el titular del instrumento el responsable de adoptar aquellas medidas adecuadas para evitar alteración, pérdida, tratamiento o acceso no autorizado").

 

Y finalmente..

La AEPD sanciona a la entidad con 80.000 euros y se basa, entre otras cosas, en que "(...) la infracción se produce por una falta de medidas de seguridad,y no por un fallo puntual de las que hubiesen adoptado".

 Y hasta aquí el post de hoy; espero que estéis pasando un gran verano y que os haya parecido interesante.

Hasta la próxima!  

La Protección de Datos en Europa. Conceptos Básicos.(Irlanda VS España)

Hola a tod@s!

Esta semana he querido hacer un stop en la preparación de exámenes de la UNED y lo primero que se me ha ocurrido hacer es buscar la Ley Irlandesa sobre protección de datos para ver cómo llevan en la isla verde esta temática. La elección de Irlanda como tema central de este post no es casualidad, la verdad es que tengo que reconocer que con este país me tira el corazón (confieso que estoy enamorada de este país desde que lo visité por primera vez) y, además, tiene cierto interés como “lopdera”, ya que en Irlanda se encuentra la sede Europea del ojo que todo lo ve (Mr. Google).

Lo primero que me llama la atención es que la Ley Irlandesa es de 1988 y su reglamento de 2003. Teniendo en cuenta que nuestra LOPD acaba de cumplir 15 añitos y el reglamento es de 2007, resulta interesante esta diferencia de antigüedad.

Me he detenido, para este post, en los artículos que dan las definiciones de una y otra Ley, para hacer un texto un poco general sobre las nociones clave, obviando sus respectivos reglamentos de desarrollo (aunque es verdad que en uno de los puntos hago alusión al español para no dejar coja uno de los conceptos). Mi acercamiento a la normativa irlandesa es un poco temerario, ya que es complicado traducir correctamente el sentido y los propios conceptos, así que disculpadme si hay algún error o imprecisión; mi intención es tener una idea general y ver si son muy diferentes ambas normativas en un primer vistazo.

Aquí os dejo mi cuadrito comparativo:

Conceptos	Ley Orgánica 15/1999 de 13 de Diciembre, de Protección de Datos de Carácter Personal.	Data Protection Act 1988	Comentarios:
Dato Personal VS Personal Data	Cualquier información concerniente a personas físicas identificadas o identificables.	Data: Information in a form in which it can be processed. Personal Data: Data relating to a living individual who can be identified either from the data or from the data in conjunction with other information in the possession of the data controller	La Ley Irlandesa diferencia entre “dato” y “dato personal”. Me llama la atención que los irlandeses hagan hincapié en que un dato puede ser calificado como dato personal si, en conjunto con otra información que tenga el Data Controller permite identificar a una persona viva. Conclusiones: 1) Un dato personal sólo lo será si alude a una persona viva (se excluye a los fallecidos). 2) El legislador irlandés parece querer dar un papel clave a la información que tenga el Data Controller; por lo que entiendo, si éste tiene otras informaciones sobre una persona que pueden ser “cruzadas” con otro tipo de información que tenga sobre el mismo sujeto y todo este batiburrillo acaba en que el sujeto puede ser identificado, será un dato personal.
Responsable del fichero VS Data Controller	Persona física o jurídica, de naturaleza pública o privada u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.	A person who, either alone or with others, controls the contents and use of personal data	La ley española habla de decisión sobre la finalidad mientras que la ley irlandesa usa “controls”. Por lo que he podido indagar, el sentido puede ser parecido al nuestro: su Data Controller “mandará” sobre el contenido y uso de los datos.
Encargado de Tratamiento VS Data Processor	La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.	A person who processes personal data on behalf of a data controller but does not include an employee of a data controller who processes such data in the course of his employment	La clave es la expresión “on behalf of”. La traducción más plausible es “para” , aunque también he visto que puede referirse a “en nombre de” o “en representación de”. Personalmente me parece que que me inclino por el significado “para”, ya que sobre entiendo que esta figura alude al que interviene en el tratamiento tal y como entendemos a nuestro querido Encargado de Tratamiento.
Afectado o Interesado VS Data Subject	Persona física titular de los datos que sean objeto del tratamiento a que se refiere el apartado c) del presente artículo	An individual who is the subject of personal data
Tratamiento VS Processing	Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.	Performing automatically logical or arithmetical operations on data and includes— (a) extracting any information constituting the data, and (b) in relation to a data processor, the use by a data controller of data equipment in the possession of the data processor and any other services provided by him for a data controller,	Aquí nuestro legislador da una lista clara de operaciones que implican un tratamiento de datos mientras que el legislador irlandés da importancia a la extracción de información de los datos (ojo, no de los datos personales exclusivamente; se refiere a los datos sobre la definición de “data” que hemos visto antes) y al “uso” del “Data Procesor” de los datos de los que dispone el “Data Controller” (entiendo que es el hecho de que haya una relación -en términos de protección de datos- entre lo que nosotros llamamos un “Responsable” y un “Encargado” ). Los irlandeses usan el concepto de “data equipment” que veremos lo que es en el siguiente punto.
Data equipment		Equipment for processing data	El legislador español en la LOPD no da una definición sobre los “equipos” utilizados para tratar datos; para encontrar algo similar a ello, tenemos que irnos al Reglamento de la LOPD, art.5.m, el que define “Sistema de información” como “conjunto de ficheros, tratamientos, programas, soportes y en su caso, equipos empleados para el tratamiento de datos de carácter personal”.
Exclusiones de la Ley Irlandesa VS exclusiones de la Ley Española	Ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas. Ficheros sometidos a la normativa sobre protección de materias clasificadas. Ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada. No obstante, en estos supuestos el responsable del fichero comunicará previamente la existencia del mismo, sus características generales y su finalidad a la Agencia de Protección de Datos.	Personal data that in the opinion of the Minister or the Minister for Defence are, or at any time were, kept for the purpose of safeguarding the security of the State, (b) personal data consisting of information that the person keeping the data is required by law to make available to the public, or (c) personal data kept by an individual and concerned only with the management of his personal, family or household affairs or kept by an individual only for recreational purposes.	En este punto, tanto la Ley Irlandesa como la Ley Española hacen dos exclusiones similares: - “Ficheros” domésticos o familiares. - “Ficheros” que afecten a seguridad del estado. La diferencia más clara que veo es en el punto “b” de la norma irlandesa, el cual parece prever la entonces futura, y ahora mismo, actual, tendencia a la “transparencia”.

Conclusiones de este primer vistazo:

1. Teniendo en cuenta que la Ley Irlandesa es de 1988 y la nuestra es de 1999, me parece que los irlandeses fueron unos visionarios.
2. En los conceptos básicos que he analizado en este post no veo diferencias significativas en ambas normativas. Seguramente en el desarrollo de la normativa podremos ver diferencias más claras (mi intención es retomar esta comparativa en futuros post).

Irlanda, Cliffs of Moher (foto hecha en mi último viaje a este mágico país).

Y con este ambiente medio celta, medio español, me despido, de nuevo, deseando a tod@s una Feliz Navidad y un Feliz Año 2015. Que el nuevo año nos traiga Felicidad, Esperanza, Trabajo, Paz, Sanidad..y JUSTICIA.

Un saludo a tod@s!

Si me quieres conocer un poco más, puedes seguirme en Twitter: https://twitter.com/iurisfriki

Un par de cuestiones sobre la Nueva Ley de Seguridad Ciudadana: El Registro Central de Infracciones contra la Seguridad Ciudadana y la LOPD.

  

Hola a todos!

Estos días he estado un poco liada con el trabajo y la uni pero he podido sacar un poco de tiempo para echar un vistazo a 2 novedades legislativas que están en boca de juristas, políticos y movimientos sociales, en su mayor parte, con críticas bastante negativas: la reforma del Código Penal y la nueva Ley de Seguridad Ciudadana. Es en esta última en la que quiero detenerme (si pincháis aquí, podéis ver el doc sobre el que he trabajado), ya que ha habido un artículo que ha llamado poderosamente mi atención: el número 42. Este artículo trae la creación de un registro dentro del Ministerio del Interior llamado Registro Central de Infracciones contra la Seguridad Ciudadana en el que van a ir a parar estas cosas:

• los datos personales de sujetos que hayan cometido alguna infracción
• la propia infracción en sí
• la sanción que se le ha impuesto y
• el lugar y fecha de su comisión.

Aquí os pego una imagen de cómo me imagino yo este Registro..

Dicho artículo parece prever, con cierta "cortesía", que las personas sancionadas sean informadas de que sus datos van a ir directitos al citado Registro (“mediocumplimos” el art. 5 de la LOPD) y que, incluso, siempre según lo desarrollado por Reglamento posterior, podrán hasta pedir cancelación y rectificación de los datos. Por último, se establece que los datos contenidos en este Registro serán accesibles a las AAPP con competencia para sancionar según lo dispuesto en la propia Ley. A la espera de que el funcionamiento vaya aclarándose, me surgen un par de dudas sobre esta nueva idea del Gobierno y su adecuación a la vigente normativa de protección de datos:

1. ¿Qué tipo de datos van a almacenarse? Lo digo porque esa información no es algo baladí (que para ello la LOPD consagra los principios de calidad y proporcionalidad de los datos) y si las anotaciones que se hacen van más allá de los datos identificativos base (nombre, apellidos), como por ejemplo las circunstancias de los hechos (pensemos que el acta recogiera que los hechos ocurrieron en una manifestación de tal o cual partido), estaríamos en “terreno peligroso” (véanse los Niveles de Seguridad de la LOPD). De inicio, como mínimo, hay que aplicar el Nivel de Seguridad Medio, como indica el art.81.2 a) del Reglamento.
   
   
2. En relación al acceso de otras AAPP a los datos del Registro, pensemos que la propia Ley dice que las Delegaciones de Gobierno son competentes para sancionar infracciones graves o leves (entre otras, pensemos que las sanciones graves incluyen conductas como dar datos inexactos en las identificaciones o realizar actos de obstrucción para impedir a cualquier autoridad, empleado público o corporación oficial el ejercicio legítimo de sus funciones, el cumplimiento o la ejecución de acuerdos o resoluciones administrativas o judiciales, siempre que se produzcan al margen de los procedimientos legalmente establecidos y no sean constitutivos de delito.. cuando leí esto pensé en las acciones de la PAH para impedir desahucios). La implicación más clara que puede verse es una que afecta específicamente a ciudadanos extranjeros, no debemos olvidar que los permisos de residencia son autorizaciones administrativas que se tramitan en las Delegaciones de Gobierno de las CCAA. ¿Puede conllevar este hecho que si, por ejemplo, un extranjero con permiso de residencia es sancionado por hacer una sentada para impedir un desahucio se le pueda denegar la renovación de dicho permiso? ¿No chocaría esto con el art. 13 de la LOPD y con el art.36 de su Reglamento de desarrollo?
   
   
   Ejemplo gráfico de lo que podría ser una valoración para una concesión administrativa basada en los datos del Registro este.

Y dejando en el aire estas dudas más que razonables, cierro este post por hoy, a la espera de que puedan resolverse estas dudas lo antes posible y expectante por ver cómo se adecuan las nuevas normativas a lo que ya está vigente o a futuros cambios que puedan (y espero) se produzcan.

Un saludo a todos y que tengáis buena semana!

Si me quieres conocer un poco más, puedes seguirme en Twitter: https://twitter.com/SMor84

Entendiendo la LOPD. Capítulo III: Figuras clave.

Capítulo III: Figuras en la LOPD.

Responsable del fichero o tratamiento.
Encargado del tratamiento
Afectado o interesado.

En el post de hoy, me gustaría analizar las figuras más importantes que recoge la LOPD. Tener claro el papel que desempeña cada uno de estos intervinientes es clave para poder conocer las condiciones que regula todo tratamiento de datos personales. Vamos a ello!

a) Responsable del Fichero o Tratamiento. La LOPD define esta figura como la “persona física o jurídica, de naturaleza pública o privada u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento”. Así, el Responsable del Tratamiento es “el que manda” sobre los datos; el que dispone de ellos y decide a qué fines los va a destinar. En un primer vistazo, podemos pensar que el responsable es el que recoge, almacena y destruye los datos personales pero esto no siempre es así. La vida de los datos personales suele ser larga y a veces incierta (precisamente esto es lo que pretende evitar la LOPD); así, el responsable del fichero tiene una serie de deberes que le son inherentes; deberes que la LOPD enuncia en forma de principios, entre los cuales encontramos el principio de calidad, el deber de secreto, el principio de seguridad de los datos.. (todos ellos los abordaremos en otro post para estudiarlos un poco a fondo).Al igual que nosotros tenemos cuidado de no perder nuestras cosas, el responsable del fichero nunca debe olvidar que es el custodio de información importante, por lo que debe actuar con la máxima diligencia. Podemos pensar en un amigo al que le dejamos nuestro libro favorito: esperamos que lo cuide para que no se rompa, que no lo descuide para que no se pierda o le desaparezcan hojas.. Nuestros datos personales son “otro bien” más valioso, por lo que, siendo inevitable su “movimiento” en la sociedad en la que vivimos, ¡ qué menos que exigir un mínimo cuidado!. Diariamente nuestros datos personales viajan en no pocas direcciones: por ej. cuando al comprar un electrodoméstico el vendedor nos da un formulario en el que nos pide nuestra dirección de casa, nuestro teléfono, nuestra Cuenta del Banco... En este caso, el vendedor del electrodoméstico que compramos sería el responsable del fichero; recoge esos datos para gestionar nuestra compra (finalidad), decide qué tipos de datos nos va a pedir en el formulario (contenido) y los graba en su sistema informático para conservarlos el tiempo necesario de la garantía del electrodoméstico (uso).

b) Encargado del Tratamiento. La LOPD nos dice que es “la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento”. Aunque la definición parece un poco complicada, es más sencillo de lo que parece: el Encargado del Tratamiento va a efectuar los tratamientos de datos que le ordene el Responsable. Es como una especie de relación entre jefe y empleado; el encargado del tratamiento no es más que una simple mano de obra que debe sujetarse estrictamente a las funciones que le indique el responsable. No puede tomar decisiones sobre los datos que trate por cuenta del responsable, no puede destinarlos a otro fin que no sea el que le ordene el responsable. Creo que se entiende que la diferencia entre una y otra figura es clara. Pongamos un ejemplo de encargado de responsable: La empresa X que se dedica a la venta de trajes de novia decide, para dar a conocer su nueva tienda, sortear un traje de novia entre las mujeres del barrio. Para llevar a cabo el sorteo, contrata a la empresa W para animar a las chicas que pasen por la calle a que rellenen un cupón para participar en el sorteo. Además de la reccogida, la empresa W va a encargarse de pasar los datos recogidos en los cupones al sistema informático de la empresa X y cuando acabe, deberá darle los cupones a la empresa X.

Como vemos, la empresa X sería la responsable del fichero: es quien “manda” sobre los datos y la empresa W es contratada por X para hacer unas funciones delimitadas: recogida de datos mediante los cupones, el registro de los mismos en el sistema informático.. En definitiva: La empresa W no decide nada sobre los datos: ni sobre el tratamiento ni sobre la finalidad de los mismos; cosa que diferencia su papel del de la empresa X. No tiene que haber exclusivamente un encargado del tratamiento; pueden coexistir varios (en el ejemplo de antes, supongamos que la empresa X decide contratar a la empresa Z para que elimine los cupones; en este caso ya tendríamos dos encargados del tratamiento: la empresa W y la empresa Z).

La relación entre el responsable del fichero y el encargado del tratamiento se suele regular mediante la elaboración de un contrato entre ambos al amparo del art.12 de la LOPD.

c) Afectado o interesado. La LOPD define al afectado como la “persona física titular de los datos que sean objeto del tratamiento a que se refiere el apartado c) del presente artículo”. De esta forma, el afectado siempre es una persona física sobre cuyos datos personales se va a efectuar algún tipo de tratamiento. Debido al movimiento de datos general del que hablábamos antes, prácticamente todos somos afectados en nuestras relaciones comerciales con diferentes empresas; por ejemplo: todos damos nuestros datos a una operadora para contratar nuestra línea de teléfono, o rellenamos el formulario con nuestros datos personales para comprarnos el coche que nos gusta. Al afectado/titular le asisten (entre otros), una serie de derechos sobre sus datos que, coloquialmente, se les llama Derechos ARCO: Acceso, rectificación, cancelación y oposición. De estos derechos también hablaremos en post posteriores debido a su máxima importancia.

Y hasta aquí llega mi post de hoy..espero que la explicación sea lo suficientemente clara como para que pueda entenderse bien lo que supone cada figura.

Un saludo y hasta la próxima!