diciembre 19

Sobre la Ley “mordaza” de la Comunidad de Madrid

El Consejo de Gobierno de la Comunidad de Madrid, presidido por Cristina Cifuentes, ha aprobado un Proyecto de Ley que está siendo muy criticado por la manera en la que incide sobre el derecho fundamental a la libertad de expresión e información.

En el programa de Telemadrid “las claves del día” del 16 de diciembre se trata este tema, donde se produjo un debate entre la diputada del Parlamento autonómico, Carla Antonelli, defensora de la propuesta, y Javier Maestre que se opone a la misma.

Enlace a Telemadrid (a partir de 27:21): http://telemadrid.es/programas/las-claves-del-dia/las-claves-del-dia-16122016

Texto íntegro del Proyecto de Ley.

Artículos sobre la iniciativa legislativa:

Actualización 7/2/2017. La Comunidad de Madrid retira el proyecto de Ley:

octubre 7

Las consecuencias de la sentencia Schrems sobre el modelo “safe harbor” de protección de datos

La reciente Sentencia del TSJUE dictada en el caso Schrems y la nota de prensa que la precedió han dado lugar a un vivo debate. Aquí intentaremos desgranar el caso y apuntar las eventuales consecuencias prácticas que pudiera generar, especialmente a las empresas españolas.

En primer lugar, analicemos el conflicto. El Sr. Maximillian Schrems, ciudadano austriaco, basándose en las revelaciones realizadas en 2013 por el Sr. Edward Snowden en relación con las actividades de los servicios de información de Estados Unidos (en particular, la National Security Agency o «NSA»), sostenía que debía comprobarse, por parte del equivalente a la Agencia Española de Protección de Datos, si las empresas incluidas en el sistema denominado “safe harbor” (puerto seguro) de EE.UU. de manera efectiva satisfacían los requisitos que impone la normativa europea de protección de datos.

Es decir, el principal conflicto residía en determinar si las autoridades nacionales europeas se encuentran facultadas para comprobar el cumplimiento de su normativa nacional y comunitaria sobre protección de datos. En un primer momento, dicha petición le fue denegada basándose en la Decisión 2000/520/CE de la Comisión, de 26 de julio de 2000 que daba carta de naturaleza al diseñado modelo “safe harbor”, objeto de un extenso y actual análisis en este trabajo enlazado. En este punto el Tribunal es claro y tajante: “una decisión de esa naturaleza no puede dejar sin efecto ni limitar las facultades expresamente reconocidas a las autoridades nacionales de control”, de forma que “toda autoridad nacional de control está investida, por tanto, de la competencia para comprobar si una transferencia de datos personales desde el Estado miembro de esa autoridad hacia un tercer país respeta las exigencias establecidas por la Directiva 95/46. “

Así, el hecho de la que Comisión haya “validado” el modelo “safe harbor” estadounidense, no impide que una autoridad nacional, como la Agencia de Protección de Datos, efectúe las labores de comprobación que considere pertinentes.

Pero la sentencia no se queda solamente en eso, va más allá, pues entra a analizar la validez de la Decisión de la Comisión sobre el “puerto seguro” estadounidense, para subrayar que en dicha Decisión, la Comisión no comprobó si se garantizaba el cumplimiento de la normativa europea, sino que simplemente se limita a analizar el régimen de puerto seguro. El tribunal europeo, sin entrar a analizar si el régimen concreto de puerto seguro cumple la normativa europea, constata que, en cualquier caso, las empresas norteamericanas están obligadas a dejar de aplicar el régimen del puerto seguro ante las autoridades públicas estadounidenses, por lo que todas las eventuales previsiones de este régimen quedarían en papel mojado. Además, si esta decisión supone privar a las autoridades nacionales de las facultades de control que le corresponden, el tribunal considera que la Comisión carecía de competencia para restringir de ese modo las facultades de las autoridades nacionales de control, por lo que acaba declarando inválida la Decisión de la Comisión, tal y como ha destacado la Agencia Española de Protección de Datos.

Y ahora las consecuencias de esta decisión. De un lado, los ciudadanos europeos, como el Sr. Schrems, podrán exigir de sus respectivas Agencias de Protección de Datos que se compruebe si en su caso concreto se respeta la normativa y, en su caso, instar la suspensión de la transferencia de datos. En este sentido la Agencia Española de Protección de Datos ha indicado que “las Autoridades europeas de protección de datos, que ya observaron deficiencias en el Puerto Seguro y las plasmaron en varias cartas y dictámenes, han planificado actuaciones para coordinarse en el análisis de las implicaciones de la sentencia y en las actuaciones nacionales que deban llevarse a cabo, garantizando una aplicación consistente de la misma en todos los países de la UE.”

Y en relación con las empresas españolas que pudieran estar afectadas por mantener flujos de datos con empresas estadounidenses, hay que tener en cuenta que esta sentencia no implica que se prohíban por completo las transferencias de datos a los Estados Unidos, sino que esos flujos, si no nos encontramos en uno de los supuestos de excepción previstos, requerirán autorización del Director de la Agencia Española de Protección de Datos. Es preciso destacar en cualquier caso que el incumplimiento del régimen sobre transferencias internacionales de datos es considerado una infracción muy grave sancionable con multa de hasta 600.000 Euros), por lo que hay que andarse con ojo.

Para entender las consecuencias prácticas, pensemos en una tienda online que tiene contratado con una norteamericana el alojamiento, pasarela de pago o cualquier servicio similar que implique el acceso o tratamiento de datos. Sería la figura del encargado del tratamiento. De entrada, habría que tener un contrato, análogo a cualquier encargado del tratamiento que actuara en el mercado español o europeo y cumplir las previsiones relativas a esta figura que contiene nuestro ordenamiento. Pero en lo que se refiere a las acciones que se deben tomar en relación con la transferencia internacional, si no se quiere cambiar de proveedor de servicios, habría dos opciones. La primera es solicitar autorización al Director de la Agencia. La segunda, mucho más cómoda, es ver si resulta aplicable alguna de las excepciones que prevé la normativa. Las más socorridas son las siguientes:

– Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.

– Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.

– Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.

De las tres, las dos últimas, en mayor medida que la primera, contienen conceptos un tanto indeterminados, susceptibles de interpretaciones diversas y potencialmente conflictivos. Por tanto, la más utilizada es la primera: recabar el consentimiento del usuario. Dado que para tratar sus datos es preciso obtener su consentimiento, habría que incluir en ese párrafo de la política de privacidad una referencia a que el usuario también consiente esa transferencia internacional. El detalle de los datos a proporcionar al usuario sería un debate aparte.

Incluso podría irse más allá y poner de manifiesto, ya en la política de privacidad, en caso de ser así, que dicha transferencia es necesaria para la ejecución de la relación que se entabla con el usuario, recabando en todo caso su consentimiento para ello.

Pero hay empresas que pueden verse implicadas en las transferencias que no mantienen contacto con las personas cuyos datos son objeto de tratamiento. Pensemos, por ejemplo, en una empresa de hosting que tiene contratado un servicio de copias de seguridad de las webs de sus clientes en Estados Unidos (subencargado del tratamiento). En este caso, la empresa de hosting debería informar en el contrato con sus clientes sobre los servicios que son objeto de subcontratación y ahí es donde habría que hacer referencia a que esos servicios implican una transferencia internacional de datos y que será responsabilidad del cliente cumplir la normativa correspondiente, procediendo, en caso de ser necesario, a recabar el consentimiento de sus usuarios.

En resumen, revisar la política de privacidad y los contratos con clientes y proveedores.

Pero no siempre será posible acudir a estos supuestos de excepción, en cuyo caso habrá que solicitar la autorización del Director de la Agencia Española de Protección de Datos.

En cualquier caso, habrá que estar pendiente de las labores de coordinación anunciadas por las autoridades nacionales de control que irán dando más detalles sobre el régimen de aplicación.

julio 31

Los movimientos sociales también tienen derecho al nombre

Desde que surgió el 15-M hemos asistido a un desfile de siglas, eslóganes, nombres y “marcas” que, por momentos, nos recordaban la profusión de partidos que participaron en los albores de nuestra todavía joven democracia. Pero ahora no son solo los partidos los agentes del cambio político, incluso podríamos decir que ni siquiera son los principales agentes de los cambios a los que estamos asistiendo. Es cierto que, tarde o temprano y de una forma u otra, hay que pasar por esta institución, pero adquieren ya un mayor marcado carácter instrumental, respecto de las bases y movimientos sociales a los que pretende representar o simplemente ayudar a canalizar sus inquietudes, a resolver sus problemas.

Este cúmulo de iniciativas, partidos, asociaciones y movimientos sociales, que en ocasiones podríamos calificar de atípicos en nuestro sistema institucional, no ha sido ajeno a conflictos de carácter identitario, conflictos que se han desarrollado en diversos ámbitos y escenarios, como los que afectan a Podemos (1 y 2).

Una de estas batallas está siendo la protagonizadas por un movimiento que constituyó una clara herramienta de confluencia hacia el denominado 15-M.

Mediante la Sentencia de fecha 10 de junio de 2015, la Audiencia Nacional dirime el conflicto mantenido entre la Asociación que pretendía identificarse con el nombre “DEMOCRACIA REAL YA” y el grupo de ciudadanos que impugnaba la utilización de ese nombre por parte de la Asociación.

El Ministerio del Interior, mediante Resolución de fecha 19 de marzo de 2013, acordó la inscripción de la Asociación “Democracia Real Ya”, en el Registro Nacional de Asociaciones. Dicha decisión fue objeto de recurso, primero en fase administrativa, y ahora en fase judicial, reclamando que dicha denominación no podía ser objeto de apropiación por un grupo particular de individuos en perjuicio del resto de ciudadanos que se identifican con el movimiento DEMOCRACIA REAL YA.

La Audiencia Nacional, dando la razón al recurrente, analiza la naturaleza del movimiento social, poniendo de manifiesto que “la Plataforma “Democracia Real Ya” surgió como consecuencia de una agrupación de ciudadanos con la finalidad de responder a los problemas sociales fuera del cauce ordinario de participación ciudadana, rechazando adoptar las fórmulas o figuras jurídicas de organización y representación normales, poniendo en relieve su carácter apartidista e intención de mantenerse en esa situación huyendo de la necesidad de constituirse como partido o asociación; plataforma que surge en el año 2011.”

El Tribunal reconoce validez a dicha forma atípica de organización, que merece la protección que otorga nuestro ordenamiento, sosteniendo que:

“la “marca” “DEMOCRACIA REAL YA” se eleva como un signo externo que sirve al ciudadano interesado en dicho movimiento para reconocer una misma posición política o de respuesta ciudadana a los problemas de los ciudadanos, y esa dimensión de la marca es parte esencial de la misma, pues se utiliza como una seña de identificación comunicativa en los medios y redes sociales en internet, cobrando una especial relevancia en la actualidad entre aquellos ciudadanos que se identifican con el espíritu de dicho movimiento cívico, de forma que la “notoriedad” se alza como una conciencia de afección a un grupo ciudadano, que representa ideas e inquietudes ciudadanas afines entre aquellos que se comunican utilizando dicho signo o marca y, a su vez, el reconocimiento mutuo entre los ciudadanos que configuran dicho movimiento, en el marco de una organización primaria, anterior a la adquisición de cualquiera de las formas jurídicas reconocidas en Derecho…

podemos afirmar que la marca “DEMOCRACIA REAL YA”, es una “marca notoria”, y que viene a representar a un colectivo determinado cuyo eco social no ha escapado a la mayoría de la ciudadanía. Por ello, admitir la inscripción de la Asociación “DEMOCRACIA REAL YA”, supone, primero, obviar ese fenómeno social; y segundo, introducir un motivo de error o confusión en los ciudadanos que identifican dicha “denominación” con la Plataforma ciudadana en la que se fraguó el “Movimiento 15-M”, el primario, cuya singular estructura, forma de adopción de acuerdos y medios de expresión utilizados, la caracteriza, siendo voluntad de sus participantes mantener ese “status quo” de expresión ciudadana.

Finalmente, el Tribunal acuerda estimar el recurso y ordena que la Asociación se identifique con otro nombre.

Texto de la sentencia.

Comunicado de Democracia Real Ya.