octubre 7

Las consecuencias de la sentencia Schrems sobre el modelo “safe harbor” de protección de datos

La reciente Sentencia del TSJUE dictada en el caso Schrems y la nota de prensa que la precedió han dado lugar a un vivo debate. Aquí intentaremos desgranar el caso y apuntar las eventuales consecuencias prácticas que pudiera generar, especialmente a las empresas españolas.

En primer lugar, analicemos el conflicto. El Sr. Maximillian Schrems, ciudadano austriaco, basándose en las revelaciones realizadas en 2013 por el Sr. Edward Snowden en relación con las actividades de los servicios de información de Estados Unidos (en particular, la National Security Agency o «NSA»), sostenía que debía comprobarse, por parte del equivalente a la Agencia Española de Protección de Datos, si las empresas incluidas en el sistema denominado “safe harbor” (puerto seguro) de EE.UU. de manera efectiva satisfacían los requisitos que impone la normativa europea de protección de datos.

noviembre 6

La Agencia española de Protección de datos publica su Memoria del año 2013

La Agencia española de protección de datos ha publicado su Memoria del año 2013, donde recoge las actuaciones más relevantes realizadas por la  institución, dedicando un espacio destacado a los retos actuales y futuros.

En la nota informativa que acompaña a la memoria se destaca que los ciudadanos y organizaciones son cada vez más conscientes de las garantías que pueden exigir o deben cumplir, como prueba el hecho de que las solicitudes de cancelación de datos crece respecto a 2012.

El sector en el que se ha declarado un mayor volumen de sanciones ha sido el de las telecomunicaciones, seguido del suministro y comercialización de agua y energía, y las entidades financieras.
En la Memoria pueden encontrarse referencias a algunos casos concretos como, por ejemplo, el que afecta a la cancelación de antecedentes policiales, en el que un ciudadano solicitó la cancelación de antecedentes policiales y le fue denegada, genéricamente, invocando la aplicación de los artículos 22 y 23 de la LOPD. La tutela solicitada ante la Agencia estima la reclamación requiriendo que se especifiquen las razones de la denegación atendiendo a las circunstancias del caso planteado. El expediente fue tramitado con el nº TD/01326/2013 y acabó ordenando a la DIRECCIÓN GENERAL DE LA POLICÍA (COMISARÍA GENERAL DE POLICÍA JUDICIAL. SECRETARÍA GENERAL) que remitiera al reclamante certificación en la que haga constar que ha atendido el acceso solicitado, o deniegue fundada y motivadamente dicho acceso, advirtiendo de que se puede incurrir en su defecto en una de las infracciones previstas en el artículo 44 de la LOPD.
febrero 24

La utilización legal de las “cookies”

Sobre los “dispositivos de almacenamiento y recuperación de datos en equipos terminales”, que así es como la redacción actual de la LSSICE define a las cookies, se ha hablado mucho y desde hace tiempo, y desde luego no siempre de forma pacífica. Otra definición se puede encontrar en la página de la Agencia Española de Protección de Datos a las que se refiere como “ficheros que se almacenan en el ordenador del usuario que navega a través de Internet y que, en particular, contiene un número que permite identificar unívocamente el ordenador del usuario, aunque éste cambie de localización o de dirección IP.”

En el caso de España, es el artículo 22 de la LSSICE el que se ocupa del asunto y su regulación ha cambiado desde su previsión original, en la que sólo se requería informar al afectado, hasta la actual en la que , dando cumplimiento a la Directiva 2009/136/CE, se exige el consentimiento previo del internauta, con el siguiente tenor:

“Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

“Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.

Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.”

Esta regulación no está exenta de polémica. La normativa europea ha sido calificada como “la enésima demostración de incompetencia política regulando la red”. En 2011, el ICO (Information Commissioners Office) del Reino Unido, mostraba su preocupación por la implantación de la normativa europea sobre las cookies augurando un descenso en el número de visitas. Y en fechas muy recientes se ha hecho público que el aviso legal de su página web ha cambiado de requerir el consentimiento del internauta a meramente informarle del uso de las cookies, aquí pueden consultar las explicaciones a esta modificación.

Lo cierto es que la implantación práctica de esta normativa no es una cuestión que resulte clara, pues caben diversas posibilidades técnicas y no se sabe muy bien donde van a poner el límite las autoridades encargadas de velar por el cumplimiento de esta normativa y lo acontecido con el ICO es una muestra de ello.

En síntesis, a lo que obliga la Ley es, en primer lugar, a informar, con carácter previo a la instalación de la cookie, especialmente, sobre la finalidad de su utilización. En segundo lugar, es preciso que el usuario preste el consentimiento para esa instalación. Se discute si este consentimiento puede ser tácito, circunstancia que se daría, por poner un caso, si se indica en las condiciones generales que el acceso a la web implica la prestación del consentimiento para la instalación de la cookie, o expreso, como parece pretender la normativa, al decir que para prestar el consentimiento se requiere “una acción expresa a tal efecto”, en cuyo caso el sistema comentado anteriormente sería insuficiente.

Finalmente, en cuanto a la exclusión de la obligación de recabar el consentimiento, cuando la única finalidad de la cookie sea efectuar la transmisión de una comunicación o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario, tampoco puede decirse que el panorama esté claro, cuando ha dado lugar a un extenso dictamen del denominado Grupo de Trabajo del Artículo 29 fechado en junio de 2012. Entre las cookies que se puede considerar exentas de esta obligación se mencionan como ejemplo, las cookies de “entrada del usuario” (que se emplean para realizar un seguimiento de los datos introducidos por el usuario cuando rellena formularios en línea o utiliza un carrito de la compra), también conocidas como cookies de identificación de sesión, las cookies de las sesiones de los reproductores multimedia y las cookies de personalización de la interfaz del usuario (por ejemplo, las cookies de preferencia de idioma que permiten recordar el idioma seleccionado por un usuario).

Cabe indicar también que el uso de las cookies se tiende siempre a asociar con el mundo de los ordenadores personales y la utilización de navegadores, pero la definición que se usa es susceptible de utilizarse para otras plataformas, como tabletas o teléfonos inteligentes. En estos entornos serían de aplicación también estas previsiones legales.

Para acabar recomiendo este artículo que analiza el tema intentando huir, en la medida de lo posible, de términos legales, donde se comenta la existencia de herramientas que permitan cumplir las exigencias legales y que pueden suponer una ayuda.