DISPONE: Herramienta de ayuda para la generación de una disposición de creación, modificación y/o supresión de ficheros de datos de carácter personal de Titularidad Pública

La Agencia Española de Protección de Datos (AEPD) ha presentado su nueva herramienta, DISPONE, una aplicación de ayuda para la generación de una disposición de creación, modificación y/o supresión de ficheros de datos de carácter personal de Titularidad Pública.


Con la introducción de la información que la herramienta va solicitando, que es la que exige la LOPD para la creación de ficheros de titularidad pública, se genera automáticamente el texto de la disposición que deberá ser aprobada por el órgano responsable y publicada en el boletín oficial correspondiente.


La aplicación es una buena herramienta de ayuda, pero ello no conlleva en ningún caso que se  sustituya el trabajo previo necesario para la correcta determinación del fichero y, por tanto, de la previa disposición de creación. Es decir, sigue siendo imprescindible analizar exhaustivamente todas las circunstancias que tienen trascendencia a la hora de tratar datos, desde el procedimiento de recogida, la finalidad del tratamiento, las cesiones realizadas o las medidas de seguridad necesarias.


Cualquier iniciativa de la AEPD que busque un mayor grado de cumplimiento de la normativa es de alabar y en este caso podemos imaginarnos que va especialmente dirigida al gran número de administraciones públicas, fundamentalmente pequeños ayuntamientos, que todavía no han realizado la inscripción de sus ficheros.

Relaciones entre el empresario y las mutuas y sociedades de prevención

La Revista de la Agencia de Protección de Datos de la Comunidad de Madrid, datospersonales.org ha publicado un artículo en su número de marzo, escrito en colaboración con la compañera María Luisa González Tapia. En él analizamos las relaciones entre el empresario y las mutuas y sociedades de prevención.

No siempre está del todo claro en los informes y resoluciones de la Agencia Española de Protección de Datos la correcta relación jurídica, en materia de protección de datos, entre el empresario y estas entidades. A menudo es fácil encontrarse contratos de encargados del tratamiento cuando nos encontramos ante cesiones y declaración de cesiones cuando en realidad hay una prestación de servicios y un tratamiento de datos por cuenta del empresario.

En el artículo tratamos de analizar y aclarar estas cuestiones. Muchas gracias al Consejo Editorial de la revista por la publicación.

La Audiencia Nacional pregunta al TJUE en relación con el derecho al olvido

¿Podemos exigir a Google, o a cualquier buscador, que desindexe de sus resultados nuestro nombre, publicado lícitamente en una web? Así se puede resumir el problema del llamado "derecho al olvido". La Audiencia Nacional tiene encima de la mesa unos 130 procedimientos derivados de resoluciones de la Agencia Española de Protección de Datos y ha planteado una serie de cuestiones prejudiciales al Tribunal de Justicia de la Unión Europea, con el objeto de aclarar aspectos de la Directiva 95/46, de Protección de Datos.

Resumiendo, las preguntas buscan conocer si a Google Inc., que es la prestadora del servicio de búsqueda puede estar sujeta a la normativa europea y, en ese caso, si la actividad que realiza supone un tratamiento de datos de carácter personal.

Un resumen del auto de la Audiencia Nacional en el blog de Lex Nova.

Sobre la entrada en vigor del procedimiento de la Ley Sinde

El pasado 29 de febrero entró en vigor el Real Decreto que regula el  “procedimiento de salvaguarda de los derechos de propiedad intelectual frente a su vulneración por los responsables de servicios de la sociedad de la información”, es decir, el reglamento que desarrolla el procedimiento a seguir para el cumplimiento de lo previsto en la "Ley Sinde". 
En el blog "Descargas Legales" nos hacemos tres preguntas al respecto de esta normativa:
- ¿Quiénes van a ser los miembros que formen parte de la Comisión de Propiedad Intelectual?
- ¿Obligarán a las personas físicas a utilizar medios electrónicos para comunicarse con la Sección Segunda?
- ¿Qué pasará con las páginas web personales que están fuera del ámbito de aplicación de la LSSI?

Aclaraciones sobre las consecuencias de la Sentencia del Tribunal Supremo que anula el artículo 10.2.b del Real Decreto 1720/2007

Tras la anulación del artículo 10.2.b del Reglamento de Desarrollo de la LOPD, se han podido leer y escuchar muchas afirmaciones alarmistas al respecto de cómo queda el estado de la protección de datos en España. No hay que alarmarse, las consecuencias prácticas son muy limitadas.
Esta anulación además era ineludible para ajustarse a lo contenido en la Directiva europea de Protección de Datos, y nadie ha comentado que se puedan comercializar datos sin permiso o que se acabe con las garantías de protección de datos a nivel europeo.
Una pequeña aclaración al respecto en el blog "Descargas Legales".

Nuevo comunicado de la Fundación Tripartita sobre el Coste Cero en LOPD

Hace unos meses la Fundación Tripartita para la Formación y el Empleo advirtió públicamente sobre la ilegalidad de utilizar los fondos que aporta esta fundación, destinados a la formación de empleados, para prestar servicios de consultoría en materia de protección de datos. Las empresas que llevan a cabo estas prácticas prestan servicios de consultoría y facturan servicios de formación (ya se imparta o no realmente), cuyo coste se ahorra el empresario a través de las cuotas de la Seguridad Social de sus trabajadores, con lo que el servicio les sale gratis.  
La Fundación Tripartita informa ahora de que desde hace dos años se están llevando a cabo comprobaciones al respecto, las cuales han dado lugar a "la imposición de sanciones a las empresas ofertantes de los citados servicios de protección de datos de carácter personal, así como a la devolución de las bonificaciones practicadas en materia de formación en el empleo por parte de las empresas". Advierte además de que se puede dar traslado de los hechos a la Inspección de Trabajo y Seguridad Social y a los órganos administrativos competentes en materia de Defensa de la Competencia.
Hay que agradecer a la Fundación Tripartita que se haya puesto manos a la obra para perseguir estas actuaciones y que se conozca que las empresas que realizan estas prácticas, además de prestar, por lo general, un servicio de dudosa calidad, ponen en serio peligro de recibir sanciones por otras vías a las empresas que contratan sus servicios.
Más información en el blog de Luis Salvador.

La competencia de la AEPD sobre los ficheros de juzgados y tribunales

El Tribunal Supremo ha determinado en una sentencia reciente que la Agencia Española de Protección de Datos (AEPD) no tiene competencia para inspeccionar y declarar infracciones de la normativa sobre Protección de Datos, sino que esta competencia está reservada al propio Consejo General del Poder Judicial (CGPJ).
En mi opinión con la normativa en la mano esto no debería ser así, además de que para el ciudadano supone una garantía adicional puesto que poca independencia se puede esperar de las resoluciones de un órgano respecto a incumplimientos realizados por personal del mismo órgano.
A cuatro manos con Francisco Javier Sempere, al que agradezco su colaboración, hemos dejado en dos posts en "Descargas Legales" nuestra opinión sobre el asunto.

4ª Sesión Anual Abierta de la Agencia Española de Protección de Datos

Con motivo de la celebración del Día Europeo de Protección de Datos (28 de enero), se celebró el pasado 27 de enero de Madrid la 4ª Sesión Anual Abierta de la Agencia Española de Protección de Datos (AEPD). El objetivo de estas sesiones es dar a conocer el estado actual de la protección de datos en España, y convoca cada año a un gran número de profesionales de la materia, este ocasión, según la nota de prensa de la Agencia, unos 800. El resumen de la jornada lo pueden encontrar en esa misma nota de prensa.

El Director de la AEPD, don José Luis Rodríguez Álvarez, comenzó la jornada destacando el importante aumento de denuncias y reclamaciones de tutela de derechos realizadas por los ciudadanos durante el año 2011, que crecieron respecto al año anterior, un 50% y 34% respectivamente. Pese a que en anteriores intervenciones públicas el director no se había mostrado muy partidario del término, en esta ocasión celebró que se incluya expresamente el derecho al olvido en la propuesta de Reglamento europeo sobre Protección de Datos recientemente presentada por la Comisión Europea. 
Precisamente resultó particularmente interesante dentro de la jornada la intervención del  coordinador del Área de Internacional de la AEPD, Rafael García Gozalo, que desgranó la principales novedades de la propuesta de Reglamento y Directiva presentada recientemente por la Comisión Europea, así como la revisión del Convenio 108, del Consejo de Europa, para la protección de las personas físicas en relación con el tratamiento automatizado de datos personales.
El tema central de la sesión, como el de muchas jornadas del sector últimamente, fue la computación en la nube, o el cloud computing. Es conveniente recordar que este tipo de servicios no son novedosos, a fin de cuentas no es de ahora el alojamiento de datos en servidores de terceros. Lo que sí que es cierto es que se ha generalizado mucho su uso y que en cuanto a la normativa sobre protección de datos nos encontramos con varios problemas: la transferencia internacional de datos con la aplicación de las medidas de seguridad y la normativa española, y la habitual subcontratación de los servicios. Respecto a esto, la Agencia anunció la publicación de unas cláusulas contractuales tipo para los casos en los que se produzcan transferencias internacionales.
Por último, se contestaron por parte de los intervinientes consultas planteadas por los asistentes tanto al inscribirse como en la propia sesión. Hay que agradecer y valorar la predisposición del personal de la Agencia a la hora de responder preguntas en directo, pero creo que en muchos casos no aporta suficiente seguridad a las dudas de los profesionales, puesto que a menudo las cuestiones requieren de precisión tanto en el supuesto planteado como en la respuesta, y no siempre las respuestas son por tanto lo suficientemente claras o fiables.
En fin, un acto cuya celebración hay que agradecer a la Agencia, tanto por la deferencia ante los profesionales de la privacidad, como por las actuaciones de difusión de la cultura sobre protección de datos realizadas paralelamente en estos días.
Pueden descargarse las presentaciones de las distintas ponencias desde la web de la AEPD.
Otros resúmenes de la jornada en los blogs Marketing Positivo y Privacidad Práctica.