Facebook és notícia a diari. Són constants i importants les notícies que es generen des de dins o al voltant d’aquesta xarxa, cosa ben lògica atès que és el punt de trobada de 500 milions de persones, i el “lloc” on hi passa quasi de tot. L’última, o potser ja la penúltima, notícia que afecta Facebook és la iniciativa del Govern d’Alemanya de prohibir, per mitjà d’una Llei, la utilització de la informació personal que els usuaris pugen a les xarxes socials, no només a Facebook, en el procés de contractació d’una persona. Serà aquesta, en cas d’aprovar-se finalment, una Llei no aplicada, sense efectes directes. És sabut que des de fa molt de temps les oficines de “head hunters” o els departaments de RRHH de les empreses cerquen a qualsevol lloc d’Internet incloses les xarxes socials, informació dels candidats a un lloc de treball, i ho seguiran fent, hi hagi o no una Llei que ho prohibeixi. Revisant protocols de treball de nombroses empreses he pogut constatar que efectivament aquesta és una pràctica ja absolutament habitual, i considerada normal i, erròniament, lícita. He conegut dos casos en el que el futur empleador intentava fer-se amic al Facebook del potencial empleat per accedir a tota la seva informació i obtenir un perfil del candidat. Evidentment podia acabar essent més determinant aquesta informació que no pas la que figura en un fred i asèptic curriculum vitae.

Personalment considero aquesta iniciativa absolutament innecessària, principalment perquè la normativa europea de protecció de dades, i les respectives lleis nacionals sobre la matèria, prohibeixen ja aquesta pràctica, de manera que avui es pot perseguir i sancionar a qualsevol empresa que, sense el consentiment de la persona afectada, tracti (no cal ni que els enregistri) dades i informacions personals extretes d’aquests espais creats per a connectar amb amics, o companys d’aficions… en processos selectius, o de gestió del personal. La qüestió, com és ben evident, no és que estigui prohibit per una o per dues lleis sinó com provar que aquesta o altra informació ha estat determinant en una decisió com la provisió d’un lloc de treball. Des d’una altra perspectiva, em sembla una Llei paternalista en el sentit que no es tracta tant d’insistir en la prohibició d’aquesta pràctica, i recordar que pot haver sanció administrativa, sinó de fomentar la responsabilitat de cada usuari.

Una iniciativa que entenc innecessària i, deia abans, que no tindrà efectes directes, perquè evidentment aquesta pràctica seguirà portant-se a terme i segurament amb eines cada cop més potents i sofisticades. No obstant, probablement tindrà un efecte indirecte sobre el que és efectivament la clau de la qüestió: la responsabilitat i la maduresa de l’usuari. Amb una mica de sort tindrà l’efecte indirecte d’ajudar a fer veure la importància d’extremar els criteris sobre el grau de publicitat que cal donar a la informació que pugem a la xarxa, on un amic no és necessàriament un amic.

Internet, Protecció de dades Internet, Protecció de dades, Xarxes socials

Tres sentències del Tribunal Suprem de data 15 de juliol han anul·lat els articles 11, 18, 38.1.a, 38.2 i 123.2 del Reglament de desenvolupament de la Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (RLOPD) i eleven qüestió prejudicial al Tribunal de Justícia de les Comunitats Europees sobre part del contingut de l’article 10 d’aquest mateix Reglament.

Aquí llegireu una breu referència i trobareu el text d’aquestes tres sentències de les quals únicament voldria ara destacar l’excel·lent notícia de l’anul·lació de l’article 18:

Article 18. Acreditació del compliment del deure d’informació
1. El deure d’informació a què es refereix l’article 5 de la Llei orgànica 15/1999, de 13 de desembre, s’ha de portar a terme a través d’un mitjà que permeti acreditar-ne el compliment, i s’ha de conservar mentre persisteixi el tractament de les dades de l’afectat.
2. El responsable del fitxer o tractament ha de conservar el suport en què consti el compliment del deure d’informar. Per a l’emmagatzematge dels suports, el responsable del fitxer o tractament pot utilitzar mitjans informàtics o telemàtics. En particular pot escanejar la documentació en suport de paper, sempre que es garanteixi que en l’esmentada automatització no s’ha produït cap alteració dels suports originals.

L’article 5 LOPD obliga a informar, en el moment d’obtenir dades, de l’existència d’un fitxer, de la finalitat de la recollida, de la possibilitat d’exercir els drets d’accés i els altres reconeguts per la Llei, etc. El Reglament de la Llei va afegir l’obligació d’acreditar documentalment que s’havia informat i de conservar aquest document que ho acreditava. Aquestes obligacions han estat considerades ara pel Suprem com obligacions addicionals introduïdes pel Reglament al marge de la Llei, motiu pel qual han de ser anul·lades.

És una bona notícia el fet que es torni així a la llibertat de forma en el procediment d’informar que derivava de l’art. 5 LOPD. Ara torna a ser suficient, com abans del 19 d’abril de 2008 (data d’entrada en vigor del Reglament LOPD) demostrar que s’informa del que demana l’article 5 amb textos llegibles en el moment de proporcionar les dades o seguint un protocol específic quan s’obtenen verbalment. És en aquest darrer cas, quan les dades s’obtenen verbalment, que el compliment de l’article 18 del Reglament (ara anul·lat) es feia més difícil.  Tinguem present que la recollida de dades de forma verbal, o sigui sense utilització de formularis, és segurament la forma més habitual d’obtenir-les. Complir el Reglament abocava a dues úniques opcions: utilitzar formularis i fer-los omplir i signar d’alguna manera a l’usuari (més temps, més recursos i una certa “dramatització” de la qüestió com cada cop es fa signar un document), o enregistrar la informació donada verbalment. Tot plegat clarament excessiu i desproporcionat en la immensa majoria de casos, atès que això era exigible en qualsevol cas, per exemple en el moment de donar l’adreça electrònica per a ser incorporat a un mailing informatiu.

En el cas de les dades que s’obtenen verbalment, telefònicament per exemple, es produïa la paradoxa que el responsable del fitxer havia d’enregistrar la conversa, informar de que això es feia (l’enregistrament) i conservar aquest enregistrament, de manera que això provocava un efecte contrari als principis de la Llei: s’incrementava innecessàriament el nombre de dades tractades (la veu de l’afectat) que passaven a un altre suport (l’enregistrament) que s’havia de protegir degudament, determinar els accessos possibles, efectuar-ne còpies de seguretat…

Per tot plegat és bona notícia que ara el Suprem ens alliberi de tanta despesa i càrrega de feina, anul·lant aquesta al meu entendre excessiva i desproporcionada exigència. Moltes empreses i administracions que volen actuar d’acord amb la Llei respiraran tranquil·les.

Protecció de dades Protecció de dades

Per Taber http://taberbain.com

S’incrementen aquests dies les consultes al despatx sobre usos de les dades del cens electoral, pel fet que passat l’estiu ens encararem a les eleccions al Parlament i tot plegat es comença a moure. En tres ocasions ens han formulat la curiosa, i interessant (i una mica inquietant), pregunta que figura com a títol d’aquest post: “Poden els interventors que estan a la mesa trucar als que no han vingut encara a votar i animar-los a fer-ho abans no tanqui la mesa?”. El tema que es planteja és saber si és lícit que els interventors representants dels partits polítics d’una mesa electoral, que durant la jornada electoral han anat “puntejant” la seva llista, utilitzin aquesta informació i ja cap a darrera hora, abans de que es tanquin les urnes, truquin als electors afins al seu partit que no havien anat a votar, per animar-los a fer-ho. Això pot passar especialment en municipis petits i es tracta d’una utilització del cens electoral sobre la que ja havia hagut de pensar anteriorment i en relació a la qual em permeto fer un comentari, advertint que és únicament una opinió personal.

Un repàs a la Llei Orgànica del Règim Electoral General permet constatar que en tot moment parla de la utilització del cens electoral de forma molt oberta, sense precisar-ne del tot els usos. Diu en el seu art. 41 que

5. Los representantes de cada candidatura podrán obtener el día siguiente a la proclamación de candidaturas una copia del censo del distrito correspondiente, ordenado por mesas, en soporte apto para su tratamiento informático, que podrá ser utilizado exclusivamente para los fines previstos en la presente ley.

En principi, per tant, qualsevol utilització del cens que coincideixi amb les finalitats de vetllar per la correcció de les eleccions, per exemple verificar que un elector no vota dues vegades, seria correcte. Això permet la pràctica de “puntejar” la llista que cada interventor té. Cap problema per anar fent aquestes marques que els han d’ajudar a fer la seva feina.

Una altra cosa ben diferent és la qüestió de la trucada telefònica animant a anar a votar. Encara que es truqui a un amic, a un parent o a un militant o simpatitzant, està clar que la trucada neix a partir de la informació obtinguda en l’exercici d’una funció determinada i a partir de la llista del cens a la que l’interventor ha tingut accés per a la finalitat ja indicada de control i verificació de la correcció del procés. L’interventor que truca als quasi-absentistes no actua com a tal sinó simplement com a militant o simpatitzant d’un partit, confonent dos papers que no es poden confondre o barrejar.

No he trobat cap denúncia o cas analitzat per les agències de protecció de dades però és evident que l’interventor que truca incompleix el principi de finalitat de l’article 4 LOPD i 8 del Reglament de la Llei: les dades personals només es poden tractar per a les finalitats que en van justificar la recollida i tractament.

En definitiva, si l’interventor té el cens per a vetllar per la legalitat del procés, no el pot utilitzar a interès del partit. Incompliment de la normativa electoral i del principi de finalitat exigit per la normativa de protecció de dades. Intervenir sí. Trucades no.

Protecció de dades Eleccions, Protecció de dades

Acompanyo a una persona a un Centre d’Assistència Primària. El tracte és molt correcte, el local en bones condicions i el personal molt professional. Per això sorprèn tant trobar en el vestíbul la imatge que reprodueixo aquí. A la vista de tothom, sense estar tancades i a l’abast de qualsevol persona que treballi en el centre queden les històries clíniques que es veuen a la prestatgeria. Teòricament haurien d’estar custodiades en un local específic dotat amb sistema de tancament, de manera que es pugués controlar l’accés. Les dades de la història clínica són, no cal dir-ho, de les que més mereixerien ser custodiades amb garanties.

“Agafi el seu torn” diu el rètol, i gairebé en podríem afegir un altre que indiqués “Agafi la seva història clínica”.

Intimitat honor imatge, Protecció de dades Intimitat honor imatge, Protecció de dades

Ara que tant es parla i escriu sobre l’Estatut d’Autonomia, i que el tenim a la picota a l’espera del gest enèrgic del botxí, l’he tornat a fullejar a la recerca de la referència sobre el dret a la protecció de dades…

Article 31. Dret a la protecció de les dades personals
Totes les persones tenen dret a la protecció de les dades personals contingudes en els fitxers (…)

…i he recordat un tema que ja em va sorprendre quan vaig llegir l’Estatut per primera vegada, en la versió original, o sigui la versió aprovada inicialment pel Parlament de Catalunya (setembre de 2005), versió mutilada després en diferents episodis. Es tracta de l’absència de referències al dret a la intimitat i, al mateix temps, a l’honor i a la pròpia imatge. La intimitat només apareix circumstancialment, de rebot, a l’article 23, en referència al dret a la salut i al de confidencialitat de les dades que hi fan referència. Cap més esment, tampoc a l’honor i a la pròpia imatge.

Està molt bé que l’Estatut hagi incorporat el nou dret fonamental a la protecció de dades, un nou dret que per cert no està escrit a la Constitució (ai!), però no sembla correcte l’oblit dels drets a l’honor, a la intimitat i a la pròpia imatge considerats com a fonamentals, aquests sí, a l’article 18 de la Constitució. Semblaria com si la inclosió del dret a la protecció de dades hauria estat considerada suficient  i hauria fet innecessària la referència a aquests tres altres drets de la personalitat: intimitat, honor i pròpia imatge.  En definitiva hi ha dues possibilitats:

1.- La intimitat, l’honor i la pròpia imatge no es van incloure pensant que quedaven inclosos
dins el dret a la protecció de dades.

2.- La intimitat, l’honor i la pròpia imatge no es van incloure per un simple oblit.

No sé quina resposta és pitjor. La confussió entre el dret a la protecció de les dades de caràcter personal o a l’autodeterminació informativa i els altres  tres drets (opció 1) és un error gravíssim. La intimitat sovint no té res a veure amb aspectes vinculats a la informació, per exemple la inviolabilitat del domicili és un aspecte que afecta a la intimitat personal i familiar però no a les dades de caràcter personal. O en relació a l’honor, l’insult a una persona pot ser considerada una intromissió contra aquest dret sense cap connexió amb el dret a la protecció de dades. Especialment des de l’aprovació de la Directiva 95/46/CE del parlament europeu i del consell de 24 d’octubre de 1995 relativa a la protecció de les persones físiques en referència al tractament de les dades personals i a la lliure circulació d’aquestes dades, la protecció de les dades personals té entitat jurídica pròpia, diferenciada del dret a la intimitat.

Curiós i sorprenent lapsus, per tant, aquest que tenim en el nostre pobre i aviat més escarransit Estatut. No sé si seríem a temps de demanar a aquests super-homes (i super-dona) que tenen capacitat de decidir en contra de la voluntat dels pobles i dels seus representants, em refereixo als membres del Tribunal Constitucional, si posats a tocar, que sembla que tocaran molt, ens podrien arreglar aquesta qüestió.

Intimitat honor imatge, Protecció de dades Intimitat honor imatge, Protecció de dades

Gràcies a un alumne del Màster en Arxivística i Gestió de Documents (gràcies Alberto) conec la notícia de la denúncia presentada contra el Col·legi de Registradors per el que podríem qualificar d’”excessiva publicitat” del Registre de la Propietat. Els denunciants expliquen que han comprovat una i altra vegada, adreçant sol·licituds a molts registres diferents, que els registres lliuren tota classe d’informació sense haver de justificar la sol·licitud o, fins i tot, justificant-ho posant qualsevol barbaritat. Tal com em diu un amic que treballa en un Registre, la denúncia no és sinó un altre capítol de la guerra oberta de fa temps entre notaris i registradors. Es dóna el cas que el president de la curiosa Asociación de Usuarios de los Registros Públicos denunciadora del cas és un notari directiu del Col·legi de Canàries. En qualsevol cas, els denunciants acusen als registradors de falta de diligència i venen a dir que el que volen és expedir (i cobrar) quantes més notes simples millor, fent passar l’obtenció de guanys per damunt de la reserva que mereix part de la informació que figura en el Registre ,i no prenent en consideració el que diu la normativa.

La normativa de referència és aquí l’art. 332 del Reglamento Hipotecario que en el seu punt tercer avança que

Quien desee obtener información de los asientos deberá acreditar ante el Registrador que tiene interés legítimo en ello.

I sobre l’expedició de notes simples precisa que

La nota simple, deberá reflejar fielmente los datos contenidos en los asientos registrales, sin extenderse más allá de lo que sea necesario para satisfacer el legítimo interés del solicitante y podrá referirse a determinados extremos solicitados por el interesado, si a juicio del Registrador, con independencia de quien sea éste, se justifica suficientemente el interés legítimo, según la finalidad de la información requerida.

D’aquest enunciat es dedueix que:

• No tota la informació que figura al Registre de la Propietat és de lliure accés per a tothom
• El sol·licitant ha de motivar la sol·licitud i indicar quin és l’interès legítim que la justifica
• El Registrador ha de valorar-la i proporcionar la informació en el grau i amplitud necessària i proporcional a l’interès que hagi acreditat el sol·licitant

Així doncs, si no existeix aquest interès que exigeix el Reglament, es podria accedir lliurement a informació descriptiva dels immobles (extensió, ubicació, afrontaments…) i a parer meu també a càrregues existents sobre aquests immobles. No en canvia a altres informacions, com per exemple les dades personals o circumstàncies personals dels titulars de les finques.

En realitat, la necessitat d’acreditar un interès legítim per accedir a dades de caràcter personal és la norma general en qualsevol sol·licitud d’accés a documents dels ens del sector públic. Aquest és el criteri proclamat a l’art. 37.3 de la Llei 30/1992 de règim jurídic de les administracions públiques i del procediment administratiu comú i, òbviament, hauria de ser també el criteri per a la comunicació de les dades personals que figuren en el Registre de la Propietat.

És molt meritori l’esforç que es fa en els Registres per millorar el servei i atendre ràpidament les sol·licituds d’informació. Tan de bo totes les administracions públiques fossin capaces de contestar-les amb la celeritat que ho fa el Registre. Ara potser falta únicament matisar o modular les respostes.

Accés a la informació, Informació pública, Protecció de dades Dret d'accés, Protecció de dades

La regulació de la videovigilància s’ha modificat recentment en un aspecte important. Ens referim a la videogilància privada, no a la videovigilància per a control de trànsit, ni a la instal·lada pels cossos i forces de seguretat. Una de les condicions per a complir amb la legalitat en el cas de la videogilància privada (accessos i espais interiors de centres de treball, d’administracions, de clubs, centres d’ensenyament, etc.) era que la instal·lació dels sistemes de videovigilància l’havia d’efectuar, o bé validar, una empresa de seguretat registrada en el registre estatal o autonòmic (segons l’àmbit de l’empresa) d’empreses dedicades a aquesta activitat. L’empresa, a més, havia de comunicar la realització dels treballs i la celebració del contracte per aquests serveis al cos de policia corresponent, tot d’acord amb la Llei 23/1992, de 30 de juliol, de seguretat privada. Doncs bé, aquesta intervenció d’una empresa de seguretat i la posterior comunicació quee, per cert, molt sovint no era respectada, ha desaparegut a partir de l’entrada en vigor de la Ley 25/2009, de 22 de diciembre, de modificación de diversas leyes para su adaptación a la Ley sobre el libre acceso a las actividades de servicios y su ejercicio. Aquesta Llei, coneguda com a “Llei Òmnibus” afavoreix la competència i desregula diferents activitats i serveis, entre les quals l’activitat de “vender, entregar, instalar y mantener equipos técnicos de seguridad”. De manera que a partir de l’entrada en vigor d’aquesta norma (27 de desembre de 2009), ja no es fa necessària la intervenció d’empresa de seguretat, excepte en el cas que el sistema de videovigilància es connecti a una central d’alarmes.

Per a canviar aquesta regulació la Llei 25/2009 ha modificat la Llei de seguretat privada en el seu article 5 i ha afegit una nova disposició addicional:

DISPOSICIÓN ADICIONAL SEXTA. Exclusión de las empresas relacionadas con equipos técnicos de seguridad.
Los prestadores de servicios o las filiales de las empresas de seguridad privada que vendan, entreguen, instalen o mantengan equipos técnicos de seguridad, siempre que no incluyan la prestación de servicios de conexión con centrales de alarma, quedan excluidos de la legislación de seguridad privada siempre y cuando no se dediquen a ninguno de los otros fines definidos en el artículo 5, sin perjuicio de otras legislaciones específicas que pudieran resultarles de aplicación.

Tot plegat serà ara més fàcil i segurament més econòmic. No obstant la resta d’exigències es mantenen:, essencialment declaració del fitxer, proporcionalitat en els enregistraments, limitació en la conservació de les imatges, informació de que s’enregistren imatges.

Protecció de dades Videovigilància

“Podem dir al propietari d’un pis el nom de les persones que hi figuren empadronades?”. Molts ajuntaments es fan aquesta pregunta perquè són freqüents les peticions de propietaris d’immobles, generalment de pisos en règim de lloguer, que efectivament demanen ser informats de les persones que hi figuren empadronades. Aquestes peticions guarden relació amb problemes entre el propietari i els llogaters, o bé amb denúncies dels veïns de l’escala que s’adrecen al propietari per problemes en la convivència… Una cosa és que el contracte de lloguer incorpori clàusules i advertiments sobre prohibició de subarrendar o de limitació d’usos, i que identifiqui les persones a les que es lloga l’habitatge, i l’altra és que tot això es compleixi a la pràctica. D’aquí que els propietaris s’adrecin a l’Ajuntament buscant informació per poder verificar qui viu en el pis que té llogat. Com molts ajuntaments saben, aquesta informació no es pot donar, encara que el senyor propietari es desesperi. Si seguiu llegint trobareu quin és el criteri majoritari al respecte o, millor dit, el criteri que les agències de protecció de dades han exposat i fet dominant i, al final, la meva modesta opinió que, per cert, és totalment discrepant. Read more…

Accés a la informació, Informació pública, Protecció de dades Dret d'accés, Protecció de dades

Dimecres passat vaig participar a la Jornada sobre l’equilibri entre la recerca històrica i la protecció de dades, organitzada per l’Agència Catalana de Protecció de Dades i celebrada al Parlament de Catalunya. Convidat per l’Agència vaig exposar durant mitja hora una anàlisi de les coses clares i de les que no ho són tant en la normativa vigent en la relació i en la tensió que es produeix entre el dret a la protecció de dades i l’activitat de recerca. La Jornada, molt interessant però amb poc temps per al debat, es va enregistrar en videos que es poden veure i descarregar des del Canal Parlament. La meva intervenció va quedar partida de manera que si algú la vol seguir la trobarà a partir d’1h. 35′  de la part primera, i a la part segona. Aquest és l’enllaç que hi porta.

Arxius, Protecció de dades Arxius, Dret d'accés, Protecció de dades

L’altre dia, en el supermercat, em va tocar un carro de la compra difícil de dominar. Si l’empenyies cap a la dreta cap problema. Si l’empenyies cap a l’esquerra seguia anant cap a la dreta.  Anar endavant o endarrere era també difícil i per anar cap a l’esquerra quasi l’havia d’arrossegar. Agotador! Una cosa semblant em va passar ara fa un parell de dies quan en iniciar la sessió a Facebook em vaig trobar una eina per administrar el meu perfil. Me la vaig trobar jo i 350 milions de persones més, de manera que l’efecte d’aquesta actuació de Facebook i el moviment d’informació personal que ha generat és descomunal. Segons Facebook es tractava de facilitar-te l’administració del teu perfil però, a l’igual que les rodes del meu carro en el supermercat, tot et feia anar cap a una única direcció, en aquest cas cap a donar el màxim de difusió a tota la teva informació personal. Com tots els usuaris de Facebook hauran pogut comprovar les caselles venien marcades per defecte en l’opció que atorgava més publicitat, i l’alternativa es presentava de forma gens clara. Només passant el cursor per sobre apareixia informació de l’opció anterior. Molts usuaris hauran tirat pel dret i hauran acceptat l’opció de barra lliure proposada per Facebook, deixant molt més oberta que abans la seva informació personal, tot sense ser-ne massa conscients. Read more…

Internet, Intimitat honor imatge, Protecció de dades Internet, Intimitat honor imatge, Protecció de dades, Xarxes socials