Tres sentències del Tribunal Suprem de data 15 de juliol han anul·lat els articles 11, 18, 38.1.a, 38.2 i 123.2 del Reglament de desenvolupament de la Llei Orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (RLOPD) i eleven qüestió prejudicial al Tribunal de Justícia de les Comunitats Europees sobre part del contingut de l’article 10 d’aquest mateix Reglament.

Aquí llegireu una breu referència i trobareu el text d’aquestes tres sentències de les quals únicament voldria ara destacar l’excel·lent notícia de l’anul·lació de l’article 18:

Article 18. Acreditació del compliment del deure d’informació
1. El deure d’informació a què es refereix l’article 5 de la Llei orgànica 15/1999, de 13 de desembre, s’ha de portar a terme a través d’un mitjà que permeti acreditar-ne el compliment, i s’ha de conservar mentre persisteixi el tractament de les dades de l’afectat.
2. El responsable del fitxer o tractament ha de conservar el suport en què consti el compliment del deure d’informar. Per a l’emmagatzematge dels suports, el responsable del fitxer o tractament pot utilitzar mitjans informàtics o telemàtics. En particular pot escanejar la documentació en suport de paper, sempre que es garanteixi que en l’esmentada automatització no s’ha produït cap alteració dels suports originals.

L’article 5 LOPD obliga a informar, en el moment d’obtenir dades, de l’existència d’un fitxer, de la finalitat de la recollida, de la possibilitat d’exercir els drets d’accés i els altres reconeguts per la Llei, etc. El Reglament de la Llei va afegir l’obligació d’acreditar documentalment que s’havia informat i de conservar aquest document que ho acreditava. Aquestes obligacions han estat considerades ara pel Suprem com obligacions addicionals introduïdes pel Reglament al marge de la Llei, motiu pel qual han de ser anul·lades.

És una bona notícia el fet que es torni així a la llibertat de forma en el procediment d’informar que derivava de l’art. 5 LOPD. Ara torna a ser suficient, com abans del 19 d’abril de 2008 (data d’entrada en vigor del Reglament LOPD) demostrar que s’informa del que demana l’article 5 amb textos llegibles en el moment de proporcionar les dades o seguint un protocol específic quan s’obtenen verbalment. És en aquest darrer cas, quan les dades s’obtenen verbalment, que el compliment de l’article 18 del Reglament (ara anul·lat) es feia més difícil.  Tinguem present que la recollida de dades de forma verbal, o sigui sense utilització de formularis, és segurament la forma més habitual d’obtenir-les. Complir el Reglament abocava a dues úniques opcions: utilitzar formularis i fer-los omplir i signar d’alguna manera a l’usuari (més temps, més recursos i una certa “dramatització” de la qüestió com cada cop es fa signar un document), o enregistrar la informació donada verbalment. Tot plegat clarament excessiu i desproporcionat en la immensa majoria de casos, atès que això era exigible en qualsevol cas, per exemple en el moment de donar l’adreça electrònica per a ser incorporat a un mailing informatiu.

En el cas de les dades que s’obtenen verbalment, telefònicament per exemple, es produïa la paradoxa que el responsable del fitxer havia d’enregistrar la conversa, informar de que això es feia (l’enregistrament) i conservar aquest enregistrament, de manera que això provocava un efecte contrari als principis de la Llei: s’incrementava innecessàriament el nombre de dades tractades (la veu de l’afectat) que passaven a un altre suport (l’enregistrament) que s’havia de protegir degudament, determinar els accessos possibles, efectuar-ne còpies de seguretat…

Per tot plegat és bona notícia que ara el Suprem ens alliberi de tanta despesa i càrrega de feina, anul·lant aquesta al meu entendre excessiva i desproporcionada exigència. Moltes empreses i administracions que volen actuar d’acord amb la Llei respiraran tranquil·les.

Protecció de dades Protecció de dades

Per Taber http://taberbain.com

S’incrementen aquests dies les consultes al despatx sobre usos de les dades del cens electoral, pel fet que passat l’estiu ens encararem a les eleccions al Parlament i tot plegat es comença a moure. En tres ocasions ens han formulat la curiosa, i interessant (i una mica inquietant), pregunta que figura com a títol d’aquest post: “Poden els interventors que estan a la mesa trucar als que no han vingut encara a votar i animar-los a fer-ho abans no tanqui la mesa?”. El tema que es planteja és saber si és lícit que els interventors representants dels partits polítics d’una mesa electoral, que durant la jornada electoral han anat “puntejant” la seva llista, utilitzin aquesta informació i ja cap a darrera hora, abans de que es tanquin les urnes, truquin als electors afins al seu partit que no havien anat a votar, per animar-los a fer-ho. Això pot passar especialment en municipis petits i es tracta d’una utilització del cens electoral sobre la que ja havia hagut de pensar anteriorment i en relació a la qual em permeto fer un comentari, advertint que és únicament una opinió personal.

Un repàs a la Llei Orgànica del Règim Electoral General permet constatar que en tot moment parla de la utilització del cens electoral de forma molt oberta, sense precisar-ne del tot els usos. Diu en el seu art. 41 que

5. Los representantes de cada candidatura podrán obtener el día siguiente a la proclamación de candidaturas una copia del censo del distrito correspondiente, ordenado por mesas, en soporte apto para su tratamiento informático, que podrá ser utilizado exclusivamente para los fines previstos en la presente ley.

En principi, per tant, qualsevol utilització del cens que coincideixi amb les finalitats de vetllar per la correcció de les eleccions, per exemple verificar que un elector no vota dues vegades, seria correcte. Això permet la pràctica de “puntejar” la llista que cada interventor té. Cap problema per anar fent aquestes marques que els han d’ajudar a fer la seva feina.

Una altra cosa ben diferent és la qüestió de la trucada telefònica animant a anar a votar. Encara que es truqui a un amic, a un parent o a un militant o simpatitzant, està clar que la trucada neix a partir de la informació obtinguda en l’exercici d’una funció determinada i a partir de la llista del cens a la que l’interventor ha tingut accés per a la finalitat ja indicada de control i verificació de la correcció del procés. L’interventor que truca als quasi-absentistes no actua com a tal sinó simplement com a militant o simpatitzant d’un partit, confonent dos papers que no es poden confondre o barrejar.

No he trobat cap denúncia o cas analitzat per les agències de protecció de dades però és evident que l’interventor que truca incompleix el principi de finalitat de l’article 4 LOPD i 8 del Reglament de la Llei: les dades personals només es poden tractar per a les finalitats que en van justificar la recollida i tractament.

En definitiva, si l’interventor té el cens per a vetllar per la legalitat del procés, no el pot utilitzar a interès del partit. Incompliment de la normativa electoral i del principi de finalitat exigit per la normativa de protecció de dades. Intervenir sí. Trucades no.

Protecció de dades Eleccions, Protecció de dades

Acompanyo a una persona a un Centre d’Assistència Primària. El tracte és molt correcte, el local en bones condicions i el personal molt professional. Per això sorprèn tant trobar en el vestíbul la imatge que reprodueixo aquí. A la vista de tothom, sense estar tancades i a l’abast de qualsevol persona que treballi en el centre queden les històries clíniques que es veuen a la prestatgeria. Teòricament haurien d’estar custodiades en un local específic dotat amb sistema de tancament, de manera que es pugués controlar l’accés. Les dades de la història clínica són, no cal dir-ho, de les que més mereixerien ser custodiades amb garanties.

“Agafi el seu torn” diu el rètol, i gairebé en podríem afegir un altre que indiqués “Agafi la seva història clínica”.

Intimitat honor imatge, Protecció de dades Intimitat honor imatge, Protecció de dades

Ara que tant es parla i escriu sobre l’Estatut d’Autonomia, i que el tenim a la picota a l’espera del gest enèrgic del botxí, l’he tornat a fullejar a la recerca de la referència sobre el dret a la protecció de dades…

Article 31. Dret a la protecció de les dades personals
Totes les persones tenen dret a la protecció de les dades personals contingudes en els fitxers (…)

…i he recordat un tema que ja em va sorprendre quan vaig llegir l’Estatut per primera vegada, en la versió original, o sigui la versió aprovada inicialment pel Parlament de Catalunya (setembre de 2005), versió mutilada després en diferents episodis. Es tracta de l’absència de referències al dret a la intimitat i, al mateix temps, a l’honor i a la pròpia imatge. La intimitat només apareix circumstancialment, de rebot, a l’article 23, en referència al dret a la salut i al de confidencialitat de les dades que hi fan referència. Cap més esment, tampoc a l’honor i a la pròpia imatge.

Està molt bé que l’Estatut hagi incorporat el nou dret fonamental a la protecció de dades, un nou dret que per cert no està escrit a la Constitució (ai!), però no sembla correcte l’oblit dels drets a l’honor, a la intimitat i a la pròpia imatge considerats com a fonamentals, aquests sí, a l’article 18 de la Constitució. Semblaria com si la inclosió del dret a la protecció de dades hauria estat considerada suficient  i hauria fet innecessària la referència a aquests tres altres drets de la personalitat: intimitat, honor i pròpia imatge.  En definitiva hi ha dues possibilitats:

1.- La intimitat, l’honor i la pròpia imatge no es van incloure pensant que quedaven inclosos
dins el dret a la protecció de dades.

2.- La intimitat, l’honor i la pròpia imatge no es van incloure per un simple oblit.

No sé quina resposta és pitjor. La confussió entre el dret a la protecció de les dades de caràcter personal o a l’autodeterminació informativa i els altres  tres drets (opció 1) és un error gravíssim. La intimitat sovint no té res a veure amb aspectes vinculats a la informació, per exemple la inviolabilitat del domicili és un aspecte que afecta a la intimitat personal i familiar però no a les dades de caràcter personal. O en relació a l’honor, l’insult a una persona pot ser considerada una intromissió contra aquest dret sense cap connexió amb el dret a la protecció de dades. Especialment des de l’aprovació de la Directiva 95/46/CE del parlament europeu i del consell de 24 d’octubre de 1995 relativa a la protecció de les persones físiques en referència al tractament de les dades personals i a la lliure circulació d’aquestes dades, la protecció de les dades personals té entitat jurídica pròpia, diferenciada del dret a la intimitat.

Curiós i sorprenent lapsus, per tant, aquest que tenim en el nostre pobre i aviat més escarransit Estatut. No sé si seríem a temps de demanar a aquests super-homes (i super-dona) que tenen capacitat de decidir en contra de la voluntat dels pobles i dels seus representants, em refereixo als membres del Tribunal Constitucional, si posats a tocar, que sembla que tocaran molt, ens podrien arreglar aquesta qüestió.

Intimitat honor imatge, Protecció de dades Intimitat honor imatge, Protecció de dades

Gràcies a un alumne del Màster en Arxivística i Gestió de Documents (gràcies Alberto) conec la notícia de la denúncia presentada contra el Col·legi de Registradors per el que podríem qualificar d’”excessiva publicitat” del Registre de la Propietat. Els denunciants expliquen que han comprovat una i altra vegada, adreçant sol·licituds a molts registres diferents, que els registres lliuren tota classe d’informació sense haver de justificar la sol·licitud o, fins i tot, justificant-ho posant qualsevol barbaritat. Tal com em diu un amic que treballa en un Registre, la denúncia no és sinó un altre capítol de la guerra oberta de fa temps entre notaris i registradors. Es dóna el cas que el president de la curiosa Asociación de Usuarios de los Registros Públicos denunciadora del cas és un notari directiu del Col·legi de Canàries. En qualsevol cas, els denunciants acusen als registradors de falta de diligència i venen a dir que el que volen és expedir (i cobrar) quantes més notes simples millor, fent passar l’obtenció de guanys per damunt de la reserva que mereix part de la informació que figura en el Registre ,i no prenent en consideració el que diu la normativa.

La normativa de referència és aquí l’art. 332 del Reglamento Hipotecario que en el seu punt tercer avança que

Quien desee obtener información de los asientos deberá acreditar ante el Registrador que tiene interés legítimo en ello.

I sobre l’expedició de notes simples precisa que

La nota simple, deberá reflejar fielmente los datos contenidos en los asientos registrales, sin extenderse más allá de lo que sea necesario para satisfacer el legítimo interés del solicitante y podrá referirse a determinados extremos solicitados por el interesado, si a juicio del Registrador, con independencia de quien sea éste, se justifica suficientemente el interés legítimo, según la finalidad de la información requerida.

D’aquest enunciat es dedueix que:

• No tota la informació que figura al Registre de la Propietat és de lliure accés per a tothom
• El sol·licitant ha de motivar la sol·licitud i indicar quin és l’interès legítim que la justifica
• El Registrador ha de valorar-la i proporcionar la informació en el grau i amplitud necessària i proporcional a l’interès que hagi acreditat el sol·licitant

Així doncs, si no existeix aquest interès que exigeix el Reglament, es podria accedir lliurement a informació descriptiva dels immobles (extensió, ubicació, afrontaments…) i a parer meu també a càrregues existents sobre aquests immobles. No en canvia a altres informacions, com per exemple les dades personals o circumstàncies personals dels titulars de les finques.

En realitat, la necessitat d’acreditar un interès legítim per accedir a dades de caràcter personal és la norma general en qualsevol sol·licitud d’accés a documents dels ens del sector públic. Aquest és el criteri proclamat a l’art. 37.3 de la Llei 30/1992 de règim jurídic de les administracions públiques i del procediment administratiu comú i, òbviament, hauria de ser també el criteri per a la comunicació de les dades personals que figuren en el Registre de la Propietat.

És molt meritori l’esforç que es fa en els Registres per millorar el servei i atendre ràpidament les sol·licituds d’informació. Tan de bo totes les administracions públiques fossin capaces de contestar-les amb la celeritat que ho fa el Registre. Ara potser falta únicament matisar o modular les respostes.

Accés a la informació, Informació pública, Protecció de dades Dret d'accés, Protecció de dades

“Podem dir al propietari d’un pis el nom de les persones que hi figuren empadronades?”. Molts ajuntaments es fan aquesta pregunta perquè són freqüents les peticions de propietaris d’immobles, generalment de pisos en règim de lloguer, que efectivament demanen ser informats de les persones que hi figuren empadronades. Aquestes peticions guarden relació amb problemes entre el propietari i els llogaters, o bé amb denúncies dels veïns de l’escala que s’adrecen al propietari per problemes en la convivència… Una cosa és que el contracte de lloguer incorpori clàusules i advertiments sobre prohibició de subarrendar o de limitació d’usos, i que identifiqui les persones a les que es lloga l’habitatge, i l’altra és que tot això es compleixi a la pràctica. D’aquí que els propietaris s’adrecin a l’Ajuntament buscant informació per poder verificar qui viu en el pis que té llogat. Com molts ajuntaments saben, aquesta informació no es pot donar, encara que el senyor propietari es desesperi. Si seguiu llegint trobareu quin és el criteri majoritari al respecte o, millor dit, el criteri que les agències de protecció de dades han exposat i fet dominant i, al final, la meva modesta opinió que, per cert, és totalment discrepant. Read more…

Accés a la informació, Informació pública, Protecció de dades Dret d'accés, Protecció de dades

Dimecres passat vaig participar a la Jornada sobre l’equilibri entre la recerca històrica i la protecció de dades, organitzada per l’Agència Catalana de Protecció de Dades i celebrada al Parlament de Catalunya. Convidat per l’Agència vaig exposar durant mitja hora una anàlisi de les coses clares i de les que no ho són tant en la normativa vigent en la relació i en la tensió que es produeix entre el dret a la protecció de dades i l’activitat de recerca. La Jornada, molt interessant però amb poc temps per al debat, es va enregistrar en videos que es poden veure i descarregar des del Canal Parlament. La meva intervenció va quedar partida de manera que si algú la vol seguir la trobarà a partir d’1h. 35′  de la part primera, i a la part segona. Aquest és l’enllaç que hi porta.

Arxius, Protecció de dades Arxius, Dret d'accés, Protecció de dades

L’altre dia, en el supermercat, em va tocar un carro de la compra difícil de dominar. Si l’empenyies cap a la dreta cap problema. Si l’empenyies cap a l’esquerra seguia anant cap a la dreta.  Anar endavant o endarrere era també difícil i per anar cap a l’esquerra quasi l’havia d’arrossegar. Agotador! Una cosa semblant em va passar ara fa un parell de dies quan en iniciar la sessió a Facebook em vaig trobar una eina per administrar el meu perfil. Me la vaig trobar jo i 350 milions de persones més, de manera que l’efecte d’aquesta actuació de Facebook i el moviment d’informació personal que ha generat és descomunal. Segons Facebook es tractava de facilitar-te l’administració del teu perfil però, a l’igual que les rodes del meu carro en el supermercat, tot et feia anar cap a una única direcció, en aquest cas cap a donar el màxim de difusió a tota la teva informació personal. Com tots els usuaris de Facebook hauran pogut comprovar les caselles venien marcades per defecte en l’opció que atorgava més publicitat, i l’alternativa es presentava de forma gens clara. Només passant el cursor per sobre apareixia informació de l’opció anterior. Molts usuaris hauran tirat pel dret i hauran acceptat l’opció de barra lliure proposada per Facebook, deixant molt més oberta que abans la seva informació personal, tot sense ser-ne massa conscients. Read more…

Internet, Intimitat honor imatge, Protecció de dades Internet, Intimitat honor imatge, Protecció de dades, Xarxes socials

L’Agència de Protecció de Dades de Catalunya està en procés de refundació. El Butlletí Oficial del Parlament de Catalunya de 19/10/2009 publicà el text del Projecte de llei de l’Autoritat de Protecció de Dades de Catalunya que acaba d’iniciar així la seva tramitació en seu parlamentària. L’Estatut de 2006 obligava a retocar el text de la Llei 5/2002, de 19 d’abril, de l’Agència Catalana de Protecció de Dades, i el Govern ha aprofitat per fer una revisió a fons d’aquesta institució. El text de l’avantprojecte amplia i clarifica les funcions de la fins ara Agència i aviat Autoritat de Protecció de Dades i la dota de més independència. Read more…

Protecció de dades Protecció de dades

Retrat de 1427, probable representació de Jaume I (MNAC)

S’ha dit molt sovint que la normativa de protecció de dades té una capacitat expansiva. L’omnipresència d’aquesta normativa sovint està justificada però també pot estar motivada per una mala interpretació de la Llei. En aquest sentit sovint arriben al despatx consultes de ciutadans a qui una administració ha denegat accés a determinats documents adduint que hi havia dades de caràcter personal de persones difuntes. Investigadors que porten a terme un treball de recerca, o persones que ho necessiten per a fer un tràmit administratiu, reben de vegades el no a la seva sol·licitud en base a l’argument de la protecció de les dades. Però, ¿és que les dades han de quedar protegides fins el dia del Judici Final quan, aleshores sí, sembla que hi haurà llistes de gran llargària amb indicació dels que han d’anar a la dreta o a l’esquerra, a dalt i a baix? Read more…

Accés a la informació, Protecció de dades Arxius, Documents públics, Dret d'accés, Protecció de dades