Qué decir del Profesor Valero – añado orgulloso: de mi amigo Julián- que no se sepa ya, cuando menos, en el sector… grandísimo profesional, uno de los mayores expertos en nuestro país en temas de e-administración y protección de datos, investigador, culpable en gran medida de mi adicción al dato, y, en este caso, sobre todo, amigo de sus amigos, entre los cuales, tengo el enorme privilegio de encontrarme… Fruto de esta amistad y de la que además mantiene con todos los componentes de Privacidad Práctica, nos brinda esta excelente colaboración… Espero les guste, a mí me ha parecido buenísima.

Luis Salvador Montero

Uno de los principales debates que se están produciendo en las últimas semanas en relación con el uso de la tecnología por parte de las Administraciones Públicas está relacionado con la demanda social de fomentar la transparencia y el acceso a la información que se encuentra en su poder. En este sentido, el Gobierno estatal hizo público un borrador de Anteproyecto de Ley a fin de que por parte de la sociedad civil se hiciesen las consideraciones, sugerencias y propuestas que se considerasen oportunas, de manera que confiamos que dentro de no mucho se proceda a la aprobación de un proyecto de ley por parte del Consejo de Ministros que se remita a las Cortes Generales para su tramitación.

Desde la perspectiva del uso de medios electrónicos en la actividad administrativa resulta oportuno reflexionar en qué medida puede incidir en el acceso y difusión de la información administrativa y, en particular, valorar hasta qué punto el citado Anteproyecto apuesta de manera decidida por fomentar la transparencia aprovechando las ventajas que ofrece la tecnología. Así, al margen de que se puedan formular las solicitudes de acceso a través de los registros electrónicos y previa la tramitación del oportuno procedimiento, nos interesa ahora centrarnos precisamente en los supuestos en que esa exigencia formal no resulta aplicable, ya que en definitiva son esos casos los que mejor ejemplifican las posibilidades de innovación que permite la tecnología y, en consecuencia, los que debieran analizarse por su mayor interés.

En primer lugar hay que partir de la premisa de que la Administración electrónica ofrece, al menos potencialmente, un reforzamiento del acceso a la información por cuanto permite un modelo proactivoen el que no resulta imprescindible que los ciudadanos tomen la iniciativa y requieran ejercer su derecho de acceso sino que, antes al contrario, es la propia Administración quien la difunde. Ciertamente, con carácter general no se requiere una previsión legal para que los poderes públicos en cuyo poder se encuentra la información apuesten por una política activa de difusión de la misma o, en otras palabras, nada impide que voluntariamente decidan ser más transparentes. Sin embargo, el problema radica en que carecemos en España de una cultura social y política que fomente y exija la mayor accesibilidad de la información en poder de las Administraciones Públicas, de manera que no debe sorprendernos el hecho de que la Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos, ni siquiera se tomase la más mínima molestia a la hora de configurar obligaciones precisas de difusión activa de la información a pesar de que la tecnología, como destacábamos anteriormente, permitiría haber realizado una apuesta efectiva porque la Administración fuera más transparente. De ahí que las previsiones del Anteproyecto obligando a la difusión informativa a través del denominado Portal de la Transparencia deban ser valoradas como una avance relevante.

Sin embargo, sorprende que en el Anteproyecto no se plantee en modo alguno la necesidad de ponderar la incidencia que la difusión activa pueda tener desde la perspectiva de la protección de los datos personales en estos casos cuando, por el contrario, sí que ha establecido unas previsiones específicas cuando en el capítulo II se ocupa de regular los supuestos en que el acceso tenga lugar previa solicitud. Se trata, sin duda de una omisión injustificada por diversas razones. En primer, lugar teniendo en cuenta los numerosos problemas prácticos que conlleva la difusión de información administrativa en Internet, tal y como demuestran las diversas tomas de postura de las autoridades de control españolas al respecto y, en concreto, los todavía difusos contornos del llamado derecho a ser olvidado o derecho al olvido. Ahora bien, podría comprenderse esta omisión legal en razón de que el Tribunal de Justicia de la Unión Europea ha de pronunciarse todavía al respecto en la cuestión prejudicial que le ha suscitado la Audiencia Nacional, por lo que una elemental prudencia puede aconsejar esperar hasta el órgano europeo fije los oportunos criterios interpretativos. Sin embargo, aun teniendo en cuenta esta elemental exigencia, lo cierto es que dicho tribunal ya ha tenido ocasión de adelantar su oposición a que tengan lugar políticas activas de difusión informativa generalizadas cuando afecten a datos personales (STJUE 9 de noviembre de 2010), por lo que resulta llamativo que en el Anteproyecto no se plantee siquiera en qué condiciones ha de tener lugar la difusión de información relativa a los adjudicatarios de contratos o los beneficiarios de subvenciones cuando sean personas físicas.

Pero sin duda la principal objeción que podría hacerse al Anteproyecto desde la perspectiva que ahora nos interesa se refiere al modelo de obtención y tratamiento de la información en que se basa: o, en otras palabras, que ni siquiera se plantea las posibilidades de innovación en el actual contexto del open data. A este respecto, el modelo normativo más avanzado que se ha aprobado hasta ahora en España es el que inspira la regulación sobre reutilización de la información del sector público estatal y, en concreto, el Real Decreto 1495/2011, de 24 de octubre, por el que se desarrolla la Ley 37/2007, de 16 de noviembre.

¿Cuáles son las principales características de este nuevo modelo de acceso a la información administrativa que, en última instancia, habrían de tenerse en cuenta en la medida que pueden incrementar notablemente y de forma eficaz la transparencia de las Administraciones Públicas?

1. Del acceso y la reutilización comercial al open data

Aunque la citada normativa se haya dictado en gran medida para fomentar la reutilización comercial de la información administrativa, lo cierto es que este planteamiento que impulsó la Directiva 2003/98/CE, de 17 de noviembre de 2003, se encuentra ampliamente superado. En efecto, esta Directiva pretendía impulsar la creación de un mercado de ámbito europeo a partir del acceso a la información del sector público, tratando de “superar las barreras de un mercado europeo fragmentado estableciendo unos criterios homogéneos, asentados en condiciones equitativas, proporcionadas y no discriminatorias para el tratamiento de la información susceptible de ser reutilizada por personas físicas o jurídicas”. Sin embargo, en el actual contexto económico y político la demanda social de una Administración más transparente se ha superpuesto a la inicial pretensión de dinamizar un sector económico que, en última instancia, se ha convertido en una dimensión más que sin duda ha de ser atendida pero que, no obstante, no puede considerarse prioritaria sin más desde la perspectiva de las regulaciones nacionales.

En efecto, mientras que la competencia de la Unión Europea en la materia se limita en gran medida al impulso del citado mercado, en la perspectiva interna del Estado español las diversas autoridades legislativas y administrativas se están viendo abocadas a tener en cuenta sobre todo la dimensión política de la transparencia del sector público como una ineludible exigencia democrática. Más aún, la accesibilidad de la información en poder de las Administraciones Públicas no sólo se convierte en una exigencia del derecho a saber sino que, incluso, se plantea como una oportunidad para ejercer un mejor control social a partir del desarrollo de aplicaciones informáticas que transforman los datos para prestar un servicio, ya sea de carácter social y gratuito ya sea oneroso y con una finalidad comercial. En consecuencia, en los últimos meses estamos asistiendo a la consolidación del movimiento open data, de manera que ambas perspectivas son igualmente lícitas y, más aún, no pueden ya contemplarse como excluyentes sino, más bien, como dos planteamientos llamados a reforzarse mutuamente.

Ahora bien, la consolidación de estos planteamientos no sólo requiere que la información administrativa se encuentre accesible por medios electrónicos ya que, aun siendo una elemental exigencia, resulta manifiestamente insuficiente si se pretende llevar a cabo una gestión avanzada de la misma que permita incorporarle un valor añadido basado en la innovación de los servicios que se pretenden ofrecer. En consecuencia, no basta con que se reconozca el derecho de acceso a la información por medios telemáticos y, en consecuencia, que los datos se encuentren en soporte electrónico sino que, además, han de estarlo en unas condiciones determinadas: que sean susceptibles de un tratamiento automatizado por parte del reutilizador, que no se impongan restricciones injustificadas por lo que respecta a los fines de los usos posteriores y, sobre todo, que la reutilización tenga lugar de manera gratuita o, en su caso, atendiendo al coste marginal que conlleva la difusión.

2. La aparición de un nuevo intermediario: el prestador de servicios

Así pues, una de las principales notas distintivas de esta modalidad consiste en que el destinatario final no accede directamente a la información en poder de la Administración Pública que dispone de los datos sino que, por el contrario, lo hace a través de un intermediario –el reutilizador‑ que le presta un servicio, ya gratuito, ya oneroso o, incluso, basado en la obtención indirecta de ingresos, como sucede en el supuesto de que se incorpore la publicidad.

En consecuencia, el usuario final de la información ya no requiere formular una solicitud a la entidad pública utilizando los cauces formales de los registros administrativos ni tampoco se ha de tramitar un procedimiento a fin de responder a la demanda de acceso a la información, siendo preciso acudir a otras herramientas que permitan gestionar de forma más dinámica las autorizaciones de acceso y reutilización. Más aún, en la medida que la información puede verse afectada de forma continua y que el servicio de valor añadido normalmente requerirá su actualización, la superación del modelo basado en las solicitudes-autorizaciones para cada caso concreto deviene irremediable y, por tanto, los controles acerca de la procedencia del acceso y la posterior reutilización deberán adaptarse a esta exigencia. En efecto, mientras que cuando el acceso se pretende directamente por los ciudadanos estos han de justificar en muchos casos la finalidad del mismo y, a partir de esa justificación, se procede a llevar a cabo un análisis de la procedencia del acceso, los planteamientos en que se basa este modelo de gestión conllevan necesariamente la exigencia de predeterminar tales condicionamientos pues, de lo contrario, el servicio no podría prestarse en las condiciones técnicas y jurídicas necesarias para satisfacer al usuario final.

La respuesta a estas singularidades viene de la mano de las licencias generales o específicas en función de las características concretas de cada caso, de manera que ni siquiera sea preciso formular solicitud alguna ni, por tanto, obtener una respuesta específica por parte de la Administración. Antes al contrario, esta última declara públicamente que cualquiera, ya sea un intermediario o el ciudadano mismo, puede acceder y reutilizar la información siempre que no contravenga los términos que incorpora la licencia general que, en algunos casos, puede resultar insuficiente, tal y como sucedería cuando sea preciso el pago de una contraprestación. En estos casos, bastaría con que se hubiese materializado el abono de la misma, exigencia que se puede cumplir utilizando sistemas avanzados de pagos electrónicos o, incluso, mediante la satisfacción de cuotas limitadas en base al número de descargas o períodos de tiempo. En todo caso, este modelo supera la tradicional exigencia de un tasa que las Administraciones vienen exigiendo a los ciudadanos para otorgarles el acceso a la información, ya que es el intermediario quien asume el coste asociado sin perjuicio de que posteriormente lo repercuta al usuario, si bien ya no se trataría de un ingreso público y, en consecuencia, el régimen jurídico aplicable varía sustancialmente.

3. Una elemental exigencia técnica: la interoperabilidad

Al margen de las condiciones jurídicas, el acceso ha de producirse en unas determinadas condiciones técnicas ya que, en última instancia, no se trata simplemente de acceder a la información sino, más bien, de que el intermediario pueda ofrecer servicios avanzados de valor añadido a partir de los datos obtenidos de la Administración. En consecuencia, no basta con que la información se encuentre únicamente en soporte electrónico si el formato no permite dicho tratamiento, de manera que desde la perspectiva del open dataresulta manifiestamente insuficiente que la normativa aplicable no reconozca un derecho a que los datos se pongan de manifiesto al reutilizador en condiciones de interoperabilidad que permitan cumplir con dicha finalidad.

Teniendo en cuenta que ni siquiera la Ley 11/2007 ha obligado a todas las Administraciones Públicas a que sus expedientes, registros y bases de datos se encuentren en soporte electrónico, resultaría incluso absurdo obligarles el respeto del Esquema Nacional de Interoperabilidad. No obstante, el citado Real Decreto sí que ha establecido este requerimiento en el ámbito estatal en relación con el cual sí resultan plenamente exigible la digitalización de todos sus trámites desde el año 2010; aunque, claro está, sólo en relación con las actuaciones que se hayan llevado a cabo desde entonces, por lo que ni siquiera podría entenderse aplicable esta previsión a los documentos generados con anterioridad. Más aún, ni siquiera las previsiones del Real Decreto son precisamente muy exigentes, ya que se limita a establecer una mera preferencia, de manera que difícilmente cabe hablar de obligación en sentido estricto, más aún en el actual contexto económico.

De esta elemental constatación y en el actual contexto de crisis económica surge una elemental pregunta: ¿quién habría de asumir el coste que conlleva la adaptación de la gestión administrativa a las exigencias del open data?

4. El diseño de las aplicaciones y la gestión preventiva de la información: una exigencia para la protección de los datos personales

Precisamente, esta última pregunta resulta muy relevante desde la perspectiva de la protección de los datos de carácter personal puesto que, en muchos casos, la información de mayor interés puede estar vinculada a personas físicas identificadas o, al menos identificables, en cuyo caso sería necesaria su autorización o, en su defecto, habilitación legal para permitir el acceso. Ahora bien, cabría pensar que si la información se ofreciese disociada no serían aplicables tales exigencias, lo cual podría conseguirse si a la hora de diseñar las aplicaciones informáticas pudiesen separarse los datos de su titular, tanto en su almacenamiento como en su gestión. Pero nuevamente surge la problemática relativa al coste de llevar a cabo tales adaptaciones, sobre todo si tenemos en cuenta que, al menos de momento, no existe una obligación legal para las Administraciones Públicas en orden a realizar tales adaptaciones en sus sistemas de información.

Pero más allá aún de esta dificultad, también habría que plantearse hasta qué punto en un mundo interconectado como el actual resultaría imposible un tratamiento posterior de la información obtenida que permitiese la identificación del titular de los datos, lo que en última instancia llevaría a considerar que este último sería al menos identificable y, por tanto, las garantías del consentimiento o la habilitación legal resultarían nuevamente aplicables.

Como puede comprobarse, lejos de estar resueltas las dificultades propias del régimen jurídico tradicional del acceso y la difusión de información administrativa, la modernización tecnológica nos ofrece nuevos problemas y desafíos que es preciso abordar desde la perspectiva jurídica si pretendemos que el movimiento del open data ofrezca todo el potencial económico y político al que antes nos referíamos.

Aún así voy a hacer mía una afirmación “prestada”. Sería mejor que cumplieran las 25-50 páginas más visitadas en España.

Y me he tomado la libertad de hacer un pequeño análisis del tipo y número de cookies de una de estas webs más visitadas en España.

Nada más cargar la página principal (sin olvidar el anuncio a página completa), carga “solo” 15 grupos de cookies. A continuación desgloso la titularidad por dominio, indicando también su fecha de caducidad:

• 1 grupo de 5 cookies, son del propio dominio.
  • 2 caducan al cerrar el navegador.
  • 1 caduca al día siguiente.
  • 1 caduca al mes.
  • 1 caduca a los 2 años.
• 3 grupos de cookies (5 en total) son del mismo grupo de empresas a la que pertenece la web.
  • 1 caduca a los 5 años.
  • 4 caducan a los 2 años.
• 11 grupos de cookies de terceros, con un total de 27 cookies. Sus fechas de caducidad oscilan entre 1 día (solo 1 grupo) y dos años.
  • 2 grupos son de estadísticas.
  • 1 grupo de investigación de mercado.
  • 7 grupos de publicidad y adserver.
  • 1 grupo de investigación de mercado.

No está nada mal que con una sola página carguen 38 cookies.

En cuanto al grado de cumplimento de la nueva regulación, como cualquiera podrá adivinar, no cumple ni por asomo, ni con la solicitud del consentimiento, ni con la información de cada una de las cookies o grupos de cookies, en especial con las finalidades de su uso. Tampoco establece ningún mecanismo para oponerse a su instalación, o en su defecto, como puede hacerlo el usuario, en cada uno delos navegadores.

Ni que decir tiene que no cumplen ni las empresas del IBEX 35, ni las webs más visitadas en España, tampoco.

En el Reino Unido se dio un año de plazo para que las empresas se adaptaran a la nueva regulación, plazo que expira el próximo 27 de mayo. Pero un rápido vistazo a las más visitadas, ya va dando muestras de ir adaptando sus políticas de privacidad, de forma más o menos extensa, pero con explicaciones extensas sobre el tipo de cookies y su uso.

Y de muestra este enlace a la BBC.

Enlaces a artículos en medios digitales.

El País:  Las empresas del Ibex 35 incumplen la ‘ley Anticookies’

El Confidencial:  Ninguna de las empresas del Ibex 35 cumple con la ley sobre el uso de ‘cookies’ en Internet

Diario Jurídico: Las empresas del Ibex-35 y principales anunciantes en Internet incumplen la nueva ley anti-cookies

Computerworld: Ninguna de las grandes empresas españolas cumple con la ley “anti-cookies”

Esta polémica se encuentra en tiempo muerto, mientras el Tribunal de Justicia de la Unión Europea encuentra la forma de -permítanme la expresión coloquial- “comerse un marrón” que en opinión de muchos no le correspondería, pero al que presumiblemente no le quedará otro remedio que hincar el diente. Me refiero, por supuesto, a las cuestiones incluidas en el auto que elevó el pasado 27 de febrero la Audiencia Nacional en relación al polémico “derecho al olvido”.

Bien, uno tiene su opinión personal sobre el fondo de cada una de las cuestiones planteadas, en gran medida debido a que ha ido siguiendo todo lo de cerca que ha podido el desarrollo de los acontecimientos por todos los medios a su alcance hasta la difusión del auto, e incluso muchas opiniones posteriores a tal difusión, pero también a la excelente labor de recopilación, reordenamiento y depuración de los argumentos de ambas partes que, en mi opinión, han realizado los redactores del mencionado auto. Pero esta entrada no va de derecho al olvido… aunque toque de refilón el contenido de esa resolución. Este post va, o pretende ir, de las dudas que parece generar la actividad de la filial de Google en España en todos los cuerpos de inspección de este país.

En el auto en cuestión (con origen en un procedimiento sancionador iniciado por la AEPD como consecuencia de la denuncia presentada por un particular contra Google Inc y Google Spain, S.L., y que acabó recurrido por la denunciada)  la Audiencia Nacional, dentro del fundamento jurídico tercero, en su punto 3.2. considera como hecho probado que “el grupo Google utiliza una empresa filial, Google Spain SL, como agente promotor de venta de los espacios publicitarios que se generan en el sitio web del buscador, dicha empresa dirige su actividad fundamentalmente a las empresas radicadas en España. Dicha empresa tiene personalidad jurídica propia y domicilio social en Madrid, y fue creada el 3/09/2003. Actúa como agente comercial del grupo en España y tiene como objeto social “promocionar, facilitar y/o procurar la venta de productos y servicios de publicidad “on line” a través de Internet para terceros, actuando como agente comercial, así como marketing de publicidad “on line” etc..”, dicha empresa contaba con 70 empleados en el 2009.” El subrayado es obra del autor de esta entrada.

Google, en este punto, alega que “hay que separar la actividad mercantil de GOOGLE SPAIN S.L. y la de GOOGLE INC. Esta última es la que gestiona el buscador “Google”, pero al tener su domicilio en California esta fuera del ámbito de aplicación de la normativa española y que solo está sometido a la jurisdicción norteamericana y a la normativa de protección de datos de EEUU. Y respecto a Google Spain SL, entiende que no puede considerarse como un establecimiento a los efectos de aplicar ni la Directiva comunitaria ni la normativa española en materia de protección de datos, pues su actividad no está relacionada con el tratamiento de datos sino que se limita a representar a Google Inc. en el negocio que ésta desarrolla de vender el espacio publicitario disponible en su página Web.”

Y fruto de estas dudas y estos argumentos, la Audiencia formula al TJUE, entre otras, la siguiente cuestión:

“¿Debe interpretarse que existe un “establecimiento”, en los términos descritos en el art. 4.1.a) de la Directiva 95/46/CE, cuando concurra alguno o algunos de los siguientes supuestos: (…)

-       cuando la empresa proveedora del motor de búsqueda crea en un Estado Miembro una oficina o filial destinada a la promoción y venta de los espacios publicitarios del buscador, que dirige su actividad a los habitantes de ese Estado,…”

Por otro lado, hace unos días, por casualidad accedí a una noticia publicada por El País (y ahora me consta que también por otros medios de comunicación que no permiten el acceso gratuito a sus hemerotecas) que en su fecha de publicación -finales del pasado mes de enero- “había escapado de mis garras”, y en la cual, parece que la Agencia Española de Protección de Datos no es la única a la que el modus operandi de Google en relación a su filial en España genera “ciertas dudas”. Al parecer, la Agencia Estatal de la Administración Tributaria también está investigando la actuación de Google Spain, S.L. desde el pasado 21 de enero.

Según los administradores de la mercantil todo es legal y no hay nada “raro” en su actuación, pero destaca la noticia enlazada en la que los propios auditores de Google Spain, S.L. advierten que «la  sociedad forma parte de un grupo internacional, y realiza con empresas del grupo transacciones comerciales significativas”. “En este sentido”, añade, “la totalidad del importe neto de la cifra de negocios del ejercicio 2010 se ha realizado con empresas del grupo”.»

Desde un punto de vista exclusivamente mercantil y fiscal, entiendo que la filial, tal y como además alega, actuará como comisionista pura y dura contratando en España con españoles o residentes publicidad en Google AdWords u otros servicios de pago de la compañía de California (o de su filial de Irlanda donde el tipo impositivo es de los más bajos de la UE, tras Bulgaria y Chipre, al menos en 2010), en nombre y por cuenta de ésta y, por ello, facturará las correspondientes comisiones a su matriz o, como digo, a otras filiales como operaciones intra-grupo, lo cual, a mi juicio, para nada invalida el argumento incluido en el Auto de la Audiencia Nacional… Eso sí, en este caso, imagino que al tratarse de operaciones vinculadas entre empresas del grupo éstas deberían cumplir (por el volumen que les presumo) con la obligación de documentación que la norma fiscal impone (Reglamento del Impuesto sobre Sociedades en este caso), por lo que me generaría cierta intriga “malvada” el origen de las dudas que mueven los procedimientos de inspección iniciados de oficio por la AEAT.

Desde el punto de vista de la protección de datos, este planteamiento, salvando que en principio este servicio de pago de publicidad y/u otros servicios “no gratuitos” parecen más bien destinados a clientes con actividades empresariales y profesionales (y así se reconoce en los hechos probados mencionados) y tocaría lidiar en este caso con el despropósito que supone, en mi opinión, el ámbito subjetivo de aplicación de la normativa vigente para determinar si aplica o no (aunque esto no sería impedimento para que la norma aplique a toda actividad incluida en la excepción doméstica), estaríamos ante un encargo de tratamiento en el que la filial ocuparía la posición de encargado, puesto que a los tratamientos de datos de españoles recabados en España, en principio, y salvando la excepción indicada, sí que le aplicaría esta normativa.  Seguramente este tratamiento podría suponer además una transferencia internacional de datos para el cumplimiento de la relación contractual que quizá debiera estar amparada en el consentimiento del interesado o autorizada por el Director de la AEPD, pero de esto nada se dice en todo el Auto (o yo nal menos, no lo recuerdo). Pero esto, tampoco tendría nada que ver con el “derecho al olvido”, siempre salvo mejor opinión… El tiempo y el TJUE nos dirán si existe o no esta relación.

Esta forma de actuar así parece verse reconocida por la propia Audiencia cuando en el mismo fundamento jurídico ya mencionado, en el siguiente párrafo al ya transcrito indica que “La empresa Google Inc., designó a Google Spain SL como responsable del tratamiento en España de dos ficheros inscritos por Google Inc. ante la AEPD, tales ficheros tenían por objeto contener los datos de las personas relacionadas con los clientes de servicios publicitarios que en su día contrataron con Google Inc.”

Por supuesto repito, nada tiene que ver todo esto con el tema principal del Auto y con el conflicto entre la AEPD y Google,  pero visto lo visto, quizá no estuviera de más que Google se planteara ser “un poco más trasparente en su gestión” para tratar de disipar las dudas que la misma parece despertar en todos los cuerpos de inspección de nuestras Autoridades de Control y quizá así no se tuviera que enfrentar a la constante desconfianza que parece generar allá por dónde pasa.

Muy buenos días…

Imagen: opensourceway

Aprovechando he retomado un artículo de Equi-media, que apoyándose en la recomendación del ICO de hacer una auditoría a las páginas webs sobre las cookies que usa, como medida previa a cualquier paso o medida para cumplir con la Directiva de cookies, transpuesta a nuestro ordenamiento con el Real Decreto-Ley convalidado hoy, y plasmado en la redacción actual de la LSSICE, en su artículo 22.2, ha publicado una guía para auditar las cookies.

El artículo en inglés es “How to do a Cookie Audit”, que plasmo a continuación traducido.

El ICO ha recomendado que todas las empresas con presencia en la web auditar sus cookies en preparación para la Directiva sobre privacidad electrónica.

Hemos escrito una breve guía para que te inicies en la manera de abordar una auditoría de la galleta.

¿Cómo hacer para una auditoría de Cookies

Al realizar su auditoría hay 3 áreas a cubrir, cada uno con su propio método

Cookie	Ejemplo	Cómo auditar
Del lado del cliente	Google Analytics	Uso de la sección de privacidad del navegador, o mejor aún, un plugin de Firefox.
Del lado del servidor	Cesta de la compra, etc internas de seguimiento de la campaña	Sólo su equipo de desarrollo web será capaz de enumerar con precisión e identificar estas mirando el código fuente del servidor.
3 ª Parte etiquetas de contenedores	Tagman, Doubleclick floodlight	Sólo los responsables de las etiquetas de contenedores con precisión pueden enumerar e identificar estas cookies.

Lo que debe incluir en su auditoría

A continuación se presentan los elementos clave que debe registrar como parte de su auditoría de las Cookies:

CookieID	ID de la cookie y como aparece en la caché del navegador
Nombre de Cookies	Etiqueta de la cookie (algo que tiene sentido para la lectura)
1st/2nd/3rd party	Tipo de cookie
Fecha de expiración	¿Cuánto tiempo dura la cookie después de que se active?
Fuente de dominio	Con que Dominio se asocia la cookie
Cobertura del sitio	Las áreas de su sitio web que hacen uso de la cookie
Descripción	Explicación de lo que hace la cookie

Una vez que tenga esta información, usted estará en condiciones de valorar el nivel de intrusión de cada cookie, y demostrar que está tomando la directiva en serio.

Las cookies de sesión

Las cookies que duran sólo el tiempo de la visita de una persona son llamadas cookies de sesión. Cuando se cierra el navegador la información de cookies se ha perdido.

No se trata de “cookies de rastreo” y se utiliza para almacenar temporalmente cualquier cosa que un sitio web puede ser que necesite, por lo general funcional – por ejemplo:

- Cesta de la compra
- Los datos del formulario (por ejemplo, formularios de varias páginas)
- Cualquier tipo de usuario / área de clientes

Dependiendo de cómo un sitio si codificado, las cookies de sesión puede aparecer como una sola cookie, – por ejemplo, en un sitio NET puede ser que parezca “ASP.NET_SessionId” -. Aunque esta cookie de sesión se puede utilizar para toda una serie de propósitos.

Le recomendamos que apunte todos los usos de las cookies de la sesión.

Seguimiento de píxeles o Web Beacons / Web Bugs.

Estas son todas las etiquetas para esencialmente la misma cosa, un píxel de seguimiento 1×1 llamada desde un servidor tercero.

Ellos son los más utilizados por las impresiones de correo electrónico de rastreo y seguimiento de 3 ª parte del editor.

La tecnología detrás de píxeles de seguimiento es complicado y no siempre es el caso de que un píxel de seguimiento dará lugar a una caída de cookie, pero más a menudo que no píxeles y las galletas vienen de la mano.

Le recomendamos que el tratamiento de píxeles de seguimiento como si fueran las cookies en su auditoría.

Google Analytics

Etiquetas GA efectivamente hacer uso de 4/5 galletas – usted puede leer sobre lo que hacen aquí:

http://code.google.com/apis/analytics/docs/concepts/gaConceptsCookies.html

Usted tendrá que analizar cada galleta por separado.

Aunque el futuro de cómo las empresas del Reino Unido técnicamente van a aplicar la Directiva sobre privacidad electrónica sigue siendo poco claro, haciendo una auditoría completa de cookies usted será capaz de demostrar a la ICO que usted está tomando los primeros pasos hacia el cumplimiento de la Directiva.

En relación con la irregularidad que suponía la publicación en abierto de los  listados de proveedores que muchos municipios han colgado en sus respectivas webs para dar pretendido cumplimiento a lo dispuesto en el artículo 4.1 del  Real Decreto 4/2012 de 24 de febrero (y que el pasado 26 de marzo se trató por nuestra parte en la entrada titulada “Quien lo iba decir: el notición de la inmediata liquidación a proveedores de las EELL genera un posible incumplimiento generalizado de la LOPD por los Ayuntamientos”), el diario Expansión ha dedicado en su edición de hoy, 16 de abril, una página completa a este tema.

En dicho artículo, a cuya redacción, por cierto, hemos  contribuido con mayor amplitud de lo que se nos reconoce, se incide en las mismas conclusiones por nosotros expuestas, se recoge el posicionamiento de la AEPD, expresado en su informe jurídico 119/2012, y se resalta la labor de la Federación Española de Municipios y Provincias, que se ha preocupado de informar a sus miembros de cómo debía correctamente ofrecer el acceso a los proveedores exclusivamente a sus datos incluidos en los listados remitidos al Ministerio de Hacienda y Administraciones Públicas, lo que ha servido para que muchos consistorios que en un primer momento ofrecían el libre acceso al listado de proveedores hayan corregido esa incorrección y adoptado una solución respetuosa con la LOPD. No obstante, los articulistas han constatado la existencia todavía de algunos rezagados que no se han enterado.

Por cierto, que el pasado sábado 14 se publicó en el BOE la puesta en marcha del mismo mecanismo extraordinario para pago de deudas con proveedores, pero en esta ocasión de las Comunidades Autónomas. Y en el punto 7º se contempla de nuevo la posibilidad de que el proveedor pueda acceder exclusivamente a la información sobre él incluida en los listados remitidos al Ministerio, con respeto a la normativa vigente en materia de datos de carácter personal:

7. Las Comunidades Autónomas permitirán a los proveedores consultar su inclusión en la relación certificada remitida de acuerdo con el apartado 5 y, en caso de estar incluidos, podrán conocer la información que les afecte con respeto a la normativa de protección de datos de carácter personal.

Los proveedores que no consten en la relación certificada remitida de acuerdo con el apartado 5 del presente Acuerdo, podrán solicitar a la Comunidad Autónoma deudora la emisión de un certificado individual.

El certificado individual se expedirá por la Intervención general de la Comunidad Autónoma en los términos y con el contenido previsto en el artículo anterior en el plazo de 15 días naturales desde la entrada de la solicitud en el registro de la Comunidad Autónoma. Transcurrido el mencionado plazo sin que se hubiera rechazado la solicitud, se entenderá reconocido el derecho de cobro por silencio positivo en los términos previstos en la solicitud.

En los cinco primeros días hábiles de cada mes, el Interventor General de la Comunidad Autónoma comunicará al Ministerio de Hacienda y Administraciones Públicas una relación de las solicitudes de certificados individuales presentados, los certificados expedidos, las rechazadas y las solicitudes no contestadas, correspondientes al mes inmediato anterior. Las Comunidades Autónomas permitirán a los proveedores consultar su inclusión en esta información actualizada y, en caso de estar incluidos, podrán conocer la información que les afecte con respeto a la normativa de protección de datos de carácter personal.

Vista la experiencia de las corporaciones locales y toda la información generada al respecto por la AEPD, la FEMP, nuestro propio artículo y el de Expansión, esperemos que en esta ocasión nadie meta la pata.

Obtenidas las oportunas autorizaciones, ofrecemos la posibilidad de descargar íntegro el artículo publicado por Expansión  desde este enlace.

Jorge Salgueiro, Vicepresidente ejecutivo de AECRA, la Asociación Europea de Profesionales para el conocimiento y regulación de actividades de Seguridad Ciudadana, nos ha remitido, para su publicación en nuestro blog, un dictamen jurídico relativo a  la Orden INT/317/2011, de 1 de febrero, sobre medidas de seguridad privada, publicada en el BOE de 18 de febrero de 2011 y en vigor desde el 18 de agosto de 2011.

Podéis descargar el documento desde este enlace

Introducción.

En fechas recientes la Agencia Española de Protección de Datos ha puesto en su web a disposición de las Administraciones públicas una herramienta llamada DISPONE, pensada como ayuda para la generación de la disposición de creación, modificación y/o supresión de ficheros de datos de carácter personal de Titularidad Pública exigida en el artículo 20 de la LOPD.

Curioseando el funcionamiento de dicha herramienta, hemos decidido recorrer su contenido simulando ser un Ayuntamiento interesado en aprovechar la misma para la generación de una disposición de creación de un fichero. Y así, en el apartado relativo a la forma de la disposición a elaborar vemos que la Agencia ha previsto diversas posibilidades, tales como acuerdo; acuerdo del pleno; decreto de Alcaldía; edicto; ordenanza; orden; resolución…

Ello no hace sino responder, entendemos, a la casuística que en la práctica se ha ido encontrando la Agencia en cuanto a la forma que revisten los acuerdos o disposiciones de creación, modificación o supresión de ficheros que han ido notificado a lo largo de estos años distintas Corporaciones locales.

Ahora bien, la pregunta que nosotros nos planteamos es si esa realidad fáctica se ciñe a las exigencias de forma previstas en la LOPD y su RDLOPD para la creación, modificación o supresión de ficheros de datos de carácter personal titularidad de Administraciones Públicas y, más concretamente, de las Corporaciones locales. Intentaremos a lo largo de estas líneas dar respuesta esta cuestión.

La opinión de la doctrina.

El artículo 20 de la LOPD determina que los ficheros de datos de carácter personal de las Administraciones Públicas solo podrán crearse, modificarse o suprimirse por medio de disposición de carácter general publicada en el Boletín o Diario oficial correspondiente.

¿Podría valer, en vez de una disposición de carácter general, un acto administrativo de carácter general? En palabras de Julián Valero Torrijos y José Antonio López Pellicer, en su artículo “Algunas consideraciones sobre el derecho a la protección de datos personales en la actividad administrativa”, publicado en la Revista Vasca de Administración Pública, nº 59, año 2001

…”Debe destacarse la exigencia de que sea una disposición normativa de carácter general la que autorice la creación, modificación o supresión del fichero, de manera que no bastaría únicamente con el recurso de acudir a un mero acto administrativo de carácter general”.

¿Y por qué? Los citados autores no lo dicen, pero lo explica muy bien Manuel Fernández Salmerón, en su obra “La Protección de los datos personales en las Administraciones Públicas”, publicada por la APDCM y Thomson Civitas:

“La definición característica de las disposiciones generales frente a los meros actos administrativos, aún los de formulación general, en nuestro ordenamiento se centra en la cualidad de la abstracción. Esta nota fundamental es la que permite explicar, entre otros, el decisivo principio de inderogabilidad singular de los reglamentos [apuntamos aquí, como bien dice en un momento anterior el mismo autor, que “reglamento” es el término convencional con el que en nuestro ordenamiento se denominan a las disposiciones de carácter general, tengan o no naturaleza propiamente reglamentaria o gubernativa], de modo tal que sólo las disposiciones que presentan una formulación abstracta, esto es, que son susceptibles de ser aplicadas, o de ver verificado su supuesto de hecho, en un número previamente indeterminado de ocasiones sucesivas, pueden decirse disposiciones de carácter general. Pues bien, si atendemos al contenido exigido por el artículo 20.2 LOPDP a las disposiciones de creación o modificación de ficheros, comprobaremos que el mismo dota a la actuación administrativa formal así aprobada y publicada de una formulación abstracta. En definitiva, la disposición contiene una disciplina del fichero de datos personales susceptible de verificarse y aplicarse indefinidamente.”

Aclarado lo anterior, deberemos preguntarnos quién puede aprobar entonces esa disposición de carácter general. Citando nuevamente a Fernández Salmerón,

“Sólo pueden disponer la creación, modificación e incluso supresión de ficheros aquellas autoridades que tengan atribuida por el ordenamiento la potestad de dictar disposiciones de carácter general, esto es y aunque se trate de un término equívoco, que estén dotadas de la que se conoce como potestad normativa.”

¿Y cómo lo determinamos? ¿Cómo sabremos quien puede aprobar en nuestro Ayuntamiento esa disposición de carácter general?

El artículo 53.3 RDLOPD nos marca el camino: “Acuda usted a la legislación específica sobre entidades locales, hombre”

La normativa de elaboración y aprobación de disposiciones de carácter general por parte de los Ayuntamientos.

De esta forma llegamos a la Ley 7/1985, de 2 de abril, reguladora de las Bases del Régimen Local, cuyo artículo 4.1.a) determina que

“En su calidad de Administraciones públicas de carácter territorial, y dentro de la esfera de sus competencias, corresponden en todo caso a los municipios, las provincias y las islas:

a) Las potestades reglamentaria y de auto organización.”

Y, posteriormente, en su artículo 22.1.d) señala que es competencia del Pleno de la Corporación:

“d) La aprobación del reglamento orgánico y de las ordenanzas”.

Más claramente expresado, si cabe, en el artículo 123 d), dentro del Título X (Ayuntamientos de gran población), que establece como atribución del Pleno:

“d) La aprobación y modificación de las ordenanzas y reglamentos municipales”.

Y, en la misma línea, el artículo 50 del Real Decreto 2568/1986, de 28 de noviembre, por el que se aprueba el Reglamento de Organización, Funcionamiento y Régimen Jurídico de las Entidades Locales, que determina, entre las competencias del Pleno

“Aprobar el reglamento orgánico, las ordenanzas y demás disposiciones de carácter general que sean de la competencia municipal.”

Por tanto, el órgano competente para aprobar la disposición general de creación, modificación o supresión de ficheros de datos de carácter personal de titularidad municipal es el Pleno de la Corporación y no otro órgano, como bien dice, de nuevo, Fernández Salmerón:

“…Esta importante precisión supone, por ejemplo, que en los Entes locales no puedan crear, modificar o suprimir ficheros los Alcaldes o Presidentes, ni otras autoridad, sino sólo el Pleno de las respectivas corporaciones.”

El siguiente paso es analizar si esa disposición de carácter general tiene que adoptar la forma de Reglamento o de Ordenanza. Los Reglamentos tienen como objetivo regular la organización interna así como la prestación de servicios de la Corporación, mientras que las Ordenanzas se aprueban en el ejercicio de las competencias municipales asumidas y con efectos hacia los ciudadanos (administrados).

En este sentido, podemos citar a José L. Blasco Díaz (“Ordenanza municipal y ley”) que afirma que “es vigente la clasificación que a su vez realizó Marques Carbó, L (“Colección ordenada de reglas que elaboren los Ayuntamientos para su régimen interior, para el régimen jurídico de sus funcionarios o para la eficiente prestación de sus servicios”) con tres ejemplos: Reglamento orgánico, Reglamento del Cuerpo de la Policía municipal o Reglamento sobre la prestación del servicio domiciliario de agua potable. En otras palabras: organización interna, regulación de los empleados públicos y derechos y obligaciones respecto a los ciudadanos.”

Esta cuestión está expresada de manera muy clarividente por el artículo 106 de la Ley 20/2006 Islas Baleares, según el cual:

“1 Las disposiciones generales aprobadas por las entidades locales en el ejercicio de la potestad reglamentaria y en el ámbito de su competencia adoptan la denominación de reglamentos, si tienen por objeto regular la organización, el funcionamiento de la entidad local y la prestación de los servicios públicos, y, de lo contrario, la de ordenanzas.

2 Las ordenanzas y los reglamentos de las entidades locales se integran en el ordenamiento jurídico con sujeción a los principios de jerarquía normativa y de competencia.

3 Lo dispuesto en las ordenanzas y los reglamentos vincula por igual a los ciudadanos y a las ciudadanas y a la entidad local, sin que ésta pueda dispensar individualmente de su observancia.”

Atendiendo a lo expuesto, se nos antoja como más adecuada la forma de ordenanza, tal y como sostienen Fernández Salmerón

…”sólo el Pleno de las respectivas corporaciones, a través de la correspondiente ordenanza, ex artículos 22.1d) y 33.1.b LBRL y demás disposiciones concordantes”.

O, también, Mª Asunción Alonso Durán en sus comentarios al artículo 53 RDLOPD en la obra colectiva “Protección de datos. Comentarios al Reglamento”, Lex Nova:

“…en el caso de las entidades locales, no cabe duda alguna de que la forma y competencia vendrá encuadrada por el ejercicio de la potestad reglamentaria de la entidad –artículo 4.1.a) de la LRBRL− y habrá de efectuarse por ordenanza.”

¿Qué postura tienen las Autoridades de Control sobre este tema?

En cuanto a la Agencia Española de Protección de Datos (AEPD), después de mucho rebuscar, hemos encontrado un informe jurídico, el 260/2008, del que deducimos que se inclina también por la forma de ordenanza.

En cambio, la Agencia de Protección de Datos de la Comunidad Autónoma de Madrid (APDCM) y la Autoritat de Protecció de Dades de Catalunya (APDCAT) se muestran más flexibles, dado que si bien parece que debe tener preponderancia la ordenanza, dan pie a la aprobación por medio de otras disposiciones de carácter general.

Así, en cuanto a lo que respecta a la APDCM, el artículo 4.4 del Decreto 99/2002, de 13 de junio, por el que se Regula el procedimiento de elaboración de disposiciones de carácter general de creación, modificación y supresión de ficheros que contienen datos de carácter personal, así como su inscripción en el Registro de Ficheros de Datos Personales (BO. Comunidad de Madrid 20 junio 2002, núm. 145) establece que:

“Corresponde a cada uno de los Entes que integran la Administración Local del ámbito territorial de la Comunidad de Madrid la competencia para la creación, modificación y supresión de sus ficheros, mediante la aprobación de la correspondiente ordenanza municipal o cualquier otra disposición de carácter general, en los términos previstos en la Ley 7/1985, de 2 de abril, Reguladora de Bases de Régimen Local y, en su caso, en la legislación autonómica.”

Y en cuanto a la APDCAT, en su Recomendación 1/2011 sobre la creación, modificación y supresión de ficheros de datos de carácter personal de titularidad pública nos dice que

“En el ámbito de la Administración Local y los entes públicos vinculados o dependientes de los entes locales, los ficheros se pueden aprobar por Ordenanza o Reglamento del pleno de la corporación.”

Además, en el ámbito de control de ambas Autoridades, nos encontramos dos excepciones:

Así, en el caso del Ayuntamiento de Madrid, el artículo 17.1.l de la Ley 22/2006 de Capitalidad de la Villa de Madrid ha previsto que la creación, modificación y supresión de ficheros de ese Ayuntamiento se realice mediante Acuerdo de la Comisión de Gobierno. Esta opción también la permite la APDCAT respecto al Ayuntamiento de Barcelona, incluyendo además la posibilidad de que el acto en cuestión se realice por la Alcaldía.

Estas excepciones podrían estar justificadas desde un punto de vista organizativo y de gestión, ya que se trata de grandes Ayuntamientos con un gran aparato burocrático similar al que tienen las Comunidades Autónomas. Piénsese, en términos comparativos, que sería como si en el ámbito autonómico los ficheros fuesen creados, modificados o suprimidos por un Decreto de Consejo de Gobierno de la correspondiente Comunidad Autónoma. Añádase las dificultades de introducir en el “Orden del Día” del Pleno de los Ayuntamientos citados la aprobación de una ordenanza de creación, modificación o supresión de ficheros.

Procedimiento para la aprobación de una Ordenanza.

Consideramos también importante el respeto de todos y cada uno de los pasos que conforman el procedimiento descrito en el artículo 49 de la Ley de Bases de Régimen Local para la aprobación de esa Ordenanza

a. Aprobación inicial por el Pleno.

b. Información pública y audiencia a los interesados por el plazo mínimo de treinta días para la presentación de reclamaciones y sugerencias.

c. Resolución de todas las reclamaciones y sugerencias presentadas dentro del plazo y aprobación definitiva por el Pleno.

En el caso de que no se hubiera presentado ninguna reclamación o sugerencia, se entenderá definitivamente adoptado el acuerdo hasta entonces provisional.

Además, según el 196.2 del ROF:

“2. Las ordenanzas y reglamentos, incluidas las normas de los planes urbanísticos, se publican en el Boletín Oficial de la Provincia y no entran en vigor hasta que se haya publicado completamente su texto y haya transcurrido el plazo previsto en el artículo 65.2 de la Ley 7/1985, de RBRL. Idéntica regla es de aplicación a los Presupuestos, en los términos del artículo 112.3 de la misma Ley.”

Conclusiones.

Ponga el lector en relación todo lo expuesto con lo que hemos dicho al principio: la realidad nos indica que muchos actos de creación, modificación o supresión de ficheros se toman por el órgano inadecuado o bajo forma no pertinente.

En la práctica, la AEPD los admite todos y no suele poner “peros”, priorizando o primando la voluntad de esos consistorios en cumplir con sus obligaciones derivadas de la LOPD frente a esas irregularidades.

Pero debemos ser conscientes de que si esas irregularidades se someten al criterio de los órganos de Justicia, muy probablemente la corporación municipal se lleve un disgusto, puesto que si bien no hay muchos hasta la fecha, lo cierto es que los pronunciamientos judiciales que hemos localizado al respecto se muestran bastante rigurosos en cuanto a la forma y al órgano adoptante.

Así, podemos citar las siguientes resoluciones:

-Sentencia de la Sala Tercera del Tribunal Supremo de 5 de diciembre de 2008 que confirma una Sentencia del TSJ de la Comunidad Valenciana que había declarado nula la disposición de carácter general de creación del fichero “Registro de establecimientos y servicios sanitarios de atención farmacéutica” por haberse omitido el informe preceptivo del Consejo Consultivo de esa Comunidad Autónoma.

-Sentencia de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional de 2 de diciembre de 2010, que anula la resolución de la AEPD al considerar que el sancionado no era el órgano responsable para aprobar la disposición de carácter general de creación de un fichero de videovigilancia.

“Para ello, y a falta de regulación expresa en la Instrucción 1/2006 de la AEPD, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras, debe partirse del concepto de responsable del fichero o del tratamiento, contenida en el artículo 3.d) de la LOPD y en el 5.1 q) del Real Decreto 1720/2007, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999.

Entiende la AEPD, y con ella el Abogado del Estado en la contestación a la demanda, que es el Ayuntamiento de Málaga tal responsable del fichero, en cuanto persona jurídica titular del espacio donde se encuentran instaladas las tres videocámaras, al ser dicha entidad la que decide sobre la finalidad, contenido y uso del citado tratamiento.

Añade el Abogado del Estado, además, que ello viene avalado porque dicho Ayuntamiento se encargó de la gestión de la solicitud de autorización y de sus renovaciones y corrió con los gastos derivados de la referida instalación.

Considera esta Sala, sin embargo, en contra de dicha argumentación y de acuerdo con las consideraciones de la parte actora en la demanda, que tal responsabilidad incumbe al Cuerpo Nacional de Policía, pues ha quedado probado en las actuaciones, a través de la documental obrante en el expediente administrativo, que en definitiva ha sido dicha Policía Nacional, y no el Ayuntamiento, quien ha decidido sobre la finalidad , el uso y el tratamiento de las imágenes de la vía pública grabadas a través del sistema de videovigilancia instalado en el centro histórico de Málaga.”

Sentencia de la Sala de lo Contencioso-Administrativo del Tribunal Superior de Justicia de Madrid de 10 de diciembre de 2010 sobre cumplimiento de los trámites normativos en la creación de ficheros de videovigilancia de varios Institutos de Educación Secundaria.

“De la transcripción literal del artº 4 de la Ley 8/2001 de 13 de julio y artº 6 del Decreto 99/2002, de 13 de junio, antes expresada, y que recoge la Administración demandada, disponen que “la creación de ficheros de datos de carácter personal deberán indicar, en todo caso, la finalidad del fichero y los usos previstos para el mismo.” Del examen de esta normativa se desprende que la Orden impugnada cumple con todas las exigencias de contenido establecidas en la misma, y así, en lo relativo a la finalidad del fichero y los usos previstos del mismo, la Orden se refiere a “Imágenes del entorno e interior del inmueble por motivos de seguridad”, entendiendo que tal delimitación es suficiente para concretar cuál es la finalidad, motivos de seguridad, y los usos de estos ficheros, la captación de imágenes del entorno e interior de los centros respectivos, siendo en los informes previos sobre necesidad y oportunidad del tratamiento de las imágenes por cámaras o videocámaras, donde se concretan específicamente los usos que en cada centro educativo se van a dar, sin que sea necesario ni exigible que la Orden alcance otro grado de detalles.

Por otro lado, la Orden impugnada también cumple con los requisitos legales de Informes previos preceptivos por parte de la Secretaría General Técnica de laConsejería de Educación y de la Agencia de Protección de Datos de la Comunidad de Madrid, pues tales informes constan en el expediente administrativo sin que la normativa ya invocada en esta materia exija un contenido concreto de los mismos, bastando para su emisión favorable que hayan tenido acceso previo a los informes justificativos emitidos por cada uno de los responsables del fichero en cuestión, y hayan considerado que los mismos cumplen con todos los requisitos de idoneidad, necesidad y proporcionalidad exigidos por la normativa.”

Ahora bien, cabe preguntarse si, en el fondo, resulta práctica la exigencia de que la creación, modificación o supresión de ficheros de datos de carácter personal de los Ayuntamientos exija la forma de ordenanza, sobre todo pensando en los supuestos de ulterior creación de nuevos ficheros (por ejemplo por la asunción de nuevas competencias), modificación o supresión, que, entendemos que necesitarían de un procedimiento más ágil, dinámico y expeditivo que uno que necesita de aprobación inicial, información pública, resolución de alegaciones y aprobación definitiva.

Pensemos por ejemplo, en la habitual y típica remodelación de áreas de una Corporación municipal que suele llevar a cabo el nuevo equipo de Gobierno tras la celebración de elecciones municipales, en las que se crean nuevos departamentos, se fusionan otros o desaparece alguno pasando sus competencias a ser responsabilidad de otro.

Todo eso supone, desde el punto de vista de la protección de datos de carácter personal, una modificación de la estructura de los ficheros responsabilidad del consistorio (sobre todo, entendemos, en lo que hace referencial al concreto órgano administrativo responsable y servicio o unidad ante el que ejercitar los derechos ARCO), por lo que habrá que adecuar la misma y notificar esos cambios al ente de control competente, nacional o autonómico. Y si para ello debe seguirse el procedimiento establecido para la creación de la ordenanza, con aprobación inicial, información pública, resolución de alegaciones y aprobación definitiva…pues no se hará, como así resulta fácilmente comprobable si el lector coteja la estructura de los ficheros declarados por cualquier consistorio con su actual organización.

No obstante, una solución sería que la norma reglamentaria que establezca la nueva estructura municipal puede considerarse como la norma habilitante para realizar la modificación de ficheros. Al menos, así lo ha entendido la APDCM ya que el Decreto 99/2002 respecto a los cambios de estructura de la Administración autonómica en su Disposición Adicional Primera establece:

“Primera.- Cambio de responsable de fichero

Si de conformidad con lo previsto en el artículo 19.3 de la Ley 1/1983, de 13 de diciembre, de Gobierno y Administración de la Comunidad de Madrid, se acuerda, mediante Decreto del Presidente de la Comunidad de Madrid o del Consejo de Gobierno de la Comunidad de Madrid, el cambio de estructura orgánica de las Consejerías, dicho cambio puede implicar una modificación en los responsables de los ficheros declarados al Registro de Ficheros de Datos Personales, o también puede generar la creación o supresión de ficheros con los subsiguientes cambios de responsable, derivados a su vez de la creación de nuevas Consejerías o la supresión de las ya existentes.

Una vez se produzcan los cambios estructurales descritos en el apartado anterior, y únicamente, para aquellos ficheros que dispongan de un idéntico contenido variando solamente en cuanto a su responsable, el Decreto de estructura aprobado, será a su vez la disposición de carácter general prevista en el artículo 3, que habilite para realizar las nuevas inscripciones o supresiones, o las correspondientes modificaciones de responsables en el Registro de Ficheros de Datos Personales de la Agencia de Protección de Datos de la Comunidad de Madrid. Para ello, será necesario que, por los nuevos responsables se proceda a través del impreso oficial de notificación de inscripciones, a la declaración de la creación o supresión de ficheros, o de la modificación de los responsables declarados, debiendo acompañar necesariamente copia del Decreto de modificación de la estructura orgánica. Para poder realizar tales actuaciones, la Agencia podrá solicitar del nuevo responsable del fichero cuanta información considere necesaria.”

En lo que a este artículo interesa, transpone la Directiva 2009/136/CE del parlamento europeo y del consejo, de 25 de noviembre de 2009, por la que se modifican la Directiva 2002/22/CE relativa al servicio universal y los derechos de los usuarios en relación con las redes y los servicios de comunicaciones electrónicas, la Directiva 2002/58/CE relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas y el Reglamento (CE) no 2006/2004 sobre la cooperación en materia de protección de los consumidores.

Su artículo 4 recoge la modificación de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.

En lo referente a las cookies, el artículo 4.3 del Real Decreto-ley, da una nueva redacción al artículo 22.2 de la LSSICE, que ponemos en comparativa con el anterior.

Artículo 22, redacción anterior	Artículo 22, redacción tras Real Decreto-Ley 13/2012
2. Cuando los prestadores de servicios empleen dispositivos de almacenamiento y recuperación de datos en equipos terminales, informarán a los destinatarios de manera clara y completa sobre su utilización y finalidad, ofreciéndoles la posibilidad de rechazar el tratamiento de los datos mediante un procedimiento sencillo y gratuito.	2. Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
	Cuando sea técnicamente posible y eficaz, el consentimiento del destinatario para aceptar el tratamiento de los datos podrá facilitarse mediante el uso de los parámetros adecuados del navegador o de otras aplicaciones, siempre que aquél deba proceder a su configuración durante su instalación o actualización mediante una acción expresa a tal efecto.
Lo anterior no impedirá el posible almacenamiento o acceso a datos con el fin de efectuar o facilitar técnicamente la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.	Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.»

El artículo 5.3 de la Directiva 2002/58/CE, con la redacción dada por la Directiva 2009/136/CE:

3. Los Estados miembros velarán por que únicamente se permita el almacenamiento de información, o la obtención de acceso a la información ya almacenada, en el equipo terminal de un abonado o usuario, a condición de que dicho abonado o usuario haya dado su consentimiento después de que se le haya facilitado información clara y completa, en particular sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Directiva 95/46/CE. Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación a través de una red de comunicaciones electrónicas, o en la medida de lo estrictamente necesario a fin de que el proveedor de un servicio de la sociedad de la información preste un servicio expresamente solicitado por el abonado o el usuario.

Como se puede apreciar, el gran cambio (por fin, llega con algún que otro mes de retraso) es el paso de información clara, a consentimiento tras información.

Y tal como ya hemos analizado en anteriores entradas:

No obstante, es importante resaltar la última parte de este párrafo, que es la prestación de un servicio expresamente solicitado por el usuario. Esto va a permitir a todos las tiendas o webs donde el usuario se registre previamente, y se identifique para poder acceder, la utilización de cookies propias o variables de sesión, imprescindibles para el buen funcionamiento de estos servicios. Pero tanto el usuario como el prestador (sobre todo este último), deben establecer medidas para que estas variables de sesión se eliminen al cerrar la sesión. Lamentablemente de forma muy extendida, esto solo sucede cuando el usuario cierra el navegador, no solo la pestaña abierta de la página en la que se identificó. Pero se puede avanzar un poco más estableciendo el cierre de sesión tras varios minutos de inactividad (habitual en entidades financieras).

¿Y de dónde sale la referencia a navegadores u otras aplicaciones? En la Directiva aparece en el considerando 66, pero no en su articulado.

Y por si fuera poco, va en contra de la opinión del GT29 en su dictamen 2/2010:

“El considerando 66 de la Directiva sobre privacidad en las comunicaciones electrónicas señala que el consentimiento del usuario puede expresarse utilizando la configuración adecuada de un buscador u otras aplicaciones, «cuando sea técnicamente posible y eficaz, con arreglo a las disposiciones correspondientes de la Directiva 95/46/CE». Esto no supone una excepción al artículo 5, apartado 3, sino un recordatorio de que, en dicho entorno tecnológico, el consentimiento puede darse de modos diferentes, cuando sea técnicamente posible y eficaz y de acuerdo con los demás requisitos pertinentes del consentimiento válido.”

Actualmente 4 navegadores son los más usados (97,4 % según la estadística de Statcounter de marzo de 2012).

Si comprobamos la configuración por defecto de los mismos con respecto a aceptar o no cookies, podemos ver lo siguiente:

Firefox versión 11. Accedemos al menú “Opciones”, “privacidad”, y aparece “Recordar historial”.

Si queremos cambiar a la opción correcta, debemos cambiar a “Usar una configuración personalizada para el historial”, y desactivar “Aceptar cookies”. O “Aceptar cookies” con la opción “preguntar siempre”.

Más información en soporte online de Firefox.

Google Chrome 18. Accedemos a “Configuración”, “Avanzada”, “Configuración de contenido”. Por defecto aparece marcado “Permitir que se almacenen datos locales (recomendado)”.

Para no permitir las cookies, habrá que cambia a la opción “No permitir que se guarden datos de los sitios”.

Safari 5. En el menú “Herramientas”, “Preferencias”, podemos ver que tiene activado por defecto “de publicidad y terceros”.

Para impedir la instalación de cookies, tendremos que cambiar a la opción “nunca”.

Internet Explorer 9. En “Opciones de Internet”, pestaña “Privacidad”, tiene como opción predeterminada “Media”, que bloquea algunas cookies de terceros y restringe algunas cookies de terceros.

Por lo tanto, en mi opinión el legislador español ha ido más allá de lo que tocaba, incorporando demasiado pronto en la LSSICE el segundo párrafo referente a que la configuración de los navegadores con opciones marcadas por defecto de que no acepten cookies, no es válido. Y podemos añadir, que aunque parezca extraño, como podemos ver en el siguiente gráfico, los usuarios tardan en actualizar a las últimas versiones de los navegadores.

Gráfico 2. Navegadores por versión es España en marzo de 2012

Si este párrafo se refiere a opciones similares a la que todos hemos visto, como configurar este navegador como predeterminado, pero referido a “no acepto cookies”, habrá que ver como funciona, pero esto no existe tampoco ahora.

Y en cuanto a otras aplicaciones, solo se me ocurre el uso de plugins o complementos, como “Do not track plus”. Solo veo que sería factible si todos los navegadores en una actualización, lo incluyeran activado.

Pero tanto esta última opción, como la de que los navegadores restrinjan el uso la inclusión de cookies, no es bien vista por los fabricantes de los mismos. Y de muestra, una visita al blog de Mozilla.

El ICO (autoridad de protección de datos británica), ya ha implementado la directiva en su web, con un aviso en su cabecera, para aceptar o no sus cookies (propias, no de terceros).

El artículo 43 de la LSSICE le da la competencia sobre las infracciones del artículo 38.4.g)[i] de la misma ley, a la Agencia Española de Protección de Datos.

Viendo los pasos dados por el ICO, sería deseable que la AEPD estableciera ejemplos de mecanismos válidos para el cumplimiento del nuevo marco legal, y también sería un gran paso, conseguir que los CMS (software de mantenimiento de contenido, como wordpress, Joomla o Drupal) facilitaran a empresas y desarrolladores de webs incorporar las adaptaciones oportunas.

Este tema ha sido tratado en otros blogs, de los que pongo los enlaces a continuación.

Entre códigos civiles y ANDROIDES, de Gontzal Gallo: Importantes cambios en la legislación de telecomunicaciones y en la LSSI.

El blog de Xavi Ribas, Nuevas obligaciones en relación a las cookies.

El blog de Paco Pérez Bes, La publicidad comportamental online: el libro

[i] El incumplimiento de las obligaciones de información o de establecimiento de un procedimiento de rechazo del tratamiento de datos, establecidas en el apartado 2 del artículo 22, cuando no constituya una infracción grave.

“La publicidad comportamental (Online Behavioural Advertising) es una nueva modalidad publicitaria basada en el comportamiento de los usuarios. Su funcionamiento se basa en un rastreo temporal de la navegación por internet a través de tracking cookies para, posteriormente, segmentar los perfiles de navegación y en base a ellos, remitirles publicidad acorde a sus presumibles intereses. En esta obra analizaremos los elementos característicos de esta práctica, tales como su definición y los diferentes sujetos que intervienen en la misma, y la diferenciaremos de las figuras afines. Por último se analizará la regulación legal aplicable a la publicidad comportamental, así como las iniciativas de regulación que afectan a este ámbito.”

Más información en este enlace.

Si es que en este país ya no se pueden dar ni buenas noticias.  ¿Se acuerdan de aquella definición de “fútbol” que hacía Gary Lineker: “el fútbol es un deporte en el que juegan once contra once y en el que siempre gana Alemania”? Pues con el Ordenamiento Jurídico español pasa más o menos lo mismo: “El Ordenamiento Jurídico español es un sistema de normas jurídicas en el que apliques la que apliques, siempre terminas en la LOPD“.  Sigan leyendo y lo entenderán.

La Agencia Española de Protección de Datos ha hecho público de forma destacada en su web un informe jurídico fechado el 23 de marzo y numerado como 119/2012, emitido a resultas de consulta planteada por un Ayuntamiento que, antes de tirarse al río, como los demás, prefirió curarse en salud. Ese informe analiza la publicación en las webs municipales de datos de contratistas relativos a deudas con Ayuntamientos, que se han generalizado a resultas del Real Decreto Ley 4/2012.

Como ustedes saben, en el marco de la crisis galopante (pero no todo en este tema es imputable a la misma, y a buen “despilfarrador” o “tirador con pólvora de Rey”, pocas palabras bastan) que vive el país, uno de los aspectos más vergonzantes de la misma es el hecho que entre los grandes quebradores de empresas se encuentran las Administraciones Públicas, con papel destacado de los Ayuntamientos, cuya mora con sus proveedores, saltándose a la torera los plazos de pago establecidos por el apartado 4 del artículo 200 de  la Ley 30/2007, de 30 de octubre, de Contratos del Sector Público y su Disposición Transitoria Octava, es de escándalo.

El Gobierno, consciente de esta deplorable realidad, extensiva a otras AAPP, aprobó el Real Decreto 4/2012 de 24 de febrero, por el que se determinan obligaciones de información y procedimientos necesarios para establecer un mecanismo de financiación para el pago a los proveedores de las entidades locales de aquellas deudas líquidas vencidas, exigibles y derivadas de contratos de obras servicios o suministros, cuyas facturas o solicitudes de pago hubieran tenido entrada en el registro del Ayuntamiento antes del 1 de enero de 2012.

El artículo 3del citado Real Decreto, en su apartado 1º establece que

1. Las entidades locales deberán remitir, por vía telemática y con firma electrónica, al órgano competente del Ministerio de Hacienda y Administraciones Públicas, con fecha límite el día 15 de marzo de 2012, una relación certificada de todas las obligaciones pendientes de pago que reúnan los requisitos establecidos en el artículo anterior y comprensiva de la siguiente información:

a) Identificación del contratista que incluirá el código o número de identificación fiscal, denominación social y su domicilio social.

b) Importe del principal de la obligación pendiente de pago, impuesto sobre el valor añadido o impuesto general indirecto canario incluido en su caso, sin inclusión de intereses, costas judiciales o cualesquiera otros gastos accesorios.

c) Fecha de entrada en el registro administrativo de la factura, factura rectificativa en su caso, o solicitud de pago equivalente anterior al 1 de enero de 2012.

d) Expresión de si se ha instado por el contratista la exigibilidad ante los Tribunales de Justicia antes de 1 de enero de 2012.

En relación con ese elenco o lista, el Real Decreto prevé en el artículo siguiente, el cuatro, la posibilidad de que los proveedores puedan verificar si han sido incluidos en la misma mediante la consulta y un mecanismo, a base de certificaciones individuales, corrector de las omisiones o inexactitudes de dicha relación. En concreto, y sobre la posibilidad de consulta, el texto dice así:

1. Las entidades locales permitirán a los contratistas consultar su inclusión, en la relación certificada remitida de acuerdo con el art. 3 y en caso de estar incluidos podrán conocer la información que les afecte con respeto a la normativa de protección de datos de carácter personal.

¿Cómo se ha traducido eso en la práctica? Pues en que los Ayuntamientos han colgado el listado remitido al Ministerio de Hacienda y Administraciones Públicas en abierto cien por cien en sus respectivas páginas web, lo que supone

1.- el proveedor no solo tiene acceso a la información referente a él, que es lo que dice el precepto, sino también a toda aquella referente al resto de proveedores incluidos en el listado

2.- que cualquier hijo de vecino que tenga un ratillo libre puede acceder al contenido del listado, lo que en algunas ocasiones, no crean, es útil, porque en esta época que todo el mundo debe dinero a todo el mundo puede venir bien a algún acreedor conocer que su deudor está incluido en la lista y que puede tener expectativa de cobro, embargable incluso si uno espabila y si tiene reclamada la deuda judicialmente pide la traba en ejecución o preventivamente.

3.- Como consecuencia de 1 y de 2, el respeto a la normativa de protección de datos de carácter personal, a hacer gárgaras.

¿A hacer gárgaras? Vamos hombre, pensarán, si lo que aparecen en el listado son empresas o empresarios y, de acuerdo con lo dispuesto en los apartados 2º y 3º del artículo 2 del RDLOPD:

2. Este reglamento no será aplicable a los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales.

3. Asimismo, los datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, industriales o navieros, también se entenderán excluidos del régimen de aplicación de la protección de datos de carácter personal.

Efectivamente, eso es cierto, pero es que en esos listados aparecen también profesionales liberales de esos que no ejercen la profesión bajo forma de empresa y resulta que esos, fruto de la absurda delimitación del ámbito subjetivo de la aplicación de la LOPD, están de lleno dentro del marco de aplicación de dicha normativa, como vienen manteniendo diversas sentencias la Audiencia Nacional y el Tribunal Supremo.

Y si les resulta de aplicación la LOPD, con esta norma en la mano, la publicación de un listado en una web conteniendo datos de carácter personal en una cesión o comunicación de datos de carácter personal. De hecho, es uno de los supuestos más habituales de cesión en el ámbito de las Administraciones Públicas, hasta el punto que, por ejemplo, la Agencia de Protección de Datos de la Comunidad Autónoma de Madrid le dedicó de forma monográfica su Recomendación 2/2008).

¿Y cuando, según la LOPD, se puede proceder a la cesión o comunicación a terceros de los datos de carácter personales? Pues ya lo saben ustedes, artículo 11 LOPD: bien cuando contamos con consentimiento del interesado o cuando nos encontramos en alguno de los supuestos previstos en su apartado 2º, entre los que se encuentra el que la comunicación venga prevista en una norma con rango de Ley (o norma de derecho comunitario vía RDLOPD)… y la Agencia en su informe deja muy clarito que un Real Decreto no tiene rango de Ley. Pero con independencia de ello, como bien dice la AEPD, el artículo 4 del Real Decreto no contempla el que la lista de acreedores se hiciera pública en la forma que se ha hecho por la generalidad de consistorios, sino lo que hace es habilitar el conocimiento por cada uno de los contratista de la información que estrictamente les afecta y, ni siquiera en estos supuestos, de la información que afectase a terceros.

Así que, ya lo ven, tiene razón la Agencia Española de Protección de Datos cuando concluye que se considera que la publicación en Internet de los datos contenidos en el denominado por la consultante “fichero de facturas” referidos a quienes no tengan la condición de personas jurídica o se refieran a comerciantes, industriales o navieros el ámbito exclusivo de su actividad empresarial, de forma que la información sea libremente accesible por cualquier persona implica una cesión de datos que no encuentra amparo, sin el consentimiento del interesado, ni en el artículo 11 de la Ley Orgánica 15/1999 ni en el artículo 7 f) de la Directiva 95/46/CE.

De este modo, la inclusión de estos datos en Internet únicamente sería posible si el acceso quedase limitado al propio interesado mediante la inclusión previa de varios datos que sólo él pudiera, en principio, conocer.

Pero el que, con la Ley en la mano, el razonamiento de la AEPD sea correcto, no priva al supuesto expuesto como claro carácter ejemplificativo de las situaciones absurdas a las que se llega por la incorrecta delimitación del ámbito subjetivo de aplicación de la LOPD: puedo publicar los datos a los que hace referencia el art. 3 del Real Decreto 4/2012 en relación con un señor que tiene una fotocopistería, pero no los de un abogado; sí los de un señor que es fontanero, pero no los de un arquitecto; sí los de un gestor administrativo, pero no los de un economista. Demencial.

Se hace necesario que esa redefinición se haga una forma más precisa y acorde, de una vez por todas, a la realidad social y económica, acordándonos de que existe el artículo 3.1 del Código Civil (“ Las normas se interpretarán según el sentido propio de sus palabras, en relación con el contexto, los antecedentes históricos y legislativo y la realidad social del tiempo en que han de ser aplicadas atendiendo fundamentalmente al espíritu y finalidad de aquéllas”), ofreciendo al responsable de ficheros, que es quien va a tener que aplicarla, una interpretación clara y sencilla de la norma, y no con el actual galimatías, en el que reina la confusión y en el que como mal menor , ante la duda se adoptan soluciones prácticas tipo “café para todos”, merced a las cuales se cumple o se intenta cumplir la LOPD frente a quien no debiera hacerse. Debe diferenciarse de una vez por todas todo tratamiento de datos que obedezca a relaciones entre agentes económicos, empresarios y profesionales de aquellas entre éstos y consumidores/usuarios finales, de manera que las primeras estuvieran excluidas de la aplicación de la LOPD y las otras constituyan el objeto de su protección, a modo y semejanza de lo que ocurre en el mundo del comercio electrónico.

Y como colofón, unas breves reflexiones:

Cuánto echo de menos que la AEPD en este tema lidere la reforma de ese ámbito objetivo de aplicación de la LOPD, y les explica a los poderes legislativo y judicial la necesidad de adaptarlo, como decía, a la realidad social y económica.

Con independencia de lo expuesto, el patinazo generalizado de los Ayuntamientos pone en evidencia su vasto desconocimiento de la normativa en materia de protección de datos.  A ver si invertimos algo en la materia.

¿Se imaginan la que se puede montar si cada profesional liberal que aparece en esos listados hechos públicos se decidiera a presentar denuncia ante la AEPD y luego una reclamación de responsabilidad patrimonial por daños y perjuicios? Colapso total. A ver si al final, para evitar eso, y en vez de convalidarlo, el Congreso de los Diputados se ve en la necesidad de, al amparo del artículo 86.3 de la Constitución Española, a tramitar el RD como proyecto de Ley a fin de que alcance dicho rango, habilitar en su texto las publicaciones en la web de los listados y así poder aplicar el artículo 11.2.a) de la LOPD.

Finalizo dejándoles unos enlaces a cómo han organizado lo mismo, pero correctamente, el Consell Insular de Mallorca y el Consell Insular de Menorca. Que cunda el ejemplo.