Artículos sobre ‘sentencias’

Captación de imágenes en la vía pública por sistemas de videovigilancia

Viernes, 23 de marzo de 2012

La Sala de lo Contencioso Administrativo de la Audiencia Nacional ha dictado una sentencia por la que se anula una resolución de la Agencia Española de Protección de Datos (AEPD) en la que se imponían dos sanciones a una discoteca por la instalación de cámaras de videovigilancia. Las cámaras se encontraban instaladas en la fachada y vigilaban la entrada del local, por lo que la AEPD entendía que se captaba la vía pública, lo cual está reservado a las Fuerzas y Cuerpos de Seguridad y por tanto se realizaba un tratamiento de datos ilícito, sancionando este hecho con 2.500 euros. La otra sanción, de 800 euros, se imponía por no haber realizado la inscripción del fichero en el Registro General de Protección de Datos.

Es conveniente recordar que el tratamiento de imágenes a través de sistemas de videovigilancia supone un tratamiento de datos de carácter personal y por tanto está sujeto a la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (LOPD) y en concreto a la Instrucción 1/2006, de 8 de noviembre, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.

El artículo 7 de esta norma establece la obligación de inscribir el fichero generado por el sistema de videovigilancia, pero aclara que “no se considerará fichero el tratamiento consistente exclusivamente en la reproducción o emisión de imágenes en tiempo real“. La sentencia de la Audiencia Nacional anula esta sanción por considerar que no había grabaciones y, por tanto, no había fichero alguno que inscribir.

Más interesante es la otra sanción, por captar imágenes de la vía pública. De acuerdo con lo establecido en la Ley Orgánica 4/1997esto es competencia exclusiva de las Fuerzas y Cuerpos de Seguridad del Estado. Así lo dice también el artículo 4.3 de la Instrucción 1/2006: “las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos”. Pero ese mismo precepto establece una excepción: ”salvo que resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas”.

Es decir, es perfectamente entendible que para la seguridad de entradas a establecimientos o perímetros de fincas, por ejemplo, puedan obtenerse, de forma accesoria, imágenes de la vía pública. Para analizar si esa instalación de videovigilancia es lícita debe realizarse un juicio de proporcionalidad, que no exista posibilidad de instalación alternativa y que la captación de imágenes de la vía pública sea la mínima imprescindible. En el caso que nos ocupa, la AN analiza varios aspectos:

  • Las imágenes captadas apenas permitían la identificación de las personas que accedían a al discoteca.
  • Las cámaras estaban orientadas de tal modo que si objeto de vigilancia principal era el entorno privado (la entrada al local).
  • La captación de imágenes de la vía pública era la mínima imprescindible.
  • El sistema no grababa las imágenes, sólo emitía.
  • Las imágenes sólo eran vistas por el encargado del local, a fin de controlar el acceso y evitar aglomeraciones.

A la vista de estos hechos, se considera que no hay infracción del principio de consentimiento por captar imágenes en la vía pública y por ello se anula la sanción de la AEPD. Lo interesante de esta sentencia es que las valoraciones que realiza la AN nos pueden servir de guía para determinar cuándo será posible instalar un sistema de videovigilancia que tome imágenes de la vía pública, lo cual es posible pero, como vemos, con limitaciones.

Más sobre este tema: Alfonso Pacheco, en Privacidad Práctica.

Protección de Datos

El Tribunal Supremo anula el artículo 10.2.b del Real Decreto 1720/2007

Miércoles, 15 de febrero de 2012

El título de esta entrada es tan meramente descriptivo como extraordinariamente sensacionalistas son algunos titulares que hemos leído en la prensa al respecto de esta noticia. Ni se va a poder comerciar libremente con nuestros datos ni se mutila la protección de datos, como se han dicho en algunos periódicos.

Lo que ha sucedido es que el Tribunal Supremo, en una sentencia de 8 de febrero de 2012,  ha anulado el art. 10.2.b del Real Decreto 1720/2007.  Este artículo permitía el tratamiento de datos sin consentimiento de su titular en caso de que los “datos objeto de tratamiento o de cesión figuren en fuentes accesibles al público y el responsable del fichero, o el tercero a quien se comuniquen los datos, tenga un interés legítimo para su tratamiento o conocimiento, siempre que no se vulneren los derechos y libertades fundamentales del interesado“.

En primer lugar lo que tenemos que tener en cuenta es que la noticia se produjo en realidad hace unos meses, cuando el Tribunal de Justicia de la Unión Europea (TJUE) dictaminó que este artículo era contrario a lo dispuesto en la Directiva 95/46, tal y como comentamos aquí en una entrada anterior. Por tanto, lo que ha hecho el Tribunal Supremo es lo que ya se sabía que tenía que hacer.

Por otro lado, las consecuencias prácticas son, al menos de momento, prácticamente nulas. Es cierto que no puede exigirse que los datos figuren en fuentes accesibles al público para tratar datos sin consentimiento. Sin embargo, debe realizarse en cada caso una ponderación entre el interés legítimo del responsable del tratamiento y los derechos del interesado que se ven afectados por el tratamiento de datos sin consentimiento. Si realizada esa ponderación prevalece el interés del responsable, podrán tratarse los datos sin consentimiento; si prevalecen los derechos afectados del interesado, no se podrá. Y para realizar esa ponderación, la Agencia ya dijo tras la sentencia del TJUE que se va a tener en cuenta el hecho de que figuren en fuentes accesibles al público como criterio de ponderación.

Es cierto que la anulación de este artículo deberá tener trascendencia cuando la Agencia (o los tribunales) empiece a aceptar en sus resoluciones otros criterios de ponderación que legitimen el tratamiento, pero ello está muy lejos de las afirmaciones periodísticas que hemos podido leer.

Más sobre el tema en la web de la Asociación Profesional Española de Privacidad (APEP) y en los blogs de Gontzal Gallo, Jorge Campanillas y Jesús Pérez.

Protección de Datos

Los Juzgados y Tribunales no deberían quedar fuera del control de la Agencia Española de Protección de Datos (y II)

Viernes, 3 de febrero de 2012

Por Fco. Javier Sempere Samaniego
(
Asesor de Apoyo Técnico-Jurídico de la
Agencia de Protección de Datos de la Comunidad de Madrid)
y David González Calleja

(Puede leer la primera parte aquí)

Lo cierto es que lo que realmente se plantea es un conflicto de competencias: el poder judicial versus un ente que es Administración independiente. Así que debemos preguntarnos si el Tribunal Supremo, que forma parte del poder judicial, es realmente competente para resolver esta cuestión. Llama muchísimo la atención que hable de la incardinación de la Agencia Española de Protección de Datos (AEPD)  en el poder ejecutivo y sea este Tribunal el que resuelva un conflicto entre la AEPD y el Consejo General del Poder Judicial (CGPJ), cuando el Presidente del Tribunal Supremo es, a su vez, el Presidente de dicho Consejo.

¿Es por tanto el Tribunal Supremo el órgano jurisdiccional adecuado para resolver este conflicto de competencia? ¿Y quién sería el competente para dilucidar esta cuestión? La Ley 2/1987, de 18 de mayo, de Conflictos Jurisdiccionales, dedica sus artículos 1 a 21 a regular los conflictos jurisdiccionales entre los Juzgados o Tribunales y la Administración. El problema es que estos conflictos los resuelve el Tribunal de Conflictos de Jurisdicción que está formado por: “El Presidente del Tribunal Supremo, que lo presidirá, y por cinco vocales, de los que dos serán Magistrados de la Sala de lo Contencioso-administrativo del Tribunal Supremo, designados por el Pleno del Consejo General del Poder Judicial, y los otros tres serán Consejeros Permanentes de Estado, actuando como Secretario el de Gobierno del Tribunal Supremo”. Obviamente, y para el caso que nos ocupa, esta vía tampoco nos da una solución demasiado pacífica para resolver el problema entre el Consejo General del Poder Judicial y la AEPD. Así que nos tememos que nos vamos a quedar sin una respuesta clara.

Además, si bien no se puede discutir el proceso de nombramiento actual del Director de la AEPD –esta sentencia da argumentos para que sea nombrado por las Cortes Generales-, se olvida el carácter independiente de la AEPD. Y es que uno de los elementos de esta independencia es precisamente el carácter inamovible de su Director. De esta forma, sólo podrá ser cesado por incumplimiento grave de sus obligaciones, incapacidad sobrevenida para el ejercicio de su función, incompatibilidad o condena por delito doloso. En otras palabras, los mismos motivos de cese que los miembros del Tribunal Constitucional (artículo 23.1 de la Ley Orgánica 2/1979).

Asimismo, si seguimos el criterio adoptado por esta Sentencia del Tribunal Supremo, la AEPD tampoco podría controlar los ficheros del Defensor del Pueblo (por ser el Alto Comisionado de las Cortes Generales), incluyendo también a los autonómicos. En este sentido, si consultamos el Registro de Ficheros de la Agencia Española de Protección de Datos, hay ficheros inscritos del Defensor de Pueblo y Defensores del Pueblo Andaluz, Castilla La Mancha (aunque ya no existe), Navarra y Murcia (obviamente, estos son sólo los Defensores que tienen inscritos sus ficheros). O la Autoridad Catalana de Protección de Datos, respecto a los ficheros del Sindic de Greugues (su Defensor del Pueblo); la Agencia Vasca, respecto a los ficheros del Ararteko; y  la APDCM, respecto al Defensor del Menor.

Incluso, rizando el rizo, habría que ver qué ocurre con los ficheros del Congreso, Senado, Parlamentos Autonómicos y Tribunal Constitucional, si bien, consultando el Registro de Ficheros de la AEPD, los ficheros de los citados se refieren a cuestiones meramente administrativas (secretaría general). O habría que preguntarse, incluso, qué ocurre con el Supervisor Europeo de Protección de Datos y los ficheros del TJCE.

En fin, consideramos que ningún órgano administrativo debe controlar la actuación de los jueces y tribunales relacionada con sus funciones jurisdiccionales, pero que es una garantía para el ciudadano (e incluso basada en la división de poderes) que la autoridad de control en materia de protección de datos  pueda ser competente para inspeccionar y declarar infracciones de los jueces y tribunales por el incumplimiento de la normativa sobre protección de datos de carácter personal.

Protección de Datos

Los Juzgados y Tribunales no deberían quedar fuera del control de la Agencia Española de Protección de Datos (I)

Viernes, 3 de febrero de 2012

Por Fco. Javier Sempere Samaniego
(
Asesor de Apoyo Técnico-Jurídico de la
Agencia de Protección de Datos de la Comunidad de Madrid)
y David González Calleja

En una sentencia de 2 de diciembre de 2011, la Sala Tercera de lo Contencioso-Administrativo del Tribunal Supremo ha revocado una sentencia de la Audiencia Nacional y, por tanto, anulado una resolución de la Agencia Española de Protección de Datos (AEPD), por la que se declaraba infracción del Juzgado nº 1 de lo Contencioso Administrativo de La Coruña. La Agencia estimó que el juzgado había infringido el deber de secreto del artículo 10 de la LOPD al aportar partes de baja de algunos funcionarios del juzgado a expedientes disciplinarios abiertos a otros funcionarios en los que se recogían datos de salud.

Si bien al TS parece que no le gusta demasiado la forma de presentar los fundamentos jurídicos por parte del recurrente (“una más depurada técnica casacional y una más cuidadosa redacción de las consideraciones fácticas y jurídicas que se ofrecen en los fundamentos jurídicos, sobre todo evitando reiteraciones y hacer mención a circunstancias irrelevantes, harían, sin duda, más fácil su lectura y comprensión”), lo cierto es que le da la razón en el punto fundamental de este recurso, que no es el fondo del asunto (la infracción del artículo 10 de la LOPD, sobre la que el TS está de acuerdo, según se ve en el Fundamento Jurídico 1º de la sentencia), sino la falta de competencia de la AEPD. Estiman que la Agencia no es competente para investigar y enjuiciar la conducta de un juez en el legítimo desempeño de sus funciones, sino que el control de estas conductas está reservado al Consejo General del Poder Judicial (CGPJ).

Entienden los magistrados del Supremo (y también David Maeztu, con el que amablemente discrepamos) que sólo al órgano de gobierno del poder judicial le corresponde la inspección de juzgados y tribunales (art. 107.3 LOPJ). Pero que el CGPJ tenga esa potestad no excluye, a nuestro juicio, que otros entes públicos puedan realizar inspecciones dentro del ámbito de sus respectivas competencias. Ningún órgano administrativo podrá inspeccionar ni sancionar a un órgano judicial por el ejercicio de sus función jurisdiccional, pero que entren a otras cuestiones que no atañen a esta función, como es la normativa de protección de datos (además en relación con los funcionarios del juzgado) no parece que pueda afectar a su independencia ni al cumplimiento legítimo de sus funciones constitucionales.

Es más, haciendo un poco de “memoria histórica”, el 3 de mayo de 2010 la AEPD y el CGPJ firman un “Convenio de Colaboración sobre inspección de órganos jurisdiccionales en materia de protección de datos”. Leyendo el texto de este Convenio podemos ver que el Consejo pone sus condiciones a la Agencia a la hora de realizar las inspecciones sobre el tratamiento de datos en los Juzgados y Tribunales. Es decir, que acepta que les inspeccionen; con condiciones, sí, pero reconociendo la competencia de los inspectores de la AEPD.

Respecto al ámbito concreto de la protección de datos, el TS se apoya en los artículos 230.5 (por el que se establece que el CGPJ debe dictar un Reglamento en el que se determinarán los requisitos y demás condiciones que afectan al establecimiento y gestión de los ficheros automatizados bajo responsabilidad de los órganos judiciales) y 107.10 de la LOPJ (reglamento de tratamiento de las sentencias asegurar el cumplimiento de la legislación en materia de protección de datos personales). Pero que se disponga de estos reglamentos no quiere decir que no pueda ser controlado el cumplimiento de la normativa por la autoridad de control, sólo que debe elaborarse ese texto que regule estas actuaciones. Es decir, como hacen todas las administraciones públicas, regulan esta materia para dar cumplimiento a la Ley.

Es más, es significativo que la derogada LORTAD excluía en su Disposición Adicional Primera la aplicación de los Títulos dedicados a la Agencia de Protección de Datos y a las Infracciones y Sanciones respecto de los ficheros automatizados de los que eran titulares, entre otros, el Consejo General del Poder Judicial. El hecho de que la LOPD no incluya esta mención explícita como sí hacía la antigua norma, debe también llevarnos a la conclusión de que debe ser de aplicación la LOPD y las potestades de la AEPD también a este ámbito.

(Continúa aquí…) 

Protección de Datos

Anulación del canon digital

Viernes, 25 de marzo de 2011

Ayer tuvimos conocimiento de la Sentencia de la Sección Tercera de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional por la que se declara la nulidad de pleno Derecho de la Orden PRE/1743/2008, de 18 junio, que establece la relación de equipos, aparatos y soportes materiales sujetos al pago de la compensación equitativa por copia privada, las cantidades aplicables a  cada uno de ellos y la distribución entre las diferentes modalidades de reproducción. La anulación de esta orden ha supuesto escuchar y leer cosas como que se acababa el canon digital, pero estrictamente no se puede afirmar tal cosa.

memoria usb con forma de carpeta de archivosLa mencionada Orden establecía la cuantía del canon (compensación equitativa por copia privada) para los equipos y soportes sujetos al mismo. Esta norma actualizaba las cuantías para determinados soportes y además incorporaba otros anteriormente no sujetos, como las memorias USB, tarjetas de memoria, discos duros y teléfonos móviles.

La sentencia a la que hacemos referencia anula esta orden por la ausencia de dos requisitos relacionados con el procedimiento de aprobación de la misma:

  • Dictamen de la Comisión Permanente del Consejo de Estado (artículo 24.2 de la Ley 50/1997, de organización, competencia y funcionamiento del Gobierno, en relación con el artículo 22.3 de la Ley Orgánica 3/1980, del Consejo de Estado).
  • Memorias justificativa y económica, inherentes a todo reglamento, de conformidad  con lo dispuesto en el artículo 24.1.a) de la Ley 50/1997.

Es conveniente también notar que la sentencia no entra en los motivos de fondo, ni entra a valorar el alcance retroactivo respecto a la recaudación abusiva, ni el cese del cobro indiscriminado del canon, por tener este naturaleza jurídico-privada.

La sentencia declara, por tanto, la nulidad de pleno derecho de esta Orden, es decir, debemos tomarla como si nunca hubiera estado en vigor. Ello supone que volvemos al régimen transitorio, mientras no se dicte una nueva orden, establecido en la Disposición Transitoria Única de la Ley 23/2006, de 7 de junio, con lo que la cuantía del canon sobre determinados equipos y soportes vuelve a la establecida en esta disposición; otros soportes, como las memorias USB, tarjetas de memoria, discos duros y teléfonos móviles directamente dejan de soportar el canon. Por tanto, podemos hablar de dos consecuencias prácticas:

  • Dado que se ha venido cobrado un canon sobre determinados soportes que no debían estar sujetos a él, podríamos solicitar judicialmente la devolución de estas cantidades. Lo mismo sucede con aquellos soportes que han venido gravados por una cantidad superior a la establecida en la Ley 23/2006.
  • Mientras no se dicte una nueva orden, dejarán de estar sujetos al canon los mencionados soportes y volver a las cuantías anteriores. Es importante insistir en que es una situación transitoria. De hecho, me atrevería a decir que va a ser muy transitoria, y vamos a ser testigos de la rapidez con la que el Gobierno es capaz de realizar desarrollos reglamentarios cuando hay verdadero interés. La Ley de Economía Sostenible ya obligaba al Gobierno a modificar la regulación del canon en el plazo de 3 meses desde su entrada en vigor (es decir, antes del 6 de junio de este año), pero ahora hay razones (y presiones) adicionales para una aprobación más rápida. Estaremos atentos.

Propiedad Intelectual