Principales puntos de la 7ª Sesión Anual Abierta de la AEPD

La 7ª sesión anual abierta de la AEPD, como todos los años, dejó una serie de novedades y cuestiones que afectan en materia de protección de datos. A continuación, se detallan los puntos más reseñables de esta jornada 2015:

Acerca de la reutilización de datos del sector público

  • Esta reutilización proporciona un gran valor económico
  • Se cumple la directiva europea UE/37/2013 para la reutilización de datos, incidiendo que la información pública pueda ser utilizada con fines comerciales. Esta normativa no desplaza a las normas generales del Estado, dejando a salvo las legislaciones nacionales sobre el acceso a la información ya que debe respetarse la normativa de protección de datos ante el incremento de los riesgos para la protección de datos, que existen por dichos tratamientos
  • El plazo límite para su incorporación será el 18 de junio de 2015
  • Es importante definir los criterios de utilización de los datos. Se distinguen dos niveles de aplicación:
    • ámbito europeo
    • restringir el acceso según la legislación de LOPD
  • La AEPD publicará una guía práctica para aplicar esta normativa con un período previo de consultas públicas
  • Es importante acentuar las técnicas de anonimización: Debe asegurarse que la información no es reversible

Acerca de la página web de la agencia

  • Se ha remodelado recientemente para que sea un instrumento que de a conocer la LOPD a los ciudadanos y a los responsables
  • Es una página web que cumple la Ley de Transparencia
  • En breve estará disponible una nueva versión web del Sistema Nota, que permitirá dar de alta varios ficheros a la vez
  • Esta nueva versión web, estarán accesibles las resoluciones y notificaciones de la agencia proximamente

Acerca de las copias de seguridad fuera de las instalaciones

  • Es de vital importancia recordar el artículo 102 del RD 1720/2007: "Deberá conservarse una copia de respaldo de los datos y de los procedimientos de recuperación de los mismos en un lugar diferente de aquel en que se encuentren los equipos informáticos que los tratan, que deberá cumplir en todo caso las medidas de seguridad exigidas en este título, o utilizando elementos que garanticen la integridad y recuperación de la información, de forma que sea posible su recuperación."

El derecho al olvido no es un derecho en sí

  • La sentencia del Tribunal Superior Europeo contra Google establece que los motores de búsqueda son tratamiento de datos, estableciendo que Google es un responsable de tratamiento que, y por lo tanto en determinadas ocasiones se le exige que los enlaces a cierta información sean borrados o actualizados
  • Se puede ejercer directamente "el derecho al olvido de forma coloquial" ante Google, pero es una interpretación del derecho de cancelación y oposición

Acerca del Reglamento Europeo

  • Todavía existe un retraso por su intento de aprobación íntegro de forma conjunta
  • La aprobación durante este año 2015 aún está en borrador

Los asistentes también tuvieron la oportunidad de realizar consultas a la AEPD, la cual tuvo el placer de argumentar para todo el público asistente. A continuación, se detallan las consultas más interesadas planteadas por el público:

  • ¿Ayudará la AEPD a los consultores?
  • La finalidad de la Sesión Anual es fomentar la materia de protección de datos y seguir amparando a los consultores. La página web de la AEPD es una herramienta fundamental para los profesionales del sector, y no sólo existe esa sino que las guías establecen una ayuda para todos.
  • ¿El código IMEI se puede considerar un dato personal?
  • Se podría considerar, pero no están identificados todos los aspectos que lo consideran. Se estudiará el caso para posteriores ediciones.
  • ¿Cómo es la política de Facebook?
  • La política de Facebook sigue la misma estructura que la política de Google, por eso se investigará también.
  • Cuando en una organización bancaria reciben solicitudes de oposición y de cancelación de teléfono para que que no se hagan llamadas de agencias de recobro, ¿cuál es la indicación más frecuente?
  • La mayoría de los casos suelen ser de familiares ya que las entidades bancarias no tienen actualizados sus datos. El deudor no puede cancelar los datos mientras exista la deuda y la relación contractual. La vulneración del deber de secreto se verá afectada si el tercero (familiar) conoce que existe la deuda.
  • ¿Existe la posibilidad de poseer datos biométricos para empresas de ocio, como huellas dactilares...?
  • La AEPD no es reticente, pero deben ser proporcionales.
  • ¿La publicidad debe contener un consentimiento mediante formularios en los que se indica un consentimiento tácito para dejar un plazo de 30 días, artículo 14?
  • Si son Telecomunicaciones o LSSI-CE cambian las fórmulas y el artículo 14 se queda inválido. Se debe informar con precisión en comunicaciones publicitarias.
  • ¿Un encargado de tratamiento puede destruir los datos de un responsable cuando la relación finaliza unilateralmente (el cliente no paga, desaparece la empresa)?
  • La pregunta planteada se ha suscitado en ocasiones en relación con los administradores (Encargados de Tratamiento) de una Comunidad de Propietarios (responsable) en el que el ET plantea la existencia de pagos pendientes.  Como prevé el art. 12 los datos deben ser devueltos o destruidos una vez cumplida la prestación contractual. 
  • En caso de discrepancia sobre si sigue vigente o no el contrato prevalecería el criterio del responsable de acuerdo con lo dispuesto en el apartado 2 del artículo 12. No obstante, el encargado podría disponer de una copia bloqueada con los datos imprescindibles a los efectos únicamente de la defensa de sus derechos y responsabilidades.