HD Joven: El nuevo Reglamento General de Protección de Datos y la realidad práctica de las más recientes resoluciones judiciales

Las  Nuevas Tecnologías de la información y los datos personales están en constante cambio y transformación. Cada día aparecen nuevas formas de transferir datos, inventos que facilitan al ser humano su desarrollo y nuevos métodos de análisis e investigación basados en la tecnología junto con las primeras grandes nuevas tecnologías aplicadas.

Por eso, hoy en día está en boca de todos que próximamente (mayo de 2018) entrará en vigor el nuevo Reglamento general de protección de datos (General Data Protection Regulation). Una gran parte de la población está especialmente pendiente de esta normativa, porque plantea grandes modificaciones para las empresas y los ciudadanos que, además, también  afectarán a las Administraciones Públicas. Pero, ¿qué está ocurriendo verdaderamente en la práctica del mundo de los datos? ¿Cuáles son las infracciones más “denunciadas”? ¿Y cómo están resolviendo los órganos jurisdiccionales en esta materia de constante e imparable movimiento?

En primer lugar, no es característicamente alto el volumen de resoluciones en materia de protección de datos. Y esto es así porque, como los primeros conflictos en esta materia han tenido lugar tras el especial auge de las Nuevas Tecnologías (cuyo comienzo señalan los expertos que tuvo lugar a partir de mediados del año 2007, con la llegada del Iphone), es lógico que un número suficiente de los conflictos no han llegado a las instancias judiciales hasta pasados varios años,  por lo que no hemos comenzado a tener un número bastante de resoluciones hasta los años 2014 y 2015.

Dentro de esta falta de suficientes resoluciones, lo cierto es que podemos diferenciar dos situaciones: la situación nacional y la europea, o, lo que es lo mismo, las resoluciones de órganos jurisdiccionales españoles y las resoluciones del  Tribunal de Justicia de la Unión Europea (TJUE) y del Tribunal Europeo de Derechos Humanos (TEDH).

A nivel nacional, un gran número de sentencias de los altos tribunales (Tribunal Supremo –TS- y Tribunal Constitucional –TC-) se han centrado en el análisis de la vulneración (o no) del derecho a la protección de datos en la videovigilancia en el centro de trabajo y en el tratamiento automatizado de datos sin consentimiento del trabajador. A modo ilustrativo, puede leerse la Sentencia del Tribunal Superior de Justicia de Madrid de 29 de septiembre de 2014,  la Sentencia del TS de 12 de noviembre de 2015 y la Sentencia del TC de 3 de marzo de 2016. En resumen, nuestros órganos han venido a resolver considerando que no existe vulneración del derecho a la protección de datos en la videovigilancia  empresarial en el centro de trabajo siempre y cuando la finalidad sea la seguridad y/o el control laboral. En este mismo ámbito, se ha estimado que se vulnera la protección de datos de carácter personal y el honor de los trabajadores cuando se transmite de una empresa a otra un “fichero de personas conflictivas” o “lista negra”.

Otra cuestión que ha sido tratada por jueces y magistrados españoles es la posibilidad de que el ciudadano, no personaje público, se oponga a que sus datos personales aparezcan en un simple buscador de Internet al que todos tenemos acceso. Por otro lado, como decíamos, las Administraciones tampoco se salvan de verse envueltas en esta tormenta. Ha sido el TC el que, por Sentencia de 25 de septiembre de 2015, ha tratado el derecho del interesado a ser informado, tanto de la posibilidad de que sus datos del Registro autonómico sean cedidos, como del concreto destino de éstos, concluyendo que no es suficiente con que el interesado conozca que tal cesión puede tener lugar, sino que ha de ponerse en su conocimiento también las circunstancias de cada cesión concreta (a quién se ceden, qué información se transfiere y con qué finalidad se proporcionan).

Partimos, por lo tanto, de que son pocos los casos que llegan a los tribunales españoles, y por ello, los pronunciamientos en materia de protección de datos de altas instancias son insuficientes.Y, dentro de esa escasez, predominan las resoluciones sobre protección de la imagen como dato personal en el ámbito laboral.  Ello hace que no exista una base sólida de casos que permita fijar conceptos y límites en el ejercicio de derechos fundamentales dentro del mundo de la tecnología y los datos personales.

A nivel  europeo tendremos que diferenciar dos líneas: la del TJUE y la del TEDH. Y ello porque, al ser sus funciones distintas, la línea de sus resoluciones también difieren entre sí, aunque son acordes a las funciones que cada uno tiene encomendado. Encontramos, sin ánimo de ser exhaustivos, desde 2014 en adelante, varias resoluciones: la Sentencia del TJUE de 11 de diciembre de 2014, la  Sentencia del TJUE de 1 de octubre de 2015, y, más recientemente, la del TJUE de 4 de mayo de 2017  o el Dictamen del mismo órgano de fecha 26 de julio de 2017. Todas ellas examinan el cumplimiento de la Directiva 95/46/CE relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y su libre circulación, y su relación a la Directiva 2002/58/CE sobre la privacidad y las comunicaciones electrónicas. De manera resumida, tienen especial importancia las siguientes ideas:

  • La imagen de una persona grabada por una cámara constituye datos personales porque permite identificar a la persona en cuestión.
  • Si una Administración Pública de un Estado miembro transmite datos personales a otra Administración,  dicha Administración Pública remitente debe informar a los interesados de la transmisión.
  • El responsable del tratamiento de los datos no está obligado a comunicar datos personales a un tercero para que éste último pueda interponer una demanda frente a un sujeto del fichero a quien pretende demandar. Sin embargo, nada impide que el Derecho nacional permita tal comunicación.

Como vemos, la falta de una cantidad suficiente de procesos lleva a que las reflexiones y los pronunciamientos sean sentencias sobre materias desmesuradamente concretas, sin poderse fijar una línea de conocimiento central.

Por su parte, el TEDH ha acumulado un mayor número de resoluciones judiciales que el TJUE, en las que sí han llegado a definirse unos conceptos mínimos del universo de las tecnologías. Y, en concreto, se ha procedido a definir qué son los datos personales (Caso  Mccullough v. Cedefop), qué puede entenderse por procesamiento de datos personales (Caso Smaranda Bara et Al. V. Presedintele Casei Nationale de Asigurari De Sanatate y Caso Weltimmo s. r. o. contra Nemzeti Adatvédelmi és Információszabadság Hatóság.), qué son los principios de necesidad y  proporcionalidad (Case ClientEarth.), medidas de seguridad (Caso Worten-equipamentos para o Lar Sa V. Act Authority for working conditions), el concepto de información (Caso Smaranda bara) o qué debe entenderse por un nivel mínimo de protección (Caso Maximillian Schrems contra Data Protection Commissioner), entre otros.

Además, desde esta misma perspectiva internacional, resulta que Alemania cuenta con un Libro blanco (o White book, esto es, un informe o publicación oficial del gobierno en una materia para plantear datos, estándares y soluciones) dirigido a los órganos legislativos o/y a la opinión pública para comprender, resolver y afrontar la protección de datos.  Reino Unido también cuenta con un Libro blanco que fija parámetros para evaluar el impacto sobre la privacidad de los procedimientos de gestión de datos. Si recientemente Alemania, pionera en la industria de la tecnología energética, ha procedido a plantear el referido Libro blanco para analizar en profundidad el tema de la protección de datos y, mucho antes,  Reino Unido, el grandioso centro de cruce de valiosos datos, creó el suyo propio, parece cuanto menos, conveniente, que España al menos se plantee la necesidad y el beneficio de contar con dicho tipo de informe que recoja reglas y  pautas útiles en esta materia.

Frente a la referida escasez, las publicaciones, obras y comentarios que tratan el tema de la protección de datos son altamente numerosas. Dentro de esta variedad, podríamos resumir las principales informaciones con un desarrollado titular: el derecho fundamental a la protección de datos personales es uno de los más importantes en la sociedad actual, dentro del cual los datos se han convertido en el petróleo de la economía moderna, en una moneda de cambio. Esto genera grandes retos y responsabilidades que gobiernos e instituciones deben enfrentar de manera obligada, pues el proceso de globalización en el que vivimos y el continuo avance tecnológico unidos a  la falta de conocimientos y de información del ciudadano de a pie, está llevando a los usuarios a sufrir una falta de control sobre los datos que ceden. Y es que acceder a internet o crearse una cuenta en una red social es gratuito, pero detrás de esa aparente gratuidad, existe un ansiado valor “extraordinario” para las empresas y el mercado: información, datos, que les permiten conocer  los gustos y tendencias del consumidor y actuar acorde a ellos en el mercado.

 

Sobre los datos que piden los bancos para conceder un préstamo…. El “coste” de las restricciones legales a los ficheros positivos de solvencia

He hablado en muchas ocasiones en el blog de cómo la pretendida protección de la privacidad de los ciudadanos está sirviendo de patente de corso a los bancos para restringir la competencia y asegurarse una cartera de clientes que son cautivos de su entidad financiera.

Un caso real pone de relieve lo dicho. Un cliente va a pedir un préstamo a una entidad financiera que no es la suya. Con el objeto de evaluar la solvencia el banco solicita al cliente una documentación: DNI/NIF del solicitante, la declaración de IRPF del último ejercicio, las 2 últimas nóminas, y escritura de la propiedad de la vivienda, informando a pie de página del cumplimiento de la Ley Orgánica 15/1999 del 13 de Diciembre sobre Protección de datos de carácter personal. Enviada la documentación, el solicitante se encuentra con la sorpresa de que el empleado le pide por correo electrónico “extracto de movimientos bancarios de los últimos 3 meses” del otro banco donde actualmente tenga domiciliada el solicitante su nómina o pensión. Concretamente y con carácter general, se pide por el banco: “en caso de trabajar actualmente con otra entidad, extracto de cuenta/s donde se abonen las nóminas y se carguen sus préstamos (mínimo 6 meses)”.

Como el solicitante no es cliente de la entidad, ésta carece de información sobre créditos o financiación inferiores a 9.000 euros (que son precisamente los habituales en crédito al consumo), dado que esta información no la proporciona la CIRBE y el banco del cliente no la comparte a credit bureau privados: los ficheros positivos en España requieren el consentimiento del cliente y la voluntad de la entidad de compartir tal información. No es el interés legítimo del responsable del fichero lo que legitima el tratamiento de los datos positivos, sino el consentimiento del interesado.

Ya he dicho en este blog que la entidad no tiene interés en compartir información positiva para evitar el riesgo de fuga de clientes y se escuda en la protección de la privacidad y en la falta de consentimiento del interesado el cual no es solicitado porque la entidad en realidad no tiene real interés en compartir información. Si el banco al que se solicita el préstamo pudiera acceder a los datos positivos del cliente (préstamos asumidos, tarjetas de crédito revolving, es decir, su comportamiento crediticio), no tendría que pedir los movimientos de cuenta corriente y si lo hiciera no sería pertinente (art. 4.1 LOPD).

Pero como el sistema autoriza esta opacidad de información que limita las posibilidades de los prestamistas de hacer una evaluación adecuada de la solvencia, las entidades se ven obligadas a solicitar más datos. El problema es qué datos pueden pedir y particularmente ¿puede pedir una entidad financiera los movimientos de la cuenta corriente que el solicitante tiene en otra entidad?

Hay que tener en cuenta que aportando estos datos, se está dando mucha más información que la requerida para la evaluación de la solvencia ya que se dan datos sobre aficiones, hábitos de consumo, religión, opiniones políticas o vida sexual, teniendo en cuenta en qué ha gastado el dinero el cliente. Piénsese que los cargos de una tarjeta de débito van directamente a la cuenta corriente y pueden reflejar el concepto que motivó el gasto. Hay que aclarar que esta información no aparecería en un fichero positivo, que solo da datos de riesgos asumidos pero no de en qué bienes y servicios el deudor ha gastado sus recursos.

Pues bien, la LOPD impone restricciones a los datos que se pueden solicitar. Así, según el denominado principio de finalidad y de pertinencia regulado en el art. 4 LOPD:

  1. Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.
  2. Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.

Esto significa que no podrán solicitarse ni registrarse más datos que los estrictamente necesarios para llevar a cabo la finalidad de que se trate, aunque fuesen susceptibles de serlo para cumplir objetivos futuros. La persona a la cual se le requieran datos que resulten excesivos, podrá negarse a suministrarlos, amparándose en el artículo 4.1 de la LOPD.

La finalidad de la entidad es evaluar la solvencia del prestatario. La regulación vigente, da mucho margen a las entidades para pedir documentación. Así la Orden EHA/2899/2011, de 28 de octubre, de transparencia y protección del cliente de servicios bancarios señala en su art. 18 relativo a la obligación de evaluar la solvencia del deudor dispone que “la entidad de crédito, antes de que se celebre cualquier contrato de crédito o préstamo, deberá evaluar la capacidad del cliente para cumplir con las obligaciones derivadas del mismo, sobre la base de la información suficiente obtenida por medios adecuados a tal fin entre ellos, la información facilitada por el propio cliente a solicitud de la entidad. Esta norma se reproduce en el artículo 14 de la Ley 16/2011, de 24 de junio de Crédito al consumo y en el artículo 29.1 de la Ley 2/2011, de 4 de marzo, de Economía Sostenible. No hay límites a la información que pueda solicitar la entidad siempre que se adecúe a la finalidad de evaluación de la solvencia del solicitante. Por el contrario, con los ficheros de solvencia positivos, el cliente no proporciona la información, sino que serían sus acreedores los que la darían.

Dado que, como he dicho, las entidades carecen de datos sobre riesgos inferiores a 9.000 euros, podría pensarse que requerir los movimientos de cuenta corriente es pertinente y de acuerdo a la finalidad para la que la entidad los recoge, que es la evaluación de la solvencia. Caso de que el solicitante se oponga, verá denegada su solicitud de préstamo por falta de información, algo que insisto está provocado por el deficiente sistema de información crediticia.

Sin embargo, cabría dudar de la pertinencia de la solicitud de tal información, ya que podría la entidad limitarse a pedir al solicitante que aporte su historial crediticio en la otra entidad, algo que ya autoriza el artículo 2 de la Ley 5/2015 de 27 de abril de Fomento de la actividad empresarial para las Pymes cuando su entidad les corta la financiación. En este caso ésta deberá aportar un documento con el historial crediticio de los cinco años anteriores. No se trata de que se aporte un scoring, sino que la entidad con la que trabaja el solicitante aporte su historial crediticio para que pueda solicitar un préstamo en otra entidad. En ese historial no aparecería los gastos que efectivamente ha realizado el deudor. Es una información menos sensible y creo que el deudor tiene derecho a pedir esos datos a su entidad porque son suyos. De admitirse esto, no sería pertinente pedir los movimientos de cuenta corriente.

La Agencia de Protección de Datos se ha pronunciado sobre el caso al que me he referido en la resolución de 10 de marzo de 2016 señalando que es legal que la entidad pida los movimientos de cuenta corriente, con una argumentación llamativa: el cumplimiento de la normativa contenida en la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo… Todo vale, por lo que parece…

Obsérvese que las restricciones de la LOPD con la excusa de la protección de la privacidad del ciudadano generan una situación donde precisamente su privacidad resulta más comprometida. Como he dicho, un fichero positivo informa de las deudas asumidas y de que están cumplidas en tiempo, pero no informa de los gastos hechos con dichos créditos. Por ejemplo, se informa de que el deudor es titular de dos tarjetas de crédito revolving y de su límite, pero no de los gastos realizados con dichas tarjetas. Y además esos datos los proporcionan los propios acreedores y no el consumidor evitándose que éste engañe cuando su nivel de endeudamiento es alto.

Por el contrario, si damos los movimientos de nuestra cuenta corriente la información que estamos aportando es mucho más sensible pues aparecerían por ejemplo los gastos que hacemos. Esta información le servirá a la entidad para ofrecernos otros productos y por lo tanto hacer negocio. Este efecto no es casual, está medido.

Y no se diga que la entidad no puede utilizar esos datos con otra finalidad porque la LOPD no prohíbe utilizar los datos para finalidades distintas (así lo hacía la LORTAD) a la que justificó la recogida de los datos, sino que lo que prohíbe es que sean finalidades incompatibles con los que justificaron su recogida. Cuando se prohíbe unos datos para finalidades incompatibles, se permiten otros tratamientos para finalidades compatibles a pesar de que sean distintos. La Directiva de Protección de datos hablaba de incompatibilidad en el tratamiento de los datos y, sin embargo, la ley española se refiere a finalidades incompatibles. Los datos obtenidos en este caso por la entidad financiera pueden manipularse para conseguir finalidades distintas con tal que sean compatibles con el objetivo inicial. A pesar de la restrictiva interpretación que han hecho los tribunales respecto del término “finalidades incompatibles” (equiparándolo con finalidades distintas)[1], con los movimientos de cuenta corriente, la entidad tiene unos datos que le permitirían ofertar otros productos al solicitante y hacer negocio. El Reglamento europeo de protección de datos tampoco es precisamente claro en la descripción del principio de no tratamiento para finalidades incompatibles.

Por lo tanto, el que no fluya de manera controlada la información positiva del cliente, el que no autoricemos que nuestra entidad comparta nuestra información sobre nuestra condición de buenos pagadores perjudica notablemente a los consumidores y beneficia a los bancos comprometiéndose la privacidad del ciudadano que se ve obligado a dar una información adicional mucho más sensible que, no obstante, se considera pertinente y adecuada a la finalidad de evaluar la solvencia por parte del prestamista.

El consumidor debe percatarse de la trascendencia que tiene para él que la información positiva, la de que es buen pagador (los datos negativos circulan sin su consentimiento) le favorece impidiendo que le pidan información más sensible, permitiendo un ajuste del coste crediticio a su prima de riesgo real de forma que los buenos pagadores salgan beneficiados por menores tipos de interés y puedan libremente cambiar de entidad. Ello mejorará las condiciones del nuestro maltrecho mercado de crédito que tan importante es para la economía.

[1] Vid. SSAN de 8 de marzo de 2002, (Rec. Núm. 948/2000), 11 de febrero de 2004 (Rec. Núm. 119/2002)], 17 de marzo de 2004 (Rec. Núm. 641/2004)],

 

 

HD Joven: ¿Está justificado vulnerar nuestra seguridad para acceder al iPhone de un terrorista?

En el mes de diciembre del pasado año 2015, tuvo lugar un ataque terrorista en el condado de San Bernardino (California), que causó la muerte de catorce personas y casi una veintena de heridos. Este incidente conmocionó a la población de Estados Unidos, tanto que el terrorismo ha pasado a ser la primera preocupación de los estadounidenses, según una encuesta difundida en el mismo mes de diciembre por Gallup (aquí).

En el desarrollo de la investigación del atentado, el FBI consideró que tener acceso al teléfono móvil de uno de los autores podía ser fundamental para obtener información de especial importancia para esclarecer algunas dudas sobre cómo y por qué fue perpetrado. Sin embargo, a consecuencia de un error cometido (y reconocido) por el propio personal del FBI, el teléfono quedó bloqueado, imposibilitando el acceso a la información contenida en el mismo. De esta forma, se solicitó a Apple, la empresa fabricante del dispositivo, su colaboración para desbloquear y acceder al teléfono en cuestión.

Sin embargo, Apple, desde el primer momento, se negó a atender al requerimiento de las autoridades estadounidenses. Esto podría sorprender en un principio, especialmente si se tiene en cuenta que no es común que una empresa como Apple se niegue a prestar su colaboración en un caso tan sensible como el que nos ocupa. No obstante, la cuestión no parece tan sencilla si tenemos en cuenta lo que indica la empresa en un comunicado publicado recientemente en su página web (aquí), según el cual, el FBI solicitó que diseñaran un nuevo software o herramienta informática que permitiera acceder al teléfono. Es decir, la idea sería crear una brecha de seguridad que actualmente no existe, de manera que, si este software fuera utilizado de forma inadecuada, se podría acceder a la información de cualquier iPhone.

Tal y como se expresa en el propio comunicado, si esta herramienta finalmente se desarrollase y llegara a caer en manos de ciberdelincuentes, las consecuencias podrían ser nefastas, por lo que Apple directamente optó por recurrir la decisión de la jueza de San Bernardino. En Estados Unidos existe una norma comúnmente conocida como la “All Writs Act”, que autoriza a los tribunales de Estados Unidos a tomar todas las decisiones que consideren necesarias o convenientes en beneficio de su propia jurisdicción (aquí). Esta norma que, tal y como se puede apreciar, presenta un contenido manifiestamente genérico, es la que se está utilizando para requerir a los fabricantes de los dispositivos electrónicos el acceso a los mismos en el seno de una investigación criminal.

No obstante, esto no siempre es suficiente para justificar una intervención de esta índole. De hecho, en otro caso, un juez de Nueva York ha dictaminado pocos días atrás que Apple no puede ser obligada a dar al FBI acceso al iPhone de un narcotraficante, aunque debemos tener en cuenta que desde el Estado se ha recurrido la decisión (aquí). En cualquier caso, lo que se resuelva en Nueva York no tendrá repercusión alguna en lo referente al caso de San Bernardino, puesto que son jurisdicciones diferentes y lo que se decida en un territorio no vincula a los jueces y tribunales del otro.

Si este mismo caso sucediera en España, la situación no sería exactamente la misma. Es evidente que aquí también existe una obligación de colaborar con las autoridades por parte de todos los sujetos. Asimismo, se permite que, mediando una resolución judicial, se soliciten datos específicos sobre usuarios a, por ejemplo, los operadores de telefonía, tal y como establecen los artículos 588 ter a y siguientes de la Ley de Enjuiciamiento Criminal. Incluso han existido casos, como en la Sentencia del Tribunal Constitucional de 9 de mayo de 2013 (aquí), en los que el acceso policial al teléfono móvil de una persona sin autorización judicial se ha considerado válido (si bien, en el caso indicado, se accedió únicamente a la agenda de contactos). Sin embargo, no parece que bajo el paraguas de la legislación española se pudiera obligar a una empresa a “hackear” o diseñar una herramienta para dañar el sistema operativo de sus propios dispositivos. Debe tenerse en cuenta que esto, de por sí, podría suponer un acto ilegal si se dieran determinadas circunstancias.

En conclusión, nos encontramos de nuevo ante un caso en el que se abre una brecha entre la tecnología y la persecución de los delitos. En esta ocasión, además, el conflicto no únicamente afecta al ámbito de la privacidad, sino que colisiona con nuestra propia seguridad en lo que se refiere a la información. Tengamos en cuenta que a través de nuestro teléfono móvil no únicamente se puede acceder a nuestras comunicaciones de carácter privado, sino también a otra información sensible como, por ejemplo, nuestro correo profesional o nuestros datos bancarios. Este es el eje fundamental sobre el que se asienta el debate: ¿es necesario aceptar una brecha en la seguridad de nuestra información para garantizar la seguridad nacional? Según la mayoría de gigantes tecnológicos, la propuesta del FBI permitiría a los criminales estar un paso por delante. ¿Y si una medida que se toma en el seno de una investigación, por muy graves que sean los hechos del caso, acaba dando lugar a más delitos? No parece sencillo identificar, en casos como este, la decisión correcta para proteger, verdaderamente, la seguridad de todos.

Las polémicas listas de deudores de la Hacienda Pública

Como se anunció hace varios meses, la primera lista en la que se recoge la información sobre aquellas personas que le deben dinero a la Agencia Tributaria ya fue publicada y los medios de comunicación han hecho referencia a algunos nombres ilustres que aparecen entre los deudores. Se encuentran principalmente, en el contenido del documento, empresarios, abogados, deportistas y personas jurídicas.

La lista ha tenido una fuerte repercusión y ha sido criticada. Los sujetos cuyos datos se encuentran en la lista de deudores que Hacienda ha publicado se caracterizan, en la mayoría de los casos, por tener un amplio patrimonio y por manejar importantes sumas de dinero, que han servido para verificar una amplia capacidad económica, por la que se debe tributar.
El que algo debe, pagar debe, siempre que la deuda haya nacido conforme al ordenamiento jurídico. Al hablar de las obligaciones tributarias, hay que destacar que todos deben contribuir por igual para sostener las prestaciones públicas en función de la capacidad económica de casa persona, según el artículo 31.1 de la Constitución en relación con el artículo 14 de la misma norma. Sin embargo, ese aspecto es diferente a lo que se refiere directamente a la publicidad de la identidad de deudores de la Administración Tributaria, cuyos datos no deberían haberse difundido.

Hay que destacar que las listas de deudores de la Hacienda Pública están permitidas por el artículo 95 bis de la Ley 58/2003, de 17 de diciembre, General Tributaria, que establece que la Administración Tributaria acordará la publicación periódica de listados que incluirán los deudores a la Hacienda Pública por deudas o sanciones tributarias cuando concurran las siguientes circunstancias:

  • a) Que el importe total de las deudas y sanciones tributarias que estén pendientes de ingreso supere la cuantía de 1.000.000 de euros.
  • b) Que las deudas o sanciones tributarias no hubiesen sido pagadas después de haber transcurrido el plazo de ingreso en periodo voluntario.

A los efectos de lo dispuesto en el precepto, no se incluirán aquellas deudas y sanciones tributarias que se encuentren aplazadas o suspendidas. Es lógica esta regla, pues, en estos casos, no se han resuelto las vicisitudes propias de las deudas y de las sanciones impuestas.

Resulta necesario indicar que el artículo 95 bis de la Ley 58/2003 fue introducido por la Ley 34/2015, de 21 de septiembre, de modificación parcial de la Ley 58/2003, de 17 de diciembre, General Tributaria, cuyo Preámbulo dice que la medida “hay que enmarcarla en la orientación de la lucha contra el fraude fiscal a través del fomento de todo tipo de instrumentos preventivos y educativos que coadyuven al cumplimiento voluntario de los deberes tributarios, en la promoción del desarrollo de una auténtica conciencia cívica tributaria así como en la publicidad activa derivada de la transparencia en la actividad pública en relación con la información cuyo conocimiento resulte relevante” y que “La medida es totalmente respetuosa con la reserva de datos tributarios y, por tanto, con los principios en los que ésta se fundamenta, no debiendo olvidar la influencia que en esta materia tiene el de protección del derecho a la intimidad y la necesidad de potenciar el de eficacia del sistema tributario, todos ellos conjugados en la medida en que sólo serán objeto de publicidad aquellas conductas tributarias socialmente reprobables desde una óptica cuantitativa relevante, permitiendo el legislador solo la difusión de aquellas conductas que generan un mayor perjuicio económico para la Hacienda Pública que traen causa de la falta de pago en los plazos originarios de ingreso en periodo voluntario establecidos en la Ley en atención a la distinta tipología de las deudas”. Las listas de deudores tributarios se irán publicando y la única opción que tendrán para evitar que se difunda su condición es que se terminen planteando cuestiones de inconstitucionalidad por órganos jurisdiccionales conforme al artículo 163 de la Constitución Española por la posible vulneración de los derechos al honor y a la intimidad personal y familiar para que el Tribunal Constitucional analice la constitucionalidad de la Ley 34/2015.

Puede pensarse que la difusión del documento pretende ayudar a ejercer una mayor presión social sobre los deudores, aunque no parece que vaya a ser efectiva y sería mejor que se actuara directamente contra los defraudadores y otros sujetos para evitar conductas contrarias al Derecho Penal y al Derecho Administrativo Sancionador en el ámbito tributario. Además, se deben aplicar reglas de transparencia para todos, de modo que la misma exista para los ciudadanos que son deudores y para los poderes públicos, en cuyo funcionamiento se emplean recursos económicos obtenidos con tributos, siendo cierto, como señala Pere Brachfield, que “la lista debería incluir a las Administraciones que incumplen con la obligación de pagar dentro del plazo legal de 30 días, tanto las comunidades autónomas como los ayuntamientos, ya que son los mayores morosos que hay”.

 

Legislar en los tiempos de la globalización: la anulación del acuerdo de puerto seguro

El pasado 6 de Octubre el Tribunal Superior de Justicia de la Unión Europea declaraba inválida  la Decisión de la Comisión Europea que aseguraba que Estados Unidos garantizaba un nivel de protección adecuado de los datos personales transferidos desde Europa (consultar aquí). Con esta decisión se anulaba el acuerdo de puerto seguro (safe harbor), vigente desde el año 2000, que permitía a las empresas americanas, la transferencia de datos personales a un tercer país siempre que garantizasen un nivel de protección adecuado y siempre que respetasen las disposiciones legales de los Estados europeos.

Esta decisión ratificaba la opinión vertida por el abogado general Yves Bot, sobre el caso C-362/14 Maximillian Schrems/Comisario Protección de Datos (ver aquí), en el que aconsejaba suspender la transferencia de datos de los suscriptores del servicio Facebook a los servidores ubicados en Estados Unidos, al considerar que Estados Unidos no garantiza un nivel adecuado de protección de los datos.

Maximillian Schrems es un ciudadano austríaco de 27 años, doctor en derecho, que había presentado varias demandas contra Facebook y otras empresas tecnológicas al considerar que al transferir sus datos a Estados Unidos violaban su derecho a la privacidad.  La sentencia, y la propia demanda, deben entenderse como una de las muchas consecuencias de las revelaciones de Edward Snowden en el año 2013, en las que desvelaba los programas de espionaje masivos por parte del gobierno de Estados Unidos sobre los datos almacenados por todas las empresas tecnológicas. La confianza entre Europa y Estados Unidos se había quebrado y los efectos se han dejado sentir en muchos ámbitos.

El acuerdo de Safe harbor data del año 2000. En el 1998 Europa había aprobado la Directiva sobre protección de datos, que prohibía las transferencias de datos entre países, salvo entre países europeos (sujetos a la misma legislación), y entre terceros países que se adhirieran a una legislación considerara segura.  Entre esos países no se encontraba Estados Unidos. Para superar esta dificultad, el 26 de julio del año 2000 la Comisión Europea firmó un acuerdo de Safe Harbor, por el que Estados Unidos no necesitaba formalizar ningún cambio en su sistema legal. Era suficiente con que sus empresas acreditaran unas normas de privacidad equivalentes a las europeas para que pudieran considerarse “puertos seguros”, y pudiesen prestar sus servicios a los ciudadanos europeos. La lista de empresas acogidas al acuerdo de Puerto Seguro supera hoy las 4.000 entre las que se encuentras todas las grandes empresas tecnológicas, como Facebook, Microsoft, Google, Apple o Amazon (puede consultarse la lista aquí).

Es importante entender que mientras en Europa la privacidad es un derecho básico de los ciudadanos, en Estados Unidos se entiende como un derecho en el marco de las relaciones comerciales entre las empresas y sus clientes. Sin duda esta diferente visión ha permitido que los modelos de negocio basados en el uso y explotación de datos personales, que han llevado al éxito a muchos de los hoy gigantes de Internet, se hayan desarrollado en Estados Unidos y no en Europa.

El Puerto Seguro fue un primer ejemplo de los intentos por superar las dificultades que supone prestar servicios en un mundo global, basados en legislaciones nacionales o regionales, diferentes entre sí.  Las diferentes legislaciones suponen un desafío para la creación de mercados de servicios globales. Si en el año 1998 las transferencias de datos eran la excepción, hoy, en el año 2015, las trasferencias son en gran medida la base de la economía digital. Pretender limitar esas transferencias sería similar a pretender limitar la transferencia de capitales en un mundo globalizado.

El mundo digital incrementa este desafío. Entender cuál es la legislación que debe aplicarse a un servicio que presta una empresa americana, a un ciudadano español, cuando sus datos se almacenan en la India, y esta empresa no cuenta con ninguna sede física en territorio español requiere algo más que una sencilla respuesta que abogue por la estricta aplicación de la legislación española. También podemos preguntarnos sobre cuáles son los derechos que amparan a ese ciudadano, y qué jurisdicción puede garantizar que se atienden los derechos y las demandas de este ciudadano.

Esta situación se ha puesto también de manifiesto en las dificultades que plantea la negociación de los nuevos tratados comerciales. El caso del TTIP fue analizado recientemente en este blog (ver aquí). Para una actividad, como es el intercambio comercial, que siempre ha generado desarrollo económico y bienestar en cualquier país, no deja de ser paradójico que un tratado que pretende impulsar las relaciones comerciales entre Europa y Estados Unidos, se vea como una amenaza para el modo de vida europeo.  Las críticas al tratado se han centrado en el oscurantismo en el que transcurren las negociaciones, en la creación de tribunales arbitrales específicos para las grandes empresas, y en las consecuencias derivadas de la homogeneización de la legislación europea y americana, en ámbitos como el laboral o el medioambiental.

Son muchos los prismas con que puede analizarse este Tratado, pero al igual que en el caso del acuerdo de Puerto Seguro, el interés de este artículo se centra en la falta de homogeneidad entre las legislaciones y las dificultades que ello plantea. Si hace años los tratados comerciales se centraban en la negociación de los aranceles, y eran estos aranceles la principal barrera para el comercio, hoy, esas barreras se encuentran en los marcos legislativos. Las empresas europeas suelen señalar que Estados Unidos utiliza la legislación de seguridad como mecanismo de protección de sus empresas. En la misma forma, Estados Unidos acusa a Europa de utilizar la legislación de privacidad para entorpecer la prestación de servicios digitales a las empresas americanas. Debe entenderse que ese es el trasfondo real tras la difícil negociación de estos acuerdos comerciales.

La decisión sobre el Puerto Seguro ha puesto de manifiesto las dificultades de mantener legislaciones nacionales en un mundo cada vez más global, y en un mercado de servicios digitales, en el que las fronteras físicas, pierden gran partido de su sentido. Igualmente los servicios digitales plantean cuestiones sobre la jurisdicción y los tribunales competentes, que merecerían mayor atención. Las organizaciones supranacionales, despiertan un enorme recelo entre la ciudadanía, no sin razón. Mientras la aprobación de las legislaciones nacionales en las sociedades democráticas está legitimada por los parlamentos elegidos en votaciones libres, los ciudadanos siguen viendo lejanos y faltos de legitimidad a las organizaciones supranacionales. Si no son estos organismos los que pueden dar respuesta a una economía que cada vez requiere una mayor homogeneización en la  legislación básica, y una jurisdicción que pueda afrontar los desafíos que plantea la extraterritorialidad que impera en las relaciones del mundo digital, la respuesta debe buscarse en otros mecanismos. La extraordinaria complejidad de las negociaciones del TTIP, y la anulación del acuerdo sobre el Puerto Seguro revela que no será sencillo.

En el caso del acuerdo sobre el Puerto Seguro, la Comisión Europea se ha comprometido a aprobar un nuevo acuerdo en un plazo de 3 meses. Desde enero de 2014, la Comisión Europea venía trabajando para dotar de mayor seguridad al acuerdo de Puerto Seguro sobre la base de 13 recomendaciones (ver aquí), ante las perspectivas de que el acuerdo fuese anulado. Tras la sentencia del Tribunal, la Comisión ha intensificado las negociaciones con los Estados Unidos para concluir esas negociaciones en el plazo de tres meses. En cualquier caso, las empresas americanas pueden utilizar otros mecanismos (basados en contratos y acuerdos privados) para continuar con sus trasferencias de datos personales, pero son mecanismos más complejos en su tramitación y gestión.

Las perspectivas de que la Comisión Europea y Estados Unidos lleguen a un acuerdo no son muy positivas, dado el actual clima de desconfianza. En cualquier caso, este acuerdo, no es sino un primer síntoma de las dificultades para que un entorno legal basado en jurisdicciones nacionales, se acomode a un mundo digital, de fronteras difusas, y jurisdicciones cuestionadas.

 

 

HD Joven: El consentimiento informado en las aplicaciones móviles: “Acepto”, ¡“Acepto”!, ¡¡“Acepto”!!

El transcurso cotidiano de la vida no nos permite dar la suficiente importancia a cosas que sin duda la merecen. Entre ese tipo de cosas, probablemente sea de mención la descarga de aplicaciones móviles y la a menudo consiguiente cesión de datos personales a las empresas.

Sucede, en efecto, que, la instalación de una aplicación en el móvil conlleva las más de las veces cierta cesión de información del usuario final a las empresas desarrolladoras. Aplicaciones como Facebook, Messenger, WhatsApp e Instagram, por ejemplo, acceden a los datos almacenados en nuestros dispositivos, y da la impresión de que ninguno damos suficiente importancia a esta circunstancia. Permitimos el acceso de terceros a nuestras listas de contactos, nuestros mensajes, nuestras fotografías, nuestros vídeos y otros datos personales y sin pestañear, con un solo click.

Precisamente a causa de nuestras prisas y ajetreos diarios, el Derecho protege a los usuarios, de forma que obliga a las empresas a facilitar información clara y completa, antes de la introducción y la extracción de datos del dispositivo. Así que ¡no se preocupen! ¡Gloria a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, que protege nuestra privacidad! Ahora la pregunta es: ¿se cumple esta ley a rajatabla? ¿Prestamos realmente un consentimiento informado antes de descargar una aplicación?

Para tratar datos personales, el principal fundamento jurídico aplicable es, como no podía ser de otra manera, el consentimiento por parte de quien descarga la aplicación. Una manera de ofrecer a los usuarios finales información sobre las características fundamentales de una aplicación antes de la instalación es requerir de una acción positiva del usuario antes de que la aplicación se descargue y se instale (p.ej., pulsar el botón “instalar”). Sin embargo, es muy probable que, en muchas ocasiones, no se aporte la información suficiente como para considerar aquél un consentimiento válido e inequívoco para la cesión a la empresa del tratamiento de datos tan personales como las fotografías o las conversaciones guardadas en WhatsApp. Estoy seguro de que muchos se escandalizarían al descubrir quiénes han podido –tener la oportunidad de- leer nuestros más íntimos secretos.

Resulta indudable, pues, que el usuario debe tener la opción de aceptar o denegar el tratamiento de sus datos personales. No puede vérselas ante una pantalla que contenga solamente un “Acepto”, que pulse únicamente para completar la instalación cuanto antes, sino que debe tener la oportunidad de detener la instalación de una forma u otra. Por ello, por supuesto, es preciso que la información esté disponible antes que se produzca cualquier tratamiento de datos personales. Ello significa que la simple pulsación del botón “Aceptar” no se considera consentimiento válido para el tratamiento de datos personales; para satisfacer los requisitos legales se debería, por una parte, informar sobre los elementos esenciales del servicio y, en segundo lugar, solicitar el consentimiento específico para cada uno de ellos.

Si una aplicación ofrece, por ejemplo, información sobre hoteles cercanos, para instalarla, el desarrollador debe obtener el consentimiento del usuario previamente, es decir, debería solicitar el acceso a los datos de geolocalización. Pero, prestado el consentimiento por el usuario, la aplicación sólo puede acceder a los datos de localización del dispositivo para procesar los datos, de manera que cualquier otro tratamiento de datos requerirá, nuevamente, información adicional y concreta respecto del servicio prestado, también concreto, y un consentimiento inequívoco y por separado que habilite a la empresa a su prestación. Lo mismo ocurre en las aplicaciones de running, que ofrecen una función para que el usuario pueda registrar todo el recorrido y los kilómetros que ha hecho: el consentimiento de registro se limitaría al tiempo en que el programa este activado y todo registro diferente a la localización y kilómetros que haga la misma aplicación se consideraría probablemente excesivo y, por consiguiente, ilícito.

A pesar de lo anterior, lo cierto es que los desarrolladores de aplicaciones sí pueden tratar ciertos datos personales, siempre y cuando no sean sensibles, sin necesidad de recabar el consentimiento del usuario, en la medida en que determinado tratamiento de datos sea estrictamente necesario para realizar el servicio deseado. Como ustedes sabrán, en una aplicación de banca móvil, para atender a la solicitud de pago, el banco no nos solicita el consentimiento por separado del usuario para revelar el nombre, por una parte, y número de cuenta personal, por otra. Como es lógico, esa información es estrictamente necesaria para ejecutar el contrato con ese usuario concreto y, en este caso, los derechos y libertades fundamentales del usuario no resultan objeto de mayor proteccionismo legal. Eso sí: desde el momento en que el tratamiento de esos datos se vuelve excesivo e inadecuado a las distintas finalidades del servicio prestado, el tratamiento requiere de un nuevo y concreto consentimiento, o se considerará directamente ilegal.

Así pues, en vista de las irregularidades que se podrían cometer por parte de algunos desarrolladores de aplicaciones, derivadas fundamentalmente de la no obtención previa de un consentimiento válido e informado, ya sea porque recogen datos de manera desproporcionada o porque no son necesarios para el uso de la aplicación, el ordenamiento nos da la posibilidad de suplir esa pereza que nos suscita la lectura de condiciones particulares extensas o de exigir protección cuando, aun habiendo leído esas condiciones, se produce una vulneración referente al tratamiento de datos de la misma. Desafortunadamente, es un remedio y, por tanto, a posteriori (una vez ya cometida la infracción).

A este respecto, la Ley Orgánica de Protección de Datos de Carácter Personal permite sancionar a las empresas cuando se acredite un mal uso en el tratamiento de datos de sus usuarios. Las sanciones, por cierto, pueden alcanzar los 300.000 euros. A fin de evitar un buen disgusto a las empresas, es preciso que los fines del tratamiento de esos datos estén bien definidos y sean comprensibles para un usuario medio. El responsable del tratamiento de los datos debe informar sobre quién es, qué datos va a recopilar, para qué usos o finalidades, si esa información será cedida a terceros y la forma que tiene el usuario para revocar su consentimiento y cancelar sus datos. Además, los usuarios de aplicaciones deben tener siempre la posibilidad de ejercer sus derechos de acceso, rectificación, cancelación y oposición.

Mi consejo es que los usuarios no confíen tanto en la ley y que se informen, que conozcan para qué serán tratados sus datos, y así eviten sorpresas. Para las desarrolladores de aplicaciones, por su parte, mi consejo es, como se suele decir, “mejor prevenir que curar”; mejor no arriesgarse en incumplir con la normativa, ya que de resultar ser infractor podría comportar sanciones importantes, y, ante la duda, sin propósitos comerciales lo digo, siempre puede uno contactar con un abogado especialista.

Flash Derecho: Jornada y presentación del libro sobre “Préstamo responsable y Ficheros de solvencia patrimonial”

El próximo día 27 de Febrero de 2015 tendrá lugar en el salón de actos del Colegio Notarial de Madrid, la jornada dedicada a “Préstamo Responsable y Ficheros de Solvencia” coordinado por la editora Dña. Matilde Cuena Casas y D. Lorenzo Prats Albentosa y publicado por la editorial Thomson Reuters-Aranzadi.

Analizaremos aspectos clave relacionados con la prevención del sobreendeudamiento privado: obligación de evaluar la solvencia por parte del prestamista, información crediticia de los consumidores y privacidad financiera.
Contaremos con representantes de los sectores afectados: Asociaciones de consumidores, Agencia de Protección de Datos, Agencias privadas de información crediticia.

Horario: 10,00- 14.00 horas

Entrada gratuita

Inscripciones:  Elena.Alvarez@experian.com

Invitación jornada

Donde empieza el morbo, acaba el interés informativo que la Constitución protege. A propósito de la publicación de la Lista Falciani

Con estos años de crisis casi nos habíamos olvidado de Hervé Falciani, aquel informático de la filial suiza del HSBC que en 2009 se enfrentó a la que es, junto al reloj de cuco, la institución más característica del país helvético: el secreto bancario.

Ese año, Falciani reveló a las agencias tributarias de varios países información sobre las cuentas de más de 130.000 clientes del banco. Esta revelación, amén de motivar que el gobierno suizo cursase contra el propio Falciani orden de detención internacional por un presunto delito de revelación de secretos, fue origen de distintos procedimientos de inspección tributaria (denominados, en ocasiones, de “regularización” tributaria). En particular, al fisco francés y al español les resultó interesante conocer quiénes de entre sus residentes se encontraban en la dichosa lista; porque en la mayor parte de los casos los saldos de las cuentas enumeradas eran, cuando menos, cuantiosos; y porque esos saldos procedían en ocasiones de ingresos que no estaban siendo declarados ante la Hacienda Pública como correspondía.

No obstante, esa lista de más de 130.000 clientes, conocida como la Lista Falciani, no es en sí misma una lista de defraudadores. Es una lista de clientes.

En efecto, parece evidente que la lista incluye algunas personas que han recurrido a la banca suiza confiando en que su secretismo les ayudaría a ocultar la procedencia o, incluso, la existencia de sus ingresos. Pero no todos los clientes de un banco suizo buscan escapar de las autoridades tributarias o blanquear capital amparándose en la opacidad del sistema. Muchos buscan, simplemente, tener su dinero depositado en uno de los sistemas bancarios más estables y seguros del mundo.

Han pasado varios años y, ahora, tras una prolongada investigación, una asociación internacional de periodistas de investigación (International Consortium of Investigative Journalists) ha hecho pública parte de la Lista Falciani. Por lo que respecta a España, esa publicación se está llevando a cabo, de forma seriada, a través el diario digital el Confidencial (y parece ser que también se hará a través de la cadena de TV la Sexta, perteneciente al grupo de comunicación atresmedia).

Pues bien, en esta publicación se incluyen algunos nombres que, según informaciones contrastadas o publicadas anteriormente, han sido objeto de procedimientos de inspección o regularización tributaria (notorio es el caso del difunto banquero, don Emilio Botín). Pero también, y esto llama la atención, se incluyen nombres de personas que, según la propia publicación, no parece que hayan cometido delito o ilícito tributario alguno. Se trataría de personas que simplemente tendrían su dinero en Suiza o bien porque eran residentes fiscales allí (es el caso al parecer del piloto de Fórmula 1, Fernando Alonso, y del cantante británico Phill Collins); o bien porque así lo habían decidido, pero declarándolo oportunamente ante las autoridades tributarias de su país de residencia (el caso de la modelo Elle McPherson).

¿Por qué se han publicado los nombres de estas últimas personas y se ha sometido su patrimonio al escrutinio público, si no han cometido delito ni, siquiera, irregularidad administrativa alguna?

La pregunta es pertinente. Parece evidente que a quienes aparezcan en esa lista esta publicación les molestará; porque afecta a un aspecto de su vida que han elegido excluir del escrutinio público, algo que dejó de ser parte de sus vidas hace más de cinco años; y porque arroja a la luz pública datos de carácter personal y reservado. Es decir: la noticia incide en el derecho a la intimidad de estas personas, por cuanto no respeta ese ámbito que los afectados han reservado del conocimiento ajeno; o cuando menos, al llamado derecho al olvido, por cuanto esta información posiblemente ha dejado de ser de interés público con el paso de los años; y en todo caso supone un tratamiento de datos de carácter personal que los afectados no han consentido conforme a lo previsto en el artículo 6 de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal.

Así que, insistiendo: ¿Por qué, entonces, han de soportar estas personas que se divulguen sus nombres, los datos de sus cuentas y el dinero que tenían en ellas hace años? ¿O es que no han de soportar tal sacrificio?

En principio, el derecho a la intimidad (y lo mismo sucede con el derecho al honor, el derecho a la propia imagen y el derecho al control sobre los propios datos o habeas data) pueden tener que ceder ante la libertad de información que consagran el artículo 20 de nuestra constitución y el artículo 10 del Convenio Europeo de Derechos Humanos. Es ya harto conocida la jurisprudencia según la cual nuestros derechos al honor y a la intimidad pueden tener que ceder ante la libertad de información siempre que, en la ponderación entre aquéllos y ésta, sea ésta la que deba prevalecer. Y esto sucederá cuando sea necesario para divulgar una noticia de interés público, entendiendo como interés público aquello que objetivamente deba interesar a una sociedad democrática y no aquello que sea, subjetivamente, de interés para el público (puesto que el público puede moverse en este sentido por su morbosa curiosidad).

Concurriendo este interés, se justificará una intromisión en la intimidad ajena. En el caso del derecho al honor, se exige además, para que prevalezca la libertad de información, que la noticia sea veraz; entendiendo por veraz no la que es exacta o verdadera, sino aquella que se ha contrastado debidamente con el propósito de evitar falsedades e inexactitudes. Por supuesto, se exige, además y en todo caso que se eviten expresiones innecesariamente injuriosas (no existe, bajo ninguna circunstancia, un derecho al insulto).

Bajo estas premisas, una información sobre un delito es de interés público, sobre todo si se trata de un delito que causa alarma social. Y por lo que respecta las informaciones sobre la Lista Falciani, parece indudable el interés público en conocer la existencia de prácticas bancarias que, aun sucediendo en Suiza, posibilitan que quienes quieran aprovechar sus características eludan sus obligaciones tributarias. En efecto, no parecen concebibles muchos debates de más interés para nuestra sociedad que el relativo a la obligación que todos tenemos de alimentar las arcas del Estado. En este sentido se expresa el propio medio, aquí, al explicar que considera importante publicar la lista “porque revela el modus operandi para la ocultación de personas y patrimonios, normalmente a través de numerosas sociedades pantalla domiciliadas en paraísos fiscales […] y hombres de paja, con el fin de dificultar todo lo posible la identificación de los propietarios del dinero”.

Aún siendo la noticia de interés público, no debe obviarse que ello no basta para justificar la publicación de nombres concretos. Porque, según constante jurisprudencia, ha de realizarse una ponderación separada y distinta, por un lado, del interés público genérico en divulgar la noticia y, por otro, del que en su caso justifique revelar la identidad de las personas involucradas en la misma. Así, se explica, por ejemplo, esta Sentencia del Tribunal Supremo de 1992.

A veces esta ponderación permitirá identificar a los afectados por su nombre y apellidos. En este sentido, numerosas sentencias del Tribunal Constitucional y del Tribunal Supremo afirman que el artículo 20 de la Constitución no sólo ampara la noticia de un delito, sino, más aún, la divulgación de la identidad de los involucrados si se trata de personajes públicos por razones subjetivas (ya eran conocidos) u objetivas (hay un interés objetivo en conocer de ellos a raíz precisamente del hecho noticioso). De esta manera, no infringe la intimidad informar que el concejal Gutiérrez ha sido imputado por un delito de prevaricación o que la policía nacional ha detenido a la hasta ahora desconocida señora Al-Khatib por su pertenencia a una célula yihadista. La relevancia del cargo del primero, así como la importancia pública que adquiere la identidad de la segunda por la propia naturaleza de la noticia en que está involucrada justifican algo así. Así, esta, esta o esta sentencia del Tribunal Supremo. Desde ese punto de vista, parecería que en principio la divulgación de la identidad de los clientes de la lista que sean personalidades públicas y respecto de las que se hayan iniciado acciones por delitos tributarios está justificado.

Pero en otras ocasiones, por el contrario, no se permitirá tal identificación. Y es que, por lo que respecta a esta lista, no parece que haya interés público alguno en revelar la identidad y detalles bancarios de personas anónimas que ni son personajes públicos ni se han visto involucrados en delito alguno. Así lo parece reconocer el propio medio cuando, en la misma nota referida más arriba, explica que ni el mismo ni el ICIJ publicarán la lista completa, excluyendo a todas aquellas personas que no sean conocidas, porque “Se trata de una base de datos que contiene información bancaria, además de personal, que no puede ser publicada en bruto y sin contexto, […] Y, sobre todo, una enorme porción de la lista carece de interés general: la gran parte de los nombres son desconocidos para la opinión pública”.

Hasta aquí, parece claro que no concurre interés público en revelar la identidad de aquellos clientes de la Lista Falciani que no son personajes públicos. Y, en el otro extremo, parece justificado que se publiquen los detalles sobre aquellos que sí son personajes públicos y que, además, se hayan visto involucrados en procedimientos relativos a la posible elusión de sus obligaciones tributarias.
Pero lo anterior sigue sin resolver qué pasa con aquellas personas de la lista que, siendo personajes públicos, no han estado involucrados en ningún tipo de procedimiento.

La cuestión requiere de un análisis jurídico un poco más fino que el realizado hasta ahora y, también y en todo caso, requiere de un ejercicio de sólida ética periodística. Porque lo que dice la jurisprudencia (sirva, por todas, esta sentencia del Tribunal Constitucional) es que los personajes públicos, aunque siguen gozando de intimidad, ven reducido el ámbito de protección de la misma, por cuanto será de interés público informar de aquello relacionado con su actividad pública, incluso cuando en principio debiera pertenecer a su esfera privada. Eso sí, en todo caso, debe haber una relación directa y un interés justificable. Así que, por ejemplo, una enfermedad que pueda afectar al rendimiento y un deportista de élite, aunque sea una noticia sobre una esfera estrictamente privada de las personas (su propia salud) puede ser objeto de una noticia de interés público (precisamente porque afecta a su faceta pública de deportista de élite). ¿Lo es saber que unas personas públicas, sin haber incurrido en ilícito alguno, tenían hace años unas cantidades determinadas en un banco en concreto? El medio que ha publicado la lista parece pensar que sí, puesto que también justifica la importancia del reportaje en que “es la primera vez en la historia que se descubren con nombres y apellidos las cuentas que grandes fortunas de todo el mundo escondían en un banco en Suiza” y en que “los nombres que aparecen son de primerísima fila”.

El análisis que ha realizado ese medio, no obstante, parece interesado. En el reportaje se incluyen hasta datos de los saldos concretos que en momentos determinados tenían algunas personas. Parece apropiado, en una sociedad democrática, conocer de la existencia de este tipo de entramados, y asimismo qué personajes públicos los han utilizado para infringir sus obligaciones tributarias. Pero, más allá de ello no parece justificable ofrecer este tipo de detalles respecto de personas que, por muy conocidas que sean, no he cometido ningún tipo de irregularidad.

Otro detalle que apoyaría este análisis, aunque no incida sobre su meollo, es el tratamiento que la noticia está teniendo en los otros medios que se hacen eco de la misma. Un tratamiento que ya no sólo parece afectar al derecho a la intimidad, sino que, más allá, incide sobre el honor de estas personalidades. Y es que hay medios que, al dar noticia de la lista, explican cómo podían utilizarse las cuentas en Suiza para evadir impuestos e identifican a las personalidades incluidas en la lista sin aclarar que no han estado involucradas en ninguna actividad ilícita (dando a entender, por tanto, que sí lo han estado). Sirva como ejemplo esta noticia de un conocido medio de Internet, que bajo el titular “Swiss Leaks: los famosos involucrados en el escándalo fiscal de la Lista Falciani” explica que “más de 100.000 clientes de la filial suiza del HSBC usaban este banco para evadir impuestos” y pone como ejemplos a personas que, según lo expuesto antes, no han cometido ninguna irregularidad. No es de extrañar que, en esta tesitura, alguna de estas personas (el piloto Fernando Alonso) haya anunciado acciones contra los medios que den a entender que sí ha cometido irregularidades tributarias.
Quizás parezca un análisis demasiado fino o subjetivo; o quizás la respuesta a todo esto esté en preguntarse qué utilidad tiene identificar dónde tienen su dinero estos personajes públicos si, por otra parte, no han hecho nada incorrecto. Si lo único que se intenta es satisfacer el morbo del público, no parece razón suficiente para sacrificar lo que, no perdamos de vista, sigue siendo un derecho fundamental de las personas: su intimidad.

La megaencuesta mentirosa en Cataluña. Contra la verdad y la libertad

 

Es conocida la frase de Benjamín Disraelí, a veces erróneamente atribuida a Mark Twain, de que las falsedades pueden clasificarse en mentiras, grandes mentiras y estadísticas. Lo que es mucho más cierto aún si las cifras quieren sacarse de  encuestas como ésta, que se está realizando en Cataluña, promovida por la Asamblea Nacional Catalana y Omniun Cultural. Que ocho mil voluntarios estén recorriendo los hogares catalanes para hacer una encuesta como esa nos plantea algunas reflexiones.

Los promotores.

La encuesta está organizada e impulsada por la Asamblea Nacional Catalana (ANC) y por Òmnium Cultural. Ambas son superestructuras creadas y desarrolladas por las fuerzas nacionalistas y por instituciones dominadas por aquéllas para impulsar la secesión de Cataluña. Sus ingresos son de origen básicamente público. Es decir, se trata de organismos fuertemente subvencionados por el Gobierno catalán y por otras administraciones dirigidas por partidos nacionalistas catalanes.

Con esos abundantes ingresos han podido desplegar en los últimos años una importante actividad. Son de hecho muchos los millones de euros de los contribuyentes que se han utilizado en instrumentos como éstos destinados a difundir el independentismo. Este informe policial, probablemente aún inexacto en tanto está en elaboración, calcula que a lo largo de las últimas décadas se han destinado a este fin más de 20.000 millones de euros. Y ello en una región con una administración arruinada y necesitada de permanentes ayudas del Estado. Pero aunque fueran muchos menos la pregunta debe seguir planteándose: ¿Tiene sentido que las administraciones públicas territoriales, que como tales forman parte de la estructura del Estado, dediquen abundantes medios y esfuerzos a destruirlo? ¿No existe en este caso una clara desviación de fondos para ser utilizados para fines ajenos al de esas administraciones? ¿No estamos ante un grave incumplimiento de obligaciones básicas?

Si hemos montado una estructura territorial destinada a autodestruirse, si es admisible que las voces y propuestas disgregadoras cuenten en algunas regiones con amplios recursos a cargo de los contribuyentes mientas las partidarias de mantener la unidad y convivencia de los españoles no “tienen quien les escriba” allí, quien las financie y apoye, es que hay algo que hemos hecho muy mal. Y que toda nuestra estructura territorial debe replantearse de raíz.

El Gobierno catalán no es ajeno a esta iniciativa de la encuesta y no sólo la financia a través de de esas entidades, sino que además la ha apoyado públicamente. La propia Consejera de Educación participó en su lanzamiento. Lo que no es precisamente tranquilizador respecto al sesgo de dicha educación en Cataluña y los fines que también a través de ésta se pretenden alcanzar.

El contenido propagandístico de la encuesta.

La encuesta se imbrica dentro de la campaña por el SI en el Referéndum (si somos precisos en la terminología) que el Tribunal Constitucional ha suspendido. Sin que ello haya impedido que se siga gastando en propaganda sin recato.

El formulario, antes de solicitar la respuesta a cada una de las seis preguntas hace una o varias afirmaciones de presupuestos de hecho que se tienen como ciertos o indubitados, como puede verse, por ejemplo, en la pregunta 1:

“Si Cataluña fuera un estado tendría entre 8.000 y 16.000 millones de euros más. ¿Cómo piensa que se deberían gastar?”

Y así se configuran todos los apartados que incluyen las preguntas. Éstas se plantean después de una afirmación que configura la secesión, expresa o implícitamente, como una entrada en el paraíso. Cómo con tanta riqueza recuperada se podrían mejorar los servicios públicos; Cómo al partir de cero se podría renovar y mejorar y mejorar la democracia (¿con los mismos partidos nadando en corrupción?). Que la futura Cataluña secesionada va a seguir en la UE por ser contribuyente neta y cumplir todos los requisitos (¿también el voto unánime de los demás países miembros? Que va a depender de su exclusiva decisión si siguen o no en la UE (¿otra ferolítica derivación de ese presunto “derecho a decidir”, que al parecer debe pasar por encima de las objeciones de cualquier otro interesado directo?). A pesar de que todos los responsables comunitarios (al parecer unánimemente equivocados) han advertido que cualquier país secesionado queda fuera. Y que no va a haber problema para el castellano, que también será lengua oficial, y además se hablarán muchas, muchas lenguas más…

Sorprende que se les haya olvidado incluir entre los presupuestos implícitos el de que el Barcelona, C.F. seguirá, por supuesto, en la liga española… ¡Siempre que ellos quieran, claro! Porque también tienen previsto que puedan “ejercer su derecho a elegir” el  pasar a la francesa. Que aunque ya les haya negado Francia esa posibilidad sin duda lo han dicho “de broma”. Lo mismo que han dicho en la UE que quedarían fuera ¡A toda esa gente cómo se le va a tomar en serio!

No es difícil comprender que con la encuesta se trata de colar también verdadera propaganda pro secesión. Y una propaganda basada, además, en manifiestas mentiras. La estrategia de pedir la opinión del encuestado para poder trasladarla a los representantes políticos no tiene otro objetivo que conseguir un destinatario más receptivo.

¿Un censo ideológico?

Con la encuesta, a través de las respuestas, se trata también de deducir la orientación o el sentimiento nacionalista o no del encuestado. Al mismo se le llega a preguntar al final si irá a votar. Y se le pide sus datos personales: nombre, dirección, teléfono y correo. Y como se realiza “puerta a puerta”, visitando directamente los hogares, hasta la recepción hostil a la encuesta puede quedar registrada. Este potencial identificador resulta inquietante en una región donde la pasión nacionalista cultiva una creciente hostilidad contra quienes no lo son o se resisten a aceptar sus imposturas, que se han visto ya insultados y amenazados (ellos o sus familiares) como traidores quintacolumnistas.

Esta recogida de datos ideológicos y el posible uso que pueda hacerse de los mismos ya ha sido objeto de múltiples denuncias y ha originado el comienzo de una investigación de la Agencia de Protección de Datos.

El problema se plantea en dos ámbitos. Desde un punto de vista tecnico-jurídico esos datos ideológicos son de alta protección, de “máxima vulnerabilidad”, conforme a la Ley de Protección de Datos. Y requerirían de unos blindajes, para evitar su utilización para otras finalidades, que según los indicios y las denuncias, no se han adoptado. Y no sería la primera vez que los datos de esa entidad son filtrados.

Pero aún es más preocupante su trascendencia política. En julio pasado, la ANC anunció que uno de sus objetivos inmediatos era el de “elaborar una base de datos de 2,5 millones de personas que afirmen que votarán ‘sí’ el 9 de noviembre”.

La entidad justificó la creación de esta suerte de lista de ‘buenos catalanes’ para poderles “enviar mensajes en todo momento e informar con puntualidad, incluso cuando haya nuevas adversidades o se quiera impedir el ejercicio democrático del voto”. Sin duda la encuesta ha sido el medio elegido.

Ese fin no puede dejar de inquietar a las personas no nacionalistas, que cada vez se sienten más tratadas como disidentes. Algunas entidades, como la Asociación por la Tolerancia, han denunciado que esa llamada ‘Gigaencuesta’ “constituye una evidente coacción a domicilio contra la convivencia, que la campaña es “intimidatoria”, y puede significar la “identificación de desafectos” elaborando “un censo de disidentes, contrarios a la independencia”, que se arriesgan a posibles “posteriores represalias”.

La actuación de la APD, por supuesto, ya ha sido tachada en el magma secesionista de anticatalana y maliciosa. Pero ¿Qué sería del respeto a la ciudadanía y a la intimidad de las personas si estos últimos restos del Estado desaparecieran de Cataluña?

El objetivo autoproclamado en la propia encuesta es saber “cómo debe ser el país nuevo que queremos construir entre todos”, de nuevo con una aseveración tan tajante como falsa, salvo que se pretenda que los que no sean partidarios de la secesión en realidad no existen. Pero lo que en realidad nos permite es obtener una idea muy clara del país al que aspiran sus promotores. Y también del desprecio que esos próceres de la secesión sienten por la verdad y la libertad.

 

¿Puede el empresario controlar el correo electrónico del trabajador?

Portada del diario El País del pasado 10 de octubre: “El Constitucional avala que la empresa vigile el correo del trabajador”. Portada de ABC: “El TC avala que la empresa controle el email corporativo de sus trabajadores”. Portada de La Vanguardia, a cinco columnas: “El TC avala que el jefe vigile los correos de sus empleados”… ¿Era para tanto? En mi opinión, no. De hecho, el Tribunal Constitucional ya había legitimado ese control empresarial de las comunicaciones de los trabajadores, siempre en determinadas circunstancias y con ciertos requisitos. La reciente sentencia de 7 de octubre de 2013, contiene, sin duda, alguna novedad reseñable, pero no me parece que, por su alcance real, mereciera tal relevancia mediática.

 

El 26 de septiembre de 2007 el Tribunal Supremo, en unificación de doctrina, fijó su posición sobre la revisión empresarial del ordenador: “Se trata de medios que son propiedad de la empresa y que ésta facilita al trabajador para utilizarlos en el cumplimiento de la prestación laboral, por lo que esa utilización queda dentro del ámbito del poder de vigilancia del empresario”. Ello implica que pueda adoptar medidas de comprobación de la observancia de los deberes laborales, siempre dentro del respeto a la dignidad del empleado.

 

El Supremo negó que las restrictivas normas que rigen el registro de las pertenencias del trabajador (artículo 18 del Estatuto de los Trabajadores) fueran también aplicables al acceso al contenido de los equipos informáticos de la empresa porque “tanto la persona del trabajador, como sus efectos personales y la taquilla forman parte de la esfera privada de aquél y quedan fuera del ámbito de ejecución del contrato de trabajo” al que se extiende el poder empresarial. Por el contrario, “las medidas de control sobre los medios informáticos puestos a disposición de los trabajadores se encuentran, en principio, dentro del ámbito normal de esos poderes: el ordenador es un instrumento de producción del que es titular el empresario (…) y éste tiene, por tanto, facultades de control de la utilización, que incluyen lógicamente su examen”. Por otra parte, a diferencia de lo que sucede con la taquilla o las pertenencias del empleado, “con el ordenador se ejecuta la prestación de trabajo y, en consecuencia, el empresario puede verificar en él su correcto cumplimiento”.

 

El control del contenido de los equipos informáticos deriva, pues, del poder de dirección empresarial (artículo 20.3 del Estatuto de los Trabajadores), pero puede colisionar con el derecho a la intimidad cuando “existe un hábito social generalizado de tolerancia con ciertos usos personales moderados de los medios informáticos y de comunicación facilitados por la empresa a los trabajadores”. Eso genera una expectativa de confidencialidad, que el Supremo estima que “no puede ser desconocida”, pero que tampoco puede “convertirse en un impedimento permanente del control empresarial, porque, aunque el trabajador tiene derecho al respeto a su intimidad, no puede imponer ese respeto cuando utiliza un medio proporcionado por la empresa en contra de las instrucciones establecidas por ésta para su uso”.

 

El TS apunta así a una fórmula para que ese control empresarial sea admisible: “Lo que debe hacer la empresa de acuerdo con las exigencias de buena fe es establecer previamente las reglas de uso de esos medios -con aplicación de prohibiciones absolutas o parciales- e informar a los trabajadores de que va existir control y de los medios que han de aplicarse en orden a comprobar la corrección de los usos”. De esta manera, cuando el medio se utilice en contra de tales prohibiciones y con conocimiento por parte del trabajador de las medidas aplicables, “no podrá entenderse que, al realizarse el control, se ha vulnerado una expectativa razonable de intimidad”.

 

En su sentencia 241/2012, de 17 de diciembre, el Tribunal Constitucional ya tuvo oportunidad de referirse a las “cuentas de correo electrónico asignadas por la empresa a los trabajadores”. Consideró que “el ejercicio de la potestad de vigilancia o control empresarial sobre tales elementos resulta limitada por la vigencia de los derechos fundamentales” pero que, a estos efectos, es determinante la existencia de normas establecidas por la propia empresa: “Los grados de intensidad o rigidez con que deben ser valoradas las medidas empresariales de vigilancia y control son variables en función de la propia configuración de las condiciones de disposición y uso de las herramientas informáticas y de las instrucciones que hayan podido ser impartidas por el empresario a tal fin”. En aquella ocasión como ha sucedido ahora, ya se denegó el amparo a la recurrente: el Constitucional entendió que, al acceder a las comunicaciones que ésta realizó a través de un programa de mensajería electrónica, no se habían vulnerado sus derechos fundamentales, porque previamente la empresa había dictado normas de uso, que habían resultado infringidas por la trabajadora.

 

¿Cuál es, entonces, la principal novedad de la reciente sentencia sobre la materia? Pues, sobre todo, que, en el caso ahora enjuiciado, la prohibición de uso del correo electrónico para fines extraprofesionales –de la que se deriva la posibilidad empresarial de su control- no se había establecido en normas internas y explícitas que la propia empresa hubiera comunicado al trabajador, sino que se hallaba contenida en el convenio colectivo del sector.

 

En efecto, el convenio de la industria química sancionaba como falta leve la “utilización de los medios informáticos propiedad de la empresa (correo electrónico, intranet, internet, etc.) para fines distintos de los relacionados con el contenido de la prestación laboral”.

 

La tipificación de esta infracción es lo que permite al Tribunal Constitucional, dado el “carácter vinculante de esta regulación colectivamente pactada”, concluir que “regía en la empresa una prohibición expresa de uso extralaboral, no constando que dicha prohibición hubiera sido atenuada por la entidad”. Y precisamente de esa prohibición se deduce la legitimidad del “poder de control de la empresa sobre las herramientas informáticas de titularidad empresarial puestas a disposición de los trabajadores”, con una doble finalidad: “vigilar el cumplimiento de la prestación laboral realizada a través del uso profesional de estos instrumentos” y “fiscalizar que su utilización no se destinaba a fines personales o ajenos al contenido propio de su prestación de trabajo”.

 

Esto implica, para el TC, que no se vulnera el secreto de las comunicaciones (artículo 18.3 de la Constitución), puesto que “no podía existir una expectativa fundada y razonable de confidencialidad respecto al conocimiento de las comunicaciones mantenidas por el trabajador a través de la cuenta de correo proporcionada por la empresa y que habían quedado registradas en el ordenador de propiedad empresarial”, puesto que esa “expresa prohibición convencional del uso extralaboral del correo electrónico (…) llevaba implícita la facultad de la empresa de controlar su utilización”.

 

Tampoco se vulnera otro derecho constitucional, el de la intimidad personal (artículo 18.1), puesto que no se puede entender que “el trabajador contara con una expectativa razonable de privacidad respecto a sus correos electrónicos registrados en el ordenador de la entidad empresarial”, por el mismo motivo: la prohibición del uso del email para fines extraprofesionales contenida en el convenio impediría “considerar que su utilización quedara al margen del control empresarial”.

 

Por lo demás, el Tribunal no hace sino aplicar al caso concreto sometido a su análisis la doctrina en materia de proporcionalidad de medidas restrictivas de derechos fundamentales. Y concluye que la actuación de la empresa está justificada (“su práctica se fundó en la existencia de sospechas de un comportamiento irregular del trabajador”) y que supera los juicios de idoneidad (permitía conseguir el objetivo de “verificar si el trabajador cometía efectivamente la irregularidad sospechada”), de necesidad (el contenido de los correos electrónico era preciso como “prueba ante la eventual impugnación judicial de la sanción empresarial”) y de ponderación (se realizó con la garantía de intervención de un notario y de un perito informático, y se aportaron a juicio únicamente correos que transmitían a terceros información confidencial de la empresa, sin ningún contenido personal del trabajador).

 

En definitiva, no es nueva la posibilidad de control empresarial del correo electrónico, como no es nuevo que éste no puede producirse en cualquier caso y que no es ilimitado. Su ejercicio sigue exigiendo la previa existencia de normas expresas que impidan que el trabajador albergue expectativas razonables de privacidad en las comunicaciones establecidas a través del email corporativo y que habiliten las posibles medidas de control. La novedad de este pronunciamiento es que el TC no sólo admite que tales normas hayan sido establecidas por la propia empresa, sino también que se deriven del convenio colectivo aplicable. No es un caso especialmente frecuente la existencia de regla expresa de este tipo en los convenios, pero, cuando así sea, habrá de ser tenido en cuenta este criterio por parte de empresarios y trabajadores.

La libertad de prensa contra las cuerdas

El 30 de enero nuestro Tribunal Constitucional ha declarado que la Constitución española prohíbe el uso de cámaras ocultas para realizar reportajes de periodismo de investigación. Esta manifestación se carga el periodismo de investigación, evidentemente, pero no solo eso, afecta de lleno a la libertad de información, al menos en el concepto que yo tenía de ella hasta ahora.

 

En este foro ha habido ya alguna referencia al sistema de solución de los conflictos entre los derechos de intimidad y la libertad de información para atribuir prevalencia a uno u otra según las circunstancias de cada caso, en base (hasta ahora) a dos elementos:

 

El primer elemento clave para atribuir prevalencia a la libertad de información era la relevancia pública de la noticia. La relevancia pública se traduce en la capacidad que, en cada caso, tiene la noticia para generar una opinión pública libre e informada, que es un pilar básico de la convivencia democrática.

 

El segundo elemento de decisión es el de mínima intromisión, la efectiva necesidad del sacrificio infligido sobre los derechos de intimidad, ya que, si la invasión de la intimidad no es necesaria para la elaboración o publicación de la noticia, la vulneración de este derecho será abusiva.

 

Pues, curiosamente, estas reglas abstractas y generales, que se han aplicado por nuestros tribunales desarrollando una doctrina homogénea y sin excepciones ni reglas particulares que pudieran complicarla, han sufrido un cambio radical que, para colmo, ni siquiera está suficientemente razonado por nuestro TC.

 

La sentencia revisa una sentencia del Supremo que revocó en casación dos sentencias de instancia que habían otorgado prevalencia a la libertad de información frente a la intimidad afectada por la grabación mediante una cámara oculta que se había publicado en un programa de investigación periodística.

 

Efectivamente, el TS razona y convence de que lo grabado no era importante para la noticia, sino casi ajeno a ella, que la captación de imágenes no era necesaria para investigar los hechos noticiables y que tampoco tenía sentido que el programa se cebara en una sola persona grabada, cuando la noticia denunciaba el intrusismo generalizado en una profesión.

 

A mi juicio, la sentencia del TS es indiscutible, respetuosa con el sistema de equilibrios vigente hasta el momento y clara y predecible en su estructura. Tuvo, eso sí, una importancia enorme, ya que es muy excepcional que se declare que un medio de información ha vulnerado derechos fundamentales abusado de la libertad de información al publicar una noticia.

 

Sin embargo, la sentencia del TC no deja de sorprender.

 

En un principio sigue la misma línea, confirmando la doctrina tradicional seguida por el Supremo e incluso repescando sentencias anteriores suyas y del TEDH que confirman que la prevalencia de la libertad de información sobre la intimidad está condicionada por que la noticia tenga relevancia pública y respete el equilibrio básico necesario entre el sacrificio infligido (los medios) y el objetivo propuesto (el fin).

 

Así, el TC razona: “el derecho a comunicar y a emitir libremente información veraz no otorga a sus titulares un poder ilimitado sobre cualquier ámbito de la realidad, sino que, al venir reconocido como medio de formación de la opinión pública solamente puede legitimar las intromisiones en otros derechos fundamentales que guarden congruencia con la finalidad expresada, careciendo de efecto legitimador cuando se ejercite de modo desmesurado y exorbitante al fin en atención al cual la Constitución le atribuye especial protección” (STC 185/2002) o que “en aquellos casos en los que, a pesar de producirse una intromisión en la intimidad, tal intromisión se revela como necesaria para lograr un fin constitucionalmente legítimo, proporcionada para alcanzarlo y se lleve a cabo utilizando los medios necesarios para procurar una mínima afectación del ámbito garantizado por este derecho, no podrá considerarse ilegítima” (STC 156/2001), concluye que ”En definitiva, la intromisión en los derechos fundamentales de terceros resultante del ejercicio de la libertad de información sólo será legítima en la medida en que la afectación de dichos derechos resulte adecuada, necesaria y proporcionada para la realización constitucional del derecho a la libertad de información. Por lo tanto, allí donde quepa acceder a la información pretendida sin necesidad de colisionar con los derechos referidos, queda deslegitimada, por desorbitada, aquella actividad informativa innecesariamente invasora de la intimidad o la imagen ajenos”.

 

Todos estos razonamientos confirman la doctrina tradicional y, por ello, no sorprenden lo más mínimo.

 

Pero, ya al final, cuando menos te lo esperas, la sentencia da otra vuelta de tuerca y concluye que: “La sentencia impugnada valora correctamente los datos que concurren en la presente situación, y concluye con la negación de la pretendida prevalencia de la libertad de información. Conclusión constitucionalmente adecuada, no solo porque el método utilizado para obtener la captación intrusiva –la llamada cámara oculta- en absoluto fuese necesario ni adecuado para el objetivo de la averiguación de la actividad desarrollada, para lo que hubiera bastado con realizar entrevistas a sus clientes, sino, sobre todo, y en todo caso, porque, tuviese o no relevancia pública lo investigado por el periodista, lo que está constitucionalmente prohibido es justamente la utilización del método mismo (cámara oculta) por las razones que antes hemos expuesto”.

 

Lo que no he conseguido encontrar son las “razones antes expuestas” a que se remite este párrafo, a salvo de dos inmediatamente anteriores en los que, efectivamente,  el TC parece cambiar las tornas de lo razonado hasta ese momento (que la prevalencia a la libertad de información depende de la relevancia pública de la noticia y del equilibrio entre fines y medios). Transcribo los dos párrafos para que cada uno los valore:

 

“En cuanto al interés general del reportaje que alegan los recurrentes, resulta procedente señalar que, aun cuando la información hubiera sido de relevancia pública, los términos en que se obtuvo y registró, mediante el uso de una cámara oculta, constituyen en todo caso una ilegítima intromisión en los derechos fundamentales a la intimidad personal y a la propia imagen. En cuanto vulneración de la intimidad, hay que rechazar en primer lugar que tanto el carácter accesible al público de la parte de la vivienda dedicada a consulta por la esteticista/naturista, como la aparente relación profesional entablada entre dicha persona y la periodista que se hizo pasar por una paciente, tengan capacidad de situar la actuación de la recurrente extramuros del ámbito del derecho a la intimidad de aquélla, constitucionalmente protegido también en relaciones de naturaleza profesional. La Sentencia del TS impugnada señala correctamente que la relación entre la periodista y la esteticista/naturista se desarrolló en un ámbito indudablemente privado. No existiendo consentimiento expreso, válido y eficaz prestado por la titular del derecho afectado, es forzoso concluir que hubo una intromisión ilegítima en el derecho fundamental a la intimidad personal.

 

Y en cuanto al derecho a la propia imagen, debemos alcanzar idéntica conclusión. En efecto, como apreció correctamente la Sentencia de la SC del TS, la persona grabada subrepticiamente fue privada del derecho a decidir, para consentirla o para impedirla, sobre la reproducción de la representación de su aspecto físico y de su voz, determinantes de su plena identificación como persona”.

 

Francamente, la Sentencia es de muy mala calidad. Sin un fundamento jurídico justificativo y convincente, es decir, bien desarrollado, la afirmación de que la Constitución prohíbe las cámaras ocultas queda a la altura del puñetazo sobre la mesa.

 

La conclusión a que conduce es que el Constitucional considera que las cámaras ocultas son un medio tan intrusivo que su uso nunca podrá estar justificado por la relevancia que tenga la información que se intenta desvelar y hacer llegar a los ciudadanos, aunque el tribunal nos ahorra conocer las razones.

 

Sí es cierto que menciona una serie de obviedades, como que estos medios privan al interesado (investigado y denunciado por los medios) de la capacidad de optar sobre si le interesa la publicación, o de la posibilidad de ir a la peluquería antes de que le filmen para proteger su imagen, pero yo no alcanzo a comprender que estas respetables razones puedan servir para impedir el desarrollo del periodismo de investigación, que históricamente se ha valido de la credibilidad del periodista, el buen nombre del periódico que publicaba el reportaje y, cuando se desarrollaron las tecnologías adecuadas, de medios ocultos para obtener pruebas que permitieran hacer acusaciones tan graves como las que se han hecho por los medios de información.

 

Las cámaras ocultas (o cualquier dispositivo oculto de obtención de pruebas) lesiona en todo caso los derechos fundamentales. Es indudable, pero, hasta el 30 de enero, se había considerado que la relevancia de lo que se publicara justificaba tal lesión.

 

A partir de este momento, los periodistas tendrán que obtener sus noticias mediante las ruedas de prensa y entrevistas a los personajes. Las fuentes no reveladas, que permitían destapar los escándalos no podrán ya acompañarse de pruebas para poder imputar los delitos que descubran y que denuncien o al menos para desacreditar a quienes nieguen los hechos publicados, que por falta de prueba, podrán siempre censurarse por desacreditados. El cuarto poder ha perdido su rol en la democracia porque le han desarmado.

 

En fin, la Asociación de la Prensa tiene que estar encantada: en dos párrafos les han tirado abajo una de sus principales actividades que se defendía como la formación de una opinión pública libre e informada y que servía como uno de los escasos medios de lucha efectivos contra los abusos de poder.

 

Sí relaja, al menos de momento, que una sentencia como esta no se haya dictado frente a un escándalo de corrupción grave, ya que las sospechas de partidismo habrían sido insostenibles.

 

En fin, malos tiempos para nuestro Estado de Derecho “suavizado por el incumplimiento de las normas” (como dice mi padre), aunque, aún queda la esperanza de que el Tribunal Europeo de Derechos Humanos le saque los colores.

Crédito responsable, información financiera y protección de datos personales

Entre otras causas, el origen de esta crisis económica se encuentra en una mala praxis del sistema financiero generada a nivel internacional, pero que en España presenta caracteres muy particulares. Una de las medidas a mi juicio prioritarias es la sanción a la concesión irresponsable de crédito por parte de las entidades financieras, que deben evaluar correctamente el riesgo financiero de los clientes e incluso, me atrevo a proponer que se instaure la discriminación de coste crediticio en función de la prima de riesgo, de manera que el crédito sea más caro para el cliente de mayor riesgo.

Cuando se detecta que los responsables de una entidad no han evaluado correctamente el riesgo o habiéndolo hecho, conceden crédito, tal comportamiento debe tener una sanción real, como por ejemplo, ver subordinado su crédito en un procedimiento cuando tal sobreendeudamiento ha contribuido decisivamente a la insolvencia del deudor, la rescisión del acto o contrato o la dación en pago forzosa, cuando se trata de préstamo hipotecario.  De nuevo USA nos gana terreno en este punto. Ya se ha condenado a las entidades financieras a responder por lo abusos producidos (ver aquí).  Mientras tanto, aquí ha tenido que intervenir el Gobierno para que directivos de entidades financiera sancionados no perciban indemnizaciones… Que pudieran percibirlas es sencillamente demencial.

Así mismo es necesaria una educación financiera del consumidor que debe partir incluso de la educación secundaria obligatoria. Que no se debe indefinidamente gastar más de lo que se ingresa es algo que todo el mundo debería saber, a pesar de que parezca que se ha descubierto el Mediterráneo ahora con la llamada “estabilidad presupuestaria”. Es preciso un consumidor formado para evitar que sucedan de nuevo escándalos como el de la participaciones preferentes al que se ha referido Fernando Gomá en su magnífico post .

Un prius para exigir una concesión responsable de crédito, algo que ya hacen muchas normas que establecen la obligación del prestamista de evaluar la solvencia del deudor, es que las entidades puedan acceder de manera rápida y segura a la información financiera fiable de sus clientes y aquí en España, esta es una asignatura pendiente.  Si esta información no fluye de manera adecuada por culpa, aparentemente, de la Ley de Protección de Datos Personales, malamente se puede condenar a la entidad por no haber evaluado correctamente el riesgo.

En la actualidad son varias las normas que establecen la obligación de evaluar la solvencia (Ley de Crédito al Consumo, Ley de Economía sostenible, Orden EHA/2899/2011, de 28 de octubre, de transparencia y protección del cliente de servicios bancarios (comentada por Fernando Gomá en este post) y en la Propuesta de Directiva sobre contratos de crédito para bienes inmuebles de uso residencial de 18.07.2011), pero no se especifica qué tipo de sanción es aplicable al prestamista que conocedor de la situación financiera del deudor o no conociéndola adecuadamente, no obstante, concede el préstamo.

En España la información con la que cuentan las entidades financieras para evaluar el riesgo del deudor es, en su mayor parte, la ofrecida por el mismo deudor que se centra básicamente en su patrimonio, ingresos y cargas. Así mismo, también las entidades pueden acceder a los denominados ficheros de solvencia patrimonial proporcionados por los Bureau de crédito gestionados por entidades privadas (ASNEF-EQUIFAX, EXPERIAN, CCI) o pública como es el caso de CIRBE (Central de Información de Riesgos del Banco de España).

A este respecto hay que destacar la diferencia entre dos tipos de ficheros. Los ficheros de solvencia negativa publican un perfil desfavorable de la persona, contienen las situaciones relativas a las incidencias en los pagos, son los comúnmente conocidos como ficheros de morosos. Por el contrario, los ficheros de información positiva brindan una imagen favorable de la solvencia de las personas: historial de cumplimiento de obligaciones contraídas, uso de tarjetas de crédito sin incidencias y niveles de endeudamiento global de los consumidores.

No cabe confundir la información positiva con el denominado “saldo cero”, es decir, con la constancia de que una deuda incumplida ha sido pagada. En los ficheros positivos se incluyen operaciones crediticias que nunca se han incumplido y se han satisfecho en los términos pactados. Los ficheros de solvencia negativos sólo dan la posibilidad de conocer al deudor incumplidor, pero no aportan información sobre si el nivel de endeudamiento del solicitante es lo suficientemente alto como para desaconsejar la concesión de más crédito. Esta información la tiene “nuestro banco” que sabe que pagamos nuestro saldo deudor de la tarjeta de crédito, que pagamos el recibo de la deuda hipotecaria todos los meses. Esta información es la que darían los ficheros de solvencia positivos, en donde se pondría de relieve el “comportamiento crediticio” del deudor.

Es bien sabido que tener patrimonio no equivale necesariamente a buen comportamiento crediticio y este tipo de información favorece la concesión de crédito a aquellos deudores emprendedores que en el momento de realizar la solicitud carecen de patrimonio porque “están empezando”, pero tienen buenas ideas y un comportamiento crediticio intachable. “Conocer” al deudor constituye una fuente de información relevante y es lo que hace que en la práctica nuestro banco nos dé más facilidades y mejores condiciones que otra entidad que “no nos conoce”.

Desde el punto de vista del mercado, las ventajas no son desdeñables, pues los ficheros positivos reducen la denominada “selección adversa”, disminuyendo la tasa de morosidad y permitiendo un control del sobreendeudamiento por parte de la entidad, aspecto éste sumamente relevante para evitar situaciones de sobreendeudamiento masivo que estamos padeciendo en la actualidad. En la mayoría de los países de la OCDE y de la UE se tratan conjuntamente datos positivos y negativos y la información la aportan los prestamistas a los denominados Bureau de crédito y también se añaden datos procedentes de registro públicos, tribunales, boletines oficiales. Con base en un criterio de reciprocidad, los prestamistas cuando tienen una solicitud de crédito obtienen el informe crediticio en el que consta tanto la información positiva como negativa.

Dicho esto, es fácil entender que algunas entidades financieras no tengan interés en compartir esa información a través de ficheros de solvencia positivos, pues ello fomentaría indudablemente la competitividad (fuga de clientes) lo que resultaría beneficioso para el consumidor pues las condiciones mejorarían. Compartir información tanto positiva como negativa no sólo reduce la deuda de cobro dudoso, sino que además incrementa el acceso al crédito.

Pues bien, en España prevalecen los ficheros de solvencia negativos, es decir, aquellos que se limitan a informar sobre el deudor incumplidor. Sí se trata de un fichero de información positiva el gestionado por el Banco de España (CIRBE) pero con información limitada, tanto desde el punto de vista de las entidades obligadas a aportar la misma, como desde el punto de vista de su contenido (constan todos los préstamos, avales, riesgos que tienen las entidades financieras con sus clientes, siempre que superen los 6.000 euros). La Central de Información de Riesgos (CIR) sólo facilita a las entidades información global sobre los riesgos de una persona o empresa. Por tanto, no desagrega los datos en el caso de que, por ejemplo, esté pagando varios créditos en una o varias entidades, y no comunica las entidades con las que el titular se encuentre endeudado. También se le informa, de manera muy limitada, si hay algún dato significativo de morosidad.

Cabe preguntarse acerca de los impedimentos legales que parecen bloquear la existencia de ficheros de solvencia positivos que permitan una mejor evaluación del riesgo crediticio que posibilite un control sobre su actuación. Parece que este obstáculo se encuentra en la legislación en materia de protección de datos personales.

Ley Orgánica de Protección de Datos de carácter personal 15/1999, de 13 de diciembre (LOPD), en su artículo 29, establece una serie de restricciones respecto de los ficheros de solvencia patrimonial, exigiendo el consentimiento del interesado, salvo que los datos procedan de fuente accesible al público. Dicho precepto es desarrollado por los arts. 37 y siguientes del Reglamento de Protección de datos de carácter personal (Real Decreto 1720/2007, de 21 de diciembre, RPD). Por el contrario, podrán tratarse también datos de carácter personal relativos al cumplimiento o incumplimiento de obligaciones dinerarias facilitados por el acreedor o por quien actúe por su cuenta o interés. En estos casos se notificará a los interesados respecto de los que hayan registrado datos de carácter personal en ficheros, en el plazo de treinta días desde dicho registro, una referencia de los que hubiesen sido incluidos y se les informará de su derecho a recabar información de la totalidad de ellos, en los términos establecidos por la presente Ley” (art. 29.2 LOPD).

Por lo tanto, para incluir a un deudor en un registro de morosos no hace falta su consentimiento, siempre que se cumplan los requisitos legales. Pero el problema radica en determinar si es preciso tal consentimiento para incluir datos en un fichero de solvencia positiva, en donde se publica, como he dicho ya, un perfil favorable de la persona. Pues bien, el citado art. 29.2 LOPD se refiere a datos sobre “cumplimiento o incumplimiento de las obligaciones”, por lo que parece albergar en su seno la posibilidad de ficheros de solvencia positiva sin necesidad de consentimiento del deudor. De hecho, el art. 29.4 dispone que “sólo se podrán registrar y ceder los datos de carácter personal que sean determinantes para enjuiciar la solvencia económica de los interesados y que no se refieran, cuando sean adversos, a más de seis años, siempre que respondan con veracidad a la situación actual de aquéllos”. La restricción opera para la información negativa y no para la positiva que parece que se entenderá incluida en el art. 29. 2LOPD.

Sin embargo la interpretación que de esta materia ha hecho la Agencia de Protección de Datos y recientemente el Tribunal Supremo (Sala de lo Contencioso-Administrativo, Sección 6ª) Sentencia de 15 julio 2010 (RJ\2010\6272) ha sido sumamente restrictiva, en el sentido de que la exención del requisito del consentimiento solo jugaría para los ficheros negativos, como si el art. 29.2 LOPD solo se refiriera a éstos, de manera que para que el acreedor ceda datos de cumplimiento para un fichero positivo, sería necesario el consentimiento del afectado. La Instrucción 1/1995, de 1 de marzo, de la Agencia de Protección de Datos, relativa a prestación de servicios de información sobre solvencia patrimonial y crédito parece partir de la hipótesis de que en el art. 29.2 (antiguo art. 28 LORTAD) solo se contemplan los ficheros de solvencia negativos al entender que podrán incluirse datos sin consentimiento del interesado “solamente cuando concurran los siguientes requisitos: Existencia previa de una deuda cierta, vencida y exigible, que haya resultado impagada. Requerimiento previo de pago a quien corresponda, en su caso, el cumplimiento de la obligación”. Tal Instrucción parece referirse a los ficheros negativos, regulación que posteriormente se trasladó al Reglamento de Protección de datos de 2007 (arts. 38 y ss).

Por lo tanto, los ficheros de solvencia positiva parecen requerir del consentimiento del afectado y el RPD carece de una regulación de tales ficheros, y todo ello me parece criticable y favorece la falta de competitividad entre entidades financieras y, a mi juicio, es contrario a los intereses del consumidor. En algunos estados miembros es obligatorio, por ley, depositar información en el registro (Grecia, Hungría, Países Bajos, Eslovenia, Bélgica y Serbia), pero en la mayoría no existe esta obligación. En otros países consultar la base de datos es una obligación legal (Bélgica, Países Bajos, Noruega, Serbia y Turquía), pero incluso en aquellos donde compartir y usar información crediticia no está definido como obligatorio, es norma general depositar toda la información que legalmente se pueda suministrar. España es extraordinariamente restrictiva en este punto.

Debería existir una obligación legal para toda entidad crediticia de depositar la información financiera de los clientes en un único registro europeo. Una legislación restrictiva en materia de protección de datos (el nuevo Reglamento europeo de protección de datos  que se está gestando lo es todavía más)  no puede suponer un obstáculo y no debe dejarse a la voluntad de la entidad financiera el compartir tal información. Así mismo, toda entidad crediticia debe tener la obligación legal de consultar tal base de datos antes de conceder crédito.

Lo que “perjudica” al deudor es la constancia de la información negativa (inclusión en fichero de morosos) para lo cual no se requiere su consentimiento. No parece razonable que éste sí sea necesario para que se publique una información positiva que puede favorecerle notablemente.  En definitiva, basten estas líneas para poner sobre la mesa la oscuridad de la ley en este punto, las dudas interpretativas sobre la legislación nacional en esta importante materia que han hecho recientemente pronunciarse el Tribunal de Justicia de la UE en sentencia de 24 de noviembre de 2011.

La interpretación restrictiva de la legislación en materia de protección de datos limita el acceso a información financiera fiable y ello puede tener un impacto notable en el control del sistema financiero. No me cabe duda de la bondad de los ficheros de solvencia positivos para el sistema en general: aumento de la competitividad entre entidades financieras; facilidad de acceso al mercado crediticio. Sin duda beneficia al consumidor pues se controla su nivel de endeudamiento, aunque hay que reconocer que este sistema facilita la fuga de clientes y permite un control de la concesión irresponsable de crédito y esto a muchos no les interesa…

 

Transparencia y derecho al olvido

¿A santo de qué tiene que soportar un ciudadano que aireen sus vergüenzas o le pongan a caldo en un blog?
La respuesta inmediata es evidente, según lo corroboran las innumerables quejas que la Agencia Española de Protección de Datos tramita por este motivo.
Pero, ahí tenemos al Tribunal Constitucional que, contradiciendo el primer impulso nos recuerda la importancia de la democracia y nos subraya que las libertades de información y de expresión constituyen su pilar básico, pues la formación de una opinión pública libre e informada es esencial para su estabilidad. Permitir que cualquiera pueda acallar a quien dice lo que molesta mata a la democracia y, por ello, los derechos a la intimidad y a la protección de datos han de verse limitados por aquellas dos libertades, a salvo de los casos del insulto, falsedades o ausencia de relevancia pública en la información. Este razonamiento es indiscutible, hay que creer en él con convicción y defenderlo a toda costa.
Obviamente, la prevalencia de las libertades de información y expresión no evita que surjan conflictos, pues nada impide el abuso en su ejercicio. De hecho, los conflictos entre estas libertades y los derechos a la intimidad y la protección de datos proliferan enormemente en la actualidad. Esto se debe, por un lado, a que la libertad de información y expresión no se limita a los periódicos, sino que todos los ciudadanos somos titulares de ellas en sus aspectos activo y pasivo, es decir, tanto en la actividad de informar y opinar, como en la de acceder a la información, de forma que cualquier publicación de un particular está amparada por estas libertades de forma idéntica a la publicación de una noticia por un periódico. Y, por otro lado, la posibilidad de publicar se ha democratizado gracias a la sociedad de la información. Mediante Blogs y otras herramientas de comunicación accesibles a través de Internet, cualquiera puede publicar (sin costo ni dificultad alguna) aquello que considera relevante, y el resto de los ciudadanos puede acceder fácilmente a ese contenido gracias a la eficacia de los buscadores en la Red.
Además, como era previsible, los abusos se cometen anónimamente en un porcentaje muy considerable. Los autores de blogs acostumbran a no facilitar su verdadera identidad, impidiendo así el ejercicio de la defensa frente a la infracción de la intimidad o la protección de datos.
Para más complicaciones de la defensa frente al libelo, el art. 20.5 de la Constitución y el 11.3 de la LSSI obligan al agraviado a acudir a la autoridad judicial mediante un pleito (largo y caro) donde el juez determine si se mantiene la prevalencia de las libertades en el conflicto en cuestión, impidiendo que otras autoridades ordenen la retirada de un Blog o limiten el acceso al contenido protegido (obviamente, la Agencia de protección de datos ignora esas normas).
Y, para colmo, a la vista de la jurisprudencia constitucional es de soñadores pensar que la demanda de tutela de la intimidad o de la protección de datos pueda prosperar, pues la prevalencia de las libertades de información y expresión es gigantesca.
En definitiva, las libertades de información y expresión son las favoritas absolutas en estos conflictos.
Así, parece que la democracia acarrea una injusticia difícil de aceptar: en nuestro derecho, la víctima de los libelos está impedida de hecho para defenderse, lo que le invita a acudir a soluciones creativas, como solicitar la tutela de la Agencia española de protección de datos que, por ahora, aparenta ser más creativa y efectiva que el desamparo de los tribunales, a pesar de que las acciones emprendidas por la Agencia invaden competencias ajenas, ignoran los límites territoriales de su potestad y dan lugar a la censura, en cuanto impiden o dificultan sin respaldo judicial el acceso a los contenidos protegidos por las libertades de información y expresión.
Sin embargo, el Tribunal Constitucional ha desarrollado en una ocasión un argumento que, en mi opinión, resuelve este problema sin necesidad de invadir competencias ajenas ni buscar soluciones inaceptables e inoperantes.
Resumidamente, el Auto 56/2002, de 8 de abril de 2002 de la Sección Cuarta afirma que las libertades de información o de expresión no protegen a quien se oculta bajo el anonimato, porque «Lo que el mencionado precepto constitucional [el artículo 20] trata de salvaguardar es la pervivencia de un debate abierto y a la luz pública, y no la divulgación de noticias o expresiones que puedan colisionar con los derechos fundamentales del art. 18.1 CE ocultándose en la anonimia». Afirma así el Auto que «ninguna duda cabe de que uno de los elementos que deben concurrir para que pueda hablarse de un proceso de comunicación pública idóneo para conformar una opinión pública libre es el atinente a la identificación, mediata o inmediata, del autor del escrito» y ello porque: «desde la estricta perspectiva constitucional interesa es que se brinde al destinatario de éste [del mensaje] la posibilidad de conocer al emisor, con lo que ello comporta de ejercicio responsable del derecho y de instrumento de valoración de la relevancia del mensaje emitido».
Este Auto es único, no he encontrado otras decisiones del TC en que se consolide su razonamiento, lo que no afecta a su brillantez y preclaridad, ni al hecho de que esta doctrina constituiría, en mi opinión, una de las claves para resolver acertadamente la mayoría de los conflictos entre los ciudadanos, ya que si una publicación anónima (o bajo un pseudónimo que impide localizar al autor) no está amparada por las libertades de expresión o de información, su retirada no podrá tildarse de censura ni cabrá afirmar que resulte operativa la reserva judicial que establecen la Constitución y la LSSI, pues no resultarían afectadas las libertades de información y expresión.
Por ello, la Agencia podría, sin más complicaciones, ordenar la eliminación del contenido del blog anónimo a la empresa que lo aloje, evitando el bochornoso espectáculo de interpretar artificiosamente las leyes españolas y europeas para tratar de forzar a los buscadores (normalmente extranjeros) a que oculten bajo la alfombra aquellos contenidos que se consideran abusivos.
Por supuesto, si la información está firmada por una persona identificable, la protección que le otorga la Constitución exige que se acuda a un juez para solicitar su eliminación en el caso de que sea falsa, insultante o intrascendente y cualquier atajo a esta vía sería constitutivo de censura.
Quedan fuera de esta solución las quejas (también muy frecuentes) derivadas de la accesibilidad a través de los buscadores a la información que se conserva en la edición digital de las hemerotecas y los boletines oficiales, pero, en estos dos casos, entiendo que la solución debería ser muy distinta a la comentada y a la que adopta la Agencia.
Ya se ha puesto de relieve que las libertades de información y de expresión prevalecen frente a los derechos de intimidad y de protección de datos en aquellos casos en que la información publicada resulte relevante para la formación de una opinión pública libre, lo que suele suceder en la mayoría de las ocasiones.
Es cierto que las hemerotecas sólo conservan noticias viejas de las que quizá ya no se habla porque han pasado al olvido. Pero no puede ignorarse que la doctrina constitucional no requiere que la información sea reciente, así que la antigüedad no es óbice para negarle la prevalencia, ni tampoco requiere el tribunal que la noticia sea importante, sino relevante para la formación de una opinión pública libre.
Lo cierto es que el contenido de las hemerotecas es una de las piezas clave para la investigación de la historia de la sociedad y para la comprensión de lo que sucede en el presente. Por ello, aunque esta trascendencia se predique respecto del conjunto de las noticias y no de cada uno de los elementos que integran la hemeroteca, la hemeroteca debe mantenerse íntegra y abierta al libre acceso de quien tenga interés en conocer su contenido.
Es cierto que el transcurso del tiempo elimina la relevancia de muchas noticias, de modo que podría defenderse, por ejemplo, que la noticia relativa a la detención de un pobre diablo por su participación en un delito insignificante (así aislado) para la sociedad no es clave para el conocimiento de la historia social, ni, por tanto, para la formación de la opinión pública libre, pero, sin embargo, ¿qué ocurriría si ese pobre diablo cambiara de costumbres y pasara a ser candidato a presidente? (el caso es real, Barack Obama fumó porros y se lo recordaron durante su campaña).
La mera posibilidad de que lo irrelevante torne a muy relevante para la generación de una opinión pública libre pone de relieve la necesidad de que no se limite el acceso a las hemerotecas. Indudablemente, es necesario dejar la puerta abierta a los interesados y permitir a todo el mundo que conozca el contenido de la hemeroteca. Máxime cuando la otra posibilidad que se me ocurre es escalofriante: que sea el medio de información quien custodie la hemeroteca y haga pública la información sólo cuando resulte relevante para la opinión pública (me viene a la memoria el personaje de Jorge de Burgos, el celoso custodio de la biblioteca depositaria de todo el saber humano en “El nombre de la rosa” de Umberto Eco, que resulta ser el mayor censor que incluso asesina a quienes son capaces de encontrar los libros que él prohíbe).
Este mismo razonamiento debería aplicarse a los Boletines Oficiales, que publican indultos, nombramiento de los servidores públicos (personal político de la Administración y funcionarios), adjudicación de puestos de trabajo, adjudicación de contratos públicos, concesión de subvenciones, etc. La publicación de estas decisiones obedece exclusivamente a la necesidad de que los ciudadanos conozcan la forma en que los poderes públicos administran los intereses económicos o políticos, a quién se perdona, se selecciona, se nombra, se contrata o se ayuda y por qué. Estas potestades pueden servir muy fácilmente a intereses oscuros, sólo controlables y evitables si los ciudadanos conocen las decisiones y, por ello, pueden enjuiciar la responsabilidad que se deriva necesariamente de esta actividad. Sólo los menudillos de los boletines (edictos y anuncios) cuya función no es publicar una decisión sino facilitar su notificación, carecen de relevancia pública y su ocultación bajo la alfombra resultaría admisible, a pesar de que reduciría enormemente su efectividad notificadora.
También debería aplicarse este mismo razonamiento a la publicación de sentencias y resoluciones judiciales. Esa política generalizada, salvo la loable y única excepción del Tribunal Constitucional, de “limpiarlas” de los datos personales de las partes a fin de preservar su intimidad es inadmisible ya que impide comprobar cómo se administra la justicia. Una resolución que cambia la forma en que se venían interpretando las leyes no tiene el mismo significado si se dicta beneficiando a un don nadie o frente a un ciudadano poderoso. Por ello, los ciudadanos tenemos el derecho (frustrado actualmente) de conocer, no sólo el contenido de las sentencias, sino también las partes que participaron en la discusión jurídica, ya que la identidad de las partes no es baladí a la hora de valorar su justicia.
Los órganos del Estado están sometidos al principio de publicidad en su actuar y la única excepción a este principio está en la ley de secretos oficiales (de 1968 ni más ni menos) que faculta al Consejo de Ministros y a la Junta de Jefes de Estado Mayor de la Defensa para “clasificar” excepcionalmente como secreto o reservado aquellos asuntos cuyo conocimiento por personas no autorizadas pudiera dañar o poner en riesgo la seguridad y defensa del Estado. La clasificación no limita el pleno acceso a los documentos y materias por parte del Congreso de los Diputados y del Senado, que podrán, en su caso, exigir las responsabilidades que se manifiesten de los documentos secretos.
En democracia, el pueblo tiene derecho a conocer sin limitación alguna todos los asuntos de relevancia que se refieran al actuar de los poderes públicos o, en el resto de los casos, que se hayan hecho públicos. Para ello, las leyes establecen el principio de transparencia en la actuación pública y las libertades de información y expresión, así como las excepciones y límites que tienen tales libertades y principio. Parece de recibo que nadie puede estar legitimado para impedir a los ciudadanos el acceso a la información, sea pública o privada. Tampoco es aceptable la afirmación de que cierta información tiene o no relevancia en algún momento cierto para la formación de la opinión pública libre cuando es imposible conocer qué trascendencia podrá alcanzar esa información en el futuro.
En consecuencia, cualquier interpretación que lleve a la limitación de la transparencia o de las libertades de información y expresión es constitucional-mente inaceptable, pues resulta letal para la democracia y camino derecho a la época oscura donde cierta clase se permitía los desmanes que se le antojaban con la discreta elegancia de impedir a los sometidos que conocieran los hechos. La invocación de cualquier derecho fundamental para justificar el velo sobre la verdad es una atrocidad política inaceptable.

Ni tanto ni tan calvo; sobre la Agencia Española de Protección de Datos

 

Los caminos del Señor, y los criterios de la AEPD son inescrutables.

Hoy veremos cómo 2 supuestos muy similares, arrojan resultados radicalmente distintos, gracias a los criterios interpretativos de la Agencia Española de Protección de Datos.

Supuesto nº1:

Por error, una empresa de telefonía móvil envía factura de otro cliente por email. Los datos revelados por error, incluyen: Nombre y apellido; NIF; Dirección; código postal; localidad; entidad bancaria; número de cuenta bancaria (diez dígitos); detalle de llamadas por número de teléfono.

Supuesto nº2:

Por error, una empresa de reparación de terminales móviles da un pendrive con copia de seguridad de 7 teléfonos distintos al suyo a una clienta particular. Los datos revelados por error, incluyen: Nombre y apellidos del titular del teléfono, fotografías personales, agenda personal con teléfonos, mails y direcciones de sus contactos, lista de llamadas emitidas y recibidas, y sms emitidos y recibidos.

¿Qué diferencia ambos supuestos?

En el primer supuesto, la empresa de telefonía móvil es responsable de un fichero, conforme a la Ley Orgánica de Protección de Datos y responde de los incumplimientos en que haya incurrido.

Sin embargo, en el segundo supuesto, la clienta no es “responsable” de ningún fichero, pues los “ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas” están excluidos del ámbito de aplicación de la LOPD (2.2.a LOPD).

Es lógico y comprensible. No tendría sentido que un latin lover tuviese que informar a sus conquistas de que sus datos serán incorporados a un fichero de su responsabilidad con la finalidad de… Bueno, quizá en este caso concreto… sí podría ser defendible… pero si cada uno de nosotros tuviese que cumplir con la LOPD por los datos de nuestros familiares, amigos y conocidos, seguramente nos encerraríamos en casa.

¿Y qué sucede con la tienda de reparación de terminales móviles? ¿No es responsable por su negligencia?

Pues no. Para la AEPD, al no aplicar la LOPD al dueño del fichero por ser un fichero de agenda personal… el tratamiento que hace la tienda por instrucción del dueño, tampoco está sometido al régimen sancionador de la LOPD.

Si la tienda hubiese utilizado los datos obtenidos para sus propios fines, sí hubiese sido responsable de tratar datos sin consentimiento… pero como lo que hizo fue incumplir con la obligación de deber de secreto con respecto a las 7 personas que vieron vulnerada su intimidad por esta tienda, la AEPD entiende que no procede imponer ninguna sanción.

Sin embargo, a la empresa de telefonía móvil del primer supuesto, le pusieron una multa de 6000 euros contantes y sonantes.

¿Y esto qué supone?

Pues… por poner algunos ejemplos… supone lo siguiente:

• Un servicio de correo electrónico español (p.e. @telefonica.net) no tiene que aplicar medidas de seguridad de ningún tipo a una hipotética base de datos de direcciones de destinatarios de emails de sus clientes.

• Igualmente, si @telefónica.net tuviese un percance de seguridad que afectase a estos datos, tampoco tendría ninguna responsabilidad.

• Un servicio de agenda online dirigido a particulares no tiene por qué cumplir con ninguna de las medidas de seguridad del Reglamento.

…Y un sinfín de ejemplos más.

¿Es correcto el criterio de la AEPD?

A todas luces… no lo es.

Los ficheros recibidos por la persona denunciante del segundo supuesto también incluyen datos personales propios de los clientes de la tienda, que sí son responsabilidad de la misma, y deberían estar protegidos por la LOPD.

Sin embargo, el criterio repetido por la AEPD, no cede ni ante un recurso debidamente motivado.

Lo dicho, los criterios de la AEPD son inescrutables y al parecer, no somos dignos de ponerlos en duda.

 

Jóvenes, Redes Sociales y Protección de Datos

La revolución que ha supuesto la aparición del fenómeno de las redes sociales ha traído consigo, además de incuestionables ventajas, no pocos problemas en relación con distintos ámbitos, pero fundamentalmente focalizados en el derecho al honor, a la propia imagen, la intimidad y la privacidad de los datos personales.|

Y estos se acentúan con especial virulencia en sectores más desprotegidos, como pueden ser la juventud e incluso la infancia, que además son los que hacen un uso más intensivo de estas nuevas herramientas, con lo que constituyen el colectivo más expuesto a sufrir sus potenciales efectos perniciosos.

Las historias, aventuras y desventuras de juventud no mucho tiempo atrás quedaban en la memoria de sus protagonistas, de sus sufridos padres en ciertos casos, y en algún que otro Diario debidamente guarnecido. Hoy día la situación ha cambiado, y los jóvenes comparten sus vivencias en la red, las comentan, las ilustran con fotos, vídeos, estando estos contenidos perfectamente aderezados por toda una suerte de datos personales, que además se replican en otras redes, otros foros, se envían a multitud de destinatarios, etc.

A pesar de las restricciones de accesos a los perfiles, es muy frecuente la pérdida del control sobre los datos y la información, deviniendo en muchos casos prácticamente imposible recuperarlos, con las consecuencias negativas que ello puede acarrear a sus titulares.

Las empresas, aprovechando este fenómeno, utilizan las redes sociales para acercarse al perfil de sus candidatos, conocerlos más profundamente, saber sus hobbys, aficiones, amigos, su carácter, personalidad, etc. Muchos jóvenes que se adentran en el mundo laboral ahora, y que han compartido gran parte de su “vida” en la red, están expuestos a que las empresas conozcan toda la información compartida por ellos y divulgada por Internet, y esto puede causar una importante rémora en sus opciones de inserción laboral.

Por todo esto, resulta vital, en primer lugar, la concienciación y la educación. En las escuelas, colegios e institutos se debe informar y concienciar a los jóvenes de la importancia de velar por su privacidad, de tener precaución con toda la información que suben a la red, que comparten con sus amigos, que incluso almacenan en dispositivos móviles, para evitar sus posibles consecuencias.

Y si la educación conforma el primer pilar sobre el que sustentar la solución a este fenómeno, otro aspecto importante es el normativo, y la necesidad de imponer restricciones a los prestadores de servicios, especialmente las redes sociales importantes, para que el usuario tenga información clara del tratamiento que se hace de los datos que aporta, los cesionarios de los mismos, el uso relacionado con aspectos comerciales o promocionales, etc. También prever mecanismos sencillos y perfectamente visibles para la retirada de contenidos, la modificación de las condiciones de privacidad, o la baja de perfiles de usuarios.

La Unión Europea ya está trabajando en ello, y está elaborando una propuesta legislativa del Derecho al Olvido en las Redes Sociales, que esperemos pronto vea la luz. En España, mientras tanto, actualmente existen instrumentos para tutelar los derechos susceptibles de ser vulnerados en estos ámbitos, fundamentalmente a través de la Ley Orgánica 15/1999, de Protección de Datos Personales (LOPD) y la Ley 34/2002, de Servicios de la Sociedad de la Información (LSSI), que sin embargo se nos antojan insuficientes para la dimensión y el alcance del problema, que solo podrá ser atajado cuando exista una verdadera conciencia social del mismo, que vaya aparejada con instrumentos normativos claros y eficaces