Ceder datos en un proyecto común

Quien comparta información para colaborar en una campaña deben respetar el régimen de Protección de Datos.

El Tribunal Supremo ha establecido que el mero hecho de que varias empresas colaboren en un proyecto común “no es, por sí solo, suficiente para quedar dispensadas del requisito del consentimiento de los interesados en la cesión de datos”. En otras palabras, “no pueden cederse libremente cuantos datos estimen convenientes para la realización del proyecto común”.

Una empresa de renombre contrató a una compañía para la realización de una campaña de marketing directo, quien a su vez subcontrató a otras dos firmas, una para gestionar la base de datos del cliente y otra para los servicios de comunicación on line. Para poder llevar a cabo la campaña, la empresa de renombre cedió sin más los datos de clientes, de los que era propietaria, al resto de firmas.

El Supremo advierte de que, en la medida en que se trata de personas distintas, “cada una de las empresas implicadas mantiene su propia posición a efectos de la legislación de protección de datos”. Es decir, el responsable del fichero seguirá siendo únicamente la empresa que decida sobre su finalidad, contenido y uso, mientras que las demás “tendrán la consideración de terceros y sólo podrán ser cesionarias de los datos del fichero si cumplen los requisitos generalmente exigidos”, aclara el fallo.

Advertir sólo a los clientes que sus datos “podrán ser utilizados en ficheros informatizados por el grupo, sus filiales y su red comercial en aquellos asuntos que guarden relación con el presente documento y con la finalidad estrictamente comercial” es “excesivamente genérico”, según indica el Tribunal. Además, no da cobertura a la comunicación de datos a terceras empresas, de las que no consta que pertenezcan a lo que vagamente se denomina “grupo”.

El Supremo tampoco encuentra justificación en el artículo 12 de la Ley Orgánica de Protección de Datos (LOPD), que considera que no hay comunicación de datos si el acceso a ellos es “necesario para la prestación de un servicio al responsable del tratamiento”. Para la Sala, esta excepción no puede aplicarse al caso porque “no consta la existencia de una relación contractual” entre una de las empresas subcontratadas y el grupo. (TS 28/04/2009, Rº 9427/2004)

Publicado en Expansión, el 23-6 por Belén Alandete.

• Descargue la sentencia

Charla informativa sobre Protección de Datos

El próximo dia 16 de Septiembre a las 19 horas doy una charla-coloquio en la sede de IDETSA sobre "Adecuación de la PYME a la Ley de Protección de Datos".

El acto va dirigido a propietarios y/o gerentes de PYMES que se estén planteando adecuar su empresa a la LOPD para los próximos meses, así como a aquellos empresarios y profesionales que en el desarrollo de su actividad traten datos de carácter personal de terceros (clientes, propietarios, trabajadores, etc).

Esta jornada se enmarca dentro de las actividades formativas que tienen programadas para el último trimestre del año. La duración prevista de la charla será de unas 2 horas aproximadamente.

IDETSA (Iniciatives de desnvolupament empresarial, LES TAPIES S.A) es una sociedad creada por los Ayuntamientos de Vandellos y Hospitalet de l' Infant el año 2000, para desarrollar diferentes acciones de desarrollo local. Sus instalaciones, además de dar apoyo a los emprendedores de la zona en la creación de empresas, formación... disponen de más de 1000m2 para la ubicación física de nuevas empresas que trabajen dentro de los ámbitos de las nuevas tecnologías, el conocimiento y el valor añadido.

Nace el DATA PRIVACY INSTITUTE (DPI),

Nace el DATA PRIVACY INSTITUTE (DPI), una iniciativa de ISMS Forum que aglutinará a los expertos en privacidad y protección de datos personales.

14-07-2009

ISMS Forum Spain ha presentado en Madrid, en un acto al que han asistido cerca de cien expertos en privacidad de datos, su nuevo proyecto, el Data Privacy Institute (DPI). Según ha explicado el director de esta iniciativa, Antoni Bosch, el DPI nace con la vocación de aglutinar a todas las personas y organizaciones comprometidas e interesadas en la privacidad y la protección de datos personales; promover la formación de sus asociados y facilitarles cauces de interlocución con las administraciones y autoridades de control. Abierto a profesionales, instituciones, empresas, docentes y estudiantes, “El DPI pretende asimismo ser una vía para la difusión de mejores prácticas en el uso y la protección de los datos personales entre las empresas y particulares españoles y de otros países de habla hispana”, ha añadido Bosch.

Artemi Rallo, director de la Agencia Española de Protección de Datos, ha intervenido en la presentación, resaltando el interés de la Agencia en respaldar iniciativas como el Data Privacy Institute, que faciliten entornos de organización y formación específica para los profesionales que trabajan en privacidad de datos: “La legislación española se ha tomado como modelo en otros países, y nuestro país cuenta con profesionales muy bien preparados, pero es cierto que existía un vacío en la representación y asociación sectorial de estos expertos, no cual no facilita su visibilidad internacional”, aseguró Rallo. “Con la creación del Data Privacy Institute, ISMS Forum Spain viene a subsanar esta carencia, lo cual nos llena de satisfacción”, añadió. Rallo ha comentado, asimismo, algunos de los proyectos en los que trabajan en estos momentos los organismos encargados de velar por la privacidad de datos en una iniciativa coordinada de ámbito internacional. El objetivo principal es lograr que se adopte un marco global que facilite la protección de datos de carácter personal a nivel mundial. Se está trabajando, asimismo, en la revisión de algunos conceptos que con la rápida evolución de las TIC y de los métodos de trabajo han ido quedando obsoletos, como el tan utilizado “fichero”. Entre las actividades a organizar, Bosch, profesor de la Universidad Autónoma de Barcelona, ha explicado que pronto se presentarán iniciativas muy concretas para ofrecer una formación de alto nivel dirigida a los futuros Data Privacy Officers (figura profesional que sin duda se asentará y crecerá en España en los próximos años, fruto de la creciente necesidad de las empresas). Todo ello se concretará en formación de postgrado, seminarios y jornadas sobre privacidad, así como en la futura creación de una certificación específica para el profesional de la privacidad, aún inexistente en nuestro país. Por su parte, Carlos Alberto Sáiz Peña, subdirector del DPI, expuso que "Los asuntos relacionados con la privacidad adquieren cada vez más importancia, tanto en la sociedad civil como en el mundo empresarial y de la Administración Pública. A ello hay que sumar el crecimiento y variedad de las amenazas en el mundo on line que hacen necesario llevar a cabo importantes campañas de sensibilización de ciudadanos y usuarios, concienciación de directivos y una sólida formación de profesionales certificados en el mundo de la privacidad capaces de enfrentarse a los nuevos retos que plantea la actual realidad. En este sentido, el DPI pretende crear un foro neutral de referencia que aglutine a profesionales, empresas, instituciones y estudiantes interesados o comprometidos con la Privacidad y la Protección de Datos". En el acto participó también el vicepresidente del Consejo General de Colegios Oficiales de Médicos de España, Ricard Gutiérrez, quién expresó la preocupación del colectivo médico por la seguridad de la información –abundante, muy sensible y confidencial en el ejercicio diario de su profesión- y por todo lo relacionado con el cumplimiento de la LOPD. “Hemos de reconocer que, aunque en el camino de la modernización ha habido avances importantes, como la receta electrónica o la informatización de los historiales clínicos, aún queda mucho por recorrer en este terreno de la privacidad y la seguridad de la información, fundamentales para nuestra profesión”. Por todo ello manifestó su apoyo a iniciativas como la creación del DPI, que ayudarán a difundir las mejores prácticas en esta materia. También el Instituto Nacional de Tecnologías de la Información (INTECO) ha participado en la presentación pública del DPI y ha ofrecido al mismo su respaldo y apoyo. Ana Belén Santos, responsable de INTECO Cert, recordó algunos llamativos y preocupantes datos obtenidos recientemente por INTECO a partir de encuestas a numerosas empresas. Así, sólo un 14% de las pymes españolas declara conocer el Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos (en vigor desde abril de 2008); y del total de pymes con ficheros automatizados, solo el 37% afirma haberlos declarado en el registro de la AEPD (peor aún, pues contrastado este dato en la Agencia, sólo un 16% de las pymes los han declarado en realidad).

Presentación del Blog

Hola a todos,
este blog nace con el objetivo de convertirse en un espacio donde compartir con mis clientes y amigos temas relacionados con la privacidad y la seguridad en el ámbito de la protección de datos de carácter personal. Este blog pretende ser también una herramienta de comunicación activa y útil por lo que os animo a que la consultéis y participéis con asiduidad.
Saludos cordiales,