MEMORIA

AEPD 2012

MEMORIA

AEPD 2012

MEMORIA 20 12

P RLOGO
Al igual que en ediciones anteriores, la Memoria que tengo el honor de presentarles pretende ofrecer, no slo una exposicin detallada de las actividades desarrolladas por la Agencia Espaola de Proteccin de Datos durante el ao 2012, sino tambin una visin de conjunto sobre el estado y la evolucin de la proteccin de los datos personales en Espaa, complementada con algunos apuntes sobre las tendencias y las realizaciones ms importantes en el mbito europeo e internacional. Como puede apreciarse en sus pginas, el ejercicio 2012 se ha caracterizado por un notable crecimiento de la actividad de la Agencia, que viene a sumarse al experimentado en los ltimos aos y que, entre otros aspectos, se ha traducido en un incremento del 15% en los ficheros inscritos y de casi un 40% en las resoluciones dictadas. Dado que la plantilla de la Agencia contina siendo la misma desde el ao 2008, cuando la carga de trabajo era menos de la mitad, esta mejora del desempeo y de los ratios de eficiencia se ha logrado, en parte, gracias al uso intensivo de herramientas informticas y a la simplificacin de determinados procesos, pero la mayor contribucin se debe al esfuerzo de los funcionarios y empleados pblicos que, en un contexto difcil, desarrollan su trabajo en la Agencia con una dedicacin y un compromiso merecedores de reconocimiento y elogio. A lo largo de 2012 hemos potenciado especialmente las acciones dirigidas a simplificar el ejercicio de los derechos por los ciudadanos y a facilitar el cumplimiento de la normativa por los sujetos obligados. En este sentido, se han atendido casi 112.000 consultas personales de ciudadanos y se han contestado por el gabinete jurdico 483 consultas escritas sobre cuestiones de mayor complejidad. En paralelo, se han reforzado y ampliado los materiales informativos y las herramientas informticas de apoyo disponibles en nuestra pgina web (www.agpd.es). Especial mencin merece la puesta en funcionamiento de la Sede electrnica de la Agencia, que permite realizar cualquier trmite por Internet de forma sencilla y sin coste alguno, desde la presentacin de una denuncia hasta la inscripcin de un fichero. En lo que se refiere a la funcin inspectora y a la potestad sancionadora, resulta relevante que, a pesar mayor nmero de procedimientos abiertos y de resoluciones dictadas, se ha mantenido estable el nmero de decisiones sancionadoras, debiendo destacarse que el 34,27% de las infracciones declaradas a responsables privados concluyeron con apercibimiento, sin imposicin de sancin. En el plano europeo, el acontecimiento ms importante ha sido el arranque formal del procedimiento de reforma de la normativa de proteccin de datos con la presentacin de las propuestas de la Comisin en el mes de enero. Procedimiento que debe dar lugar a un nuevo marco normativo que venga a sustituir al actual, que acusa seriamente el paso del tiempo y, sobre todo, el impacto de las nuevas tecnologas. Las propuestas de la Comisin contienen elementos muy positivos como la definicin del mbito de aplicacin, el fortalecimiento de los derechos de los individuos, la configuracin de un modelo homogneo de autoridades de supervisin y, en general, responden apropiadamente al reto de actualizar la regulacin, adecundola a la realidad de las sociedades tecnolgicas actuales. Pero tambin contienen algunos aspectos mejorables y alguno claramente perturbador como es el caso de la regla de atribucin de competencia conocida como one-stop-shop, segn la cual cuando una compaa tenga establecimientos en varios Estados de la UE, la competencia para supervisar su actuacin corresponder nicamente a la autoridad del Estado en el que est situado el establecimiento principal. Esta previsin deber ser revisada en el procedimiento

MEMORIA 20 12

legislativo porque, de aprobarse tal y como est, supondra un gran paso atrs para la proteccin eficaz de los derechos de los ciudadanos, que ya no podran acudir a la agencia de su pas sino que tendran que dirigirse a la autoridad de otro Estado para hacer valer sus derechos. En todo caso, mientras llega la nueva regulacin, las autoridades debemos continuar cumpliendo con nuestra funcin de velar por el respeto del derecho a la proteccin de los datos personales. En el contexto actual, es ms importante que nunca compatibilizar la garanta de la privacidad con el desarrollo tecnolgico y el impulso de la actividad econmica en general. Es imprescindible proceder a una interpretacin y aplicacin flexible de la normativa que, sin merma de la proteccin de los ciudadanos, permita su adaptacin a realidades muy distintas, sin imponer cargas administrativas innecesarias y minimizando los costes asociados al cumplimiento. Lo cual, a su vez, exige un proceso constante de dilogo y de intercambio de informacin entre regulador y regulados, entre las autoridades de proteccin y los sujetos obligados. Pero tambin es necesario un mayor compromiso de las compaas con el respeto a la vida privada de las personas, especialmente de las corporaciones internacionales que, en algunos casos, dedican ms esfuerzos a intentar eludir la aplicacin de la legislacin europea que a respetar los derechos fundamentales de sus usuarios. Y, en general, es preciso un cambio de mentalidad. Abandonar el planteamiento, todava muy extendido, que ve la proteccin de datos como un cors regulatorio, como una carga normativa a la cual, en el mejor de los casos, se intenta dar cumplimiento para evitar una sancin y sustituirlo por un enfoque proactivo, que site en primer plano el compromiso con la seguridad de los datos y la garanta de los derechos de los ciudadanos, actuando con transparencia, incorporando el factor privacidad al diseo de los modelos de negocio e implantando polticas slidas de proteccin de datos. Porque, en contra de lo que muchas veces se dice, la proteccin de datos y la privacidad no son un obstculo al desarrollo y a la innovacin, sino una condicin necesaria para generar confianza en los ciudadanos, especialmente en relacin con los nuevos bienes y servicios de la economa digital. Y sin la confianza de los consumidores y usuarios difcilmente podr desarrollarse con xito un modelo de negocio. Por tanto, quienes apuesten en firme por garantizar la privacidad de sus clientes contarn siempre con una ventaja competitiva. Jos Luis Rodrguez lvarez DIRECTOR DE LA AGENCIA ESPAOLA DE PROTECCIN DE DATOS

MEMORIA 2012
EL DERECHO FUNDAMENTAL A LA PROTECCIN DE DATOS DE CARCTER PERSONAL: SITUACIN ACTUAL Y PERSPECTIVAS DE FUTURO

Prlogo

4
46 Marcos supranacionales de proteccin de datos
46 49 52 54 55 A-AVANCES EN LA REVISIN DE LAS NORMATIVAS INTERNACIONALES DE PROTECCIN DE DATOS B-LA ACTIVIDAD DEL GRUPO DE TRABAJO DEL ARTCULO 29 C-REA DE COOPERACIN POLICIAL Y JUDICIAL D-CONFERENCIA DE PRIMAVERA DE AUTORIDADES EUROPEAS DE PROTECCIN DE DATOS E-AVANCES EN LA CONFERENCIA INTERNACIONAL DE COMISIONADOS DE PROTECCIN DE DATOS Y PRIVACIDAD F-LA RED IBEROAMERICANA DE PROTECCIN DE DATOS. UNA NUEVA ETAPA HACIA LA INSTITUCIONALIZACIN G-IMPULSO EN OTRAS REAS GEOGRFICAS

1
8 Ciudadanos ms y mejor informados de sus derechos

2
12 Garantizar los derechos de los ciudadanos
12 18 27 A-HERRAMIENTAS PARA FACILITAR EL CUMPLIMIENTO DE LA LOPD B-UNA RESPUESTA INTEGRAL A LAS NECESIDADES DE LOS CIUDADANOS C-LA SEGURIDAD JURDICA COMO OBJETIVO PRIMORDIAL

56

58

3
35 Desafos para la privacidad: presente y futuro
35 38 39 41 43 43 A-LA PRIVACIDAD COMO ELEMENTO CLAVE PARA CONFIAR EN INTERNET B-MODULAR LAS GARANTAS EN EL CLOUD COMPUTING C-UNA POLTICA COORDINADA EN DEFENSA DE LOS CIUDADANOS EUROPEOS D-REFORZAR LA PROTECCIN DE LOS DATOS DE LOS MENORES DE EDAD E-RIESGOS DEL RECONOCIMIENTO FACIAL Y SU IMPACTO EN LA PRIVACIDAD F-LOS FLUJOS INTERNACIONALES DE DATOS: FLEXIBILIDAD Y GLOBALIZACIN

5
60 Cooperacin con las agencias autonmicas

ndice
LA AGENCIA EN CIFRAS

1
64 Inspeccin de Datos

2
78 Gabinete jurdico

3
88 Atencin al ciudadano

4
90 Registro General de Proteccin de Datos

5
107 Presencia internacional de la aepd 2012

6
110 Secretara GEneral

M EMORIA

2012

EL DERECHO FUNDAMENTAL A LA PROTECCIN DE DATOS DE CARCTER PERSONAL: SITUACIN ACTUAL Y PERSPECTIVAS DE FUTURO

MEMORIA 20 12

C IUDADANOS MS Y MEJOR INFORMADOS DE SUS DERECHOS

El Servicio de Atencin al Ciudadano, junto con la pgina web de la Agencia Espaola de Proteccin de Datos (AEPD), constituye el primer punto de referencia para quienes desean obtener informacin sobre los derechos que garantiza la normativa de proteccin de datos. En 2012 se atendi un volumen cercano a las 112.000 consultas (111.933), en las que el canal telefnico, con 97.162, figura como el ms utilizado por los ciudadanos. Sin embargo, se aprecia un uso creciente de otros canales de informacin, como la pgina web (www.agpd.es) y la Sede electrnica de la Agencia, a travs de los que se contestaron 10.312 consultas. Los principales temas sobre los que se ofreci asesoramiento fueron los relacionados con el sector de las telecomunicaciones (24,41% de las cuestiones) y con el ejercicio de los derechos de acceso, rectificacin, cancelacin y oposicin (ARCO) (10,5%). En el sector de las telecomunicaciones, las consultas se centraron en dos aspectos: el relacionado con los impagos en las facturas y la posterior inclusin en ficheros de morosidad (en ocasiones con referencia a empresas de recobro de deudas) y el relativo a altas fraudulentas sin informacin ni consentimiento de los abonados. Sobre los derechos ARCO, el ejercicio del derecho de cancelacin sigue constituyendo la primera preocupacin de los ciudadanos (50,35% de las consultas sobre ejercicio de derechos). Las consultas relativas al derecho de oposicin ocupan el segundo lugar (30,9% del total), vinculado especficamente a su ejercicio en Internet, mantenindose en tercer lugar las consultas sobre el derecho de acceso (13,1%). Aunque siendo incipientes (2,50%), las consultas sobre las opciones de exclusin de las guas de servicios de telecomunicaciones ponen de manifiesto nuevas inquietudes de los ciudadanos para la proteccin de sus datos personales. La concienciacin ciudadana sobre la proteccin de su informacin personal se ha reflejado, tambin, en la cantidad de usuarios que se han suscrito al servicio Lista Robinson, gestionado por Adigital. El nmero total de ciudadanos registrados se aproxima a los 300.000 (295.146) en marzo de 2013. Esta cifra se incrementa si se atiende a los usuarios registrados en los distintos canales publicitarios como consecuencia de la posibilidad de registrarse en varios de ellos. As, los ciudadanos que han solicitado su inclusin en los distintos canales para no recibir publicidad por esa va son los siguientes: Correo postal: 107.232 (20,59% del total) Correo electrnico: 103.047 (19,78%) Llamadas telefnicas: 205.421 (39,44%) SMS/MMS: 105.148 (20,19%) Entre las consultas sobre informacin general de la Ley Orgnica de Proteccin de Datos (LOPD) se mantiene, como sucedi en 2011, el inters por conocer los criterios que permiten la aplicacin de la norma cuando se tratan datos personales de residentes en Espaa en pginas web alojadas en servidores fuera de la Unin Europea. Estos datos ponen de manifiesto una creciente sensibilizacin sobre los riesgos asociados a algunos servicios de Internet. Son novedosas las consultas de los usuarios que solicitan ayuda de la AEPD en relacin con el intento de estafa en Internet mediante el virus denominado de los 100 euros, que bloquea el ordenador y amenaza con no desbloquearlo hasta que se ingrese en una cuenta corriente la cantidad indicada.

<ndice>

MEMORIA 20 12

Por el contrario, se han reducido significativamente las consultas sobre videovigilancia. Las encuestas de satisfaccin sobre la calidad del Servicio de Atencin al Ciudadano siguen ofreciendo, como en aos anteriores, valoraciones muy favorables. En el canal telefnico, que es el ms utilizado, los resultados son los siguientes: El 96.34% de los encuestados se manifestaron satisfechos con la informacin recibida. El 95.87% consideraron que la persona que les atendi tena los suficientes conocimientos sobre la materia objeto de consulta. Finalmente, el 97.41% estim que el trato recibido por parte del teleoperador fue correcto. En cuanto a la atencin presencial, el resultado de las encuestas tambin refleja un alto nivel de calidad: En relacin con las instalaciones en las que se ubica la Agencia Espaola de Proteccin de Datos (su accesibilidad, comodidad y funcionalidad), el 93.1% de los ciudadanos encuestados las valoraron de modo satisfactorio o muy satisfactorio. El 91.2% de las encuestas presentadas reflejaron una valoracin satisfactoria o muy satisfactoria en relacin con la utilidad y la suficiencia de la informacin facilitada por el personal de la Agencia. Respecto a los impresos y dems documentacin disponible para el ciudadano, se observa que el 94,1% de las encuestas presentadas calificaron su idoneidad como satisfactoria o muy satisfactoria.

En cuanto al tiempo de espera por parte de los ciudadanos para poder ser atendido, cabe destacar que el 85.2 % de los encuestados tambin se pronunciaron de forma satisfactoria o muy satisfactoria. Con el fin de potenciar el Servicio de Atencin al Ciudadano se ha desarrollado y puesto en produccin un aplicativo para controlar la gestin de las consultas que se realizan desde la Sede electrnica y que van dirigidas a dicha Unidad. Adicionalmente, se ha establecido un flujo de trabajo para controlar las respuestas, as como su publicacin

<ndice>

MEMORIA 20 12

dentro del apartado de consultas ms frecuentes de la Sede en el caso de que se consideren de inters para la mayora de los ciudadanos. El acceso a la pgina web ha experimentado un incremento muy significativo, registrndose 1.204.249 nuevos accesos (un 41,63% ms que en 2011), con un promedio diario de 5.646. Con el fin de hacerla ms atractiva e intuitiva para los usuarios, la Agencia ha llevado a cabo una labor de rediseo y reestructuracin de la web, comenzando por su pgina de inicio. Para mejorar la consulta de la informacin se ha publicado una nueva pgina en el portal donde se asocian las sentencias con sus expedientes, de manera que sea ms fcil relacionarlos. Tambin se ha creado un nuevo tipo de documento Sentencias para ayudar en la bsqueda de los documentos relacionados desde la pgina de las Resoluciones. Asimismo, se ha llevado a cabo la remodelacin de la Seccin Canal del Ciudadano, reordenando sus contenidos y profundizando en los trminos y formas de presentar denuncias o solicitar la tutela de la Agencia. La implicacin de los medios de comunicacin en la difusin de la normativa de proteccin de datos contina siendo el instrumento ms eficaz para que los ciudadanos conozcan sus derechos. Las actuaciones de la AEPD relacionadas con los medios se han traducido en 34 notas y convocatorias de prensa, 44 notas de agenda informativa y ms de 350 solicitudes de entrevista y demandas de informacin atendidas por el Gabinete de comunicacin. Junto a ello se han desarrollado acciones de comunicacin especficas entre las que cabe resaltar las siguientes:

Espacio semanal de concienciacin en Radio Nacional de Espaa (RNE) La Agencia Espaola de Proteccin de Datos ha continuado colaborando durante 2012 con RNE para producir un espacio semanal orientado a la concienciacin y la promocin del conocimiento de los ciudadanos sobre el derecho a la proteccin de datos en diferentes mbitos. Este espacio se ha emitido de forma semanal y sin interrupcin desde el ao 2007. Entrevistas del Director y otros representantes de la Agencia en diversos medios 4 Sesin Anual Abierta de la AEPD y entrega de los Premios Proteccin de Datos 2011 En el marco de la celebracin del Da de la Proteccin de Datos (28 de enero de 2012), se celebr la 4 Sesin Anual Abierta de la AEPD en los Teatros del Canal en Madrid. La Sesin Anual se ha convertido en referente para mltiples sectores empresariales y sociales y genera gran expectacin tanto entre los profesionales como entre los medios de comunicacin que puntualmente acuden a cubrir esta sesin. En el transcurso de esta jornada se hizo entrega de los Premios de Proteccin de Datos 2011 en las categoras de Comunicacin y Difusin e Investigacin, reconociendo la importante tarea que desarrollan medios de comunicacin e investigadores en la difusin este derecho fundamental. Creacin de la animacin T.U. DATO Con motivo de la celebracin del Da de la Proteccin de Datos 2012, se elabor un vdeo-animacin con un personaje llamado T.U. DATO, que explica de modo sencillo los principales derechos de los ciudadanos, la importancia de la proteccin de datos en mbitos como Internet y las redes sociales, y las diferentes funciones de la AEPD. La animacin se present en la 4 Sesin Anual Abierta y desde

10

<ndice>

MEMORIA 20 12

entonces se encuentra a disposicin de los usuarios para su descarga en la web de la Agencia. Da de Internet En el marco de las actividades relativas al Da de Internet (17 de mayo), la AEPD, como miembro del Comit de Impulso de esta iniciativa, cre una seccin en su web con informacin y recomendaciones orientadas a los ciudadanos. Una vez finalizada la celebracin de este da, este microsite permanece en la web de la AEPD para su consulta. Los servicios de cloud computing en la abogaca El 18 de junio se present un documento sobre la utilizacin de servicios de cloud computing por parte de los despachos de abogados en cooperacin con el Consejo General de la Abogaca Espaola (CGAE), en la Sede de esta Institucin. En cuanto a los temas que han despertado un mayor inters en los medios de comunicacin cabe resear los siguientes:

Suplantacin de identidad en redes sociales y otros servicios de Internet. Ficheros de morosidad y prcticas de empresas de recobro. Reforma de la normativa europea de proteccin de datos. Derecho al olvido. Sentencia del Tribunal Supremo sobre el inters legtimo como fundamento para el tratamiento y la cesin de datos. Google Street View. Datos de la Memoria 2011. Carta de las Autoridades Europeas de Proteccin de Datos sobre la nueva poltica de privacidad de Google.

<ndice>

11

MEMORIA 20 12

G ARANTIZAR LOS DERECHOS DE LOS CIUDADANOS

A - HERRAMIENTAS PARA FACILITAR EL CUMPLIMIENTO DE LA LOPD
Uno de los indicadores utilizados habitualmente para evaluar el nivel de conocimiento y cumplimiento de la LOPD ha sido la inscripcin de ficheros en el Registro General de Proteccin de Datos (RGPD). El ao 2012 finaliz con un total de 3.003.116 ficheros inscritos en RGPD, cifra que supone un incremento de un 15% respecto al cierre del ao anterior. De ellos, 2.865.720 ficheros son de titularidad privada (95,4%) y 137.396 de titularidad pblica (4,6%). Al igual que ocurri en 2011, el menor incremento en la inscripcin de nuevos ficheros de titularidad privada probablemente siga siendo un reflejo de la crisis econmica y de la tasa negativa de crecimiento en el nmero de empresas activas, que acumul un descenso del 6,5% en el periodo 2008-2011, segn el INE. No obstante, el creciente grado de concienciacin y responsabilidad sobre el cumplimiento de la normativa de proteccin de datos personales en el mbito empresarial ha dado lugar a que el nmero de empresas con ficheros inscritos en el RGPD se haya incrementado un 168% en el periodo 2008-2012. En lo que respecta a ficheros de titularidad privada, los mayores incrementos porcentuales se han producido en los ficheros con finalidades de Guas/ repertorios de servicios de comunicaciones electrnicas, Comercio electrnico y Videovigilancia, con variaciones relativas superiores al 30%. La finalidad de Gestin de clientes, contable, fiscal y administrativa contina siendo la ms significativa en trminos absolutos, ya que un 61% de los ficheros inscritos tienen declarada esta finalidad. Le siguen las finalidades Recursos humanos y Gestin de Nminas, declaradas en un 23% y un 17% de los ficheros respectivamente. Por sectores de actividad, el mayor crecimiento relativo se ha producido en las Actividades polticas, sindicales y religiosas (36%) y Comercio y servicios electrnicos (35%). En trminos absolutos, las actividades ms declaradas son Otras actividades, Comunidades de Propietarios, Comercio y Sanidad. El nmero total de ficheros de titularidad pblica inscritos en el RGPD se ha incrementado en casi un 17% con respecto al ao 2011. A 31 de diciembre de 2012 el nmero de ficheros inscritos era de 137.396, frente a los 117.503 de 2011. Este incremento se debe fundamentalmente a la Administracin Autonmica y a la Administracin Local, y viene a reflejar un cada vez mayor nivel de conocimiento y cumplimiento de la LOPD por parte de estas Administraciones Pblicas. El nmero de ficheros dados de alta por las Administraciones de las Comunidades Autnomas ha tenido un incremento que supera el 50%, bsicamente registrado en las Comunidades Autnomas de Catalua, con un incremento total de 8.648 ficheros inscritos, y de Madrid, con un incremento de 1.932 ficheros. Estas inscripciones se han notificado, en ambos casos, a travs de sus respectivas Agencias Autonmicas. En la Administracin Local el incremento se polariz en la provincias de Burgos y Palencia a travs del trabajo desarrollado por sus respectivas Diputaciones Provinciales. En la provincia de Burgos se ha incrementado el nmero de entidades locales que han declarado ficheros en un 365%, pasando de 74 responsables a 343, y en la de Palencia en un 347%, pasando de 23 a 103 responsables. Como consecuencia, el nmero de ficheros inscritos en

12

<ndice>

MEMORIA 20 12

Burgos creci en 2.222 (ms de un 785%) y en Palencia en 902 (un 103%). Aunque en todas las provincias se ha incrementado el nmero de ficheros inscritos en el RGPD, hay que destacar, al margen de las ya sealadas, que este crecimiento ha superado el 50% en Guadalajara con un 130%, Valladolid con un 77%, Asturias con casi un 57%, Mlaga con un 55,5%, Madrid con un 53% y lava con casi un 53%. Con fecha 31 de diciembre de 2012, y conforme a lo establecido en la Ley 8/2012, de 28 de diciembre, de Medidas Fiscales y Administrativas de la Comunidad de Madrid, el Registro de ficheros de la Agencia de Proteccin de Datos de la Comunidad de Madrid decay en sus funciones de publicidad y difusin como consecuencia de la supresin de la Agencia. Este Registro pas a incluirse en el RGPD. En cuanto a los procedimientos de inscripcin, el 87% de las notificaciones fueron presentadas a travs de Internet y el 13% restante en formato papel, cifras muy similares a las registradas el ao anterior. Es reseable asimismo el mayor uso de la firma electrnica, que supuso el 33% de las notificaciones en 2012 frente al 30% del ao anterior. Con el objetivo de continuar mejorando los procedimientos de notificacin de ficheros, el 18 de diciembre de 2012 entr en funcionamiento una actualizacin del sistema de Notificaciones Telemticas de la AEPD (NOTA) que permite notificar la modificacin o supresin de varios ficheros de un mismo responsable mediante el envo de un nico formulario. Este mtodo facilita enormemente el trabajo, pues antes tenan que cumplimentar y notificar un formulario por cada fichero a modificar o suprimir. En 2012 se ha producido un incremento del 27% en las solicitudes de informacin registral (11.398 expedientes). Estas peticiones tienen como objeti-

vo, en la mayor parte de los casos, actualizar la inscripcin de los ficheros en el RGPD. En el mes de mayo la Agencia habilit, a travs de su Sede electrnica, el formulario normalizado por medio del cual los responsables de ficheros y sus representantes pueden solicitar una copia de la inscripcin de sus ficheros mediante certificado de firma electrnica. En caso de no disponer del mismo, se puede optar por el modo de presentacin en soporte papel. Cabe sealar la importante aceptacin que ha tenido este servicio. Desde su implantacin, el 61% de las solicitudes de informacin registral se han presentado mediante el formulario electrnico, terminando el ao con un nivel de utilizacin del 75%. Para facilitar la inscripcin de ficheros de titularidad pblica, la AEPD elabor y puso a disposicin de las Administraciones pblicas y las Corporaciones obligadas a notificar estos ficheros una herramienta que, bajo el nombre genrico de DISPONE, ayuda a la generacin de la disposicin de carcter general o de los acuerdos de creacin, modificacin o supresin de ficheros de titularidad pblica. DISPONE est accesible a travs de la web de la Agencia (www.agpd.es) y se incorpora tambin al proceso de notificacin de ficheros NOTA, ofreciendo una ayuda sencilla de uso gil. Desde la entrada en funcionamiento de DISPONE se han registrado ms de 8.600 accesos y ha servido para la generacin de 443 documentos de disposicin o de acuerdo. Se ha constatado que la herramienta ha sido utilizada en su mayor parte por las Administraciones Locales a las que, debido a su tradicional carencia de recursos, est especialmente dirigida. En cuanto a la herramienta EVALA, puesta a disposicin de los responsables de ficheros desde el

<ndice>

13

MEMORIA 20 12

ao 2010, las estadsticas muestran que su uso est consolidado, habindose producido ms de 15.200 accesos. Por otra parte, con objeto de garantizar el cumplimiento de la normativa de proteccin de datos, la AEPD ha iniciado una lnea de colaboracin con los promotores de proyectos del Sptimo Programa Marco de la Unin Europea. As, la Agencia participa, como miembro del Comit Consultivo, en el proyecto Aeroceptor liderado por el Instituto Nacional de Tcnica Aeroespacial (INTA). Igualmente, la AEPD ha aceptado la invitacin para formar parte del Comit Consultivo de otros tres proyectos liderados por la Guardia Civil y la empresa pblica de consultora e ingeniera en defensa y seguridad (ISDEFE), presentados a la financiacin del Sptimo Programa Marco. La misin del Comit Consultivo es la de asesorar sobre los aspectos legales y ticos de los proyectos. En el mbito de los Cdigos tipo instrumentos de autorregulacin para mejorar el cumplimiento de la LOPD, durante 2012 se han mantenido reuniones en la sede de la Agencia relativas a dos proyectos: el promovido por el Colegio Oficial de Farmacuticos de Barcelona y el impulsado por la Federacin Nacional de Clnicas Privadas (FNCP), la Asociacin Nacional para la Promocin de la Excelencia en las Actividades Sanitarias Privadas (AMOSP) y la Asociacin Nacional de Actividades Mdicas y Odontolgicas de la Sanidad Privada (ANEASP). Finalmente, se han recibido las memorias anuales de actividades correspondientes a 2011 de cuatro promotores de cdigos tipo (Farmaindustria, Unin Catalana de Hospitales, Asociacin Catalana de Recursos Asistenciales, y UNESPA, promotora del

Cdigo tipo del fichero histrico de seguros del automvil), que contienen las actividades para difundir estos instrumentos y promover su adhesin y las actuaciones de verificacin de su cumplimiento. A los promotores que no han remitido la memoria de 2011 se les ha requerido su cumplimiento. En otro mbito hay que destacar que en 2012 se ha producido un novedoso precedente relacionado con la investigacin al autorizarse la conservacin ntegra con fines histricos de los datos relacionados con afiliados y representantes solicitada por la Confederacin Sindical de Comisiones Obreras (CCOO), al cumplirse los requisitos legalmente establecidos (artculo 4.5 de la LOPD, artculo 9.2 del RLOPD, artculo 157 del RLOPD y artculos 49 y 57 de la Ley 16/1985, de 25 de junio, del Patrimonio Histrico Espaol). La Agencia Espaola de Proteccin de Datos ha considerado suficientemente motivadas las causas que justifican la declaracin de concurrencia de valores histricos en el tratamiento de datos solicitada por esta organizacin que tiene sus orgenes en los aos cincuenta del siglo XX, entendiendo as mismo adecuadas las medidas de seguridad que la Confederacin Sindical ha implantado para garantizar los derechos de los afectados. En cuanto a las consultas de mayor complejidad dirigidas a facilitar la aplicacin de la LOPD a los responsables de tratamientos pblicos y privados, se atendieron un total de 483, de las cuales 292 (60%) fueron planteadas por las Administraciones Pblicas y 191 (40%) por el sector privado. Se mantiene as en una cifra prcticamente idntica el volumen de consultas planteadas respecto a las formuladas el ao anterior, aun cuando tales cifras implican una reduccin frente a las formuladas en los aos inmediatamente posteriores a la

14

<ndice>

MEMORIA 20 12

entrada en vigor del RLOPD y, en particular, a los aos 2008 a 2009. Ello puede ser debido a la mitigacin del efecto producido como consecuencia de esa entrada en vigor, que hizo incrementarse en gran medida el nmero de consultas. Del mismo modo, cabe apreciar que en este ao se ha producido una mayor singularidad en el contenido de las consultas planteadas, as como una reduccin de las dudas de carcter general que haban podido suscitarse tras la entrada en vigor del Reglamento y que fueron resueltas en los informes emitidos a consultas planteadas en los dos ejercicios anteriores. Igualmente se aprecia, en cuanto al reparto de las consultas de los sectores pblico y privado, la cada vez mayor preponderancia de las procedentes del sector pblico (en este ejercicio ya alcanzan el 60% del total). Entre las materias objeto de consulta destacan las siguientes: La existencia de un nmero relativamente significativo de consultas relacionadas con la aplicacin de la regla de ponderacin de derechos e intereses contenida en el artculo 7 f) de la Directiva 95/46/CE, que en 2012 ascendieron a 14. El notabilsimo incremento de las cuestiones relacionadas con las transferencias internacionales de datos (que se multiplican por ms de cinco), la aplicacin de las medidas de seguridad (que prcticamente se multiplican por cuatro) o el ejercicio de derechos y el mbito de aplicacin de la legislacin de proteccin de datos que se multiplican por ms de 2,5. El mantenimiento de la relevancia de las consultas relacionadas con el cumplimiento de los principios de calidad de datos, y en particular <ndice>

de los informes que se centran en el anlisis del cumplimiento del principio de proporcionalidad. El mantenimiento de un nmero relevante de cuestiones relacionadas con las cesiones de datos (un 41% del total), siendo igualmente relevante el nmero de cuestiones relacionadas con ficheros de titularidad pblica (si bien disminuyen un 16%). La disminucin significativa de las cuestiones relacionadas con la aplicacin de conceptos ge-

15

MEMORIA 20 12

nerales de la normativa de proteccin de datos, a la que se ha hecho referencia en un lugar anterior, y que en este ejercicio se reducen en un 27%. Atendiendo a la distribucin sectorial de las consultas del sector privado, destacan los siguientes aspectos: El mantenimiento de un reducido peso (slo un 5% del total) de las de las consultas procedentes de entidades dedicadas a la asesora y consultora dado que, a partir de los tres aos desde la entrada en vigor del reglamento, la Agencia ha vuelto a mantener el criterio general de atender nicamente las consultas relacionadas con sus ficheros y tratamientos y no con las de sus clientes, que debern formularse por estos ltimos. La importante reduccin de las consultas procedentes de asociaciones no profesionales y fundaciones, que se reducen prcticamente a la mitad de las planteadas en 2011. El notable descenso de las consultas procedentes de los sectores de las comunicaciones electrnicas y de la sociedad de la informacin, as como el de las empresas de servicios informticos (del 38% y el 48% respecto al 2011, por lo que sus cifras vuelven a asemejarse a las correspondientes a 2010). El notable incremento de las consultas formuladas por los propios interesados cuyos datos son objeto de tratamiento, que en el ao 2012 se cifra en un 71%, pasando su peso del 3% al 5% del total. Los informes no preceptivos relacionados con consultas externas que pueden revestir una mayor trascendencia en materia de proteccin de datos versaron, entre otras, sobre las siguientes materias:

La delimitacin de las posibilidades legales de actuacin en relacin con las solicitudes de acceso a informacin planteadas ante el Ministerio de Justicia por las asociaciones que representan los intereses de los afectados por la llamada causa de los nios robados. El anlisis de las consecuencias de las posibles solicitudes de baja que pudieran presentar los interesados que previamente hubieran prestado su consentimiento para la incorporacin de sus datos al fichero de perfiles de ADN de personas afectadas por la sustraccin de recin nacidos. El anlisis de las consecuencias de la aplicacin directa del artculo 7 f) de la Directiva 95/46/CE (STJUE de 24 de noviembre de 2011 y STS de 8 de febrero de 2012) en relacin con los ficheros empleados para finalidades de publicidad y prospeccin comercial. La no aplicacin del criterio del inters legtimo del artculo 7 f) citado en relacin con los tratamientos llevados a cabo por empresas de recobro, sin perjuicio de su posible legitimacin para el tratamiento en los trminos de su poderdante conforme a la doctrina de la Audiencia Nacional (AN). La prevalencia del derecho fundamental a la proteccin de datos y la inaplicacin del artculo 7 f) citado en relacin con la publicacin en la pgina web de una Corporacin Local de los datos contenidos en el fichero de facturas, remitido al Ministerio de Hacienda y Administraciones Pblicas en cumplimiento de lo dispuesto en el artculo 4 del Real Decreto-Ley 4/2012, de 24 de febrero, por el que se determinan obligaciones de informacin y procedimientos necesarios para establecer un mecanismo de finan-

16

<ndice>

MEMORIA 20 12

ciacin para el pago a los proveedores de las entidades locales. La prevalencia del derecho fundamental a la proteccin de datos y la inaplicacin del artculo 7 f) citado en relacin con la transmisin a determinados colegiados no miembros del rgano de gobierno de una Corporacin de informacin relativa a la ejecucin contable de la misma, incorporando informacin individualizada referida a las retribuciones concretas que se abonan al personal contratado por el Colegio. La aplicabilidad del citado artculo 7 f) en los supuestos de tratamiento de datos a travs de sistemas de videovigilancia siempre que se cumplan ntegramente los requisitos exigidos por la Instruccin 1/2006 de la Agencia y las restantes normas de proteccin de datos aplicables. Los requisitos exigibles desde el punto de vista de las transferencias internacionales de datos en las clusulas de contratacin de servicios de cloud computing y la adaptacin al efecto de los modelos de clusulas contractuales aprobados por la Decisin 2010/87/UE de la Comisin Europea. La licitud del acceso por las autoridades antidopaje a los datos de localizacin de los deportistas incorporados por los propios deportistas al Sistema de informacin de la Agencia Mundial Antidopaje, denominado ADAMS. La no conformidad con lo dispuesto en las normas de proteccin de datos, en relacin con las reguladoras de las Haciendas Locales, de que las Entidades Locales puedan intervenir en ficheros de solvencia patrimonial y crdito, incorporando datos de las deudas no satisfechas a las mismas, con acceso a los mismos por terceros. <ndice>

Las implicaciones en materia de proteccin de datos de la aprobacin del Real Decreto-ley 12/2012, como consecuencia de que el cdigo referente al nivel de contribucin de cada asegurado sea conocido por distintas personas intervinientes en el proceso asistencial as como en el de dispensacin farmacutica, al constar dicho nmero en la receta sanitaria. Las consecuencias en materia de proteccin de datos y en relacin con anteriores opiniones de la propia Agencia de la evolucin de los Sistemas Institucionales de Proteccin (SIP). La ilicitud del tratamiento de los datos necesarios para el reconocimiento de los alumnos de un determinado centro universitario a travs de programas de reconocimiento facial que pretendan utilizarse para el control de su asistencia a las clases y la identificacin de los mismos en la realizacin de las correspondientes pruebas, por exceder del principio de proporcionalidad. Los requisitos para el adecuado mantenimiento de ficheros relacionados con la condicin de portador del virus VIH en ficheros de ensayos clnicos y su disociacin. La aportacin de los datos de impago y el alcance de la informacin de esta naturaleza a incluir en las bases de datos de puntos de suministro de los sectores elctrico y gasista. La no conformidad a la legislacin de proteccin de datos de la ampliacin propuesta por una comunidad autnoma del Registro Regional Unificado de Violencia de Gnero, a nuevos organismos que se incorporaran al mismo ms all de los supuestos previstos en la legislacin bsica en la materia.

17

MEMORIA 20 12

La exigencia del consentimiento del usuario para tratar datos personales como su nombre de usuario y correo electrnico antes de hacer uso de los productos de software de la entidad que realiza la consulta. Los requisitos para la licitud de un sistema mediante el que un sensor o dispositivo es instalado en pantallas digitales con emisin de contenidos publicitarios, captando imgenes de quienes miran dichas pantallas sin grabarlas pero clasificndolas segn gnero y edad a fin de realizar estudios de anlisis de audiencias.

a) Aplicacin de doctrina jurisprudencial Durante 2012 ha resultado de especial relevancia la aplicacin de la doctrina establecida por la Sentencia del Tribunal Supremo (TS) de 2 de diciembre de 2011 que dispone que es al Consejo General del Poder Judicial (CGPJ) al que corresponde la funcin tuitiva en materia de proteccin de datos en la actividad jurisdiccional por tener atribuidas con carcter exclusivo las potestades precisas para el necesario control de la observancia de derechos y garantas, pues slo al rgano de gobierno ju-

B - UNA RESPUESTA INTEGRAL A LAS NECESIDADES DE LOS CIUDADANOS

El ao 2012 ha supuesto la consolidacin y crecimiento de la actuacin reactiva de la Agencia ante las reclamaciones de los ciudadanos. Siguiendo la tendencia de los ltimos aos, en 2012 se ha vuelto a producir un ascenso en el nmero de reclamaciones globales registradas, con una subida del 9,20%. Esta cifra incluye un crecimiento del 12,37% en el nmero de denuncias y un pequeo descenso en el nmero de tutelas en un 1,66%. Tal crecimiento en las reclamaciones se ha traducido en un sustancial incremento en las resoluciones dictadas por el Director (39,96%). Se aprecia tambin un fuerte incremento de los desistimientos (32,94%) y se mantiene la tendencia creciente de las resoluciones de archivo y las inadmisiones (58,90% y 46,97%, respectivamente) motivadas por las razones ya sealadas en el ao 2011 que son, sintticamente, las siguientes:

18

<ndice>

MEMORIA 20 12

dicial corresponde la inspeccin de Juzgados y Tribunales. b) Inaplicacin de la LOPD La no aplicabilidad de la LOPD puede derivarse de varias razones: Por estar el asunto excluido de su mbito territorial de aplicacin. Por ser el denunciante o el afectado una persona jurdica. Por realizarse tratamiento de datos relativos a fallecidos no amparados por la LOPD. Por suscitarse cuestiones que estn fuera del mbito competencial de la AEPD tales como la facturacin o el consumo, deficiencias en la prestacin del servicio, interpretacin sobre clusulas contractuales o envo de mensajes de tarificacin adicional Premium. c) Aplicacin de las garantas del procedimiento sancionador El obligado cumplimiento de los principios inherentes al procedimiento sancionador, especialmente la presuncin de inocencia, se traduce en la necesidad de acodar la inadmisin o el archivo en muchos supuestos por inexistencia de indicios mnimos suficientes para abrir una investigacin. d) Ponderacin de otros derechos e intereses legtimos Esta razn recibe aplicacin, entre otros, en los siguientes casos, en los que prevalecen otros derechos: El derecho a la libertad de expresin e informacin, especialmente cuando es ejercida por los medios de comunicacin.

El derecho a la tutela judicial efectiva como habilitante para el tratamiento de datos. El ejercicio de la libertad sindical como habilitante para tratar datos principalmente en el mbito laboral. La relevancia pblica y veracidad de la informacin sobre personajes pblicos. e) El carcter excepcional del procedimiento sancionador si el ordenamiento permite otras frmulas. A este respecto, debe tenerse presente el principio segn el cual, cuando el ordenamiento jurdico ofrece varias soluciones, es necesario el agotamiento de frmulas alternativas a las sancionadoras, siempre que sea posible y no se hayan producido daos, razn por la que el ejercicio del derecho de cancelacin, tendente al cese del tratamiento de datos personales, debe priorizarse en el caso de que sea posible. No cabe olvidar que, frente al carcter punitivo y la menor celeridad del procedimiento sancionador, el derecho de cancelacin reviste carcter reparador y otorga una va rpida para que los datos desaparezcan en el plazo de 10 das desde la recepcin de la comunicacin. Lo mismo cabe sealar en relacin con los restantes derechos ARCO. Por lo que respecta a las denuncias, pese a su incremento global, se ha mantenido estable el nmero de resoluciones sancionadoras (-0,22%). Merece destacarse que de las infracciones declaradas sobre responsables privados en aplicacin de la LOPD, el 34,27% concluyeron en apercibimiento. El mayor nmero de apercibimientos se concentra en la actividad de videovigilancia por razones de

<ndice>

19

MEMORIA 20 12

seguridad (74,37%), seguido a gran distancia por el sector de los servicios de Internet (5,38%) excluidas las relativas a comunicaciones comerciales no solicitadas y las referidas a profesionales, comunidades de propietarios y administradores de fincas (4,43%). Entre los principales supuestos en los que no se han dictado resoluciones de apercibimiento cabe mencionar los siguientes: Por falta de disminucin de culpabilidad y/o antijuridicidad

Envo de mensajes electrnicos a destinatarios mltiples sin ocultar las direcciones aludiendo a contenido sexual (PS/445/2011).

Por el volumen de negocio o vinculacin a datos del infractor

Suplantacin en Internet, en particular en redes sociales: (PS/174/2012, PS/427/2012, PS/595/2012). Obtencin de datos a travs de Internet con engao (PS/664/2012).

Envo de mensajes electrnicos a destinatarios mltiples sin ocultar sus direcciones cuando el nmero de destinatarios ha sido superior a 150 y la actividad habitual del remitente tiene una alta vinculacin con la realizacin de tratamientos de datos personales (PS/236/2012) y felicitacin navidea a unos 200 destinatarios por parte de un administrador de fincas.

El volumen de sanciones econmicas declaradas creci en 2012 un 7,43%, alcanzando la cifra de 21.054.656 euros. La mayor parte de las sanciones afecta al sector de las telecomunicaciones, que suponen un 73% del total (15.368.938 euros). Tres de los principales operadores acumulan el 70,94% del importe global de multas. Se han declarado sanciones con un importe superior al milln de euros en los sectores financiero (2.853.000 euros 13,55% del total) y de suministro y comercializacin de energa o agua (1.270.000 euros 6,03% del total). Por el contrario, pese al elevado nmero de resoluciones sancionadoras declaradas en actividades de videovigilancia (31,98% del total de resoluciones), la cuanta de las sanciones impuestas representa slo el 1,60% del total. En el ao 2012 la actividad inspectora de la Agencia ha constatado la vulneracin de la normativa de proteccin de datos en diversos supuestos de espe-

Por la sensibilidad datos afectados

Quiebras importantes de seguridad que han ocasionado la difusin de datos de un importante colectivo de personas o de una considerable cantidad de datos de especial sensibilidad (PS/465/2011, PS/567/2011, PS/568/2012, PS/111/2012). Publicacin en Internet de contenidos de especial sensibilidad: fotografas de contenido sexual (PS/110/2012), documentos judiciales no disociados sobre violencia de gnero publicados en un blog (PS/446/2011), supuesta pertenencia a organizacin religiosa (PS/337/2011), parte de baja de una trabajadora en el perfil de una cafetera en Facebook (PS/434/2011), y publicacin por parte de un condenado por malos tratos en su perfil de Facebook del dictamen mdico de la maltratada (PS/421/2012).

20

<ndice>

MEMORIA 20 12

cial relevancia que han concluido con resoluciones sancionadoras impuestas a responsables privados. Las ms reseables se recogen en los epgrafes que se detallan a continuacin: Suplantacin de identidad En este mbito se ha producido un incremento sustancial de las denuncias que ha dado lugar a un crecimiento de un 222% de las actuaciones previas de investigacin en los sectores de suministro y comercializacin de energa y agua. La mayor incidencia de vulneraciones en las empresas de suministro se da en los casos de un encargado (Task Force) que recaba los datos de los nuevos clientes y un responsable de fichero que realiza el alta con los datos suministrados por aquel. Las resoluciones dictadas por la Agencia concluyen que una actuacin irregular por parte del Task Force en la captacin de datos del nuevo cliente no exculpa al responsable si no acta con la diligencia debida en la comprobacin de la suficiencia de la documentacin acreditativa de la voluntad del afectado. Las deficiencias detectadas llevan a la Agencia a aconsejar que, sin perjuicio de la imposicin de las sanciones correspondientes, las entidades realicen un replanteamiento y redefinicin de los sistemas operativos. Esta circunstancia tambin se ha constatado en el sector de las telecomunicaciones con dos importantes matices. El incremento de denuncias, aun siendo menor que en el caso de las empresas suministradoras, ha ascendido un 92% respecto a 2011. Adems, la participacin en menor medida de terceros implicados en la contratacin supone un elemento diferencial que no hace sino redundar en la necesidad de que las operadoras implementen y refuercen las medidas propias de comprobacin y acreditacin de consentimiento. Como ejemplo de conducta diligente en este mbito cabe citar el caso de una denunciante (E/01228/2011) que manifest que se haba producido una contratacin de dos lneas de mvil con una operadora sin su consentimiento ni conocimiento. La operadora aport un CD con la grabacin de la conversacin mantenida entre uno de sus operadores y la denunciante, en la que se identificaba como tal, otorgando su consentimiento para la contratacin de las lneas por lo que se dedujo que la operadora obr con la diligencia exigible.

<ndice>

21

MEMORIA 20 12

Redes sociales (menores) En cuanto a los datos personales en redes sociales, debe subrayarse que son varias las resoluciones que afectan a menores. Entre ellas destaca un caso (A/00179/2012) en el que se apercibi al padre de una nia de 10 aos como titular de la lnea telefnica conectada a equipos desde los que se suplant la identidad de otra menor mediante un perfil de Facebook. En ese perfil se difundan fotografas y alusiones despectivas a cuatro profesores de un centro educativo rural. Suplantacin de identidad a travs de Internet

una red social durante casi dos das una fotografa de un parte de baja mdica de una trabajadora.

A/00367/2011

Apercibimiento a un bombero por difundir en YouTube grabaciones videogrficas realizadas en acto de servicio.

A/00149/2012

La Agencia apercibi a un religioso por difundir a travs de su blog dos sentencias judiciales sin disociar que incluan datos de los progenitores de los menores que haban sido condenados por un supuesto acoso escolar, facilitando as la identificacin de estos.

PS/00174/2012

A/00213/2012

Se sancion a una seora por la creacin de un perfil falso en una red social asociado a fotografas de la denunciante. Las imgenes haban sido tomadas de otra red social.

Se apercibi a un arquitecto por difundir sin consentimiento en su sitio web imgenes de la vivienda proyectada para los denunciantes, incluyendo sus nombres y domicilio completo.

PS/00427/2012

A/00265/2012

La Agencia sancion a un particular que era el titular de una lnea telefnica conectada a equipos desde los que se suplant la identidad de la denunciante en, al menos, un sitio web. El domicilio de instalacin de la lnea corresponda presuntamente a una expareja del actual compaero de la denunciante. Difusin de contenidos en sitios web La difusin excesiva de informacin obedece con frecuencia a una extralimitacin en la realizacin de actuaciones profesionales o particulares.

Se apercibi a un fotgrafo por difundir en su sitio web sin consentimiento fotografas que le haban sido encargadas por un matrimonio y que incluan imgenes de su hijo recin nacido.

PS/00337/2011

El responsable de un blog fue sancionado por elaborar un fichero sistematizado con los siguientes criterios: presunta pertenencia a la congregacin religiosa Opus Dei, personal directivo, profesorado y alumnado. Los datos haban sido recabados a partir de la relacin en una red social entre un grupo de personas y un determinado centro educativo.

PS/00434/2011

PS/00446/2011

Se sancion a la compaa propietaria de una cafetera por difundir a travs de su perfil corporativo en

Se sancion a una procuradora, titular de un blog, por publicar la fotografa de la denunciante junto

22

<ndice>

MEMORIA 20 12

con un documento judicial relacionado con asuntos de violencia de gnero.

PS/00529/2011

PS/00553/2011

Los propietarios de una web especializada en la publicacin de documentacin jurdica fueron sancionados por un error de disociacin de una sentencia del Tribunal Supremo. Este hecho facilit que fueran indexados por buscadores datos de la denunciante relativos a sus circunstancias sanitarias (contagio accidental del virus del SIDA y de la hepatitis). Este caso tena precedentes de apercibimiento.

Cuarenta y tres personas denunciaron que un sindicato haba colgado en su pgina web, en abierto y a la vista de cualquiera, un listado de funcionarios del Ayuntamiento de Sevilla en el que constaba el nombre y apellidos, DNI, categora profesional y la fecha de ingreso, incluyendo los datos de varios policas municipales. Respecto de las Administraciones pblicas debe destacarse una importante disminucin en el nmero de declaraciones de infraccin, que descienden un 61,62% respecto al cmputo de 2011. Este dato debe matizarse teniendo en cuenta que en el ao 2011 las resoluciones declarativas de infracciones por las Administraciones pblicas tuvieron un importante incremento como consecuencia de las que afectaron a la vulneracin de la LOPD por los Registros de la Propiedad (32 declaraciones de infraccin). No obstante, aun excluyendo tal circunstancia, se observa una importante disminucin en este tipo de declaraciones. Las principales infracciones declaradas a Administraciones pblicas han obedecido a las siguientes circunstancias: Divulgacin excesiva de datos a travs de Internet

PS/00024/2012

Una psicloga fue sancionada por vulneracin de secreto al ser indexado por buscadores el informe psicolgico de la denunciante, que haba sido almacenado por la sancionada en una carpeta personal ubicada en un servidor de la Universidad, donde prestaba sus servicios como trabajadora pblica al margen de su actividad privada.

PS/00110/2012

Se sancion a la expareja de la denunciante, por difundir en el sitio web de su propia compaa imgenes de esta con contenido sexual, junto a su nom bre y el de su actual pareja.

AP/00029/2011

Un listado con 35 trabajadores se vio expuesto en la web de contratacin del Estado en relacin con un anuncio de la convocatoria de un procedimiento de contratacin del servicio de extincin de incendios de un ayuntamiento. El listado contena sus nombres y apellidos, categora, fecha de ingreso, antigedad y salario.

AP/00009/2012

Inclusin de datos policiales en Internet. Uno de los documentos publicados era una copia del atestado <ndice>

23

MEMORIA 20 12

de la Polica Nacional en el que se reflejaba un enfrentamiento verbal del denunciante.

AP/00045/2011

ayuntamiento y, a su vez, fue cedida a un medio de comunicacin, que las public tambin sin contar con el consentimiento de los padres. Omisin de medidas de seguridad

Para desmentir un comunicado de un grupo poltico de un Cabildo respecto a una persona (que no era el denunciante) que prest servicios jurdicos en el Cabildo, esta institucin aport unos ficheros a los medios de comunicacin. En ellos se revelaban los datos del denunciante y otras personas que tambin prestaron servicios jurdicos, indicando los honorarios percibidos por asistencia y asesoramiento.

AP/00012/2012

Robo de historias clnicas en soporte papel acreditndose que los recintos afectados no disponan de cerraduras en las puertas.

AP/00055/2011

AP/00048/2011

Un ayuntamiento difundi, a travs de su portal en Internet, datos personales excesivos del denunciante (nombre, apellidos, direccin y NIF) con motivo de la publicacin del acta de una sesin extraordinaria en la que se aprob la composicin de las mesas electorales para las elecciones al Parlamento Europeo de 2009.

Un servicio regional de empleo y formacin facilit el acceso a travs de Internet a datos de los ciudadanos, utilizando como nico dato de control el DNI. Los datos a los que se permita el acceso se referan al horario de la prxima cita concedida al ciudadano, incluyendo su nmero de telfono. El DNI no puede ser utilizado como nico dato de control para identificar y autenticar al ciudadano si permite acceder a informacin como el nmero de telfono.

E/01487/2011

AP/00052/2011

En la pgina web de una escuela oficial de idiomas, en el apartado Ausencia de profesorado, de acceso general, aparecieron el nombre y apellidos del denunciante, el departamento en que imparta clase y, en el apartado de observaciones, que estara de baja hasta el 18/11. Tratamiento de datos sin consentimiento

Resolucin sobre el cumplimiento por la Consejera de Justicia de la Xunta de Galicia de las medidas instadas tras la declaracin de infraccin de medidas de seguridad en la denominada Operacin Carioca. Uso de datos incorrectos (calidad de los datos)

AP/00040/2011

AP/00022/2011

Un ayuntamiento llev a cabo unas actividades veraniegas en las que se tomaron imgenes de dos menores, hijas de los denunciantes, sin consentimiento de estos ltimos. Su fotografa se difundi en un boletn informativo editado por el propio

Un ayuntamiento aleg que, ante las dificultades existentes, simultneamente a la notificacin individualizada de una multa a travs del Servicio de Correos y mediante acuse de recibo, la public en Boletn Oficial, divulgndola a pesar de que el infractor abon la multa a los pocos das de la recepcin de la notificacin individualizada.

24

<ndice>

MEMORIA 20 12

Videovigilancia

AP/00056/2011

Una autoridad portuaria tena instalado un sistema de videovigilancia en la zona portuaria con 28 cmaras en el exterior. Esta zona dispone de viales, avenidas y calles de libre acceso que son vas pblicas, en las que se acredit que diversas cmaras estaban recogiendo imgenes. La regla general es que la captacin de imgenes en espacios pblicos est limitada a las Fuerzas y Cuerpos de Seguridad. Las solicitudes de tutela de derechos se consolidan, con una leve reduccin (-1,66%). Por su cuanta, ocupan el primer lugar las solicitudes del derecho de cancelacin (1.202) seguidas de las relativas al derecho de acceso (680), dictndose una resolucin estimatoria en un 30,1% y un 44,26% de los casos respectivamente. Estas cifras confirman la tendencia de aos anteriores en el sentido de que las principales inquietudes de los ciudadanos en el ejercicio de los derechos ARCO son conocer qu datos suyos son objeto de tratamiento y, en mayor medida, conseguir su cancelacin. Por sectores de actividad, las solicitudes de cancelacin afectan, principalmente, a los ficheros de solvencia patrimonial y crdito (312) y a los de las empresas de telecomunicaciones (158). Respecto del derecho de acceso destacan las relacionadas con los historiales clnicos (126). En relacin con estos ltimos, hay que tener en cuenta que en el caso de que a pesar de su entrega- se invoque que el historial clnico ha sido entregado de manera incompleta, esta cuestin debe ser dilucidada siguiendo los parmetros de la Ley de Autonoma del Paciente, para lo cual ca-

rece de competencia la AEPD (TD/1626/2011). En consecuencia, no se estiman las reclamaciones de tutela por acceso incompleto a historial clnico, ya que son las Autoridades Sanitarias las competentes para determinar el contenido completo del historial clnico conforme a lo establecido en la ley 41/2002. En 2012, destacan las siguientes resoluciones dictadas en el marco de procedimientos de tutelas de derechos: Alcance de la proteccin datos profesionales (TD/00365/2012) La entidad reclamada trataba datos de facultativos que, si bien pueden entenderse como profesionales, a su vez pueden ser coincidentes con los particulares (nombre, apellidos, domicilio, etc.) Asimismo, se ponan a disposicin en la web de la entidad reclamada al objeto de promover la insercin de comentarios y valoraciones realizadas por usuarios annimos, circunstancia que indudablemente afecta a su esfera ntima y personal y que puede vulnerar sus derechos. Con independencia de su condicin profesional de mdico, los datos personales hacan referencia a la persona fsica y no a una persona jurdica o sociedad que l regentara, por lo que afectaban a su esfera particular ponindolos a disposicin de terceros con una finalidad que puede afectar a alguno de los derechos inherentes a su persona. Por lo tanto, el tratamiento de dichos datos se encuentra incluido dentro del mbito de aplicacin de la LOPD, debindose atender las solicitudes de oposicin y cancelacin que se presenten. Buscadores en Internet (TD/01105/2012) El reclamante indicaba que al introducir su nombre y apellidos en el campo de bsqueda, la funcin autocompletar del buscador asociaba esos datos personales a la palabra gay.

<ndice>

25

MEMORIA 20 12

La funcin autocompletar ha sido considerada por la Agencia como tratamiento de datos, resaltando la trascendencia de la informacin asociada. Por ello, se inst al buscador a adoptar medidas para evitar la asociacin de datos objeto de la reclamacin. Alcance del derecho al olvido (ejercicio de los derechos de cancelacin y oposicin) La difusin universal y permanente de los datos personales que posibilitan los servicios de bsqueda en Internet ha provocado que la demanda ciudadana dirigida a evitarla contine incrementndose. En 2012 se ha alcanzando la cifra de 181 reclamaciones, con un aumento de ms del 13% sobre el ao anterior. Las reclamaciones planteadas frente a los buscadores de Internet ascienden a 126 y las presentadas ante Boletines oficiales o medios de comunicacin digitales a 34 y 21, respectivamente. El porcentaje de resoluciones estimatorias se sita algo por debajo de la mitad del total (45%). Entre las reclamaciones planteadas destacan las siguientes:

de tirada nacional implicado en un proceso por corrupcin de menores. El proceso fue sobresedo.

TD/00061/2012 - Estimacin parcial. En un blog se hacan comentarios de un personaje de relevancia pblica (vicario de una institucin religiosa). En esa pgina web se tratan los datos del reclamante como cargo relevante de la citada institucin (comentarios a la publicacin de las entrevistas concedidas por el reclamante) y se considera prevalente la libertad de expresin, pero tambin se hacen comentarios que no guardan relacin con su

TD/01041/2012 - Desestimacin frente al buscador al considerarse un hecho no obsoleto y de relevancia pblica. Se trata de noticias de 1998 en el diario El Pas y un blog de 2011 referentes a una condena de 24 aos a unos narcotraficantes por el secuestro con posibles implicaciones con un Gobierno latinoamericano y relevancia del reclamante como jefe de crtel de droga en tal pas. TD/01040/2012 - Desestimacin frente a buscador ya que el reclamante est incluido en una lista de Estados Unidos como testaferro de empresas asociadas al narcotrfico. El dato resulta relevante y no es obsoleto. TD/1520/2011 - Estimacin. Tutela presentada por un ex periodista de un peridico <ndice>

26

MEMORIA 20 12

esfera pblica (comentarios referidos al ejercicio de cancelacin de sus datos personales presentado por el reclamante). En la resolucin se diferencia entre:

Proyecto de Real Decreto por el que se regula el Registro Pblico Concursal. Proyecto de Real Decreto por el que se regula la condicin de asegurado y de beneficiario a efectos de la asistencia sanitaria en Espaa, en desarrollo del Real Decreto-ley 12/2012. Proyecto de Real Decreto por el que se regula la farmacovigilancia de medicamentos de uso humano. Proyecto de Real Decreto por el que se regulan las recetas oficiales y los requisitos especiales de prescripcin y dispensacin de estupefacientes para uso humano y veterinario. Proyecto de Real Decreto por el que se regulan las actividades de obtencin, utilizacin clnica y coordinacin territorial de los rganos humanos destinados al trasplante y se establecen requisitos de calidad y seguridad. Proyecto de Real Decreto por el que se regula la cartera comn suplementaria de prestacin ortoprotsica del Sistema Nacional de Salud y se fijan las bases para el establecimiento de los importes mximos de financiacin en prestacin ortoprotsica. Proyecto de Real Decreto por el que se modifica el Real Decreto 183/2004, de 30 de enero, por el que se regula la tarjeta sanitaria individual. Proyecto de Orden por la que se regula el Tabln Edictal del Servicio Pblico de Empleo Estatal y se crea el fichero de datos de carcter personal del Tabln Edictal gestionado por ese organismo. Proyecto de Orden por la que se modifica la Orden ECO/697/2004, de 11 de marzo, sobre la Central de Informacin de Riesgos. Proyecto de Orden por la que se crean determinados ficheros de datos de carcter per-

Datos personales fuera de su esfera pblica. Se estima la tutela. Datos personales utilizados en relacin con un hecho de relevancia. Se desestima la tutela.

C - LA SEGURIDAD JURDICA COMO OBJETIVO PRIMORDIAL

La AEPD ha continuado trabajando en el objetivo de contribuir a la seguridad jurdica a travs de los informes preceptivos sobre disposiciones de carcter general, dirigidos a mejorar la sistemtica del ordenamiento jurdico integrando una norma de carcter transversal, como es la LOPD, con las regulaciones sectoriales. En el ao 2012 fueron informadas 96 disposiciones de carcter general, entre las que cabe destacar las siguientes: Anteproyecto de Ley de Transparencia, Acceso a la Informacin Pblica y Buen gobierno. Anteproyecto de Ley Orgnica de Proteccin de la salud del deportista y lucha contra el dopaje en la actividad deportiva. Anteproyecto de Ley por la que se modifica la Ley 29/2006, de 26 de julio, de Garantas y uso racional de los medicamentos y productos sanitarios. Propuesta de modificacin de la Ley 44/2002, de 22 de noviembre, de medidas de reforma del sistema financiero. <ndice>

27

MEMORIA 20 12

sonal relacionados con los supuestos de posible sustraccin de recin nacidos y se aprueban los modelos oficiales de solicitud de informacin relacionados con esos supuestos. Proyecto de Orden por la que se modifica la Orden CUL/2211/2009, de 22 de junio, por la que se regulan los ficheros de datos de carcter personal del Ministerio de Cultura y sus organismos pblicos, en relacin con los ficheros de la Comisin de Propiedad Intelectual. Proyecto de Orden por la que se establecen los requisitos bsicos del convenio especial de prestacin de asistencia sanitaria a personas que no tengan la condicin de aseguradas ni de beneficiarias del Sistema Nacional de Salud. Proyecto de Orden por la que se crea un fichero de datos de carcter personal en desarrollo del Real Decreto-ley 12/2012. Proyecto de Orden por la que se modifica la Orden de 21 de julio de 1994, por la que se regulan los ficheros con los datos de carcter personal gestionados por el Ministerio de Sanidad, en relacin con la receta electrnica. Proyecto de Acuerdo del Pleno del Consejo General del Notariado de creacin del fichero de titularidad pblica denominado base de datos de titularidad real, a efectos de prevencin del blanqueo de capitales. Por otra parte, el anlisis del grado de seguridad jurdica en la aplicacin de la LOPD obliga a contemplar en qu medida las Resoluciones de la AEPD son ratificadas o revocadas por los Tribunales. Durante el ao 2012 se han dictado, respectivamente, por la Sala de lo contencioso-administrativo de la Audiencia Nacional y por la del Tribunal Supremo 187 y 21 Sentencias.

En cuanto a las Sentencias de la Audiencia Nacional: 45 fueron desestimatorias de los recursos formulados contra resoluciones de la Agencia (que quedaron plenamente confirmadas) (24%). 87 estimaron parcialmente los recursos (47%). 42 estimaron ntegramente las pretensiones anulatorias de las resoluciones de la Agencia (22%). 13 inadmitieron los recursos interpuestos contra resoluciones de la Agencia (7%). Es preciso en este punto clarificar que de las 87 sentencias parcialmente estimatorias dictadas en el ao 2012, 75 lo han sido como consecuencia de la aplicacin retroactiva del nuevo rgimen sancionador de la LOPD establecido por la disposicin adicional quincuagsima sexta de la Ley 2/2011, de 4 de marzo de Economa Sostenible. Al igual que en el ao anterior, la Audiencia Nacional ha apreciado que en este supuesto concurran los requisitos legalmente exigidos para proceder a la aplicacin retroactiva del nuevo rgimen sancionador de conformidad con lo establecido en el artculo 128.1 de la Ley 30/1992. Ello ha conducido a que, si bien la Sala de la Audiencia Nacional ha considerado que las resoluciones de la Agencia son conformes a derecho en lo que se refiere al fondo del asunto, procede rebajar la sancin impuesta. As, en 58 sentencias, la estimacin parcial consisti en rebajar el importe de la sancin impuesta desde 60.000 a 40.000 euros, como consecuencia de la rebaja de la cuanta inferior de las sanciones correspondientes a la comisin de infracciones graves establecida en la Ley 2/2011. Del mismo modo, las restantes sentencias resultan de la aplicacin retroactiva de los criterios de atenuacin contenidos en el nuevo

28

<ndice>

MEMORIA 20 12

artculo 45.5 de la LOPD, la rebaja derivada del hecho de la tipificacin de la cesin de datos no especialmente protegidos como infraccin grave (frente a su carcter muy grave en el rgimen anterior) o la rebaja proporcional de las cuantas de la sancin como consecuencia de la modificacin de los lmites mnimo y mximo establecidos en la Ley. En resumen, si bien de las cifras anteriormente sealadas pudiera parecer desprenderse que los criterios de las resoluciones de la Agencia no han sido mantenidos en sede jurisdiccional en un gran nmero de casos (tal y como ya se sealaba en la Memoria correspondiente a 2011), lo cierto es que la confirmacin de los criterios de la Agencia en cuanto al fondo del asunto ha sido slo inferior en 1 punto porcentual a la del ao 2011 (ascendiendo a un 71% el total de las sentencias de inadmisin, desestimatorias, y estimatorias parciales nicamente referidas a la aplicacin retroactiva de la reforma operada por la Ley de Economa Sostenible). En relacin con los sectores de actividad a los que afectan las sentencias, se acrecienta el peso del sector de las telecomunicaciones, al que se refieren 83 de las sentencias (un 44%, con un incremento del 30% respecto a 2011), siendo tambin muy notable el peso de los recursos interpuestos por particulares, bien contra resoluciones desestimatorias de tutelas planteadas ante la Agencia, bien contra resoluciones de archivo de actuaciones, pese a reducirse su volumen frente al ao anterior en un 22%. Por otra parte, disminuye el nmero de recursos relativos al sector financiero (en ms de un 44%, para representar ahora slo un 8% del total), as como el de recursos interpuestos por sindicatos y asociaciones profesionales (que se reduce a la tercera parte). Al propio tiempo, se incrementa el nmero de recursos interpuestos por entidades gestoras de ficheros de solvencia patrimonial y crdito, que se

ha incrementado en un 67% respecto del ao anterior, aunque slo representa un 5% del total. En cuanto a las materias, son significativas las referidas a la inclusin de datos inexactos en ficheros de solvencia patrimonial y crdito o con la contratacin de servicios. Tambin es preciso indicar que en un buen nmero de sentencias estimatorias, la decisin final del recurso se ha fundado en la ampliacin, mediante la prueba practicada en el mbito del recurso, de la llevada a cabo por la Agencia. En este sentido, conviene precisar que la mayor parte de los criterios estimatorios de la Audiencia Nacional se han fundado en una distinta interpretacin de la prueba obrante en autos y no en discrepancias con las resoluciones recurridas en lo que a la aplicacin de las normas sustantivas de proteccin de datos se refiere. De las materias analizadas en las sentencias de la Audiencia Nacional destacan las siguientes cuestiones: En lo referente al mbito de aplicacin territorial de la normativa de proteccin de datos debe hacerse referencia a la SAN de 15/2/2012, que considera que la inclusin de un dato en un fichero de solvencia espaol por entidad de un pas no perteneciente al Espacio Econmico Europeo supone el uso de medios para el tratamiento en territorio espaol. En lo relativo al concepto de dato de carcter personal, la SAN de 29/11/2012 reitera el criterio de que las imgenes tienen el carcter de datos personales. En cuanto al tratamiento de datos de menores, la SAN de 2/1/2013 considera ilcita la inclusin de imgenes de menores en redes sociales sin consentimiento de sus padres o tutores, recalcando la SAN de 29/12/2012 la obligatorie-

<ndice>

29

MEMORIA 20 12

dad de establecer mecanismos de verificacin de la edad y el consentimiento parental en campaas de publicidad en Internet. En lo relativo a la legitimacin para el tratamiento han sido ya varias las sentencias en las que se ha aplicado la regla de equilibrio de derechos e intereses contenida en el artculo 7 f) de la Directiva 95/46/CE. As, la SAN de 19/12/2012 ha considerado prevalente el inters legtimo del responsable en el caso de tratamiento por un sindicato de datos de trabajadores que quedaba restringido al mbito de la empresa, guardando la informacin relevancia sindical. Asimismo, la SAN de 29/3/2012 consideraba prevalente el inters legtimo en el caso de publicacin de informacin sobre multas impuestas a cargo pblico y la SAN de 11/4/2012 apreciaba la concurrencia de aqul en relacin con la publicacin en pgina web del recurrente de imgenes que podan encontrarse en YouTube. Tambin se apreci el inters legtimo prevalente en aplicacin del principio de transparencia en el acceso a la funcin pblica (SSAN de 15/2/2012 y 26/4/2012), en la publicacin en una pgina web de informacin meramente identificativa que ya se encontraba disponible en Internet (SAN de 15/3/2012) y en el uso por un colegiado de direcciones profesionales de los restantes colegiados para el envo de informacin electoral (SAN de 25/5/2012). Por el contrario, no se consider prevalente el inters alegado para la recopilacin masiva de datos al objeto de crear un fichero con datos de 37 millones de personas con la mera intencin de comercializarlo (SAN de 30/5/2012). En cuanto a los supuestos de tratamiento de datos derivados de una supuesta contratacin de bienes y servicios, la AN ha venido resolviendo los distintos casos planteados atendiendo a las cir-

cunstancias que concurran en cada uno. As, se ha apreciado la existencia de indicios de contrato en los supuestos en que se aport un DNI que luego result ser falso (SAN de 21/3/2012), cuando se gener trfico resultante de los servicios contratados y se abonaron varios recibos (SSAN de 29/3/2012, 19/7/2012 y 15/10/2012) o cuando el interesado recibi el equipamiento necesario para la prestacin del servicio en su domicilio sin devolverlo (SAN de 6/7/2012). Por el contrario, no se apreci la existencia de indicios en el caso de no aportacin del contrato ni de identificador alguno del interesado (SSAN de 20/7/2012 y 28/12/2012), se usaron datos de un cliente para la contratacin de nuevos servicios no solicitados (SSAN de 2/2/2012, 20/7/2012, SAN 2/11/2012, 30/11/2012 y 5/12/2012), se celebr el mismo contrato sobre el mismo servicio de forma duplicada con dos cnyuges, vinculados ambos a un mismo domicilio (SAN de 20/4/2012), se devolvi inmediatamente el equipamiento recibido (SAN de 22/2/2012) o los consumos facturados haban sido de una cuanta nfima (SAN de 21/12/2012). Tambin en cuanto a la legitimacin, la AN ha mantenido la doctrina ya sealada con anterioridad en el sentido de considerar que las empresas de recobro cuentan con la misma legitimacin que el acreedor (SAN de 3/10/2012); ha considerado lcita la cesin por una promotora del dato de un comprador a la empresa encargada del suministro de aguas a la vivienda, por cuanto exista autorizacin para la contratacin de los suministros (SAN de 22/3/2012); ha considerado lcita la cesin por la Administracin Tributaria de los datos de un contribuyente a un TSJ en el marco de un procedimiento de ejecucin (SAN de 7/6/2012) y ha entendido igualmente lcita aportacin a juicio de imgenes captadas por un detective privado, al ser prueba admitida por el juez (SAN de 8/3/2012)

30

<ndice>

MEMORIA 20 12

No se ha apreciado, por el contrario, la licitud en los supuestos de exposicin en un escaparate de una fotografa sin consentimiento del retratado (SAN de 18/5/2012), el tratamiento de los datos derivados de la adquisicin de un terminal mvil para la contratacin de un seguro no solicitado (SAN de 29/3/20121), el envo de publicidad a una persona incluida en una Lista Robinson (SAN de 27/4/2012) o la inclusin en guas de telecomunicaciones de los datos de un abonado sin contar con consentimiento cuando la publicacin es posterior al RD 424/2005 (SAN de 13/7/2012). Por otra parte la SAN de 26/9/2012 ha considerado aplicable en un proceso de reestructuracin societaria lo dispuesto en el artculo 19 RLOPD, no existiendo cesin de datos. En relacin con los datos especialmente protegidos, la SAN de 27/2/2012 ha considerado que es dato de salud la inclusin en el sobre de una campaa publicitaria de la expresin enfermo celaco y la SAN de 20/11/2012 ha entendido que existe un tratamiento de datos relacionados con la vida sexual en los supuestos de inclusin por un tercero de un perfil del afectado en un portal de contenido homosexual. En relacin con el encargado del tratamiento, la SAN de 29/3/2012 considera que no lo son los distribuidores de operadores de telecomunicaciones y la SAN de 19/12/2012 que s tienen esta condicin los agentes comerciales (personas fsicas) del responsable. Por otra parte, tambin en relacin con el encargado, la SAN de 23/11/2012 considera que la vulneracin de los deberes de secreto y seguridad puede ser imputada al responsable, no procediendo sin embargo en caso de extralimitacin del encargado frente a lo exigido por el responsable (SAN de 27/2/2012). <ndice>

Por lo que respecta al ejercicio de derechos, la SAN 13/12/2012 ha considerado que es vlido su ejercicio en un lugar distinto del sealado con carcter general por el responsable. Adems, en cuanto al acceso, la SAN de 15/3/2012 ha sealado que la eleccin del medio de acceso corresponde al afectado, indicando la SAN de 20/12/2012 que el plazo de un mes para atenderlo comienza a computar en el momento en que consta la recepcin de la solicitud (en este caso se trataba del ejercicio del derecho a travs de un burofax que no haba sido entregado al responsable). Existen dos sentencias relacionadas con el derecho de cancelacin de antecedentes policiales: la SAN de 26/6/2012 indica que no puede exigirse al interesado que para ejercitar su derecho haya de cumplimentarse un formulario. Por su parte, la SAN de 30/5/2012 recuerda que no bastar para la denegacin del derecho una mera invocacin genrica del art. 22 LOPD. En materia de seguridad, la SAN de 23/11/2012 considera que no es preciso invocar la infraccin de una concreta medida de seguridad en los casos en que no consta la implantacin de ninguna de las legalmente exigidas. En el mbito de la publicidad y prospeccin comercial, la SAN de 29/12/2012 pone de manifiesto el deber de vigilancia que corresponde al beneficiario de la publicidad en la eleccin de quien realiza una determinada campaa, sindole imputable la infraccin en caso de que fije los parmetros de la muestra, conforme a lo dispuesto en el RLOPD. Son muchas las cuestiones relacionadas con los ficheros de solvencia patrimonial y crdito. En particular, en lo que respecta a la existencia de la deuda, la SAN de 15/3/2012 tiene en cuen-

31

MEMORIA 20 12

ta la doctrina derivada de la STS de 15/7/2010, sealando que dicha doctrina no impide que no se consideren ciertas las deudas si existe una reclamacin sobre su existencia y cuanta ante el rgano competente para resolverlas. As, se ha considerado que no es cierta a los efectos de la inclusin una deuda discutida en la jurisdiccin civil (SAN de 25/5/2012) o en los supuestos de impugnacin ante la SETSI (SSAN de 11/5/2012, 14/6/2012 y 7/12/2012) o una OMIC (SSAN de 30/5/2012 y 13/7/2012) o ante una junta arbitral de consumo (SAN de 1/3/2012). Por el contrario, se ha considerado que existe deuda en los supuestos en que hay un laudo arbitral que declara la existencia de la deuda anterior a la inclusin en el fichero (SAN de 9/4/2012) o cuando se imputa la deuda al propietario de una vivienda arrendada con pacto de pago de suministros sin que se hubiera notificado cambio de usuario al prestador del servicio (SAN de 11/3/2013). En cuanto a la exigencia de requerimiento de pago, la SAN de 30/11/2012 exige que consten en el mismo la deuda, su cuanta y la advertencia de inclusin en los ficheros, debiendo existir correlacin entre la deuda requerida y la incluida en el fichero (SAN de 23/2/2012) y no siendo posible la subsanacin de su inexistencia despus de la inclusin en el fichero (SAN de 11/5/2012). En todo caso, la AN ha sealado reiteradamente que si se niega su recepcin corresponde la prueba de su realizacin al acreedor. En el mbito de la videovigilancia, resulta especialmente relevante la aplicacin por la AN del principio de proporcionalidad, entendiendo que existe en el caso de instalaciones fijas que slo enfocan a la puerta de un local (SAN de 9/2/2012) y no concurren ni en el caso de instalaciones con cmaras domo de 360 y con

zoom que enfocan o pueden enfocar a la va pblica (SAN de 29/11/2012). En cuanto a la aplicacin de la LSSI, la SAN de 24/10/2012 reitera que es irrelevante en los supuestos de comunicaciones comerciales no solicitadas la existencia o no de legitimacin para el tratamiento en los trminos previstos en la LOPD. Por otra parte, es posible la imposicin de dos sanciones por inexistencia de consentimiento del destinatario y falta de establecimiento de medios para que pueda aqul oponerse, sin que quepa apreciar la existencia de bis in dem (SAN de 28/12/2012). Por otra parte, la SAN 25/10/2012 entiende que es preciso siempre el consentimiento si en los envos se ofertan productos de terceros, no operando en este caso la excepcin del artculo 21.2 LSSI, que por otra parte no podr invocarse en caso de que conste la negativa expresa a recibir los mensajes (SAN de 29/10/2012). El consentimiento podr recabarse mediante condiciones generales que consten en el sitio web del anunciante si el mensaje se refiere a las mismas (SSAN 25/5/2012, 3/10/2012 y 28/12/2012). Por otra parte, debe hacerse referencia a la SAN 25/5/2012, que considera aplicables retroactivamente los plazos de prescripcin de una determinada infraccin que ha sido rebajada en su gravedad por la reforma operada por la LES. Por ltimo, tras la entrada en vigor de la LES, y en relacin con la aplicacin del criterios establecido en su artculo 45.5, la AN ha sealado que procede la reduccin cuando ha quedado acreditada la concurrencia de buena fe en el sancionado, que consideraba lcita la conducta llevada a cabo (SAN de 15/3/12), cuando se ha regularizado la situacin en un perodo muy reducido de tiempo (SAN de 10/5/12), cuando

32

<ndice>

MEMORIA 20 12

cabe apreciar que la conducta del interesado o de un tercero ha inducido a la comisin de la conducta tpica (SSAN de 20/4/12 y 19/12/12) o como consecuencia de la existencia de un proceso societario de absorcin de la entidad que realmente cometi la infraccin (SAN de 10/3/12), si bien en la SAN de 18/5/12 se recuerda que este criterio no puede operar de modo indefinido. Por el contrario, no se ha apreciado la aplicabilidad de esta norma en los supuestos de empresas que tratan masivamente datos, a las que es exigible un extremado deber de diligencia (SAN 25/3/12 en relacin con un fichero de solvencia patrimonial y crdito) o aplicando la regla de la reincidencia que impide tener en cuenta posibles circunstancias atenuantes de la responsabilidad (SAN 26/4/12). Por su parte, el Tribunal Supremo dict un total de 21 sentencias referidas a recursos de casacin o de casacin para unificacin de doctrina interpuestos frente a sentencias dictadas en procesos en los que era parte la Agencia. En relacin con estos recursos, el Tribunal Supremo: Declar en 10 sentencias no haber lugar a los recursos interpuestos contra sentencias que confirmaban las resoluciones de la Agencia, que quedaron as confirmadas. Declar en 6 supuestos no haber lugar al recurso interpuesto por la representacin procesal de la Agencia contra sentencias que estimaban los recursos interpuestos contra la resolucin de esta Agencia. Acord en 4 supuestos la inadmisin del recurso. Declar en una sentencia no haber lugar a sendos recursos interpuestos tanto por la representacin procesal de la Agencia como por la

de la entidad sancionada frente a una sentencia de la Audiencia Nacional que haba estimado parcialmente el recurso contra una resolucin sancionadora de la Agencia Dicho lo anterior, debe hacerse referencia a las siguientes sentencias del Tribunal Supremo: La STS de 13/11/12, que considera que no es dato relacionado con la vida sexual la informacin relativa a que un funcionario ha sido condenado por abusos sexuales. La STS de 21/2/12, que considera responsable del tratamiento a un listbroker que acta en nombre propio con el beneficiario de la publicidad y que le factura directamente. La STS de 6/11/12, que entiende que la existencia de una clusula de consentimiento para el envo de ofertas de empresas del grupo puede ser suficiente para enviar ofertas de trabajo de las mismas. Las SSTS de 7/5/12, 27/6/12 y 7/11/12, que establecen que la carga de la prueba del cumplimiento del deber de informacin recae en el responsable. En relacin con esta obligacin la STS de 9/10/12 considera que slo ser posible la utilizacin de imgenes de videovigilancia para el control de jornada si se ha informado de esta circunstancia al trabajador. En relacin con el deber de secreto, la STS de 13/11/12 lo considera vulnerado en caso de publicacin en un diario oficial de una condena penal impuesta a un funcionario y la STS de 12/3/2012 considera que no existe vulneracin cuando se publican en un diario oficial los datos de afectados por Convenio urbanstico. Tambin el TS ha considerado que existe vulneracin del deber de secreto, en este caso de datos

<ndice>

33

MEMORIA 20 12

relacionados con la salud, por la publicacin en un tabln de los datos de pacientes de un centro sanitario sometidos a un tratamiento de metadona (STS de 13/11/2012) o la accesibilidad de un fichero de pacientes a travs de sistemas de intercambio de archivos P2P (STS de 22/12/2012). En relacin con los procedimientos tramitados por la AEPD, la STS de 14/5/2012 ha reiterado la posibilidad de estimacin de procedimientos de tutela de derechos por motivos formales y la STS de 23/10/2012 ha declarado que la mera existencia de una denuncia no implica una obligacin para la Agencia de incoar un procedimiento sancionador. La STS de 21/2/2012 no se aprecia culpabilidad en el sancionado cuando se produce una conducta contraria a la LOPD respecto de la que la AEPD vena declarando el archivo de actuaciones si la conducta no se lleva a cabo despus de la primera resolucin en que se declara la infraccin. Finalmente, en materia sancionadora el TS ha aplicado de oficio retroactivamente la reforma operada por la LES en varios supuestos de infraccin muy grave de cesin de datos, que pas a ser grave tras la reforma (SSTS de 7/5/2012, 27/6/2012 y 7/11/2012). Debe, por ltimo, en este punto hacerse referencia a las Sentencias del Tribunal Supremo de 8 de febrero de 2012, por las que se dicta sentencia en los recursos interpuestos contra los apartados a) y b) del artculo 10.2 del RLOPD, en el procedimiento que dieron lugar al planteamiento de la cuestin prejudicial resuelta por la STJUE de 24 de noviembre de 2011, que declar el efecto directo del artculo 7 f) de la Directiva 95/46/CE. En dichas sentencias, el Tribunal, en primer lugar, considera improcedente efectuar ninguna declara-

cin adicional a las contenidas en la propia STJUE en cuanto al efecto directo del citado artculo o en cuanto a la legalidad de los artculos 6 y 11 de la LOPD (cuestin esta respecto de la que pone de manifiesto su falta de competencia), concluyendo que de los dos apartados mencionados slo cabe apreciar la anulabilidad del artculo 10.2 b) del RLOPD. As, respecto del artculo 10.2 a), las SSTS sealan que el que la reglamentaria establezca como excepcin a la necesidad del consentimiento del interesado aquellos supuestos en que el tratamiento o la cesin estn autorizados con una norma con rango de ley o una norma de derecho comunitario, ninguna adicin limitativa supone con respecto a la regulacin comunitaria. Sin embargo, en cuanto al artculo 10.2 b), las SSTS consideran que impone un requisito adicional al inters legtimo para efectuar la ponderacin exigida por el artculo 7 f) de la Directiva, por lo que excede su mbito y procede su anulacin, indicando que la circunstancia de que los datos figuren en fuentes accesibles al pblico, referenciada en el artculo 10.2 b) del Reglamento, no acta como elemento de ponderacin. Ninguna dificultad de redaccin habra para darle ese carcter. Acta, y a ello se refiere la sentencia en su fundamento 47, como requisito habilitante que, por adicionarse a la previsin del artculo 7 f) de la Directiva, debe declararse nulo. Es de observar el uso de la conjuncin copulativa y entre la exigencia de que los datos figuren en fuentes accesibles al pblico y la del inters legtimo del responsable del tratamiento o del tercero o terceros a quienes se les comuniquen los datos.

34

<ndice>

MEMORIA 20 12

D ESAFOS PARA LA PRIVACIDAD: PRESENTE Y FUTURO

A - LA PRIVACIDAD COMO ELEMENTO CLAVE PARA CONFIAR EN INTERNET
La Agenda Digital para Espaa (febrero 2013) destaca que el establecimiento de un clima de confianza en el mbito digital es imprescindible para que las TIC contribuyan al desarrollo econmico y social del pas. A tal efecto, la Agenda Digital reconoce que una parte muy relevante de la confianza depende de que los propios usuarios sean conscientes de los riesgos existentes y de que cumplan con las recomendaciones de buenas prcticas para un uso responsable de los servicios. Para ello, las iniciativas que pretendan incrementar la confianza digital de los usuarios deben incluir medidas de sensibilizacin y difusin de buenas prcticas citando, entre otras, el impulso para la incorporacin de contenidos sobre proteccin de la privacidad, la seguridad y el uso responsable de las TIC en los itinerarios del sistema educativo, as como el requerimiento de polticas de privacidad por parte de los agentes implicados y la exigencia de su cumplimiento. La Agenda Digital insiste en resaltar que uno de los elementos que ms impacto tendr sobre la confianza en el mbito digital en los prximos aos es el tratamiento de los datos personales y las cuestiones relacionadas con la privacidad en Internet. En este sentido, destaca la importancia de la propuesta de la Comisin Europea para adaptar la normativa de la proteccin de datos al entorno digital, reforzando el control de los usuarios sobre sus datos personales. Asimismo, enfatiza la necesidad de que las medidas normativas y de autorregulacin que se adopten han de proporcionar un adecuado equilibrio y proporcionalidad para asegurar la sostenibilidad de las inversiones y los niveles de proteccin adecuados. Estos objetivos implican un compromiso activo por parte de la industria para facilitar las opciones de gestin de los datos personales de los usuarios de servicios de Internet y una apuesta de las Autoridades de proteccin de datos personales en la bsqueda de alternativas flexibles para garantizar los derechos de los usuarios en los nuevos entornos tecnolgicos. En este mbito, en 2012 han tenido lugar modificaciones normativas que aportan nuevas garantas para el tratamiento de datos en el sector de las telecomunicaciones y en los servicios de la sociedad de la informacin. El dilatado retraso en la transposicin de la Directiva 2009/136/UE (que modific la Directiva 2002/58/CE) determin que el Gobierno, por razones de extraordinaria y urgente necesidad, llevara a cabo su transposicin mediante la aprobacin del Real Decreto-ley 13/2012, de 30 de marzo. En relacin con la proteccin de los datos personales y las competencias de la AEPD, dicha norma incide, bsicamente, sobre la notificacin de violaciones de datos por parte de los sujetos obligados por la ley 32/2003 de 3 de noviembre, General de Telecomunicaciones; el uso de dispositivos de almacenamiento y recuperacin de la informacin en equipos terminales (las cookies y tecnologas similares) y las garantas respecto de las comunicaciones comerciales no solicitadas a travs de sistemas de comunicacin electrnica. La inmediata entrada en vigor del Real Decreto-ley 13/2002 ha condicionado su aplicacin efectiva al no contemplar un periodo transitorio para su aplicacin y transponer cuasi literalmente la redaccin de la Directiva citada. La norma modifica la Ley 32/2003, General de Telecomunicaciones y define las violaciones de da-

<ndice>

35

MEMORIA 20 12

tos personales como la violacin de la seguridad que provoque la destruccin accidental o ilcita, la prdida, la alteracin, la revelacin o el acceso no autorizado, de datos personales transmitidos, almacenados o tratados de otro modo en relacin con la prestacin de un servicio de comunicaciones electrnicas de acceso pblico (en adelante se denominarn quiebras de seguridad). Con el fin de reforzar las garantas de los abonados o particulares afectados se prevn dos tipos de notificaciones de quiebras de seguridad. Por una parte, la que debe realizarse con carcter general y sin dilaciones indebidas a la AEPD y, por otra, la notificacin directa a los abonados o particulares si pudiera afectar negativamente a su intimidad o a sus datos personales. Esta ltima no ser necesaria cuando se acredite a la autoridad competente la adopcin de medidas de proteccin tecnolgicas adecuadas. De no efectuarse la notificacin a los abonados o particulares, la AEPD podr exigirla una vez evaluados los posibles efectos adversos. En todo caso, las notificaciones deben incluir las medidas adoptadas para atenuarlas y un punto de contacto para que los particulares puedan obtener informacin adicional. Para permitir la verificacin de las obligaciones de notificacin, los operadores obligados a ella debern llevar un inventario que estar a disposicin de la AEPD. La obligacin de notificar las quiebras de seguridad aconsej la puesta en marcha por parte de la AEPD de un protocolo de actuacin dirigido a evaluar sin dilacin las notificaciones de quiebras de seguridad. En cuanto al sistema de garantas aplicable a la nueva regulacin de los dispositivos de almacenamiento y recuperacin de informacin en equipos

terminales de los usuarios (en adelante cookies), la nueva regulacin tiene gran relevancia prctica. Esta relevancia se deriva del importante cambio de modelo regulatorio que ha supuesto el Real Decreto-ley 13/2012 y de sus implicaciones en aspectos importantes de la denominada economa digital. En efecto, hasta el momento de la entrada en vigor de la norma citada, la proteccin de los usuarios de servicios de la sociedad de la informacin se articulaba sobre un sistema de opt-out, que implicaba el suministro de informacin sobre la utilizacin de cookies, acompaada de la posibilidad de oponerse a las mismas. Sobre estas premisas se han configurado modelos de negocio cuya adaptacin al sistema de autorizacin de las cookies, legitimado por el consentimiento informado de los usuarios, presenta dificultades que se agudizan como consecuencia de la inmediatez de la entrada en vigor de la nueva regulacin. En este entorno, la AEPD ha optado por establecer un contacto directo con la industria dirigido a elaborar un documento orientativo sobre cmo adaptarse a la regulacin vigente. Se valoran, como punto de referencia, las consideraciones de otras autoridades de proteccin de datos de Estados miembros de la Unin Europea que se han anticipado en la aplicacin de la nueva regulacin. Esta opcin se ha plasmado en la articulacin de un dilogo directo con organizaciones representativas de los agentes implicados (Adigital, IAB y Autocontrol) para la elaboracin por parte de la industria de unas recomendaciones que pudieran ser respaldadas por la AEPD para el cumplimiento de la nueva regulacin. La elaboracin de las citadas orientaciones parte necesariamente del limitado conocimiento de los

36

<ndice>

MEMORIA 20 12

usuarios de Internet sobre el uso y la gestin de las cookies, y del consiguiente compromiso de la industria para contribuir activamente a informarles sobre su uso y sobre las opciones de gestin de las mismas. Este compromiso, de ser efectivo, posibilitar una evaluacin consciente por parte de los usuarios de las ventajas y los riesgos derivados del uso de cookies, pudiendo decidir sobre el uso de su informacin personal. No obstante, el proceso de dilogo con la industria no condiciona la vigencia de la nueva regulacin, circunstancia que hace recomendable la realizacin por los sujetos obligados de una auditora de cookies que les permita identificar las que utilizan (propias o de terceros). As, sobre ese anlisis, podrn adoptar las medidas apropiadas para obtener el consenti-

miento informado de los usuarios de acuerdo con las caractersticas de su modelo de negocio. Tanto en la auditoria de cookies como en los procedimientos dirigidos a obtener el consentimiento debe tenerse en cuenta que, en determinadas condiciones, este requisito est exceptuado. Sobre las cookies exentas, el Grupo de Trabajo de las Autoridades Europeas de Proteccin de Datos (GT29) adopt el Dictamen 4/2012 (WP 194), que forma parte del conjunto de posiciones en relacin con la aprobacin y posterior implementacin de la Directiva 2009/136, que vino a modificar la Directiva 2002/58. Mientras que en los dictmenes 2/2010 (WP 171), sobre publicidad comportamental en lnea, y 16/2011 (WP 188), sobre la Recomendacin de

<ndice>

37

MEMORIA 20 12

Buenas Prcticas de EASA/IAB, el Grupo se concentr en exponer su interpretacin sobre cmo gestionar la nocin de consentimiento previo e informado para la instalacin de cookies que establece como norma general la Directiva, en esta se ocupa de analizar qu tipos de cookies estaran excluidas de ese consentimiento, tambin en aplicacin de las excepciones que la Directiva fija. El Dictamen parte en su anlisis tanto de los dos requisitos que la Directiva incorpora expresamente (al solo fin de efectuar la transmisin de una comunicacin a travs de una red de comunicaciones electrnicas, o en la medida de lo estrictamente necesario a fin de que el proveedor de un servicio de la sociedad de la informacin preste un servicio expresamente solicitado por el abonado o el usuario) y de dos dimensiones propias de las cookies: su persistencia y la parte responsable de instalarla. El uso combinado de ambos grupos de variables conduce a un listado de cookies en que el consentimiento previo e informado no es necesario, as como a que el Dictamen intente aclarar la situacin de algunas cookies cuya valoracin puede resultar ms difcil. En este aspecto, merece mencin especial el caso de las cookies de primera parte (las instaladas por la propia web en que se emplean) utilizadas con fines analticos. El Dictamen reconoce que, en aplicacin de los criterios de la Directiva, no pueden ser excluidas de la necesidad de consentimiento pero tambin concluye que su impacto en la privacidad es muy limitado y que, en caso de que se revisara en un futuro la Directiva 2002/58, debiera establecerse una excepcin explcitamente dirigida a ellas. En abril de 2013, es decir, fuera del periodo temporal al que se refiere esta Memoria, la Agencia Espaola de Proteccin de Datos ha presentado, junto a las asociaciones Adigital, Autocontrol e IAB

Spain, la primera gua en Europa elaborada conjuntamente por la autoridad de proteccin de datos y los representantes de la industria. La Gua sobre el uso de las cookies recoge las orientaciones, garantas y obligaciones que la industria se compromete a difundir y aplicar para adaptar la instalacin de este tipo de archivos a la legislacin vigente.

B - MODULAR LAS GARANTAS EN EL CLOUD COMPUTING

El desarrollo de nuevos servicios globales que inciden en el tratamiento de datos personales exige superar el marco nacional en el anlisis de sus implicaciones y promover conclusiones comunes de las autoridades de proteccin de datos en el mbito europeo. En esta lnea, la AEPD ha participado activamente en la adopcin del Dictamen 5/2012 sobre la computacin en la nube en el marco del Grupo de Trabajo del artculo 29 (GT 29). La computacin en nube (cloud computing) se define como un conjunto de tecnologas basadas en el uso y provisin de servicios y aplicaciones de tecnologas de la informacin basadas en Internet. Su uso se est generalizando muy rpidamente, dado que puede generar importantes beneficios econmicos y tecnolgicos para todo tipo de entidades, pblicas o privadas. Sin embargo, esta expansin supone un reto para la proteccin de datos, puesto que algunas de las caractersticas intrnsecas a este modelo de prestacin de servicios exigen una adaptacin de los principios y garantas clsicas en el mbito de la privacidad. El Dictamen pretende ofrecer una gua sobre cmo encuadrar la computacin en nube en el marco de proteccin de datos, y para ello comienza con un anlisis general de los riesgos que el cloud, por su

38

<ndice>

MEMORIA 20 12

naturaleza, conlleva. Entre los puntos ms relevantes destacaran el potencialmente elevado nmero de entidades involucradas, la dispersin en la localizacin de los datos, la rapidez con que se producen las transacciones (frecuentemente implicando transferencias internacionales), o la dependencia que el cliente tiene respecto al prestador. El documento subraya cmo el cliente de cloud mantiene su rol de responsable de tratamiento y, por tanto, determina que la legislacin que resulta aplicable sea la del pas en el que est establecido, con independencia de cul sea el lugar en el que se establezca el prestador de servicios de cloud computing. Igualmente, seala que sigue teniendo que hacer frente a sus obligaciones como responsable. Es por ello que el Dictamen considera fundamental que las entidades que quieran utilizar los servicios de cloud realicen un anlisis de riesgos que les permita elegir con conocimiento suficiente tanto el tipo de prestacin como el proveedor de servicios en nube. La parte ms sustancial del Dictamen se centra en los contenidos que se recomiendan para los contratos que vinculan al cliente responsable con el prestador encargado del tratamiento, as como en los que se concluyan entre el prestador o prestadores y sub-encargados del tratamiento. Esos contratos debern tener en cuenta e incluir las clusulas que correspondan a cada situacin la existencia de transferencias internacionales. La AEPD actu como co-redactor de la propuesta presentada al plenario para su aprobacin. En paralelo al desarrollo de los trabajos del GT29, la AEPD ha anticipado unas recomendaciones conjuntamente con el Consejo General de la Abogaca Espaola dirigida a orientar a los abogados en la contratacin de servicios de cloud computing (disponibles

en www.agpd.es). Los criterios de estas recomendaciones han sido ratificados por el Dictamen citado. Partiendo de los criterios del Dictamen, la AEPD ha trabajado en la elaboracin de unos principios generales sobre las garantas que se deben adoptar en la contratacin de estos servicios y la diligencia exigible tanto a los clientes interesados en utilizarlos como a las entidades que los comercializan. En abril de 2013 la Agencia present una gua prctica dirigida a pymes, profesionales y administraciones pblicas que detalla cmo contratar servicios de cloud computing conforme a la normativa de proteccin de datos y unas orientaciones dirigidas a los prestadores de servicios en la nube.

C - UNA POLTICA COORDINADA EN DEFENSA DE LOS CIUDADANOS EUROPEOS

La oferta de servicios globalizados, especialmente en Internet, ha determinado que el anlisis de sus implicaciones sobre la proteccin de los datos personales y la respuesta a las mismas supere los mbitos nacionales. Las Autoridades de Proteccin de Datos de los Estados miembros y el Supervisor Europeo de Proteccin de Datos han sido conscientes desde tiempo atrs de la necesidad de abordar dichas cuestiones de forma coordinada. De hecho, la tradicin del GT29 en la adopcin de Dictmenes y Recomendaciones as lo acredita. La necesidad de formular criterios comunes se ha intensificado recientemente como consecuencia de las nuevas regulaciones (modificacin de la Directiva 2002/58/CE) o del desarrollo de servicios. Un ejemplo de la creciente cooperacin entre autoridades han sido los documentos elaborados sobre cookies o el cloud computing.

<ndice>

39

MEMORIA 20 12

Por otra parte, en el pasado, la cooperacin se haba circunscrito, bsicamente, al anlisis de los riesgos y la elaboracin de criterios comunes sobre la normativa de proteccin de datos personales. Sin embargo, en el momento presente las actuaciones de cooperacin implican dar nuevos pasos adelante en la aplicacin efectiva de la normativa citada. Un primer paso en esta direccin ha sido la colaboracin de las Autoridades en el marco del GT29 con la Autoridad de Proteccin de Datos de Irlanda para auditar los servicios prestados por Facebook, que ha dado lugar a un proceso de revisin de sus servicios para adaptarlo a las recomendaciones de la auditora. La necesidad de acciones coordinadas se ha hecho an ms patente como consecuencia de la modificacin unilateral de las polticas de privacidad y condiciones de uso de servicios por parte de Google, el 1 de marzo de 2012. Como consecuencia de esa modificacin, se han unificado en una nica poltica todo un conjunto de polticas especficas asociadas a los servicios prestados por Google, a la vez que se generaliza la combinacin de los datos de usuarios obtenidos de cada uno de los referidos servicios. En vista de las dudas que suscitaban estos cambios en el terreno de la proteccin de datos, el GT29 decidi emprender una investigacin conjunta, liderada por la Autoridad de Proteccin de Datos francesa (CNIL), y con la participacin del resto de autoridades europeas a travs de los mecanismos de cooperacin del Grupo. En el desarrollo de la investigacin, se remitieron a Google sendos cuestionarios en marzo y mayo de este ao. Las respuestas por parte de la compaa presentaban, en ambos casos, informacin incompleta o con insuficiente nivel de detalle. Con la informacin proporcionada por dichos cuestio-

narios, as como con los resultados de las pruebas tcnicas realizadas por la CNIL, se elabor un informe de auditora, junto con un documento de recomendaciones. El informe de auditora fue remitido a Google, as como las recomendaciones y una carta firmada por todos los Comisionados de Proteccin de Datos de la Unin Europea que se present pblicamente el 16 de octubre. Adems de emplazar a Google a comprometerse de forma pblica con los principios dimanantes de la legislacin de proteccin de datos de la Unin Europea, en la carta y en el informe que la acompaa se hace un diagnstico sobre los elementos de la nueva poltica de privacidad de la entidad que, a juicio de las autoridades europeas, entran en conflicto con nuestra legislacin. En primer lugar, la investigacin mostr que Google no facilita la informacin suficiente a sus usuarios, incluidos los usuarios pasivos, es decir, aquellos que utilizan un servicio de Google sin haberlo solicitado o, incluso, sin saberlo. Ello supone que un usuario de Google no puede determinar qu categoras de datos se tratan en el servicio que utiliza ni con qu fin. Por otro lado, la investigacin confirm que, como intuan las autoridades europeas, la nueva Poltica de privacidad permite que Google combine prcticamente cualquier dato de cualquier servicio para cualquier fin. Estas operaciones de combinacin masiva de datos plantean serios problemas desde la perspectiva de la base legal en que se fundamentan, su proporcionalidad en relacin con los fines perseguidos y el control que sobre ellas pueden ejercer los usuarios. Por ltimo, se constat que Google no informa a los usuarios, ni tampoco proporcion explicaciones

40

<ndice>

MEMORIA 20 12

suficientes en el marco de la investigacin, sobre los periodos de conservacin para los datos personales que trata. Adicionalmente, se present un documento que recoge en detalle un conjunto de recomendaciones para la mejora de dicha poltica en el mbito de la informacin a los usuarios, las prcticas de combinacin de datos obtenidos de diferentes servicios y los periodos de retencin de datos. Entre estas recomendaciones se incluan: Definir un modelo de avisos de privacidad estructurados y separados en capas, con un nivel de informacin especfica para cada producto. Utilizar presentaciones interactivas que permitan a los usuarios navegar fcilmente por el contenido de las polticas. Facilitar informacin precisa y adicional sobre los datos que afectan de manera significativa a los usuarios (ubicacin, datos de las tarjetas de crdito, identificadores de dispositivo nicos, etc.) Adaptar la informacin a los usuarios de dispositivos mviles. Garantizar que los usuarios pasivos estn debidamente informados. Detallar con mayor claridad la manera en la que se combinan los datos entre los diferentes servicios. Desarrollar nuevas herramientas para dotar a los usuarios de un mayor control de sus datos personales, tales como diferenciacin ms explcita de los fines para los que se produce cada operacin de combinacin, obtencin de consentimiento explcito para la combinacin de datos con determinadas finalidades y dise-

o de mecanismos de opt out ms simples para todo tipo de usuarios en los casos en que la combinacin no se base en el consentimiento o aplicacin del Artculo 5(3) de la Directiva europea sobre la privacidad y las comunicaciones electrnicas. Por otro lado, el documento ofrece consejos sobre la poltica de uso de nombres reales en el proceso de registro de nuevos usuarios, as como sobre el uso de datos biomtricos, con especial incidencia en los sistemas de reconocimiento facial. La Agencia Espaola de Proteccin de Datos ha participado de forma activa en la investigacin realizada, tanto en la redaccin y evaluacin de los cuestionarios como en la elaboracin del informe final de la investigacin. En ese sentido, hay que sealar el excelente nivel de la colaboracin mantenida con la CNIL francesa, que en todo momento ha sido muy receptiva a nuestras aportaciones. Tambin es necesario destacar la importancia institucional de esta iniciativa, en la que todas las autoridades de la Unin acuerdan formalmente desarrollar de forma conjunta y coordinada una accin de investigacin sobre prcticas empresariales concretas y emiten una posicin comn detallada.

D - REFORZAR LA PROTECCIN DE LOS DATOS DE LOS MENORES DE EDAD

Nos encontramos en la era de los llamados nativos digitales, aquellos que han nacido despus de 1995 y que no han conocido el mundo sin Internet, conviviendo en estrecha relacin con las Tecnologas de la Informacin y Comunicacin (TIC). Segn la encuesta de 2011 sobre Equipamiento y Uso de Tecnologas de Informacin y Comunicacin en los Hogares del Instituto Nacional de Esta-

<ndice>

41

MEMORIA 20 12

dstica (INE), la proporcin de uso de tecnologas de la informacin por los menores de 10 a 15 aos es, en general, muy elevada. El uso del ordenador es prcticamente universal (95,6%), y el 87,1% utiliza Internet. Estos resultados sugieren que en edades inferiores a los 10 aos el uso de Internet es tambin una prctica mayoritaria. Entre los 10 y los 15 aos el porcentaje de nios que dispone de un telfono mvil aumenta significativamente. La encuesta refleja que a los 10 aos un 32,5% de los nios posee un terminal mvil, cifra que se eleva hasta el 87,3% al alcanzar los 15 aos. Esa facilidad y familiaridad que tienen los menores para manejarse en el mundo de la web 2.0 se contrapone, sin embargo, con un dficit de seguridad a la hora de aventurarse en la navegacin por Internet. Debe tenerse presente que se trata de personas en proceso de formacin y que, justamente por ello, desconocen o no son plenamente conscientes del valor de la privacidad y de los datos de carcter personal. Esto puede conducir, en muchas ocasiones, a un uso ms arriesgado tanto de su propia informacin como de la de terceros. El rpido desarrollo de las TIC, unido a ese dficit de formacin y concienciacin de los menores en el uso responsable de los datos de carcter personal, les hace an ms vulnerables ante conductas no deseadas que, en ocasiones, pueden llegar a ser constitutivas de delito. Adems, no hay que olvidar que en otros casos son ellos los que con su conducta propician situaciones de las que son vctimas terceras personas, menores o adultas. La AEPD ha sido y es muy sensible a esta realidad, de la que cada da contamos con ms ejemplos, por lo que se ha propuesto como objetivo prioritario reforzar la proteccin de los menores en Internet.

Tras analizar diferentes opciones, se ha optado por la creacin de un nuevo espacio online dedicado a los menores que estar disponible en la web de la AEPD. Se trata de un proyecto cuya finalidad es minimizar, en la medida de lo posible, el riesgo que se deriva de un uso no responsable e inconsciente de Internet. La web servir como base para realizar acciones de concienciacin, sensibilizacin y formacin sobre la proteccin de los datos de carcter personal y la privacidad que se llevaran a cabo fundamentalmente por la comunidad educativa sin prescindir de la colaboracin indispensable de padres y tutores. En este proceso se cuenta con la colaboracin del Instituto Nacional de Tecnologas Educativas y de Formacin del Profesorado (INTEF), del Ministerio de Educacin, Cultura y Deporte, y de expertos de otras entidades, entre ellas la Brigada de Investigacin Tecnolgica de la Direccin General de la Polica. El proyecto, de carcter integral y escalable, permitir incorporar, adems de los materiales y recursos ya existentes, aquellos que se vayan produciendo, as como la actualizacin de su contenido. El sitio web estar plenamente disponible a travs de la pgina de la AEPD en 2013. Asimismo, se ha continuado trabajando en la bsqueda de herramientas y procedimientos que permitan a los responsables del tratamiento la verificacin efectiva de la edad mnima, 14 aos, para poder prestar el consentimiento para el tratamiento de los datos de carcter personal, establecida en el artculo 13 del Reglamento de desarrollo de la LOPD. A estos efectos, y con la finalidad de encontrar vas que faciliten la observancia de la norma, se ha propuesto la incorporacin al DNI electrnico del certificado de autenticacin, no de firma, que hasta ahora se habilita solo a partir de la mayora

42

<ndice>

MEMORIA 20 12

de edad o en los supuestos de emancipacin. Esta frmula permitira contar con un instrumento fiable para verificar el cumplimiento del requisito de la edad para quien se d de alta en un servicio de Internet o en una red social.

cin entre la captura de la imagen y las sucesivas fases de tratamiento. Frente a estos riesgos, el texto ofrece varias recomendaciones con especial nfasis en la obtencin del consentimiento de los interesados o en la existencia de un claro inters legtimo cuando ste pueda ser empleado como base de legitimacin para el tratamiento. Igualmente, se recomienda el uso de tcnicas que, como el encriptado, garanticen la seguridad en las comunicaciones de estos datos.

E - RIESGOS DEL RECONOCIMIENTO FACIAL Y SU IMPACTO EN LA PRIVACIDAD

En el marco de la poltica de ofrecer una respuesta comn a nivel europeo sobre desarrollos globales que afecten a la proteccin de datos personales, el GT29 adopt el Dictamen 2/2012 sobre reconocimiento facial en servicios online y mviles (WP 192). Este Dictamen actualiza, concentrndose en la posibilidad actualmente existente de capturar y reconocer automticamente una cara en una imagen digital, la posicin manifestada por el Grupo en su Documento de Trabajo sobre Datos Biomtricos (WP 80), y se enmarca, igualmente, en la revisin completa de ese Documento de Trabajo que hace el Dictamen 3/2012. El propsito del documento es analizar cmo abordar el uso de tcnicas de reconocimiento facial en el marco legal de proteccin de datos y proporcionar recomendaciones para su uso en los contextos de servicios online y mviles. En ese sentido, el Dictamen describe en primer lugar las caractersticas y posibles usos de estas tecnologas. A partir de ah, identifica una serie de riesgos especficos, entre los que destacan el de la adquisicin de imgenes para su tratamiento sin suficiente legitimacin y el de las quiebras de seguridad que pueden producirse en los procesos de comunica-

F - LOS FLUJOS INTERNACIONALES DE DATOS: FLEXIBILIDAD Y GLOBALIZACIN

Las solicitudes de autorizacin de transferencias internacionales de datos de carcter personal han experimentado en 2012 un aumento de un 12% respecto al ejercicio anterior (226 solicitudes presentadas en 2012 frente a las 202 solicitudes presentadas en 2011), si bien este incremento no se ha reflejado de manera similar en las solicitudes efectivamente autorizadas (177 autorizaciones en 2012 frente a las 175 en 2011, ya que 56 solicitudes fueron finalmente archivadas). Como lugares de destino de los datos de carcter personal, en 2012 destacan diversos pases de Latinoamrica (63), Estados Unidos (62) e India (27); principales destinos de las transferencias de datos. Tambin son destacables, aunque en menor medida, las transferencias con destino a Marruecos (10). Atendiendo a los datos agregados de autorizaciones, Amrica Latina contina siendo el principal importador de datos desde Espaa, destacando por nmero de autorizaciones Per, Colombia, Mxico, Chile y Uruguay. Este ltimo pas ha reforzado su capacidad como destino de transferencias

<ndice>

43

MEMORIA 20 12

internacionales al haber obtenido una Decisin de la Comisin Europea que lo consider como un pas que garantiza un nivel de proteccin de datos personales equivalente al de los Estados miembros de la Unin Europea (Decisin 2012/484/UE, de 21 de agosto). Ello le exime de solicitar autorizaciones para las transferencias internacionales de datos. Asimismo, destaca el fuerte crecimiento de las autorizaciones con destino al rea de Asia-Pacfico, que con una cifra total de 290 ha superado a los EEUU como importador de datos desde Espaa. En dicha rea geogrfica, India, con 137 autorizaciones en cuanto a datos agregados, ocupa el primer lugar. En cuanto a las garantas aportadas por los exportadores de datos en sus solicitudes de autorizacin, el 62% (119 autorizaciones) ha utilizado las clusulas contractuales de la Decisin de la Comisin Europea 2010/87/UE, que regula la prestacin de servicios entre responsables y encargados del tratamiento. El 30% (55 autorizaciones) corresponde a transferencias internacionales que han utilizado el modelo de responsable a responsable (Decisin 2001/497/CE). Es necesario destacar como novedad que durante 2012 se han autorizado por primera vez dos transferencias internacionales de datos entre un prestador de servicios/encargado del tratamiento establecido en Espaa, como exportador de datos, y un importador de datos/subencargado del tratamiento situado en un tercer pas. Las garantas aportadas para estas autorizaciones consistieron en un contrato entre exportador e importador de datos, cuyas clusulas han sido elaboradas por la AEPD, y un contrato marco de prestacin de servicios entre el responsable del tratamiento y el encargado exportador de datos.

Este nuevo modelo permite, dentro del marco de la autorizacin concedida, la transferencia de datos de los responsables de los ficheros que contraten la prestacin de servicios con el encargado/ exportador sin necesidad de que cada responsable tenga que solicitar una autorizacin, proporcionando una mayor flexibilidad a los prestadores de servicios a la hora de subcontratar con entidades establecidas fuera del mbito del Espacio Econmico Europeo. En relacin con la adopcin por parte de grupos multinacionales de empresas de reglas internas o normas jurdicas vinculantes que garanticen las transferencias internacionales (BCR por sus siglas en ingls) se han realizado las siguientes actuaciones durante 2012: En el marco del procedimiento coordinado establecido por el Grupo del Artculo 29 de la Directiva 95/46/CE, la AEPD ha participado en la revisin de siete solicitudes de aprobacin de BCR presentadas ante diferentes Autoridades de Control de Proteccin de Datos: Francia en el caso de las multinacionales HR Access, Schneider Electric y Novartis, Reino Unido para las BCR presentadas por las entidades Motorola Mobility y Motorola Solutions, y Holanda en relacin con los Grupos multinacionales DSM e ING. Por otra parte, se han autorizado seis transferencias internacionales de datos personales amparadas en las garantas basadas en BCR previamente aprobadas de los Grupos BristolMyers Squibb (2 resoluciones), British Petroleum P.L.C., Actmel, Novo Nordisk y Ebay. Respecto de esta modalidad de transferencias internacionales de datos, la AEPD ha participado en el subgrupo de BCR (que ha pasado a denominar-

44

<ndice>

MEMORIA 20 12

se de Transferencias Internacionales) creado por el Grupo del Artculo 29. Uno de los temas relevantes de este subgrupo ha sido el impulso dado a las denominadas BCR para encargados del tratamiento que pretenden ser de aplicacin para las entidades pertenecientes a un grupo multinacional que actuase como prestador de servicios. Tambin se han llevado a cabo los trabajos de elaboracin de los documentos marco que permitiran la aprobacin de estas BCR para encargados y est previsto completar el desarrollo de estos documentos durante 2013. Esta modalidad de BCR podra servir como una de las posibles respuestas a las cuestiones que en materia de transferencia internacional de datos plantea la prestacin de servicios de cloud computing. Dichas actividades han culminado con la adopcin del documento de trabajo WP 195, que recoge la tabla de elementos y principios que han de encontrarse en las BCR de encargado del tratamiento. Este documento da continuidad y complementa los trabajos del Grupo en el terreno de las Normas Corporativas Vinculantes destinadas a responsables de tratamiento. Las BCR dirigidas a encargados pretenden establecer los contenidos que permitirn considerar que existen garantas suficientes de proteccin en los movimientos internacionales de datos que se produzcan dentro de una corporacin que procesa datos por cuenta de un responsable. Ms en concreto, la tabla establece condiciones sobre la naturaleza vinculante de las BCR, tanto internamente como externamente, con una especial referencia a la asuncin de responsabilidades, su eficacia, el deber de cooperacin, la descripcin de los tratamientos y de los flujos de datos, los mecanismos para informar de cambios que puedan producirse y las salvaguardas especficas de proteccin de datos.

Dado que estas normas estn pensadas para ser utilizadas por encargados de tratamiento, la tabla presta especial atencin a los mecanismos para que puedan ser positivamente sancionadas por las autoridades de proteccin de datos. El documento es el punto de partida para que las BCR de encargado comiencen a emplearse en la prctica y se complementa con otros documentos que, de nuevo, replicarn, con las particularidades necesarias, los que se prepararon en su momento en desarrollo de las BCR para responsables.

<ndice>

45

MEMORIA 20 12

M ARCOS SUPRANACIONALES DE PROTECCIN DE DATOS

A - AVANCES EN LA REVISIN DE LAS NORMATIVAS INTERNACIONALES DE PROTECCIN DE DATOS
Durante el ao 2012 se han logrado importantes avances en los procesos de actualizacin y modernizacin de algunos de los ms importantes instrumentos internacionales de proteccin de datos. Sin duda el ms relevante de estos instrumentos desde la perspectiva espaola es el que afecta a la Directiva 95/46, de Proteccin de Datos, base de nuestra legislacin en esta materia. El 25 de enero de 2012 la Comisin Europea present los textos que configuran la propuesta del nuevo marco jurdico de proteccin de datos que vendr a sustituir a la vigente Directiva y tambin a la Decisin Marco de 2008 sobre proteccin de datos en el mbito de la cooperacin policial y judicial penal (antiguo tercer pilar). Los textos que se han presentado son un Reglamento General sobre Proteccin de Datos y una Directiva sobre proteccin de datos en el mbito policial y judicial penal. Se cerraba as la etapa preparatoria de la reforma, iniciada con una Conferencia organizada en mayo de 2009 y se daba paso al procedimiento legislativo ordinario en el que, de acuerdo con las previsiones del Tratado de Lisboa, participan el Consejo y el Parlamento Europeo. La propuesta de Reglamento, la principal de estas dos normas, parte del sistema de garantas establecidas en la Directiva de 1995. Sin embargo, introduce varios elementos innovadores con los que pretende alcanzar el objetivo de adaptar el rgimen de proteccin a los retos actuales. Aunque no es posible sintetizar todo el contenido de la propuesta en el espacio que permite esta Memoria, s cabe resaltar algunos aspectos de las principales innovaciones: La eleccin del instrumento legal, un Reglamento, que es un acto jurdico directamente aplicable que no requiere de trasposicin en los ordenamientos nacionales, pretende conseguir una mayor armonizacin en el rgimen de proteccin, superando la relativa dispersin existente en la actualidad y sus efectos negativos sobre la eficacia del sistema. La propuesta incluye en su mbito de aplicacin a responsables de tratamiento que, aunque no estn establecidos en la Unin Europea, tratan datos de ciudadanos europeos en el marco de una oferta de bienes o servicios dirigida a ellos o de una monitorizacin de su conducta. Pretende reforzar los derechos de los interesados con una mejor definicin del consentimiento como base legal para el tratamiento de datos, una reformulacin de los equilibrios en la aplicacin del derecho de oposicin y la introduccin de los nuevos derechos a la portabilidad y al olvido. Se incorporan mecanismos destinados a reforzar el compromiso con la proteccin de datos de responsables y encargados de tratamiento. Entre estos mecanismos destacan la proteccin de datos desde el diseo y, por defecto, la generalizacin de la figura del delegado de proteccin de datos o la implantacin de la obligacin de realizar evaluaciones de impacto sobre la proteccin de datos en tratamientos de riesgo. Las Autoridades de Proteccin de Datos ven reforzada su independencia y sus poderes, que tambin se alinean segn unos parmetros comunes a toda la Unin. Entre estos poderes se incluye el sancionador, que el Reglamento esta-

46

<ndice>

MEMORIA 20 12

blece expresamente, incluyendo una relacin de infracciones y las correspondientes sanciones. El Reglamento busca simplificar el sistema de relacin de las empresas con las Autoridades de Proteccin de Datos introduciendo un sistema denominado ventanilla nica. Esta prctica supone que, en los casos en que un responsable o encargado tengan varios establecimientos en la Unin Europea, la encargada de supervisar todos los tratamientos de esos responsables o encargados ser la autoridad del Estado miembro donde est situado el establecimiento principal. Esta previsin, sin embargo, plantea tambin serios interrogantes en relacin con la eficacia de la proteccin que finalmente reciban los ciudadanos en respuesta a sus denuncias o quejas. En el Consejo, y bajo las Presidencias danesa y chipriota, el texto de la propuesta de Reglamento se ha debatido dentro del Grupo DAPIX. Al finalizar 2012, la primera lectura del documento haba alcanzado aproximadamente dos terceras partes de la propuesta. Tambin a finales de 2012 la Presidencia irlandesa anunci su intencin de dar prioridad a esta propuesta. La propuesta de Directiva ha sido tambin estudiada por este Grupo de Trabajo, si bien con menor intensidad que el Reglamento. Esta menor dedicacin parece obedecer a una conjuncin de diversos factores. Por una parte, algunos Estados miembros consideran que la Directiva no resulta necesaria si se tiene en cuenta que la Decisin Marco fue aprobada a finales de 2008 y an no ha podido desplegar todos sus efectos, as como que estas materias estn suficientemente reguladas por los derechos internos. Por otro lado, lo reducido de los plazos para tramitar la reforma del marco de proteccin de datos dentro de la actual legislatura en el Parla-

mento Europeo ha generado dudas sobre la conveniencia de complicar an ms la ya compleja tarea de negociar el texto del Reglamento aadiendo un segundo instrumento con sus propias dificultades. En todo caso, tanto la Comisin como el Parlamento Europeo han insistido en su posicin de que la negociacin de la reforma debe respetar el enfoque integral que presidi su diseo y que, consecuentemente, ambas propuestas han de ser discutidas y sometidas a aprobacin final en paralelo. El Consejo, por su parte, no ha cuestionado formalmente esta posicin. El Parlamento Europeo comenz tambin la tramitacin de ambos textos. El paquete de reforma ha sido atribuido a la Comisin de Libertades Civiles, Justicia y Asuntos de Interior (LIBE), si bien esta atribucin no es en exclusiva. Otras comisiones afectadas, como las que tratan temas de industria (ITRE), mercado interior (IMCO), empleo (EMPL) y asuntos legales (JURI) estarn asociadas a los trabajos y podrn aportar sus propias contribuciones al proceso. La Comisin LIBE ha mantenido a lo largo de 2012 varias reuniones con los sectores implicados y ha anunciado que se presentarn los borradores de informe de la Comisin a principios de 2013. El Gobierno espaol hizo pblico a finales de 2012 un documento de trabajo en el que se recoge la posicin espaola respecto al Reglamento, incluyendo diversas propuestas de mejora. Este documento constituye una primera aproximacin al texto y podr ser objeto de modificaciones a medida que avancen las negociaciones. La AEPD, como rgano independiente de la Administracin del Estado, no asume la representacin espaola en las discusiones que sobre este nuevo marco normativo se desarrollan en el Consejo o en el Parlamento Europeo. No obstante, est partici-

<ndice>

47

MEMORIA 20 12

pando activamente a ttulo consultivo, prestando asesoramiento y asistencia de contenido fundamentalmente tcnico a los departamentos responsables en el marco de los mecanismos de coordinacin que se han establecido especficamente para abordar la tramitacin de este paquete normativo. La AEPD ha participado tambin activamente en la preparacin de las opiniones del GT29 a estas iniciativas normativas. En concreto, la Agencia ha tomado parte en todas las reuniones del Grupo y de su Subgrupo Futuro de la Privacidad en que se han preparado documentos relacionados con el proceso de revisin. Asimismo, ha participado en la preparacin de todas los dictmenes que el Grupo ha emitido y que se relacionan en el apartado correspondiente de esta Memoria. Aunque su impacto directo en el derecho espaol de proteccin de datos pueda ser menor, no puede obviarse la importancia del segundo de los instrumentos actualmente en proceso de revisin. Se trata del Convenio 108 del Consejo de Europa, cuya reforma se abord al tiempo de cumplirse los 30 aos de su adopcin en 1981. La revisin del Convenio se lanz formalmente a finales de 2010, cuando el Comit de Ministros del Consejo de Europa aprob una Resolucin sobre la Proteccin de Datos y la Privacidad en el Tercer Milenio. En 2011 el Consejo public una hoja de ruta con los hitos principales en lo relativo al proceso de modernizacin, y en noviembre de ese mismo ao el Secretariado public una primera propuesta de texto articulado para comenzar la discusin en el seno del Comit Consultivo de Proteccin de Datos (T-PD). A lo largo de 2012 el Comit 108 ha intensificado su actividad, habiendo llegado en su ltima reu-

nin plenaria, celebrada entre los das 27 y 30 de noviembre, a concluir, y remitir al Comit de Ministros, la definitiva propuesta de texto articulado. Con esta remisin se abre una nueva fase en el proceso de modernizacin del Convenio, en la cual un comit ad hoc, en el que est presente la Presidencia del Comit Consultivo, estudiar el texto siguiendo un mandato, que incluye plazos, que emite el Comit de Ministros a propuesta del Standing Committee on Media and Information Society. Este Comit ad hoc celebrar su primera reunin en junio de 2013. Una cuestin que es una constante desde el inicio del proceso es la necesidad de que exista coherencia entre el nuevo texto del Convenio y el marco de proteccin de datos revisado de la Unin Europea. La consecucin de ese objetivo est condicionada por dos factores. Por un lado, a causa de la presentacin de las propuestas de Reglamento y Directiva por parte de la Comisin en enero de 2012. Por otro, la Comisin Europea haba manifestado expresamente su posicin de que la poltica de proteccin de datos es de exclusiva competencia europea segn el Tratado de Lisboa y que, por tanto, corresponde a las instituciones europeas negociar y concluir cualquier acuerdo internacional, incluido el nuevo Convenio, que regule la materia. Ambas circunstancias persisten en el momento en que se cierra esta Memoria, pero con distintos matices. Comenzando por el ltimo punto, la Comisin aprob el 16 de noviembre una recomendacin solicitando al Consejo mandato para negociar tanto la adhesin de la UE al Convenio como su revisin. Aunque la decisin del Consejo todava no se ha producido, es de esperar que para cuando se reanuden las negociaciones en los comits ya citados el papel de la Comisin est suficientemente

48

<ndice>

MEMORIA 20 12

formalizado. Adems, en el contexto de los trabajos del Comit Consultivo del Convenio se alcanz un alto grado de acuerdo entre la Comisin y los Estados miembros participantes sobre los puntos clave en que sera necesario buscar la interoperabilidad tanto con la vigente Directiva como con lo que pueden ser elementos centrales del futuro Reglamento General de Proteccin de Datos. Por ello, y al menos tomando en consideracin el texto articulado de partida, no hay aspectos en que la posicin de la Comisin pueda ser significativamente discrepante con la que han manifestado los Estados miembros. Respecto a la necesidad de mantener la coherencia entre la Convencin y el acervo europeo en proteccin de datos, el principal obstculo es que este acervo est en proceso de cambio y es necesaria una constante valoracin de los tres posibles textos de referencia: la Directiva 95/46, las propuestas de la Comisin y los sucesivos documentos de trabajo adoptados por el Consejo y el Parlamento.

B - LA ACTIVIDAD DEL GRUPO DE TRABAJO DEL ARTCULO 29

El Grupo de Trabajo del Artculo 29 (GT29), creado por la Directiva 95/46/CE, tiene carcter de rgano consultivo independiente y est integrado por las Autoridades de Proteccin de Datos de todos los Estados miembros, el Supervisor Europeo de Proteccin de Datos y la Comisin Europea, que realiza funciones de secretariado. La Agencia Espaola de Proteccin de Datos forma parte del mismo desde su constitucin en febrero de 1997. En 2012 el GT29 orient una parte significativa de su actividad a coordinar y preparar las aportaciones colectivas de las Autoridades al proceso de revisin del marco europeo de proteccin de datos. No obstante, el GT29 tambin se ha pronunciado

sobre algunas cuestiones de gran inters en el terreno de la proteccin de datos. Dictmenes relativos al proceso de revisin del marco de proteccin de datos (WP 191, WP 199). El primero de estos dos dictmenes (1/2012), adoptado en el mes de marzo de 2012, es decir, con una gran inmediatez respecto a la fecha en que la Comisin remiti sus propuestas, tiene un doble propsito. Por un lado, pretende manifestar el claro apoyo del Grupo a la propuesta de Reglamento, en la medida en que contiene previsiones que refuerzan la posicin de los ciudadanos cuyos datos sean objeto de tratamiento, promueven la asuncin de responsabilidades por parte de quienes los tratan y mejoran

<ndice>

49

MEMORIA 20 12

y armonizan la posicin de las autoridades de proteccin de datos. Por otra parte, el Dictamen identifica aspectos de la propuesta de Reglamento que, a juicio de las autoridades, deberan reconsiderarse para mejorar, en mayor o menor medida, su sentido y contenido. Entre estos temas, podran citarse, a ttulo ilustrativo, las disposiciones relativas a la definicin de pyme (determinante para la aplicacin o exclusin de importantes obligaciones previstas por el Reglamento), los criterios que determinarn la necesidad de notificar una vulneracin de seguridad a las autoridades, o el aparentemente excesivo papel que se reserva a la Comisin en las tareas de desarrollo normativo y aplicacin del Reglamento. El Dictamen alude tambin a dos cuestiones que tienen especial trascendencia para la AEPD. Una de ellas es la posibilidad de mejorar y completar la redaccin del artculo de la propuesta sobre derecho al olvido y al borrado. Aunque el Grupo aplaude la inclusin de este derecho, reconoce, en lnea con la interpretacin que la Agencia ha venido sosteniendo, que existen determinados tratamientos no suficientemente cubiertos por la actual redaccin y que deberan tenerse en cuenta si se pretende que el derecho al olvido tenga una eficacia completa. La segunda es la relativa a la determinacin de la competencia de las Autoridades de Proteccin de Datos en funcin de la localizacin del establecimiento principal del responsable o encargado, es decir, el llamado sistema de ventanilla nica. Esta previsin tiene unas consecuencias indeseadas y el Dictamen aborda la cuestin sealando cmo esa competencia de la autoridad lder nunca podra ser exclusiva y cmo las decisiones debieran tomarse en todo caso de acuerdo con todas las autoridades implicadas.

El documento reserva un captulo separado a la valoracin de la propuesta de Directiva sobre proteccin de datos en los mbitos policial y judicial penal. El anlisis de este texto es menos profundo y parte de una valoracin menos favorable que la que merece el Reglamento. En concreto, el Grupo muestra su decepcin porque sus anteriores llamamientos a dotar de coherencia al sistema de proteccin mediante un nico instrumento para todos los mbitos no hayan sido atendidos. Al mismo tiempo, reconoce que el que se haya recurrido a dos textos diferentes no conduce necesariamente a una falta de consistencia, siempre que se garantice que los principios, derechos de los interesados y obligaciones para responsables y encargados sean sustancialmente los mismos, sin perjuicio de las necesarias especificidades impuestas por la propia naturaleza de la actividad policial y judicial penal. Es por ello que el Grupo seala una serie de aspectos de la Directiva en que, a su entender, existen discrepancias entre ambos documentos. Entre estas cuestiones cabra destacar la imprecisin en la delimitacin de los respectivos mbitos materiales de aplicacin, la distinta amplitud de las obligaciones de los responsables o la tambin distinta configuracin de los regmenes de transferencias internacionales de datos. Este Dictamen tuvo su continuacin en el documento 8/2012 (WP 199) que se concentra en tres elementos de la propuesta de Reglamento: definicin de dato personal, consentimiento y poderes de la Comisin para adoptar actos delegados. Respecto a los dos primeros, el GT29 manifiesta su acuerdo con la posicin de la Comisin expresada en la propuesta de Reglamento. El Grupo insiste en la importancia de mantener una definicin amplia de dato personal, que incluya tanto los casos en que

50

<ndice>

MEMORIA 20 12

el dato pueda ser atribuido a una persona identificada o identificable como aquellos en que el dato no puede vincularse con una identidad pero s permite individualizar a su titular y distinguirle frente a otros. Respecto al consentimiento, el Grupo se expresa a favor de mantener la obligacin de que tenga un carcter explcito, como garanta de que se refleja exactamente la voluntad del interesado, si bien se subraya que la previsin de la propuesta de Reglamento contiene elementos de flexibilidad que facilitarn la aplicacin prctica de esta obligacin. En lo tocante a los poderes de la Comisin, el Dictamen comienza por establecer una serie de criterios con los que se deben valorar todas y cada una de las atribuciones que contiene el Reglamento. Entre estos criterios se encontrara el que la materia afectada por la habilitacin se refiera o no a una parte esencial de la regulacin del derecho, el que se trate o no de una materia que debe necesariamente regularse a nivel europeo, o si la cuestin debe tener un carcter legalmente vinculante o puede ser abordada mediante un instrumento ms flexible. Utilizando estos criterios, el documento valora cada una de las atribuciones de competencia a la Comisin para dictar actos delegados y se pronuncia a favor de mantenerla o, como sucede en la mayora de los casos, aboga por retirar esa atribucin y ofrece otras alternativas como pueden ser incorporar la regulacin prevista al propio Reglamento, ceder la competencia a los Estados miembros o prever que la cuestin sea regulada de manera ms flexible a travs de directrices que puedan adoptar las autoridades de supervisin nacionales o el futuro Consejo Europeo de Proteccin de Datos. Dictamen sobre datos biomtricos (WP 193) Esta texto (3/2012) pone al da el ya mencionado Documento de Trabajo sobre datos biomtricos,

teniendo en cuenta los recientes avances registrados en el terreno de las tecnologas que no slo permiten tratar ms eficaz y eficientemente los datos biomtricos que podran considerarse clsicos, sino tambin otras informaciones relativas a una persona que en un pasado reciente no podan ser registradas o procesadas, tales como el olor corporal o el modo de caminar. Los sistemas biomtricos estn estrechamente ligados a una persona, porque pueden utilizar una caracterstica especfica que le es propia para fines de identificacin o autenticacin. Mientras que los datos biomtricos de una persona pueden ser borrados o alterados, la fuente de la que se han extrado no puede, generalmente, ser modificada. El uso de estos sistemas ha generado ventajas indudables en terrenos como la investigacin cientfica, la lucha contra la delincuencia o las relaciones sociales. Sin embargo, ha abierto tambin la puerta a potenciales riesgos que deben ser valorados y minimizados tomando en consideracin la particular naturaleza de los datos biomtricos. Por ejemplo, la posibilidad de discriminacin gentica o el robo de identidad se han convertido en una realidad viable. Una de las principales aportaciones del documento del GT29 es que realiza un anlisis detallado de algunas de las ms nuevas modalidades de obtencin y tratamiento de datos biomtricos. El Dictamen valora aplicar a este tipo de informacin los principios fundamentales de proteccin de datos (finalidad, proporcionalidad, legitimacin, etc); realiza anlisis de riesgos de diferentes tipos de datos biomtricos atendiendo, por ejemplo, a sus diferentes niveles de exactitud y fiabilidad o a su vinculacin a otro tipo de datos; y proporciona recomendaciones adaptadas a diferentes sectores.

<ndice>

51

MEMORIA 20 12

La AEPD actu como co-redactora de la propuesta de Dictamen sometida al plenario.

C - REA DE COOPERACIN POLICIAL Y JUDICIAL

El ao 2012 presenta eventos de singular importancia en el rea de la cooperacin policial y judicial vinculados a la proteccin de datos. De un lado, la propuesta de reforma de la normativa europea de proteccin de datos incluye un borrador de directiva especficamente dirigida a ese mbito como complemento al borrador de Reglamento general. Por otro lado, se han dado interesantes avances en el desarrollo de nuevas propuestas legislativas que afectan a sistemas como Eurodac y el Sistema de Informacin Schengen a la vez que, cindonos al mbito de los acuerdos bilaterales, han sido aprobados textos relativos a la transferencia de datos de viajeros a Estados Unidos y Australia. En todo caso, muchos de estos avances han de llevar a resultados concretos a lo largo del ao 2013 y, en particular, si se cumplen las previsiones de las instituciones europeas implicadas, ser el ao en que se ponga en marcha la segunda generacin del Sistema de Informacin Schengen, el SIS II. Es de inters mencionar que dicho sistema, junto con otros como el Sistema de Informacin de Visados y Eurodac son responsabilidad, desde el primero de diciembre de 2012, de una nueva Agencia Europea cuya funcin principal es la gestin tcnica de los sistemas de informacin europeos de gran magnitud. Una resea de los elementos ms destacados de la actividad de la Agencia durante 2012 ha de incluir, al menos, referencias en los mbitos que seguidamente se detallan. Sistema de Informacin Schengen

En el contexto de las tareas de supervisin encomendadas a la Agencia Espaola de Proteccin de Datos, se realiz una auditora de las actividades a nivel nacional en relacin con la aplicacin del Artculo 95 del Convenio Schengen y la Orden de Detencin Europea, en el marco de la revisin que, en ese mismo mbito, se est llevando a cabo por parte de la Autoridad Conjunta de Supervisin Schengen. En conexin con dichas actividades, auditores de la AEPD participaron en los procedimientos de evaluacin de cumplimiento del Convenio Schengen que afectaron a la Repblica Checa y a Hungra. En el caso espaol, dicho proceso, que incluy diversas auditoras a lo largo del ao 2010, lleg a su punto final con la aprobacin en abril del informe definitivo por parte del Consejo. Como colofn a un largo proceso, est previsto que el nuevo Sistema de Informacin Schengen (SIS II) comience a funcionar a lo largo del primer semestre del ao 2013. El comienzo de las actividades del sistema llevara aparejada de forma inmediata la entrada en vigor de la nueva base jurdica aplicable, de acuerdo a lo estipulado por los reglamentos del Consejo 1272/2012 y 1273/2012 sobre la migracin del Sistema de Informacin de Schengen (SIS 1+) al Sistema de Informacin de Schengen de segunda generacin (SIS II), que fueron aprobados el 20 de diciembre. De acuerdo a la norma aprobada, durante el proceso de migracin de los datos del NSIS al NSIS II seguira siendo de aplicacin el ttulo IV del Convenio Schengen, que incluye las disposiciones sobre proteccin de datos aplicables a SIS 1+. La transicin del NSIS al NSIS II del primer Estado miembro sealar el comienzo de la aplicacin de la base jurdica aplicable al SIS II. En todo caso, la entrada en vigor de la nueva base jurdica aplicable Reglamento CE 1987/2006 y De-

52

<ndice>

MEMORIA 20 12

cisin 2007/533/JAI llevar aparejada la puesta en marcha de un nuevo modelo de supervisin en el mbito de la proteccin de datos, de forma que la actual Autoridad de Supervisin Schengen ceder el testigo al Grupo de Supervisin Coordinada del SIS II, que quedar integrado por representantes de los Estados miembros y del Supervisor Europeo de Proteccin de Datos. Eurodac Como parte de las habituales actividades de colaboracin con otras autoridades de supervisin eu-

ropeas, la Agencia Espaola de Proteccin de Datos particip en la auditora de la Unidad Central del Sistema de Informacin Eurodac en Bruselas y Luxemburgo, que se desarroll a lo largo del primer trimestre del ao y cuyo informe final ha sido aprobado recientemente. En el plano legislativo, cabe destacar que la Comisin present una propuesta de refundicin del Reglamento Eurodac que incluye como principal novedad el acceso a la base de datos con los registros de huellas dactilares por parte de las Fuerzas y Cuerpos de Seguridad en relacin con la deteccin, prevencin e investigacin de delitos relacionados con el terrorismo y delitos de carcter grave. Dicha propuesta, que ha encontrado una cerrada oposicin por parte de la comunidad de proteccin de datos, ha sido defendida por la Comisin Europea, que insiste en que los trminos en los que ha sido formulada permiten considerar que su uso se ajusta a los principios de necesidad y proporcionalidad, haciendo igualmente hincapi en las numerosas salvaguardas que han sido incluidas, en particular la limitacin de su uso a delitos de especial gravedad y la necesidad de agotar, antes de acudir al cotejo en el sistema, las posibilidades que ofrecen los ficheros nacionales y aquellos otros accesibles en el marco del Acuerdo de Prm. Oficina de Polica Europea (Europol) La Agencia Espaola de Proteccin de Datos particip en las actividades de auditora anual que realiza la Autoridad de Control de Europol, as como en la segunda evaluacin del rol de dicha Agencia en el marco del acuerdo TFTP II con Estados Unidos, cuyo informe final fue presentado a finales de marzo. Hay que destacar tambin la labor realizada en mbitos como la evaluacin de los trabajos preparatorios de la nueva versin del sistema de intercambio de mensajes SIENA y en la puesta en

<ndice>

53

MEMORIA 20 12

marcha del nuevo Centro Europeo contra el Cibercrimen gestionado por Europol. Por ltimo, en el plano legislativo, la Comisin Europea espera presentar una propuesta de Reglamento que sustituya a la actual Decisin de 2009 durante el primer trimestre de 2013. Es de esperar que dicha propuesta incluya cambios sustantivos en el modelo de supervisin en proteccin de datos. Sistema de Informacin de Visados En noviembre de 2012, y en aplicacin del Reglamento Europeo sobre el Sistema de Informacin de Visados, tuvo lugar la primera reunin del Grupo de Supervisin Coordinada en proteccin de datos creado por dicha norma, que incluye a las Autoridades nacionales de proteccin de datos y al Supervisor Europeo de Proteccin de Datos. Como primer objetivo, el Grupo ha comenzado a definir su programa de trabajo, definiendo objetivos de control y los procedimientos de colaboracin entre las diferentes autoridades. Atendiendo a las indicaciones de algunos de los Estados miembros representados, se va a prestar especial atencin a los sistemas de externalizacin de la gestin de solicitudes de visado, y muy en particular a la aplicacin de la normativa de proteccin de datos por parte de las entidades a tal fin contratadas por los Estados miembros. Acuerdos bilaterales de transferencia de datos de pasajeros, PNR El 1 de julio de 2012 entr en vigor el nuevo acuerdo PNR entre la Unin Europea y Estados Unidos, el tercero desde que comenzara, en 2001, el requerimiento formal a las aerolneas con vuelos a los Estados Unidos para la remisin, de forma anticipada, de datos incluidos en los sistemas de reserva de billetes de dichas compaas. Aunque

es inobjetable el hecho de que se han producido notables avances desde el primer acuerdo, persisten serias dudas en el mbito de la proteccin de datos tanto en aspectos jurdicos principios de necesidad y proporcionalidad del tratamiento como en la aplicacin prctica del mismo, incluyendo en este ltimo aspecto el sistema de revisin conjunta establecido en el acuerdo. De forma paralela, la Unin Europea ha finalizado un acuerdo para la transferencia de dichos datos con el gobierno de Australia, estando pendientes de finalizacin las negociaciones con el Gobierno de Canad. En todo caso, no es de excluir que a lo largo de 2013 se tengan que entablar negociaciones con otros pases. Rusia ha anunciado que va a comenzar a exigir dicha informacin a partir del uno de julio, un proceso que, a su vez, coincidir con la puesta en marcha de las propuestas legislativas que est preparando la Comisin Europea sobre la materia.

D - CONFERENCIA DE PRIMAVERA DE AUTORIDADES EUROPEAS DE PROTECCIN DE DATOS

Los das 3 y 4 de mayo de 2012 se celebr en Luxemburgo la Conferencia de Primavera de Autoridades de Proteccin de Datos. En esta edicin se abord como tema destacado las reformas en el marco europeo de proteccin de datos. El objeto principal de anlisis fue el paquete legislativo propuesto por la Comisin en el mes de enero, aunque las autoridades fueron tambin informadas de la evolucin de los procesos desarrollados en el seno de la OCDE, respecto a la actualizacin de sus Directrices de Privacidad, y del Consejo de Europa, en relacin con la modernizacin del Convenio 108 del Consejo de Europa. Asimismo, se cont con la presencia de un representante de la Federal Trade Commission de Estados Unidos,

54

<ndice>

MEMORIA 20 12

quien explic las diferentes iniciativas lanzadas en ese pas en el terreno de la proteccin de la privacidad. La Conferencia adopt una resolucin en la que manifiesta su apoyo a los procesos de revisin en marcha, y en particular al que afecta al marco de la Unin Europea, si bien expone tambin su opinin sobre algunas cuestiones que deben ser mejoradas, sobre todo desde la perspectiva de asegurar la coherencia interna del nuevo modelo integrado por un Reglamento general y una Directiva especficamente dirigida al mbito policial y judicial penal. Por otro lado, la Conferencia decidi poner fin a la actividad del Grupo de Trabajo de Polica y Justicia (WPPJ, por sus siglas en ingls). Esta decisin da continuidad a la adoptada en la anterior edicin de la Conferencia, en la que se constataba que los nuevos desarrollos, y en concreto la supresin de los pilares tras la aprobacin del Tratado de Lisboa y las sucesivas ampliaciones de la Unin, parecan determinar que los objetivos para los que el WPPJ fue creado habran de perseguirse en el entorno de la Unin Europea. La decisin prevea tambin que el GT29 comenzara a asumir las materias que le corresponderan atendiendo al nuevo marco, y que se evaluara hasta la Conferencia de 2012 si existan otras materias no afectadas por esta transferencia que justificaran la necesidad de mantener el WPPJ. En ese sentido, hay que indicar que en el GT29 se ha creado un subgrupo de fronteras, viajeros y cumplimiento de la ley (BTLE, por sus siglas en ingls) que ha ido asumiendo de forma paulatina toda la agenda relativa a la proteccin de datos en el mbito del cumplimiento de la ley (law enforcement), incluyendo los asuntos de los que se ocupaba el ahora extinto WPPJ.

La Conferencia, reconociendo el papel importante desarrollado por el WPPJ desde su creacin en 2007, consider no obstante que, teniendo en cuenta todos los elementos de la nueva situacin, no existira motivo para justificar la continuidad del Grupo de Trabajo de Polica y Justicia.

E - AVANCES EN LA CONFERENCIA INTERNACIONAL DE COMISIONADOS DE PROTECCIN DE DATOS Y PRIVACIDAD

Entre el 23 y el 26 de octubre de 2012 se celebr en Punta del Este (Uruguay) la 34 Conferencia Internacional de Autoridades de Proteccin de Datos y Privacidad, bajo el lema Privacidad y Tecnologa en Equilibrio. En esta edicin, la Conferencia reflejaba por primera vez en su funcionamiento las decisiones sobre organizacin y actividades que se adoptaron en la 33 edicin, celebrada en Mxico. En aquella ocasin, se aprob un nuevo reglamento interno por el que, con la finalidad de dar continuidad a la labor de la Conferencia a lo largo del ao, se creaba un Comit Ejecutivo con funciones de representacin y direccin. Este Comit Ejecutivo est compuesto por cinco miembros, tres de ellos nombrados por eleccin y otros dos reservados para las autoridades organizadoras de la ltima Conferencia celebrada y de la siguiente que vaya a tener lugar. Uno de los miembros del Comit es elegido como su Presidente. El Comit asume las funciones de direccin de los trabajos de la Conferencia, as como otras que anteriormente desempeaban otras instancias que ahora han desaparecido, como sucede con el Comit de Credenciales, encargado de pronunciarse sobre las solicitudes de acceso como miembro a la Conferencia. El Comit elegido en Mxico estaba integrado por las autoridades de Pases Bajos, que asumi la Pre-

<ndice>

55

MEMORIA 20 12

sidencia, Canad, EEUU, Mxico y Uruguay, estas dos ltimas como autoridades organizadoras. Este Comit ha desarrollado sus funciones a lo largo del ao 2012 en el diseo y preparacin de la Conferencia de Punta del Este y tambin en las actividades relacionadas, como la ya mencionada valoracin de las solicitudes de acreditacin de nuevos miembros. Asimismo, la Conferencia de Mxico acord modificar la orientacin de las sesiones de la Conferencia Internacional con el fin de dar mayor peso al trabajo interno de las autoridades de proteccin de datos y privacidad, dejando a criterio de las sucesivas autoridades organizadoras la extensin y relevancia de las sesiones abiertas, en las que junto a las autoridades participan representantes de la industria y la sociedad civil. En el caso de la 34 Conferencia, la Sesin Cerrada tuvo una duracin de un da y medio, dedicndose el primer da a debatir un tema monogrfico, el profiling, y el segundo a las cuestiones de organizacin, funcionamiento y adopcin de resoluciones. Las discusiones sobre profiling, tanto en el mbito pblico como en el privado, se organizaron a partir de las intervenciones de cuatro ponentes seleccionados por el Comit Ejecutivo, que introdujeron los temas y plantearon las cuestiones claves que fueron tratadas con posterioridad en la discusin entre los representantes de las autoridades. Se prepar una declaracin de la Conferencia sobre este punto, que ser aprobada por la siguiente Conferencia Internacional. De entre las dems resoluciones adoptadas, destacan la relativa a nuevos miembros y observadores, ya que se han incorporado 8 nuevos miembros y 4 nuevos observadores. Entre las nuevas autoridades acreditadas se encuentran varias del entorno ibe-

roamericano, como sucede con Colombia, Per y Costa Rica. La Sesin Cerrada aprob tambin los trabajos de la Comisin sobre enforcement, en la que participa la AEPD, plasmados en el documento Framework for International Enforcement Coordination. La Comisin, siguiendo igualmente las decisiones adoptadas en Ciudad de Mxico, celebrar su prxima reunin anual en Washington, en el mes de marzo de 2013. En lo relativo a la prxima Conferencia Internacional, se present una nica candidatura para organizarla. La propuesta fue aceptada y ser la autoridad de Polonia la responsable de albergar la 35 Conferencia. En su condicin de autoridad anfitriona, Polonia se integra en el comit ejecutivo de la Conferencia, sustituyendo a Mxico.

F - LA RED IBEROAMERICANA DE PROTECCIN DE DATOS. UNA NUEVA ETAPA HACIA LA INSTITUCIONALIZACIN

Los procesos legislativos para garantizar la proteccin de los datos personales continan desarrollndose a buen ritmo en Latinoamrica, colocando esta rea geogrfica en una posicin destacada en la tutela de este derecho fundamental. En 2012 se han aprobado dos nuevas leyes. En Nicaragua, la Ley N 787 de Proteccin de Datos Personales, de 29 de marzo de 2012, y la Ley Estatutaria N 1581 de 17 de octubre de 2012, por la cual se dictan disposiciones generales para la Proteccin de Datos Personales. Asimismo, la Ley 19.628, de 28 de agosto de 1999, sobre Proteccin a la Vida Privada, de Chile, se encuentra en proceso de revisin de parte de su articulado. Igualmente, se est tramitando en la

56

<ndice>

MEMORIA 20 12

Otro hecho destacable ha sido, sin duda, el reconocimiento a Uruguay de la condicin de pas adecuado en materia de proteccin de datos personales. Se culmina as con xito un largo proceso que ha llevado a considerar a la Unin Europea que Uruguay garantiza un nivel adecuado de proteccin segn lo dispuesto en el apartado 6 del artculo 25 de la Directiva 95/46/CE. Precisamente en Uruguay, en el marco de la 34 Conferencia Internacional de Autoridades de Proteccin de Datos y Privacidad, celebrada en Punta del Este, tuvo lugar el pasado 22 de octubre el X Encuentro de la Red Iberoamericana de Proteccin de Datos (RIPD), en el que se debatieron, en sesin abierta, diferentes asuntos de inters comn, como el proyecto de Reglamento europeo, los sistemas de garanta en las transferencias internacionales o el impulso de nuevas iniciativas normativas, especialmente el anteproyecto de ley brasilea. La Declaracin final contempla los siguientes compromisos: Fortalecer la Red Iberoamericana como principal promotor del dilogo e impulsor de iniciativas y polticas en la regin que coadyuven a las que existen a nivel internacional. Asamblea Nacional de Venezuela el proyecto de ley de Proteccin de Datos Personales y Habeas Data. El proceso legislativo ha ido acompaado de una consolidacin de las autoridades a las que se ha atribuido la competencia para tutelar el derecho a la proteccin de datos. En este sentido, cabe destacar la puesta en funcionamiento, en marzo de 2012, de la Agencia de Proteccin de Datos de la Repblica de Costa Rica, en cumplimiento de la ley aprobada en 2011. <ndice> Llevar a cabo la revisin del Reglamento a fin de formalizar la participacin de sus miembros. Fortalecer los mecanismos de cooperacin internacional. Intensificar la promocin normativa y la creacin de autoridades con competencias adecuadas para garantizar su aplicacin. Dar continuidad a los trabajos de desarrollo jurisprudencial.

57

MEMORIA 20 12

La RIPD, desde su creacin en 2003, ha desarrollado una intensa y fructfera labor, como la organizacin de diez encuentros y otros tantos seminarios sobre los ms variados temas de inters comn. Estos y otros trabajos la han consolidado como el principal promotor de iniciativas y polticas en la regin. La Red ha contribuido as a que ms de 150 millones de ciudadanos latinoamericanos dispongan en la actualidad, junto al tradicional amparo de habeas data, de normas que permitan garantizar eficazmente el uso de su informacin personal y de autoridades especializadas con competencias para tutelar dichas garantas. Ha sido, pues, la propia evolucin y desarrollo de la Red Iberoamericana durante los diez aos transcurridos desde su creacin la que ha justificado la conveniencia de impulsar un proceso de institucionalizacin de la misma mediante la revisin de su Reglamento de funcionamiento, en el que debe jugar un papel relevante la definicin de los miembros de la RIPD y, especialmente, la articulacin de nuevos instrumentos de cooperacin entre los que ostentan la condicin de Autoridades de Control. Por otra parte, en el marco de las relaciones bilaterales se han intensificado las actividades entre la AEPD y otros miembros de la RIPD. El objetivo principal de las reuniones celebradas en la sede de la Agencia ha sido la consolidacin institucional de las nuevas autoridades de proteccin de datos, promoviendo su capacitacin a partir de la amplia experiencia de la AEPD y mediante la transferencia de las tecnologas desarrolladas por esta Institucin. Tales actividades han tenido lugar con representantes de las Autoridades de Per, Uruguay, Mxico, Chile, Costa Rica y Colombia.

Asimismo, la Agencia ha participado en seminarios y reuniones de trabajo dirigidas a impulsar nuevos desarrollos normativos en Brasil y Chile.

G - IMPULSO EN OTRAS REAS GEOGRFICAS

El proyecto Twinning HR/2007/IB/JH/02 de hermanamiento entre la Agencia Croata de Proteccin de Datos de Carcter Personal (CAPPD) y su homlogo en Espaa, la AEPD comenz el 14 de octubre de 2010. La duracin prevista inicialmente para el proyecto era de 22 meses, pero se extendi a 24 meses finalizando su ejecucin el 25 de octubre de 2012. El objetivo general de este proyecto de hermanamiento ha sido el fortalecimiento de las potestades regulatorias y de supervisin de la CAPPD. La estrategia seguida para alcanzar este objetivo ha sido la implementacin de cuarenta actividades ejecutadas de forma conjunta entre esta, la AEPD y expertos de las autoridades europeas en privacidad y de instituciones relacionadas, que se han estructurado en dos componentes: Un Componente-I que se ha ocupado de la armonizacin de la Ley de Proteccin de Datos de Carcter Personal y la regulacin del sector con la Directiva 95/46/CE, as como la sensibilizacin sobre la necesidad de proteger de datos personales y la importancia de esa proteccin. Un Componente-II que se ha ocupado de la implantacin y certificacin de la CAPPD respecto de la norma ISO 27001 de seguridad de la informacin. En el plazo de ejecucin del proyecto se han implementado correctamente las actividades pre-

58

<ndice>

MEMORIA 20 12

vistas en el contrato original. Y, adicionalmente, se han desarrollado modificaciones incluidas con posterioridad, que en algn caso han alcanzado relevancia frente a lo previsto inicialmente. Un ejemplo de ello ha sido la gran implantacin conseguida de la figura del DPO (Data Protection Officer) en la empresa o el impacto de las actividades de sensibilizacin. En resumen, los logros ms importantes derivados de la ejecucin de todas las actividades del proyecto han sido los siguientes: La legislacin croata se ha armonizado con la Directiva en relacin a todas las enmiendas propuestas surgidas de la ejecucin de las actividades. La experiencia del personal de la CAPPD en relacin con las potestades inspectoras se ha potenciado con la realizacin de acciones formativas sobre inspeccin, ejecucin de auditoras conjuntas en distintos sectores empresariales croatas, celebracin de talleres conjuntos y visitas de estudio a otras autoridades. La figura del DPO se aplica actualmente en Croacia. Durante el desarrollo del proyecto se registraron ms de 650 DPO, disponiendo adems de material de formacin para los futuros cuadros. Por otra parte, un DPO fue nombrado en el Ministerio del Interior y se puso en marcha una asistencia TAIEX para la formacin adicional de DPO, basada en el material docente antes mencionado. La toma de conciencia sobre los temas de privacidad aument en el sector privado y pblico. En particular, dentro de las fuerzas policiales y del Ministerio del Interior se han desarrollado una serie de acciones divulgativas en distintas <ndice> ciudades de Croacia. Asimismo, se ha procedido a editar material didctico en relacin con la proteccin de datos personales en la cartera educativa de las instituciones acadmicas policiales, y a disear un departamento especializado en proteccin de datos en el propio Ministerio del Interior. Se ha elaborado y distribuido material de promocin enfocado directamente a los ciudadanos, como vdeos y folletos educativos sobre la privacidad. Por otra parte, se dise y puso en marcha un plan de comunicacin, mostrando a la CAPPD la gran influencia de los medios en el

59

MEMORIA 20 12

aumento de la conciencia de la privacidad en los ciudadanos. En el Sistema de Informacin del CAPPD se ha llevado a cabo la implementacin de la Norma ISO 27001:2005. De hecho, se ha obtenido la certificacin ISO 27001 como resultado el xito de la aplicacin del componente II del proyecto. Como resultado final, las instituciones y normativa croata se han adaptado a los requerimientos de las normas europeas de privacidad; los organismos pblicos, empresas privadas y ciudadanos han aumentado su concienciacin en materia de

proteccin de datos personales y la CAPPD ha reforzado su capacidad para llevar a cabo las actividades de supervisin necesarias. Tambin se han evaluado otros organismos pblicos y realizado auditoras TIC para evolucionar en funcin de las nuevas exigencias derivadas de la normativa europea en el futuro.

C OOPERACIN CON LAS AGENCIAS AUTONMICAS

Las actividades de coordinacin de los Grupos de Trabajo constituidos (Registro, Inspeccin, Asesoras Jurdicas, Secretaras Generales e Internacional) desarrolladas abordaron, entre otros, los siguientes temas: Ficheros de cuotas de los colegios profesionales. STJUE de 24 de noviembre de 2011 y de la STS de 8 de febrero de 2012 sobre efecto directo del artculo 7.f) de la Directiva. Recurso educativo sobre proteccin de datos y privacidad en relacin a menores. Participacin en TECNIMAP 2012. <ndice> Adicionalmente, tras varios intercambios de informacin previos, se ha celebrado una reunin ad hoc sobre la Propuesta de Reglamento General de Proteccin de Datos impulsado por la Comisin Europea. Las actividades de coordinacin se han ampliado a otros mbitos como son las actuaciones inspectoras y la tramitacin, junto con la Autoridad Catalana de Proteccin de Datos, del Cdigo Tipo del Colegio Oficial de Farmacuticos de Barcelona, al ser de aplicacin a ficheros o tratamientos cuyo mbito de actuacin alcanza a dos autoridades de control.

60

MEMORIA 20 12

<ndice>

61

M EMORIA

2012 LA AGENCIA EN CIFRAS

MEMORIA 20 12

NSPECCIN DE DATOS
denunCias y reClamaCiones registradas

tiPo

2010

2011

2012

var. % 2011/12

Escritos de reclamacin de tutela Escritos de denuncia TOTAL

1.657 5.045 6.702

2.230 7.648 9.878

2.193 8.594 10.787

-1,66 12,37 9,20

denunCias y reClamaCiones resueltas

tiPo

2010

2011

2012

var. % 2011/12

Reclamaciones de tutela de derechos resueltas Denuncias resueltas TOTAL

1.830 5.122 6.952

1.939 5.917 7.856

2.163 8.832 10.995

11,55 49,26 39,96

64

<ndice>

MEMORIA 20 12

resoluCiones - ejerCiCio de la Potestad sanCionadora

segn tiPo de ProCedimiento

2010

2011

2012

% var. % relativo 2011/12

Desistimiento por art. 42 y 71 LRJPAC Acuerdo de no admisin a trmite Archivo de actuaciones previas de investigacin Resolucin de procedimientos de apercibimiento Resolucin de procedimientos sancionadores Resolucin de procedimientos de infraccin de las AAPP

229 2.240 1.044 766 76

337 2.993 901 290 674 99

448 4.756 1.153 316 646 38

6,09 64,65 15,67 4,30 8,78 0,52

32,94 58,90 27,97 8,97 -4,15 -61,62

segn sentido de la resoluCin

2010

2011

2012

% var. % relativo 2011/12

Archivo actuaciones previas Archivo de procedimiento de apercibimiento Archivo de procedimiento sancionador Archivo de procedimiento de infraccin de las AAPP
TOTAL RESOLUCIONES DE ARCHIVO

3.513 175 15 3.703 591 61 652 4.355

4.231 7 140 18 4.396 312 505 81 898 5.294

6.357 10 89 5 6.461 306 557 33 896 7.357

86,41 0,14 1,21 0,07 87,82 4,16 7,57 0,45 12,18 100

50,25 42,86 -36,43 -72,22 46,97 -1,92 10,30 -59,26 -0,22 38,97

Declarativa de infraccin con apercibimiento Declarativa de infraccin con sancin econmica Declarativa de infraccin de las AAPP
TOTAL RESOLUCIONES DECLARATIVAS DE INFRACCIN

TOTAL RESOLUCIONES POTESTAD SANCIONADORA

* Las resoluciones dictadas incluyen los supuestos en que se han acumulado varias presuntas infracciones en un mismo expediente.

<ndice>

65

MEMORIA 20 12

sanCiones eConmiCas imPuestas

2010

2011

2012

var. % 2011/12

TOTAL SANCIONES

17.497.410,02

19.597.905,97

21.054.656,02

7,43

sanCiones imPuestas segn ley infringida 2012

3,47% 0,09%

LOPD LSSI LGT

96,43%

sanCiones imPuestas segn gravedad 2012

18,50% 0,00%

GRAVE LEVE
81,50%

MUY GRAVE

66

<ndice>

MEMORIA 20 12

graduaCin de la Cuanta de la multa en tratamientos de titularidad Privada (loPd)

atenuaCin de la multa / aPerCibimiento

2011

2012

% relativo

Apercibimiento por aplicacin del art. 45.6 Aplicacin del art. 45.5 en sancin econmica Aplicacin del art. 45.4 en sancin econmica Sancin econmica sin atenuacin TOTAL INFRACCIONES LOPD

355 145 291 136 927

352 308 201 166 1.027

34,27 29,99 19,57 16,16 100

evoluCin de las infraCCiones Con sanCin eConmiCa (loPd)

2010

2011

2012

var. % 2011/12

665

572

675

18,01

<ndice>

67

MEMORIA 20 12

distribuCin de las aCtuaCiones Previas iniCiadas

aCtividad
Telecomunicaciones Videovigilancia Entidades financieras Servicios de Internet (excepto spam) Suministro y comercializacin de energa/agua Comunicaciones electrnicas comerciales - spam (LSSI) Administracin Pblica Publicidad y prospeccin comercial (excepto spam) Profesionales, admn. fincas, comunidades de propietarios Recursos humanos, asuntos laborales Sanidad Comercios, transporte, hostelera Asociaciones, federaciones, colegios profesionales, clubes, fundaciones, ONGs Inscripcin de ficheros / Informacin artculo 5 Medios de comunicacin Seguros Sindicatos Asuntos relacionados con procedimientos judiciales Enseanza Documentacin desechada sin destruir o borrar Fuerzas y cuerpos de seguridad Partidos polticos Derechos ARCO Seguridad privada Comunicaciones comerciales por fax (LGT) Otros TOTAL ACTUACIONES PREVIAS INICIADAS

2010
1.170 819 691 168 74 126 194 91 137 106 114 68 75 75 63 59 48 9 19 28 54 19 13 5 8 69 4.302

2011
1.378 871 841 288 122 270 206 98 226 135 110 105 105 90 92 67 57 51 45 36 39 46 12 8 27 64 5.389

2012
2.652 1.271 1.077 404 393 353 267 241 221 161 151 121 101 101 62 59 48 46 45 32 29 24 11 9 8 77 7.964

% var. % relativo 2011/12

33,30 15,96 13,52 5,07 4,93 4,43 3,35 3,03 2,77 2,02 1,90 1,52 1,27 1,27 0,78 0,74 0,60 0,58 0,57 0,40 0,36 0,30 0,14 0,11 0,10 0,97 100 92,45 45,92 28,06 40,28 222,13 30,74 29,61 145,92 -2,21 19,26 37,27 15,24 -3,81 12,22 -32,61 -11,94 -15,79 -9,80 0 -11,11 -25,64 -47,83 -8,33 12,50 -70,37 20,31 47,78

* Las cifras incluyen las actuaciones de inspeccin incoadas por denuncia o de oficio (EI), las denuncias incompletas no subsanadas en plazo (AT) y las denuncias que no se admiten a trmite, acordndose no incoar actuaciones de inspeccin y no iniciar procedimiento de infraccin / sancionador (IT).

68

<ndice>

MEMORIA 20 12

distribuCin de los ProCedimientos sanCionadores resueltos

aCtividad

2010

2011

2012

% var. % relativo 2011/12

Telecomunicaciones Entidades financieras Videovigilancia Comunicaciones electrnicas comerciales - spam (LSSI) Suministro y comercializacin de energa/agua Servicios de Internet (excepto spam) Publicidad y prospeccin comercial (excepto spam) Comercio, transporte, hostelera Seguros Partidos polticos Recursos humanos, asuntos laborales Asociaciones, federaciones, colegios profesionales, clubes Comunicaciones comerciales por fax (LGT) Sanidad Derechos ARCO Inscripcin de ficheros / Informacin artculo 5 Profesionales, comunidades de propietarios, admn. fincas Otros TOTAL RESOLUCIONES (PS)

169 94 262 52 18 15 14 23 8 3 20 26 2 11 2 10 17 21 767

249 79 122 29 20 23 15 8 6 1 20 16 6 23 2 20 11 24 674

321 90 63 49 32 24 12 8 7 5 3 3 3 2 2 1 1 20 646

49,69 13,93 9,75 7,59 4,95 3,72 1,86 1,24 1,08 0,77 0,46 0,46 0,46 0,31 0,31 0,15 0,15 3,10 100

28,92 13,92 -48,36 68,97 60 4,35 -20 0 16,67 400 -85 -81,25 -50 -91,30 0 -95 -90,91 -16,67 -4,15

* Se incluyen tanto las resoluciones declarativas de infraccin como las de archivo del procedimiento.

<ndice>

69

MEMORIA 20 12

distribuCin de los ProCedimientos de aPerCibimiento resueltos (seCtor Privado)

aCtividad

2011

2012

% var. % relativo 2011/12

Videovigilancia Servicios de Internet (excepto spam) Profesionales, comunidades de propietarios, admn. fincas Asociaciones, federaciones, colegios profesionales, clubes Inscripcin de ficheros / Informacin artculo 5 Comercio, transporte, hostelera Administracin Pblica Publicidad y prospeccin comercial (excepto spam) Partidos polticos Recursos humanos, asuntos laborales Otros TOTAL RESOLUCIONES (A)

204 26 13 12 13 4 1 2 1 4 10 290

235 17 14 12 6 5 2 1 1 1 22 316

74,37 5,38 4,43 3,80 1,90 1,58 0,63 0,32 0,32 0,32 6,96 100

15,20 -34,62 7,69 0 -53,85 25 100 -50 0 -75 120 8,97

* Se incluyen tanto las resoluciones de apercibimiento como las de archivo del procedimiento.

70

<ndice>

MEMORIA 20 12

resoluCiones deClarativas de infraCCin (seCtor Privado)

aCtividad Telecomunicaciones Videovigilancia Entidades financieras Servicios de Internet (excepto spam) Comunicaciones electrnicas comerciales - spam (LSSI) Suministro y comercializacin de energa/agua Profesionales, comunidades de propietarios, admn. fincas Asociaciones, federaciones, colegios profesionales, clubes, ONGs, fundaciones Recursos humanos, asuntos laborales, sindicatos Publicidad y prospeccin comercial (excepto spam) Comercio, transporte, hostelera Seguros Inscripcin de ficheros / Informacin artculo 5 Enseanza Sanidad Partidos polticos Administracin Pblica (entidades Derecho privado) Derechos ARCO Medios de comunicacin Comunicaciones comerciales por fax (LGT) Otros TOTAL RESOLUCIONES DECL. INFRACCIN (PS, A)

2010 134 176 82 13 44 16 14 22 17 12 16 7 8 1 7 2 2 2 1 2 13 591

2011 220 281 58 42 26 19 20 19 22 16 10 4 25 4 18 2 3 2 2 5 19 817

2012 289 276 77 39 39 29 15 15 14 10 9 9 7 6 5 4 2 2 2 1 11 863

% var. % relativo 2011/12 33,49 31,98 8,92 4,52 4,52 3,36 1,74 1,74 1,62 1,16 1,04 1,04 0,81 0,70 0,58 0,46 0,23 0,23 0,23 0,12 1,27 100 31,36 -1,78 32,76 -7,14 50 52,63 -25 -21,05 -36,36 -37,50 -10 125 -72 50 -72,22 100 -33,33 0 0 -80 -42,11 5,63

* En cada resolucin de procedimiento sancionador o de apercibimiento puede haberse declarado ms de una infraccin.

<ndice>

71

MEMORIA 20 12

seCtores Con mayor imPorte global de sanCiones

aCtividad

2010 ()

2011 ()

2012 ()

% var. % relativo 2011/12 del total

Telecomunicaciones Entidades financieras Suministro y comercializacin de energa/agua Comunicaciones electrnicas comerciales - spam (LSSI) Videovigilancia

9.185.877,87 3.772.072,00 949.720,17 621.114,42 507.327,47

12.388.639,80 3.896.612,86 1.018.000 305.405 494.711,05

15.368.938 2.853.004 1.270.001 541.507 336.702 20.370.152

73 13,55 6,03 2,57 1,60 96,75

24,06 -26,78 24,75 77,31 -31,94 12,52

TOTAL 5 PRIMERAS REAS 15.036.111,93 18.103.368,71

ProCedimientos de deClaraCin de infraCCin de las administraCiones PbliCas resueltos

tiPo administraCin (1)

2010

2011

2012

% var. % relativo 2011/12

Local Autonmica Estatal Otras Entidades de Derecho Pblico TOTAL RESOLUCIONES

(1)

32 16 25 3 76

30 18 8 43 (2) 99

22 12 4 0 38

57,89 31,58 10,53 0 100

-26,67 -33,33 -50 -100 -61,62

En un mismo procedimiento de infraccin pueden figurar imputados de distintas administraciones territoriales, computndose tales procedimientos en una sola de las administraciones afectadas. (2) Se incluyen en este apartado los procedimientos en los que se declar la infraccin por parte de 32 Registros de la Propiedad. * Se incluyen tanto las resoluciones que declaran infraccin como las de archivo del procedimiento.

72

<ndice>

MEMORIA 20 12

infraCCiones deClaradas de las administraCiones PbliCas

tiPo administraCin

2011

2012

% var. % relativo 2011/12

Local Autonmica Estatal Otras Entidades de Derecho Pblico TOTAL INFRACCIONES

14 21 6 40 81

22 13 5 0 40

55 32,5 12,5 0 100

57,14 -38,10 -16,67 -100 -50,62

* En cada resolucin puede haberse declarado ms de una infraccin.

tutelas de dereCho resueltas

estimatoria estimatoria desestimatoria arChivo Por total formal o inadmisin o ParCial desistimiento

Cancelacin Acceso Rectificacin Oposicin TOTAL

192 130 15 53 390

171 171 26 25 393

110 84 21 25 240

729 295 112 120 1.256

1.202 680 174 223 2.279

* En cada procedimiento puede tutelarse ms de un derecho ARCO.

<ndice>

73

MEMORIA 20 12

distribuCin geogrfiCa de las denunCias Presentadas en 2012 (ProvinCia del denunCiante)

A CORUA 206

ASTURIAS 216 LUGO 60 CANTABRIA 86 LEN 67 PALENCIA 28

BIZKAIA 117 GIPUZKOA 54 NAVARRA 56 HUESCA 28 GIRONA 82 LLEIDA 30 BARCELONA 576 TARRAGONA 138

PONTEVEDRA 172 OURENSE 44

ARABA 28 LA RIOJA 46

ZAMORA 30

BURGOS 79 SORIA

VALLADOLID 104 SALAMANCA 57 SEGOVIA 18

3
ZARAGOZA 150

GUADALAJARA 42 VILA 18 MADRID 2319

TERUEL 12

CCERES 45

CASTELLN 57 CUENCA 12 VALENCIA 388 ILLES BALEARS 165

TOLEDO 115

BADAJOZ 74

CIUDAD REAL 86 CRDOBA 91

ALBACETE 57 ALICANTE 243

HUELVA 73 SEVILLA 352

JAN 72 MURCIA 205 GRANADA 145 ALMERA 37

LAS PALMAS 288

CDIZ 129

MLAGA 265

CEUTA SANTA CRUZ DE TENERIFE 135

MELILLA

TOTAL 7946

* No se consideran las actuaciones previas iniciadas de oficio a iniciativa del Director o las iniciadas por solicitud de colaboracin de otras autoridades extranjeras de proteccin de datos.

74

<ndice>

MEMORIA 20 12

estableCimiento de imPutados en ProCedimientos sanCionadores y de aPerCibimiento resueltos en 2012

A CORUA 14

ASTURIAS 15 LUGO

BIZKAIA 27

2
LEN

CANTABRIA

4
ARABA

GIPUZKOA

2 4 2
GIRONA

PONTEVEDRA

8
OURENSE

3 2

0 2 0

NAVARRA

2
ZAMORA

PALENCIA

LA RIOJA

HUESCA

3
VALLADOLID

BURGOS

0
SORIA LLEIDA

7 1

3
BARCELONA 56

ZARAGOZA 16 GUADALAJARA

SALAMANCA

2
VILA

SEGOVIA

0
MADRID 578

TERUEL

TARRAGONA

CCERES

CASTELLN CUENCA

4
ILLES BALEARS 13

TOLEDO

1
VALENCIA 19

BADAJOZ

CIUDAD REAL CRDOBA

ALBACETE

4
ALICANTE 26

6
JAN

HUELVA 11 SEVILLA 14

5
MURCIA

GRANADA

8
ALMERA 10

LAS PALMAS 13

CDIZ

MLAGA 22

CEUTA SANTA CRUZ DE TENERIFE

MELILLA

TOTAL 962

<ndice>

75

MEMORIA 20 12

sede de los imPutados en ProCedimientos de deClaraCin de infraCCin de las aaPP resueltos en 2012

A CORUA

2 2
LEN

PONTEVEDRA

1 1
LA RIOJA

PALENCIA ZAMORA

1
VALLADOLID

ZARAGOZA

MADRID

VALENCIA BADAJOZ

ILLES BALEARS

1
ALICANTE

HUELVA

1
SEVILLA

MURCIA GRANADA

2
ALMERA

LAS PALMAS

MLAGA

SANTA CRUZ DE TENERIFE

TOTAL

38

76

<ndice>

MEMORIA 20 12

distribuCin geogrfiCa de los ProCedimientos de tutelas de dereChos iniCiados en 2012 (ProvinCia del reClamante)

A CORUA 49

ASTURIAS 54 LUGO 21 CANTABRIA 20 LEN 29

BIZKAIA 33 GIPUZKOA 11 NAVARRA 15 HUESCA

PONTEVEDRA 48 OURENSE

ARABA 11 LA RIOJA 16

4
ZAMORA

PALENCIA 10

8
GIRONA 15

BURGOS

6
SORIA

VALLADOLID 30 SALAMANCA 22 VILA CCERES 11 SEGOVIA 11

4
ZARAGOZA 37

LLEIDA 10 BARCELONA 171

GUADALAJARA

2
MADRID 573

TERUEL

TARRAGONA 30

CASTELLN 15 CUENCA 12 VALENCIA 126 ILLES BALEARS 32

TOLEDO 35

BADAJOZ 30

CIUDAD REAL 26 CRDOBA 46

ALBACETE

8
ALICANTE 94

HUELVA 17 SEVILLA 111

JAN 21 MURCIA 109 GRANADA 45 ALMERA 22

LAS PALMAS 54

CDIZ 27

MLAGA 52

CEUTA SANTA CRUZ DE TENERIFE 30

MELILLA

TOTAL 2188

<ndice>

77

MEMORIA 20 12

ABINETE JURDICO
Consultas

administraCiones PbliCas

292

Administracin general del Estado Comunidades Autnomas Entidades Locales Otros Organismos Pblicos

194 31 39 28

Consultas Privadas

191

Empresas Particulares Asociaciones / Fundaciones Sindicatos / Partidos polticos Otros (Iglesia)

128 24 33 5 1

78

<ndice>

MEMORIA 20 12

evoluCin de las Consultas (1999-2012)

800

PBLICO PRIVADO
690 679

700
606 544 544 253 294 415 232 268

600

587

581

553

555

279

364 527 484 483

500

235

254

242

298 246 292

400

370 199 411 334

300

171

371 312 250 313 299 313 315 238 191

200
199 216

229

100

1999

2000

2001

2002

2003

2004

2005

2006

2007

2008

2009

2010

2011

2012

<ndice>

79

MEMORIA 20 12

evoluCin de las Consultas Por seCtores (2011-2012)

Asesora y consultora Telecomunic. y sociedad de la informacin Particulares Asociaciones y fundaciones Servicios informticos Sanidad y farmacia Asociac. empresariales y profesionales Distribucin y venta Industria y construccin Servicios Solvencia patrimonial y crdito Banca y seguros Sindicatos y partidos polticos Seguridad Otros Transporte Educacin Agua y energas 0 1 2 2 2 5 10 15 20 4 1 4 4 6 7 5 1 6 6 6 11 7 8 8 8 12 12 13 12 19 14 21 23

27 25 26 24

38

43

10 11

Ao 2012 Ao 2011

25

30

35

40

45

50

80

<ndice>

MEMORIA 20 12

evoluCin de las Consultas Por materias (2011-2012)

Cesin Consentimiento Medidas de seguridad mbito de aplicacin Derechos ARCO Encargado del tratamiento Ficheros pblicos Responsable del fichero Calidad de datos Transferencias internacionales Deber de informar Telecomunicaciones Conceptos generales Datos de salud Datos especialmente protegidos Videovigilancia Solvencia patrimonial y crdito Inters legtmo Registros pblicos Internet/IP/Spam Padrn Ficheros privados Administracin electrnica Menores Estadstica 0 4 3 2 14 14 12 12 12 17 10 8 30 29 24 22 21 11 45 40 38 38 52 14 24 36 34 34 70 68 65 62 61 81 83 63 98 97 97 93

185

197

52

8 6 7 8 5 10 3 7 50 100 150

Ao 2012 Ao 2011

200

<ndice>

81

MEMORIA 20 12

evoluCin de informes PreCePtivos a disPosiCiones generales (1999-2012)

120 110 100 100 97 96

80

76 61 47 33 21

73

77

79

60 42 40 35

20

1999

2000

2001

2002

2003

2004

2005

2006

2007

2008

2009

2010

2011

2012

82

<ndice>

MEMORIA 20 12

informes PreCePtivos (2005-2012)

200 180 160 140 120 100 80 60 40 20 0 39 42 42 32 23 30 27 76 73 100 77 79 68 51 110 97 96 Ao 2005 Ao 2006 Ao 2007 Ao 2008 Ao 2009 Ao 2010 Ao 2011 Ao 2012 174

168

140 121 119 120

115 105

Disposiciones

RD 424/2005

Prec. D.I.Juego*

Total

* Preceptivos de la Direccin General de ordenacin del juego

<ndice>

83

MEMORIA 20 12

sentenCias de la audienCia naCional en 2012

22% 7% 24%
INADMISIN DEL RECURSO DESESTIMATORIAS PARCIALMENTE ESTIMATORIAS ESTIMATORIAS

47%

sentenCias ParCialmente estimatorias en 2012

12 1 2 2 58 12

APLICA 45.5 MNIMO GRAVES CESIN REBAJA PROPORCIONAL CESIN Y 45.5 PARCIALMENTE ESTIMATORIAS

sentido favorable/Contrario del fallo en las ssan de 2012

7% 24%
INADMISIN DESESTIMATORIAS PARCIALMENTE ESTIMATORIAS (A FAVOR EN FONDO) PARCIALMENTE ESTIMATORIAS (CONTRARIAS EN FONDO) ESTIMATORIAS

22%

7%

40%

84

<ndice>

MEMORIA 20 12

evoluCin de PorCentajes en sentenCias (2003-2012)

90 83 80 70 60 50 40 30 20 10 0 11 7 5 5 6 6 5 7 Estimatorias 28 24 20 21 12 16 15 8 7 3 1 1 1 1 3 21 24 21 22 48 40 70 73 77 73 72 69 Ao 2003 Ao 2004 Ao 2005 Ao 2006 Ao 2007 Ao 2008 Ao 2009 Ao 2010 Ao 2011 Ao 2012

47

47

Desestimatorias

Parcialmente estimatorias

Inadmisin del recurso

<ndice>

85

MEMORIA 20 12

ComParativa Por seCtor del reCurrente (2011-2012)

Telecomunicaciones Particulares Banca y seguros Solvencia patrimonial y crdito Distribucin y venta Sociedad de la informacin Salud Sindicatos y asociaciones Administraciones Pblicas Agua y energas Otros 0 8 4 4 3 10 10 9 1 16 36

64 46

83

29

12 6

5 8 10

19 16 20 30 40 50 60 70

Ao 2012 Ao 2011

80

90

86

<ndice>

MEMORIA 20 12

sentenCias de tribunal suPremo en 2012

4 7

FAV. INADMISIN FAV. NO HA LUGAR 11 CONT. NO HA LUGAR

<ndice>

87

MEMORIA 20 12

TENCIN AL CIUDADANO
Consultas totales Planteadas ante el area de atenCin al Ciudadano

Atencin telefnica

Atencin presencial

Atencin por escrito

Total

% de incremento

Ao 2008 Ao 2009 Ao 2010 Ao 2011 Ao 2012

58.143 77.359 85.276 113.579 97.162

4.785 4.277 4.093 3.341 4.257

9.722 15.587 15.457 17.715 10.514 (*)

72.650 97.223 104.826 134.635 111.933

52,17% 33,82% 8,2% 28.4% -16.86%

* En el ao 2012, 10.312 consultas escritas se contestaron a travs de la pgina Web o de la Sede Electrnica.

ComParativa de aCCesos a la Pgina Web Con el ao 2011

AO
Accesos Web Promedio diario

2011

2012

2.892.516 3.961

4.096.765 5.646

88

<ndice>

MEMORIA 20 12

anlisis de las Consultas Por temas 2012

temas

1. Inscripcin ficheros 2. Ficheros morosos 3. Comunidades de propietarios 4. Medidas de seguridad 5. Telecomunicaciones 6. Cesin 7. Derechos 8. Videovigilancia 9. Informacin

21% 1% 1,36% 1% 24,41% 2,25% 10,5% 4,08% 56,5%

1 9 5

2 3 4

eXamen del aPartado sobre dereChos 2012

temas

6 1

1. Acceso 2. Cancelacin 3. Rectificacin 4. Oposicin 5. Informacin 6. Exclusin de guas

13,1% 50,35% 1,8% 30,9% 2,89% 2,50%

<ndice>

89

MEMORIA 20 12

EGISTRO GENERAL DE PROTECCIN DE DATOS

dereCho de Consulta al registro

TITULARIDAD
Privada Pblica TOTAL

2011

2012

2.644.420 856.463 3.500.883

3.380.914 1.266.784 4.647.698

evoluCin de la insCriPCin de fiCheros en el rgPd

A 31 de diciembre de

2006

2007

2008

2009

2010

2011

2012

Titularidad Pblica Titularidad Privada TOTAL

56.138 758.955 815.093

61.553 955.713 1.017.266

85.083 1.182.496 1.267.579

95.696 1.552.060 1.647.756

108.289 2.036.583 2.144.872

117.503 2.491.968 2.609.471

137.396 2.865.720 3.003.116

VARIACIN ANUAL TOTAL

500.000 497.116 464.599 393.645

400.000

380.177

300.000 250.313 202.173 200.000 164.360

100.000

0 2006 2007 2008 2009 2010 2011 2012

90

<ndice>

MEMORIA 20 12

evoluCin de la insCriPCin en el rgPd

DATOS RELACIONADOS CON LA INSCRIPCIN

Media diaria en 2011 Media diaria en 2012

2011

2012

Operaciones de inscripcin Total de ficheros inscritos

638.533 2.609.471

630.251 3.003.116

2.661 1.936

2.626 1.640

INCREMENTO ANUAL DE LAS OPERACIONES DE INSCRIPCIN

700.000 623.148 600.000 512.998 500.000 638.533 630.251

400.000 330.159 300.000 233.796 200.000 251.349

100.000

0 2006 2007 2008 2009 2010 2011 2012

<ndice>

91

MEMORIA 20 12

insCriPCin de titularidad Privada

DISTRIBUCIN DE FICHEROS
resPonsables 2012 total
Comunidad Autnoma de Andaluca Almera Cdiz Crdoba Granada Huelva Jan Mlaga Sevilla Comunidad Autnoma de Aragn Huesca Teruel Zaragoza Comunidad Autnoma del Principado de Asturias Comunidad Autnoma de Canarias Las Palmas Santa Cruz de Tenerife Comunidad Autnoma de Cantabria Comunidad Autnoma de Castilla y Len vila Burgos Len Palencia Salamanca Segovia Soria Valladolid Zamora 32.687 2.590 4.030 3.279 4.051 1.282 2.294 9.068 6.150 6.288 1.006 409 4.876 7.495 6.245 2.868 3.389 2.430 9.982 872 1.091 2.010 788 1.297 898 292 2.152 598 149.268 14.066 17.798 14.155 20.458 6.525 11.581 34.758 30.615 36.827 7.227 3.210 26.444 31.906 30.781 14.080 16.767 12.053 52.594 3.389 8.921 10.314 3.996 6.345 3.808 2.306 10.493 3.136

fiCheros 2012 total

86.635 7.884 10.965 8.609 10.256 3.415 6.736 23.703 15.067 13.846 2.287 1.026 10.533 18.134 18.866 8.931 9.935 6.067 23.976 1.863 2.496 4.878 1.793 3.134 1.963 1.027 5.278 1.544 438.948 43.841 49.612 41.070 64.804 19.256 38.373 96.515 85.477 90.192 17.065 8.319 64.808 95.915 103.683 48.779 54.904 29.628 139.068 7.754 21.233 27.337 10.605 16.912 10.099 6.432 28.540 10.156

92

<ndice>

MEMORIA 20 12

resPonsables 2012 total

Comunidad Autnoma de Castilla-La Mancha Albacete Ciudad Real Cuenca Guadalajara Toledo Comunidad Autnoma de Catalua Barcelona Girona Lleida Tarragona Comunidad de Madrid Comunidad Valenciana Alicante Castelln de la Plana Valencia Comunidad Autnoma de Extremadura Badajoz Cceres Comunidad Autnoma de Galicia A Corua Lugo Ourense Pontevedra Comunidad Autnoma de las Illes Balears Comunidad Foral de Navarra Comunidad Autnoma del Pas Vasco lava Guipzcoa Vizcaya Comunidad Autnoma de la Rioja Comunidad Autnoma de la Regin de Murcia Ciudad Autnoma de Ceuta Ciudad Autnoma de Melilla 7.941 1.992 1.780 614 838 2.719 27.245 21.009 2.965 1.136 2.173 36.991 23.358 8.159 2.489 12.725 3.744 2.113 1.635 14.078 6.834 1.478 1.357 4.435 4.850 2.116 8.276 1.066 2.794 4.422 1.536 6.588 142 211 37.032 9.795 8.212 3.775 3.971 11.354 200.925 148.540 24.630 10.307 17.797 172.341 124.050 42.436 14.814 66.945 17.677 11.381 6.318 74.408 32.595 9.547 8.035 24.423 22.673 11.936 42.515 5.608 13.177 23.801 9.718 32.476 530 661

fiCheros 2012 total

19.872 5.279 4.459 1.655 1.942 6.537 73.928 55.653 8.469 3.284 6.522 91.153 55.782 18.441 7.439 29.902 10.216 5.980 4.236 34.204 16.516 3.545 3.252 10.891 15.462 5.757 22.626 2.647 8.599 11.380 3.515 16.503 299 837 108.200 31.056 24.125 10.032 10.225 32.762 512.221 372.737 65.668 25.693 48.123 428.021 317.890 102.456 41.206 174.228 51.033 32.238 18.795 214.871 92.380 26.240 22.078 74.173 76.504 33.909 112.352 15.037 36.476 60.839 24.502 84.280 1.238 3.127

<ndice>

93

MEMORIA 20 12

insCriPCin de titularidad Privada

distribuCin de fiCheros segn tiPos de datos Datos especialmente protegidos (ideologa, creencias, religin y afiliacin sindical) Otros datos especialmente protegidos (origen racial, salud y vida sexual) Datos de carcter identificativo Datos de caractersticas personales Datos de circunstancias sociales Datos acadmicos y profesionales Detalles de empleo y carrera administrativa Datos de informacin comercial Datos econmico-financieros Datos de transacciones Otros tipos de datos

2012 6.713 40.358 424.634 201.223 117.992 117.944 130.034 126.369 243.360 203.848 18.813

total 74.768 351.995 2.865.720 1.282.522 733.239 720.918 908.009 796.990 1.649.235 1.202.498 115.584

94

<ndice>

MEMORIA 20 12

insCriPCin de titularidad Privada

distribuCin de fiCheros segn su finalidad Gestin de clientes, contable, fiscal y administrativa Recursos humanos Gestin de nminas Prevencin de riesgos laborales Publicidad y prospeccin comercial Videovigilancia Comercio electrnico Gestin y control sanitario Historial clnico Seguridad y control de acceso a edificios Fines estadsticos, histricos o cientficos Anlisis de perfiles Gestin de actividades asociativas, culturales, recreativas, deportivas y sociales Educacin Servicios econmicos-financieros y seguros Guas/repertorios de servicios de comunicaciones electrnicas Seguridad privada Prestacin de servicios de comunicaciones electrnicas Cumplimiento/incumplimiento de obligaciones dinerarias Gestin de asociados o miembros de partidos polticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin nimo de lucro, cuya finalidad sea poltica, filosfica, religiosa o sindical. Gestin de asistencia social Prestacin de servicios de solvencia patrimonial y crdito Investigacin epidemiolgica y actividades anlogas Prestacin de servicios de certificacin electrnica Otras finalidades
* Porcentaje de crecimiento por finalidad declarada

2012 224.339 96.170 70.262 41.280 34.674 34.631 15.683 14.625 10.195 6.648 5.973 5.590 4.837 4.515 3.509 3.433 3.128 2.830 2.746 2.601

total 1.755.666 652.934 493.050 238.678 224.774 132.704 56.461 120.705 84.057 41.068 85.821 34.906 44.848 37.039 65.081 10.089 16.687 15.230 42.537 16.169

%
2012/total*

+12,78 +14,73 +14,25 +17,30 +15,43 +26,10 +27,78 +12,12 +12,13 +16,19 +6,96 +16,01 +10,79 +12,19 +5,39 +34,03 +18,75 +18,58 +6,46 +16,09

1.649 581 528 357 73.007

12.077 7.599 8.281 2.418 444.044

+13,65 +7,65 +6,38 +14,76 +16,44

<ndice>

95

MEMORIA 20 12

insCriPCin de titularidad Privada

distribuCin de fiCheros segn el seCtor de aCtividad
Comercio Comunidades de propietarios Sanidad Turismo y hostelera Contabilidad, auditora y asesora fiscal Construccin Transporte Educacin Actividades inmobiliarias Actividades jurdicas, notarios y registradores Asociaciones y clubes Industria qumica y farmacutica Activ. relacionadas con los productos alimenticios, bebidas y tabacos Servicios informticos Agricultura, ganadera, explotacin forestal, caza, pesca Actividades polticas, sindicales o religiosas Actividades diversas de servicios personales Maquinaria y medios de transporte Comercio y servicios electrnicos Actividades de servicios sociales Seguros privados Produccin de bienes de consumo Sector energtico Servicios de telecomunicaciones Activ. de organizaciones empresariales, profesionales y patronales Publicidad directa Actividades relacionadas con los juegos de azar y apuestas Entidades bancarias y financieras Seguridad Organizacin de ferias, exhibiciones, congresos y otras activ. relac. Inspeccin tcnica de vehculos y otros anlisis tcnicos Investigacin y desarrollo (I+D) Seleccin de personal Activ. postales y de correo (oper. Postales, serv. post., transport. Solvencia patrimonial y crdito Mutualidades colaboradoras de los organismos de la seguridad social Otras actividades
* Porcentaje de crecimiento por sector de actividad

2012
53.416 48.410 29.700 23.273 13.535 12.162 11.496 10.262 8.264 8.020 7.864 6.182 5.096 4.898 4.313 4.167 4.073 3.655 3.239 2.685 2.666 2.350 1.817 1.598 988 918 840 768 695 532 493 446 232 214 51 29 145.281

total
333.668 368.088 212.501 129.109 136.078 112.364 65.090 70.565 93.828 72.018 63.672 54.292 38.434 43.063 32.182 15.747 28.347 40.072 12.501 24.957 29.042 24.342 20.405 13.158 12.727 10.365 7.026 12.925 7.347 3.624 3.357 4.048 4.350 2.862 1.036 823 728.435

%
2012/total* +16,01 +13,15 +13,98 +18,03 +9,95 +10,82 +17,66 +14,54 +8,81 +11,14 +12,35 +11,39 +13,26 +11,37 +13,40 +26,46 +14,37 +9,12 +25,91 +10,76 +9,18 +9,65 +8,90 +12,14 +7,76 +8,86 +11,96 +5,94 +9,46 +14,68 +14,69 +11,02 +5,33 +7,48 +4,92 +3,52 +19,94

96

<ndice>

MEMORIA 20 12

insCriPCin de titularidad PbliCa

distribuCin de fiCheros Por tiPo de administraCin

2012

total

Administracin General Administracin CC.AA Administracin Local Otras personas jurdico-pblicas TOTAL

726 11.191 8.824 914 21.655

6.784 31.175 73.217 26.220 137.396

distribuCin de fiCheros de la administraCin general

fiCheros

Presidencia del Gobierno Ministerio de Asuntos Exteriores y de Cooperacin Ministerio de Justicia Ministerio de Defensa Ministerio de Economa y Competitividad Ministerio del Interior Ministerio de Fomento Ministerio de Educacin, Cultura y Deporte Ministerio de Empleo y Seguridad Social Ministerio de la Presidencia Ministerio de Hacienda y Administraciones Pblicas Ministerio de Sanidad, Servicios Sociales e Igualdad Ministerio de Agricultura, Alimentacin y Medio Ambiente Ministerio de Industria, Energa y Turismo TOTAL

8 543 146 1.209 366 223 536 267 1.670 57 605 555 387 212 6.784

<ndice>

97

MEMORIA 20 12

distribuCin de fiCheros de Comunidades autnomas

2012

fiCheros

Comunidad Autnoma de Andaluca Comunidad Autnoma de Aragn Comunidad Autnoma del Principado de Asturias Comunidad Autnoma de Canarias Comunidad Autnoma de Cantabria Comunidad Autnoma de Castilla y Len Comunidad Autnoma de Castilla-La Mancha Comunidad Autnoma de Catalua Comunidad de Madrid Comunidad Valenciana Comunidad Autnoma de Extremadura Comunidad Autnoma de Galicia Comunidad Autnoma de las Illes Balears Comunidad Foral de Navarra Comunidad Autnoma del Pas Vasco Comunidad Autnoma de La Rioja Comunidad Autnoma de la Regin de Murcia Ciudad Autnoma de Ceuta Ciudad Autnoma de Melilla TOTAL

57 56 30 68 26 32 75 8.648 1.932 21 15 42 37 11 73 20 30 10 8 11.191

1.915 293 432 430 229 844 758 9.912 12.333 571 426 302 538 166 1.260 263 390 33 80 31.175

98

<ndice>

MEMORIA 20 12

distribuCin de fiCheros de la administraCin loCal

entidades

fiCheros

Comunidad Autnoma de Andaluca Almera Cdiz Crdoba Granada Huelva Jan Mlaga Sevilla Comunidad Autnoma de Aragn Huesca Teruel Zaragoza Comunidad Autnoma del Principado de Asturias Comunidad Autnoma de Canarias Las Palmas Santa Cruz de Tenerife Comunidad Autnoma de Cantabria Comunidad Autnoma de Castilla y Len vila Burgos Len Palencia Salamanca Segovia Soria Valladolid Zamora

833 112 48 91 193 87 89 93 120 556 196 71 289 82 111 50 61 61 1.006 88 343 204 103 91 20 11 105 41

9.252 1.250 759 797 1.536 1.204 646 1.336 1.724 4.687 1.628 432 2.627 1.301 1.771 759 1.012 696 7.427 989 2.505 1.283 1.094 466 121 39 706 224

<ndice>

99

MEMORIA 20 12

4
Comunidad Autnoma de Castilla-La Mancha Albacete Ciudad Real Cuenca Guadalajara Toledo Comunidad Autnoma de Catalua Barcelona Girona Lleida Tarragona Comunidad de Madrid Comunidad Valenciana Alicante Castelln de la Plana Valencia Comunidad Autnoma de Extremadura Badajoz Cceres Comunidad Autnoma de Galicia ACorua Lugo Ourense Pontevedra Comunidad Autnoma de las Illes Balears Comunidad Foral de Navarra Comunidad Autnoma del Pas Vasco lava Guipzcoa Vizcaya Comunidad Autnoma de la Rioja Comunidad Autnoma de la Regin de Murcia

entidades

fiCheros

455 100 110 96 26 123 1.036 445 224 206 162 230 487 156 98 234 293 171 122 325 97 68 90 70 86 213 339 53 126 160 42 55

6.666 3.459 808 822 306 1.271 11.786 5.477 2.720 1.992 1.597 4.554 6.449 2.127 941 3.381 3.491 1.844 1.647 3.799 1.163 731 984 921 1.466 2.144 6.310 657 2.177 3.476 402 1.016

100

<ndice>

MEMORIA 20 12

distribuCin de fiCheros de otras Personas jurdiCo-PbliCas

total

Cmaras Oficiales de Comercio e Industria Notariado Universidades Colegios Profesionales Otros TOTAL

476 8.027 1.345 2.407 13.965 26.220

insCriPCin de titularidad PbliCa

distribuCin de fiCheros segn tiPos de datos

2012

total

Datos especialmente protegidos (ideologa, creencias, religin y afiliacin sindical) Otros datos especialmente protegidos (origen racial, salud y vida sexual) Datos relativos a infracciones Datos de carcter identificativo Datos de caractersticas personales Datos de circunstancias sociales Datos acadmicos y profesionales Detalles de empleo y carrera administrativa Datos de informacin comercial Datos econmico-financieros Datos de transacciones Otros tipos de datos

506 5.358 2.161 21.655 11.379 3.041 9.878 3.474 1.674 9.666 4.375 1.557

18.769 36.273 23.584 137.396 70.191 34.888 44.705 41.193 15.888 60.119 25.345 19.809

<ndice>

101

MEMORIA 20 12

insCriPCin de titularidad PbliCa

distribuCin de fiCheros Con datos sensibles

2012

total

Datos especialmente protegidos Ideologa Creencias Religin Afiliacin Sindical. Otros datos especialmente protegidos Origen Racial Salud Vida Sexual Datos relativos a infracciones Infracciones Penales Infracciones Administrativas

506 155 86 119 370 5.358 755 5.342 210 2.161 1.119 2.046

18.769 9.231 8.486 8.703 17.605 36.273 11.656 36.116 9.613 23.584 16.618 22.749

102

<ndice>

MEMORIA 20 12

insCriPCin de titularidad PbliCa

distribuCin de fiCheros segn su finalidad

2012

total

% 2012/total

Procedimiento administrativo Educacin y cultura Gestin contable, fiscal y administrativa Recursos humanos Fines histricos, estadsticos o cientficos Servicios sociales Gestin de nmina Hacienda pblica y gestin de administracin tributaria Trabajo y gestin de empleo Funcin estadstica pblica Gestin econmica-financiera pblica Previsin de riesgos laborales Padrn de habitantes Videovigilancia Gestin sancionadora Gestin y control sanitario Seguridad y control de acceso a edificios Gestin de censo promocional Seguridad pblica y defensa Historial clnico Publicaciones Justicia Actuaciones de fuerzas y cuerpos de seguridad con fines policiales Investigacin epidemiolgica y actividades anlogas Prestacin de servicios de certificacin electrnica Otras finalidades

11.583 4.600 4.292 4.290 3.245 1.004 808 695 603 570 552 549 486 484 419 376 360 270 267 260 152 145 143 107 105 7.087

48.054 15.275 21.907 25.039 21.936 9.133 11.903 9.952 5.686 12.643 6.899 2.646 6.423 1.928 5.093 4.944 3.400 900 3.991 3.103 1.712 10.513 2.734 2.276 1.585 32.070

+24,10 +30,11 +19,59 +17,13 +14,79 +10,99 +6,79 +6,98 +10,60 +4,51 +8,00 +20,75 +7,57 +25,10 +8,23 +7,61 +10,59 +30,00 +6,69 +8,38 +8,88 +1,38 +5,23 +4,70 +6,62 +22,10

<ndice>

103

MEMORIA 20 12

transferenCias internaCionales de datos RESOLUCIONES DE AUTORIZACIN

2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 total auto.
EEUU Latinoamrica Panam Colombia Chile Uruguay Per Guatemala Paraguay Brasil El Salvador Costa Rica Nicaragua Mxico Ecuador India Otros pases Marruecos Singapur Japn Malasia Tailandia Filipinas China Hong Kong Egipto Nigeria Tnez Sudfrica Australia Canad Rep. Bielorrusa Mnaco Israel Vietnam Barbados Andorra Mauricio Kenia Serbia Taiwan Croacia Turqua Ucrania Bermudas Nueva Zelanda Rep. de Corea Federacin Rusa Internacional Solic.presentadas Archivadas Total Autoriz. 1 1 2 2 9 9 9 2 2 2 6 19 13 6 40 4 2 1 56 6 47 9 2 1 1 1 2 1 1 1 45 16 19 16 4 7 1 4 1 1 3 2 1 1 3 1 1 54 17 46 10 9 9 1 5 1 1 1 1 1 2 1 2 1 1 1 1 1 1 1 1 1 1 127 68 43 31 4 1 4 4 1 4 3 1 3 30 3 5 3 3 3 137 42 103 28 12 8 3 19 1 4 8 28 8 1 3 4 3 1 7 1 1 166 24 128 25 22 9 13 20 1 1 1 20 1 14 7 1 1 3 1 1 2 6 3 3 1 1 3 197 31 155 40 23 7 30 4 2 1 12 29 4 2 3 5 14 2 1 1 201 16 175 62 17 1 2 23 2 2 2 2 14 27 10 4 4 2 1 9 4 1 1 3 3 3 1 1 1 1 2 1 1 1 1 1 1 1 3 224 52 177 279 364 2 92 43 25 105 5 17 9 1 6 1 57 1 137 196 40 11 11 8 3 30 27 4 2 1 6 6 11 2 3 1 9 4 3 1 1 1 1 2 1 1 1 2 1 1 1 7 1.239 285 912

104

<ndice>

MEMORIA 20 12

EVOLUCIN DE LAS AUTORIZACIONES DE TRANSFERENCIAS INTERNACIONALES SEGN LAS GARANTAS APORTADAS (TIPO DE CONTRATO Y NORMAS CORPORATIVAS VINCULANTES -BCR-) 2006 2008 2010 2011 2012

2001/497/CE1 Responsable-Responsable 2002/16/CE2- 2010/87/UE3 Responsable-Encargado Encargado-Subencargado4 BCR

1

29 91

50 216

80 475

112 619

160 739 2

DECISIN DE LA COMISIN, de 15 de junio de 2001, relativa a clusulas contractuales tipo para la transferencia de datos personales a un tercer pas previstas en la Directiva 95/46/CE DECISIN DE LA COMISIN, de 27 de diciembre de 2001, relativa a las clusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros pases, de conformidad con la Directiva 95/46/CE (derogada desde 15 de mayo de 2010) DECISIN DE LA COMISIN, de 5 de febrero de 2010, relativa a las clusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros pases, de conformidad con la Directiva 95/46/ CE del Parlamento Europeo y del Consejo Clausulado elaborado por la AEPD para la transferencia internacional de datos de carcter personal entre un prestador de servicios/exportador de datos, establecido en Espaa y un subcontratista/importador de datos, situado en un pas que no garantiza un nivel adecuado de proteccin de datos personales, en el marco de una subcontratacin de servicios.

ACTUACIONES COMO AUTORIDAD CORREVISORA DE NORMAS CORPORATIVAS VINCULANTES (BCR) 2006 2008 2010 2011 2012

Revisin BCR fiCheros de videovigilanCia (a 31/12/2012)

ao de insCriPCin titularidad Privada

titularidad PbliCa

total

1994 - 2006 2007 2008 2009 2010 2011 2012 TOTALES

1.043 4.557 8.810 21.035 31.203 35.743 35.232 137.623

14 85 165 274 787 491 567 2.383

1.057 4.642 8.975 21.309 31.990 36.234 35.799 140.006

<ndice>

105

MEMORIA 20 12

fiCheros de videovigilanCia de titularidad Privada

aCtividad PrinCiPal
Comercio Turismo y hostelera Comunidades de propietarios Sanidad Activ. relacionadas con los productos alimenticios, bebidas y tabacos Construccin Industria qumica y farmacutica Transporte Educacin Actividades inmobiliarias Maquinaria y medios de transporte Servicios informticos Seguridad Sector energtico Contabilidad, auditora y asesora fiscal Asociaciones y clubes Agricultura, ganadera, explotacin forestal, caza, pesca Produccin de bienes de consumo Actividades relacionadas con los juegos de azar y apuestas Servicios de telecomunicaciones Actividades diversas de servicios personales Actividades de servicios sociales Actividades jurdicas, notarios y registradores Comercio y servicios electrnicos Seguros privados Entidades bancarias y financieras Activ. de organizaciones empresariales, profesionales y patronales Actividades polticas, sindicales o religiosas Inspeccin tcnica de vehculos y otros anlisis tcnicos Publicidad directa Organizacin de ferias, exhibiciones, congresos y otras activ. relac. Investigacin y desarrollo (I+D) Activ. postales y de correo (oper. postales, serv. post., transport.) Seleccin de personal Mutualidades colaboradoras de los organismos de la Seguridad Social Solvencia patrimonial y crdito Otras actividades

2011
23.915 12.741 7.838 5.432 2.456 2.486 2.322 1.967 1.428 1.485 1.262 1.314 1.199 1.129 945 954 823 868 822 743 676 637 448 470 271 311 219 173 136 112 122 113 65 30 19 9 28.102 104.042

2012
32.800 16.433 10.333 7.341 3.112 3.074 2.680 2.576 1.874 1.807 1.579 1.579 1.370 1.305 1.263 1.222 1.101 1.073 1.055 919 865 796 604 587 332 328 264 247 189 150 143 130 85 35 22 11 38.339 137.623

% variaCin 2011-2012
+37,15 +28,98 +31,83 +35,14 +26,71 +23,65 +15,42 +30,96 +31,23 +21,68 +25,12 +20,17 +14,26 +15,59 +33,65 +28,09 +33,78 +23,62 +28,35 +23,69 +27,96 +24,96 +34,82 +24,89 +22,51 +5,47 +20,55 +42,77 +38,97 +33,93 +17,21 +15,04 +30,77 +16,67 +15,79 +22,22 +36,43 +32,28

TOTAL

106

<ndice>

MEMORIA 20 12

P
Comisin euroPea 01, 02 Febrero 22, 23 Marzo 06, 07 Junio 24-26 Septiembre 5, 6 Diciembre

RESENCIA INTERNACIONAL DE LA AEPD 2012

SESIONES PLENARIAS GT29 EN BRUSELAS (5):

REUNIONES DE SUBGRUPOS EN LA COMISIN EUROPEA (BRUSELAS) A LAS QUE ASISTE LA AEPD (22):

Subgrupo Futuro de la Privacidad: 19 Enero 21, 22 Febrero 18 Septiembre 28 Noviembre Subgrupo Asuntos Financieros - Swift: 17 Enero 10 Mayo Subgrupo de Tecnologa: 12 Enero 29 Febrero 14, 15 Mayo 06 Septiembre 12 Noviembre Subgrupo Datos Biomtricos: 23 Enero 04 Septiembre Subgrupo BTLE: 13 Marzo 18 Abril 22 Mayo 17, 18 Septiembre Subgrupo e-Goverment: 23 Enero 04 Septiembre Subgrupo Key Provisions: 11 Mayo 13 Septiembre 19 Noviembre

<ndice>

107

MEMORIA 20 12

REUNIONES DE GRUPOS DE EXPERTOS EN LA COMISIN EUROPEA (BRUSELAS) A LAS QUE ASISTE LA AEPD (4):

Grupo Data Retention: 8 de Junio 18,19 Octubre Grupo Internet of Things: 8 de Febrero 19, 20 Junio
OTRAS REUNIONES (11):

Reunin Grupo DAPIX: 17 Abril 11, 12 Julio 03 Septiembre 14, 15 Noviembre Workshop on Data Protection Regulation: 30 Abril Reunin Propuesta Reglamento: 22 Mayo 04, 05 Octubre 13 Noviembre PIAF: 26, 27 Septiembre ENISA: 14-16 Octubre Proyecto Europeo DECT: 03, 04 Diciembre

Consejo de euroPa (3) 19 22 Junio, Estrasburgo 27 28 Septiembre, Estrasburgo 27 30 Noviembre, Estrasburgo

autoridades de Control Comn (11): Europol: 09 11 Febrero 06 08 Marzo 31 Mayo 01 Junio 27, 28 Noviembre

108

<ndice>

MEMORIA 20 12

Eurojust: 23, 24 Febrero Eurodac: 26 Febrero 24 Mayo ACCs: 13 - 16 Marzo 13 15 Junio 02 - 04 Octubre 09 - 11 Diciembre

gruPos de trabajo seCtoriales: Grupo de telecomunicaciones de Berln: (2) 22 24 Abril Gdansk, Polonia 09 - 12 Septiembre, Berln

ConferenCias internaCionales: Conferencia de Primavera de Autoridades Europeas de Proteccin de Datos Luxemburgo: 2-4 Mayo 34 Conferencia Internacional de Autoridades de Proteccin de Datos y Privacidad Punta del Este, Uruguay: 23 - 24 de Octubre. X Encuentro Ibrico Oporto: 29, 30 Noviembre

iberoamriCa 22 de octubre: celebracin del X Encuentro Iberoamericano de Proteccin de Datos en el marco de la 34 Conferencia Internacional de Autoridades de Proteccin de Datos y Privacidad, celebrada en Punta del Este, Uruguay.

<ndice>

109

MEMORIA 20 12

ECRETARA GENERAL
gestion de reCursos humanos

dotaCin 30/11/12

Cubiertos 30/11/12

PUESTOS DE TRABAJO

Funcionarios Laborales Laborales fuera de Convenio Alto cargo

157 4 3 1 165

155 2 2 1 159

nivel

30

29

28

26

24

22

20

18

17

16

15

14

Efectivos 2012

24

47

15

12

13

25

gruPo

A1

A2

C1

C2

Efectivos 2012

31

50

18

56

MUJERES HOMBRES

90 69

110

<ndice>

MEMORIA 20 12

evoluCin del PresuPuesto de la agenCia esPaola de ProteCCin de datos durante los ejerCiCios 2009 a 2012

CRDITO EJERCICIO CRDITO EJERCICIO CRDITO EJERCICIO CRDITO EJERCICIO 2009 (EUROS) 2010 (EUROS) 2011 (EUROS) 2012 (EUROS)

CAPITULO I CAPITULO II CAPITULO III CAPITULO VI CAPITULO VIII TOTAL

6.692.929,00 6.701.771,00 12.290,00 1.900,770,00 10.000,00 15.317.760,00

6.747.004,93 6.620.095,07 127.290,00 1.900.770,00 30.000,00 15.425.160,00

6.283.509,00 5.805.060,00 697.841,00 1.625.160,00 26.400,00 14.437.970,00

6.346.260,00 5.474.130,00 546.740,00 1.539.620,00 22.800,00 13.929.550,00

<ndice>

111

 Agencia Espaola de Proteccin de Datos

<ndice>

MEMORIA

AEPD 2012

www.agpd.es

ISSN 2254-691X